Проблемы в SAP-аудите

Многие компании используют приложения SAP для помощи в планировании ресурсов и деятельности. Его гибкость и масштаб делают аудит сложной задачей.

SAP обладает широкими возможностями настройки, и развертывания часто различаются даже в разных бизнес-подразделениях компании — как финансовых, так и нефинансовых. В то же время эффективное функционирование средств контроля в системной среде имеет решающее значение для создания надежной среды финансового и операционного контроля. Поэтому важно хорошо понимать, как SAP используется в бизнесе, при планировании объема и подхода к аудиту. Аудит среды SAP привносит несколько уникальных сложностей, которые могут повлиять на объем и подход к аудиту.

Деловые процессы

SAP охватывает большинство бизнес-процессов, и небольшое изменение бизнес-процесса может иметь прямое влияние на процедуры аудита из-за сложности системы. Изменения в установке и конфигурации системы, стратегии выпуска или создании новых процессов могут привести к созданию новых модулей и / или функций в SAP, и поэтому следует учитывать дополнительные риски.

Например, заказчик может рассмотреть возможность вывода из эксплуатации одной из своих устаревших систем закупок и переноса этой функции в SAP. Раньше ключевые элементы управления утверждением заказов на поставку можно было выполнять вручную. Однако с внедрением SAP заказчик подумал об автоматизации процесса утверждения в SAP. Поэтому конфигурация автоматизированного рабочего процесса и безопасность доступа пользователей важны для обеспечения надлежащего контроля для снижения риска. Это потребует проверки автоматических проверок вместо проверок заказов вручную.

Сегрегация и чувствительность

Чтобы аудит был эффективным, аудитор должен хорошо понимать структуру концепции авторизации SAP (дизайн безопасности). В некоторых случаях плохой дизайн безопасности заставляет пользователей непреднамеренно получить доступ к ненужным или несанкционированным транзакциям. Таким образом, анализ разработки и реализации системы безопасности и контроля доступа SAP важен для обеспечения надлежащего разделения обязанностей и хорошо контролируемого доступа к конфиденциальным транзакциям.

Конфликт разделения обязанностей может возникнуть, когда пользователь получает доступ к двум или более конфликтующим транзакциям — например, при создании заказа на поставку и изменении основных данных поставщика. Четкое отображение бизнес-процессов и определение ролей и обязанностей процесса имеют решающее значение при разработке средств управления доступом для эффективного аудита безопасности.

Кроме того, могут быть транзакции или уровни доступа, которые считаются важными для компании, например изменение кодов и структур Главной книги, изменение повторяющихся записей или изменение и удаление журналов аудита. При аудите SAP такие конфиденциальные транзакции необходимо учитывать на этапе планирования.

Выбор управления

Организации могут адаптировать систему SAP к своим бизнес-потребностям, включая выбор настраиваемых и встроенных средств управления. Понимание процесса выбора этих средств контроля имеет решающее значение для подхода к аудиту. Например, разрешение системе автоматически утверждать заказы на покупку считается настраиваемой автоматической проверкой.

Однако заказчик также может отказаться от реализации этой функции и устранить этот риск с помощью ручного управления. Аудиторам необходимо понимать средства контроля, выбранные клиентом для внедрения, и матрицу средств контроля, на которые они полагаются для снижения одного или нескольких рисков.

Виды контроля

В SAP есть четыре типа средств контроля, которые клиент аудита может использовать для создания безопасной среды: внутренний контроль, настраиваемый контроль, безопасность приложений и ручная проверка отчетов SAP.

Обычно средства контроля доступа или настраиваемые средства контроля выполняются системой SAP и носят профилактический характер. С другой стороны, ручные проверки, включая ручную проверку отчетов, выполняются сотрудником и в основном носят детективный характер. Например, в процессе «закупка до оплаты» (P2P) SAP существуют стандартизованные автоматизированные проверки, такие как трехстороннее сопоставление (сопоставление заказов на поставку, поступления материалов и счетов-фактур). Клиент может выбрать использование 4-стороннего или 2-стороннего сопоставления счетов-фактур, что требует настройки конкретных процессов.

Каждый клиент будет использовать различную комбинацию средств контроля для достижения своих конкретных целей контроля, и из-за сложности приложения SAP системный аудит для обеспечения контроля не является вариантом. Следовательно, подход к аудиту должен быть адаптирован к каждой ситуации. Также следует подчеркнуть, что SAP предоставляет несколько элементов управления, присущих среде SAP. Примером неотъемлемого контроля является необходимость балансировать проводки журнала перед разноской в ​​SAP.

Настраиваемые элементы управления

В SAP важно понимать взаимосвязь между настраиваемыми элементами управления и элементами управления доступом. Для достижения цели управления может существовать комбинация настраиваемых элементов управления и элементов управления доступом, составляющих контрольное решение. Например, «Заказы на покупку на сумму более 1 миллиона фунтов стерлингов автоматически блокируются и не могут быть обработаны». Это звучит как настраиваемый контроль, но на самом деле это одновременно настраиваемый контроль и контроль доступа, поскольку он заботится о настройке стратегии выпуска закупок в SAP и касается того, кто имеет доступ для создания и утверждения заказа на поставку.

Другой пример: «Заказы на покупку на сумму более 1 миллиона долларов должны быть одобрены менеджером». Это звучит как контроль доступа, но его также можно настроить из-за конфигурации, необходимой для вашей стратегии выпуска. Фактически, это дополнительные проверки, две проверки, которые вместе покрывают один и тот же риск. Без одного чека другой не сможет покрыть риск с такой же точностью. Аудитор должен протестировать как конфигурацию, так и аспекты доступа к этим средствам контроля, поэтому важно, чтобы они были идентифицированы и должным образом классифицированы аудитором.

Риск процесса

SAP — это система ERP, основанная на процессах, и каждый экземпляр SAP может иметь разные риски. Кастомизация и настройка системы и присущая ей сложность значительно увеличивает общую сложность конфигурации безопасности и приводит к потенциальным уязвимостям безопасности. Следовательно, становится более вероятным разделение конфликтов обязанностей, ошибок и дефектов.

У каждого клиента разные бизнес-процессы, продукты и услуги, а также системы, соответствующие их среде. Эффективная разработка процессов в SAP важна для снижения рисков, связанных с неадекватными или ошибочными бизнес-процессами. Следовательно, эффективный подход к аудиту должен включать оценку рисков и понимание схемы бизнес-процессов для каждого экземпляра SAP.

План ротации

Учитывая, что система легко конфигурируется, управляется процессами и допускает ряд вариантов управления, каждый экземпляр SAP потенциально может иметь другой профиль риска. Кроме того, в SAP профиль риска различных модулей и подмодулей, таких как финансы (FI), управление материальными потоками (MM), продажи и распространение (SD), расчет заработной платы, человеческий капитал (HC), хранилище бизнес-информации (BW), управление взаимоотношениями с клиентами (CRM)) и так далее.

Обширные области бизнеса, охватываемые приложением SAP, сделали бы непрактичным охват их всех за один аудит. Для проведения комплексного аудита SAP необходимо рассмотреть план ротации. Это может включать в себя плановые обзоры каждого бизнес-процесса SAP, модуля, подмодуля; конфигурация системы и управление изменениями; и безопасность системы, включая дизайн разделения обязанностей и уровней доступа. Это гарантирует, что аудиты проводятся с использованием надлежащим образом квалифицированных ресурсов и охватывают все области риска, включая бизнес-процессы, безопасность и соответствующие средства контроля. Таким образом, эти области можно эффективно оценить, чтобы выявить пробелы в недостатках контроля и рекомендовать соответствующие шаги для решения проблем.

Риск-ориентированный подход

Помимо вышеуказанных проблем, системы SAP также периодически обновляются и улучшаются, чтобы соответствовать постоянно меняющимся бизнес-требованиям. В текущем экономическом климате компании сталкиваются с меняющимися угрозами окружающей среды, влияющими на их бизнес-процессы.

Цель подхода, основанного на оценке риска, состоит в том, чтобы позволить аудиторам адаптировать проверку к областям бизнес-рисков, позволяя уделять больше внимания областям аудита с высоким потенциалом риска. Сложность системы SAP и связанных с ней бизнес-процессов, описанных выше, может привести к более высоким внутренним рискам и рискам контроля, которые необходимо учитывать при планировании аудита.

Подход, основанный на оценке рисков, должен включать общий анализ рисков, процедуры аналитического аудита, полевые исследования на основе систем и процессов, а также проверку по существу. Таким образом, аудитор может проводить аудит эффективно с определенной степенью честности, а также оптимизировать требуемые время и усилия. Следовательно, для эффективной проверки SAP крайне важно принять подход нисходящего аудита, основанного на оценке рисков.

Добавить комментарий

Ваш адрес email не будет опубликован.

восемнадцать − 12 =

Top.Mail.Ru