ERP审计---讨论与ERP审计相关的控制,安全和审计问题

jeff_wu

大家SHARE一下我给客户介绍SAP系统审计时用的一个模板，不过是英文的，大家将就着看。

背景： 这个客户和IT人员不清楚为什么财务审计要审计他们的ERP系统，于是我准备了这个模板向他们介绍SAP系统对控制目标和财务数据的影响，以及系统审计的工作方式。

内容：包括三类

1、应用系统审计

1.1 应用系统配置
1.2 应用系统访问控制
1.3 应用系统数据维护

2、系统安全审计

2.1 SAP BASIS审计（BASIS为SAP管理系统安全的模块）
2.2 操作系统审计 （为SAP数据库服务器的操作系统）

3、信息系统总体控制审计（包括控制环境、程序开发/变更等）

X-Power

主写得好啊！希望多提供这方面的文章！谢谢了！

bacchusluo

Jeff in KP?

ciobase

有兴趣

yuga999

对于Oracle 财务审计,怎么作呢.

jeff_wu

回复一下楼上提出的需求，用一个案例简单介绍Oracle EBS的审计方法和范围，并给出一些工作底稿样本（部分内容为各类ERP系统所通用）。具体内容会逐步展开。

内容提纲：

一、确定Oracle 系统审计范围

1、与被审计单元（如分公司）确定审计重心（数据、流程、业务系统）；
2、与信息系统部门确定支持审计重心的系统信息（应用系统、操作系统、网络、数据库、系统安全）；
3、在第一、二步的基础上确定审计范围、时间和预算；
4、编制审计计划。

二、开展系统审计现场工作

A: 信息系统总体控制， 分为：总体管理控制、信息系统日常管理、程序变更和开发管理、系统和数据访问管理等；
B: 系统安全审阅：分为：数据库安全审阅、操作系统安全审阅、网络安全审阅等；
C: 应用系统控制， 分为：ERP系统（按流程）应用控制、ERP系统权限审阅、系统接口控制审阅等。

三、质量控制和提交审计报告

I: 审阅工作底稿，保证工作方法和交付结果满足质量控制要求；
II: 向被审计单元和相关部门（如IT部门）提交审计结果和建议；
III: 获取对审计报告和建议的反馈意见和改进计划；

四、跟进

jeff_wu

...

[ 本帖最后由 jeff_wu 于 2008-1-7 20:39 编辑 ]

jeff_wu

1、与被审计单元（如分公司）确定审计重心（数据、流程、业务系统）；

了解现有关键业务流程包括：

• 采购到付款
• 销售到收款
• 存货管理
• 固定资产管理
• 财务总账

了解到支持现有关键业务流程的系统包括：

• Oracle EBS，和
• 地磅管理系统

2、与信息系统部门确定支持审计重心的系统信息

• 操作系统 - Linux、Windows 2003
• 数据库：Oracel 9i, SQL Server 2000
• 系统安全机制：应用系统(Oracle EBS)用户授权机制（Responsibility/Function/Menu）、密码策略等
• 其他安全控制见操作系统和数据库安全审阅；

3、确定审计范围、时间和预算；

确定审计范围：

流程 / 子流程 / 交易         应用软件        数据库        接口        操作系统   
采
购到付款                  Oracle EBIS        Oracle        与地磅系统接口    Linux
销售到收款                Oracle EBIS
存货管理                  Oracle EBIS
固定资产管理              Oracle EBIS
财务总账                  Oracle EBIS
收发货管理                   地磅系统          Oracle        与Oracle接口     Windows 2003

确定审计时间：3周

预算：略

4、编制审计计划

见附件

附件（简化版，仅作演示用）：

• 应用系统清单
• 主机列表
• 审计计划
• 审计所需数据清单

jeff_wu

二、开展系统审计现场工作

A: 信息系统总体控制， 分为：总体管理控制、信息系统日常管理、程序变更和开发管理、系统和数据访问管理等；


A1 - 问卷
这个是我以前做过的某个SOX IT AUDIT项目用的问卷，供大家参考


分为以下7个方面：
1、IT战略、规划和管理
2、基础设施获得、实施和维护
3、系统开发、获得、实施和维护
4、日常维护
5、灾难恢复
6、信息安全
7、物理安全和环境控制

具体见附件1


A2 - 测试

测试应包括两类，第一类是穿行测试，就是选择一个样本测试所有控制点，问卷和穿行测试主要是为了评估控制设计有效性及确定关键控制点。 第二类是控制测试，选择关键控制点进行测试，测试方法包括：询问、观察、抽样等。关键控制点的选择要考虑该控制点所应对的风险影响程度、发生可能性等。

以下是一个控制测试底稿的样本

序号 |  控制活动描述 | 预防性/发现性控制 | 手工/自动/两者兼有 | 是否存在设计缺陷 | 测试描述 | 测试结果


B: 系统安全审阅：分为：数据库安全审阅、操作系统安全审阅、网络安全审阅等；

B1 - 数据库安全审阅

不同数据库的安全特性是不同的，以MS SQL SERVER为例，SQL SERVER的安全很大程度上依赖于其所运行的操作系统安全，因此，往往我们在做数据库安全审阅的同时也需要对数据库服务器的操作系统安全属性进行审阅。

数据库（以MS SQL SERVER 2000为例）的安全相关配置主要可以分为以下几类：

1、审计记录、日志和监控 - 如利用SQL PROFILER审计功能
2、容错、备份和数据恢复 - 访谈了解备份策略， 检查备份日志，确认错误事件的原因和影响；
3、文件系统访问和管理 -

• Enterprise Manager上检查某重要数据库的Replicate是否被禁用；
• 检查关键数据所在目录的文件夹安全设置，检查授权；

4、密码管理

• 检查验证模式：windows还是mix mode；
• 了解系统密码要求；
• 检查系统对更改密码的配置参数；
• 数据库用户密码是否允许为空；
• 
  5、系统特权和系统工具安全
  
  检查有EXEC权限的用户；
  检查远程访问是否允许；
  检查特定存储过程的使用；
  
  
  6、用户/账号管理，及
• 检查管理员组用户；
• 检查GUEST用户；
• 检查所有用户、组、服务器角色和数据库角色；

7、系统层面参数

• 检查数据库补丁是否及时安装；

在开始数据库安全审计前，审计员应理解以下主要数据库概念：

• 数据库版本
• 许可证方式
• 系统数据库
• 用户验证模式
• 数据库用户角色
• 存储过程
• 数据库工具如SQL PROFILER, SQL QUERY ANALYZER等
• SQL SERVER备份策略

SQL PROFILER提供了对安全事件的详细审计功能， SQL PROFILER可以监控的安全事件包括：

• Audit Add DB User Event
• Audit Add Login to Server Role Event
• Audit Add Member to DB Role Event
• Audit Add Role Event
• Audit Addlogin Event
• Audit App Role Change Password Event
• Audit Backup/Restore Event
• Audit Change Audit Event
• Audit DBCC Event
• Audit Login Event
• Audit Login Change Password Event
• Audit Login Change Property Event
• Audit Login Failed Event
• Audit Login GDR Event
• Audit Logout Event
• Audit Object Derived Permission Event
• Audit Object GDR Event
• Audit Object Permission Event
• Audit Server Starts and Stops Event
• Audit Statement GDR Event
• Audit Statement Permission Event

[ 本帖最后由 jeff_wu 于 2008-1-16 23:41 编辑 ]

凉白开水

谢谢jeff