信息系统审计师和SAP实施与控制

1、信息系统审计师和sap实施与控制新经济时代电子商务带来企业组织与交易方式的巨变，这正在导致会 计和咨询工作的改变，新的机会正在不断出现，但在新机会新业务而 前，会计业并没有像在诸如财务报表鉴证一样稳固的市场地位；咨询 业的收入在指数级增长，但服务的性质也变的越来越有技术倾向，新 技术的持续高速发展对传统审计和咨询人员不啻是个更大的挑战。本 系列文章将涉及会计和咨询业从业人员面临的挑战和机会。我们首先关注的是近一年多来热火朝天的erp,目前业界普遍认为： erp的实施不仅仅是软件的事，更重要的是一场管理革命。从这个意 义上讲，erp只是一张皮，深层次的是企业内部变革，所以管理变革 若以erp为助

2、推器，则erp的实施将水到渠成；若以erp项目为导火 线，试图在公司内部发动管理变革，则往往会面临重重障碍而搁浅， 最终不了 了之，甚至还可能导致公司被it拖垮。众所周知，会计和 咨询业在管理咨询领域具有稳固的市场地位，但在我国“信息化带动 工业化”的大好机遇面前，会计和咨询师如何主动迎接机遇，在信息 时代一如既往地巩固其市场地位，这将是一个巨大的挑战。目前有许多企业在使用德国sap r/3企业级集成系统以满足发展的需 要，一些企业在意识到erp的高风险和高失败率的威胁后，开始借助 于信息系统审计师，以评估和减少与r/3应用相关的风险。本文正是 以信息系统审计师在sap的实施与控制中的角色和作

3、用为例，来阐述 会计和咨询师如何投身我国的信息化建设并发挥至关重要的作用。 了解公司文化首耍因素是要了解公司的文化以及对变化的响应能力，sap是企业级 的实施，将影响到许多部门。因此，有必要理解各部门及他们的问题, 许多分布式组织发现其部门并不欢迎变化或对抵制变化，通过教育用 户了解有关r/3系统，并让用户部门参与到决策过程中，项目组将对 系统变化有更大的接受程度。理解并完成过渡变更第二个关键成功因索是要求全面的业务过程变更，这些变更耍在r/3 实施前完成，每个公司都要在r/3实施前进行业务重新评估和重新设 计。此外，信息系统审计师还耍重新评佔更新后对过程的控制，强调 与新的目标和关的风险。由

4、于新系统的控制与以前环境屮的控制有所 不同，信息系统审计师要执行设计阶段评审，处理新系统中的漏洞。 沟通第三个关键要素是沟通。所有新系统所影响的员工都需要指导系统的 改善与变更，这样才能正确制定期望。因此，有必要在业务各级别用 户z间进行沟通。制定严格的沟通计划，以促进人们接受并全面使用 新系统。信息系统审计师评估r/3开发阶段吋要保证团队进行了充分沟通，可 以通过会议、讨论组与用户面谈，监督等方式执行评估。沟通的缺乏 将导致对系统变更的抵制，团队需要意识到项目的成功在于全体人员 的努力。管理层支持许多公司或部门不愿意变更其业务以适应r/3框架，有的甚至持反对 态度。获得管理高层支持，对项冃而

5、言口始口终都极为必要，并且行 政管理者要主动提供承诺。据统计，实施最困难的部分就是使公司的 策略与过程和sap统一起來，r/3是一个集中的、自上而下的结构化 的方法。当公司能够在其限定范围内执行操作，就会有成效，因此行 政管理者必须鼓励推行流程再造。sap项目管理者管理能力项目管理也是关键成功因素之一。企业级集成信息系统需要处理各方 面的问题，项目管理者应该善于在技术、业务、变化管理需求方面进 行协调。所以，项目管理者以及项目团队要善于感知新技术、新业务 过程的影响，以及组织结构变更、标准规程变更的影响，这样也能防 止项目管理者被实施项目过程中的冲突所压倒。团队项冃团队包含信息系统人员以及业务

6、人员，并要进行有效平衡。实施 r/3时，一些项目角色发生变化，r/3软件需要进行客户化，以适应 特殊功能的需求，这种客户化过程是用户的职责，用户通过运行它们 的业务，并对系统进行配置。由于许多功能要向用户提交新的方式， 项目团队应该不只包含信息系统人员,而且还要包含受新系统影响的 业务部门。此外，有些公司为了加强r/3项目团队，还聘请外部咨询 人员。项冃方法论另一个关键成功因素是项目方法论。所选用的项目方法论可以作为项 目团队的路标，目标应该是清晰与可衡量的。这样可以定期审查状况 的改善，确定衡量目标再造的重要方面，陈述实际改善的有效性。系 统集成项目非常复杂，要求注意细节，所有接口都应文档化

7、，这样任 何变更都能给了足够重视。不管采用何种方法论，信息系统审计师都 应说清楚，没有一种方法在任何条件下都适用，信息系统审计师必须 评估某个特定的实施方法是否适合于r/3项目。培训对各级用户的培训是非常必要的，sap环境将改变许多员工的角色， 需要增加新的技能。工作变更的本质要求管理者通过新工作的定义， 报酬认可，重新评估薪酬体系等方式來支持新的丁作环境，教育和培 训能够提高用户解决问题的能力。此外，也有必要对项目团队进行培训，包括技术、业务、变更管理等 培训。由于系统非常复杂，很难掌握，模式固定，因此实验是进行尝 试的最好选择。跟上变化项目团队要能预期到实施r/3的问题。项目团队要跟得上信

8、息系统变 化，这样才能克服问题，今天的c/s环境中，公司实施sap需要了解 所有关键成功因素。信息系统审计师和项目团队要鼓励考虑到这些关 键因素，为r/3实施确定一个成功的路线。建立安全和控制sap和r/3为组织创建了一个变更的、对网络计算更多依赖的环境， 因此需要重新评估信息安全体系，安全体系是各种计算和网络要素的 基础，安全体系提供一个日常管理和监督工具以及技术，授权验证过 程等。基本组件的安全特点信息系统审计师要保证有足够的控制减少业务风险和安全漏洞，幸运 的是sap bc模型有内置的安全特点，提供应用、数据、资源等安全 解决方案，sap安全控制能够支持身份认证、授权、验证机制，保证 只

9、有授权用户才能访问特殊的交易与r/3系统。此外，sap程序和数 据也进行了内部保护，由于sap的安全与控制特性，r/3的复杂环境 能够受到充分保护。安全系统有效性取决于安全措施的组合，安全措施需要确定使用系统 的用户身份，以下是信息系统审计师需要审查的领域，这些是sap独 特的安全组件：u登录过程u用户交控记录 u授权对象u授权价值集合u授权轮廓u附加授权检验u变更u访问控制总量总乙r/3的用户访问过程非常详细，在用户发起交易吋，sap执行 访问校验过程，通过id号与密码获取访问权限，但进入系统后，如 果交易没有被定义或被锁在tstc表内，也不能进行交易。此外，如 果定义了附加授权检验，则授权

10、集合也要接受检验，如果用户没有被 授权附加检验，则拒绝。最后还要检验详细的用户授权，决定用户是 否有权访问某个对象。在r/3中，用户访问能力由用户主控记录授权价值集合、授权轮廓来 管理。为保证所有用户访问符合公司管理策略、规程、准则，必须对 变更实施控制，包括用户主控记录，轮廓，授权价值集合等。r/3系 统提供了标准授权对象，这样它们可用于控制不同用户组的管理者行 动，指定管理者也能够维护或用户能够添加到用户主控记录中的轮 廓。此外，也要限定管理者维护的授权集合。管理控制管理控制通过文档化策略与规程进行实施，由人来实施而不是系统实 施。这些控制表达访问数据，系统开发，客户化修正，维护过程。sap 系统提供的自动控制过程在实施了控制规程后更为有效。通过建立基 于业务的策略和规程，表达访问控制、保密完整性、安全管理等