信息系统审计师和SAP实施与控制.docVIP

　　信息系统审计师和SAP实施与控制|第1 内容显示中目前有许多组织在使用德国R/3企业级集成系统以满足发展的需要。在意识到ERP的高风险和高失败率的威胁后，一些组织开始借助于信息系统审计师，以评估和减少与R/3应用相关的风险。 实施R3需要了解它的独特性，本案例将讨论通用实施准则以及R/3环境下的特殊准则。 了解公司文化 首要因素是要了解公司的文化以及对变化的响应能力，SAP是企业级的实施，将影响到许多部门。因此，有必要理解各部门及他们的问题，许多分布式组织发现其部门并不欢迎变化或对抵制变化，通过教育用户了解有关R/3系统，并让用户部门参与到决策过程中，项目组将对系统变化有更大的接受程度。 理解并完成过渡变更 第二个关键成功因素是要求全面的业务过程变更，这些变更要在R/3实施前完成，每个公司都要在R/3实施前进行业务重新评估和重新设计。此外，信息系统审计师还要重新评估更新后对过程的控制，强调与新的目标相关的风险。由于新系统的控制与以前环境中的控制有所不同，信息系统审计师要执行设计阶段评审，处理新系统中的漏洞。 沟通 第三个关键要素是沟通。所有新系统所影响的员工都需要指导系统的改善与变更，这样才能正确制定期望。因此，有必要在业务各级别用户之间进行沟通。制定严格的沟通计划，以促进人们接受并全面使用新系统。 信息系统审计师评估R/3开发阶段时要保证团队进行了充分沟通，可以通过会议、讨论组与用户面谈，监督等方式执行评估。沟通的缺乏将导致对系统变更的抵制，团队需要意识到项目的成功在于全体人员的努力。 管理层支持 许多公司或部门不愿意变更其业务以适应R/3框架，有的甚至持反对态度。获得管理高层支持，对项目而言自始自终都极为必要，并且行政管理者要主动提供承诺。据统计，实施最困难的部分就是使公司的策略与过程和SAP统一起来，R/3是一个集中的、自上而下的结构化的方法。当公司能够在其限定范围内执行操作，就会有成效，因此行政管理者必须鼓励推行流程再造。 SAP项目管理者管理能力 项目管理也是关键成功因素之一。企业级集成信息系统需要处理各方面的问题，项目管理者应该善于在技术、业务、变化管理需求方面进行协调。所以，项目管理者以及项目团队要善于感知新技术、新业务过程的影响，以及组织结构变更、标准规程变更的影响，这样也能防止项目管理者被实施项目过程中的冲突所压倒。 团队 项目团队包含信息系统人员以及业务人员，并要进行有效平衡。实施R/3时，一些项目角色发生变化，R/3软件需要进行客户化，以适应特殊功能的需求，这种客户化过程是用户的职责，用户通过运行它们的业务，并对系统进行配置。由于许多功能要向用户提交新的方式，项目团队应该不只包含信息系统人员，而且还要包含受新系统影响的业务部门。此外，有些公司为了加强R/3项目团队，还聘请外部咨询人员。 项目方法论 另一个关键成功因素是项目方法论。所选用的项目方法论可以作为项目团队的路标，目标应该是清晰与可衡量的。这样可以定期审查状况的改善，确定衡量目标再造的重要方面，陈述实际改善的有效性。系统集成项目非常复杂，要求注意细节，所有接口都应文档化，这样任何变更都能给予足够重视。不管采用何种方法论，信息系统审计师都应说清楚，没有一种方法在任何条件下都适用，信息系统审计师必须评估某个特定的实施方法是否适合于R/3项目。 培训 对各级用户的培训是非常必要的，SAP环境将改变许多员工的角色，需要增加新的技能。工作变更的本质要求管理者通过新工作的定义，报酬认可，重新评估薪酬体系等方式来支持新的工作环境，教育和培训能够提高用户解决问题的能力。 此外，也有必要对项目团队进行培训，包括技术、业务、变更管理等培训。由于系统非常复杂，很难掌握，模式固定，因此实验是进行尝试的最好选择。 跟上变化 项目团队要能预期到实施R/3的问题。项目团队要跟得上信息系统变化，这样才能克服问题，今天的C/S环境中，公司实施SAP需要了解所有关键成功因素。信息系统审计师和项目团队要鼓励考虑到这些关键因素，为R/3实施确定一个成功的路线。 建立安全和控制 SAP和R/3为组织创建了一个变更的、对网络计算更多依赖的环境，因此需要重新评估信息安全体系，安全体系是各种计算和网络要素的基础，安全体系提供一个日常管理和监督工具以及技术，授权验证过程等。 基本组件的安全特点 信息系统审计师要保证有足够的控制减少业务风险和安全漏洞，幸运的是SAP BC模型有内置的安全特点，提供应用、数据、资源等安全解决方案，SAP安全控制能够支持身份认证、授权、验证机制，保证只有授权用户才能访问特殊的交易与R/3系统。此外，SAP程序和数据也进行了内部保护，由于SAP的安全与控制特性，R/3的复杂环