国外SAP系统审计思路与经验启示

SAP系统是利用现代信息技术,对企业人、财、物和信息资源进行统一集成管理的平台,通常包括销售和分销 SD、物料管理 MM、财务会计 FI和人力资源 HR等子系统。SAP系统的实施应用,在提高组织运营效率的同时,也带来内部控制重点的转移,并引发新的IT控制风险。相应的,SAP环境下的内部或独立审计的流程、内容和技术方法都会发生改变。对信息系统风险进行分析通常成为整个审计活动不可缺少的一部分,调阅SAP系统的业务流程设计文档、操作手册等文档,利用系统测试、计算机辅助审计技术等方法成为获取审计证据的常见形式。本文通过总结美国信息系统审计协会(ISACA)与澳大利亚审计署(ANAO)的国际经验,进而构建我国SAP系统审计框架,为相应实践提供可操作的参考。

一、国外SAP系统审计经验

(一)ISACA的SAP系统审计经验

国外SAP系统审计思路与经验启示 图1

ISACA是作为独立的外部审计组织,已开展多年的企业SAP系统审计业务。ISACA通过发布专门的SAP系统审计指南《Security,Audit and Control Features》来指导具体审计过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息。

1. 审计流程。ISACA将审计流程分为事前检查阶段、初步审计阶段、详细审计阶段与报告阶段。事前检查阶段审计人员通过查阅系统开发与设计阶段的重要文档、观察数据库与应用程序服务器运行环境、评价备份与恢复计划有效性等措施了解企业。在初步审计阶段识别SAP系统的运行环境与关键控制。整个审计流程中最重要的阶段为详细审计阶段,根据组织的关键业务流程对具体系统应用控制进行实质性测试以判断相关业务的处理逻辑是否正确。在进行具体业务循环审查后通过分析控制成熟度,使利益相关者认识到组织现有控制水平与最佳实践的差别,体现内部控制的建立与优化。

2. 审计方法。SAP系统环境下仅依靠传统的审计方法如访谈法、观察法、文档查阅法来评估风险与控制显然是不充分的。随着系统内部信息资源量迅猛增加,获取审计证据的手段也面临革新。ISACA在实务中经常使用以下几种审计技术:

(1)数据挖掘技术。数据挖掘能够探测控制薄弱点并提供具体信息,从庞大的数据中发现有特殊意义的“知识”,其最大的优点是能够及时取得充分可靠的审计证据,降低审计风险。数据挖掘工具种类繁多,从经济实惠的通用工具Microsoft Access、Excel到价格昂贵的专门工具如Audit Control Language(ACL)、Interactive Data Extraction and Analysis(IDEA),满足了不同审计需求。

(2)连续审计技术。连续审计技术借助于自动执行的程序实施数据抽取和分析,使审计人员在事件发生的同时掌握可靠的报告信息,通过对嵌入式审计模块和连续审计代理技术的运用能实现对数据的自动化截取与处理,有效保证审计信息的时效性。

(3)数据库活动监控技术。数据库活动监控技术(DAM)对后台数据库数据提供主动监控功能,避免问题数据的传输,并且能够及时通知事件相关用户。DAM节约了在数据服务器上的花费,加快了处理速度。

3. 审计内容。ISACA从组织控制环境、风险评估、控制活动、信息与沟通、监管的角度出发对企业收入循环、支出循环、Basis开展了一系列审计活动。

(1)收入循环。收入流程中主要评价主数据维护、销售订单处理、发票处理和现金收据处理等环节控制手段的强健性,其具体内容有:对主数据的变更操作是否合理、完整、准确;是否将主数据创建与变更的职责进行了分离。

(2)支出循环。支出循环中除了对主数据维护保持同样的谨慎态度外,还应在采购流程、支付流程上重点关注,如是否对输入、变更、取消、审核、支付供应商款项的职能进行职责分离;是否只对已接收货物或服务支付款项等。

(3)Basis。Basis是企业安全有效运行SAP系统的基础,包括系统应用程序安装、完善、运行、安全等内容。比如审查是否限制对Implementation Guide的访问、是否恰当设置系统参数以满足组织环境的要求。

(二)ANAO的SAP系统审计经验

国外SAP系统审计思路与经验启示 图2

与ISACA的独立审计不同,ANAO作为政府审计机关主要对政府部门开展SAP系统审计。澳大利亚各政府部门财政资金收入的80%与支出的70%都通过SAP系统运作,因此SAP系统的安全、可靠和有效运行对于政府部门的正常运转非常重要。为此,ANAO颁布了《Security and Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指导手册,通过风险评级与流程控制保证了SAP数据流动过程的完整性、正确性与安全性。

1. 审计流程。ANAO的SAP系统审流程分为审计计划阶段、审计实施阶段、审计报告阶段和审计后续阶段。审计计划阶段初步了解被审计单位环境与内部控制制度,对关键模块的控制风险进行分级处理。审计实施阶段通过熟悉业务流程与系统文档,结合配置手段对系统数据执行各项实质性测试。在出具最终审计报告之后,定期进行跟踪审计保证对审计对象的适时评价、持续监督和及时反馈。

2. 审计方法。

(1)系统测试法。ANAO直接调用SAP系统的t-code代码查询获取数据,比如系统内部各类预定义的各种报表,通过对SAP系统产生报表的审阅,能够侦查系统异常情况或控制漏洞,便于发现违规行为。

(2)嵌入式审计模块法。AIS(Audit Information System)是嵌入在SAP系统中的审计模块,包括系统审计与业务审计两个子模块。系统审计模块主要用于管理活动与制度,为用户提供SAP安全控制报告与审计轨迹。业务审计模块便于审计人员编制资产负债表,并执行总账、应付账款和应收账款等关键账户的查询功能。

3. 审计内容。政府部门与企业所用SAP系统模块不尽相同,ANAO的SAP系统审计主要关注采购与应付账款、总账、人力资源管理等业务流程。

(1)采购与应付账款审计。采购流程包括采购申请、供应商选择、采购订单处理、货物收据、发票处理、支付处理等子流程,与应付账款管理密切相关。对该模块重点关注:建立订单是否有相关合同或协议做支撑、变更采购申请或采购订单细节是否服从适当审批程序等。

(2)人力资源管理审计。人力资源管理模块主要包括人事管理、工资计算等子流程,重点审查员工固定数据维护(Standing Data)、员工上岗与离岗记录、员工工时记录、薪金和福利计算、执行组织计划与人员招募等内容。比如是否采取控制手段保证员工主数据的完整性、员工离职后的信息是否仍处于激活状态等。

(3)总账审计。总账作为财务会计(FI)模块重要组成部分记录组织所有业务交易,与各类信息整合后最终生成资产负债表。审计人员对组织总账控制有如下关注:是否将总账维护与登账职责充分分离、是否对总账参数配置设置完整等。

二、我国SAP审计框架体系构建

目前国内涉及信息系统应用控制层面的相关指导有国家审计署颁布的《信息系统审计指南——计算机审计实务公告第34号》、中国内部审计协会颁布的《中国内部审计具体准则第28号——信息系统审计》等,其应用要求分别属于强烈推荐遵循层次与非强制性层次,更高级别的强制性要求准则尚未发布,而在这些指南中,SAP系统审计相关内容还有极大的丰富与细化空间。在实务方面,我国众多大型企业如中石油、中石化、联想、海尔、国家电网等已经普遍使用SAP系统,为有效管理和使用SAP系统、更好实现经济监督职能,亟待一套相对完整并专门针对SAP系统的审计框架体系来指导实践活动。

国外SAP系统审计思路与经验启示 图3

如上图所示,笔者尝试构建涵盖审计目标、审计内容、审计方法等在内的SAP系统环境下的审计框架体系并重点介绍主要控制手段。

1. 变更管理。变更活动主要有以下两种:一是对具体业务活动进行变更,如变更订单金额、数量、付款单位等信息,该类型变更会削弱交易过程的真实性和完整性,通过分析比较系统产生变更报告与已审批变更文档,可以有效避免此类现象发生;二是对系统配置进行变更,SAP系统提供了大量有效的系统配置(Configuration)功能,基于SAP系统设置可变更(Configurable settings)的特点,通过定期审核设置变更日志(Change Documents Log)并保证变更管理控制的充分执行,可以有效消除非法变更。

2. 访问控制。SAP系统中,应在“最小授权原则”的基础上通过设置行为分配各种权限。物理访问是用来保护组织使其免受非授权访问的一种措施,要对计算机场所附近等所有可能出现物理访问风险的地方都建立有效的控制措施。

3. 职责分离。SAP系统环境下职责分离能够避免由于个人负责多个关键职位而产生不正当交易风险,是预防欺诈及恶意行为的重要控制手段,如采购文件的创建与批准不能由同一人执行,以防止产生虚拟订单并被用户非法掩盖,影响采购流程的进行。在对职责分离控制进行分析时,注意不能只考虑某一模块内部的职责分离,而忽略了与其他相关模块的关联和系统外部的手工控制活动。

4. 接口控制。SAP系统内部模块数量较多,数据在模块与模块之间的传递与转换是系统整合的重点控制环节,有效的接口控制能够保证接口数据的完整性、安全性和准确性。如总账系统中,财务报表应付职工薪酬一栏中的数据来源于人力资源管理模块的工资单处理数据,应充分保证两模块数据间的协调一致性,并定期审查相关接口控制和SAP系统提供的对账报告。

5. 输入控制。数据一般通过键盘手工输入或系统导入等方式进入系统,输入错误的原因有人为失误或伪造数据、硬件机械故障、缺乏数据验证措施等,会导致应用程序系统产生非预期结果。在实务中可以审查以下内容:系统输入规则、数据采集标准等政策文件;数据输入校验机制是否有效、数据输入错误处理功能是否有效等。

6. 处理控制。对处理的控制应参照组织业务流程图以识别关键风险控制点,评估系统业务设计合理性与勾稽关系,分析系统运行逻辑,对错误处理机制进行评价。如采购订单建立是否经历了订单申请、订单审核过程;是否对订单进行功能性分级授权以限制订单变更操作等。

7. 参数控制。参数设置分为系统参数设置与业务参数设置。系统参数设置一般发生在系统初始化过程,如SAP系统中对用户角色类型、员工编号规则、销售订单字段等内容的设置;业务参数设置在系统运行过程中经常发生,如双重授权(Dual Authorisation)控制功能的开启。对参数的任何改变都会影响系统工作和内部控制的执行,因此所有参数变更操作将受到严格的审批与控制,应结合组织政策和业务流程审查参数设置情况以保证系统的正常运行。

三、实务案例

下面以某集团公司SAP系统审计实务为例,详细描述相关审计内容与流程。该公司以生产资料流通为主业,经营范围涉及国内外贸易、现代物流、流通加工等领域,自20世纪90年代起开始大规模进行信息化建设,现今已成功上线销售与分销(SD)、物料管理(MM)、财务会计(FI)、管理会计(CO)、财产管理(AM)、人事管理(HR)、项目管理(PS)等多个模块,这些模块建立在统一的数据平台之上,共包括约20 000张数据表,字段超过200万个,数据结构相当复杂。

根据被审计单位风险环境与SAP系统审计框架的审计目标,审计人员重点关注了系统的可靠性与安全性,警惕系统缺陷与漏洞,督促企业加强对信息系统的经营管理并提高系统运行的效率。对部分重点审计内容和具体过程描述如表2所示。

国外SAP系统审计思路与经验启示 图4

1. 销售收款循环审计。审计小组通过查阅被审单位的业务流程设计文档与操作手册、使用t-code代码调用内部报告、访谈或现场观察等方式获取被审单位的职责分离控制状况,发现被审单位信用调查与合同审批权限由同一人掌握,削弱了销售过程的真实性。

2. 采购付款循环审计。审计小组通过查阅被审计单位SAP系统的付款流程设计文档、在SAP系统测试机上修改某供应商的信用数据并运行付款申请功能模块,发现该功能模块不能调用供应商信用数据,后续的付款审批和付款执行都不由供应商信用数据控制。结果表明付款申请功能模块设计与开发存在错误。

3. 参数配置审计。审计小组通过访谈参数维护的管理人员、查阅参数变更文档或调整日志,核查异常情况。结果表明该公司对员工工资等个别参数的调整在数据库上直接操作,且不记录操作轨迹,不利于数据安全。

4. 安全审计。审计人员检查了有权限访问“用户维护”的用户、有权限维护关键或自定义表格的用户及超级用户SAP∗功能是否失效,据此判断系统是否运行安全。

相关新闻

  • SAP License:SAP HANA的价值

    SAP License:SAP HANA的价值

    SAP HANA的价值?在SAP众多系统模块当中,有一个HANA模块,它不是一个数据仓库,而是一个平台,在这个平台之上用户可以构建数据仓库或集市、报表和仪表盘等。HANA能做的,首先是作为内存数据库,提供数据插入、修改和高效的查询功能;其次,作为一个平台,在HANA之上,BO报表系统可以提供更好的用户体验,用户几乎不需要等待数据返回。用户可以使用HANA的建模工具直接访问ECC或其它数据源,避开BW。 SAP HANA内存数据库已经成为未来SAP公司发展的战略核心,它提供了多用途的内存应用设备,…

    行业动态 2022/03/23
  • 搞砸SAP项目的3种方法

    搞砸SAP项目的3种方法

    在一次上线之后,我和几位项目里的战友坐在街角的夜宵摊前,啜着啤酒啃着串,分享着各自的SAP故事。 不知什么时候开始,话题转向了各自经历的,失败的或濒临失败的项目经验。 这也进而让我想把那天聊到的一些内容写下来。 天下没有失败的SAP项目 在SAP圈子里我听说过一句话:“SAP项目上线永远是成功的”。 因为“成功的”是一个形容词,这就让每个人都有各自充分发挥的空间。你可以认为数据全部导入就算成功,也可以认为第一个订单创建就算成功,还可以认为月结完成就算成功。 但一个项目是否成功,相信每个参与了项目…

    技术相关 2021/02/26
  • SAP License:ERP面试记

    SAP License:ERP面试记

    最近又是一次面试。说实在,最近仿佛自己都成了“面霸”。 面试过程中遇到了不同的人,遇到了不同的问题。那么面试当中应该如何去把握呢,我想每个人都会有不同的答案。我只能把我自己所知与大家共享。希望对大家有些启发。 这几次面试主要是内部和外部。内部的主要是做一些管理工作,外部的主要还顾问和项目经理。对于内部来说,偶曾经面试过GM,TS,MH,RS等等。面试过程中见过CIO,CFO,老板等等一系列人员。其实在过程中,印象最深的还是和老板的一次对话,我一直在想。到底什么能够打动老板呢。后面我想到要打动他只…

    行业动态 2021/07/08
  • SAP License:SAP顾问的定义

    SAP License:SAP顾问的定义

     如果要对SAP顾问下一个定义还是很难的。所以,我们还是先了解为什么会有SAP顾问这个行业。其实在国外SAP顾问已经中产了。只是国内起步较晚。我们在用户角度来看看ERP软件应用的根本原因进而看看SAP顾问到底是什么? 以联想公司为例:联想集团为什么要实施 ERP系统?联想集团虽然财大气粗,但对中国企业管理大师级人物的柳传志来说,决不会花几千万元去赶 ERP的时髦。关键是 ERP先进的管理思想,将企业外部客户的需求、企业内部的生产制造流程以及供应商资源整合在一起,体现了以客户为中心、整合经营的宗旨…

    行业动态 2021/07/01
  • SAP License:SAP系统之库存参数选择与优化 图1

    SAP License:SAP系统之库存参数选择与优化

    对于生产企业来说,其生产方式一般可以分为“按单生产”和“库存生产”。在这篇文章中,笔者以实际项目为例,给各位读者阐述一下在按库存生产的情况下,SAP系统参数的选择与优化。 一、决定按库存生产的层级 在进行参数配置时,用户首先需要确认的是,按库存生产时的层级。简单的说,就是企业在安排生产计划时,是按出货层级进行备货的,还是按半成品层级进行备货。不同的备货层级,其采取的参数设置是不同的。在SAP系统中,是通过组策略这个参数来实现的。 在SAP系统中,其一共支持四个层级的按库存生产或者采购。这四个层级…

    行业动态 2022/02/28
  • SAP License:什么是ERP供应链 图1

    SAP License:什么是ERP供应链

    所谓ERP是英文Enterprise Resource Planning(企业资源计划)的简写。它是从MRP(物料资源计划)发展而来的新一代集成化管理信息系统,它扩展了MRP的功能,其核心思想是供应链管理,它跳出了传统企业边界,从供应链范围去优化企业的资源,是基于网络经济时代的新一代信息系统。它对于改善企业业务流程、提高企业核心竞争力的作用是显而易见的。 ERP是在20世纪80年代初开始出现的。从90年代开始,以SAP、Oracle为代表的国际著名ERP产品进入中国,并迅速扩展。接着,国内也相继…

    技术相关 2022/02/18
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部