- 相關(guān)推薦
基于國(guó)外經(jīng)驗(yàn)下我國(guó)SAP審計(jì)框架體系構(gòu)建的論文
SAP系統(tǒng)是利用現(xiàn)代信息技術(shù),對(duì)企業(yè)人、財(cái)、物和信息資源進(jìn)行統(tǒng)一集成管理的平臺(tái),通常包括銷售和分銷SD、物料管理MM、財(cái)務(wù)會(huì)計(jì)FI和人力資源HR等子系統(tǒng)。SAP系統(tǒng)的實(shí)施應(yīng)用,在提高組織運(yùn)營(yíng)效率的同時(shí),也帶來(lái)內(nèi)部控制重點(diǎn)的轉(zhuǎn)移,并引發(fā)新的IT控制風(fēng)險(xiǎn)。相應(yīng)的,SAP環(huán)境下的內(nèi)部或獨(dú)立審計(jì)的流程、內(nèi)容和技術(shù)方法都會(huì)發(fā)生改變。對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行分析通常成為整個(gè)審計(jì)活動(dòng)不可缺少的一部分,調(diào)閱SAP系統(tǒng)的業(yè)務(wù)流程設(shè)計(jì)文檔、操作手冊(cè)等文檔,利用系統(tǒng)測(cè)試、計(jì)算機(jī)輔助審計(jì)技術(shù)等方法成為獲取審計(jì)證據(jù)的常見(jiàn)形式。本文通過(guò)總結(jié)美國(guó)信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)與澳大利亞審計(jì)署(ANAO)的國(guó)際經(jīng)驗(yàn),進(jìn)而構(gòu)建我國(guó)SAP系統(tǒng)審計(jì)框架,為相應(yīng)實(shí)踐提供可操作的參考。
一、國(guó)外SAP系統(tǒng)審計(jì)經(jīng)驗(yàn)
(一)ISACA的SAP系統(tǒng)審計(jì)經(jīng)驗(yàn)
ISACA是作為獨(dú)立的外部審計(jì)組織,已開(kāi)展多年的企業(yè)SAP系統(tǒng)審計(jì)業(yè)務(wù)。ISACA通過(guò)發(fā)布專門的SAP系統(tǒng)審計(jì)指南《Security,Audit and Control Features》來(lái)指導(dǎo)具體審計(jì)過(guò)程,以確定信息系統(tǒng)和相關(guān)資源是否受到充分保護(hù)、是否能保障數(shù)據(jù)和系統(tǒng)的完整性、是否能提供相關(guān)和可靠信息。
1.審計(jì)流程。ISACA將審計(jì)流程分為事前檢查階段、初步審計(jì)階段、詳細(xì)審計(jì)階段與報(bào)告階段。事前檢查階段審計(jì)人員通過(guò)查閱系統(tǒng)開(kāi)發(fā)與設(shè)計(jì)階段的重要文檔、觀察數(shù)據(jù)庫(kù)與應(yīng)用程序服務(wù)器運(yùn)行環(huán)境、評(píng)價(jià)備份與恢復(fù)計(jì)劃有效性等措施了解企業(yè)。在初步審計(jì)階段識(shí)別SAP系統(tǒng)的運(yùn)行環(huán)境與關(guān)鍵控制。整個(gè)審計(jì)流程中最重要的階段為詳細(xì)審計(jì)階段,根據(jù)組織的關(guān)鍵業(yè)務(wù)流程對(duì)具體系統(tǒng)應(yīng)用控制進(jìn)行實(shí)質(zhì)性測(cè)試以判斷相關(guān)業(yè)務(wù)的處理邏輯是否正確。在進(jìn)行具體業(yè)務(wù)循環(huán)審查后通過(guò)分析控制成熟度,使利益相關(guān)者認(rèn)識(shí)到組織現(xiàn)有控制水平與最佳實(shí)踐的差別,體現(xiàn)內(nèi)部控制的建立與優(yōu)化。
2.審計(jì)方法。SAP系統(tǒng)環(huán)境下僅依靠傳統(tǒng)的審計(jì)方法如訪談法、觀察法、文檔查閱法來(lái)評(píng)估風(fēng)險(xiǎn)與控制顯然是不充分的。隨著系統(tǒng)內(nèi)部信息資源量迅猛增加,獲取審計(jì)證據(jù)的手段也面臨革新。ISACA在實(shí)務(wù)中經(jīng)常使用以下幾種審計(jì)技術(shù):
。1)數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘能夠探測(cè)控制薄弱點(diǎn)并提供具體信息,從龐大的數(shù)據(jù)中發(fā)現(xiàn)有特殊意義的“知識(shí)”,其最大的優(yōu)點(diǎn)是能夠及時(shí)取得充分可靠的審計(jì)證據(jù),降低審計(jì)風(fēng)險(xiǎn)。數(shù)據(jù)挖掘工具種類繁多,從經(jīng)濟(jì)實(shí)惠的通用工具M(jìn)icrosoft Access、Excel到價(jià)格昂貴的專門工具如Audit Control Language(ACL)、Interactive Data Ex-traction and Analysis(IDEA),滿足了不同審計(jì)需求。
。2)連續(xù)審計(jì)技術(shù)。連續(xù)審計(jì)技術(shù)借助于自動(dòng)執(zhí)行的程序?qū)嵤⿺?shù)據(jù)抽取和分析,使審計(jì)人員在事件發(fā)生的同時(shí)掌握可靠的報(bào)告信息,通過(guò)對(duì)嵌入式審計(jì)模塊和連續(xù)審計(jì)代理技術(shù)的運(yùn)用能實(shí)現(xiàn)對(duì)數(shù)據(jù)的自動(dòng)化截取與處理,有效保證審計(jì)信息的時(shí)效性。
。3)數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控技術(shù)。數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控技術(shù)(DAM)對(duì)后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)提供主動(dòng)監(jiān)控功能,避免問(wèn)題數(shù)據(jù)的傳輸,并且能夠及時(shí)通知事件相關(guān)用戶。DAM節(jié)約了在數(shù)據(jù)服務(wù)器上的花費(fèi),加快了處理速度。
3.審計(jì)內(nèi)容。ISACA從組織控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)管的角度出發(fā)對(duì)企業(yè)收入循環(huán)、支出循環(huán)、Basis開(kāi)展了一系列審計(jì)活動(dòng)。
。1)收入循環(huán)。收入流程中主要評(píng)價(jià)主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)票處理和現(xiàn)金收據(jù)處理等環(huán)節(jié)控制手段的強(qiáng)健性,其具體內(nèi)容有:對(duì)主數(shù)據(jù)的變更操作是否合理、完整、準(zhǔn)確;是否將主數(shù)據(jù)創(chuàng)建與變更的職責(zé)進(jìn)行了分離。
。2)支出循環(huán)。支出循環(huán)中除了對(duì)主數(shù)據(jù)維護(hù)保持同樣的謹(jǐn)慎態(tài)度外,還應(yīng)在采購(gòu)流程、支付流程上重點(diǎn)關(guān)注,如是否對(duì)輸入、變更、取消、審核、支付供應(yīng)商款項(xiàng)的職能進(jìn)行職責(zé)分離;是否只對(duì)已接收貨物或服務(wù)支付款項(xiàng)等。
。3)Basis.Basis是企業(yè)安全有效運(yùn)行SAP系統(tǒng)的基礎(chǔ),包括系統(tǒng)應(yīng)用程序安裝、完善、運(yùn)行、安全等內(nèi)容。比如審查是否限制對(duì)Implementation Guide的訪問(wèn)、是否恰當(dāng)設(shè)置系統(tǒng)參數(shù)以滿足組織環(huán)境的要求。
(二)ANAO的SAP系統(tǒng)審計(jì)經(jīng)驗(yàn)與ISACA的獨(dú)立審計(jì)不同,ANAO作為政府審計(jì)機(jī)關(guān)主要對(duì)政府部門開(kāi)展SAP系統(tǒng)審計(jì)。澳大利亞各政府部門財(cái)政資金收入的80%與支出的70%都通過(guò)SAP系統(tǒng)運(yùn)作,因此SAP系統(tǒng)的安全、可靠和有效運(yùn)行對(duì)于政府部門的正常運(yùn)轉(zhuǎn)非常重要。為此,ANAO頒布了《Securityand Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指導(dǎo)手冊(cè),通過(guò)風(fēng)險(xiǎn)評(píng)級(jí)與流程控制保證了SAP數(shù)據(jù)流動(dòng)過(guò)程的完整性、正確性與安全性。
1.審計(jì)流程。ANAO的SAP系統(tǒng)審流程分為審計(jì)計(jì)劃階段、審計(jì)實(shí)施階段、審計(jì)報(bào)告階段和審計(jì)后續(xù)階段。審計(jì)計(jì)劃階段初步了解被審計(jì)單位環(huán)境與內(nèi)部控制制度,對(duì)關(guān)鍵模塊的控制風(fēng)險(xiǎn)進(jìn)行分級(jí)處理。審計(jì)實(shí)施階段通過(guò)熟悉業(yè)務(wù)流程與系統(tǒng)文檔,結(jié)合配置手段對(duì)系統(tǒng)數(shù)據(jù)執(zhí)行各項(xiàng)實(shí)質(zhì)性測(cè)試。在出具最終審計(jì)報(bào)告之后,定期進(jìn)行跟蹤審計(jì)保證對(duì)審計(jì)對(duì)象的適時(shí)評(píng)價(jià)、持續(xù)監(jiān)督和及時(shí)反饋。
2.審計(jì)方法。
。1)系統(tǒng)測(cè)試法。ANAO直接調(diào)用SAP系統(tǒng)的t-code代碼查詢獲取數(shù)據(jù),比如系統(tǒng)內(nèi)部各類預(yù)定義的各種報(bào)表,通過(guò)對(duì)SAP系統(tǒng)產(chǎn)生報(bào)表的審閱,能夠偵查系統(tǒng)異常情況或控制漏洞,便于發(fā)現(xiàn)違規(guī)行為。
。2)嵌入式審計(jì)模塊法。AIS(Audit Information Sys-tem)是嵌入在SAP系統(tǒng)中的審計(jì)模塊,包括系統(tǒng)審計(jì)與業(yè)務(wù)審計(jì)兩個(gè)子模塊。系統(tǒng)審計(jì)模塊主要用于管理活動(dòng)與制度,為用戶提供SAP安全控制報(bào)告與審計(jì)軌跡。業(yè)務(wù)審計(jì)模塊便于審計(jì)人員編制資產(chǎn)負(fù)債表,并執(zhí)行總賬、應(yīng)付賬款和應(yīng)收賬款等關(guān)鍵賬戶的查詢功能。
3.審計(jì)內(nèi)容。政府部門與企業(yè)所用SAP系統(tǒng)模塊不盡相同,ANAO的SAP系統(tǒng)審計(jì)主要關(guān)注采購(gòu)與應(yīng)付賬款、總賬、人力資源管理等業(yè)務(wù)流程。
。1)采購(gòu)與應(yīng)付賬款審計(jì)。采購(gòu)流程包括采購(gòu)申請(qǐng)、供應(yīng)商選擇、采購(gòu)訂單處理、貨物收據(jù)、發(fā)票處理、支付處理等子流程,與應(yīng)付賬款管理密切相關(guān)。對(duì)該模塊重點(diǎn)關(guān)注:建立訂單是否有相關(guān)合同或協(xié)議做支撐、變更采購(gòu)申請(qǐng)或采購(gòu)訂單細(xì)節(jié)是否服從適當(dāng)審批程序等。
(2)人力資源管理審計(jì)。人力資源管理模塊主要包括人事管理、工資計(jì)算等子流程,重點(diǎn)審查員工固定數(shù)據(jù)維護(hù)(Standing Data)、員工上崗與離崗記錄、員工工時(shí)記錄、薪金和福利計(jì)算、執(zhí)行組織計(jì)劃與人員招募等內(nèi)容。比如是否采取控制手段保證員工主數(shù)據(jù)的完整性、員工離職后的信息是否仍處于激活狀態(tài)等。
。3)總賬審計(jì)?傎~作為財(cái)務(wù)會(huì)計(jì)(FI)模塊重要組成部分記錄組織所有業(yè)務(wù)交易,與各類信息整合后最終生成資產(chǎn)負(fù)債表。審計(jì)人員對(duì)組織總賬控制有如下關(guān)注:是否將總賬維護(hù)與登賬職責(zé)充分分離、是否對(duì)總賬參數(shù)配置設(shè)置完整等。
(三)國(guó)際經(jīng)驗(yàn)比較
通過(guò)對(duì)ISACA和ANAO有關(guān)SAP系統(tǒng)審計(jì)流程、內(nèi)容與方法的總結(jié),美澳在審計(jì)內(nèi)容、控制手段、審計(jì)方法上有共通之處。在內(nèi)容上,將ISACA的費(fèi)用循環(huán)審計(jì)與ANAO采購(gòu)及應(yīng)付賬款審計(jì)比較來(lái)看,費(fèi)用支出交易大部分與采購(gòu)訂單有關(guān),結(jié)合兩者共性能概括采購(gòu)及費(fèi)用支出類交易的關(guān)鍵控制點(diǎn),并用于實(shí)務(wù)操作。在具體控制手段上,兩者都涉及變更管理、訪問(wèn)控制、職責(zé)分離、輸入控制、處理控制、接口控制等,比如在輸入控制中只有被授權(quán)的個(gè)人才能輸入并審核準(zhǔn)確的數(shù)據(jù)、在處理控制中合理限制對(duì)數(shù)據(jù)和信息的訪問(wèn)、在參數(shù)控制中保證設(shè)置變更的合理性。在審計(jì)方法上,除了采用傳統(tǒng)方法,兩者大多使用計(jì)算機(jī)輔助審計(jì)技術(shù)獲取可靠證據(jù)。
由于組織類型、規(guī)模、功能的差異,SAP系統(tǒng)的應(yīng)用要求也有所不同。比如在審計(jì)內(nèi)容上,因澳大利亞政府收入來(lái)源主要為國(guó)家撥款與項(xiàng)目基金,幾乎不存在與銷 售 貨 品 相 關(guān) 的 業(yè) 務(wù) ,據(jù) 此ANAO弱化了與銷售收入相關(guān)的審計(jì)活動(dòng),而ISACA將其視為關(guān)鍵環(huán)節(jié)。
二、我國(guó)SAP審計(jì)框架體系構(gòu)建
目前國(guó)內(nèi)涉及信息系統(tǒng)應(yīng)用控制層面的相關(guān)指導(dǎo)有國(guó)家審計(jì)署頒布的《信息系統(tǒng)審計(jì)指南--計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號(hào)》、中國(guó)內(nèi)部審計(jì)協(xié)會(huì)頒布的《中國(guó)內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)--信息系統(tǒng)審計(jì)》等,其應(yīng)用要求分別屬于強(qiáng)烈推薦遵循層次與非強(qiáng)制性層次,更高級(jí)別的強(qiáng)制性要求準(zhǔn)則尚未發(fā)布,而在這些指南中,SAP系統(tǒng)審計(jì)相關(guān)內(nèi)容還有極大的豐富與細(xì)化空間。在實(shí)務(wù)方面,我國(guó)眾多大型企業(yè)如中石油、中石化、聯(lián)想、海爾、國(guó)家電網(wǎng)等已經(jīng)普遍使用SAP系統(tǒng),為有效管理和使用SAP系統(tǒng)、更好實(shí)現(xiàn)經(jīng)濟(jì)監(jiān)督職能,亟待一套相對(duì)完整并專門針對(duì)SAP系統(tǒng)的審計(jì)框架體系來(lái)指導(dǎo)實(shí)踐活動(dòng)。
如上圖所示,筆者嘗試構(gòu)建涵蓋審計(jì)目標(biāo)、審計(jì)內(nèi)容、審計(jì)方法等在內(nèi)的SAP系統(tǒng)環(huán)境下的審計(jì)框架體系并重點(diǎn)介紹主要控制手段。
1.變更管理。變更活動(dòng)主要有以下兩種:一是對(duì)具體業(yè)務(wù)活動(dòng)進(jìn)行變更,如變更訂單金額、數(shù)量、付款單位等信息,該類型變更會(huì)削弱交易過(guò)程的真實(shí)性和完整性,通過(guò)分析比較系統(tǒng)產(chǎn)生變更報(bào)告與已審批變更文檔,可以有效避免此類現(xiàn)象發(fā)生;二是對(duì)系統(tǒng)配置進(jìn)行變更,SAP系統(tǒng)提供了大量有效的系統(tǒng)配置(Configuration)功能,基于SAP系統(tǒng)設(shè)置可變更(Configurable settings)的特點(diǎn),通過(guò)定期審核設(shè)置變更日志(Change Documents Log)并保證變更管理控制的充分執(zhí)行,可以有效消除非法變更。
2.訪問(wèn)控制。在SAP系統(tǒng)中,應(yīng)在“最小授權(quán)原則”的基礎(chǔ)上通過(guò)設(shè)置行為分配各種權(quán)限。物理訪問(wèn)是用來(lái)保護(hù)組織使其免受非授權(quán)訪問(wèn)的一種措施,要對(duì)計(jì)算機(jī)場(chǎng)所附近等所有可能出現(xiàn)物理訪問(wèn)風(fēng)險(xiǎn)的地方都建立有效的控制措施。
3.職責(zé)分離。SAP系統(tǒng)環(huán)境下職責(zé)分離能夠避免由于個(gè)人負(fù)責(zé)多個(gè)關(guān)鍵職位而產(chǎn)生不正當(dāng)交易風(fēng)險(xiǎn),是預(yù)防欺詐及惡意行為的重要控制手段,如采購(gòu)文件的創(chuàng)建與批準(zhǔn)不能由同一人執(zhí)行,以防止產(chǎn)生虛擬訂單并被用戶非法掩蓋,影響采購(gòu)流程的進(jìn)行。在對(duì)職責(zé)分離控制進(jìn)行分析時(shí),注意不能只考慮某一模塊內(nèi)部的職責(zé)分離,而忽略了與其他相關(guān)模塊的關(guān)聯(lián)和系統(tǒng)外部的手工控制活動(dòng)。
4.接口控制。SAP系統(tǒng)內(nèi)部模塊數(shù)量較多,數(shù)據(jù)在模塊與模塊之間的傳遞與轉(zhuǎn)換是系統(tǒng)整合的重點(diǎn)控制環(huán)節(jié),有效的接口控制能夠保證接口數(shù)據(jù)的完整性、安全性和準(zhǔn)確性。如總賬系統(tǒng)中,財(cái)務(wù)報(bào)表應(yīng)付職工薪酬一欄中的數(shù)據(jù)來(lái)源于人力資源管理模塊的工資單處理數(shù)據(jù),應(yīng)充分保證兩模塊數(shù)據(jù)間的協(xié)調(diào)一致性,并定期審查相關(guān)接口控制和SAP系統(tǒng)提供的對(duì)賬報(bào)告。
5.輸入控制。數(shù)據(jù)一般通過(guò)鍵盤手工輸入或系統(tǒng)導(dǎo)入等方式進(jìn)入系統(tǒng),輸入錯(cuò)誤的原因有人為失誤或偽造數(shù)據(jù)、硬件機(jī)械故障、缺乏數(shù)據(jù)驗(yàn)證措施等,會(huì)導(dǎo)致應(yīng)用程序系統(tǒng)產(chǎn)生非預(yù)期結(jié)果。在實(shí)務(wù)中可以審查以下內(nèi)容:系統(tǒng)輸入規(guī)則、數(shù)據(jù)采集標(biāo)準(zhǔn)等政策文件;數(shù)據(jù)輸入校驗(yàn)機(jī)制是否有效、數(shù)據(jù)輸入錯(cuò)誤處理功能是否有效等。
6.處理控制。對(duì)處理的控制應(yīng)參照組織業(yè)務(wù)流程圖以識(shí)別關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn),評(píng)估系統(tǒng)業(yè)務(wù)設(shè)計(jì)合理性與勾稽關(guān)系,分析系統(tǒng)運(yùn)行邏輯,對(duì)錯(cuò)誤處理機(jī)制進(jìn)行評(píng)價(jià)。如采購(gòu)訂單建立是否經(jīng)歷了訂單申請(qǐng)、訂單審核過(guò)程;是否對(duì)訂單進(jìn)行功能性分級(jí)授權(quán)以限制訂單變更操作等。
7.參數(shù)控制。參數(shù)設(shè)置分為系統(tǒng)參數(shù)設(shè)置與業(yè)務(wù)參數(shù)設(shè)置。系統(tǒng)參數(shù)設(shè)置一般發(fā)生在系統(tǒng)初始化過(guò)程,如SAP系統(tǒng)中對(duì)用戶角色類型、員工編號(hào)規(guī)則、銷售訂單字段等內(nèi)容的設(shè)置;業(yè)務(wù)參數(shù)設(shè)置在系統(tǒng)運(yùn)行過(guò)程中經(jīng)常發(fā)生,如雙重授權(quán)(Dual Authorisation)控制功能的開(kāi)啟。對(duì)參數(shù)的任何改變都會(huì)影響系統(tǒng)工作和內(nèi)部控制的執(zhí)行,因此所有參數(shù)變更操作將受到嚴(yán)格的審批與控制,應(yīng)結(jié)合組織政策和業(yè)務(wù)流程審查參數(shù)設(shè)置情況以保證系統(tǒng)的正常運(yùn)行。
三、實(shí)務(wù)案例
下面以某集團(tuán)公司SAP系統(tǒng)審計(jì)實(shí)務(wù)為例,詳細(xì)描述相關(guān)審計(jì)內(nèi)容與流程。該公司以生產(chǎn)資料流通為主業(yè),經(jīng)營(yíng)范圍涉及國(guó)內(nèi)外貿(mào)易、現(xiàn)代物流、流通加工等領(lǐng)域,自20世紀(jì)90年代起開(kāi)始大規(guī)模進(jìn)行信息化建設(shè),現(xiàn)今已成功上線銷售與分銷(SD)、物料管理(MM)、財(cái)務(wù)會(huì)計(jì)(FI)、管理會(huì)計(jì)(CO)、財(cái)產(chǎn)管理(AM)、人事管理(HR)、項(xiàng)目管理(PS)等多個(gè)模塊,這些模塊建立在統(tǒng)一的數(shù)據(jù)平臺(tái)之上,共包括約20 000張數(shù)據(jù)表,字段超過(guò)200萬(wàn)個(gè),數(shù)據(jù)結(jié)構(gòu)相當(dāng)復(fù)雜。
根據(jù)被審計(jì)單位風(fēng)險(xiǎn)環(huán)境與SAP系統(tǒng)審計(jì)框架的審計(jì)目標(biāo),審計(jì)人員重點(diǎn)關(guān)注了系統(tǒng)的可靠性與安全性,警惕系統(tǒng)缺陷與漏洞,督促企業(yè)加強(qiáng)對(duì)信息系統(tǒng)的經(jīng)營(yíng)管理并提高系統(tǒng)運(yùn)行的效率。對(duì)部分重點(diǎn)審計(jì)內(nèi)容和具體過(guò)程描述如表2所示。
1.銷售收款循環(huán)審計(jì)。審計(jì)小組通過(guò)查閱被審單位的業(yè)務(wù)流程設(shè)計(jì)文檔與操作手冊(cè)、使用t-code代碼調(diào)用內(nèi)部報(bào)告、訪談或現(xiàn)場(chǎng)觀察等方式獲取被審單位的職責(zé)分離控制狀況,發(fā)現(xiàn)被審單位信用調(diào)查與合同審批權(quán)限由同一人掌握,削弱了銷售過(guò)程的真實(shí)性。
2.采購(gòu)付款循環(huán)審計(jì)。審計(jì)小組通過(guò)查閱被審計(jì)單位SAP系統(tǒng)的付款流程設(shè)計(jì)文檔、在SAP系統(tǒng)測(cè)試機(jī)上修改某供應(yīng)商的信用數(shù)據(jù)并運(yùn)行付款申請(qǐng)功能模塊,發(fā)現(xiàn)該功能模塊不能調(diào)用供應(yīng)商信用數(shù)據(jù),后續(xù)的付款審批和付款執(zhí)行都不由供應(yīng)商信用數(shù)據(jù)控制。結(jié)果表明付款申請(qǐng)功能模塊設(shè)計(jì)與開(kāi)發(fā)存在錯(cuò)誤。
3.參數(shù)配置審計(jì)。審計(jì)小組通過(guò)訪談參數(shù)維護(hù)的管理人員、查閱參數(shù)變更文檔或調(diào)整日志,核查異常情況。結(jié)果表明該公司對(duì)員工工資等個(gè)別參數(shù)的調(diào)整在數(shù)據(jù)庫(kù)上直接操作,且不記錄操作軌跡,不利于數(shù)據(jù)安全。
4.安全審計(jì)。審計(jì)人員檢查了有權(quán)限訪問(wèn)“用戶維護(hù)”的用戶、有權(quán)限維護(hù)關(guān)鍵或自定義表格的用戶及超級(jí)用戶SAP*功能是否失效,據(jù)此判斷系統(tǒng)是否運(yùn)行安全。
主要參考文獻(xiàn)
1.唐志豪,吳葉葵。RTP環(huán)境下采購(gòu)付款業(yè)務(wù)流程控制的審計(jì)。財(cái)會(huì)月刊,2012;12
2.宋貽生,徐瓊芳。提升信息化環(huán)境下大型項(xiàng)目的審計(jì)能力。審計(jì)月刊,2014;1
【基于國(guó)外經(jīng)驗(yàn)下我國(guó)SAP審計(jì)框架體系構(gòu)建的論文】相關(guān)文章:
WTO環(huán)境下我國(guó)綠色會(huì)計(jì)體系基本框架的構(gòu)建04-28
淺析企業(yè)任職資格管理體系構(gòu)建框架的論文04-27
構(gòu)建知識(shí)框架 形成知識(shí)體系05-01
人水和諧的體系框架構(gòu)建研究04-25
構(gòu)建我國(guó)新型石材標(biāo)準(zhǔn)體系的思考04-28
基于Oracle ADF構(gòu)建WebGIS應(yīng)用框架研究04-29