精品一区二区中文在线,无遮挡h肉动漫在线观看,国产99视频精品免视看9,成全免费高清大全

基于國外經(jīng)驗下我國SAP審計框架體系構(gòu)建的論文

時間:2023-04-29 22:58:14 論文范文 我要投稿
  • 相關推薦

基于國外經(jīng)驗下我國SAP審計框架體系構(gòu)建的論文

  SAP系統(tǒng)是利用現(xiàn)代信息技術(shù),對企業(yè)人、財、物和信息資源進行統(tǒng)一集成管理的平臺,通常包括銷售和分銷SD、物料管理MM、財務會計FI和人力資源HR等子系統(tǒng)。SAP系統(tǒng)的實施應用,在提高組織運營效率的同時,也帶來內(nèi)部控制重點的轉(zhuǎn)移,并引發(fā)新的IT控制風險。相應的,SAP環(huán)境下的內(nèi)部或獨立審計的流程、內(nèi)容和技術(shù)方法都會發(fā)生改變。對信息系統(tǒng)風險進行分析通常成為整個審計活動不可缺少的一部分,調(diào)閱SAP系統(tǒng)的業(yè)務流程設計文檔、操作手冊等文檔,利用系統(tǒng)測試、計算機輔助審計技術(shù)等方法成為獲取審計證據(jù)的常見形式。本文通過總結(jié)美國信息系統(tǒng)審計協(xié)會(ISACA)與澳大利亞審計署(ANAO)的國際經(jīng)驗,進而構(gòu)建我國SAP系統(tǒng)審計框架,為相應實踐提供可操作的參考。

基于國外經(jīng)驗下我國SAP審計框架體系構(gòu)建的論文

  一、國外SAP系統(tǒng)審計經(jīng)驗

 。ㄒ唬㊣SACA的SAP系統(tǒng)審計經(jīng)驗

  ISACA是作為獨立的外部審計組織,已開展多年的企業(yè)SAP系統(tǒng)審計業(yè)務。ISACA通過發(fā)布專門的SAP系統(tǒng)審計指南《Security,Audit and Control Features》來指導具體審計過程,以確定信息系統(tǒng)和相關資源是否受到充分保護、是否能保障數(shù)據(jù)和系統(tǒng)的完整性、是否能提供相關和可靠信息。

  1.審計流程。ISACA將審計流程分為事前檢查階段、初步審計階段、詳細審計階段與報告階段。事前檢查階段審計人員通過查閱系統(tǒng)開發(fā)與設計階段的重要文檔、觀察數(shù)據(jù)庫與應用程序服務器運行環(huán)境、評價備份與恢復計劃有效性等措施了解企業(yè)。在初步審計階段識別SAP系統(tǒng)的運行環(huán)境與關鍵控制。整個審計流程中最重要的階段為詳細審計階段,根據(jù)組織的關鍵業(yè)務流程對具體系統(tǒng)應用控制進行實質(zhì)性測試以判斷相關業(yè)務的處理邏輯是否正確。在進行具體業(yè)務循環(huán)審查后通過分析控制成熟度,使利益相關者認識到組織現(xiàn)有控制水平與最佳實踐的差別,體現(xiàn)內(nèi)部控制的建立與優(yōu)化。

  2.審計方法。SAP系統(tǒng)環(huán)境下僅依靠傳統(tǒng)的審計方法如訪談法、觀察法、文檔查閱法來評估風險與控制顯然是不充分的。隨著系統(tǒng)內(nèi)部信息資源量迅猛增加,獲取審計證據(jù)的手段也面臨革新。ISACA在實務中經(jīng)常使用以下幾種審計技術(shù):

 。1)數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘能夠探測控制薄弱點并提供具體信息,從龐大的數(shù)據(jù)中發(fā)現(xiàn)有特殊意義的“知識”,其最大的優(yōu)點是能夠及時取得充分可靠的審計證據(jù),降低審計風險。數(shù)據(jù)挖掘工具種類繁多,從經(jīng)濟實惠的通用工具Microsoft Access、Excel到價格昂貴的專門工具如Audit Control Language(ACL)、Interactive Data Ex-traction and Analysis(IDEA),滿足了不同審計需求。

 。2)連續(xù)審計技術(shù)。連續(xù)審計技術(shù)借助于自動執(zhí)行的程序?qū)嵤⿺?shù)據(jù)抽取和分析,使審計人員在事件發(fā)生的同時掌握可靠的報告信息,通過對嵌入式審計模塊和連續(xù)審計代理技術(shù)的運用能實現(xiàn)對數(shù)據(jù)的自動化截取與處理,有效保證審計信息的時效性。

 。3)數(shù)據(jù)庫活動監(jiān)控技術(shù)。數(shù)據(jù)庫活動監(jiān)控技術(shù)(DAM)對后臺數(shù)據(jù)庫數(shù)據(jù)提供主動監(jiān)控功能,避免問題數(shù)據(jù)的傳輸,并且能夠及時通知事件相關用戶。DAM節(jié)約了在數(shù)據(jù)服務器上的花費,加快了處理速度。

  3.審計內(nèi)容。ISACA從組織控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)管的角度出發(fā)對企業(yè)收入循環(huán)、支出循環(huán)、Basis開展了一系列審計活動。

 。1)收入循環(huán)。收入流程中主要評價主數(shù)據(jù)維護、銷售訂單處理、發(fā)票處理和現(xiàn)金收據(jù)處理等環(huán)節(jié)控制手段的強健性,其具體內(nèi)容有:對主數(shù)據(jù)的變更操作是否合理、完整、準確;是否將主數(shù)據(jù)創(chuàng)建與變更的職責進行了分離。

 。2)支出循環(huán)。支出循環(huán)中除了對主數(shù)據(jù)維護保持同樣的謹慎態(tài)度外,還應在采購流程、支付流程上重點關注,如是否對輸入、變更、取消、審核、支付供應商款項的職能進行職責分離;是否只對已接收貨物或服務支付款項等。

  (3)Basis.Basis是企業(yè)安全有效運行SAP系統(tǒng)的基礎,包括系統(tǒng)應用程序安裝、完善、運行、安全等內(nèi)容。比如審查是否限制對Implementation Guide的訪問、是否恰當設置系統(tǒng)參數(shù)以滿足組織環(huán)境的要求。

  (二)ANAO的SAP系統(tǒng)審計經(jīng)驗與ISACA的獨立審計不同,ANAO作為政府審計機關主要對政府部門開展SAP系統(tǒng)審計。澳大利亞各政府部門財政資金收入的80%與支出的70%都通過SAP系統(tǒng)運作,因此SAP系統(tǒng)的安全、可靠和有效運行對于政府部門的正常運轉(zhuǎn)非常重要。為此,ANAO頒布了《Securityand Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指導手冊,通過風險評級與流程控制保證了SAP數(shù)據(jù)流動過程的完整性、正確性與安全性。

  1.審計流程。ANAO的SAP系統(tǒng)審流程分為審計計劃階段、審計實施階段、審計報告階段和審計后續(xù)階段。審計計劃階段初步了解被審計單位環(huán)境與內(nèi)部控制制度,對關鍵模塊的控制風險進行分級處理。審計實施階段通過熟悉業(yè)務流程與系統(tǒng)文檔,結(jié)合配置手段對系統(tǒng)數(shù)據(jù)執(zhí)行各項實質(zhì)性測試。在出具最終審計報告之后,定期進行跟蹤審計保證對審計對象的適時評價、持續(xù)監(jiān)督和及時反饋。

  2.審計方法。

  (1)系統(tǒng)測試法。ANAO直接調(diào)用SAP系統(tǒng)的t-code代碼查詢獲取數(shù)據(jù),比如系統(tǒng)內(nèi)部各類預定義的各種報表,通過對SAP系統(tǒng)產(chǎn)生報表的審閱,能夠偵查系統(tǒng)異常情況或控制漏洞,便于發(fā)現(xiàn)違規(guī)行為。

 。2)嵌入式審計模塊法。AIS(Audit Information Sys-tem)是嵌入在SAP系統(tǒng)中的審計模塊,包括系統(tǒng)審計與業(yè)務審計兩個子模塊。系統(tǒng)審計模塊主要用于管理活動與制度,為用戶提供SAP安全控制報告與審計軌跡。業(yè)務審計模塊便于審計人員編制資產(chǎn)負債表,并執(zhí)行總賬、應付賬款和應收賬款等關鍵賬戶的查詢功能。

  3.審計內(nèi)容。政府部門與企業(yè)所用SAP系統(tǒng)模塊不盡相同,ANAO的SAP系統(tǒng)審計主要關注采購與應付賬款、總賬、人力資源管理等業(yè)務流程。

 。1)采購與應付賬款審計。采購流程包括采購申請、供應商選擇、采購訂單處理、貨物收據(jù)、發(fā)票處理、支付處理等子流程,與應付賬款管理密切相關。對該模塊重點關注:建立訂單是否有相關合同或協(xié)議做支撐、變更采購申請或采購訂單細節(jié)是否服從適當審批程序等。

 。2)人力資源管理審計。人力資源管理模塊主要包括人事管理、工資計算等子流程,重點審查員工固定數(shù)據(jù)維護(Standing Data)、員工上崗與離崗記錄、員工工時記錄、薪金和福利計算、執(zhí)行組織計劃與人員招募等內(nèi)容。比如是否采取控制手段保證員工主數(shù)據(jù)的完整性、員工離職后的信息是否仍處于激活狀態(tài)等。

  (3)總賬審計。總賬作為財務會計(FI)模塊重要組成部分記錄組織所有業(yè)務交易,與各類信息整合后最終生成資產(chǎn)負債表。審計人員對組織總賬控制有如下關注:是否將總賬維護與登賬職責充分分離、是否對總賬參數(shù)配置設置完整等。

 。ㄈ﹪H經(jīng)驗比較

  通過對ISACA和ANAO有關SAP系統(tǒng)審計流程、內(nèi)容與方法的總結(jié),美澳在審計內(nèi)容、控制手段、審計方法上有共通之處。在內(nèi)容上,將ISACA的費用循環(huán)審計與ANAO采購及應付賬款審計比較來看,費用支出交易大部分與采購訂單有關,結(jié)合兩者共性能概括采購及費用支出類交易的關鍵控制點,并用于實務操作。在具體控制手段上,兩者都涉及變更管理、訪問控制、職責分離、輸入控制、處理控制、接口控制等,比如在輸入控制中只有被授權(quán)的個人才能輸入并審核準確的數(shù)據(jù)、在處理控制中合理限制對數(shù)據(jù)和信息的訪問、在參數(shù)控制中保證設置變更的合理性。在審計方法上,除了采用傳統(tǒng)方法,兩者大多使用計算機輔助審計技術(shù)獲取可靠證據(jù)。

  由于組織類型、規(guī)模、功能的差異,SAP系統(tǒng)的應用要求也有所不同。比如在審計內(nèi)容上,因澳大利亞政府收入來源主要為國家撥款與項目基金,幾乎不存在與銷 售 貨 品 相 關 的 業(yè) 務 ,據(jù) 此ANAO弱化了與銷售收入相關的審計活動,而ISACA將其視為關鍵環(huán)節(jié)。

  二、我國SAP審計框架體系構(gòu)建

  目前國內(nèi)涉及信息系統(tǒng)應用控制層面的相關指導有國家審計署頒布的《信息系統(tǒng)審計指南--計算機審計實務公告第34號》、中國內(nèi)部審計協(xié)會頒布的《中國內(nèi)部審計具體準則第28號--信息系統(tǒng)審計》等,其應用要求分別屬于強烈推薦遵循層次與非強制性層次,更高級別的強制性要求準則尚未發(fā)布,而在這些指南中,SAP系統(tǒng)審計相關內(nèi)容還有極大的豐富與細化空間。在實務方面,我國眾多大型企業(yè)如中石油、中石化、聯(lián)想、海爾、國家電網(wǎng)等已經(jīng)普遍使用SAP系統(tǒng),為有效管理和使用SAP系統(tǒng)、更好實現(xiàn)經(jīng)濟監(jiān)督職能,亟待一套相對完整并專門針對SAP系統(tǒng)的審計框架體系來指導實踐活動。

  如上圖所示,筆者嘗試構(gòu)建涵蓋審計目標、審計內(nèi)容、審計方法等在內(nèi)的SAP系統(tǒng)環(huán)境下的審計框架體系并重點介紹主要控制手段。

  1.變更管理。變更活動主要有以下兩種:一是對具體業(yè)務活動進行變更,如變更訂單金額、數(shù)量、付款單位等信息,該類型變更會削弱交易過程的真實性和完整性,通過分析比較系統(tǒng)產(chǎn)生變更報告與已審批變更文檔,可以有效避免此類現(xiàn)象發(fā)生;二是對系統(tǒng)配置進行變更,SAP系統(tǒng)提供了大量有效的系統(tǒng)配置(Configuration)功能,基于SAP系統(tǒng)設置可變更(Configurable settings)的特點,通過定期審核設置變更日志(Change Documents Log)并保證變更管理控制的充分執(zhí)行,可以有效消除非法變更。

  2.訪問控制。在SAP系統(tǒng)中,應在“最小授權(quán)原則”的基礎上通過設置行為分配各種權(quán)限。物理訪問是用來保護組織使其免受非授權(quán)訪問的一種措施,要對計算機場所附近等所有可能出現(xiàn)物理訪問風險的地方都建立有效的控制措施。

  3.職責分離。SAP系統(tǒng)環(huán)境下職責分離能夠避免由于個人負責多個關鍵職位而產(chǎn)生不正當交易風險,是預防欺詐及惡意行為的重要控制手段,如采購文件的創(chuàng)建與批準不能由同一人執(zhí)行,以防止產(chǎn)生虛擬訂單并被用戶非法掩蓋,影響采購流程的進行。在對職責分離控制進行分析時,注意不能只考慮某一模塊內(nèi)部的職責分離,而忽略了與其他相關模塊的關聯(lián)和系統(tǒng)外部的手工控制活動。

  4.接口控制。SAP系統(tǒng)內(nèi)部模塊數(shù)量較多,數(shù)據(jù)在模塊與模塊之間的傳遞與轉(zhuǎn)換是系統(tǒng)整合的重點控制環(huán)節(jié),有效的接口控制能夠保證接口數(shù)據(jù)的完整性、安全性和準確性。如總賬系統(tǒng)中,財務報表應付職工薪酬一欄中的數(shù)據(jù)來源于人力資源管理模塊的工資單處理數(shù)據(jù),應充分保證兩模塊數(shù)據(jù)間的協(xié)調(diào)一致性,并定期審查相關接口控制和SAP系統(tǒng)提供的對賬報告。

  5.輸入控制。數(shù)據(jù)一般通過鍵盤手工輸入或系統(tǒng)導入等方式進入系統(tǒng),輸入錯誤的原因有人為失誤或偽造數(shù)據(jù)、硬件機械故障、缺乏數(shù)據(jù)驗證措施等,會導致應用程序系統(tǒng)產(chǎn)生非預期結(jié)果。在實務中可以審查以下內(nèi)容:系統(tǒng)輸入規(guī)則、數(shù)據(jù)采集標準等政策文件;數(shù)據(jù)輸入校驗機制是否有效、數(shù)據(jù)輸入錯誤處理功能是否有效等。

  6.處理控制。對處理的控制應參照組織業(yè)務流程圖以識別關鍵風險控制點,評估系統(tǒng)業(yè)務設計合理性與勾稽關系,分析系統(tǒng)運行邏輯,對錯誤處理機制進行評價。如采購訂單建立是否經(jīng)歷了訂單申請、訂單審核過程;是否對訂單進行功能性分級授權(quán)以限制訂單變更操作等。

  7.參數(shù)控制。參數(shù)設置分為系統(tǒng)參數(shù)設置與業(yè)務參數(shù)設置。系統(tǒng)參數(shù)設置一般發(fā)生在系統(tǒng)初始化過程,如SAP系統(tǒng)中對用戶角色類型、員工編號規(guī)則、銷售訂單字段等內(nèi)容的設置;業(yè)務參數(shù)設置在系統(tǒng)運行過程中經(jīng)常發(fā)生,如雙重授權(quán)(Dual Authorisation)控制功能的開啟。對參數(shù)的任何改變都會影響系統(tǒng)工作和內(nèi)部控制的執(zhí)行,因此所有參數(shù)變更操作將受到嚴格的審批與控制,應結(jié)合組織政策和業(yè)務流程審查參數(shù)設置情況以保證系統(tǒng)的正常運行。

  三、實務案例

  下面以某集團公司SAP系統(tǒng)審計實務為例,詳細描述相關審計內(nèi)容與流程。該公司以生產(chǎn)資料流通為主業(yè),經(jīng)營范圍涉及國內(nèi)外貿(mào)易、現(xiàn)代物流、流通加工等領域,自20世紀90年代起開始大規(guī)模進行信息化建設,現(xiàn)今已成功上線銷售與分銷(SD)、物料管理(MM)、財務會計(FI)、管理會計(CO)、財產(chǎn)管理(AM)、人事管理(HR)、項目管理(PS)等多個模塊,這些模塊建立在統(tǒng)一的數(shù)據(jù)平臺之上,共包括約20 000張數(shù)據(jù)表,字段超過200萬個,數(shù)據(jù)結(jié)構(gòu)相當復雜。

  根據(jù)被審計單位風險環(huán)境與SAP系統(tǒng)審計框架的審計目標,審計人員重點關注了系統(tǒng)的可靠性與安全性,警惕系統(tǒng)缺陷與漏洞,督促企業(yè)加強對信息系統(tǒng)的經(jīng)營管理并提高系統(tǒng)運行的效率。對部分重點審計內(nèi)容和具體過程描述如表2所示。

  1.銷售收款循環(huán)審計。審計小組通過查閱被審單位的業(yè)務流程設計文檔與操作手冊、使用t-code代碼調(diào)用內(nèi)部報告、訪談或現(xiàn)場觀察等方式獲取被審單位的職責分離控制狀況,發(fā)現(xiàn)被審單位信用調(diào)查與合同審批權(quán)限由同一人掌握,削弱了銷售過程的真實性。

  2.采購付款循環(huán)審計。審計小組通過查閱被審計單位SAP系統(tǒng)的付款流程設計文檔、在SAP系統(tǒng)測試機上修改某供應商的信用數(shù)據(jù)并運行付款申請功能模塊,發(fā)現(xiàn)該功能模塊不能調(diào)用供應商信用數(shù)據(jù),后續(xù)的付款審批和付款執(zhí)行都不由供應商信用數(shù)據(jù)控制。結(jié)果表明付款申請功能模塊設計與開發(fā)存在錯誤。

  3.參數(shù)配置審計。審計小組通過訪談參數(shù)維護的管理人員、查閱參數(shù)變更文檔或調(diào)整日志,核查異常情況。結(jié)果表明該公司對員工工資等個別參數(shù)的調(diào)整在數(shù)據(jù)庫上直接操作,且不記錄操作軌跡,不利于數(shù)據(jù)安全。

  4.安全審計。審計人員檢查了有權(quán)限訪問“用戶維護”的用戶、有權(quán)限維護關鍵或自定義表格的用戶及超級用戶SAP*功能是否失效,據(jù)此判斷系統(tǒng)是否運行安全。

  主要參考文獻

  1.唐志豪,吳葉葵。RTP環(huán)境下采購付款業(yè)務流程控制的審計。財會月刊,2012;12

  2.宋貽生,徐瓊芳。提升信息化環(huán)境下大型項目的審計能力。審計月刊,2014;1

【基于國外經(jīng)驗下我國SAP審計框架體系構(gòu)建的論文】相關文章:

WTO環(huán)境下我國綠色會計體系基本框架的構(gòu)建04-28

審計假設體系構(gòu)建04-30

淺析企業(yè)任職資格管理體系構(gòu)建框架的論文04-27

構(gòu)建知識框架 形成知識體系05-01

基于流程的協(xié)同綜合管理框架與體系05-02

人水和諧的體系框架構(gòu)建研究04-25

構(gòu)建我國新型石材標準體系的思考04-28

基于Oracle ADF構(gòu)建WebGIS應用框架研究04-29

我國廢物管理審計實施框架的探討04-25

本溪新城建設生態(tài)城市框架體系的構(gòu)建04-26