审计软件开发-审计实训软件
公司花了几百万买了个软件,今天老板叫我们审计去看看软件怎么样,该怎么审计呢,怎么着手好?
这是很多内审会提的问题,到底软件怎么审计。针对工程有专门的工程审计人员,而软件这一块的审计很少。这是不是涉及到编程,需要IT专业的审计人员,要不要请cisa人员来审计。
在《零基础学内部审计》这本书中,我也曾提到软件审计,但限于篇幅,没有具体展开,下面我们谈谈软件审计。
在回答这个问题之前,我们先谈谈审计项目。其实任何一项审计不会针对某一项事物做审计。就像有人问我,会计凭证审计,这怎么审计,对吧。这范围太大了,你需要有选择性地进行审计,按照业务流程去审计。
通常,一款软件的审计包含四个方面:该软件的招标采购过程的规范性,业务需求调研的充分性,验收的过程的真实性,上线后达成的预期效果满足性。
一、软件采购
一般公司软件采购很少,当突然提出要采购软件的时候,采购人员会推托自己不专业,让IT人员去负责寻找供应商。因为百度推广这个原因,导致了一些皮包公司也摇身变成了推荐的高大上企业。
在采购某软件的时候,本应招投标的,但实际是三家比价。在检查资料时,审计人员对其中一家公司产生了怀疑,因为通过企业信用网查不到这家公司的任何信息。询问负责寻找的IT人员,他的回复是百度找到的,都是在第一页找到的供应商。通过投标方提供的展示ppt以及百度查找该投标方的信息,并且通过打电话联系投标方,最终确认其就是家皮包公司。本身就不具备软件开发的能力。审计人员怀疑其是通过中。另外一家也存在这种问题。这么说来,只有一家投标方是符合要求的。
有一些软件是通过代理商销售的,其本身是不直接销售的,这时更加搞笑的事情来了。
当时我们查一款设计软件的采购,它是一块国外软件,在国内销售只通过渠道,这一块审计人员已经在电话联系厂商时已经确认。然而分析招投标资料,只有一家代理商,负责软件采购的那位给的理由是,我们是向多家代理商进行了询价,但因为各代理商之间已经相互通过气,结果报价的只有第一家联系的供应商。审计人员在软件商的网站找到代理商的清单,尝试以本公司的名义进行询价。结果对方都声称是第一次接到报价信息,通过qq报价,审计人员发现报价要比原中标价低20%。
通过对第一家报价书的内容进行阅读,审计人员又发现了,软件商提供了额外的功能模块和许可。通过与设计部沟通,而额外的功能模块是不需要的,为了购买额外的功能模块,花了20万。另外还有软件授权这一块,因为这一款软件是供设计部门设计图纸的软件,设计部门人最多的时候才15人,而软件许可买了50个,按照每个5000元,这样就多支付了17.5万元。
还有一个是IT经理人为干扰招投标。我们当时查一款OA软件,最后中标价为80万。招投标的,投标的一共8家单位。然而这8家单位,有7家不在OA软件排名50名之内。
通过第一轮技术谈判,通过打分,已经将A供应商剔除掉。结果到第二轮商务谈判的时候,A进入了。问负责招投标的人员,是IT经理让A进来的,因为A曾经提供过C软件。这个是理由么,其实不是。在商务谈判阶段,A又是最后一名,这时应该剔除了。IT经理又去说情了,说这个情况已经和总裁汇报过了,因为A提供的C软件质量不错,就把剩下的几个投标商给剔除了。
结果呢?这个软件开发了1年,成果只交付了40%,而款项全部付清。审计人员向人事部调取了IT经理的履历,查实其曾在A供应商就业。通过网络查询IT经理的履历,发现其与A供应商的B是同事,曾一起并参与多项软件咨询开发。
然而审计人员在对合同检查时,发现最后签A供应商的合同,签名为D供应商,而D供应商远在十万八千里,D供应商的项目经理仍旧为B。向IT经理询问此事宜,左右而言他。通过与A供应商本地办事处的联系,其解释并没有参与招投标。在办事处取得总部的人力资源部联系方式,了解到B已经在一年前离职。
好嘛,这就是B离职后开了家公司,然后假冒A供应商来招投标。通过IT经理的撮合,达到中标的目的。然后B这家公司已经不具备软件开发的能力。
更可笑的是,通过百度得到的信息,IT经理所具备的证书均为野鸡证书,真不知人力资源是如何招聘进来的。
接下来,为了验证供应商是满足招投标需求的,他们会去供应商推荐的已经实施成功的企业去考察。明明A有同行业软件的开发经历,考察后的评语是什么、什么不合适本企业,不能用等等。而B根本没这个软件,考察后的评语,很好很不错。
当然软件的招投标审计还会有很多内容。说好是评标的其实参与的没几个,而且审计人员去调查,都会说根本就不知道这个软件,而且软件介绍的时候,根本没听到,等打分的时候审计软件开发,才被叫过去。各部门的分值还不一样,IT部门占40分,其他6个部门占60分,这样等于IT部门说了算。这个具体招投标审计可以翻阅《零基础学内部审计》,这里就不细说了。
二、业务需求调研
软件的功能,其实就是将手工的内容变成电子化、无纸化操作。在调研阶段,业务部门就需要配合软件商提出自己的需求,告诉他们实际的业务流程,而不是全部都交给软件商。拿仓库软件来说,如果自有委外加工、报废修复以及自制流程,但是没有告诉软件商。好了等系统上线的时候,发生这些业务的时候,系统账上无法处理了。
怎么办?重新找软件商,加钱审计软件开发,一个工作时3000元,这怎么受得了。
不同的流程,单据都要区别清楚,而不是统一用一个单据。还是以仓库管理为例,本来有仓库调拨、租入、租出、采购入库、委外加工入库、委外技工入库,结果统一使用出库单、入库单。仓库间调拨,就不能用仓库间调拨单么?
物料代码与计量也是需求调研时需要关注的,系统上物料的计量是以两种计量单位来计量,一种是重量,一种是数量,由于调研时未说明清楚,系统上将主计量单位设置为重量,那么数量输入进去之后,通过转换率转换为件,这样就存在两种问题。
1、物品只存在件数无重量,系统默认需要输入重量,这样仓库为了录入就将件数录入到重量中。这导致系统汇总出来的重量不准,需要手工将数据导出,将只计量为件数的数量从重量调
整到件数。
2、由于重量与件数的转化率,无法整除,导致了应该以整数计量的物品存在小数计量,比如0.0007件,实际上这是系统设置问题,应该为零,而不是系统上看到的0.0007件。这些都需要手工去处理,很麻烦。
等等,这些问题都是审计人员需要根据企业实际情况去分析了解的。
三、验收
在于软件商签订合同的时候,软件商已经把软件功能等等已经说明了。你只要按照他的说明以及合同约定的开发进度与付款时间进行核实即可。这涉及到的内容很多,开发进度、款项支付、后续开发等等。
先谈谈开发进度,以OA系统开发为例,原计划是安排5个部门一共50个流程,还包含下属的全部子公司,结果到了验收的环节,确实也是5个部门,50个流程,但是具体难易程度是不一样的。
我们在审计OA软件的时候,就发现很多问题。本来是部门内的一个流程,他将流程进行了细分,变成了6个流程。而这只需要通过下拉菜单就行,他偏偏变成好几个流程。本来应该包含财务部门多个流程,结果因为开发难度的“太大”,改成仓库部门的某几个流程,而这几个流程在ERP软件中已经包含进去,不需要开发。按照合同包含全部的子公司,结果呢,只开发了总部几个流程,子公司的让公司IT部门自行去推广。奇怪的是实际款项已经全部支付。
因为财务部门的流程没上OA系统,又和软件公司开发了二次开发合同,而这合同的款项加上上一个合同的款项,已经超过一个正常的OA软件的市场价格。
在验收的时候,其实还存在一些问题,但是验收的人员认为不是什么问题,导致了后续功能开发的产生,比如某流程上设置不当,而自己的IT人员不专业(即使专业,也装不懂。)。而当时合同上约定是3000元一天,实际是5000元一天。
借口很简单,都替软件公司想好了,这个功能很复杂,开发起来起码好几天,对方只开了1天,要5000元,很正常。
四、软件上线
很多人以为,软件制作好之后,这个项目就结束了其实不是,这涉及到软件的上线。系统上线之后,一定要并行一段时间,并定期核对手工与系统的差异。如果是旧系统转为新系统,那么就是系统与系统之间的数据差异,这是一定要做的。
在审计仓库库存时,审计人员发现某仓库系统账仍保留一批物资,但是实物已经没有。审计人员怀疑存在内盗,但是通过对出入库单据已经手工账核对,发现手工账与实物一致,但是与系统账存在差异。通过与仓库统计沟通,统计反映,系统上线的时候,就发现数据一直不一致,但是没人告诉他该怎么办,他就一直没调整。
通过调取系统上线的数据,并导出系统的期初数据,通过and和vlookup函数,结果发现了这一批错误录入的数据。
询问之后,了解到当时数据审核人员是闭着眼睛点的,根本没将原始数据与系统数据进行核
对。
除了数据并行之外,还有一些问题也是审计人员可以关注的,所以郑大叔做了下面这个表格,供各位参考:
关于系统上线后存在的问题,我就不一一例举了。其实有一种偷懒的方式,你只要找各部门负责人,让他们安排人员整理出软件在使用中存在的问题即可。