信息系統(tǒng)審計師和SAP實施與控制

1、信息系統(tǒng)審計師和sap實施與控制新經(jīng)濟時代電子商務(wù)帶來企業(yè)組織與交易方式的巨變，這正在導(dǎo)致會 計和咨詢工作的改變，新的機會正在不斷出現(xiàn)，但在新機會新業(yè)務(wù)而 前，會計業(yè)并沒有像在諸如財務(wù)報表鑒證一樣穩(wěn)固的市場地位；咨詢 業(yè)的收入在指數(shù)級增長，但服務(wù)的性質(zhì)也變的越來越有技術(shù)傾向，新 技術(shù)的持續(xù)高速發(fā)展對傳統(tǒng)審計和咨詢?nèi)藛T不啻是個更大的挑戰(zhàn)。本 系列文章將涉及會計和咨詢業(yè)從業(yè)人員面臨的挑戰(zhàn)和機會。我們首先關(guān)注的是近一年多來熱火朝天的erp,目前業(yè)界普遍認為： erp的實施不僅僅是軟件的事，更重要的是一場管理革命。從這個意 義上講，erp只是一張皮，深層次的是企業(yè)內(nèi)部變革，所以管理變革 若以erp為助

2、推器，則erp的實施將水到渠成；若以erp項目為導(dǎo)火 線，試圖在公司內(nèi)部發(fā)動管理變革，則往往會面臨重重障礙而擱淺， 最終不了 了之，甚至還可能導(dǎo)致公司被it拖垮。眾所周知，會計和 咨詢業(yè)在管理咨詢領(lǐng)域具有穩(wěn)固的市場地位，但在我國“信息化帶動 工業(yè)化”的大好機遇面前，會計和咨詢師如何主動迎接機遇，在信息 時代一如既往地鞏固其市場地位，這將是一個巨大的挑戰(zhàn)。目前有許多企業(yè)在使用德國sap r/3企業(yè)級集成系統(tǒng)以滿足發(fā)展的需 要，一些企業(yè)在意識到erp的高風(fēng)險和高失敗率的威脅后，開始借助 于信息系統(tǒng)審計師，以評估和減少與r/3應(yīng)用相關(guān)的風(fēng)險。本文正是 以信息系統(tǒng)審計師在sap的實施與控制中的角色和作

3、用為例，來闡述 會計和咨詢師如何投身我國的信息化建設(shè)并發(fā)揮至關(guān)重要的作用。 了解公司文化首耍因素是要了解公司的文化以及對變化的響應(yīng)能力，sap是企業(yè)級 的實施，將影響到許多部門。因此，有必要理解各部門及他們的問題, 許多分布式組織發(fā)現(xiàn)其部門并不歡迎變化或?qū)Φ种谱兓?，通過教育用 戶了解有關(guān)r/3系統(tǒng)，并讓用戶部門參與到?jīng)Q策過程中，項目組將對 系統(tǒng)變化有更大的接受程度。理解并完成過渡變更第二個關(guān)鍵成功因索是要求全面的業(yè)務(wù)過程變更，這些變更耍在r/3 實施前完成，每個公司都要在r/3實施前進行業(yè)務(wù)重新評估和重新設(shè) 計。此外，信息系統(tǒng)審計師還耍重新評佔更新后對過程的控制，強調(diào) 與新的目標(biāo)和關(guān)的風(fēng)險。由

4、于新系統(tǒng)的控制與以前環(huán)境屮的控制有所 不同，信息系統(tǒng)審計師要執(zhí)行設(shè)計階段評審，處理新系統(tǒng)中的漏洞。 溝通第三個關(guān)鍵要素是溝通。所有新系統(tǒng)所影響的員工都需要指導(dǎo)系統(tǒng)的 改善與變更，這樣才能正確制定期望。因此，有必要在業(yè)務(wù)各級別用 戶z間進行溝通。制定嚴格的溝通計劃，以促進人們接受并全面使用 新系統(tǒng)。信息系統(tǒng)審計師評估r/3開發(fā)階段吋要保證團隊進行了充分溝通，可 以通過會議、討論組與用戶面談，監(jiān)督等方式執(zhí)行評估。溝通的缺乏 將導(dǎo)致對系統(tǒng)變更的抵制，團隊需要意識到項目的成功在于全體人員 的努力。管理層支持許多公司或部門不愿意變更其業(yè)務(wù)以適應(yīng)r/3框架，有的甚至持反對 態(tài)度。獲得管理高層支持，對項冃而

5、言口始口終都極為必要，并且行 政管理者要主動提供承諾。據(jù)統(tǒng)計，實施最困難的部分就是使公司的 策略與過程和sap統(tǒng)一起來，r/3是一個集中的、自上而下的結(jié)構(gòu)化 的方法。當(dāng)公司能夠在其限定范圍內(nèi)執(zhí)行操作，就會有成效，因此行 政管理者必須鼓勵推行流程再造。sap項目管理者管理能力項目管理也是關(guān)鍵成功因素之一。企業(yè)級集成信息系統(tǒng)需要處理各方 面的問題，項目管理者應(yīng)該善于在技術(shù)、業(yè)務(wù)、變化管理需求方面進 行協(xié)調(diào)。所以，項目管理者以及項目團隊要善于感知新技術(shù)、新業(yè)務(wù) 過程的影響，以及組織結(jié)構(gòu)變更、標(biāo)準規(guī)程變更的影響，這樣也能防 止項目管理者被實施項目過程中的沖突所壓倒。團隊項冃團隊包含信息系統(tǒng)人員以及業(yè)務(wù)

6、人員，并要進行有效平衡。實施 r/3時，一些項目角色發(fā)生變化，r/3軟件需要進行客戶化，以適應(yīng) 特殊功能的需求，這種客戶化過程是用戶的職責(zé)，用戶通過運行它們 的業(yè)務(wù)，并對系統(tǒng)進行配置。由于許多功能要向用戶提交新的方式， 項目團隊?wèi)?yīng)該不只包含信息系統(tǒng)人員,而且還要包含受新系統(tǒng)影響的 業(yè)務(wù)部門。此外，有些公司為了加強r/3項目團隊，還聘請外部咨詢 人員。項冃方法論另一個關(guān)鍵成功因素是項目方法論。所選用的項目方法論可以作為項 目團隊的路標(biāo)，目標(biāo)應(yīng)該是清晰與可衡量的。這樣可以定期審查狀況 的改善，確定衡量目標(biāo)再造的重要方面，陳述實際改善的有效性。系 統(tǒng)集成項目非常復(fù)雜，要求注意細節(jié)，所有接口都應(yīng)文檔化

7、，這樣任 何變更都能給了足夠重視。不管采用何種方法論，信息系統(tǒng)審計師都 應(yīng)說清楚，沒有一種方法在任何條件下都適用，信息系統(tǒng)審計師必須 評估某個特定的實施方法是否適合于r/3項目。培訓(xùn)對各級用戶的培訓(xùn)是非常必要的，sap環(huán)境將改變許多員工的角色， 需要增加新的技能。工作變更的本質(zhì)要求管理者通過新工作的定義， 報酬認可，重新評估薪酬體系等方式來支持新的丁作環(huán)境，教育和培 訓(xùn)能夠提高用戶解決問題的能力。此外，也有必要對項目團隊進行培訓(xùn)，包括技術(shù)、業(yè)務(wù)、變更管理等 培訓(xùn)。由于系統(tǒng)非常復(fù)雜，很難掌握，模式固定，因此實驗是進行嘗 試的最好選擇。跟上變化項目團隊要能預(yù)期到實施r/3的問題。項目團隊要跟得上信

8、息系統(tǒng)變 化，這樣才能克服問題，今天的c/s環(huán)境中，公司實施sap需要了解 所有關(guān)鍵成功因素。信息系統(tǒng)審計師和項目團隊要鼓勵考慮到這些關(guān) 鍵因素，為r/3實施確定一個成功的路線。建立安全和控制sap和r/3為組織創(chuàng)建了一個變更的、對網(wǎng)絡(luò)計算更多依賴的環(huán)境， 因此需要重新評估信息安全體系，安全體系是各種計算和網(wǎng)絡(luò)要素的 基礎(chǔ)，安全體系提供一個日常管理和監(jiān)督工具以及技術(shù)，授權(quán)驗證過 程等。基本組件的安全特點信息系統(tǒng)審計師要保證有足夠的控制減少業(yè)務(wù)風(fēng)險和安全漏洞，幸運 的是sap bc模型有內(nèi)置的安全特點，提供應(yīng)用、數(shù)據(jù)、資源等安全 解決方案，sap安全控制能夠支持身份認證、授權(quán)、驗證機制，保證 只

9、有授權(quán)用戶才能訪問特殊的交易與r/3系統(tǒng)。此外，sap程序和數(shù) 據(jù)也進行了內(nèi)部保護，由于sap的安全與控制特性，r/3的復(fù)雜環(huán)境 能夠受到充分保護。安全系統(tǒng)有效性取決于安全措施的組合，安全措施需要確定使用系統(tǒng) 的用戶身份，以下是信息系統(tǒng)審計師需要審查的領(lǐng)域，這些是sap獨 特的安全組件：u登錄過程u用戶交控記錄 u授權(quán)對象u授權(quán)價值集合u授權(quán)輪廓u附加授權(quán)檢驗u變更u訪問控制總量總乙r/3的用戶訪問過程非常詳細，在用戶發(fā)起交易吋，sap執(zhí)行 訪問校驗過程，通過id號與密碼獲取訪問權(quán)限，但進入系統(tǒng)后，如 果交易沒有被定義或被鎖在tstc表內(nèi)，也不能進行交易。此外，如 果定義了附加授權(quán)檢驗，則授權(quán)

10、集合也要接受檢驗，如果用戶沒有被 授權(quán)附加檢驗，則拒絕。最后還要檢驗詳細的用戶授權(quán)，決定用戶是 否有權(quán)訪問某個對象。在r/3中，用戶訪問能力由用戶主控記錄授權(quán)價值集合、授權(quán)輪廓來 管理。為保證所有用戶訪問符合公司管理策略、規(guī)程、準則，必須對 變更實施控制，包括用戶主控記錄，輪廓，授權(quán)價值集合等。r/3系 統(tǒng)提供了標(biāo)準授權(quán)對象，這樣它們可用于控制不同用戶組的管理者行 動，指定管理者也能夠維護或用戶能夠添加到用戶主控記錄中的輪 廓。此外，也要限定管理者維護的授權(quán)集合。管理控制管理控制通過文檔化策略與規(guī)程進行實施，由人來實施而不是系統(tǒng)實 施。這些控制表達訪問數(shù)據(jù)，系統(tǒng)開發(fā)，客戶化修正，維護過程。sap 系統(tǒng)提供的自動控制過程在實施了控制規(guī)程后更為有效。通過建立基 于業(yè)務(wù)的策略和規(guī)程，表達訪問控制、保密完整性、安全管理等