国外SAP系统审计思路与经验启示

SAP系统是利用现代信息技术,对企业人、财、物和信息资源进行统一集成管理的平台,通常包括销售和分销 SD、物料管理 MM、财务会计 FI和人力资源 HR等子系统。SAP系统的实施应用,在提高组织运营效率的同时,也带来内部控制重点的转移,并引发新的IT控制风险。相应的,SAP环境下的内部或独立审计的流程、内容和技术方法都会发生改变。对信息系统风险进行分析通常成为整个审计活动不可缺少的一部分,调阅SAP系统的业务流程设计文档、操作手册等文档,利用系统测试、计算机辅助审计技术等方法成为获取审计证据的常见形式。本文通过总结美国信息系统审计协会(ISACA)与澳大利亚审计署(ANAO)的国际经验,进而构建我国SAP系统审计框架,为相应实践提供可操作的参考。

一、国外SAP系统审计经验

(一)ISACA的SAP系统审计经验

国外SAP系统审计思路与经验启示 图1

ISACA是作为独立的外部审计组织,已开展多年的企业SAP系统审计业务。ISACA通过发布专门的SAP系统审计指南《Security,Audit and Control Features》来指导具体审计过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息。

1. 审计流程。ISACA将审计流程分为事前检查阶段、初步审计阶段、详细审计阶段与报告阶段。事前检查阶段审计人员通过查阅系统开发与设计阶段的重要文档、观察数据库与应用程序服务器运行环境、评价备份与恢复计划有效性等措施了解企业。在初步审计阶段识别SAP系统的运行环境与关键控制。整个审计流程中最重要的阶段为详细审计阶段,根据组织的关键业务流程对具体系统应用控制进行实质性测试以判断相关业务的处理逻辑是否正确。在进行具体业务循环审查后通过分析控制成熟度,使利益相关者认识到组织现有控制水平与最佳实践的差别,体现内部控制的建立与优化。

2. 审计方法。SAP系统环境下仅依靠传统的审计方法如访谈法、观察法、文档查阅法来评估风险与控制显然是不充分的。随着系统内部信息资源量迅猛增加,获取审计证据的手段也面临革新。ISACA在实务中经常使用以下几种审计技术:

(1)数据挖掘技术。数据挖掘能够探测控制薄弱点并提供具体信息,从庞大的数据中发现有特殊意义的“知识”,其最大的优点是能够及时取得充分可靠的审计证据,降低审计风险。数据挖掘工具种类繁多,从经济实惠的通用工具Microsoft Access、Excel到价格昂贵的专门工具如Audit Control Language(ACL)、Interactive Data Extraction and Analysis(IDEA),满足了不同审计需求。

(2)连续审计技术。连续审计技术借助于自动执行的程序实施数据抽取和分析,使审计人员在事件发生的同时掌握可靠的报告信息,通过对嵌入式审计模块和连续审计代理技术的运用能实现对数据的自动化截取与处理,有效保证审计信息的时效性。

(3)数据库活动监控技术。数据库活动监控技术(DAM)对后台数据库数据提供主动监控功能,避免问题数据的传输,并且能够及时通知事件相关用户。DAM节约了在数据服务器上的花费,加快了处理速度。

3. 审计内容。ISACA从组织控制环境、风险评估、控制活动、信息与沟通、监管的角度出发对企业收入循环、支出循环、Basis开展了一系列审计活动。

(1)收入循环。收入流程中主要评价主数据维护、销售订单处理、发票处理和现金收据处理等环节控制手段的强健性,其具体内容有:对主数据的变更操作是否合理、完整、准确;是否将主数据创建与变更的职责进行了分离。

(2)支出循环。支出循环中除了对主数据维护保持同样的谨慎态度外,还应在采购流程、支付流程上重点关注,如是否对输入、变更、取消、审核、支付供应商款项的职能进行职责分离;是否只对已接收货物或服务支付款项等。

(3)Basis。Basis是企业安全有效运行SAP系统的基础,包括系统应用程序安装、完善、运行、安全等内容。比如审查是否限制对Implementation Guide的访问、是否恰当设置系统参数以满足组织环境的要求。

(二)ANAO的SAP系统审计经验

国外SAP系统审计思路与经验启示 图2

与ISACA的独立审计不同,ANAO作为政府审计机关主要对政府部门开展SAP系统审计。澳大利亚各政府部门财政资金收入的80%与支出的70%都通过SAP系统运作,因此SAP系统的安全、可靠和有效运行对于政府部门的正常运转非常重要。为此,ANAO颁布了《Security and Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指导手册,通过风险评级与流程控制保证了SAP数据流动过程的完整性、正确性与安全性。

1. 审计流程。ANAO的SAP系统审流程分为审计计划阶段、审计实施阶段、审计报告阶段和审计后续阶段。审计计划阶段初步了解被审计单位环境与内部控制制度,对关键模块的控制风险进行分级处理。审计实施阶段通过熟悉业务流程与系统文档,结合配置手段对系统数据执行各项实质性测试。在出具最终审计报告之后,定期进行跟踪审计保证对审计对象的适时评价、持续监督和及时反馈。

2. 审计方法。

(1)系统测试法。ANAO直接调用SAP系统的t-code代码查询获取数据,比如系统内部各类预定义的各种报表,通过对SAP系统产生报表的审阅,能够侦查系统异常情况或控制漏洞,便于发现违规行为。

(2)嵌入式审计模块法。AIS(Audit Information System)是嵌入在SAP系统中的审计模块,包括系统审计与业务审计两个子模块。系统审计模块主要用于管理活动与制度,为用户提供SAP安全控制报告与审计轨迹。业务审计模块便于审计人员编制资产负债表,并执行总账、应付账款和应收账款等关键账户的查询功能。

3. 审计内容。政府部门与企业所用SAP系统模块不尽相同,ANAO的SAP系统审计主要关注采购与应付账款、总账、人力资源管理等业务流程。

(1)采购与应付账款审计。采购流程包括采购申请、供应商选择、采购订单处理、货物收据、发票处理、支付处理等子流程,与应付账款管理密切相关。对该模块重点关注:建立订单是否有相关合同或协议做支撑、变更采购申请或采购订单细节是否服从适当审批程序等。

(2)人力资源管理审计。人力资源管理模块主要包括人事管理、工资计算等子流程,重点审查员工固定数据维护(Standing Data)、员工上岗与离岗记录、员工工时记录、薪金和福利计算、执行组织计划与人员招募等内容。比如是否采取控制手段保证员工主数据的完整性、员工离职后的信息是否仍处于激活状态等。

(3)总账审计。总账作为财务会计(FI)模块重要组成部分记录组织所有业务交易,与各类信息整合后最终生成资产负债表。审计人员对组织总账控制有如下关注:是否将总账维护与登账职责充分分离、是否对总账参数配置设置完整等。

二、我国SAP审计框架体系构建

目前国内涉及信息系统应用控制层面的相关指导有国家审计署颁布的《信息系统审计指南——计算机审计实务公告第34号》、中国内部审计协会颁布的《中国内部审计具体准则第28号——信息系统审计》等,其应用要求分别属于强烈推荐遵循层次与非强制性层次,更高级别的强制性要求准则尚未发布,而在这些指南中,SAP系统审计相关内容还有极大的丰富与细化空间。在实务方面,我国众多大型企业如中石油、中石化、联想、海尔、国家电网等已经普遍使用SAP系统,为有效管理和使用SAP系统、更好实现经济监督职能,亟待一套相对完整并专门针对SAP系统的审计框架体系来指导实践活动。

国外SAP系统审计思路与经验启示 图3

如上图所示,笔者尝试构建涵盖审计目标、审计内容、审计方法等在内的SAP系统环境下的审计框架体系并重点介绍主要控制手段。

1. 变更管理。变更活动主要有以下两种:一是对具体业务活动进行变更,如变更订单金额、数量、付款单位等信息,该类型变更会削弱交易过程的真实性和完整性,通过分析比较系统产生变更报告与已审批变更文档,可以有效避免此类现象发生;二是对系统配置进行变更,SAP系统提供了大量有效的系统配置(Configuration)功能,基于SAP系统设置可变更(Configurable settings)的特点,通过定期审核设置变更日志(Change Documents Log)并保证变更管理控制的充分执行,可以有效消除非法变更。

2. 访问控制。SAP系统中,应在“最小授权原则”的基础上通过设置行为分配各种权限。物理访问是用来保护组织使其免受非授权访问的一种措施,要对计算机场所附近等所有可能出现物理访问风险的地方都建立有效的控制措施。

3. 职责分离。SAP系统环境下职责分离能够避免由于个人负责多个关键职位而产生不正当交易风险,是预防欺诈及恶意行为的重要控制手段,如采购文件的创建与批准不能由同一人执行,以防止产生虚拟订单并被用户非法掩盖,影响采购流程的进行。在对职责分离控制进行分析时,注意不能只考虑某一模块内部的职责分离,而忽略了与其他相关模块的关联和系统外部的手工控制活动。

4. 接口控制。SAP系统内部模块数量较多,数据在模块与模块之间的传递与转换是系统整合的重点控制环节,有效的接口控制能够保证接口数据的完整性、安全性和准确性。如总账系统中,财务报表应付职工薪酬一栏中的数据来源于人力资源管理模块的工资单处理数据,应充分保证两模块数据间的协调一致性,并定期审查相关接口控制和SAP系统提供的对账报告。

5. 输入控制。数据一般通过键盘手工输入或系统导入等方式进入系统,输入错误的原因有人为失误或伪造数据、硬件机械故障、缺乏数据验证措施等,会导致应用程序系统产生非预期结果。在实务中可以审查以下内容:系统输入规则、数据采集标准等政策文件;数据输入校验机制是否有效、数据输入错误处理功能是否有效等。

6. 处理控制。对处理的控制应参照组织业务流程图以识别关键风险控制点,评估系统业务设计合理性与勾稽关系,分析系统运行逻辑,对错误处理机制进行评价。如采购订单建立是否经历了订单申请、订单审核过程;是否对订单进行功能性分级授权以限制订单变更操作等。

7. 参数控制。参数设置分为系统参数设置与业务参数设置。系统参数设置一般发生在系统初始化过程,如SAP系统中对用户角色类型、员工编号规则、销售订单字段等内容的设置;业务参数设置在系统运行过程中经常发生,如双重授权(Dual Authorisation)控制功能的开启。对参数的任何改变都会影响系统工作和内部控制的执行,因此所有参数变更操作将受到严格的审批与控制,应结合组织政策和业务流程审查参数设置情况以保证系统的正常运行。

三、实务案例

下面以某集团公司SAP系统审计实务为例,详细描述相关审计内容与流程。该公司以生产资料流通为主业,经营范围涉及国内外贸易、现代物流、流通加工等领域,自20世纪90年代起开始大规模进行信息化建设,现今已成功上线销售与分销(SD)、物料管理(MM)、财务会计(FI)、管理会计(CO)、财产管理(AM)、人事管理(HR)、项目管理(PS)等多个模块,这些模块建立在统一的数据平台之上,共包括约20 000张数据表,字段超过200万个,数据结构相当复杂。

根据被审计单位风险环境与SAP系统审计框架的审计目标,审计人员重点关注了系统的可靠性与安全性,警惕系统缺陷与漏洞,督促企业加强对信息系统的经营管理并提高系统运行的效率。对部分重点审计内容和具体过程描述如表2所示。

国外SAP系统审计思路与经验启示 图4

1. 销售收款循环审计。审计小组通过查阅被审单位的业务流程设计文档与操作手册、使用t-code代码调用内部报告、访谈或现场观察等方式获取被审单位的职责分离控制状况,发现被审单位信用调查与合同审批权限由同一人掌握,削弱了销售过程的真实性。

2. 采购付款循环审计。审计小组通过查阅被审计单位SAP系统的付款流程设计文档、在SAP系统测试机上修改某供应商的信用数据并运行付款申请功能模块,发现该功能模块不能调用供应商信用数据,后续的付款审批和付款执行都不由供应商信用数据控制。结果表明付款申请功能模块设计与开发存在错误。

3. 参数配置审计。审计小组通过访谈参数维护的管理人员、查阅参数变更文档或调整日志,核查异常情况。结果表明该公司对员工工资等个别参数的调整在数据库上直接操作,且不记录操作轨迹,不利于数据安全。

4. 安全审计。审计人员检查了有权限访问“用户维护”的用户、有权限维护关键或自定义表格的用户及超级用户SAP∗功能是否失效,据此判断系统是否运行安全。

相关新闻

  • 赛锐云B2B电商平台带你玩转B2B 图1

    赛锐云B2B电商平台带你玩转B2B

    赛锐云B2B电商平台带你玩转B2B 如今越来越多的B2B企业希望能够获得便利的操作和服务项目,赛锐云商商务平台系统(The Business of Sales)力求实现最佳的B2B电商平台,不仅仅是提供一个简单的类似于B2C网上购物平台,还考虑到多方面配置,让客户体验到充满个性化的B2B电商平台。 赛锐云B2B平台系统搭建中除了具有产品销售和订单处理等基本的商务功能外,还包括更多、更好的产品内容,比如:个性化、动态化的店铺装修、展示分类配置、商品分类配置等,以实现企业个性化需求的产品展示方式。赛…

    行业动态 2023/09/12
  • SAP License:外贸行业ERP系统功能详细介绍 图1

    SAP License:外贸行业ERP系统功能详细介绍

    作为外贸行业ERP系统推出的主要目的是为外贸企业提供从询价、报价、销售合同、采购合同到货物装箱、货物报关、开票通知、水单认领等的一整套完整的外贸管理解决方案;提高外贸企业的工作与管理效率。 外贸行业ERP系统功能介绍 1.核销单 “出口外汇核销单”指由国家外汇管理局制发,出口单位和受托行及解付行填写,海关凭此受理报关,外汇管理部门凭此核销收汇的有顺序编号的凭证。核销单由操作人员根据领取的核销单录入系统,并根据系统的运行过程处理单据的状态。核销单可以批量录入;系统会自动根据使用情况,把发票号码、船…

    行业动态 2021/11/19
  • SAP Litmos帮助公司改善培训

    SAP Litmos帮助公司改善培训

    电子商务的兴起在很多方面影响了店内购物。现在,难忘的客户体验可以带来很大的改变。但是,对于要让销售员为客户提供难忘服务的销售人员来说,他们需要获得正确的工具和培训。 管理咨询公司麦肯锡说: “每家领先的客户体验公司都激励员工在与消费者的互动中体现客户和品牌承诺,并有权做正确的事。” 因此,总部位于加利福尼亚州西湖村的The Walking Company,为员工的培训投入了大量资金。但是他们的方法是什么? 在他们的旧方法中,他们使用手册和备忘录。他们还尝试使用视觉材料,从一个小时的视频开始,缩短…

    行业动态 2021/01/14
  • 自我升级拥抱5G:联合创新SAP项目正式启动

    自我升级拥抱5G:联合创新SAP项目正式启动

    2020年,联合创新迎来了5G时代来临的新机遇。为了应对终端显示市场的需求的变革,联合创新将2020年设立为信息化管理元年,并推动五大管理系统的落地,它们分别是: 2020年5月7日,联合创新SAP项目正式启动,公司总经理沈总与项目组全体成员共同参加了本次启动会。 本期项目,主要以SAPERP 为核心,覆盖生产管理、采购管理、库存管理、销售管理、财务管理的稳定后台,加速业务财务一体化进程。具体包括: 构建一套基于信息化的、适用于联合创新,并涵盖销售、生产、售后、采购、库存、财务等方面的标准化管理…

    行业动态 2016/12/22
  • SAP中国研究院荣膺“2019年中国最佳雇主–雇主之星”

    SAP中国研究院荣膺“2019年中国最佳雇主–雇主之星”

    2019年11月18日,上海讯 —— 日前,怡安集团旗下全球领先的人力资本管理咨询机构怡安翰威特与全球高管寻聘和领导力顾问公司史宾沙旗下Kincentric共同揭晓2019年中国最佳雇主榜单。SAP中国研究院凭借企业的创新文化和多元环境,荣膺“2019年中国最佳雇主——雇主之星”。 今年的中国最佳雇主榜单密切关注企业在变革环境下的组织敏捷、引领型领导、人才聚焦、员工体验及数字化进程。评选中,怡安翰威特与Kincentric结合来自高管、人力资源部门及员工的各方面指标,通过调研、访谈、数据分析等多…

    行业动态 2019/11/18
  • SAP License:仓库ERP系统 图1

    SAP License:仓库ERP系统

    仓库管理一直是企业管理中的难点。仓库管理如何避免混乱,保证记录清晰,数据更新及时,并能面向其他相关部门及时共享,是仓库管理所追求的终极目标。仓库ERP系统,不仅针对仓库管理提供了有效的方法,还能够集成其他系统功能,将企业资源统一调度,做到和谐有序地发展。 仓库的管理要从进货入库开始,到销货出库结束。源头的管理是仓库管理的重中之重。仓库要保证所有购进的物品都要有入库,能体现在库存之中;同时保证所有销出或者用掉的物品都有出库,保证库存帐实相符。仓库采取宽进严出的管理原则,简化入库程序,提高工作效率;…

    行业动态 2021/11/27
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部