成OR不成的信息系统初审:我的一个内审案例
返回

影响内审成功的因素还是很多的,不但涉及到内审人员的专业水平、自身定位,还与企业的内部控制环境有着紧密的联系。起码要比外审的复杂一些。现就内审中的一个不算太成功的案例供分享,希望各位拍砖。

当时做内审负责人近一年,企业委托外部单位设置了一个信息系统,供生产和销售(含零售店统一使用)。企业是个民营的,大多的管理人员都是与老板一起打天下,基本都以销售为主。为此,对于企业的内部管理,特别是信息系统的管控几乎是空白。企业采用了外部设置与内部人员管理相结合的方式。

当时,委外信息系统已经开发了二年时间,在整个业务流程来说,基本已经运转起来了。只是时常听到基层人员反映,出错的情况比较多。为此,在年初制定了信息系统审计的计划。

根据审计程序,在审计开始前,将当月的行动计划报老板确认。出乎意料的是,他不置可否地说了一句,信息系统有什么可看的?这是内审的审计范围吗?对此,本人再次作了一些说明:系统控制方面的风险。最后他说,既然是计划,你们就做吧。

由于是首次进行信息系统的审计工作,于是,分兵二路,一路是从最基础的硬件方面开始检查;另一路是对系统数据衔接及设置方面进行抽查。

硬件检查方面:服务器无专人管理,单独放在一个小房间,里面很热,且灰尘密布;服务器硬盘空间过小,整个系统反应慢;各点的用户反应调取较大数据时,经常出现死机,对此也进行了证实;操作人员的操作水平较低、业务不熟练,未经过统一的培训。

软件检查方面:生成数据在生产与仓库的衔接未真正完成,均以人工补录;销售量与店内库存数据生成不正确;内部调货与销售混淆;管理方面所需要的数据汇集工作未予重视(均是零散的数据),对数据管理未提出建设性的措施;系统升级的管理过程只是软件公司和信息部执行,未进行抽点式的测试,导致经常出现数据差错甚至是与先前设计数出现冲突。

由于当时天气较热,销售旺季也即将到来,为使系统不影响正常的业务运营,审计部做了一个中期报告。就审计过程中所发现的问题进行了汇总报告。出乎意料的是,信息部对此报告未提任何异议,且当面认可了存在的问题,需要在后续工作中逐步改正。但老板方面,未得到真正的认可。

他认为审计部去检查系统是个多此一举的行为。硬件的好坏与审计有什么关系?灰尘多有什么关系?数据生成的问题会随着系统完善而改正的,没什么关系。为此,审计部对信息系统的审计工作就此终止。美其名曰:旺季到来了,审计部也要协助相关部门的工作,暂时就不要再审了,过了旺季再说吧。由此,信息系统审计工作停止。

郁闷是难免的,但还是要对自身工作情况进行总结,以下是审计部的自我反思:1、企业管理人员对信息系统的重要性认识不够,认为只是代替人工而已,没什么可以关注的;2、管理人员的自身素质不够,在企业未使用系统前,真正接触电脑的人几乎没有;而企业内信息系统的管理者是个学会计电算化专业的,操控系统确实是勉为其难了。上述二条就构成的信息系统的管理环境风险。3、信息部想要对系统进行改进,但由于管理层不懂系统,认为总是花钱而不太支持(导致信息部认可报告而管理层不认可);4、审计时机的选择存在误差,要不提前要不推迟,因为旺季的影响和管理层的认识二方面都存在问题;5、数据化管理的理念应该大力推进,不重视信息系统,主因还是对数据化的不重视,这对于后续的各项管控工作都会带来难度。上述各个方面均需要在日后提出理念,提升总体的管控环境。

一个月后的一天早晨,信息系统突然崩溃,所有业务均中止;管理方案是抽调所有办公室人员电话联系业务,销售部人员跑到各销售点协助业务,影响时间:二天。(后查证是服务器进灰尘了!很可悲啊。)

老板一周时间未与本人见面。只是在下一个周一时突然决定,以后的信息系统管理例会必须有审计部参加。原来,他这几天为此事专门下基层去了,了解了不少情况,对数据生成情况也有了进一步的了解。但本人未再对信息系统再进行进一步的审计,只是在会议中,不断地推动着一个又一个的信息系统发现点,算是逐步完善吧。

【来源:中国会计视野】

 
* 技术支持单位:浙江衡信教育科技有限公司 *