随着信息技术的快速发展和国家战略政策的不断推进,企业的业务和财务工作越来越依赖各种信息系统。信息系统完善与否,直接影响到企业业务数据与财务数据质量,进而影响企业整体的运营与管理。自党的十九大提出“以信息化驱动现代化,加快建设数字中国”的目标后,越来越多企业开始寻求“量身定制”的系统开发项目以实现各种流程及相关控制的线上化、自动化和数据完全电子化。信息系统审计通过审查在系统开发、获取与实施过程,并对此进行评估与提出改进意见,增加系统的可依赖性,确保系统能满足企业的经营目标,提高运营效率,同时更好地管控信息系统风险。
目前主流使用的ERP系统,如SAP,Oracle,IFS等系统都可以整合基本的业务功能,且具有高度的扩展性,使得公司部署产品或服务变得轻而易举。然而,这些成熟的ERP系统需要通过供应商或专业且有丰富经验的第三方服务商进行实施,并协助对终端业务用户进行培训。因此,一些大型跨国企业和上市公司,如友邦保险、海康威视、阿迪达斯等均偏向外购这些成熟供应商提供的ERP系统,从而实现数字化转型。而自开发的信息系统也许可以更好地切合业务需求且价格更经济,但系统稳定性、控制风险和后续运维方面都需要更多的关注及人力投入,比较适合中小型企业。
结合多年丰富的系统开发项目实施与管理经验,对通用的信息系统开发一般流程和标准进行了归纳与总结,按照系统各个阶段任务侧重点和一定的规则和步骤,划分为五个阶段:系统规划、系统分析、系统设计与开发、系统测试与实施、系统运行与维护。信息系统审计应当贯穿于系统上线的全流程。在整个项目管理的生命周期中,IT审计师通过审查现有的标准与流程,分析控制环境,评估开发过程中的关键控制点并审查其有效性,确保系统安全、准确、有效与可靠的运行。
信息系统审计将为系统开发项目管理提供有效的控制及保障,包括:在项目开发过程中的关键节点,为管理层提供对项目的进度、质量和实现预计目标的独立评估;在开发周期中,为管理层提供业务流程的内部控制的评估与建议,以降低后续适应流程的成本,从源头上规范相关控制,降低相关风险。在系统上线前设计并满足流程审计的目标,并将集成计算机辅助审核技术(CAATs)作为应用程序设计的一部分,有效减小相关风险。
1系统规划阶段
系统规划阶段主要是解决要开发的信息系统“是什么”的问题,即为什么要创建新的信息系统,与老系统相比,新系统的意义是什么;目前主流使用的信息系统哪些优点,新系统与这些系统相比优劣何在。一般来说,新系统可能可以简化业务流程,开发新的功能模块,增强以前缺少的任何控制,并降低间接费用,从而从总体上提高效率和运营效益。系统规划阶段的核心即可行性分析,包括技术可行性,法律可行性,经济可行性等多方面内容。
具体来说,IT审计师协助管理层独立审查信息系统成本效益分析的有效性,检查目前的成本效益分析中是否考虑了除直接归属于新系统开发的各种耗材,人员薪资,原材料等的成本外,还包含了间接归属系统开发过程中的时间,财力,人力,物力等因素。此外,在审查效益测度分析时,IT审计师应结合企业运营的实际情况,使用定性和定量的双重方法,判断投资回报,包括成本降低,库存积压减少,流动资金周转加快,销售利润增加和人力减少等方面。
在审查可行性分析的过程中,IT审计师除考虑成本效益外,同时应将一些影响企业整体发展的维度纳入考量,比如:新系统的建立是否有效降低了企业成本尤其是时间成本,提高了企业的效益;是否成为组织核心竞争力的主要组成,是组织获得竞争优势的工具;是否改善了组织与市场和客户紧密联系的手段和可能;是否对企业的规章制度,代码规范等基础管理产生正面的促进作用,为企业管理提供有力条件。
2系统分析阶段
系统分析阶段IT审计师的主要角色为评估系统需求的全面性,完整性及相关控制的有效落实,确保所定义的系统符合用户的实际业务需求。具体任务包括:判断项目的发起和成本是否经过适当的授权审批,审查系统的概念设计是否符合用户需求,评估相关系统分析文档是否定义了适当的控制机制;若涉及第三方供应商,IT审计师还需注意是否存在涵盖项目所有范围及用户需求的招标书等。
3系统设计与开发阶段
系统设计与开发阶段主要解决开发信息系统“怎么做”的问题。核心即通过对信息系统的架构,高层结构,程序的运行模式,调用关系,系统划分,接口,代码,输入/输出,模块,数据库、网络等进行整体详尽的设计与审查。系统设计阶段IT审计师的主要角色为确保系统软件的品质,符合用户需求及系统控制的全面性和有效性。具体任务包括:评估系统流程图是否符合总体设计,确认所有的变更均经过适当的授权批准,判断系统中的输入、处理、输出控制是否适当,审查编程规范的一致性,确认关键计算及处理程序的正确性等。
4系统测试与实施阶段
系统测试与实施阶段主要解决开发信息系统“如何落地”的问题。核心即通过编码实现程序结构的调试并通过测试发现系统上线前的问题。测试完成进行正式的系统验收及切换后即完成整个系统实施阶段。系统实施阶段IT审计师的主要角色为确保开发中的遗留问题和错误得到及时纠正,保证信息系统的成功及可靠运行。具体任务包括:检查用户测试的相关文档,检查错误报告,进行访问测试,判断系统安全措施是否按设计要求有效执行,审查周期性作业处理如年末报告,审查系统和终端用户文档,判断其完整性与正确性,询问终端客户等。
5系统运行与维护阶段
系统运行与维护阶段主要进行对系统错误的维护,开发新功能的维护,适应新的运行环境的维护及预防将来可能出现问题的维护。系统运行与维护阶段IT审计师的主要角色为确保系统能始终保持对业务目标的支持,及时反省存在的问题并得到解决,确保系统的成本效益目标。具体任务包括:判断系统是否达到预期的需求和目标,审查系统中各种资源的利用率,检查系统内部控制机制是否按设计执行,指出系统改进和扩展的方向等。
