关于sap系统内部审计的信息

请教：针对SAP系统应该如何进行年报审计

SAP审计功能主要包括：

锦州网站建设公司创新互联,锦州网站设计制作，有大型网站制作公司丰富经验。已为锦州上千多家提供企业网站建设服务。企业网站搭建\外贸网站制作要多少钱，请找那个售后服务好的锦州做网站的公司定做！

1)用户登陆及进程监控

2)文件类型已经文件变更纪录

3)开发纪录

4)系统日志文件审计

(从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)

因此为了配合系统安全控制，SAP严谨的采用了自身的AUDIT 工具，系统内TRACE工具，可控制型TRACE工具，通过这些来进一步完善和加强系统安全。

系统安全控制策略如下：

1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。

2)手工用SM19设置TRACE内容与时间段，将系统的每一步操作都控制起来。

基本监控策略：

1)每天作一次日常检查，通过ST22,SM21,OY18,ST02,ST04查看系统内的动作，控制每日的运行状态。

2)系统管理员通过STAT 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。

3)对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表。

关于SAP审计：

广义其实指SAP basis security以及其OS，DB的audit，而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。

SAP自带的审计功能有两个，一个是event level的audit log，参数 rsau/enable = 1开启该功能，再用SM19 configure 要审计的event，SM20来做audit log analysis。

另外一个是对table的审计，也就是对重要的数据参数表的变动进行审计，参数rec/client开启功能，根据管理层定义的SAP系统关键的数据表列表，使用SE13配置数据表的属性，启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。

audit log 在操作系统上以文件形式存储的,因此没有sap_all却有操作系统root权限的一样可以删除日志.

所以OS admin 一定要进可能与 SAP admin 分开。

如果能做到这个SOD的话，即使有SAP_ALL在SAP上删除了audit log，但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。

请问SAP针对萨班斯法案，增加了哪些功能，或提出了哪些解决方案

我就是想知道SAP针对萨班斯，又增加了哪些功能，这些功能的主要作用是什么。比如我在网上查到：1、针对302和404条款中的“确认披露控制和程序以及除财务报告外的内部控制的范围；对在一个法人内部的所有业务流程和控制的主要活动进行文档管理”等要求设计了MIC(内部控制管理)功能。2、内部审计系统(AIS)。“这是一个在SAP环境中的审计者工具包，它适合只有少量SAP经验的审计人员使用。它有全面的系统审计和业务审计功能，通过系统内在和安全控制的监控，来实现众多的报告控制。可以让外部审计人员方便高效地进行审计。但说的太粗了，看了后也不知道MIC和AIS的主要价值是什么？ 查看原帖

内部审计中的信息系统审计的内容

内部审计中的信息系统审计的内容

伴随着大数据时代的到来，企业的信息系统越来越系统化，呈现出与企业目标有机融合的整体性，随着信息技术和企业业务发展而不断发展的动态性，包含子系统众多的复杂性等特性，一句话，信息系统越来越复杂了。下面是我为大家带来的关于内部审计中的信息系统审计的内容的知识，欢迎阅读。

划分责任方

定义审计边界、确定审计范围的责任方有以下两个层面：

决策层面

决策层面即董事会、管理层根据企业发展的战略需求或者管理需求提出对IT相关项目的审计要求。这种要求是宏观性的，是大的方向。例如保护企业信息安全是大数据时代企业生存和发展面临的一个非常重要的问题，一旦董事会、管理层决定加强这方面的保护力度，或者发现了问题的隐患，就会提出对信息系统数据、信息安全控制方面的审计。

执行层面

执行层面即审计部门要根据企业计划的安排，根据决策层授权提出的方向，定义具体审计的范围和内容。如根据决策层关于数据、信息安全的大方向，需要审计信息系统中的哪些子系统、一般控制的哪些内容、哪些管理制度，都要一一详细、具体定义。

视情况而定

在对信息系统开展的审计中，可能存在以下三种情况：

生命周期审计

第一种情况是对信息系统生命周期进行同步审计，对每一个流程都开展详细审计。这种情况作为企业内部审计都会遇到，也是企业内部审计的一项职责。尽管如此，对每一个治理和管理流程开展审计时，也要明确的定义好每个流程的边界。

系统审计

第二种情况是对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了企业需要，是否需要更新。这类系统是企业整个信息系统的一个部分，是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统，把需要审计的对象摘取出来，与审计目的无关的不要涉及。

业务审计

第三种情况常常是和企业业务审计结合在一起的，如检查企业对供应商管理的审计中，要检查到信息系统中供应商子系统;检查企业人力资源管理时，涉及到人力资源管理子系统。在开展这类审计时，要明确业务涉及到的信息系统是什么系统，范围是什么，系统的边界如何划分，审计应该审计的内容。处理好上述三种情况，就能在制定审计计划时列出明确的范围，在实施审计时突出重点，有条不紊。

伴随着大数据时代的到来，企业的信息系统越来越系统化，呈现出与企业目标有机融合的整体性，随着信息技术和企业业务发展而不断发展的动态性，包含子系统众多的复杂性等特性，一句话，信息系统越来越复杂了。如现在在很多企业推行的ERP、SAP系统，包含的子系统动辄以千计，涵盖企业的供应商、进货、库存、生产、销售、销售商、财务会计、管理会计、人力资源等各个方面，包含的数据表更是数以万计。企业内部审计对如此复杂的系统开展审计，在实务中，会感觉十分迷茫。那么在内部审计中信息系统的审计究竟审什么呢，我们有必要对其进行一些深入讨论。

信息系统的审计首先要考虑的问题是定义审计什么，也就是审计信息系统的哪一个部分，审计的范围如何界定。在安排审计计划时都要科学划定审计的边界，而不能笼统地对企业整个信息系统都开展全面的审计，因为那样做，会超越审计的实际需要，造成力不从心，无法实施或无力胜任的困境。在企业内部审计实务中还常常会遇到根据企业面临的风险或特殊需要，而安排信息系统审计专项审计的情况，如信息和数据安全专项审计、信息系统建设投资专项审计、外包专项审计、内部控制合规性专项审计等等，遇到这类情况，也要首先定义审计的内容和范围。

划分责任方

定义审计边界、确定审计范围的责任方有以下两个层面：

决策层面

决策层面即董事会、管理层根据企业发展的战略需求或者管理需求提出对IT相关项目的审计要求。这种要求是宏观性的，是大的方向。例如保护企业信息安全是大数据时代企业生存和发展面临的一个非常重要的问题，一旦董事会、管理层决定加强这方面的保护力度，或者发现了问题的隐患，就会提出对信息系统数据、信息安全控制方面的.审计。

执行层面

执行层面即审计部门要根据企业计划的安排，根据决策层授权提出的方向，定义具体审计的范围和内容。如根据决策层关于数据、信息安全的大方向，需要审计信息系统中的哪些子系统、一般控制的哪些内容、哪些管理制度，都要一一详细、具体定义。

视情况而定

在对信息系统开展的审计中，可能存在以下三种情况：

生命周期审计

第一种情况是对信息系统生命周期进行同步审计，对每一个流程都开展详细审计。这种情况作为企业内部审计都会遇到，也是企业内部审计的一项职责。尽管如此，对每一个治理和管理流程开展审计时，也要明确的定义好每个流程的边界。

系统审计

第二种情况是对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了企业需要，是否需要更新。这类系统是企业整个信息系统的一个部分，是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统，把需要审计的对象摘取出来，与审计目的无关的不要涉及。

业务审计

第三种情况常常是和企业业务审计结合在一起的，如检查企业对供应商管理的审计中，要检查到信息系统中供应商子系统;检查企业人力资源管理时，涉及到人力资源管理子系统。在开展这类审计时，要明确业务涉及到的信息系统是什么系统，范围是什么，系统的边界如何划分，审计应该审计的内容。处理好上述三种情况，就能在制定审计计划时列出明确的范围，在实施审计时突出重点，有条不紊。

;