信息系統(tǒng)審計(jì)師和SAP實(shí)施與控制

1、信息系統(tǒng)審計(jì)師和sap實(shí)施與控制新經(jīng)濟(jì)時代電子商務(wù)帶來企業(yè)組織與交易方式的巨變，這正在導(dǎo)致會 計(jì)和咨詢工作的改變，新的機(jī)會正在不斷出現(xiàn)，但在新機(jī)會新業(yè)務(wù)而 前，會計(jì)業(yè)并沒有像在諸如財(cái)務(wù)報(bào)表鑒證一樣穩(wěn)固的市場地位；咨詢 業(yè)的收入在指數(shù)級增長，但服務(wù)的性質(zhì)也變的越來越有技術(shù)傾向，新 技術(shù)的持續(xù)高速發(fā)展對傳統(tǒng)審計(jì)和咨詢?nèi)藛T不啻是個更大的挑戰(zhàn)。本 系列文章將涉及會計(jì)和咨詢業(yè)從業(yè)人員面臨的挑戰(zhàn)和機(jī)會。我們首先關(guān)注的是近一年多來熱火朝天的erp,目前業(yè)界普遍認(rèn)為： erp的實(shí)施不僅僅是軟件的事，更重要的是一場管理革命。從這個意 義上講，erp只是一張皮，深層次的是企業(yè)內(nèi)部變革，所以管理變革 若以erp為助

2、推器，則erp的實(shí)施將水到渠成；若以erp項(xiàng)目為導(dǎo)火 線，試圖在公司內(nèi)部發(fā)動管理變革，則往往會面臨重重障礙而擱淺， 最終不了 了之，甚至還可能導(dǎo)致公司被it拖垮。眾所周知，會計(jì)和 咨詢業(yè)在管理咨詢領(lǐng)域具有穩(wěn)固的市場地位，但在我國“信息化帶動 工業(yè)化”的大好機(jī)遇面前，會計(jì)和咨詢師如何主動迎接機(jī)遇，在信息 時代一如既往地鞏固其市場地位，這將是一個巨大的挑戰(zhàn)。目前有許多企業(yè)在使用德國sap r/3企業(yè)級集成系統(tǒng)以滿足發(fā)展的需 要，一些企業(yè)在意識到erp的高風(fēng)險(xiǎn)和高失敗率的威脅后，開始借助 于信息系統(tǒng)審計(jì)師，以評估和減少與r/3應(yīng)用相關(guān)的風(fēng)險(xiǎn)。本文正是 以信息系統(tǒng)審計(jì)師在sap的實(shí)施與控制中的角色和作

3、用為例，來闡述 會計(jì)和咨詢師如何投身我國的信息化建設(shè)并發(fā)揮至關(guān)重要的作用。 了解公司文化首耍因素是要了解公司的文化以及對變化的響應(yīng)能力，sap是企業(yè)級 的實(shí)施，將影響到許多部門。因此，有必要理解各部門及他們的問題, 許多分布式組織發(fā)現(xiàn)其部門并不歡迎變化或?qū)Φ种谱兓?，通過教育用 戶了解有關(guān)r/3系統(tǒng)，并讓用戶部門參與到?jīng)Q策過程中，項(xiàng)目組將對 系統(tǒng)變化有更大的接受程度。理解并完成過渡變更第二個關(guān)鍵成功因索是要求全面的業(yè)務(wù)過程變更，這些變更耍在r/3 實(shí)施前完成，每個公司都要在r/3實(shí)施前進(jìn)行業(yè)務(wù)重新評估和重新設(shè) 計(jì)。此外，信息系統(tǒng)審計(jì)師還耍重新評佔(zhàn)更新后對過程的控制，強(qiáng)調(diào) 與新的目標(biāo)和關(guān)的風(fēng)險(xiǎn)。由

4、于新系統(tǒng)的控制與以前環(huán)境屮的控制有所 不同，信息系統(tǒng)審計(jì)師要執(zhí)行設(shè)計(jì)階段評審，處理新系統(tǒng)中的漏洞。 溝通第三個關(guān)鍵要素是溝通。所有新系統(tǒng)所影響的員工都需要指導(dǎo)系統(tǒng)的 改善與變更，這樣才能正確制定期望。因此，有必要在業(yè)務(wù)各級別用 戶z間進(jìn)行溝通。制定嚴(yán)格的溝通計(jì)劃，以促進(jìn)人們接受并全面使用 新系統(tǒng)。信息系統(tǒng)審計(jì)師評估r/3開發(fā)階段吋要保證團(tuán)隊(duì)進(jìn)行了充分溝通，可 以通過會議、討論組與用戶面談，監(jiān)督等方式執(zhí)行評估。溝通的缺乏 將導(dǎo)致對系統(tǒng)變更的抵制，團(tuán)隊(duì)需要意識到項(xiàng)目的成功在于全體人員 的努力。管理層支持許多公司或部門不愿意變更其業(yè)務(wù)以適應(yīng)r/3框架，有的甚至持反對 態(tài)度。獲得管理高層支持，對項(xiàng)冃而

5、言口始口終都極為必要，并且行 政管理者要主動提供承諾。據(jù)統(tǒng)計(jì)，實(shí)施最困難的部分就是使公司的 策略與過程和sap統(tǒng)一起來，r/3是一個集中的、自上而下的結(jié)構(gòu)化 的方法。當(dāng)公司能夠在其限定范圍內(nèi)執(zhí)行操作，就會有成效，因此行 政管理者必須鼓勵推行流程再造。sap項(xiàng)目管理者管理能力項(xiàng)目管理也是關(guān)鍵成功因素之一。企業(yè)級集成信息系統(tǒng)需要處理各方 面的問題，項(xiàng)目管理者應(yīng)該善于在技術(shù)、業(yè)務(wù)、變化管理需求方面進(jìn) 行協(xié)調(diào)。所以，項(xiàng)目管理者以及項(xiàng)目團(tuán)隊(duì)要善于感知新技術(shù)、新業(yè)務(wù) 過程的影響，以及組織結(jié)構(gòu)變更、標(biāo)準(zhǔn)規(guī)程變更的影響，這樣也能防 止項(xiàng)目管理者被實(shí)施項(xiàng)目過程中的沖突所壓倒。團(tuán)隊(duì)項(xiàng)冃團(tuán)隊(duì)包含信息系統(tǒng)人員以及業(yè)務(wù)

6、人員，并要進(jìn)行有效平衡。實(shí)施 r/3時，一些項(xiàng)目角色發(fā)生變化，r/3軟件需要進(jìn)行客戶化，以適應(yīng) 特殊功能的需求，這種客戶化過程是用戶的職責(zé)，用戶通過運(yùn)行它們 的業(yè)務(wù)，并對系統(tǒng)進(jìn)行配置。由于許多功能要向用戶提交新的方式， 項(xiàng)目團(tuán)隊(duì)?wèi)?yīng)該不只包含信息系統(tǒng)人員,而且還要包含受新系統(tǒng)影響的 業(yè)務(wù)部門。此外，有些公司為了加強(qiáng)r/3項(xiàng)目團(tuán)隊(duì)，還聘請外部咨詢 人員。項(xiàng)冃方法論另一個關(guān)鍵成功因素是項(xiàng)目方法論。所選用的項(xiàng)目方法論可以作為項(xiàng) 目團(tuán)隊(duì)的路標(biāo)，目標(biāo)應(yīng)該是清晰與可衡量的。這樣可以定期審查狀況 的改善，確定衡量目標(biāo)再造的重要方面，陳述實(shí)際改善的有效性。系 統(tǒng)集成項(xiàng)目非常復(fù)雜，要求注意細(xì)節(jié)，所有接口都應(yīng)文檔化

7、，這樣任 何變更都能給了足夠重視。不管采用何種方法論，信息系統(tǒng)審計(jì)師都 應(yīng)說清楚，沒有一種方法在任何條件下都適用，信息系統(tǒng)審計(jì)師必須 評估某個特定的實(shí)施方法是否適合于r/3項(xiàng)目。培訓(xùn)對各級用戶的培訓(xùn)是非常必要的，sap環(huán)境將改變許多員工的角色， 需要增加新的技能。工作變更的本質(zhì)要求管理者通過新工作的定義， 報(bào)酬認(rèn)可，重新評估薪酬體系等方式來支持新的丁作環(huán)境，教育和培 訓(xùn)能夠提高用戶解決問題的能力。此外，也有必要對項(xiàng)目團(tuán)隊(duì)進(jìn)行培訓(xùn)，包括技術(shù)、業(yè)務(wù)、變更管理等 培訓(xùn)。由于系統(tǒng)非常復(fù)雜，很難掌握，模式固定，因此實(shí)驗(yàn)是進(jìn)行嘗 試的最好選擇。跟上變化項(xiàng)目團(tuán)隊(duì)要能預(yù)期到實(shí)施r/3的問題。項(xiàng)目團(tuán)隊(duì)要跟得上信

8、息系統(tǒng)變 化，這樣才能克服問題，今天的c/s環(huán)境中，公司實(shí)施sap需要了解 所有關(guān)鍵成功因素。信息系統(tǒng)審計(jì)師和項(xiàng)目團(tuán)隊(duì)要鼓勵考慮到這些關(guān) 鍵因素，為r/3實(shí)施確定一個成功的路線。建立安全和控制sap和r/3為組織創(chuàng)建了一個變更的、對網(wǎng)絡(luò)計(jì)算更多依賴的環(huán)境， 因此需要重新評估信息安全體系，安全體系是各種計(jì)算和網(wǎng)絡(luò)要素的 基礎(chǔ)，安全體系提供一個日常管理和監(jiān)督工具以及技術(shù)，授權(quán)驗(yàn)證過 程等?；窘M件的安全特點(diǎn)信息系統(tǒng)審計(jì)師要保證有足夠的控制減少業(yè)務(wù)風(fēng)險(xiǎn)和安全漏洞，幸運(yùn) 的是sap bc模型有內(nèi)置的安全特點(diǎn)，提供應(yīng)用、數(shù)據(jù)、資源等安全 解決方案，sap安全控制能夠支持身份認(rèn)證、授權(quán)、驗(yàn)證機(jī)制，保證 只

9、有授權(quán)用戶才能訪問特殊的交易與r/3系統(tǒng)。此外，sap程序和數(shù) 據(jù)也進(jìn)行了內(nèi)部保護(hù)，由于sap的安全與控制特性，r/3的復(fù)雜環(huán)境 能夠受到充分保護(hù)。安全系統(tǒng)有效性取決于安全措施的組合，安全措施需要確定使用系統(tǒng) 的用戶身份，以下是信息系統(tǒng)審計(jì)師需要審查的領(lǐng)域，這些是sap獨(dú) 特的安全組件：u登錄過程u用戶交控記錄 u授權(quán)對象u授權(quán)價(jià)值集合u授權(quán)輪廓u附加授權(quán)檢驗(yàn)u變更u訪問控制總量總乙r/3的用戶訪問過程非常詳細(xì)，在用戶發(fā)起交易吋，sap執(zhí)行 訪問校驗(yàn)過程，通過id號與密碼獲取訪問權(quán)限，但進(jìn)入系統(tǒng)后，如 果交易沒有被定義或被鎖在tstc表內(nèi)，也不能進(jìn)行交易。此外，如 果定義了附加授權(quán)檢驗(yàn)，則授權(quán)

10、集合也要接受檢驗(yàn)，如果用戶沒有被 授權(quán)附加檢驗(yàn)，則拒絕。最后還要檢驗(yàn)詳細(xì)的用戶授權(quán)，決定用戶是 否有權(quán)訪問某個對象。在r/3中，用戶訪問能力由用戶主控記錄授權(quán)價(jià)值集合、授權(quán)輪廓來 管理。為保證所有用戶訪問符合公司管理策略、規(guī)程、準(zhǔn)則，必須對 變更實(shí)施控制，包括用戶主控記錄，輪廓，授權(quán)價(jià)值集合等。r/3系 統(tǒng)提供了標(biāo)準(zhǔn)授權(quán)對象，這樣它們可用于控制不同用戶組的管理者行 動，指定管理者也能夠維護(hù)或用戶能夠添加到用戶主控記錄中的輪 廓。此外，也要限定管理者維護(hù)的授權(quán)集合。管理控制管理控制通過文檔化策略與規(guī)程進(jìn)行實(shí)施，由人來實(shí)施而不是系統(tǒng)實(shí) 施。這些控制表達(dá)訪問數(shù)據(jù)，系統(tǒng)開發(fā)，客戶化修正，維護(hù)過程。sap 系統(tǒng)提供的自動控制過程在實(shí)施了控制規(guī)程后更為有效。通過建立基 于業(yè)務(wù)的策略和規(guī)程，表達(dá)訪問控制、保密完整性、安全管理等