基于國外經(jīng)驗下我國SAP審計框架體系構建的論文

　　SAP系統(tǒng)是利用現(xiàn)代信息技術，對企業(yè)人、財、物和信息資源進行統(tǒng)一集成管理的平臺，通常包括銷售和分銷SD、物料管理MM、財務會計FI和人力資源HR等子系統(tǒng)。SAP系統(tǒng)的實施應用，在提高組織運營效率的同時，也帶來內(nèi)部控制重點的轉移，并引發(fā)新的IT控制風險。相應的，SAP環(huán)境下的內(nèi)部或獨立審計的流程、內(nèi)容和技術方法都會發(fā)生改變。對信息系統(tǒng)風險進行分析通常成為整個審計活動不可缺少的一部分，調(diào)閱SAP系統(tǒng)的業(yè)務流程設計文檔、操作手冊等文檔，利用系統(tǒng)測試、計算機輔助審計技術等方法成為獲取審計證據(jù)的常見形式。本文通過總結美國信息系統(tǒng)審計協(xié)會（ISACA）與澳大利亞審計署（ANAO）的國際經(jīng)驗，進而構建我國SAP系統(tǒng)審計框架，為相應實踐提供可操作的參考。

　　一、國外SAP系統(tǒng)審計經(jīng)驗

　�。ㄒ唬㊣SACA的SAP系統(tǒng)審計經(jīng)驗

　　ISACA是作為獨立的外部審計組織，已開展多年的企業(yè)SAP系統(tǒng)審計業(yè)務。ISACA通過發(fā)布專門的SAP系統(tǒng)審計指南《Security,Audit and Control Features》來指導具體審計過程，以確定信息系統(tǒng)和相關資源是否受到充分保護、是否能保障數(shù)據(jù)和系統(tǒng)的完整性、是否能提供相關和可靠信息。

　　1.審計流程。ISACA將審計流程分為事前檢查階段、初步審計階段、詳細審計階段與報告階段。事前檢查階段審計人員通過查閱系統(tǒng)開發(fā)與設計階段的重要文檔、觀察數(shù)據(jù)庫與應用程序服務器運行環(huán)境、評價備份與恢復計劃有效性等措施了解企業(yè)。在初步審計階段識別SAP系統(tǒng)的運行環(huán)境與關鍵控制。整個審計流程中最重要的階段為詳細審計階段，根據(jù)組織的關鍵業(yè)務流程對具體系統(tǒng)應用控制進行實質性測試以判斷相關業(yè)務的處理邏輯是否正確。在進行具體業(yè)務循環(huán)審查后通過分析控制成熟度，使利益相關者認識到組織現(xiàn)有控制水平與最佳實踐的差別，體現(xiàn)內(nèi)部控制的建立與優(yōu)化。

　　2.審計方法。SAP系統(tǒng)環(huán)境下僅依靠傳統(tǒng)的審計方法如訪談法、觀察法、文檔查閱法來評估風險與控制顯然是不充分的。隨著系統(tǒng)內(nèi)部信息資源量迅猛增加，獲取審計證據(jù)的手段也面臨革新。ISACA在實務中經(jīng)常使用以下幾種審計技術：

　　（1）數(shù)據(jù)挖掘技術。數(shù)據(jù)挖掘能夠探測控制薄弱點并提供具體信息，從龐大的數(shù)據(jù)中發(fā)現(xiàn)有特殊意義的“知識”,其最大的優(yōu)點是能夠及時取得充分可靠的審計證據(jù)，降低審計風險。數(shù)據(jù)挖掘工具種類繁多，從經(jīng)濟實惠的通用工具Microsoft Access、Excel到價格昂貴的專門工具如Audit Control Language（ACL）、Interactive Data Ex-traction and Analysis（IDEA），滿足了不同審計需求。

　�。�2）連續(xù)審計技術。連續(xù)審計技術借助于自動執(zhí)行的程序實施數(shù)據(jù)抽取和分析，使審計人員在事件發(fā)生的同時掌握可靠的報告信息，通過對嵌入式審計模塊和連續(xù)審計代理技術的運用能實現(xiàn)對數(shù)據(jù)的自動化截取與處理，有效保證審計信息的時效性。

　　（3）數(shù)據(jù)庫活動監(jiān)控技術。數(shù)據(jù)庫活動監(jiān)控技術（DAM）對后臺數(shù)據(jù)庫數(shù)據(jù)提供主動監(jiān)控功能，避免問題數(shù)據(jù)的傳輸，并且能夠及時通知事件相關用戶。DAM節(jié)約了在數(shù)據(jù)服務器上的花費，加快了處理速度。

　　3.審計內(nèi)容。ISACA從組織控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)管的角度出發(fā)對企業(yè)收入循環(huán)、支出循環(huán)、Basis開展了一系列審計活動。

　�。�1）收入循環(huán)。收入流程中主要評價主數(shù)據(jù)維護、銷售訂單處理、發(fā)票處理和現(xiàn)金收據(jù)處理等環(huán)節(jié)控制手段的強健性，其具體內(nèi)容有：對主數(shù)據(jù)的變更操作是否合理、完整、準確；是否將主數(shù)據(jù)創(chuàng)建與變更的職責進行了分離。

　　（2）支出循環(huán)。支出循環(huán)中除了對主數(shù)據(jù)維護保持同樣的謹慎態(tài)度外，還應在采購流程、支付流程上重點關注，如是否對輸入、變更、取消、審核、支付供應商款項的職能進行職責分離；是否只對已接收貨物或服務支付款項等。

　�。�3）Basis.Basis是企業(yè)安全有效運行SAP系統(tǒng)的基礎，包括系統(tǒng)應用程序安裝、完善、運行、安全等內(nèi)容。比如審查是否限制對Implementation Guide的訪問、是否恰當設置系統(tǒng)參數(shù)以滿足組織環(huán)境的要求。

　�。ǘ�）ANAO的SAP系統(tǒng)審計經(jīng)驗與ISACA的獨立審計不同，ANAO作為政府審計機關主要對政府部門開展SAP系統(tǒng)審計。澳大利亞各政府部門財政資金收入的80%與支出的70%都通過SAP系統(tǒng)運作，因此SAP系統(tǒng)的安全、可靠和有效運行對于政府部門的正常運轉非常重要。為此，ANAO頒布了《Securityand Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指導手冊，通過風險評級與流程控制保證了SAP數(shù)據(jù)流動過程的完整性、正確性與安全性。

　　1.審計流程。ANAO的SAP系統(tǒng)審流程分為審計計劃階段、審計實施階段、審計報告階段和審計后續(xù)階段。審計計劃階段初步了解被審計單位環(huán)境與內(nèi)部控制制度，對關鍵模塊的控制風險進行分級處理。審計實施階段通過熟悉業(yè)務流程與系統(tǒng)文檔，結合配置手段對系統(tǒng)數(shù)據(jù)執(zhí)行各項實質性測試。在出具最終審計報告之后，定期進行跟蹤審計保證對審計對象的適時評價、持續(xù)監(jiān)督和及時反饋。

　　2.審計方法。

　�。�1）系統(tǒng)測試法。ANAO直接調(diào)用SAP系統(tǒng)的t-code代碼查詢獲取數(shù)據(jù)，比如系統(tǒng)內(nèi)部各類預定義的各種報表，通過對SAP系統(tǒng)產(chǎn)生報表的審閱，能夠偵查系統(tǒng)異常情況或控制漏洞，便于發(fā)現(xiàn)違規(guī)行為。

　�。�2）嵌入式審計模塊法。AIS（Audit Information Sys-tem）是嵌入在SAP系統(tǒng)中的審計模塊，包括系統(tǒng)審計與業(yè)務審計兩個子模塊。系統(tǒng)審計模塊主要用于管理活動與制度，為用戶提供SAP安全控制報告與審計軌跡。業(yè)務審計模塊便于審計人員編制資產(chǎn)負債表，并執(zhí)行總賬、應付賬款和應收賬款等關鍵賬戶的查詢功能。

　　3.審計內(nèi)容。政府部門與企業(yè)所用SAP系統(tǒng)模塊不盡相同，ANAO的SAP系統(tǒng)審計主要關注采購與應付賬款、總賬、人力資源管理等業(yè)務流程。

　�。�1）采購與應付賬款審計。采購流程包括采購申請、供應商選擇、采購訂單處理、貨物收據(jù)、發(fā)票處理、支付處理等子流程，與應付賬款管理密切相關。對該模塊重點關注：建立訂單是否有相關合同或協(xié)議做支撐、變更采購申請或采購訂單細節(jié)是否服從適當審批程序等。

　�。�2）人力資源管理審計。人力資源管理模塊主要包括人事管理、工資計算等子流程，重點審查員工固定數(shù)據(jù)維護（Standing Data）、員工上崗與離崗記錄、員工工時記錄、薪金和福利計算、執(zhí)行組織計劃與人員招募等內(nèi)容。比如是否采取控制手段保證員工主數(shù)據(jù)的完整性、員工離職后的信息是否仍處于激活狀態(tài)等。

　　（3）總賬審計�？傎~作為財務會計（FI）模塊重要組成部分記錄組織所有業(yè)務交易，與各類信息整合后最終生成資產(chǎn)負債表。審計人員對組織總賬控制有如下關注：是否將總賬維護與登賬職責充分分離、是否對總賬參數(shù)配置設置完整等。

　　（三）國際經(jīng)驗比較

　　通過對ISACA和ANAO有關SAP系統(tǒng)審計流程、內(nèi)容與方法的總結，美澳在審計內(nèi)容、控制手段、審計方法上有共通之處。在內(nèi)容上，將ISACA的費用循環(huán)審計與ANAO采購及應付賬款審計比較來看，費用支出交易大部分與采購訂單有關，結合兩者共性能概括采購及費用支出類交易的關鍵控制點，并用于實務操作。在具體控制手段上，兩者都涉及變更管理、訪問控制、職責分離、輸入控制、處理控制、接口控制等，比如在輸入控制中只有被授權的個人才能輸入并審核準確的數(shù)據(jù)、在處理控制中合理限制對數(shù)據(jù)和信息的訪問、在參數(shù)控制中保證設置變更的合理性。在審計方法上，除了采用傳統(tǒng)方法，兩者大多使用計算機輔助審計技術獲取可靠證據(jù)。

　　由于組織類型、規(guī)模、功能的差異，SAP系統(tǒng)的應用要求也有所不同。比如在審計內(nèi)容上，因澳大利亞政府收入來源主要為國家撥款與項目基金，幾乎不存在與銷 售 貨 品 相 關 的 業(yè) 務 ,據(jù) 此ANAO弱化了與銷售收入相關的審計活動，而ISACA將其視為關鍵環(huán)節(jié)。

　　二、我國SAP審計框架體系構建

　　目前國內(nèi)涉及信息系統(tǒng)應用控制層面的相關指導有國家審計署頒布的《信息系統(tǒng)審計指南--計算機審計實務公告第34號》、中國內(nèi)部審計協(xié)會頒布的《中國內(nèi)部審計具體準則第28號--信息系統(tǒng)審計》等，其應用要求分別屬于強烈推薦遵循層次與非強制性層次，更高級別的強制性要求準則尚未發(fā)布，而在這些指南中，SAP系統(tǒng)審計相關內(nèi)容還有極大的豐富與細化空間。在實務方面，我國眾多大型企業(yè)如中石油、中石化、聯(lián)想、海爾、國家電網(wǎng)等已經(jīng)普遍使用SAP系統(tǒng)，為有效管理和使用SAP系統(tǒng)、更好實現(xiàn)經(jīng)濟監(jiān)督職能，亟待一套相對完整并專門針對SAP系統(tǒng)的審計框架體系來指導實踐活動。

　　如上圖所示，筆者嘗試構建涵蓋審計目標、審計內(nèi)容、審計方法等在內(nèi)的SAP系統(tǒng)環(huán)境下的審計框架體系并重點介紹主要控制手段。

　　1.變更管理。變更活動主要有以下兩種：一是對具體業(yè)務活動進行變更，如變更訂單金額、數(shù)量、付款單位等信息，該類型變更會削弱交易過程的真實性和完整性，通過分析比較系統(tǒng)產(chǎn)生變更報告與已審批變更文檔，可以有效避免此類現(xiàn)象發(fā)生；二是對系統(tǒng)配置進行變更，SAP系統(tǒng)提供了大量有效的系統(tǒng)配置（Configuration）功能，基于SAP系統(tǒng)設置可變更（Configurable settings）的特點，通過定期審核設置變更日志（Change Documents Log）并保證變更管理控制的充分執(zhí)行，可以有效消除非法變更。

　　2.訪問控制。在SAP系統(tǒng)中，應在“最小授權原則”的基礎上通過設置行為分配各種權限。物理訪問是用來保護組織使其免受非授權訪問的一種措施，要對計算機場所附近等所有可能出現(xiàn)物理訪問風險的地方都建立有效的控制措施。

　　3.職責分離。SAP系統(tǒng)環(huán)境下職責分離能夠避免由于個人負責多個關鍵職位而產(chǎn)生不正當交易風險，是預防欺詐及惡意行為的重要控制手段，如采購文件的創(chuàng)建與批準不能由同一人執(zhí)行，以防止產(chǎn)生虛擬訂單并被用戶非法掩蓋，影響采購流程的進行。在對職責分離控制進行分析時，注意不能只考慮某一模塊內(nèi)部的職責分離，而忽略了與其他相關模塊的關聯(lián)和系統(tǒng)外部的手工控制活動。

　　4.接口控制。SAP系統(tǒng)內(nèi)部模塊數(shù)量較多，數(shù)據(jù)在模塊與模塊之間的傳遞與轉換是系統(tǒng)整合的重點控制環(huán)節(jié)，有效的接口控制能夠保證接口數(shù)據(jù)的完整性、安全性和準確性。如總賬系統(tǒng)中，財務報表應付職工薪酬一欄中的數(shù)據(jù)來源于人力資源管理模塊的工資單處理數(shù)據(jù)，應充分保證兩模塊數(shù)據(jù)間的協(xié)調(diào)一致性，并定期審查相關接口控制和SAP系統(tǒng)提供的對賬報告。

　　5.輸入控制。數(shù)據(jù)一般通過鍵盤手工輸入或系統(tǒng)導入等方式進入系統(tǒng)，輸入錯誤的原因有人為失誤或偽造數(shù)據(jù)、硬件機械故障、缺乏數(shù)據(jù)驗證措施等，會導致應用程序系統(tǒng)產(chǎn)生非預期結果。在實務中可以審查以下內(nèi)容：系統(tǒng)輸入規(guī)則、數(shù)據(jù)采集標準等政策文件；數(shù)據(jù)輸入校驗機制是否有效、數(shù)據(jù)輸入錯誤處理功能是否有效等。

　　6.處理控制。對處理的控制應參照組織業(yè)務流程圖以識別關鍵風險控制點，評估系統(tǒng)業(yè)務設計合理性與勾稽關系，分析系統(tǒng)運行邏輯，對錯誤處理機制進行評價。如采購訂單建立是否經(jīng)歷了訂單申請、訂單審核過程；是否對訂單進行功能性分級授權以限制訂單變更操作等。

　　7.參數(shù)控制。參數(shù)設置分為系統(tǒng)參數(shù)設置與業(yè)務參數(shù)設置。系統(tǒng)參數(shù)設置一般發(fā)生在系統(tǒng)初始化過程，如SAP系統(tǒng)中對用戶角色類型、員工編號規(guī)則、銷售訂單字段等內(nèi)容的設置；業(yè)務參數(shù)設置在系統(tǒng)運行過程中經(jīng)常發(fā)生，如雙重授權（Dual Authorisation）控制功能的開啟。對參數(shù)的任何改變都會影響系統(tǒng)工作和內(nèi)部控制的執(zhí)行，因此所有參數(shù)變更操作將受到嚴格的審批與控制，應結合組織政策和業(yè)務流程審查參數(shù)設置情況以保證系統(tǒng)的正常運行。

　　三、實務案例

　　下面以某集團公司SAP系統(tǒng)審計實務為例，詳細描述相關審計內(nèi)容與流程。該公司以生產(chǎn)資料流通為主業(yè)，經(jīng)營范圍涉及國內(nèi)外貿(mào)易、現(xiàn)代物流、流通加工等領域，自20世紀90年代起開始大規(guī)模進行信息化建設，現(xiàn)今已成功上線銷售與分銷（SD）、物料管理（MM）、財務會計（FI）、管理會計（CO）、財產(chǎn)管理（AM）、人事管理（HR）、項目管理（PS）等多個模塊，這些模塊建立在統(tǒng)一的數(shù)據(jù)平臺之上，共包括約20 000張數(shù)據(jù)表，字段超過200萬個，數(shù)據(jù)結構相當復雜。

　　根據(jù)被審計單位風險環(huán)境與SAP系統(tǒng)審計框架的審計目標，審計人員重點關注了系統(tǒng)的可靠性與安全性，警惕系統(tǒng)缺陷與漏洞，督促企業(yè)加強對信息系統(tǒng)的經(jīng)營管理并提高系統(tǒng)運行的效率。對部分重點審計內(nèi)容和具體過程描述如表2所示。

　　1.銷售收款循環(huán)審計。審計小組通過查閱被審單位的業(yè)務流程設計文檔與操作手冊、使用t-code代碼調(diào)用內(nèi)部報告、訪談或現(xiàn)場觀察等方式獲取被審單位的職責分離控制狀況，發(fā)現(xiàn)被審單位信用調(diào)查與合同審批權限由同一人掌握，削弱了銷售過程的真實性。

　　2.采購付款循環(huán)審計。審計小組通過查閱被審計單位SAP系統(tǒng)的付款流程設計文檔、在SAP系統(tǒng)測試機上修改某供應商的信用數(shù)據(jù)并運行付款申請功能模塊，發(fā)現(xiàn)該功能模塊不能調(diào)用供應商信用數(shù)據(jù)，后續(xù)的付款審批和付款執(zhí)行都不由供應商信用數(shù)據(jù)控制。結果表明付款申請功能模塊設計與開發(fā)存在錯誤。

　　3.參數(shù)配置審計。審計小組通過訪談參數(shù)維護的管理人員、查閱參數(shù)變更文檔或調(diào)整日志，核查異常情況。結果表明該公司對員工工資等個別參數(shù)的調(diào)整在數(shù)據(jù)庫上直接操作，且不記錄操作軌跡，不利于數(shù)據(jù)安全。

　　4.安全審計。審計人員檢查了有權限訪問“用戶維護”的用戶、有權限維護關鍵或自定義表格的用戶及超級用戶SAP*功能是否失效，據(jù)此判斷系統(tǒng)是否運行安全。

　　主要參考文獻

　　1.唐志豪，吳葉葵。RTP環(huán)境下采購付款業(yè)務流程控制的審計。財會月刊，2012;12

　　2.宋貽生，徐瓊芳。提升信息化環(huán)境下大型項目的審計能力。審計月刊，2014;1

【基于國外經(jīng)驗下我國SAP審計框架體系構建的論文】相關文章：

WTO環(huán)境下我國綠色會計體系基本框架的構建04-28

審計假設體系構建04-30

淺析企業(yè)任職資格管理體系構建框架的論文04-27

構建知識框架 形成知識體系05-01

基于流程的協(xié)同綜合管理框架與體系05-02

人水和諧的體系框架構建研究04-25

構建我國新型石材標準體系的思考04-28

基于Oracle ADF構建WebGIS應用框架研究04-29

我國廢物管理審計實施框架的探討04-25

本溪新城建設生態(tài)城市框架體系的構建04-26