计划审计部门 信息技术部 日期
审计项目 ERP管理审计
计划审计范围、重点及成员安排:
一、审计目的:经过对ERP管理情况的审计(包括系统对内部控制的设定、业务部门的执行、日常维
护情况、系统的安全管理等),寻找ERP管理的瓶颈,协助改善公司的信息管理,提高财务报告数据
的准确性。
二、审计范围:2004年1月至2004年7月,ERP系统在线运行的所有模块
三、成员安排:9人
四、审计时间:信息技术部初步了解:2004年6月18-19日两个工作日;相关业务部门外勤时间8月12
日-8月28日十二个工作日;内勤时间:9月1日-11日八个工作日。
五、审计重点:ERP系统的内部控制设计;ERP系统运行的执行性
ERP系统维护及系统安全情况
六、审计方法:
审计组分为四个小组,前期已先从质量信息技术部了解ERP系统的概况、了解作为维护和开发部
门对ERP系统的总结评价;对业务部门的审计分别从财务、生产和销售方面切入,通过访谈了解ERP业
务关键控制点的设置,随后对ERP业务进行抽查,以判断关键控制点是否设置并有效执行,同时了解
业务部门对ERP系统的问题发现、意见和建议。
通过对信息技术部和相关业务部门的访谈,了解ERP系统的维护情况。
判断ERP系统的安全情况,获取用户清单及权限列表,与人力资源部提供的人员岗位清单核对,
是否有权限设置不当的情况;了解系统硬件出现故障及出现故障以后的应急措施,避免因系统问题影
响业务运作。
内审部总经理意见:
年 月 日
2004/8/11
ERP管理审计
计划审计范围、重点及成员安排:
一、审计目的:经过对ERP管理情况的审计(包括系统对内部控制的设定、业务部门的执行、日常维
护情况、系统的安全管理等),寻找ERP管理的瓶颈,协助改善公司的信息管理,提高财务报告数据
的准确性。
二、审计范围:2004年1月至2004年7月,ERP系统在线运行的所有模块
三、成员安排:9人
四、审计时间:信息技术部初步了解:2004年6月18-19日两个工作日;相关业务部门外勤时间8月12
日-8月28日十二个工作日;内勤时间:9月1日-11日八个工作日。
五、审计重点:ERP系统的内部控制设计;ERP系统运行的执行性
ERP系统维护及系统安全情况
六、审计方法:
审计组分为四个小组,前期已先从质量信息技术部了解ERP系统的概况、了解作为维护和开发部
门对ERP系统的总结评价;对业务部门的审计分别从财务、生产和销售方面切入,通过访谈了解ERP业
务关键控制点的设置,随后对ERP业务进行抽查,以判断关键控制点是否设置并有效执行,同时了解
业务部门对ERP系统的问题发现、意见和建议。
通过对信息技术部和相关业务部门的访谈,了解ERP系统的维护情况。
判断ERP系统的安全情况,获取用户清单及权限列表,与人力资源部提供的人员岗位清单核对,
是否有权限设置不当的情况;了解系统硬件出现故障及出现故障以后的应急措施,避免因系统问题影
响业务运作。
内审部总经理意见:
年 月 日
第 3 页,共 10 页
项目阶段及内容 时间预算及人员分工
备注
阶段 项目内容 日期 时间 人员
计
划
阶
段
了解情况 2人
初步讨论 5人
编制审计计划 1人
下发审计通知书 1人
实
施
阶
段
一、整理ERP流程,访谈各业务
部门关键用户
各分组与业务部门联系沟通
,在-15期间完成访谈
,其间抽空对ERP流程进行
整理
1、终端营销事业部 组3
销售部、市场部、浙江分公司
客服、物流
2、制造事业部 组1
采购、终端生产、系统生产
3、财务部(包括终端) 组2
4、人力资源部 组4
二、访谈ERP维护小组各模块顾
问
SD 组3、组2
PP 组1
MM 组1、组3
FI、CO 组2
HR 组4
三、抽查业务执行性情况
包括抽查浙江或上海分公司
ERP业务执行情况
终端营销事业部 组3
制造事业部 组1
财务部 组2
人力资源部 组4
四、审计信息技术部对ERP系统
的维护、管理情况
组1
五、项目组沟通交流,汇总审计
发现
全体 项目组每日应碰头沟通交流
六、审计结束交流会 各组组长
同信息技术部召开,之前应
先与各业务部门充分沟通
报
告
阶
段
分析复核审计资料 全体
撰写审计报告 全体
第 4 页,共 10 页
备注:
项目组成员按部门进行配合分组如下:
序号 成员 负责人 涉及部门 涉及模块
1 2人 ××
信息技术部、制造事业部-生产部、制
造事业部-采购部
PP、MM
2 3人 ×× 财务部 FI、CO、SD
3 4人 ×× 终端营销事业部 SD、MM、客服
4 2人 ××
人力资源部 HR
项目组长: 内控经理: 内审部总经理:
项目阶段及内容 时间预算及人员分工
备注
阶段 项目内容 日期 时间 人员
第 5 页,共 10 页
备注
各分组与业务部门联系沟通
,在-15期间完成访谈
,其间抽空对ERP流程进行
整理
包括抽查浙江或上海分公司
ERP业务执行情况
项目组每日应碰头沟通交流
同信息技术部召开,之前应
先与各业务部门充分沟通
第 6 页,共 10 页
项目组成员按部门进行配合分组如下:
涉及模块
PP、MM
FI、CO、SD
SD、MM、客服
HR
项目组长: 内控经理: 内审部总经理:
备注
第 7 页,共 10 页
审计重点 审计目标 审计目标细分
ERP系统内部控制设计
了解ERP系统内部控制设计是否
合理,是否有效地控制了业务风
险
ERP系统运行的执行性情况
各业务部门是否按照规定执行ER
P系统,通过ERP系统运行的业务
结果是否正确
确定输入控制是否有效
应当通过ERP系统执行的业务是否是
否遵循规定,从ERP系统中执行
ERP系统维护情况及安全管理
确定系统运行、维护的有效性
人员技能:可操作ERP系统的人员是
否胜任
系统性能
系统维护
了解是否建立了安全管理的机制
硬件设施、网络设备的维护措施
第 8 页,共 10 页
数据安全
人员资格:可进入ERP系统的人员是
否经过了适当的授权
ERP系统维护情况及安全管理
了解是否建立了安全管理的机制
审计重点 审计目标 审计目标细分
第 9 页,共 10 页
审计程序与审计方法
·审阅与ERP相关的业务流程,
标记关键控制点
·访谈ERP维护小组各模块顾问
,了解各模块的主要业务流、关
键控制点设置及涉及部门
·访谈各业务部门关键用户,了
解本部门应用ERP系统前后的区
别,本部门通过ERP系统运行的
详细业务及其流程、风险情况,
应设置哪些关键控制点,及实际
设置情况
·对比上述三项,从内部控制与
风险角度判断是否存在内部控制
设计缺失情况
·统计本部门ERP数据入口,了
解该入口录入的数据情况
·了解系统采用何种方法核实录
入数据的准确性,如系统未内置
该功能,是否有补偿控制措施
·通过访谈了解是否存在不通过
ERP系统执行业务的情况,如有
,取得其相关凭证,查看是否对
关键控制点进行了控制
·获取所有业务记录清单,审阅
是否存在不通过ERP系统执行的
情况,并获取相关凭证,了解执
行经过及其控制措施
·是否制定了岗位标准?如何核
实?
·抽查部分岗位,核实其人员是
否达到标准要求
·了解系统可容纳的最大用户数
量,及实际终端数量,有无解决
高峰时间登录用户超过系统容量
的措施
·是否制定了系统维护计划?
·通过访谈了解是否发生过突发
事件,事件经过、原因及相关部
门采取的预防与改进措施
·了解是否发生过系统失效的突
发事件,如有,了解其经过并分
析原因
·是否有硬件、网络设备的年度
维护计划
·是否有突发状况处理的预案
·是否有硬件设施的物理接触限
制措施?有无记录?
第 10 页,共 10 页
·了解系统的数据存取方式,是
分散还是集中式?分散式如何保
证每个分工作站的数据安全及各
工作站之间数据的一致性?集中
式能否保证高峰时段的性能?
·是否建立了数据安全方案,有
无定期备份计划
·了解防范是否有针对通过网络
非法进入系统的防范措施
·系统管理员/程序编制员能否
访问、修改数据?
·是否建立了ERP岗位权限方案
?是否经过适当的审批?
·取得ERP系统中所有操作人员
及权限列表,与人力资源部提供
的岗位列表核对,是否存在授权
不当的情况
审计程序与审计方法
