- 相關推薦
基于國外經驗下我國SAP審計框架體系構建的論文
SAP系統是利用現代信息技術,對企業人、財、物和信息資源進行統一集成管理的平臺,通常包括銷售和分銷SD、物料管理MM、財務會計FI和人力資源HR等子系統。SAP系統的實施應用,在提高組織運營效率的同時,也帶來內部控制重點的轉移,并引發新的IT控制風險。相應的,SAP環境下的內部或獨立審計的流程、內容和技術方法都會發生改變。對信息系統風險進行分析通常成為整個審計活動不可缺少的一部分,調閱SAP系統的業務流程設計文檔、操作手冊等文檔,利用系統測試、計算機輔助審計技術等方法成為獲取審計證據的常見形式。本文通過總結美國信息系統審計協會(ISACA)與澳大利亞審計署(ANAO)的國際經驗,進而構建我國SAP系統審計框架,為相應實踐提供可操作的參考。
一、國外SAP系統審計經驗
(一)ISACA的SAP系統審計經驗
ISACA是作為獨立的外部審計組織,已開展多年的企業SAP系統審計業務。ISACA通過發布專門的SAP系統審計指南《Security,Audit and Control Features》來指導具體審計過程,以確定信息系統和相關資源是否受到充分保護、是否能保障數據和系統的完整性、是否能提供相關和可靠信息。
1.審計流程。ISACA將審計流程分為事前檢查階段、初步審計階段、詳細審計階段與報告階段。事前檢查階段審計人員通過查閱系統開發與設計階段的重要文檔、觀察數據庫與應用程序服務器運行環境、評價備份與恢復計劃有效性等措施了解企業。在初步審計階段識別SAP系統的運行環境與關鍵控制。整個審計流程中最重要的階段為詳細審計階段,根據組織的關鍵業務流程對具體系統應用控制進行實質性測試以判斷相關業務的處理邏輯是否正確。在進行具體業務循環審查后通過分析控制成熟度,使利益相關者認識到組織現有控制水平與最佳實踐的差別,體現內部控制的建立與優化。
2.審計方法。SAP系統環境下僅依靠傳統的審計方法如訪談法、觀察法、文檔查閱法來評估風險與控制顯然是不充分的。隨著系統內部信息資源量迅猛增加,獲取審計證據的手段也面臨革新。ISACA在實務中經常使用以下幾種審計技術:
(1)數據挖掘技術。數據挖掘能夠探測控制薄弱點并提供具體信息,從龐大的數據中發現有特殊意義的“知識”,其最大的優點是能夠及時取得充分可靠的審計證據,降低審計風險。數據挖掘工具種類繁多,從經濟實惠的通用工具Microsoft Access、Excel到價格昂貴的專門工具如Audit Control Language(ACL)、Interactive Data Ex-traction and Analysis(IDEA),滿足了不同審計需求。
(2)連續審計技術。連續審計技術借助于自動執行的程序實施數據抽取和分析,使審計人員在事件發生的同時掌握可靠的報告信息,通過對嵌入式審計模塊和連續審計代理技術的運用能實現對數據的自動化截取與處理,有效保證審計信息的時效性。
(3)數據庫活動監控技術。數據庫活動監控技術(DAM)對后臺數據庫數據提供主動監控功能,避免問題數據的傳輸,并且能夠及時通知事件相關用戶。DAM節約了在數據服務器上的花費,加快了處理速度。
3.審計內容。ISACA從組織控制環境、風險評估、控制活動、信息與溝通、監管的角度出發對企業收入循環、支出循環、Basis開展了一系列審計活動。
(1)收入循環。收入流程中主要評價主數據維護、銷售訂單處理、發票處理和現金收據處理等環節控制手段的強健性,其具體內容有:對主數據的變更操作是否合理、完整、準確;是否將主數據創建與變更的職責進行了分離。
(2)支出循環。支出循環中除了對主數據維護保持同樣的謹慎態度外,還應在采購流程、支付流程上重點關注,如是否對輸入、變更、取消、審核、支付供應商款項的職能進行職責分離;是否只對已接收貨物或服務支付款項等。
(3)Basis.Basis是企業安全有效運行SAP系統的基礎,包括系統應用程序安裝、完善、運行、安全等內容。比如審查是否限制對Implementation Guide的訪問、是否恰當設置系統參數以滿足組織環境的要求。
(二)ANAO的SAP系統審計經驗與ISACA的獨立審計不同,ANAO作為政府審計機關主要對政府部門開展SAP系統審計。澳大利亞各政府部門財政資金收入的80%與支出的70%都通過SAP系統運作,因此SAP系統的安全、可靠和有效運行對于政府部門的正常運轉非常重要。為此,ANAO頒布了《Securityand Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指導手冊,通過風險評級與流程控制保證了SAP數據流動過程的完整性、正確性與安全性。
1.審計流程。ANAO的SAP系統審流程分為審計計劃階段、審計實施階段、審計報告階段和審計后續階段。審計計劃階段初步了解被審計單位環境與內部控制制度,對關鍵模塊的控制風險進行分級處理。審計實施階段通過熟悉業務流程與系統文檔,結合配置手段對系統數據執行各項實質性測試。在出具最終審計報告之后,定期進行跟蹤審計保證對審計對象的適時評價、持續監督和及時反饋。
2.審計方法。
(1)系統測試法。ANAO直接調用SAP系統的t-code代碼查詢獲取數據,比如系統內部各類預定義的各種報表,通過對SAP系統產生報表的審閱,能夠偵查系統異常情況或控制漏洞,便于發現違規行為。
(2)嵌入式審計模塊法。AIS(Audit Information Sys-tem)是嵌入在SAP系統中的審計模塊,包括系統審計與業務審計兩個子模塊。系統審計模塊主要用于管理活動與制度,為用戶提供SAP安全控制報告與審計軌跡。業務審計模塊便于審計人員編制資產負債表,并執行總賬、應付賬款和應收賬款等關鍵賬戶的查詢功能。
3.審計內容。政府部門與企業所用SAP系統模塊不盡相同,ANAO的SAP系統審計主要關注采購與應付賬款、總賬、人力資源管理等業務流程。
(1)采購與應付賬款審計。采購流程包括采購申請、供應商選擇、采購訂單處理、貨物收據、發票處理、支付處理等子流程,與應付賬款管理密切相關。對該模塊重點關注:建立訂單是否有相關合同或協議做支撐、變更采購申請或采購訂單細節是否服從適當審批程序等。
(2)人力資源管理審計。人力資源管理模塊主要包括人事管理、工資計算等子流程,重點審查員工固定數據維護(Standing Data)、員工上崗與離崗記錄、員工工時記錄、薪金和福利計算、執行組織計劃與人員招募等內容。比如是否采取控制手段保證員工主數據的完整性、員工離職后的信息是否仍處于激活狀態等。
(3)總賬審計。總賬作為財務會計(FI)模塊重要組成部分記錄組織所有業務交易,與各類信息整合后最終生成資產負債表。審計人員對組織總賬控制有如下關注:是否將總賬維護與登賬職責充分分離、是否對總賬參數配置設置完整等。
(三)國際經驗比較
通過對ISACA和ANAO有關SAP系統審計流程、內容與方法的總結,美澳在審計內容、控制手段、審計方法上有共通之處。在內容上,將ISACA的費用循環審計與ANAO采購及應付賬款審計比較來看,費用支出交易大部分與采購訂單有關,結合兩者共性能概括采購及費用支出類交易的關鍵控制點,并用于實務操作。在具體控制手段上,兩者都涉及變更管理、訪問控制、職責分離、輸入控制、處理控制、接口控制等,比如在輸入控制中只有被授權的個人才能輸入并審核準確的數據、在處理控制中合理限制對數據和信息的訪問、在參數控制中保證設置變更的合理性。在審計方法上,除了采用傳統方法,兩者大多使用計算機輔助審計技術獲取可靠證據。
由于組織類型、規模、功能的差異,SAP系統的應用要求也有所不同。比如在審計內容上,因澳大利亞政府收入來源主要為國家撥款與項目基金,幾乎不存在與銷 售 貨 品 相 關 的 業 務 ,據 此ANAO弱化了與銷售收入相關的審計活動,而ISACA將其視為關鍵環節。
二、我國SAP審計框架體系構建
目前國內涉及信息系統應用控制層面的相關指導有國家審計署頒布的《信息系統審計指南--計算機審計實務公告第34號》、中國內部審計協會頒布的《中國內部審計具體準則第28號--信息系統審計》等,其應用要求分別屬于強烈推薦遵循層次與非強制性層次,更高級別的強制性要求準則尚未發布,而在這些指南中,SAP系統審計相關內容還有極大的豐富與細化空間。在實務方面,我國眾多大型企業如中石油、中石化、聯想、海爾、國家電網等已經普遍使用SAP系統,為有效管理和使用SAP系統、更好實現經濟監督職能,亟待一套相對完整并專門針對SAP系統的審計框架體系來指導實踐活動。
如上圖所示,筆者嘗試構建涵蓋審計目標、審計內容、審計方法等在內的SAP系統環境下的審計框架體系并重點介紹主要控制手段。
1.變更管理。變更活動主要有以下兩種:一是對具體業務活動進行變更,如變更訂單金額、數量、付款單位等信息,該類型變更會削弱交易過程的真實性和完整性,通過分析比較系統產生變更報告與已審批變更文檔,可以有效避免此類現象發生;二是對系統配置進行變更,SAP系統提供了大量有效的系統配置(Configuration)功能,基于SAP系統設置可變更(Configurable settings)的特點,通過定期審核設置變更日志(Change Documents Log)并保證變更管理控制的充分執行,可以有效消除非法變更。
2.訪問控制。在SAP系統中,應在“最小授權原則”的基礎上通過設置行為分配各種權限。物理訪問是用來保護組織使其免受非授權訪問的一種措施,要對計算機場所附近等所有可能出現物理訪問風險的地方都建立有效的控制措施。
3.職責分離。SAP系統環境下職責分離能夠避免由于個人負責多個關鍵職位而產生不正當交易風險,是預防欺詐及惡意行為的重要控制手段,如采購文件的創建與批準不能由同一人執行,以防止產生虛擬訂單并被用戶非法掩蓋,影響采購流程的進行。在對職責分離控制進行分析時,注意不能只考慮某一模塊內部的職責分離,而忽略了與其他相關模塊的關聯和系統外部的手工控制活動。
4.接口控制。SAP系統內部模塊數量較多,數據在模塊與模塊之間的傳遞與轉換是系統整合的重點控制環節,有效的接口控制能夠保證接口數據的完整性、安全性和準確性。如總賬系統中,財務報表應付職工薪酬一欄中的數據來源于人力資源管理模塊的工資單處理數據,應充分保證兩模塊數據間的協調一致性,并定期審查相關接口控制和SAP系統提供的對賬報告。
5.輸入控制。數據一般通過鍵盤手工輸入或系統導入等方式進入系統,輸入錯誤的原因有人為失誤或偽造數據、硬件機械故障、缺乏數據驗證措施等,會導致應用程序系統產生非預期結果。在實務中可以審查以下內容:系統輸入規則、數據采集標準等政策文件;數據輸入校驗機制是否有效、數據輸入錯誤處理功能是否有效等。
6.處理控制。對處理的控制應參照組織業務流程圖以識別關鍵風險控制點,評估系統業務設計合理性與勾稽關系,分析系統運行邏輯,對錯誤處理機制進行評價。如采購訂單建立是否經歷了訂單申請、訂單審核過程;是否對訂單進行功能性分級授權以限制訂單變更操作等。
7.參數控制。參數設置分為系統參數設置與業務參數設置。系統參數設置一般發生在系統初始化過程,如SAP系統中對用戶角色類型、員工編號規則、銷售訂單字段等內容的設置;業務參數設置在系統運行過程中經常發生,如雙重授權(Dual Authorisation)控制功能的開啟。對參數的任何改變都會影響系統工作和內部控制的執行,因此所有參數變更操作將受到嚴格的審批與控制,應結合組織政策和業務流程審查參數設置情況以保證系統的正常運行。
三、實務案例
下面以某集團公司SAP系統審計實務為例,詳細描述相關審計內容與流程。該公司以生產資料流通為主業,經營范圍涉及國內外貿易、現代物流、流通加工等領域,自20世紀90年代起開始大規模進行信息化建設,現今已成功上線銷售與分銷(SD)、物料管理(MM)、財務會計(FI)、管理會計(CO)、財產管理(AM)、人事管理(HR)、項目管理(PS)等多個模塊,這些模塊建立在統一的數據平臺之上,共包括約20 000張數據表,字段超過200萬個,數據結構相當復雜。
根據被審計單位風險環境與SAP系統審計框架的審計目標,審計人員重點關注了系統的可靠性與安全性,警惕系統缺陷與漏洞,督促企業加強對信息系統的經營管理并提高系統運行的效率。對部分重點審計內容和具體過程描述如表2所示。
1.銷售收款循環審計。審計小組通過查閱被審單位的業務流程設計文檔與操作手冊、使用t-code代碼調用內部報告、訪談或現場觀察等方式獲取被審單位的職責分離控制狀況,發現被審單位信用調查與合同審批權限由同一人掌握,削弱了銷售過程的真實性。
2.采購付款循環審計。審計小組通過查閱被審計單位SAP系統的付款流程設計文檔、在SAP系統測試機上修改某供應商的信用數據并運行付款申請功能模塊,發現該功能模塊不能調用供應商信用數據,后續的付款審批和付款執行都不由供應商信用數據控制。結果表明付款申請功能模塊設計與開發存在錯誤。
3.參數配置審計。審計小組通過訪談參數維護的管理人員、查閱參數變更文檔或調整日志,核查異常情況。結果表明該公司對員工工資等個別參數的調整在數據庫上直接操作,且不記錄操作軌跡,不利于數據安全。
4.安全審計。審計人員檢查了有權限訪問“用戶維護”的用戶、有權限維護關鍵或自定義表格的用戶及超級用戶SAP*功能是否失效,據此判斷系統是否運行安全。
主要參考文獻
1.唐志豪,吳葉葵。RTP環境下采購付款業務流程控制的審計。財會月刊,2012;12
2.宋貽生,徐瓊芳。提升信息化環境下大型項目的審計能力。審計月刊,2014;1
【基于國外經驗下我國SAP審計框架體系構建的論文】相關文章:
審計假設體系構建04-30
淺析企業任職資格管理體系構建框架的論文04-27
構建知識框架 形成知識體系05-01
基于流程的協同綜合管理框架與體系05-02
人水和諧的體系框架構建研究04-25
構建我國新型石材標準體系的思考04-28
基于Oracle ADF構建WebGIS應用框架研究04-29
我國廢物管理審計實施框架的探討04-25
本溪新城建設生態城市框架體系的構建04-26