国外SAP系统审计思路与经验启示

      SAP系统是利用现代信息技术，对企业人、财、物和信息资源进行统一集成管理的平台，通常包括销售和分销SD、物料管理MM、财务会计FI和人力资源HR等子系统。SAP系统的实施应用，在提高组织运营效率的同时，也带来内部控制重点的转移，并引发新的IT控制风险。相应的，SAP环境下的内部或独立审计的流程、内容和技术方法都会发生改变。对信息系统风险进行分析通常成为整个审计活动不可缺少的一部分，调阅SAP系统的业务流程设计文档、操作手册等文档，利用系统测试、计算机辅助审计技术等方法成为获取审计证据的常见形式。本文通过总结美国信息系统审计协会（ISACA）与澳大利亚审计署（ANAO）的国际经验，进而构建我国SAP系统审计框架，为相应实践提供可操作的参考。

      一、国外SAP系统审计经验

      （一）ISACA的SAP系统审计经验

      ISACA是作为独立的外部审计组织，已开展多年的企业SAP系统审计业务。ISACA通过发布专门的SAP系统审计指南《Security，Audit and Control Features》来指导具体审计过程，以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息。

      1.审计流程。ISACA将审计流程分为事前检查阶段、初步审计阶段、详细审计阶段与报告阶段。事前检查阶段审计人员通过查阅系统开发与设计阶段的重要文档、观察数据库与应用程序服务器运行环境、评价备份与恢复计划有效性等措施了解企业。在初步审计阶段识别SAP系统的运行环境与关键控制。整个审计流程中最重要的阶段为详细审计阶段，根据组织的关键业务流程对具体系统应用控制进行实质性测试以判断相关业务的处理逻辑是否正确。在进行具体业务循环审查后通过分析控制成熟度，使利益相关者认识到组织现有控制水平与最佳实践的差别，体现内部控制的建立与优化。

      2.审计方法。SAP系统环境下仅依靠传统的审计方法如访谈法、观察法、文档查阅法来评估风险与控制显然是不充分的。随着系统内部信息资源量迅猛增加，获取审计证据的手段也面临革新。ISACA在实务中经常使用以下几种审计技术：

      （1）数据挖掘技术。数据挖掘能够探测控制薄弱点并提供具体信息，从庞大的数据中发现有特殊意义的“知识”，其最大的优点是能够及时取得充分可靠的审计证据，降低审计风险。数据挖掘工具种类繁多，从经济实惠的通用工具Microsoft Access、Excel到价格昂贵的专门工具如Audit Control Language（ACL）、Interactive Data Extraction and Analysis（IDEA），满足了不同审计需求。

      

      （2）连续审计技术。连续审计技术借助于自动执行的程序实施数据抽取和分析，使审计人员在事件发生的同时掌握可靠的报告信息，通过对嵌入式审计模块和连续审计代理技术的运用能实现对数据的自动化截取与处理，有效保证审计信息的时效性。

      （3）数据库活动监控技术。数据库活动监控技术（DAM）对后台数据库数据提供主动监控功能，避免问题数据的传输，并且能够及时通知事件相关用户。DAM节约了在数据服务器上的花费，加快了处理速度。

      3.审计内容。ISACA从组织控制环境、风险评估、控制活动、信息与沟通、监管的角度出发对企业收入循环、支出循环、Basis开展了一系列审计活动。

      （1）收入循环。收入流程中主要评价主数据维护、销售订单处理、发票处理和现金收据处理等环节控制手段的强健性，其具体内容有：对主数据的变更操作是否合理、完整、准确；是否将主数据创建与变更的职责进行了分离。

      （2）支出循环。支出循环中除了对主数据维护保持同样的谨慎态度外，还应在采购流程、支付流程上重点关注，如是否对输入、变更、取消、审核、支付供应商款项的职能进行职责分离；是否只对已接收货物或服务支付款项等。

      （3）Basis。Basis是企业安全有效运行SAP系统的基础，包括系统应用程序安装、完善、运行、安全等内容。比如审查是否限制对Implementation Guide的访问、是否恰当设置系统参数以满足组织环境的要求。

      （二）ANAO的SAP系统审计经验

      与ISACA的独立审计不同，ANAO作为政府审计机关主要对政府部门开展SAP系统审计。澳大利亚各政府部门财政资金收入的80%与支出的70%都通过SAP系统运作，因此SAP系统的安全、可靠和有效运行对于政府部门的正常运转非常重要。为此，ANAO颁布了《Security and Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指导手册，通过风险评级与流程控制保证了SAP数据流动过程的完整性、正确性与安全性。

      1.审计流程。ANAO的SAP系统审流程分为审计计划阶段、审计实施阶段、审计报告阶段和审计后续阶段。审计计划阶段初步了解被审计单位环境与内部控制制度，对关键模块的控制风险进行分级处理。审计实施阶段通过熟悉业务流程与系统文档，结合配置手段对系统数据执行各项实质性测试。在出具最终审计报告之后，定期进行跟踪审计保证对审计对象的适时评价、持续监督和及时反馈。