Системы Приложения Продукты Аудит - Systems Applications Products audit

Системы Приложения Продукты Аудит является аудит компьютерной системы из SAP проверить его безопасность и целостность данных. SAP - это аббревиатура от «Системы, приложения, продукты». Это система, которая предоставляет пользователям программное обеспечение для бизнеса в реальном времени. Он содержит пользовательский интерфейс и считается очень гибким. При аудите SAP две основные проблемы - это безопасность и целостность данных.

Обзор

Системы, приложения, продукты для обработки данных или SAP были первоначально представлены в 1980-х годах как SAP R / 2, представлявшая собой систему, которая предоставляла пользователям программное обеспечение для бизнеса в реальном времени, которое можно было использовать в различных валютах и ​​на разных языках. В качестве клиент – сервер системы начали внедряться, SAP выпустила серверную версию своего программного обеспечения под названием SAP R / 3, далее именуемая SAP, которая была запущена в 1992 году. SAP также разработала графический интерфейс пользователя, или GUI.

В течение следующих 12 лет SAP доминировала на рынке больших бизнес-приложений. Он был успешным прежде всего потому, что был гибким. Поскольку SAP была модульной системой (что означало, что различные функции, предоставляемые ею, можно было приобретать по частям), это была универсальная система. Компания может просто приобрести модули, которые ей нужны, и настроить процессы в соответствии с бизнес-моделью компании. Гибкость SAP, хотя одна из ее самых сильных сторон, также является одной из самых слабых сторон, которая приводит к аудиту SAP.

Есть три основных Планирование ресурсов предприятия (ERP) системы, используемые сегодня в крупных компаниях: SAP, Oracle, и PeopleSoft. ERP-системы специально разработаны, чтобы помочь с функцией бухгалтерского учета и контролем над различными другими аспектами бизнеса компании, такими как продажи, доставка, производство, человеческие ресурсы и управление запасами. Несмотря на преимущества ERP, существует множество потенциальных ловушек, в которые иногда попадают компании, обращающиеся к ERP.

Безопасность

Распределение обязанностей

Безопасность - это первоочередная задача любого аудита SAP. Должно быть правильное распределение обязанностей и контроль доступа, что имеет первостепенное значение для обеспечения целостности средств управления системой. Когда компания впервые получает SAP, она почти лишена всех мер безопасности. При внедрении SAP компания должна пройти через обширный процесс описания своих процессов, а затем выстроить безопасность системы с нуля, чтобы обеспечить надлежащее разделение обязанностей и надлежащий доступ. Правильный дизайн профиля и исключение лишних ID пользователя 'песок суперпользователь доступ будет важен на всех этапах работы. Наряду с этим возникает важность обеспечения ограниченного доступа к терминалам, серверам и центру обработки данных для предотвращения несанкционированного доступа. Поскольку в каждой компании будут разные модули, структура безопасности каждой компании будет отличаться.

Типичным примером из SAP будет создание поставщика, а также возможность оплаты счета. Операция создания транзакции поставщика - XK01, а транзакция оплаты счета - FB60. Если у пользователя или роли в SAP есть эти две транзакции, это создаст риск SOD.

С безопасностью все начинается с правильной разработки и реализации мер безопасности и доступа для сотрудников. Для новых сотрудников важно, чтобы их доступ был настроен должным образом и чтобы будущий доступ имел соответствующее разрешение. После того, как система была внедрена, контроль за изменениями системы и процесс утверждения, необходимый для этого, жизненно важны для обеспечения постоянной безопасности и функциональности системы. Без надлежащих мер безопасности от начала до конца будут существенные недостатки в средствах контроля системы, из-за этого, вероятно, также будет некоторый уровень мошенничества.

Благодаря безопасности вы можете монитор кто имеет доступ к каким данным и процессам и обеспечивает достаточное количество распределение обязанностей чтобы кто-то не совершил мошенничество. Одним из основных преимуществ SAP является то, что его можно запрограммировать для выполнения различных функций аудита за вас. Одним из наиболее важных из них является проверка доступа пользователей и использование системы для перекрестной проверки на основе матрицы доступа, чтобы убедиться, что существует надлежащая сегрегация, поэтому лицо, имеющее доступ к запросу на оплату, также не имеет доступа для создания продавец.

Системные изменения

После проверки того, что безопасность настроена для обеспечения надлежащего разделения обязанностей, следующей проблемой, связанной с безопасностью, являются системные изменения. У всех компаний должно быть три разные системы: система разработки, система тестирования и производственная система. Все изменения в производственной среде необходимо будет пройти через процесс утверждения и протестировать, чтобы убедиться, что они будут работать должным образом при внедрении в производственную систему. Безопасность в отношении того, кто может санкционировать изменение и кто может внедрить это изменение в производственную среду, имеет первостепенное значение для обеспечения безопасности и целостности системы. Обзор этого процесса и людей, участвующих в нем, будет ключом к аудиту системы.

Целью аудита доступа, шагов и процедур для обновлений системы является обеспечение надлежащего контроля над управлением изменениями системы и использование надлежащих процедур тестирования и авторизации.

Целостность данных

Проблемы целостности данных

Поскольку SAP объединяет данные из устаревшие системы Важно обеспечить тщательное и полное отображение взаимодействия между устаревшими системами и SAP. Без этого любые данные, полученные от SAP, были бы подозрительными. Также важно, чтобы резервные копии из база данных поддерживаться вместе с актуальным и практичным План по ликвидации последствий катастрофы для обеспечения непрерывности после катастрофы. На этом этапе аудита важны тщательный анализ этих планов вместе с отображением системных интерфейсов. Однако, поскольку все данные SAP хранятся во взаимосвязанных таблицах, пользователи с определенной степенью безопасности могут их изменить. Важно, чтобы выходные данные были проверены, чтобы гарантировать точность. SAP действительно предоставляет некоторые базовые программы аудита для помощи в проверке данных, чтобы убедиться, что они обрабатываются должным образом. Его также можно настроить так, чтобы пользователь мог создать программу для аудита определенной функции.

Мониторинг управления изменениями, перенос обновлений в систему со стадии разработки - один из ключевых элементов этой конкретной заботы. Из-за этого проверка процесса проверки и доведение до производства должны быть высокоприоритетными.

Управление

Необходимо пересмотреть средства управления системой, особенно кредиторская задолженность и задолженность на счетах вспомогательные книги. Аудиторы должны выполнять или проверять примирения между SAP и внешней информацией, такой как выверка банковских счетов и выверка выписок по продажам. Они должны проверять учет центров затрат и ответственности, анализ со стороны руководства и бюджетный контроль, а также способ авторизации нестандартных операций.

Аудиторская проверка должна включать в себя проверку валидации данных, вводимых в определенные транзакции, дизайн ABAP заявления и их полномочия проверяют соответствие документов перед закрытием. Кроме того, что касается управления основным файлом, необходимо провести независимую проверку изменений основного файла и создать транзакционные обязанности для выявления любых избыточных основных файлов.

Когда дело доходит до целостности данных, первоочередной задачей является интеграция данных из унаследованных систем, а затем обеспечение того, чтобы данные, вводимые в систему для обработки, были надлежащим образом утверждены и сопровождались соответствующей документацией. Просматривая эти аспекты обработки от внедрения до производства, вы можете получить разумную уверенность в том, что средств контроля, связанных с данными, достаточно и что данные, вероятно, не содержат существенных ошибок. Использование встроенных функций аудита значительно поможет в этом процессе, а возможность создавать собственные программы аудита позволит вам настроить работу в соответствии с требованиями компании, с которой вы работаете.

Контроль рисков

Два основных риска управления, которые необходимо отслеживать с помощью SAP, - это безопасность и целостность данных. Чтобы гарантировать, что и то и другое будет достаточным, важно, чтобы и то и другое было должным образом обрисовано и развито во время реализации. Профили пользователей должны быть правильно спроектированы, а доступ должен быть достаточно разделенным, чтобы минимизировать вероятность мошенничества. Использование функций аудита SAP для перекрестной проверки доступа пользователей с матрицей допустимых доступов - это самый быстрый и простой способ гарантировать, что обязанности и доступ должным образом разделены. Новые и старые пользователи должны вводиться и удаляться незамедлительно, и необходимо избегать любого доступа суперпользователя и отслеживать его. Проверка доступа для загрузки и извлечения изменений в производство, а также анализ связанного процесса авторизации важны как с точки зрения безопасности, так и с точки зрения целостности данных.

Для дальнейшего обеспечения целостности данных важно, чтобы соответствующая документация была проверена вместе с подтверждением любых внешних данных, доступных либо через устаревшую систему, либо через третью сторону. Это важно в отношении некоторых конфиденциальных счетов, таких как кредиторская задолженность. Обзор средств контроля, связанных с бюджетом, и анализ управления, а также проверка авторизации нестандартных транзакций и физического доступа будут необходимы для обеспечения точности ввода и вывода данных из системы. Использование и разработка инструментов в SAP поможет ускорить этот процесс и обеспечить его точность. Это две наиболее важные части любого аудита SAP, и их успешный анализ должен позволить вам определить адекватность контроля над системой SAP и получить к ней доступ, чтобы определить, есть ли какие-либо существенные недостатки в управлении системой.

Смотрите также

внешняя ссылка