SAP系统业务审计介绍
引言
SAP系统是基于业务事件驱动的一套成熟的ERP系统。常见的ERP系统审计工作都是集中于财务数据本身,而SAP ERP系统则涉及系统的设计和流程。
关键字: SAP 安全、SAP 日志、SAP 监控、SAP 权限审计、404审计、 SAP 业务审计、 智能审计平台、 大数据审计系统
一、SAP系统设置蓝图
SAP系统的审计工作要求审计人员必须了解客户系统的设计原理。蓝图是了解系统最好的资料。因为企业系统上线之前必须要对所有的业务流程进行梳理和确认系统的定制和设计。蓝图是对这一工作的正式确定和成果。
蓝图可以帮助审计人员了解企业特定流程的出发点和基本的考量,即企业如何选择系统的设置并经过详细的场景测试最终客户确认测试结果。
二、SAP系统主数据架构
SAP系统设定了细致的流程和场景。需要从主数据,从组织的架构(成本中心)、业务部门、客户、供应商、物料、科目设置、资产数据、银行资料着手。
审计人员必须对客户的系统主数据进行细致的了解。主数据相当于人体的骨骼,把握的主数据就等于把握了核心的框架。主数据需要进行从申请、批准、维护和改动、终止等全过程的控制测试。
三、SAP 4大业务流程
SAP系统是基于订单驱动的系统。销售订单、采购订单、生产订单和费用报销单的流程就是最核心的流程。
审计人员需要对这些订单进行必要的实质性测试。比如采购订单就需要从需求到付款的全过程的测试,以了解客户采购控制的有效性。采购过程直接影响到公司的存货、成本、应付款、现金流以及可能的舞弊行为等。
四、示例
以某集团公司SAP系统审计实务为例,详细描述相关审计内容与流程。该公司以生产资料流通为主业,经营范围涉及国内外贸易、现代物流、流通加工等领域,自20世纪90年代起开始大规模进行信息化建设,现今已成功上线销售与分销(SD)、物料管理(MM)、财务会计(FI)、管理会计(CO)、财产管理(AM)、人事管理(HR)、项目管理(PS)等多个模块,这些模块建立在统一的数据平台之上,共包括约20000张数据表,字段超过200万个,数据结构相当复杂。
根据被审计单位风险环境与SAP系统审计框架的审计目标,审计人员重点关注了系统的可靠性与安全性,警惕系统缺陷与漏洞,督促企业加强对信息系统的经营管理并提高系统运行的效率。
- 销售收款循环审计:审计小组通过查阅被审单位的业务流程设计文档与操作手册、使用t-code代码调用内部报告、访谈或现场观察等方式获取被审单位的职责分离控制状况,发现被审单位信用调查与合同审批权限由同一人掌握,削弱了销售过程的真实性。
- 采购付款循环审计:审计小组通过查阅被审计单位SAP系统的付款流程设计文档、在SAP系统测试机上修改某供应商的信用数据并运行付款申请功能模块,发现该功能模块不能调用供应商信用数据,后续的付款审批和付款执行都不由供应商信用数据控制。结果表明付款申请功能模块设计与开发存在错误。
- 参数配置审计:审计小组通过访谈参数维护的管理人员、查阅参数变更文档或调整日志,核查异常情况。结果表明该公司对员工工资等个别参数的调整在数据库上直接操作,且不记录操作轨迹,不利于数据安全。
- 安全审计:审计人员检查了有权限访问“用户维护”的用户、有权限维护关键或自定义表格的用户及超级用户SAP∗功能是否失效,据此判断系统是否运行安全。
关于赛锐信息
作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。