ERP审计---讨论与ERP审计相关的控制,安全和审计问题

Ryan-liumin · 发表于 2008-7-20 11:18

貌似老大老久没来饿

凉白开水 · 发表于 2008-7-21 13:18

原帖由 Ryan-liumin 于 2008-7-13 16:04 发表
公司的内控貌似对信息安全这块是重点关注的 SAP权限机房的管理数据库访问操作权限病毒安全

————————————————————————————————————————————————————————

关于SAP的information security方面的审计。

CONTROL OBJECTIVES：

（1）Logical security tools and techniques are administered，implemented and configured to enable restriction of access to programs, data, and other information resources.
（2）Physical access restrictions are implemented and administered to ensure that only authorized individuals have the ability to access or use information resources.
（3）All information resources are subject to appropriate physical and logical security.
（4）The entity’s programs, data, and other information resources are protected from viruses.
（5）Software is only loaded on the entity’s computer systems and/or used in accordance with licensing agreements and management’s authorization.
（6）Information resources are protected against environmental hazards and related damage.

[ 本帖最后由凉白开水于 2008-7-21 21:38 编辑 ]

凉白开水 · 发表于 2008-7-21 13:19

控制活动：（太多了，不下上百个……）

举一个例子，（可以详细参考SAP R/3 System On-Line Documentation）

system profile parameters必须按照相关的安全政策来设置。

SAP的安装需按需求设置一些系统参数，如：
  -Minimum password length
-Number of days after which a password must be changed
-Login/fails_to_session_end
-Login/fails_to_user_lock
-rdisp/gui_auto_logout
……
这些参数系统会默认的设置，DEFAULT.PFL

这个控制活动的测试涉及的Transactions/reports：
SA38    Execute report
SE16    View Table
RSPARAM (report)    System Profile Parameters
USR40    Prohibited Passwords

TOC：
首先执行 transaction code SA38，
接着输入报告 RSPARAM 然后按下 F8，检查系统设置的参数是否与既定的安全政策相符合
……

[ 本帖最后由凉白开水于 2008-7-21 22:20 编辑 ]

凉白开水 · 发表于 2008-7-21 13:19

多占了一个位置

[ 本帖最后由凉白开水于 2008-7-21 22:22 编辑 ]

bjhotsky · 发表于 2008-7-21 13:35

继续,加油！

凉白开水 · 发表于 2008-7-21 22:52

原帖由 jeff_wu 于 2008-4-21 15:37 发表

我的观点也是大致3类：ERP实施审计、ERP控制审计和ERP绩效/效益审计

1、ERP实施审计：此类划分与楼上基本一致；
2、ERP控制审计：此类划分包括楼上之ERP系统审计和应用审计的一部分内容，我的看法是，ERP控制审计需要从 A：技术或者说信息技术总体控制、B：业务流程或者说应用系统控制、C：数据、D：系统安全，以及E：系统接口等方面综合评估ERP外围的和ERP自身的控制。楼上ERP应用审计中的“业务流程的遵循情况、控制的有效性和遵从性”都在此列。
3、ERP效益审计：从ERP给企业带来的效益维度评估ERP，包括效益定义、效益实现、效益评估、效益优化等，当然，这个维度更多的是评价ERP对KPI的贡献。举一个简单的例子，系统上线前的存货周转期是几天？实施后希望降低到几天？实施后是否达到效益目标？是否有进一步优化可能？为了提出和回答这些问题而开展的审计，即ERP效益/绩效审计。

欢迎讨论，谢谢！

我目前接触的三类ERP审计

1、合规性审计： GCC+AC
2、实施和维护审计：新系统或ERP功能的实施、变更或维护是否实现了管理层的意图；系统的可维护性及可用性；实施和维护的项目等等
3、“为了提出和回答一些问题而开展的审计”（不知道怎样定义引用Jeff）这些问题大多是由于business和系统的事务模型不一致而导致的， it can really preserve value for the company……

Ryan-liumin · 发表于 2008-7-26 13:25

原帖由 凉白开水 于 2008-7-21 13:18 发表

————————————————————————————————————————————————————————

关于SAP的information security方面的审计。

CONTROL OBJECTIVES：

（1）Logical security tools and techniques are administered，implemented and configured to enable restriction of access to programs, data, and other information resources.
（2）Physical access restrictions are implemented and administered to ensure that only authorized individuals have the ability to access or use information resources.
（3）All information resources are subject to appropriate physical and logical security.
（4）The entity’s programs, data, and other information resources are protected from viruses.
（5）Software is only loaded on the entity’s computer systems and/or used in accordance with licensing agreements and management’s authorization.
（6）Information resources are protected against environmental hazards and related damage.

多谢受用了

xiaorui2004 · 发表于 2008-7-27 15:12

既然是审计。就是要对委托人全面的查核。不存在于那个方面。
只是把审计内容分类。更具有 PKI。对董事会分析企业问题更加方便。

smilefish · 发表于 2008-7-29 08:50

都不过是走走过场，德勤都是如此

jeff_wu · 发表于 2008-7-30 09:20

原帖由 smilefish 于 2008-7-29 08:50 发表
都不过是走走过场，德勤都是如此

要原谅人家嘛， AUDIT SUPPORT，又没钟又没人，当然走走过场了