[案例分析] 这个企业怎么办??? from pgfish

显示全部楼层 · 2007-6-20 21:35:47

下面的案例由pgfish提供, 欢迎大家口水.
------------------------------------------------
好呀，我们就举个例子吧
例如，在这样一个企业
韩资或台资吧，在上海或苏州的制造厂
管理层非常敏感于生产进度，市场占有率，销售等情况
管理层并不了解SDLC（system develpoment life cycle）
工厂有自己的系统开发人员

有这样一种情况:
工厂的ERP有很多自己开发的reporting system，其更改与上线完全没有安全控制的概念，而是一味地追求效率
这些reporting system直接影响到财务报表，甚至管理层的决策，
这些reporting system以往曾经出现过错误
但是管理层并无在乎，因为管理层缺乏SDLC的常识，很难理解错误的原因，而且IT的人力资源有限，管理层无心增加人手，反正销售平稳增长，报表错误目前也没有实际地影响到公司的收入

问题：
有什么有力的办法可以帮助管理层认识到错误的影响，并且促使他们加强控制？
------------------------------------------------------------

千问 · 2007-6-20 21:35:47

从AUDIT出发
对于这个问题，我们很容易发现财务AUDIT与IT AUDIT的联系了。
实际上，除了IT企业的老总没有一个CEO去关心SDLC的概念。但是如果说到财务报表的准确性，管理层中的CFO或者负责财务的老总就不能袖手旁观了。
可能的做法是：
财务审计通过对于财务报表从科目和时间两个维度展开审计，SAMPLING，最后的结论是系统中的财务报表无法与最终的凭证等数据相匹配，而配合工作的IT审计从IT角度给出的解释是开发商在实施的时候没有采用SDLC，报表开发版本，质量，准确性无法保证。
在这个时候管理层就会自己或者责成IT人员开始pay attention on IT AUDIT和相关的方法。

千问 · 2007-6-20 21:35:47

it is told that：先了解系统的流程，然后在可疑之处，写一些CASE做测试，找到证据后再说话

千问 · 2007-6-20 21:35:47

管理层最关心的是：收入、利润、成本等
你可以先分析一下数据，告诉老板：现在Growth Rate of Revenue is 15%. But if we could make the IT better, it could be 30% or higher or he could reduce the cost by 10% percent.
结果如何？自然明了

千问 · 2007-6-20 21:35:47

最初由 hellowell 发布
[B]下面的案例由pgfish提供, 欢迎大家口水.
------------------------------------------------
好呀，我们就举个例子吧
例如，在这样一个企业
韩资或台资吧，在上海或苏州的制造厂
管理层非常敏感于生产进度，市场占有率，销售等情况
管理层并不了解SDLC（system develpoment life cycle）
工厂有自己的系统开发人员

有这样一种情况:
工厂的ERP有很多自己开发的reporting system，其更改与上线完全没有安全控制的概念，而是一味地追求效率
这些reporting system直接影响到财务报表，甚至管理层的决策，
这些reporting system以往曾经出现过错误
但是管理层并无在乎，因为管理层缺乏SDLC的常识，很难理解错误的原因，而且IT的人力资源有限，管理层无心增加人手，反正销售平稳增长，报表错误目前也没有实际地影响到公司的收入

问题：
有什么有力的办法可以帮助管理层认识到错误的影响，并且促使他们加强控制？
------------------------------------------------------------ [/B]
审计师应有如下作为：
1、在工作底稿和审计报告中充分揭示由于“曾经出现过的错误”而对业务决策所产生的影响，比如由于A/R Aging计算的错误，而导致对坏帐记提的错误。尽量Quantify这些错误，使得管理层能够清楚的读懂这些错误对Business的Impact。
2、应充分论证所发现的Weakness和结果间的因果关系，也就是说应论证是由于SDLC失控，导致了以上的错误。
3、充分收集这些Issue的证据，比如我们现在居然还没有一个Testing Environment，所以新报表不能进行充分的测试等。
4、在Close Meeting（或者pre close meeting）上对管理层表述该Finding，必要时出示收集到的证据。并提出改进意见。
企业应有如下作为：
本地的管理当局是否接收该Issue并落实到改进行动中并非完全由审计报告决定，更重要的是该公司对内部审计所制定的游戏规则。简单来说就是如何使用审计报告，如果该公司的内部审计具有很好的独立性，并且审计报告会对本地管理当局的Performance Review产生影响，那么，相信这个Issue是会被充分重视的。反之，当然结果就可想而知了。对内审的架构就不展开了，各企业会有所不同，但一定要保证审计的独立性。如果你看到一个公司在招内审（包括IS Auditor），你第一个要问的就是Report to谁，如果是Report toCFO，CEO，那就不用去了，肯定做不好。

千问 · 2007-6-20 21:35:47

最初由 jacky761229 发布
[B]
审计师应有如下作为：
1、在工作底稿和审计报告中充分揭示由于“曾经出现过的错误”而对业务决策所产生的影响，比如由于A/R Aging计算的错误，而导致对坏帐记提的错误。尽量Quantify这些错误，使得管理层能够清楚的读懂这些错误对Business的Impact。
2、应充分论证所发现的Weakness和结果间的因果关系，也就是说应论证是由于SDLC失控，导致了以上的错误。
3、充分收集这些Issue的证据，比如我们现在居然还没有一个Testing Environment，所以新报表不能进行充分的测试等。
4、在Close Meeting（或者pre close meeting）上对管理层表述该Finding，必要时出示收集到的证据。并提出改进意见。
企业应有如下作为：
本地的管理当局是否接收该Issue并落实到改进行动中并非完全由审计报告决定，更重要的是该公司对内部审计所制定的游戏规则。简单来说就是如何使用审计报告，如果该公司的内部审计具有很好的独立性，并且审计报告会对本地管理当局的Performance Review产生影响，那么，相信这个Issue是会被充分重视的。反之，当然结果就可想而知了。对内审的架构就不展开了，各企业会有所不同，但一定要保证审计的独立性。如果你看到一个公司在招内审（包括IS Auditor），你第一个要问的就是Report to谁，如果是Report toCFO，CEO，那就不用去了，肯定做不好。 [/B]