信息系统审计师和SAP实施与控制
发布时间:2009年05月15日点击数:
作者:孙强 来源:ITGOV中国IT治理研究中心
摘要:
本书结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上,重点阐述信息系统审计理论与实务,以及信息安全审计的相关内容。 本书是为四类读者而写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作与学习有较大帮助。
本书结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上,重点阐述信息系统审计理论与实务,以及信息安全审计的相关内容。 本书是为四类读者而写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作与学习有较大帮助。
目前有许多组织在使用德国R/3企业级集成系统以满足发展的需要。在意识到ERP的高风险和高失败率的威胁后,一些组织开始借助于信息系统审计师,以评估和减少与R/3应用相关的风险。
实施R3需要了解它的独特性,本案例将讨论通用实施准则以及R/3环境下的特殊准则。
了解公司文化
首要因素是要了解公司的文化以及对变化的响应能力,SAP是企业级的实施,将影响到许多部门。因此,有必要理解各部门及他们的问题,许多分布式组织发现其部门并不欢迎变化或对抵制变化,通过教育用户了解有关R/3系统,并让用户部门参与到决策过程中,项目组将对系统变化有更大的接受程度。
理解并完成过渡变更
第二个关键成功因素是要求全面的业务过程变更,这些变更要在R/3实施前完成,每个公司都要在R/3实施前进行业务重新评估和重新设计。此外,信息系统审计师还要重新评估更新后对过程的控制,强调与新的目标相关的风险。由于新系统的控制与以前环境中的控制有所不同,信息系统审计师要执行设计阶段评审,处理新系统中的漏洞。
沟通
第三个关键要素是沟通。所有新系统所影响的员工都需要指导系统的改善与变更,这样才能正确制定期望。因此,有必要在业务各级别用户之间进行沟通。制定严格的沟通计划,以促进人们接受并全面使用新系统。
信息系统审计师评估R/3开发阶段时要保证团队进行了充分沟通,可以通过会议、讨论组与用户面谈,监督等方式执行评估。沟通的缺乏将导致对系统变更的抵制,团队需要意识到项目的成功在于全体人员的努力。
管理层支持
许多公司或部门不愿意变更其业务以适应R/3框架,有的甚至持反对态度。获得管理高层支持,对项目而言自始自终都极为必要,并且行政管理者要主动提供承诺。据统计,实施最困难的部分就是使公司的策略与过程和SAP统一起来,R/3是一个集中的、自上而下的结构化的方法。当公司能够在其限定范围内执行操作,就会有成效,因此行政管理者必须鼓励推行流程再造。
SAP项目管理者管理能力
项目管理也是关键成功因素之一。企业级集成信息系统需要处理各方面的问题,项目管理者应该善于在技术、业务、变化管理需求方面进行协调。所以,项目管理者以及项目团队要善于感知新技术、新业务过程的影响,以及组织结构变更、标准规程变更的影响,这样也能防止项目管理者被实施项目过程中的冲突所压倒。
团队
项目团队包含信息系统人员以及业务人员,并要进行有效平衡。实施R/3时,一些项目角色发生变化,R/3软件需要进行客户化,以适应特殊功能的需求,这种客户化过程是用户的职责,用户通过运行它们的业务,并对系统进行配置。由于许多功能要向用户提交新的方式,项目团队应该不只包含信息系统人员,而且还要包含受新系统影响的业务部门。此外,有些公司为了加强R/3项目团队,还聘请外部咨询人员。
项目方法论
另一个关键成功因素是项目方法论。所选用的项目方法论可以作为项目团队的路标,目标应该是清晰与可衡量的。这样可以定期审查状况的改善,确定衡量目标再造的重要方面,陈述实际改善的有效性。系统集成项目非常复杂,要求注意细节,所有接口都应文档化,这样任何变更都能给予足够重视。不管采用何种方法论,信息系统审计师都应说清楚,没有一种方法在任何条件下都适用,信息系统审计师必须评估某个特定的实施方法是否适合于R/3项目。
培训
对各级用户的培训是非常必要的,SAP环境将改变许多员工的角色,需要增加新的技能。工作变更的本质要求管理者通过新工作的定义,报酬认可,重新评估薪酬体系等方式来支持新的工作环境,教育和培训能够提高用户解决问题的能力。
此外,也有必要对项目团队进行培训,包括技术、业务、变更管理等培训。由于系统非常复杂,很难掌握,模式固定,因此实验是进行尝试的最好选择。
跟上变化
项目团队要能预期到实施R/3的问题。项目团队要跟得上信息系统变化,这样才能克服问题,今天的C/S环境中,公司实施SAP需要了解所有关键成功因素。信息系统审计师和项目团队要鼓励考虑到这些关键因素,为R/3实施确定一个成功的路线。
建立安全和控制
SAP和R/3为组织创建了一个变更的、对网络计算更多依赖的环境,因此需要重新评估信息安全体系,安全体系是各种计算和网络要素的基础,安全体系提供一个日常管理和监督工具以及技术,授权验证过程等。
基本组件的安全特点
信息系统审计师要保证有足够的控制减少业务风险和安全漏洞,幸运的是SAP BC模型有内置的安全特点,提供应用、数据、资源等安全解决方案,SAP安全控制能够支持身份认证、授权、验证机制,保证只有授权用户才能访问特殊的交易与R/3系统。此外,SAP程序和数据也进行了内部保护,由于SAP的安全与控制特性,R/3的复杂环境能够受到充分保护。
安全系统有效性取决于安全措施的组合,安全措施需要确定使用系统的用户身份,以下是信息系统审计师需要审查的领域,这些是SAP独特的安全组件:
- 登录过程
- 用户交控记录
- SAP
- TSTC
- 授权对象
- 授权价值集合
- 授权轮廓
- 附加授权检验
- 变更
- 访问控制总量
总之,R/3的用户访问过程非常详细,在用户发起交易时,SAP执行访问校验过程,通过ID号与密码获取访问权限,但进入系统后,如果交易没有被定义或被锁在TSTC表内,也不能进行交易。此外,如果定义了附加授权检验,则授权集合也要接受检验,如果用户没有被授权附加检验,则拒绝。最后还要检验详细的用户授权,决定用户是否有权访问某个对象。
在R/3中,用户访问能力由用户主控记录授权价值集合、授权轮廓来管理。为保证所有用户访问符合公司管理策略、规程、准则,必须对变更实施控制,包括用户主控记录,轮廓,授权价值集合等。R/3系统提供了标准授权对象,这样它们可用于控制不同用户组的管理者行动,指定管理者也能够维护或用户能够添加到用户主控记录中的轮廓。此外,也要限定管理者维护的授权集合。
管理控制
管理控制通过文档化策略与规程进行实施,由人来实施而不是系统实施。这些控制表达访问数据,系统开发,客户化修正,维护过程。SAP系统提供的自动控制过程在实施了控制规程后更为有效。通过建立基于业务的策略和规程,表达访问控制、保密完整性、安全管理等问题。
EDI和网络安全
SAP R/3对于外界入侵不具有免疫力,R/3支持EDI,SAP最近发布了R/3过程的网络能力,EDI和网络使安全变得尤为必要,因为外部入侵者可以破坏系统完整性,危害公司资产,所以安全政策要满足EDI和网络的要求。
上一篇:为什么要倡导“IT治理”下一篇:目录
推荐专题
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved