IT审计思维：从理论、到软件再到应用，以ERP为例

当提到ERP的时候，大家的第一反应是什么呢？

无论是做IT审计的朋友，还是软件厂商的朋友，或是甲方信息化部门的朋友，可能都会给出一个标准答案：

ERP，企业资源计划，一个软件，一个让人又爱又恨的集成管理软件。

但是，ERP除了作为一个软件之外，又是什么呢？

以前在《管理信息系统》这门课上，我第一次听到ERP概念的时候是陌生的，甚至连它是个软件都不知道。

但是，当时任课老师给出的关于ERP的三个概念，我记了很多年。并且每一次在工作中的时候都在提醒我，当我们接触一个概念的时候，除了要记住狭义的概念之外，还要了解广义的外沿。

所以其实ERP是有三个层次的概念在的——

第一层叫做ERP理论；

第二层叫做ERP软件；

第三层叫做ERP系统。

那么问题又来了，“ERP软件”和“ERP系统”有区别吗？

有，当然有。

但是我们要先从理论开始讲起。

（备注：下文只是以ERP为例，其实换到任何一个系统上都是一样的。）

01

ERP管理理论

ERP理论，企业资源计划，一种综合性的企业管理理论，强调对企业内部和外部的资源进行优化配置和提高利用效率。包括集成管理理论、供应链管理理论、客户关系管理理论、财务管理理论、生产管理理论等多个理论的集大成者。

简单来说，就是在有ERP软件之前，肯定是先有管理需求，然后才有软件开发。那么如何理解软件背后的管理需求以及治理原则，在IT审计的过程中其实是很关键的。如果一个系统被采购或者被开发完成后，实际的功能并没有达到其前置的管理目标，那么相当于从顶层设计就出了问题。

这与IT审计有关系吗？当然有。

IT审计有个职能叫做IT绩效评估，开发系统的这个成本花出去了，最终没有达到管理目标，甚至存在软件大面积闲置的情况，这种场景下IT审计师是有责任提示风险的。

02

ERP软件

ERP软件，一种集成管理软件，包括财务、人力资源、采购、销售、库存管理等多个模块，可以提供全面的企业信息管理。

从软件这个层面来说，软件，就是软件本身，是静态的，有一定功能的集成软件。再具象化一些，就是软件厂商的售前人员，给甲方CIO宣讲的那个产品，叫做ERP软件。

那么“ERP软件”本身可以被称为“ERP系统”吗？

其实不能。

但是为什么我们实际场景中又经常认为这是同一个概念呢？

因为在实际场景中，ERP软件和ERP系统其实出现的场景几乎是分不开的。

03

ERP系统

ERP系统，是硬件、软件、管理员、用户、系统配置、系统流程等多要素综合起来的有机结合体。就像生态系统一样，信息系统也是有生态的，从最开始的选型、立项、定制开发、实施和上线，到系统基础配置、基础档案、基础流程的搭建，到管理员有序的管理与运维，到每一个关联用户在自己的角色上承担关键职能。其中每一个环节都是环环相扣的。

所以为什么我们在做IT审计审查的时候，要关注应用控制，而不是直接去审厂商的软件本身是否可靠呢？

为什么不同的公司使用同一个厂商的系统，但是合规性却大相径庭呢？是软件本身存在缺陷吗，还是信息系统生态搭建出现了问题呢？

总的来说，今天是想跟大家分享在针对某一个软件的IT审计程序设计时，不仅仅要盯着软件本身的功能和逻辑是否有效，更要“上查”到与软件相关的治理和管理目标是否有达到，也要“下查”到软件应用层面的生态系统是否良好运转。只有这样，才能最大程度降低风险。

希望IT审计人共勉~