楼主: cisamaqing

ERP审计---讨论与ERP审计相关的控制,安全和审计问题

[复制链接]
论坛徽章:
3
ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:442008新春纪念徽章
日期:2008-02-13 12:43:03
31#
发表于 2008-1-18 23:36 | 只看该作者

C1: - ERP系统(按流程)应用控制、

C1 - 应用系统控制

应用系统控制审阅主要步骤包括:

1、了解业务流程;
2、编制流程图;
3、识别主要风险和控制(手工控制和/或自动控制)
4、对控制进行测试。

值得一提的是,由于ERP系统的可配置性,不是一个配置参数与BEST PRACTICE不一致就一定有WEAKNESS的。 比如ORACLE的DYNAMIC INSERTION,如果启用了,就需要正确配置CROSS VALIDATION RULES,如果没有启用,凭证录入时必须输入有效的、科目表中已存在的科目,这时候就需要更多关注财务科目主数据创建流程(往往是手工控制)和主数据维护相关的权限控制了。

另外,为了更好的理解业务流程,我建议下到被审计单元前,尽可能拿到一些业务流程图或者流程手册,这样能够更高效和有效率访谈关键业务用户。

不管是财务、采购、销售、还是生产成本管理流程,一般都包括主数据管理、业务流程控制、财务记账控制、权限控制(C2部分会展开说),接口程序控制(C3部分展开说)。具体以ORACLE EBS支持的业务流程为例,如下:

财务/总账流程:
   
    1、会计科目维护,主要参数:Cross validation rules, Allow Dynamic Insert, Calendar, Flexfield等。
    2、过账流程,主要参数:Suspense Posting, Freeze Journal Source, 等
    3、期末关账流程,主要参数:Balance Intercompany Journals, Accounting Period, Previous Period Posting Allowed, Allow Preparer Approval, Enable Journal Approval,
以及一些关键手工流程,如:科目维护审批、过账前凭证审批、关账前运行报告检查总账与明细账间数据一致性等。

采购到付款流程:

      1、采购订单流程,主要参数:PO auto-numbering、vendor hold, approval group, 等
      2、采购收货, 主要参数:Goods Receipt auto-numbering, Quantity received over PO quanity等
      3、供应商发票流程, 主要参数:AP tolerance, invoice numbering, invoice date check, invoice approval group, hold unmatched invoice, invoice variance,
      4、 付款流程, 主要参数:purchase line type, Prepayment check, allow pre-date,
      5、 供应商管理, 主要参数:audit trail for vendor, 等
      6、 应付记账, 主要参数:adjustment to JE generate from sub-ledger restricted, Debit Memo Control, Unaccounted Transaction, 等。
以及一些关键手工流程,如:供应商维护、采购订单审批、运行供应商报告检查逾期订单、检查超收订单报告、发票审核、付款审核等。

销售到收款流程:

    1、销售订单流程, 主要参数:Order hold,key entry field,SO auto-numbering, order import source, order type setting
    2、信贷/售价控制, 主要参数:credit checking, Enforce list price, 等
    3、销售发货,主要参数:auto-numbering for shipment confirmation, 等
    4、销售开票,主要参数:auto-numbering for invoice batch, accounting rules for invoicing, Transaction type等
    5、对账与收款,主要参数: auto-matching cash receipt, A/R aging bucket等
    6、应收记账,主要参数:accounting rules for sales/AR,
    7、客户管理,主要参数: customer profile classes, Payment term, Receipt class, Credit check setting,
    8、价格管理, 主要参数:取决于客户不同价格策略(如价目表,高级定价等),价格管理的配置不同,往往价格管理和控制更多依靠手工控制,系统中主要关注如给客户的折扣比率是否与公司政策相符,是否可手工修改订单价格等。

以及一些关键手工流程,如:客户与价格维护、运行信贷报表,价格报表,信贷审核、发货、期末调价处理、应收对账、财务确认收入等。

生产和成本管理流程:
(oracle支持标准成本法和实际成本法,客户选择的成本方法不同则系统配置不同,以下以标准成本法下配置为例):

    1、生产及成本主数据:主要包括:BOM/物料清单, ITEM/货品, 工艺路线/ROUTING,部门/DEPARTMENT, 资源/RESOURCE,标准成本/STANDARD COST 维护, 标准成本计算方法一般如下:

Standard cost = Material Cost + Resource + Overhead
标准成本 = 物料成本(根据BOM卷集)+人工(在成本中心中定义人工费率,工艺路线中维护工时)+期间费用(机器费率*机器小时)

    2、生产流程:主要包括:生产计划、物料需求计划、生产管理如报工,工单关闭等。
   
    3、调整:来料不良、自损、替代件管理等;

    4、记账:生产成本记账大部分为自动,需要关注不同业务记账使用的财务科目,凭证连续编号等。

具体检查的配置见附件。这个是我审计ORACLE 成本管理模块时自己编制的审计底稿(包括控制流程图、控制矩阵、控制测试)样本供大家讨论。之前提到的流程如采购、销售、财务等涉及的审计底稿有些是公司设计的,不方便拿出来共享。

A - 控制流程图
B - 控制矩阵 (格式差一些,大家将就看)
C-  控制测试

[ 本帖最后由 jeff_wu 于 2008-1-19 00:13 编辑 ]

控制流程图.zip

389.7 KB, 下载次数: 543

控制矩阵.zip

17.08 KB, 下载次数: 461

控制测试.zip

111.02 KB, 下载次数: 471

使用道具 举报

回复
论坛徽章:
3
ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:442008新春纪念徽章
日期:2008-02-13 12:43:03
32#
发表于 2008-1-21 23:50 | 只看该作者

C2 - Oracle EBS 系统权限审阅

Oracle 的权限是基于职责(responsibility), 职责是一系列功能的集合,如总账会计,包括凭证录入,报表打印等功能。用户可以被授予多个职责,用户权限是多个职责的并集。除了最主要的功能之外,职责还可以分配SOB/账套,DATA GROUP, MENU,请求(CONCURRENT REQUEST,即报表)以及弹性域安全规则等。我们在对ORACLE EBS系统进行审阅的时候,主要涉及两个层面,一是应用系统支持的总体控制,二是基于业务流程的权限控制,第二部分主要是基于各个职责对应的功能(FUNCTIONS)。 ORACLE EBS系统内的总体控制我会简单介绍,主要对权限控制审阅展开介绍。

另外一个概念是用户预置文件,user profile,分为四个层面, site, application, responsibility, user,后面的priority高于前面的。user profile的概念就是用户在使用系统时候的一些缺省设置,其中涉及一些安全方面的参数。

ORACLE EBS总体控制

  • ORACLE EBS总体控制包括以下:
  • 使用标准的用户权限申请表,用户权限应得到业务部门和IT部门主管审批;
  • 用户权限申请应基于用户工作岗位和职责;
  • 业务部门主管应定期检查部门用户权限的适当性;
  • IT部门应定期检查过期账号;
  • Oracle 系统自带账号和缺省密码应被更改,以下为一些default用户帐号和密码:
               sysadmin/sysadmin
               operations/welcome
               mfg/welcome
               services/welcome

  • 检查诊断工具的设置,确保一些数据库工具,如Examine没有被滥用于访问数据库信息;
  • 用户登陆通知,该类设置会激活用户登陆时的系统提示信息,包括前一次失败的请求,之前用户登陆失败的次数等;
  • 检查职责报告,保证并发请求管理器的用户授权合适(responsibility for concurrent manager operators);
  • 检查审计线索相关配置,确保审计线索对重要表的修改进行了日志记录;
  • 检查密码设置,如密码重用、失败登陆账户锁定的次数、密码长度、密码复杂度、密码过期时间,等;
  • 系统管理模块(System Administration)的访问应限于超级用户;
  • 以下系统管理功能应与业务用户功能分离:
                 Change Profile Options
                 Maintain Reports / Report Sets
                 Maintain Responsibilities
                 Maintain Security Rules
                 Maintain Users
                 Setup Auditing
                 Setup System


ORACLE 业务流程层面的权限控制


业务流程层面的权限控制主要基于两个原则:1、根据岗位职责的用户授权,和;2、关键职责分离

主要的工作方法和步骤如下:

1、基于C1(应用系统和流程控制审阅)的工作结果,确定关键的系统权限;
2、确定关键应分离的职责,并根据职责需要的系统功能,确定应分离的关键系统功能;
3、运行系统权限报表,或执行SQL语句从权限表直接把权限数据取出来;
4、基于关键系统权限和导出的权限数据,检查用户权限的合理性;
5、基于确定的应分离权限/功能,检查职责分离的合理性;

1、业务流程中的关键权限:

具体见附件一(仅作演示用)
附件给出了按业务流程/子流程识别的主要操作,并标示出是否关键权限,对于关键权限进行用户权限的检查;

2、关键职责分离:

可以借鉴附件二(仅作演示用),按流程确定需分离的职责和对应的系统功能


3、提取系统权限数据:
运行以下报表:
  • Active Responsibilities Report - All responsibilities that are currently active, the users who can currently access each responsibility and the start and future end dates when they can access the responsibility.
  • Active Users Report - All the usernames that are both currently active and have at least one active responsibilities
  • Reports & Sets by Responsibility Report - Identifies which reports and report sets are included in the request security groups available to any given responsibilities.
  • Function Security Menu Report - The complete listing of menu’s assigned to the responsibility, including all submenus and functions
  • Function Security Function Report - Lists the functions accessible by the specified responsibility.  The report does not include items excluded by function security rules.
或执行sql,直接从数据库extract,以下仅提供Activie Responsibility Report 的sql供参考:

Active Responsibility Report:

select fr.RESPONSIBILITY_NAME
      ,fr.START_DATE
      --,fr.END_DATE
      ,fr.RESPONSIBILITY_ID
from FND_RESPONSIBILITY_VL fr
where fr.END_DATE is null


4、审阅关键权限是否仅授权给需要用户:

具体见附件三(仅作演示用)
附件中两个示例文件,一个是按功能审核具有该功能的用户,另一个将例外用户帐号列示出来,用于最后的审计报告。

5、职责分离审核

这个麻烦一点,Oracle系统中没有一个功能直接对应用户的数据,我们只能导出Active Responsibilities Report 和Function Security Menu Report , 这两个报表一个包括用户对应职责,另一个包括职责对应功能和菜单(menu),需要用职责将两个表join起来,得到用户对应功能的矩阵。

接下来,准备一个职责分离的测试表, 见附件四(仅作演示用),A列和B列为不相容的功能,将拥有不相容功能的用户分别放入A,B列,如果有一个用户同时出现在AB列,则存在潜在的职责分离冲突,进一步访谈管理层了解是否需要及可能的补偿控制。

按业务流程识别关键权限和功能.zip

4.19 KB, 下载次数: 467

SegregationofDutiesMatrix.zip

45.64 KB, 下载次数: 431

用户权限审核示例.zip

2.19 KB, 下载次数: 446

销售流程职责分离.zip

3.17 KB, 下载次数: 414

使用道具 举报

回复
论坛徽章:
3
ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:442008新春纪念徽章
日期:2008-02-13 12:43:03
33#
发表于 2008-1-21 23:51 | 只看该作者

C3 - 应用系统接口审核

占个楼,下次写

使用道具 举报

回复
论坛徽章:
3
ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:442008新春纪念徽章
日期:2008-02-13 12:43:03
34#
发表于 2008-1-21 23:58 | 只看该作者

JDE 系统审计

JDE在和PEOPLESOFT合并后,04年被ORACLE 收购, 现在是ORACLE的一个产品线,叫ENTERPRISEONE,俗称E1。 附件里是我给STAFF还有客户培训JDE 系统审计的一个材料。给大家参考。

至此,我用一些案例、工作底稿样本和培训材料给大家分别介绍了SAP, ORACLE和JDE三大ERP主流产品的审计流程和方法,希望对大家理解和开展ERP审计有所帮助。 我最近的工作重心逐渐从ERP和IT审计转向管理咨询,但是还是有很多项目涉及系统实施、审计,如一些并购尽职调查中的IT部分,工作方法和交付成果和IT审计接近。 希望有机会和大家交流相关话题。

ERP Audit - J.D.Edwards.zip

1.2 MB, 下载次数: 464

使用道具 举报

回复
论坛徽章:
1
2008新春纪念徽章
日期:2008-02-13 12:43:03
35#
发表于 2008-1-24 22:56 | 只看该作者
thanks~~非常有用的东西!

使用道具 举报

回复
论坛徽章:
0
36#
发表于 2008-1-29 16:39 | 只看该作者
非常谢谢能分享。。

使用道具 举报

回复
论坛徽章:
38
管理团队2006纪念徽章
日期:2006-04-16 22:44:452012新春纪念徽章
日期:2012-02-13 15:11:522012新春纪念徽章
日期:2012-02-13 15:11:522012新春纪念徽章
日期:2012-02-13 15:11:52版主2段
日期:2012-05-15 15:24:11ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:42ITPUB 11周年纪念徽章
日期:2012-10-09 18:03:32现任管理团队成员
日期:2012-10-18 17:00:062013年新春福章
日期:2013-02-25 14:51:24凯迪拉克
日期:2013-09-12 15:56:12
37#
 楼主| 发表于 2008-2-3 10:22 | 只看该作者
谢谢jeff_wu

使用道具 举报

回复
论坛徽章:
5
行业板块每日发贴之星
日期:2008-05-03 01:03:18行业板块每日发贴之星
日期:2008-05-05 01:02:19授权会员
日期:2008-09-01 22:22:06奥运会纪念徽章:马术
日期:2008-10-24 13:03:422009新春纪念徽章
日期:2009-01-04 14:52:28
38#
发表于 2008-2-4 23:23 | 只看该作者
原帖由 中普ZPERP 于 2007-4-5 18:08 发表
工作关系接触过几类不同行业的ERP审计。
当然本人不是审计或会计出身,只是在从事了几年的ERP审计软件的服务而已。
抛砖引玉,希望大家不要见笑。

1、安全
就我所了解的情况来看,除了金融行业,别的行业的被审单位对安全还停留在一个很肤浅的层次上。他们以为数据安全=硬件安全,系统管理员往往只注重病毒、备份、口令等,几乎没人去担心用户权限、数据库访问权限、系统安全(不成熟的ERP产品)等,更不用说硬盘数据恢复、原始数据库修改痕迹(如:反结帐)等了。
接触过50多家大型企业(主要是电力、煤炭、制造等),95%的SQL SERVER数据库没有加密,50%的使用重要模块的部门没有专网(如:财务、工程),50%的系统管理员不明白业务、业务人员不明白数据库(即没有复合型人才)。

。。。。下班了,先写这么多。


系统管理员不明白业务,业务人员不明白数据库,这个与系统安全无关吧~~~~
其他的说得对。

使用道具 举报

回复
论坛徽章:
0
39#
发表于 2008-2-14 13:00 | 只看该作者
谢谢jeff_wu,学习了

使用道具 举报

回复
论坛徽章:
7
ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:442008新春纪念徽章
日期:2008-02-13 12:43:03生肖徽章2007版:猴
日期:2009-05-06 21:10:13参与项目管理沙龙活动纪念
日期:2009-07-28 16:22:212010新春纪念徽章
日期:2010-01-04 08:33:082010新春纪念徽章
日期:2010-03-01 11:06:28
40#
发表于 2008-2-15 19:12 | 只看该作者
老大的帖  顶了

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 未成年人举报专区 
京ICP备16024965号-8  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表