ERP审计是一种保证和咨询流动,是使用系统的、规范的方法来评价ERP项目的实施、控制和改善ERP项目的实施风险,促进项目的有效实施的程序。有效的审计是ERP系统实施成败的枢纽。ERP系统的实施给贸易过程带来一个全新的控制环境和安全环境。
因为在实施过程中要牵涉到方方面面的工作(企业财务结构的设置、库存与出产结构的设置、物料方面的编码方法、供给商与客户的治理等),对于实施过程中的风险进行审计就很轻易被遗忘,导致新系统缺乏安全控制,与企业的日常运营不相适应。这将减少企业从新系统中获得的收益。
一、为什么ERP实施要开展审计
(一)为了评估ERP系统与企业的适应性必需开展审计为了主动适应快速变化的外部环境,很多公司都开始抛却他们原来的信息系统而采用ERP系统。ERP系统是企业IT系统的一个解决方案,选用商品化的ERP系统同自己开发ERP软件比拟,其长处是本钱较低,能快速实施,有很好的系统质量。但是也有其缺点:选择的不确定性和可能忽略实施过程中的潜伏本钱。在一个对企业负责ERP项目的IT经理的调查中发现,2/3的经理把他们的ERP系统看作是企业的具有战略意义的计算平台(J.Sweat,1998)。ERP系统尽管具有显而易见的重要性,但是对ERP系统进行实施的公司以为3/4的ERP项目是不成功的(L.L.Griffith,1999)。是什么因素导致ERP的实施如斯的不成功呢?J.Swan(1999)以为高失败率的原因在于客户和ERP供给商的利益不合。客户但愿的是独特的贸易解决方案,而ERP系统的供给商倾向于提供一个市场普遍需要的解决方案。选择ERP系统的一个重要尺度是:该系统能够适应目前的贸易处理过程。尽管ERP系统与组织流动内容之间的适应性被以为是决定ERP系统成功实施与否的枢纽因素,但是在实践中却很少有对ERP系统的适应性的检修。Soh(2000)以为ERP系统与组织流动之间的适应性也许在亚洲是最差的。由于绝大部门ERP系统的程序设计都以欧洲或是美国贸易流动为模式,而这些贸易流动与亚洲的贸易流动又有很大的不同。目前在我国市场上存在上百个ERP软件,这些软件有的是国际软件公司开发的,如:SAP R/3,Orancle,Peoplesoft,Baan等,有些是海内的软件公司开发的,如用友的NC、金蝶的K/3等。这些公司最初开发的系统主要针对的是大型企业,但是在大型企业市场容量有限的情况下,不少公司接踵推出了面临中小企业的ERP系统。这些系统的推出,给企业带来了很大的选择空间。企业的内部审计职员必需加入到这个选择流动中来,由于内部审计职员对企业的组织结构、业务流动和治理水平都非常认识,更有能力评价企业的贸易处理过程与各种软件之间的适应程度。另外,选择不同的ERP软件也意味着选择了不同的系统实施方法。目前比较成熟的ERP系统往往都有一套成熟的实施方法。如SAP实施方法与过程―ASAP是SAP公司为使R/3项目的实施更简朴、更有效的一套完整的快速实施方法。ASAP优化了在实施过程中对时间、质量和资源的有效使用等方面的控制。它包括了使得项目实施得以成功所有基本要素的完整的实施方法,如:ASAP路线图、SAP工具包、SAP技术支持和服务、SAP培训和SAP参考模型。Oracle的实施方法PJM/AIM,主要由AIM(应用系统实施方法论)和PJM(整体项目治理方法论)等各自独立的方法论组成。这些方法论可以进步工作效率及项目实施质量。参谋在项目实施过程中,将用Oracle Applications的实施方法论及实施工具来匡助实施,并将此方法技术作为技术转移的一部门。BANN的实施方法―TargetiBaaN,提炼总结了世界范围内8000多个BaaN公司ERP产品用户的实施经验,从而能博采众长确保ERP项目的成功实施。此实施方法是ERP领域惟一利用多层原型化的工具,不仅着重于ERP软件系统的审计信息化26/CHINA COMPUTERIZED ACCOUNTING实施,而且还致力于企业业务流程和组织的改进和完善。选择不同的ERP系统和不同的实施咨询公司随之带来的不同的实施方法,将要求企业投入不同的人力以及财力和时间,而不同的公司所能投入的资源也将不同,企业内部审计职员必需充分评估ERP的实施方法和企业目标的适应程度。#p#分页标题#e#
(二)为了有效控制ERP系统实施过程中的风险必需开展审计
1.ERP的实施涉及企业流程再造风险理论上来说,ERP项目与BRP(业务流程重组)项目是两个相互独立的流动,但是在实施ERP的实践过程中,这两个流动往往是同时发生的,并且他们会互相影响,并且互相依靠,形成复杂的关系(ISACA,2003)。企业是一个在一定环境中把输入转变成输出的系统,这个系统可以分为三个部门,它们是运作系统、控制系统和信息系统等三个子系统。BRP的重组的对象是企业的运作系统,而ERP是企业的信息系统。显然运作系统和信息是相互影响的,不同的运作系统,对于信息收集、信息处理、信息存放以及信息检索等功能的详细要求就不同,信息系统的结构必需考虑到运作系统的特点。另一方面,信息系统结构和功能又反过来影响运作方式。例如:假如信息系统只能在每月的月底提供当月的进销存数据,企业就不可能每周对其出产和供给计划进行调整。大多数企业在实施ERP项目之前,都要对企业进行业务流程重组,其根本目的就是利用ERP系统的信息上风对企业的运作过程进行优化。在未使用ERP系统之前,企业各个部分的系统(好比:销售系统、采购系统、库存治理系统和财务系统)是相互独立的,而BRP就是将被各业务部分割裂开的功能整合起来,提供在线实时的信息集成,从而实现企业物流、资金流和信息流的三流合一,充分优化企业资源的利用。但是,在使用了ERP系统优化了业务流程和进步效率的同时,业务流程的改变也改变了整个企业的各个方面,好比说内部控制。传统的纸性审计线索消失了,有权访问业务信息的职员范围比以前更广了,任何主数据的改变都可能对其他业务产生影响,ERP系统的使用将改变原来企业的内部风险特征。这些新题目的泛起使得基于ERP系统的业务流程的控制体系需要相应的改变。假如分歧错误这些风险进行评估,就无法保证新的系统能成功地犹如我们预期的那样运行。
2.新旧系统间的切换风险所谓切换,是指用新系统替换原系统。切换并不是一件简朴的事情,不少企业都会由于切换的不成功,导致ERP系统不但没有产生效益,甚至使企业的经营产生混乱,带来不应有的损失。题目的原因可能一是ERP系统不能完全知足应用需求,使原有系统扔不掉;二是ERP系统本身的可靠性不足,使领导不放心,不敢抛弃原有系统;三是企业职员素质和治理基础工作未跟上,企业的实际情况无法适应提高前辈的ERP系统。由内审职员对系统切换前提和切换计划进行审计,可有效降低ERP系统切换的风险。
二、ERP系统实施审计的内容ERP系统实施审计应对系统实施的全过程进行监视,其审计内容主要包括下列各项:#p#分页标题#e#
(一)ERP项目的决议计划与规划审计企业的ERP项目是一个投入大,时间长,对企业将产生巨大影响的项目,企业在决定实施这一项目前应该有一个较长远的信息化规划。ERP的目标源于企业的战略规划,服务于企业的战略规划,是实现企业规划的手段和保证。企业在实施ERP的过程中,一般着重于实施过程中的风险因素分析,往往轻易忽视项目启动前总体规划的重要性。在对企业的ERP规划进行审计时,必需关注ERP系统的实施范围和实施内容是否符合企业发展的战略规划与内外部环境。在立项分析时有些因素是必需考虑的,诸如企业是不是到了实施ERP的阶段、企业当前最需要解决的题目是什么、ERP系统是否能解决、在财力上企业能不能支持ERP的实施、企业内部治理的适应性、行业应用状况、系统的本钱效益分析、对治理咨询公司的选择等等。项目的规划是否会导致投资分散、系统缺乏协调性以及不能适应企业发展需要等一系列的题目。众所周知,ERP项目实际上是一个“一把手”工程,内部审计职员作为一把手的顾问和助手,必需了解公司的高层治理职员是否对将要实施的项目有清晰的熟悉,并且他们对ERP系统的实施目标、复杂程度、收益和可能泛起的题目是否有较为一致的看法。
(二)IT技术方案与ERP软、硬件选型审计ERP系统功能将直接决定企业实施后的总体运行效果。审计职员应该重点关注选定的ERP系统是否同本企业贸易过程相符,软件提供商是否具备充足的行业应用经验。此外,厂商的研发能力、信誉、服务品质也都是必需考虑的,他们在不同的程度上影响着项目的实施及后期应用。一般来说,治理咨询公司有相对成熟的行业经验,他们可为企业的决议计划方案提供有益的参考。审计信息化CHINA COMPUTERIZED ACCOUNTING/27
(三)实施职员选择审计实施步队和实施职员对于ERP系统的成功实施至关重要。ERP实施咨询公司和企业的项目职员将是项目实施的重要组成职员。ERP实施咨询公司,必需对三个方面的知识有深刻的理解,即经营治理、信息技术和行业经验。审计职员应该对详细实施项目的咨询合作伙伴的行业经验、工作能力与职业信誉进行评估,这些是决定项目能否达到预期目标的枢纽因素。实施咨询公司是否拥有实施ERP系统工程相适应的科学、完善的服务体系,服务规范和方法论,实施咨询公司是否拥有ERP实施的成功经验和成功案例。对于跨国经营的企业,还需考虑咨询公司的全球范围内的服务能力。另外,审计职员必需清晰熟悉到项目团队的经验以及工作能力同实施的成功与否直接相关。因此,项目团队也是审计职员评估的内容,项目团队的组建除必需要求的行业经验外,项目团队工作方法、协调组织能力都是必需考虑的。除此之外,还必需评估团队成员在项目实施过程中的不乱性,不不乱的团队成员将会使实施过程受到严峻影响。项目实施职员的一个重要组成部门是企业的内部职员,他们包括企业的治理职员、业务职员以及技术职员。在评估企业的内部职员时,应该评估其是否认识企业的运作、是否具有提高前辈的治理理念和步队的不乱性,假如企业内部的实施职员常常变动、不能用心不乱地介入项目的实施工作,把实施项目视为外来咨询职员的责任而不是企业自己的工作,将直接影响到咨询职员与企业用户进行沟通以及知识和经验的传授,从而造成系统上线咨询参谋离开后、企业用户不会使用和维护系统的局面。#p#分页标题#e#
(四)实施合同审计一份指定具体的实施合同将有利于企业公道控制项目的实施本钱,并且将减少项目实施过程中的不合,促进项目的顺利进行。因此内部审计职员应该具体检查实施合同的详细条款。对于以下方面应该特别关注:(1)合同是否具有解聘条款,详细说明合同的终止前提。(2)在培训内部人员时,公司应明确划定其咨询公司应达到的目标,并在咨询合同中包括咨询成果的检修条款。(3)合同是否是对各个模块的的实施目标有明确的界定。(4)实施过程中的意外事件导致的本钱由谁来承担是否有明确的划定。
(五)业务流程控制的审计ERP实行的是流程化的治理,打破了原来职能部分的条块分割,实现了企业资源的同一治理和共享。企业的运行和治理在一定程度上已经交给了ERP系统来进行控制。这样一来,一方面导致企业所处的内部风险环境发生了变化,因为ERP系统的引入而变得更加复杂;另一方面,ERP系统的实施需要对原有的业务流程进行优化和重新设计,改变了企业的组织结构,这样一来内部控制体系会发生变化。这些变化可能对企业内部的整体控制体系的有效性产生负面影响。在这种情况下,就需要企业对基于ERP系统的枢纽业务流程的内部控制进行按期的审核,确认是否存在足够的有效控制以降低因为ERP系统的使用而带来的业务风险。内部审计职员需要利用风险评估手段重新确定企业中枢纽的业务流程的风险;对整个流程和控制的设计进行评估,确定这些控制是否很好地知足和支持终极业务目标的实现;对新流程前提下职责分离的评估,确保在整个流程中存在恰当的稽核点和控制点,对敏感业务交易要有足够的控制;评估控制方式是否合适,好比手工控制和系统的程序化控制是否搭配公道。
(六)项目实施进度审计应用和实施阶段是ERP项目中贯串时间最长的阶段。在这一漫长过程中,进行项目治理、控制项目进度、确保整个实施过程能够按照预计的时间表进行,对项目的成败至关重要。审计职员应该就项目计划中的风险(
这些计划包括时间计划,本钱与预算计划,人力资源与治理计划等)、项目实施计划的执行情况、本钱和时间的控制和实施文档的收拾整顿等进行评估。很多ERP实施项目在一开始就没有能够制定明确的、可行的实施计划,在实施过程中不能按时实现里程碑性的目标,造成项目终极中途而废或系统上线严峻延误。#p#分页标题#e#
(七)项目实施效果审计对实施效果的审计主要体现在:通过ERP应用,是否促使企业在治理水平方面有显著的改进、进步和立异,其详细体现是什么;通过ERP应用,是否促使企业基础数据的正确性和及时性的显著改进和进步;通过ERP应用,是否促使企业在治理信息的集成性、实时性、有效性及处理速度方面有显著的改进和进步;通过ERP应用,是否促使企业在治理方面能产生显著的经济效益。
三、结论
我国企业实施ERP成功率不太高,是由多种原因造成的,在ERP实施过程中进行有效的审计将大大降低实施风险。当然因为我国的实际情况,对ERP系统比较认识的审计职员还相对缺乏,我们应该加大这方面的人才培养,以应对企业对ERP系统的需求。