ERP审计---讨论与ERP审计相关的控制,安全和审计问题

jeff_wu

C1 - 应用系统控制

应用系统控制审阅主要步骤包括：

1、了解业务流程；
2、编制流程图；
3、识别主要风险和控制（手工控制和/或自动控制）
4、对控制进行测试。

值得一提的是，由于ERP系统的可配置性，不是一个配置参数与BEST PRACTICE不一致就一定有WEAKNESS的。 比如ORACLE的DYNAMIC INSERTION，如果启用了，就需要正确配置CROSS VALIDATION RULES，如果没有启用，凭证录入时必须输入有效的、科目表中已存在的科目，这时候就需要更多关注财务科目主数据创建流程（往往是手工控制）和主数据维护相关的权限控制了。

另外，为了更好的理解业务流程，我建议下到被审计单元前，尽可能拿到一些业务流程图或者流程手册，这样能够更高效和有效率访谈关键业务用户。

不管是财务、采购、销售、还是生产成本管理流程，一般都包括主数据管理、业务流程控制、财务记账控制、权限控制（C2部分会展开说），接口程序控制（C3部分展开说）。具体以ORACLE EBS支持的业务流程为例，如下：

财务/总账流程：
   
    1、会计科目维护，主要参数：Cross validation rules, Allow Dynamic Insert, Calendar, Flexfield等。
    2、过账流程，主要参数：Suspense Posting, Freeze Journal Source, 等
    3、期末关账流程，主要参数：Balance Intercompany Journals, Accounting Period, Previous Period Posting Allowed, Allow Preparer Approval, Enable Journal Approval,
以及一些关键手工流程，如：科目维护审批、过账前凭证审批、关账前运行报告检查总账与明细账间数据一致性等。

采购到付款流程：

      1、采购订单流程，主要参数：PO auto-numbering、vendor hold, approval group, 等
      2、采购收货， 主要参数：Goods Receipt auto-numbering, Quantity received over PO quanity等
      3、供应商发票流程， 主要参数：AP tolerance, invoice numbering, invoice date check, invoice approval group, hold unmatched invoice, invoice variance,
      4、 付款流程， 主要参数：purchase line type, Prepayment check, allow pre-date,
      5、 供应商管理， 主要参数：audit trail for vendor, 等
      6、 应付记账， 主要参数：adjustment to JE generate from sub-ledger restricted, Debit Memo Control, Unaccounted Transaction, 等。
以及一些关键手工流程，如：供应商维护、采购订单审批、运行供应商报告检查逾期订单、检查超收订单报告、发票审核、付款审核等。

销售到收款流程：

    1、销售订单流程， 主要参数：Order hold,key entry field,SO auto-numbering, order import source, order type setting
    2、信贷/售价控制， 主要参数：credit checking, Enforce list price, 等
    3、销售发货，主要参数：auto-numbering for shipment confirmation, 等
    4、销售开票，主要参数：auto-numbering for invoice batch, accounting rules for invoicing, Transaction type等
    5、对账与收款，主要参数： auto-matching cash receipt, A/R aging bucket等
    6、应收记账，主要参数：accounting rules for sales/AR,
    7、客户管理，主要参数： customer profile classes, Payment term, Receipt class, Credit check setting,
    8、价格管理， 主要参数：取决于客户不同价格策略（如价目表，高级定价等），价格管理的配置不同，往往价格管理和控制更多依靠手工控制，系统中主要关注如给客户的折扣比率是否与公司政策相符，是否可手工修改订单价格等。

以及一些关键手工流程，如：客户与价格维护、运行信贷报表，价格报表，信贷审核、发货、期末调价处理、应收对账、财务确认收入等。

生产和成本管理流程：
（oracle支持标准成本法和实际成本法，客户选择的成本方法不同则系统配置不同，以下以标准成本法下配置为例）：

    1、生产及成本主数据：主要包括：BOM/物料清单， ITEM/货品， 工艺路线/ROUTING，部门/DEPARTMENT, 资源/RESOURCE，标准成本/STANDARD COST 维护， 标准成本计算方法一般如下：

Standard cost = Material Cost + Resource + Overhead
标准成本 = 物料成本（根据BOM卷集）+人工（在成本中心中定义人工费率，工艺路线中维护工时）+期间费用（机器费率*机器小时）

    2、生产流程：主要包括：生产计划、物料需求计划、生产管理如报工，工单关闭等。
   
    3、调整：来料不良、自损、替代件管理等；

    4、记账：生产成本记账大部分为自动，需要关注不同业务记账使用的财务科目，凭证连续编号等。

具体检查的配置见附件。这个是我审计ORACLE 成本管理模块时自己编制的审计底稿（包括控制流程图、控制矩阵、控制测试）样本供大家讨论。之前提到的流程如采购、销售、财务等涉及的审计底稿有些是公司设计的，不方便拿出来共享。

A - 控制流程图
B - 控制矩阵 （格式差一些，大家将就看）
C-  控制测试

[ 本帖最后由 jeff_wu 于 2008-1-19 00:13 编辑 ]

jeff_wu

Oracle 的权限是基于职责(responsibility)， 职责是一系列功能的集合，如总账会计，包括凭证录入，报表打印等功能。用户可以被授予多个职责，用户权限是多个职责的并集。除了最主要的功能之外，职责还可以分配SOB/账套，DATA GROUP， MENU，请求（CONCURRENT REQUEST,即报表）以及弹性域安全规则等。我们在对ORACLE EBS系统进行审阅的时候，主要涉及两个层面，一是应用系统支持的总体控制，二是基于业务流程的权限控制，第二部分主要是基于各个职责对应的功能(FUNCTIONS)。 ORACLE EBS系统内的总体控制我会简单介绍，主要对权限控制审阅展开介绍。

另外一个概念是用户预置文件，user profile，分为四个层面， site, application, responsibility, user，后面的priority高于前面的。user profile的概念就是用户在使用系统时候的一些缺省设置，其中涉及一些安全方面的参数。

ORACLE EBS总体控制

• ORACLE EBS总体控制包括以下：
• 使用标准的用户权限申请表，用户权限应得到业务部门和IT部门主管审批；
• 用户权限申请应基于用户工作岗位和职责；
• 业务部门主管应定期检查部门用户权限的适当性；
• IT部门应定期检查过期账号；
• Oracle 系统自带账号和缺省密码应被更改，以下为一些default用户帐号和密码：

               sysadmin/sysadmin
               operations/welcome
               mfg/welcome
               services/welcome

• 检查诊断工具的设置，确保一些数据库工具，如Examine没有被滥用于访问数据库信息；
• 用户登陆通知，该类设置会激活用户登陆时的系统提示信息，包括前一次失败的请求，之前用户登陆失败的次数等；
• 检查职责报告，保证并发请求管理器的用户授权合适(responsibility for concurrent manager operators)；
• 检查审计线索相关配置，确保审计线索对重要表的修改进行了日志记录；
• 检查密码设置，如密码重用、失败登陆账户锁定的次数、密码长度、密码复杂度、密码过期时间，等；
• 系统管理模块(System Administration)的访问应限于超级用户；
• 以下系统管理功能应与业务用户功能分离：

                 Change Profile Options
                 Maintain Reports / Report Sets
                 Maintain Responsibilities
                 Maintain Security Rules
                 Maintain Users
                 Setup Auditing
                 Setup System


ORACLE 业务流程层面的权限控制


业务流程层面的权限控制主要基于两个原则：1、根据岗位职责的用户授权，和；2、关键职责分离

主要的工作方法和步骤如下：

1、基于C1（应用系统和流程控制审阅）的工作结果，确定关键的系统权限；
2、确定关键应分离的职责，并根据职责需要的系统功能，确定应分离的关键系统功能；
3、运行系统权限报表，或执行SQL语句从权限表直接把权限数据取出来；
4、基于关键系统权限和导出的权限数据，检查用户权限的合理性；
5、基于确定的应分离权限/功能，检查职责分离的合理性；

1、业务流程中的关键权限：

具体见附件一（仅作演示用）
附件给出了按业务流程/子流程识别的主要操作，并标示出是否关键权限，对于关键权限进行用户权限的检查；

2、关键职责分离：

可以借鉴附件二（仅作演示用），按流程确定需分离的职责和对应的系统功能


3、提取系统权限数据：
运行以下报表：

• Active Responsibilities Report - All responsibilities that are currently active, the users who can currently access each responsibility and the start and future end dates when they can access the responsibility.
• Active Users Report - All the usernames that are both currently active and have at least one active responsibilities
• Reports & Sets by Responsibility Report - Identifies which reports and report sets are included in the request security groups available to any given responsibilities.
• Function Security Menu Report - The complete listing of menu’s assigned to the responsibility, including all submenus and functions
• Function Security Function Report - Lists the functions accessible by the specified responsibility.  The report does not include items excluded by function security rules.

或执行sql，直接从数据库extract，以下仅提供Activie Responsibility Report 的sql供参考：

Active Responsibility Report:

select fr.RESPONSIBILITY_NAME
      ,fr.START_DATE
      --,fr.END_DATE
      ,fr.RESPONSIBILITY_ID
from FND_RESPONSIBILITY_VL fr
where fr.END_DATE is null


4、审阅关键权限是否仅授权给需要用户：

具体见附件三（仅作演示用）
附件中两个示例文件，一个是按功能审核具有该功能的用户，另一个将例外用户帐号列示出来，用于最后的审计报告。

5、职责分离审核

这个麻烦一点，Oracle系统中没有一个功能直接对应用户的数据，我们只能导出Active Responsibilities Report 和Function Security Menu Report ， 这两个报表一个包括用户对应职责，另一个包括职责对应功能和菜单(menu)，需要用职责将两个表join起来，得到用户对应功能的矩阵。

接下来，准备一个职责分离的测试表， 见附件四（仅作演示用），A列和B列为不相容的功能，将拥有不相容功能的用户分别放入A,B列，如果有一个用户同时出现在AB列，则存在潜在的职责分离冲突，进一步访谈管理层了解是否需要及可能的补偿控制。

jeff_wu

占个楼，下次写

jeff_wu

JDE在和PEOPLESOFT合并后，04年被ORACLE 收购， 现在是ORACLE的一个产品线，叫ENTERPRISEONE，俗称E1。 附件里是我给STAFF还有客户培训JDE 系统审计的一个材料。给大家参考。

至此，我用一些案例、工作底稿样本和培训材料给大家分别介绍了SAP, ORACLE和JDE三大ERP主流产品的审计流程和方法，希望对大家理解和开展ERP审计有所帮助。 我最近的工作重心逐渐从ERP和IT审计转向管理咨询，但是还是有很多项目涉及系统实施、审计，如一些并购尽职调查中的IT部分，工作方法和交付成果和IT审计接近。 希望有机会和大家交流相关话题。

buaavincent

thanks~~非常有用的东西！

elsa54

非常谢谢能分享。。

cisamaqing

谢谢jeff_wu

appppa

原帖由 中普ZPERP 于 2007-4-5 18:08 发表
工作关系接触过几类不同行业的ERP审计。
当然本人不是审计或会计出身，只是在从事了几年的ERP审计软件的服务而已。
抛砖引玉，希望大家不要见笑。

1、安全
就我所了解的情况来看，除了金融行业，别的行业的被审单位对安全还停留在一个很肤浅的层次上。他们以为数据安全=硬件安全，系统管理员往往只注重病毒、备份、口令等，几乎没人去担心用户权限、数据库访问权限、系统安全（不成熟的ERP产品）等，更不用说硬盘数据恢复、原始数据库修改痕迹（如：反结帐）等了。
接触过50多家大型企业（主要是电力、煤炭、制造等），95%的SQL SERVER数据库没有加密，50%的使用重要模块的部门没有专网（如：财务、工程），50%的系统管理员不明白业务、业务人员不明白数据库（即没有复合型人才）。

。。。。下班了，先写这么多。

系统管理员不明白业务，业务人员不明白数据库，这个与系统安全无关吧~~~~
其他的说得对。

xiaoqiu917

谢谢jeff_wu，学习了

jerryhero

老大的帖  顶了