|
|
回复 #66 jeff_wu 的帖子
最近做了2个SAP系统审计,总结一下,也有些许问题请教一下老大们。
由于已经是实施好的项目,领导们要求对SAP系统进行审计。我感觉最重要就是两块:
1. SOD
2. 应用方面的控制
一、SOD:现在阶段只是通过SU01查询指定用户有哪些profile,SUIM查询哪些用户具有指定的T-Code权限等。由于客户群比较大,深感这种方式笨拙。
之后尝试通过后台数据表(Se16)直接将agr_users/AGR_TCodes以及UserList导入到SQL server或Access进行关联处理,最后得出一个SOD的Matrix。正窃喜,发现SAP权限完全不是那么回事,异常复杂。它可以通过Roles--》TCode授权,也可以通过Profile--》Au-object直接授权。查询相关资料及询问consultant,才发现SAP最早授权方式都是通过profile走,后来开发了另一条途径---即直接通过role和t-code授权。
但此时我想得到matrix就很难了,找到了profile的表,也找到了au-object的表,但就是找不到t-code和au-object之间的关系。我也知道,t-code本身也是种au-object,但也可能t-code包括很多au-object。
一直想搞清楚它们之间的关系,以后审计时,直接将数据表导出,进行关联,就能得到很好使用的Matrix,然后比较组织架构图,审计起来也会得心应手。
二. 应用方面控制。
我虽然对财务、物流、销售方面的流程很了解,也做过相关的审计,但这方面的控制点在SAP系统中的应用,知道的还真不多。只知道几个简单的,如:
a、SAP系统中可以设置在收到货以后才可以进行发票校验,这样才能产生AP,如果没有收货,是不让进行发票校验,这样就避免财务的疏忽,看到有AP,以为货已经收到,就把款打给了对方。
b、AP会计将发票号码和发票日期录入系统,系统设置对发票号码进行double check,避免同一发票多次付款。
我所知道的应用控制仅限于此。
现在面临的问题:
1. 由于公司使用SAP的人挺多的,审计SOD(职权分离)如果没有一个好并快速的办法,审计的效率很低。Jeff_Wu,还有路过的高手们,你们在对SAP的权限进行审计时,是怎样具体进行的?谢谢。
2. SAP的应用控制。上SAP系统主要就是提高工作效率,更重要的是加强内部控制,避免人为的疏忽和过失。而我们对SAP的审计在很大程度上希望能够替代部分财务、业务审计。可我们现在知道的系统中应用控制点很少,这样我们SAP审计的价值也就很难突显出来。我跟SAP顾问讨论过,他们懂很多,但他们毕竟不是审计,也不是管理层,基本限于你需要什么,他们能够知道这个功能可不可做,怎么做,很难知道控制点在什么地方。Jeff_Wu,以及知道的朋友们,大家可以一起讨论讨论还有哪些应用控制点我们在SAP审计中可以关注。
谢谢!!! |
|
楼主: cisamaqing
IP卡
狗仔卡
发表于 2009-9-27 11:14
显身卡
