首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

IT审计思维:从理论、到软件再到应用,以ERP为例

当提到ERP的时候,大家的第一反应是什么呢?

无论是做IT审计的朋友,还是软件厂商的朋友,或是甲方信息化部门的朋友,可能都会给出一个标准答案:

ERP,企业资源计划,一个软件,一个让人又爱又恨的集成管理软件。

但是,ERP除了作为一个软件之外,又是什么呢?

以前在《管理信息系统》这门课上,我第一次听到ERP概念的时候是陌生的,甚至连它是个软件都不知道。

但是,当时任课老师给出的关于ERP的三个概念,我记了很多年。并且每一次在工作中的时候都在提醒我,当我们接触一个概念的时候,除了要记住狭义的概念之外,还要了解广义的外沿。

所以其实ERP是有三个层次的概念在的——

第一层叫做ERP理论;

第二层叫做ERP软件;

第三层叫做ERP系统。

那么问题又来了,“ERP软件”和“ERP系统”有区别吗?

有,当然有。

但是我们要先从理论开始讲起。

(备注:下文只是以ERP为例,其实换到任何一个系统上都是一样的。)

01

ERP管理理论

ERP理论,企业资源计划,一种综合性的企业管理理论,强调对企业内部和外部的资源进行优化配置和提高利用效率。包括集成管理理论、供应链管理理论、客户关系管理理论、财务管理理论、生产管理理论等多个理论的集大成者。

简单来说,就是在有ERP软件之前,肯定是先有管理需求,然后才有软件开发。那么如何理解软件背后的管理需求以及治理原则,在IT审计的过程中其实是很关键的。如果一个系统被采购或者被开发完成后,实际的功能并没有达到其前置的管理目标,那么相当于从顶层设计就出了问题。

这与IT审计有关系吗?当然有。

IT审计有个职能叫做IT绩效评估,开发系统的这个成本花出去了,最终没有达到管理目标,甚至存在软件大面积闲置的情况,这种场景下IT审计师是有责任提示风险的。

02

ERP软件

ERP软件,一种集成管理软件,包括财务、人力资源、采购、销售、库存管理等多个模块,可以提供全面的企业信息管理。

从软件这个层面来说,软件,就是软件本身,是静态的,有一定功能的集成软件。再具象化一些,就是软件厂商的售前人员,给甲方CIO宣讲的那个产品,叫做ERP软件。

那么“ERP软件”本身可以被称为“ERP系统”吗?

其实不能。

但是为什么我们实际场景中又经常认为这是同一个概念呢?

因为在实际场景中,ERP软件和ERP系统其实出现的场景几乎是分不开的。

03

ERP系统

ERP系统,是硬件、软件、管理员、用户、系统配置、系统流程等多要素综合起来的有机结合体。就像生态系统一样,信息系统也是有生态的,从最开始的选型、立项、定制开发、实施和上线,到系统基础配置、基础档案、基础流程的搭建,到管理员有序的管理与运维,到每一个关联用户在自己的角色上承担关键职能。其中每一个环节都是环环相扣的。

所以为什么我们在做IT审计审查的时候,要关注应用控制,而不是直接去审厂商的软件本身是否可靠呢?

为什么不同的公司使用同一个厂商的系统,但是合规性却大相径庭呢?是软件本身存在缺陷吗,还是信息系统生态搭建出现了问题呢?

总的来说,今天是想跟大家分享在针对某一个软件的IT审计程序设计时,不仅仅要盯着软件本身的功能和逻辑是否有效,更要“上查”到与软件相关的治理和管理目标是否有达到,也要“下查”到软件应用层面的生态系统是否良好运转。只有这样,才能最大程度降低风险。

希望IT审计人共勉~

  • 发表于:
  • 原文链接https://page.om.qq.com/page/OHZA_ONegL-nbd_BCgcDuu2A0
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券