一个恢复审计人员的自白:为什么控制不良的企业软件对你的健康有害

让我先全面披露一下:我是一名正在恢复的审计师。我的职业生涯开始于旧金山的前德勤Haskins & Sells会计师事务所。免责声明完成后，您将理解我为什么对审计、合规、治理和控制业务充满热情。

审计和控制并不总是企业评估企业软件时最关心的问题。他们通常认为这些功能不像交易处理那样重要，不像财务报告那样明显，也不像分析那样吸引人。

公平地说，在《萨班斯-奥克斯利法》出台前的几年里，企业几乎没有必要深入研究其内部控制的有效性，甚至在技术上也不可行。由于每gb的存储和处理能力都有20万美元的限制，内部部署系统只能捕获日记账条目并将其累积到分类帐余额。

今天是一个不同的故事。在当前企业问责制增强的商业环境下，治理不再是事后才考虑的事情。如果没有适当的控制和治理，企业可能会遭受严重后果。

遗留金融供应商通过收购新技术并将其绑定到自己的堆栈中来应对这一需求。然而，这种“售后”方法带来了许多缺陷，可能会产生重大错误和风险。更详细地说，这种方法是:

• 效率低下。售后控制增加了流程的重量，而这些流程的设计从来不是为了处理负载，从而导致“灯光昏暗”的性能。因此，用户经常关闭系统控制并手动管理遵从性。
• 很难记录。遗留软件需要通过电子表格、书面描述和流程图手动记录控件，然后必须手动更新。
• 难以维护。固定控件模型从未将人与自动化业务流程完全连接起来，因此控制参数(例如哪些员工可以批准哪些流程)在发生人员和组织更改时必须手动更新。此外，必须为每个系统单独管理安全性，这使得维护变得复杂且成本高昂。
• 不全面的。由于工作流等概念是在遗留系统设计多年后才出现的，因此控制框架并不是系统设计的核心。必须为特定的过程单独建立控制。这种零碎的方法是不全面的，这意味着对于任何新的或调整的过程，控制和审计要求必须分开处理。

今天，企业系统必须在基础中内置控制概念和功能。在现有的企业系统上进行分层控制，并能够确保一个有效、全面、可记录、可维护和可审计的控制环境，实际上是不可能的。

这就是为什么我们在Workday有机会从一张白纸开始回到2005年非常重要。它允许我们在系统的基础上计划和建立治理和控制，并解决公司面临的挑战。我们是这样做的:

我们将审计和控制直接构建到Workday的结构中，并在工作流(我们的业务流程框架)之上，这样所有业务活动都可以在一个系统中建模和管理

把所有的东西都放在一个系统里金融，人力资源，以及控件—当系统与其用户之间出现断开连接时，消除了主要的控制风险，这是遗留系统的典型情况。隐私和安全嵌入到系统中，规定了每个人或角色可以看到和做什么。当人员或组织发生变化时，Workday系统知道并自动调整控制，不需要昂贵的、耗时的维护。事实上，我认为，除非整个企业系统对其用户(包括他们的角色、权限、批准限制、管理人员以及他们如何适应他们所参与的许多组织)有深入的了解，否则当今有效的法规遵循环境是不可能存在的。

Workday的现代内存数据架构使所有系统数据都可以实时访问，允许持续访问电子审计证据。此外，该系统是自记录的，因此记录了每一个流程更改，包括谁进行了更改以及何时进行更改。这使审计人员能够全面记录所有交易，简化了完成内部和外部审计所需的财务和业务记录的汇总。

审计人员可以直接在Workday中根据实时数据创建报告，因此信息始终是最新的。预配置的审计报告和仪表板还可以实时显示趋势(例如，当越来越多的员工提交超出政策范围的费用报告时)，以便快速解决任何问题。

控制并不总是最吸引人的讨论，但它是水果和蔬菜，而不是含糖的东西，为良好的健康提供基础，而治理和控制是长期支持您的组织的企业系统的基础。听听一位正在恢复的审计师的说法:这些是像Workday这样的现代系统与“大型ERP”遗留系统的区别所在。