基于國(guó)外經(jīng)驗(yàn)下我國(guó)SAP審計(jì)框架體系構(gòu)建的論文

　　SAP系統(tǒng)是利用現(xiàn)代信息技術(shù)，對(duì)企業(yè)人、財(cái)、物和信息資源進(jìn)行統(tǒng)一集成管理的平臺(tái)，通常包括銷(xiāo)售和分銷(xiāo)SD、物料管理MM、財(cái)務(wù)會(huì)計(jì)FI和人力資源HR等子系統(tǒng)。SAP系統(tǒng)的實(shí)施應(yīng)用，在提高組織運(yùn)營(yíng)效率的同時(shí)，也帶來(lái)內(nèi)部控制重點(diǎn)的轉(zhuǎn)移，并引發(fā)新的IT控制風(fēng)險(xiǎn)。相應(yīng)的，SAP環(huán)境下的內(nèi)部或獨(dú)立審計(jì)的流程、內(nèi)容和技術(shù)方法都會(huì)發(fā)生改變。對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行分析通常成為整個(gè)審計(jì)活動(dòng)不可缺少的一部分，調(diào)閱SAP系統(tǒng)的業(yè)務(wù)流程設(shè)計(jì)文檔、操作手冊(cè)等文檔，利用系統(tǒng)測(cè)試、計(jì)算機(jī)輔助審計(jì)技術(shù)等方法成為獲取審計(jì)證據(jù)的常見(jiàn)形式。本文通過(guò)總結(jié)美國(guó)信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）與澳大利亞審計(jì)署（ANAO）的國(guó)際經(jīng)驗(yàn)，進(jìn)而構(gòu)建我國(guó)SAP系統(tǒng)審計(jì)框架，為相應(yīng)實(shí)踐提供可操作的參考。

　　一、國(guó)外SAP系統(tǒng)審計(jì)經(jīng)驗(yàn)

　�。ㄒ唬㊣SACA的SAP系統(tǒng)審計(jì)經(jīng)驗(yàn)

　　ISACA是作為獨(dú)立的外部審計(jì)組織，已開(kāi)展多年的企業(yè)SAP系統(tǒng)審計(jì)業(yè)務(wù)。ISACA通過(guò)發(fā)布專(zhuān)門(mén)的SAP系統(tǒng)審計(jì)指南《Security,Audit and Control Features》來(lái)指導(dǎo)具體審計(jì)過(guò)程，以確定信息系統(tǒng)和相關(guān)資源是否受到充分保護(hù)、是否能保障數(shù)據(jù)和系統(tǒng)的完整性、是否能提供相關(guān)和可靠信息。

　　1.審計(jì)流程。ISACA將審計(jì)流程分為事前檢查階段、初步審計(jì)階段、詳細(xì)審計(jì)階段與報(bào)告階段。事前檢查階段審計(jì)人員通過(guò)查閱系統(tǒng)開(kāi)發(fā)與設(shè)計(jì)階段的重要文檔、觀察數(shù)據(jù)庫(kù)與應(yīng)用程序服務(wù)器運(yùn)行環(huán)境、評(píng)價(jià)備份與恢復(fù)計(jì)劃有效性等措施了解企業(yè)。在初步審計(jì)階段識(shí)別SAP系統(tǒng)的運(yùn)行環(huán)境與關(guān)鍵控制。整個(gè)審計(jì)流程中最重要的階段為詳細(xì)審計(jì)階段，根據(jù)組織的關(guān)鍵業(yè)務(wù)流程對(duì)具體系統(tǒng)應(yīng)用控制進(jìn)行實(shí)質(zhì)性測(cè)試以判斷相關(guān)業(yè)務(wù)的處理邏輯是否正確。在進(jìn)行具體業(yè)務(wù)循環(huán)審查后通過(guò)分析控制成熟度，使利益相關(guān)者認(rèn)識(shí)到組織現(xiàn)有控制水平與最佳實(shí)踐的差別，體現(xiàn)內(nèi)部控制的建立與優(yōu)化。

　　2.審計(jì)方法。SAP系統(tǒng)環(huán)境下僅依靠傳統(tǒng)的審計(jì)方法如訪談法、觀察法、文檔查閱法來(lái)評(píng)估風(fēng)險(xiǎn)與控制顯然是不充分的。隨著系統(tǒng)內(nèi)部信息資源量迅猛增加，獲取審計(jì)證據(jù)的手段也面臨革新。ISACA在實(shí)務(wù)中經(jīng)常使用以下幾種審計(jì)技術(shù)：

　�。�1）數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘能夠探測(cè)控制薄弱點(diǎn)并提供具體信息，從龐大的數(shù)據(jù)中發(fā)現(xiàn)有特殊意義的“知識(shí)”,其最大的優(yōu)點(diǎn)是能夠及時(shí)取得充分可靠的審計(jì)證據(jù)，降低審計(jì)風(fēng)險(xiǎn)。數(shù)據(jù)挖掘工具種類(lèi)繁多，從經(jīng)濟(jì)實(shí)惠的通用工具M(jìn)icrosoft Access、Excel到價(jià)格昂貴的專(zhuān)門(mén)工具如Audit Control Language（ACL）、Interactive Data Ex-traction and Analysis（IDEA），滿(mǎn)足了不同審計(jì)需求。

　�。�2）連續(xù)審計(jì)技術(shù)。連續(xù)審計(jì)技術(shù)借助于自動(dòng)執(zhí)行的程序?qū)嵤��?shù)據(jù)抽取和分析，使審計(jì)人員在事件發(fā)生的同時(shí)掌握可靠的報(bào)告信息，通過(guò)對(duì)嵌入式審計(jì)模塊和連續(xù)審計(jì)代理技術(shù)的運(yùn)用能實(shí)現(xiàn)對(duì)數(shù)據(jù)的自動(dòng)化截取與處理，有效保證審計(jì)信息的時(shí)效性。

　�。�3）數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控技術(shù)。數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控技術(shù)（DAM）對(duì)后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)提供主動(dòng)監(jiān)控功能，避免問(wèn)題數(shù)據(jù)的傳輸，并且能夠及時(shí)通知事件相關(guān)用戶(hù)。DAM節(jié)約了在數(shù)據(jù)服務(wù)器上的花費(fèi)，加快了處理速度。

　　3.審計(jì)內(nèi)容。ISACA從組織控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)管的角度出發(fā)對(duì)企業(yè)收入循環(huán)、支出循環(huán)、Basis開(kāi)展了一系列審計(jì)活動(dòng)。

　�。�1）收入循環(huán)。收入流程中主要評(píng)價(jià)主數(shù)據(jù)維護(hù)、銷(xiāo)售訂單處理、發(fā)票處理和現(xiàn)金收據(jù)處理等環(huán)節(jié)控制手段的強(qiáng)健性，其具體內(nèi)容有：對(duì)主數(shù)據(jù)的變更操作是否合理、完整、準(zhǔn)確；是否將主數(shù)據(jù)創(chuàng)建與變更的職責(zé)進(jìn)行了分離。

　　（2）支出循環(huán)。支出循環(huán)中除了對(duì)主數(shù)據(jù)維護(hù)保持同樣的謹(jǐn)慎態(tài)度外，還應(yīng)在采購(gòu)流程、支付流程上重點(diǎn)關(guān)注，如是否對(duì)輸入、變更、取消、審核、支付供應(yīng)商款項(xiàng)的職能進(jìn)行職責(zé)分離；是否只對(duì)已接收貨物或服務(wù)支付款項(xiàng)等。

　�。�3）Basis.Basis是企業(yè)安全有效運(yùn)行SAP系統(tǒng)的基礎(chǔ)，包括系統(tǒng)應(yīng)用程序安裝、完善、運(yùn)行、安全等內(nèi)容。比如審查是否限制對(duì)Implementation Guide的訪問(wèn)、是否恰當(dāng)設(shè)置系統(tǒng)參數(shù)以滿(mǎn)足組織環(huán)境的要求。

　�。ǘ�）ANAO的SAP系統(tǒng)審計(jì)經(jīng)驗(yàn)與ISACA的獨(dú)立審計(jì)不同，ANAO作為政府審計(jì)機(jī)關(guān)主要對(duì)政府部門(mén)開(kāi)展SAP系統(tǒng)審計(jì)。澳大利亞各政府部門(mén)財(cái)政資金收入的80%與支出的70%都通過(guò)SAP系統(tǒng)運(yùn)作，因此SAP系統(tǒng)的安全、可靠和有效運(yùn)行對(duì)于政府部門(mén)的正常運(yùn)轉(zhuǎn)非常重要。為此，ANAO頒布了《Securityand Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指導(dǎo)手冊(cè)，通過(guò)風(fēng)險(xiǎn)評(píng)級(jí)與流程控制保證了SAP數(shù)據(jù)流動(dòng)過(guò)程的完整性、正確性與安全性。

　　1.審計(jì)流程。ANAO的SAP系統(tǒng)審流程分為審計(jì)計(jì)劃階段、審計(jì)實(shí)施階段、審計(jì)報(bào)告階段和審計(jì)后續(xù)階段。審計(jì)計(jì)劃階段初步了解被審計(jì)單位環(huán)境與內(nèi)部控制制度，對(duì)關(guān)鍵模塊的控制風(fēng)險(xiǎn)進(jìn)行分級(jí)處理。審計(jì)實(shí)施階段通過(guò)熟悉業(yè)務(wù)流程與系統(tǒng)文檔，結(jié)合配置手段對(duì)系統(tǒng)數(shù)據(jù)執(zhí)行各項(xiàng)實(shí)質(zhì)性測(cè)試。在出具最終審計(jì)報(bào)告之后，定期進(jìn)行跟蹤審計(jì)保證對(duì)審計(jì)對(duì)象的適時(shí)評(píng)價(jià)、持續(xù)監(jiān)督和及時(shí)反饋。

　　2.審計(jì)方法。

　　（1）系統(tǒng)測(cè)試法。ANAO直接調(diào)用SAP系統(tǒng)的t-code代碼查詢(xún)獲取數(shù)據(jù)，比如系統(tǒng)內(nèi)部各類(lèi)預(yù)定義的各種報(bào)表，通過(guò)對(duì)SAP系統(tǒng)產(chǎn)生報(bào)表的審閱，能夠偵查系統(tǒng)異常情況或控制漏洞，便于發(fā)現(xiàn)違規(guī)行為。

　　（2）嵌入式審計(jì)模塊法。AIS（Audit Information Sys-tem）是嵌入在SAP系統(tǒng)中的審計(jì)模塊，包括系統(tǒng)審計(jì)與業(yè)務(wù)審計(jì)兩個(gè)子模塊。系統(tǒng)審計(jì)模塊主要用于管理活動(dòng)與制度，為用戶(hù)提供SAP安全控制報(bào)告與審計(jì)軌跡。業(yè)務(wù)審計(jì)模塊便于審計(jì)人員編制資產(chǎn)負(fù)債表，并執(zhí)行總賬、應(yīng)付賬款和應(yīng)收賬款等關(guān)鍵賬戶(hù)的查詢(xún)功能。

　　3.審計(jì)內(nèi)容。政府部門(mén)與企業(yè)所用SAP系統(tǒng)模塊不盡相同，ANAO的SAP系統(tǒng)審計(jì)主要關(guān)注采購(gòu)與應(yīng)付賬款、總賬、人力資源管理等業(yè)務(wù)流程。

　�。�1）采購(gòu)與應(yīng)付賬款審計(jì)。采購(gòu)流程包括采購(gòu)申請(qǐng)、供應(yīng)商選擇、采購(gòu)訂單處理、貨物收據(jù)、發(fā)票處理、支付處理等子流程，與應(yīng)付賬款管理密切相關(guān)。對(duì)該模塊重點(diǎn)關(guān)注：建立訂單是否有相關(guān)合同或協(xié)議做支撐、變更采購(gòu)申請(qǐng)或采購(gòu)訂單細(xì)節(jié)是否服從適當(dāng)審批程序等。

　�。�2）人力資源管理審計(jì)。人力資源管理模塊主要包括人事管理、工資計(jì)算等子流程，重點(diǎn)審查員工固定數(shù)據(jù)維護(hù)（Standing Data）、員工上崗與離崗記錄、員工工時(shí)記錄、薪金和福利計(jì)算、執(zhí)行組織計(jì)劃與人員招募等內(nèi)容。比如是否采取控制手段保證員工主數(shù)據(jù)的完整性、員工離職后的信息是否仍處于激活狀態(tài)等。

　　（3）總賬審計(jì)。總賬作為財(cái)務(wù)會(huì)計(jì)（FI）模塊重要組成部分記錄組織所有業(yè)務(wù)交易，與各類(lèi)信息整合后最終生成資產(chǎn)負(fù)債表。審計(jì)人員對(duì)組織總賬控制有如下關(guān)注：是否將總賬維護(hù)與登賬職責(zé)充分分離、是否對(duì)總賬參數(shù)配置設(shè)置完整等。

　　（三）國(guó)際經(jīng)驗(yàn)比較

　　通過(guò)對(duì)ISACA和ANAO有關(guān)SAP系統(tǒng)審計(jì)流程、內(nèi)容與方法的總結(jié)，美澳在審計(jì)內(nèi)容、控制手段、審計(jì)方法上有共通之處。在內(nèi)容上，將ISACA的費(fèi)用循環(huán)審計(jì)與ANAO采購(gòu)及應(yīng)付賬款審計(jì)比較來(lái)看，費(fèi)用支出交易大部分與采購(gòu)訂單有關(guān)，結(jié)合兩者共性能概括采購(gòu)及費(fèi)用支出類(lèi)交易的關(guān)鍵控制點(diǎn)，并用于實(shí)務(wù)操作。在具體控制手段上，兩者都涉及變更管理、訪問(wèn)控制、職責(zé)分離、輸入控制、處理控制、接口控制等，比如在輸入控制中只有被授權(quán)的個(gè)人才能輸入并審核準(zhǔn)確的數(shù)據(jù)、在處理控制中合理限制對(duì)數(shù)據(jù)和信息的訪問(wèn)、在參數(shù)控制中保證設(shè)置變更的合理性。在審計(jì)方法上，除了采用傳統(tǒng)方法，兩者大多使用計(jì)算機(jī)輔助審計(jì)技術(shù)獲取可靠證據(jù)。

　　由于組織類(lèi)型、規(guī)模、功能的差異，SAP系統(tǒng)的應(yīng)用要求也有所不同。比如在審計(jì)內(nèi)容上，因澳大利亞政府收入來(lái)源主要為國(guó)家撥款與項(xiàng)目基金，幾乎不存在與銷(xiāo) 售 貨 品 相 關(guān) 的 業(yè) 務(wù) ,據(jù) 此ANAO弱化了與銷(xiāo)售收入相關(guān)的審計(jì)活動(dòng)，而ISACA將其視為關(guān)鍵環(huán)節(jié)。

　　二、我國(guó)SAP審計(jì)框架體系構(gòu)建

　　目前國(guó)內(nèi)涉及信息系統(tǒng)應(yīng)用控制層面的相關(guān)指導(dǎo)有國(guó)家審計(jì)署頒布的《信息系統(tǒng)審計(jì)指南--計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號(hào)》、中國(guó)內(nèi)部審計(jì)協(xié)會(huì)頒布的《中國(guó)內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)--信息系統(tǒng)審計(jì)》等，其應(yīng)用要求分別屬于強(qiáng)烈推薦遵循層次與非強(qiáng)制性層次，更高級(jí)別的強(qiáng)制性要求準(zhǔn)則尚未發(fā)布，而在這些指南中，SAP系統(tǒng)審計(jì)相關(guān)內(nèi)容還有極大的豐富與細(xì)化空間。在實(shí)務(wù)方面，我國(guó)眾多大型企業(yè)如中石油、中石化、聯(lián)想、海爾、國(guó)家電網(wǎng)等已經(jīng)普遍使用SAP系統(tǒng)，為有效管理和使用SAP系統(tǒng)、更好實(shí)現(xiàn)經(jīng)濟(jì)監(jiān)督職能，亟待一套相對(duì)完整并專(zhuān)門(mén)針對(duì)SAP系統(tǒng)的審計(jì)框架體系來(lái)指導(dǎo)實(shí)踐活動(dòng)。

　　如上圖所示，筆者嘗試構(gòu)建涵蓋審計(jì)目標(biāo)、審計(jì)內(nèi)容、審計(jì)方法等在內(nèi)的SAP系統(tǒng)環(huán)境下的審計(jì)框架體系并重點(diǎn)介紹主要控制手段。

　　1.變更管理。變更活動(dòng)主要有以下兩種：一是對(duì)具體業(yè)務(wù)活動(dòng)進(jìn)行變更，如變更訂單金額、數(shù)量、付款單位等信息，該類(lèi)型變更會(huì)削弱交易過(guò)程的真實(shí)性和完整性，通過(guò)分析比較系統(tǒng)產(chǎn)生變更報(bào)告與已審批變更文檔，可以有效避免此類(lèi)現(xiàn)象發(fā)生；二是對(duì)系統(tǒng)配置進(jìn)行變更，SAP系統(tǒng)提供了大量有效的系統(tǒng)配置（Configuration）功能，基于SAP系統(tǒng)設(shè)置可變更（Configurable settings）的特點(diǎn)，通過(guò)定期審核設(shè)置變更日志（Change Documents Log）并保證變更管理控制的充分執(zhí)行，可以有效消除非法變更。

　　2.訪問(wèn)控制。在SAP系統(tǒng)中，應(yīng)在“最小授權(quán)原則”的基礎(chǔ)上通過(guò)設(shè)置行為分配各種權(quán)限。物理訪問(wèn)是用來(lái)保護(hù)組織使其免受非授權(quán)訪問(wèn)的一種措施，要對(duì)計(jì)算機(jī)場(chǎng)所附近等所有可能出現(xiàn)物理訪問(wèn)風(fēng)險(xiǎn)的地方都建立有效的控制措施。

　　3.職責(zé)分離。SAP系統(tǒng)環(huán)境下職責(zé)分離能夠避免由于個(gè)人負(fù)責(zé)多個(gè)關(guān)鍵職位而產(chǎn)生不正當(dāng)交易風(fēng)險(xiǎn)，是預(yù)防欺詐及惡意行為的重要控制手段，如采購(gòu)文件的創(chuàng)建與批準(zhǔn)不能由同一人執(zhí)行，以防止產(chǎn)生虛擬訂單并被用戶(hù)非法掩蓋，影響采購(gòu)流程的進(jìn)行。在對(duì)職責(zé)分離控制進(jìn)行分析時(shí)，注意不能只考慮某一模塊內(nèi)部的職責(zé)分離，而忽略了與其他相關(guān)模塊的關(guān)聯(lián)和系統(tǒng)外部的手工控制活動(dòng)。

　　4.接口控制。SAP系統(tǒng)內(nèi)部模塊數(shù)量較多，數(shù)據(jù)在模塊與模塊之間的傳遞與轉(zhuǎn)換是系統(tǒng)整合的重點(diǎn)控制環(huán)節(jié)，有效的接口控制能夠保證接口數(shù)據(jù)的完整性、安全性和準(zhǔn)確性。如總賬系統(tǒng)中，財(cái)務(wù)報(bào)表應(yīng)付職工薪酬一欄中的數(shù)據(jù)來(lái)源于人力資源管理模塊的工資單處理數(shù)據(jù)，應(yīng)充分保證兩模塊數(shù)據(jù)間的協(xié)調(diào)一致性，并定期審查相關(guān)接口控制和SAP系統(tǒng)提供的對(duì)賬報(bào)告。

　　5.輸入控制。數(shù)據(jù)一般通過(guò)鍵盤(pán)手工輸入或系統(tǒng)導(dǎo)入等方式進(jìn)入系統(tǒng)，輸入錯(cuò)誤的原因有人為失誤或偽造數(shù)據(jù)、硬件機(jī)械故障、缺乏數(shù)據(jù)驗(yàn)證措施等，會(huì)導(dǎo)致應(yīng)用程序系統(tǒng)產(chǎn)生非預(yù)期結(jié)果。在實(shí)務(wù)中可以審查以下內(nèi)容：系統(tǒng)輸入規(guī)則、數(shù)據(jù)采集標(biāo)準(zhǔn)等政策文件；數(shù)據(jù)輸入校驗(yàn)機(jī)制是否有效、數(shù)據(jù)輸入錯(cuò)誤處理功能是否有效等。

　　6.處理控制。對(duì)處理的控制應(yīng)參照組織業(yè)務(wù)流程圖以識(shí)別關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)，評(píng)估系統(tǒng)業(yè)務(wù)設(shè)計(jì)合理性與勾稽關(guān)系，分析系統(tǒng)運(yùn)行邏輯，對(duì)錯(cuò)誤處理機(jī)制進(jìn)行評(píng)價(jià)。如采購(gòu)訂單建立是否經(jīng)歷了訂單申請(qǐng)、訂單審核過(guò)程；是否對(duì)訂單進(jìn)行功能性分級(jí)授權(quán)以限制訂單變更操作等。

　　7.參數(shù)控制。參數(shù)設(shè)置分為系統(tǒng)參數(shù)設(shè)置與業(yè)務(wù)參數(shù)設(shè)置。系統(tǒng)參數(shù)設(shè)置一般發(fā)生在系統(tǒng)初始化過(guò)程，如SAP系統(tǒng)中對(duì)用戶(hù)角色類(lèi)型、員工編號(hào)規(guī)則、銷(xiāo)售訂單字段等內(nèi)容的設(shè)置；業(yè)務(wù)參數(shù)設(shè)置在系統(tǒng)運(yùn)行過(guò)程中經(jīng)常發(fā)生，如雙重授權(quán)（Dual Authorisation）控制功能的開(kāi)啟。對(duì)參數(shù)的任何改變都會(huì)影響系統(tǒng)工作和內(nèi)部控制的執(zhí)行，因此所有參數(shù)變更操作將受到嚴(yán)格的審批與控制，應(yīng)結(jié)合組織政策和業(yè)務(wù)流程審查參數(shù)設(shè)置情況以保證系統(tǒng)的正常運(yùn)行。

　　三、實(shí)務(wù)案例

　　下面以某集團(tuán)公司SAP系統(tǒng)審計(jì)實(shí)務(wù)為例，詳細(xì)描述相關(guān)審計(jì)內(nèi)容與流程。該公司以生產(chǎn)資料流通為主業(yè)，經(jīng)營(yíng)范圍涉及國(guó)內(nèi)外貿(mào)易、現(xiàn)代物流、流通加工等領(lǐng)域，自20世紀(jì)90年代起開(kāi)始大規(guī)模進(jìn)行信息化建設(shè)，現(xiàn)今已成功上線(xiàn)銷(xiāo)售與分銷(xiāo)（SD）、物料管理（MM）、財(cái)務(wù)會(huì)計(jì)（FI）、管理會(huì)計(jì)（CO）、財(cái)產(chǎn)管理（AM）、人事管理（HR）、項(xiàng)目管理（PS）等多個(gè)模塊，這些模塊建立在統(tǒng)一的數(shù)據(jù)平臺(tái)之上，共包括約20 000張數(shù)據(jù)表，字段超過(guò)200萬(wàn)個(gè)，數(shù)據(jù)結(jié)構(gòu)相當(dāng)復(fù)雜。

　　根據(jù)被審計(jì)單位風(fēng)險(xiǎn)環(huán)境與SAP系統(tǒng)審計(jì)框架的審計(jì)目標(biāo)，審計(jì)人員重點(diǎn)關(guān)注了系統(tǒng)的可靠性與安全性，警惕系統(tǒng)缺陷與漏洞，督促企業(yè)加強(qiáng)對(duì)信息系統(tǒng)的經(jīng)營(yíng)管理并提高系統(tǒng)運(yùn)行的效率。對(duì)部分重點(diǎn)審計(jì)內(nèi)容和具體過(guò)程描述如表2所示。

　　1.銷(xiāo)售收款循環(huán)審計(jì)。審計(jì)小組通過(guò)查閱被審單位的業(yè)務(wù)流程設(shè)計(jì)文檔與操作手冊(cè)、使用t-code代碼調(diào)用內(nèi)部報(bào)告、訪談或現(xiàn)場(chǎng)觀察等方式獲取被審單位的職責(zé)分離控制狀況，發(fā)現(xiàn)被審單位信用調(diào)查與合同審批權(quán)限由同一人掌握，削弱了銷(xiāo)售過(guò)程的真實(shí)性。

　　2.采購(gòu)付款循環(huán)審計(jì)。審計(jì)小組通過(guò)查閱被審計(jì)單位SAP系統(tǒng)的付款流程設(shè)計(jì)文檔、在SAP系統(tǒng)測(cè)試機(jī)上修改某供應(yīng)商的信用數(shù)據(jù)并運(yùn)行付款申請(qǐng)功能模塊，發(fā)現(xiàn)該功能模塊不能調(diào)用供應(yīng)商信用數(shù)據(jù)，后續(xù)的付款審批和付款執(zhí)行都不由供應(yīng)商信用數(shù)據(jù)控制。結(jié)果表明付款申請(qǐng)功能模塊設(shè)計(jì)與開(kāi)發(fā)存在錯(cuò)誤。

　　3.參數(shù)配置審計(jì)。審計(jì)小組通過(guò)訪談參數(shù)維護(hù)的管理人員、查閱參數(shù)變更文檔或調(diào)整日志，核查異常情況。結(jié)果表明該公司對(duì)員工工資等個(gè)別參數(shù)的調(diào)整在數(shù)據(jù)庫(kù)上直接操作，且不記錄操作軌跡，不利于數(shù)據(jù)安全。

　　4.安全審計(jì)。審計(jì)人員檢查了有權(quán)限訪問(wèn)“用戶(hù)維護(hù)”的用戶(hù)、有權(quán)限維護(hù)關(guān)鍵或自定義表格的用戶(hù)及超級(jí)用戶(hù)SAP*功能是否失效，據(jù)此判斷系統(tǒng)是否運(yùn)行安全。

　　主要參考文獻(xiàn)

　　1.唐志豪，吳葉葵。RTP環(huán)境下采購(gòu)付款業(yè)務(wù)流程控制的審計(jì)。財(cái)會(huì)月刊，2012;12

　　2.宋貽生，徐瓊芳。提升信息化環(huán)境下大型項(xiàng)目的審計(jì)能力。審計(jì)月刊，2014;1

【基于國(guó)外經(jīng)驗(yàn)下我國(guó)SAP審計(jì)框架體系構(gòu)建的論文】相關(guān)文章：

WTO環(huán)境下我國(guó)綠色會(huì)計(jì)體系基本框架的構(gòu)建04-28

審計(jì)假設(shè)體系構(gòu)建04-30

淺析企業(yè)任職資格管理體系構(gòu)建框架的論文04-27

構(gòu)建知識(shí)框架 形成知識(shí)體系05-01

基于流程的協(xié)同綜合管理框架與體系05-02

人水和諧的體系框架構(gòu)建研究04-25

構(gòu)建我國(guó)新型石材標(biāo)準(zhǔn)體系的思考04-28

基于Oracle ADF構(gòu)建WebGIS應(yīng)用框架研究04-29

我國(guó)廢物管理審計(jì)實(shí)施框架的探討04-25

本溪新城建設(shè)生態(tài)城市框架體系的構(gòu)建04-26