1.ERP审计不是ERP测试,测试是系统测试员应该干的事情。
2.ERP审计不只是信息系统安全审计,信息系统审计只是ERP的外围审计。
3.ERP审计也不是传统的业务审计,它有其独特的业务电子化的特点。
4.ERP审计是将业务和电子化集成起来的一种全方位全新的审计。
ERP审计的必要性:
1.成熟的ERP产品(如SAP,Oracle,IFS,UF,Kingdee等)都存在着流程/权限漏洞,所以法国兴业银行的交易员可以绕过系统的控制造成重大的损失。这还是我们假设其没有系统错误造成的漏洞(其实这个假设也不成立,MS给了我们生动的例子)。
2.成熟产品的二次开发,几乎所有的大企业所购买的ERP产品都会有二次开发,这其中就会出现程序错误和系统设计漏洞。
自主开发的ERP系统则存在以上系统存在的所有漏洞。
一个合格的ERP审计人员应该具备的知识和技能:
1.熟悉软件开发流程和软件开发的特点。可以知道哪些是软件系统容易忽视或易出错的地方。
2.熟悉ERP原理,熟悉ERP的架构。可以知道ERP是如何实现业务流程,哪些业务流程的实现是ERP难以做到的。
3.熟悉软件编程。了解程序员有哪些小伎俩来设置后门程序。
4.精通数据库管理。有了这种能力才能取得第一手的审计数据资料。
5.熟悉审计知识和流程,知道如何取证,分析和报告。
几个ERP审计中要注意的地方(其实很多,在这里只是略举几例):
1.单据月结的日期是单据日期还是输入日期,是否发生月结后还有当月单据仍未输入?
2.输入错误的单据如何在系统中修改?如果是月结前的单据又是如何处理的?
3.BOM变化前后产品的成本是如何体现?相应的原材料供应和采购计划如何变动?
4.车间在制品WIP在ERP中如何处理和计算成本?在途品ATP如何处理?
能想到这些问题,而且能够知道如何熟练对其进行审计的审计师应该具备做一个合格的ERP审计师的资格。
ERP审计可以参考的几个模型/标准:
1.COBIT
2.CMMI
3.ITIL/ISO20000
4.BCM/BS25999
5.ITSM/ISO17799/ISO27001
[