SAP GRC IT安全审计(天津 )有限公司IT审计报告
SAP GRC项目技术报告
SAP GRC 项目技术报告SAP GRC Team修改历史目录一、基础平台搭建 41、操作系统层 41.1 操作系统 41.1.1操作系统的选择 41.1.2 操作系统的调整 41.2 JDK安装及配置 51.2.1 JDK的选择 51.2.2 JDK环境变量设置 52、Oracle数据库层 53、SAP Java Server层 53.1 软件需求 53.2 安装 53.3 预配置 63.3.1 UME的预配置 63.3.2 SLD的预配置 63.3.3 IGS的预配置 64、SAP Back-End Server 层 64.1 软件需求 64.2 安装 65、系统备份75.1 Oracle 备份75.1.1 备份工具75.1.2 参数调整75.2 GRC系统备份7二、GRC系统初始配置71、主数据72、CC模块72.1 Java Server 端配置72.1.1 Connector的建立72.1.2 Data Extrator的创建82.1.3 Background Job的创建与规划82.2 Back-End 端配置92.3 系统间连接配置93、FF模块94、AE模块95、RE模块9三、系统运维91、日常运维92、性能调优92.1 Java Server优化92.2 Oracle优化92.3 Back-End 性能优化93、版本升级9一、基础平台搭建1、操作系统层1.1 操作系统1.1.1操作系统的选择Microsoft Windows Server 2003 R2 Enterprise x64 Edition Service Package 21)系统现在为测试阶段,故选择Windows 2003 Enterprise Edition。
以后的GRC-PRD系统可以选择性能和稳定性较强的Linux系统。
2)SAP Netweaver 2004S现在只支持64位,系统硬件CPU为AMD64位,故选择x64 Edition。
20100409XX SAP 企业SAP变更沟通及IT审计报告流程
企业IT审计报告回复:SAP应用控制回复责任人细分
审计发现问题状态判断
管理规则 系统实现 实现项目状态
回复人
(MIS协助判断状态后 转发到相关回复负责人)
有
有
完成
企业财务经理
有
有
无
已立项
集团用户方项目经理
有
无
无
有
无
未立项
无
MIS
无
有
完成
企业IT审计报告回复:SAP应用控制实现职责细分
审计发现问题改进方式及状态
集团财务 MIS
收到xxx 运维需求项目 变更需求及建
议方案
集团相关方 与MIS
业务现状确认 (业务征询、 规则征询)
xxx 与MIS
方案评估循环 及初步选择
集团相关方 与MIS
意向方案 影响征询
MIS
汇总意见 确认方案 全部理解
xxx 与MIS
系统现状确认 (标准化内容、
实际情况)
确认IT 变更完成
开发类 问题等
xxx运维范畴内
xxx运维 处理流程
xxx 需求分析部
超出 运维 范畴
对变更需求进 行分析评估
xxx 需求分析部
出具意向 实现方案
立项实现的部分
需要集团协同 变更的部分
集团财务 集团信息化管理部
(MIS) SAP变更协同流程
立项实现
xxx项目实 施部
企业需求中,变更实现的流程(II-xxx运维)
xxxx企业SAP变更沟通及IT审计报告流程
目录
1 SAP变更沟通流背景 2 SAP变更沟通流三步曲 3 IT审计报告回复相关事宜 4 总结
第一部分:SAP变更沟通流背景
软件企业专项审计报告
软件企业专项审计报告
合理
一、审计单位简介
本审计报告由XXX审计师事务所代表审计师团队,在接受被审计企业指定专项审计委托后,按照国家财政部门有关规定,对被审计企业2024年度(或指定时间段)软件企业收入、税收、费用等进行了实地审计。
二、审计范围
本次审计的范围主要涉及被审计企业2024年(或指定时间段)软件企业财务收入、税收、财务费用等内容,包括:
1、审计被审计企业2024年(或指定时间段)软件企业的实际收入、税收和费用情况,核实这些指标的真实可靠性;
2、核实被审计企业2024年软件企业经营情况的正确性;
3、检查被审计企业2024年(或指定时间段)软件企业的会计核算程序是否符合有关会计准则的要求;
4、审查被审计企业2024年(或指定时间段)软件企业的财务报表是否具有良好的信息披露标准。
三、审计依据
本次审计依据国家财务相关法律法规的规定,以及被审计企业2024年(或指定时间段)软件企业的财务报表、账户文件、财务报表及其它相关文件,进行了全面的审计检查。
四、审计结论。
安全管理审计报告
安全管理审计报告
1. 前言
本报告旨在评估公司现有的安全管理体系,识别潜在的风险和不足之处,并提出改进建议。
安全管理对于公司的持续运营和员工的健康安全至关重要。
2. 审计范围
本次审计涵盖以下几个方面:
- 安全政策和程序
- 安全培训和意识
- 安全设备和设施
- 事故报告和调查
- 应急准备和响应
3. 审计发现
3.1 安全政策和程序
- 公司已制定了全面的安全政策和程序手册,但部分内容有待更新
- 员工对安全政策和程序的了解程度不一
3.2 安全培训和意识
- 新员工入职培训包括安全培训内容
- 缺乏定期的安全再培训和意识提升活动
3.3 安全设备和设施
- 大部分生产区域配备了必要的安全设备,如防护装备、警示标识等- 部分安全设施老化,需要更新维护
3.4 事故报告和调查
- 建立了事故报告和调查程序
- 事故调查报告存在不充分的情况
3.5 应急准备和响应
- 制定了应急预案,但演练活动较少
- 应急物资储备需要补充
4. 改进建议
4.1 更新并传达安全政策和程序,加强员工的理解和执行
4.2 制定年度安全培训计划,开展多种形式的培训和意识活动
4.3 更新维护安全设备和设施,确保其良好运转
4.4 加强事故调查的深度和全面性,并跟踪落实整改措施
4.5 定期组织应急演练,完善应急响应能力
5. 结论
公司已建立了初步的安全管理体系,但仍有一些需要改进和加强的地方。
我们建议公司高度重视安全管理工作,落实本报告提出的改进建议,不断优化安全管理水平,为员工营造一个安全可靠的工作环境。
SAP GRC
结合ERP等业务系统实现全面,动态且智能的企业全面风险管理平台 (目前动态处 理风险管理的系统很少, GRC RM应该有很大的市场)。
©2009 德勤华永会计师事务所有GRC RM (风险管理)
基于角色的实用仪表板与告警功能, 对于业务过程实行积极的监控
保护现有的价值 • 流程化跨企业风险管理 • 预防事故和损失 产生新的价值 • 提高战略的实现 • 通过预测和计划,调节企业的风 险,改进企业的绩效 增加企业透明度 • 在合适的风险度下,确保业务部 门的顺利运营 • 紧密将业务过程、风险和监控连 接起来,改善公司的治理
为业务子流程设计并添加控制 活动(Control, ELC, ITGC)
设计必要的自动测试或手工测 试方法(Test Rule, Test Plan)
为控制活动匹配相关的测试方 法 指定各维度相关责任人和必要 的审核流程(Role, Owner) 安排必要的测试计划 (Monitoring, Planner)
愿景C:集团内部从下而上透明化、标准化的内部审计
集团范围内基于组织架构和科目余 额进行审计范围确定(Scoping, MP) 给控制活动分配手工测试或自动测 试方法 安排并发布测试计划(Test Plan) 对确认的问题提出整改计划
对整改计划进行测试和复核
根据整改结果重新测试(Retest)
汇报测试结果和发现的问题(Issue, Gen/Idv Result) 复核测试结果和发现的问题 (Review)
最终实体负责人对实体做负责性签 字,层层上报(Sign-off) 集团领导复核相关报表,做必要挖 掘分析(Heat Map, Crystal Report)
©2009 德勤华永会计师事务所有限公司
16
SAP简介及其审计
5
.
SAP系统简介
❖框架性概念
❖ 集团公司(Client):是SAP中的最高等级;每一个集团建立主数据 库。SAP系统中定义的集团公司,可以是实际的或虚拟存在的集团公 司,主要用以合并会计报表。一个集团公司可包含一个或一个以上的 公司代码,通常是在集团公司层次上出具合并财务报表。
费用
3、内部订单:用于内部专案或事件所发生成
本的计划,收集,预算管控及结转。
4、基于作业的成本会计(ABC成本法): 作业成本核算
5、产品成本控制:成本核算 6、获利能力分析:内部获利管理分析 7、利润中心会计:内部责任中心损益表
14
.
SAP 财务系统的主要特征
内部法律部门,进入法律程序。
❖ 应付账款:SAP财务系统应付账款模块对所有供应商账户进行监测和控制。 在此模块中账户分析、采购控制、采购结算及自动付款、应付款管理,都使 用户能够方便的处理供应商账务。
11
.
财务会计(FI)部分的主要内容
❖ 1.供应商主记录管理 客户管理类似系统对供应商分三个层次进行管理的。集团层的供应商信
❖ 高度的集成性:SAP系统强大的系统集成性决定了SAP系统中的财务凭
证绝大多数不是通过手工录入的,而是通过系统集成的方式由其他业务模块 集成生成的。高度集成的系统实现了一次性记账:采购原材料的收货入库、 生产领料、完工产品入库、销售出库、收到的供应商发票校验、给客户开票 记账,这些业务在发生时会遵循有关记账原则,按照预先设置好的会计科目 ,自动记入总账。固定资产的购置、折旧和处理都会在更新每个明细资产的 同时更新总账,而不需要财务人员录入凭证。通过权限的管理可以使所有子 公司或工厂的原始数据的来源处于总部的监控之下。高度的系统集成实现了 数据的单口录入,财务数据完全来源于业务原始数据,既提高了财务数据的 准确性,同时大量减少了财务人员的工作量。
SAP GRC
内部审计师 Internal Auditors 外部审计师 External Auditors
数据安全官 Data Security Officers
税务审计师 Tax Auditors 审计相关文档+ 审计相关文档+培训 Audit-specific documentation + training
© SAP 2007 / Page 23
环境与合规:行业市场环境——知识库与信息情报分析
“是否能够通过一个知识库来集中所有的信息呢?” 是否能够通过一个知识库来集中所有的信息呢?
Partners
Technology
Consulting
SAP企业门户知识管理提供: SAP
Microsoft IBM Accenture KPMG
1) 2) 3) 4) 5) SAP风险管理解决方案概述 风险管理解决方案概述 运营风险管理 环境与合规 战略决策风险 IT风险Page 8
SAP为企业构建了全方位的风险管理解决方案
环境风险
深入的业务洞察力 公司冶理与风险
战略计划
合并与快 速关账 战略规划 与贯彻
04.04 资金管理 是否所有的业务活动都 已记入正确的账户
01.05 公司财务
04.05 报告调整 是否存在未授权的交易价格?
06. 冶理、风险与合规 (GRC)
流 程
07. 信息生命周期管理 (数据维护 数据维护) 数据维护 08. 主数据管理 09. 分析流程 (Closed Loop)
© SAP 2007 / Page 20
买入财务 资产
现金状态
付款
付款
卖出财务 资产
期权
远期外汇 买卖
预测 (短期 短期) 短期 预测 (中期 中期) 中期
IT系统安全审计报告
IT系统安全审计报告1. 引言IT系统安全审计是一项重要的控制措施,旨在确保信息系统的机密性、完整性和可用性。
本报告对公司的IT系统进行了全面的安全审计,并总结了审计结果和建议。
2. 背景2.1 公司概况本次审计对象为某公司的IT系统,该公司是一家提供电子商务解决方案的企业,拥有大量客户数据和交易信息。
2.2 审计目的本次审计的目的是评估公司IT系统的安全性,并提供相关的改进建议,以确保系统的保密性、完整性和可用性。
3. 审计范围3.1 系统访问控制对公司的IT系统访问控制策略、用户权限管理、密码策略等进行审计。
3.2 网络安全对公司网络设备的配置和管理、网络防火墙、入侵检测系统等进行审计。
3.3 数据保护对公司数据备份策略、加密措施、灾难恢复计划等进行审计。
4. 审计结果4.1 系统访问控制在审计过程中,发现公司对系统访问控制的管理存在一些问题。
首先,用户权限管理不够严格,一些用户拥有过高的权限,增加了系统被滥用的风险。
其次,密码策略较弱,用户密码复杂度要求不高,容易被猜测或破解。
建议公司加强对用户权限的管理,实施更强的密码策略,例如设置密码长度和复杂度要求,并定期要求用户更换密码。
4.2 网络安全在网络安全方面,公司的网络设备配置存在一些问题。
审计发现一些网络设备的默认配置未被修改,存在安全漏洞。
此外,公司的网络防火墙规则较为宽松,未能有效阻止潜在的恶意攻击。
建议公司对网络设备的配置进行定期检查和更新,并加强网络防火墙的规则管理,限制不必要的网络访问。
4.3 数据保护数据保护是IT系统安全的重要方面。
审计发现公司的数据备份策略存在一些问题,备份频率不够高,恢复点目标(RPO)较长,可能导致数据丢失。
此外,公司的数据加密措施较弱,未能对敏感数据进行足够的保护。
建议公司加强数据备份的频率,根据业务需求设定合理的RPO,并对敏感数据进行加密保护。
5. 改进建议5.1 强化系统访问控制加强对用户权限的管理,确保每个用户拥有适当的权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
xxxx(天津)有限公司xxxx工业(天津)有限公司IT审计报告(For the period from 01, Nov, 2009 to 31, May, 2010)Prepared by: Internal IT AuditorInternal Audit Dept., XXXX Group目录第一部分审计背景.................................................................................................................. - 7 - 第二部分IT应用控制审计..................................................................................................... - 8 - 审计发现一采购业务系统操作与实物操作不一致...................................................... - 8 - 审计发现二SAP工程物料管理方案无法满足管控需求........................................... - 10 - 审计发现三SAP系统存在一人多账号的情况........................................................... - 12 - 审计发现四生产管理的主数据维护流程不完整........................................................ - 13 - 审计发现五SAP系统中存在没有经过测试、审批的程序....................................... - 15 - 审计发现六产品配方的访问控制缺失........................................................................ - 16 - 审计发现七产品配方的变更管理缺失........................................................................ - 17 - 审计发现八客户计入价格程序存在访问控制的漏洞................................................ - 18 - 审计发现九信贷、货款管理的系统授权违反职责分离原则.................................... - 20 - 审计发现十SAP系统提单程序(事务代码VL03N)错误..................................... - 22 - 审计发现十一系统中存在大量没关闭的不再执行的合同............................................ - 23 - 审计发现十二系统中存在长期不执行的贸易合同........................................................ - 24 - 第三部分IT一般控制审计................................................................................................... - 25 - 审计发现十三企业购置电脑违反集团采购制度............................................................ - 25 - 审计发现十四新员工入职缺少IT方面的培训 .............................................................. - 26 - 审计发现十五机房缺少火灾报警系统............................................................................ - 27 - 审计发现十六机房访问控制不严格................................................................................ - 28 - 审计发现十七机房存在水灾隐患.................................................................................... - 29 - 审计发现十八机房短期供电设备损坏............................................................................ - 30 -审计发现十九企业缺少对外来人员接入集团网络的控制............................................ - 31 - 审计发现二十网络设备缺乏访问控制策略.................................................................... - 32 - 审计发现二十一主要服务器缺少身份鉴别策略................................................................ - 33 - 审计发现二十二地磅系统主机存在安全隐患.................................................................... - 34 - 审计发现二十三主要服务器缺少身份鉴别失败处理策略................................................ - 35 - 审计发现二十四主要服务器缺少审计策略........................................................................ - 36 -重要审计发现摘要第一部分审计背景xxxx(天津)有限公司成立于2002年,主要产品包括散油、小包装油、中包装油以及起酥油、人造奶油等特种油脂,2009年公司主营业务收入达52.67亿元。
SAP系统于08年8月上线,09年11月份优化完成。
xxxx工业(天津)有限公司成立于2004年,主要产品包括甘油、皂粒等油脂化工产品,2009年公司主营业务收入达2.39亿元。
SAP系统于08年11月上线,09年11月份优化完成。
公司总经理:公司财务经理:第二部分 IT应用控制审计审计发现一采购业务系统操作与实物操作不一致采购业务及后续收货、成本核算等系统操作与实物操作不一致:部分采购申请填写较随意,申请的物料并非真实需要采购的物料,单据的备注里注明的才是需要申请的物料。
按照此采购申请生成的采购订单以及后续的收货、成本核算均与实物不一致。
例如:风险1)导致实际库存与系统库存的差异。
2)导致相关物料成本不准确。
建议在集团范围内建立有关物料编码管理、采购申请等流程的规范,例如:1)制定规范,确定必须进行编码管理的物料种类,以及因何种原因目前无法进行编码管理物料种类。
2)采购申请部门应按照物料编码管理规范进行操作,及时提交物料新增或变更申请到SAP物料维护部门。
3)采购申请的审批环节或是在采购部门接到填写不规范的采购申请时,应当有权利拒收,而不应让此类错误的单据继续流转下去。
管理层意见改进措施、时间及负责人审计发现二工程物料管理方案无法满足管控需求工程物料管理方案不能满足管控需求,采购、入库、领用、成本核算等环节不能管理物料明细:1)采购订单(PD类)不能记录物料数量和明细种类,采购人员只能够在系统外手工处理采购合同。
2)采购订单收货时,由于没有物料明细,仓库需要在系统外手工记录详细的收货情况;工程领用时,仓库人员同样需要手工记录领用状况。
系统无法反映详细的入库量和出库量。
3)由于此部分物料默认是计入工程成本或费用的,在没有完全耗用的情况下,无法将剩余的工程物料转化为普通物料,因此无法在系统中准确核算工程项目耗用量。
例如,系统采购订单号:5630000988,实际的采购需求是一批不同种类的截止阀,系统中只能记录为“油化罐区阀门一批(见合同明细表)”,系统限定数量“1.000/PU”不可修改:实际的物料需求包含不同数量的多种阀门(手工明细账):2009年12月-2010年5月,此类物资的采购订单总金额已达500多万人民币(如下表),系统中没有明细的种类、数量、金额和详细的入库量、工程耗用量。
风险1)系统外的手工管理增加了出错和舞弊的风险,可能会导致资产损失。
2)手工管理效率低下,增加了管理成本。
3)可能导致工程项目的成本或费用虚高。
建议1)SAP需要修改程序,使PD类订单能够反映物料明细。
2)业务管理方需要对各类工程物料的管理进行规范,包括是否需要进行编码管理,所适用的采购流程、库存管理流程和成本核算流程等。
管理层意见改进措施、时间及负责人审计发现三 SAP系统存在一人多账号的情况SAP系统存在一人多账号的情况。
xxxx(天津)有限公司和xxxx工业(天津)有限公司共有108位员工使用SAP系统,但是创建了156个SAP账号,有48人因同时处理两个工厂的业务而在各工厂分别创建了SAP账号,一年因此而多出来的维护费用为28.8万元。
多账号情况举例如下:风险1)SAP账号数是收取软件授权费用和服务费用的依据,一人拥有多个SAP账号,会增加系统运营成本,造成浪费。
2)一人拥有多个SAP账号,不利于权限的管理,可能会造成访问控制方面的漏洞。
建议严格按照一个用户对应一个SAP账户的规则创建系统账户。
管理层意见改进措施、时间及负责人审计发现四生产管理的主数据维护流程不完整SAP系统优化项目确定的流程:工作中心、工艺路线等主数据应由SAP支持部门统一维护。
但是天津xxxx以及其他各工厂均有多人拥有维护此类数据的权限,此类数据的维护大部分都是由工厂用户自己完成。
例如:天津xxxx拥有工作中心、工艺路线维护权限的员工:部分主数据维护记录:风险主数据维护流程不清晰,会影响工作效率,以及数据的准确性。
建议梳理流程,收回不必要的授权,确保数据维护的唯一入口。
管理层意见改进措施、时间及负责人审计发现五SAP系统中存在没有经过测试、审批的程序存在直接在正式系统中创建的变式类程序,此类程序没有经过开发系统、测试系统的测试、审批,如创建物料清单的变式程序ZCS01。