国外SAP系统审计思路和经验启示.pdf

全国中文核心期刊 财会月刊 · 国外SAP 系统审计思路与经验启示 唐志豪 博士） 刘 瑾 浙江财经大学信息学院 杭州 310018） 摘要】本文从审计对象、目标、流程和内容四个维度归纳比较美国信息 统审计与控制协会与澳大利亚审计 署的SAP 统审计经验，以此构建我国SAP 统审计框架，提出输入控制、处理控制、接口控制、访问控制、变更管理 和职责分离审计是SAP 审计的重点内容，最后通过实务案例表明该框架具有较好的合理性。 关键词】SAP 统审计 国际经验 信息 统审计 SAP 系统是利用现代信息技术，对企业人、财、物和信 系统的运行环境与关键控制。整个审计流程中最重要的 息资源进行统一集成管理的平台，通常包括销售和分销 阶段为详细审计阶段，根据组织的关键业务流程对具体 SD、物料管理 MM 、 务会计 FI 和人力资源 HR 子系 系统应用控制进行实质性测试以判断相关业务的处理逻 统。SAP 系统的实施应用，在提高组织运营效率的同时，也 辑是否正确。在进行具体业务循环审查后通过分析控制 带来内部控制重点的转移，并引发新的IT 控制风险。相应 成熟度，使利益相关者认识到组织现有控制水平与最佳 的，SAP 环境下的内部或独立审计的流程、内容和技术方 实践的差别，体现内部控制的建立与优化。 法都会发生改变。对信息系统风险进 行分析通常成为整个审计活动不可缺 少的一部分，调阅SAP 系统的业务流 程设计文档、操作手册 文档，利用系 统测试、计算机辅助审计技术 方法 成为获取审计证据的常见形式。本文 通过总结美国信息系统审计协会 （ISACA）与澳大利亚审计署（ANAO ） 的国际经验，进而构建我国SAP 系统 审计框架，为相应实践提供可操作的 参考。 图1 ISACA 审计流程图 、国外SAP 系统审计经验 （一）ISACA 的SAP 系统审计经验 2. 审计方法。SAP 系统环境下仅依靠传统的审计方 ISACA 是作为独立的外部审计组织，已开展多年的 法如访谈法、观察法、文档查阅法来评估风险与控制显然 企业SAP 系统审计业务。ISACA 通过发布专门的SAP 系 是不充分的。随着系统内部信息资源量迅猛增加，获取审 统审计指南《Security ，Audit and Control Features》来指导 计证据的手段也面临革新。ISACA 在实务中经常使用以 具体审计过程，以确定信息系统和相关资源是否受到充 下几种审计技术： 分保护、是否能保障数据和系统的完整性、是否能提供相 （1）数据挖掘技术。数据挖掘能够探测控制薄弱点并 关和可靠信息。 提供具体信息，从庞大的数据中发现有特殊意义的“知 1. 审计流程。ISACA 将审计流程分为事前检查阶段、 识”，其最大的优点是能够及时取得充分可靠的审计证 初步审计阶段、详细审计阶段与报告阶段。事前检查阶段 据，降低审计风险。数据挖掘工具种类繁多，从经济实惠 审计人员通过查阅系统开发与设计阶段的重要文档、观 的通用工具Microsoft Access、Excel 到价格昂贵的专门工 察数据库与应用程序服务器运行环境、评价备份与恢复 具如Audit Control Language （ACL ）、Interactive Data Ex⁃ 计划有效性 措施了解企业。在初步审计阶段识别SAP traction and Analysis（IDEA ），满足了不同审计需求。 2014.12 81 财会月刊 全国优秀经济期刊 · （2 ）连续审计技术。连续审计技术 借助于自动执行的程序实施数据抽取 和