请教：针对SAP系统应该如何进行年报审计

SAP审计功能主要包括：

1)用户登陆及进程监控

2)文件类型已经文件变更纪录

3)开发纪录

4)系统日志文件审计

(从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)

因此为了配合系统安全控制，SAP严谨的采用了自身的AUDIT 工具，系统内TRACE工具，可控制型TRACE工具，通过这些来进一步完善和加强系统安全。

系统安全控制策略如下：

1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。

2)手工用SM19设置TRACE内容与时间段，将系统的每一步 *** 作都控制起来。

基本监控策略：

1)每天作一次日常检查，通过ST22,SM21,OY18,ST02,ST04查看系统内的动作，控制每日的运行状态。

2)系统管理员通过STAT 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的 *** 作可以通过SUIM来完成监控。

3)对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表。

 关于SAP审计：

广义其实指SAP basis security以及其OS，DB的audit，而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。

SAP自带的审计功能有两个，一个是event level的audit log，参数 rsau/enable = 1开启该功能，再用SM19 configure 要审计的event，SM20来做audit log analysis。

另外一个是对table的审计，也就是对重要的数据参数表的变动进行审计，参数rec/client开启功能，根据管理层定义的SAP系统关键的数据表列表，使用SE13配置数据表的属性，启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。

audit log 在 *** 作系统上以文件形式存储的,因此没有sap_all却有 *** 作系统root权限的一样可以删除日志

所以OS admin 一定要进可能与 SAP admin 分开。

如果能做到这个SOD的话，即使有SAP_ALL在SAP上删除了audit log，但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。

服务器要保证数据安全，首先要勤打补丁，windows系统是通过高手的不断应用发现漏洞的，补丁就是补漏洞；其次要安装正规的杀毒软件，一定要服务器版的杀毒软件并保证杀毒软件病毒库样本更新到最新，这样一般的渗入网络攻击就可以防范，第三，根绝服务器的用途，封锁一些不常用的端口，使外部攻击无门可入；第四，安装网络看门狗，监控一些常用的端口，设置一些安全的策略；最主要的一点是第五要加强服务器用户的培训教育，防范内鬼，我们知道，防火墙是防范外部的攻击，防水墙才是防范内鬼的。完善服务器日志，加强对服务器资源的审计。服务器安全是一项长期的工作，不可能是一劳永逸的。

一、“三员”职责
系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、 *** 作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。
安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户 *** 作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。
安全审计员：主要负责对系统管理员和安全保密员的 *** 作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。
二、“三员”配置要求
1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息；不能增删改日志内容。
2、涉密信息系统三员应由本单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理 *** 作流程，具有较强的责任意识和风险防控意识；并签署保密承诺书。
3、系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任；安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。
4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员员和安全审计员不得由同一人兼任。
三、“三员”权限管理流程
当用户需要使用涉密信息系统时，应该首先在本部门提出书面申请，该部门主管领导批准后，根据实际情况对此用户在系统中的权限进行说明，并将整个情况报本单位的保密工作机构备案。
系统管理员收到用户书面申请后，根据该部门主管领导审批结果和本单位保密工作机构的核准认可，在系统中为该用户生成标识符，创建用户账号。
安全保密管理员收到用户书面申请后，根据保密工作机构的审核结果，配置相应权限，并激活账号。至此，该账号才能使用。当用户工作变动或权限发生变化时，由用户所在部门主管领导书面通知安全保密管理员，并报单位的保密工作机构备案。安全保密管理员接到通知后，根据变更结果注销用户账号或进行权限调整。
安全审计员要定期查看与系统管理员、安全保密管理员相关的审计日志，当发现有用户账号增加、删除和用户权限变化的情况时，及时查阅相关手续文件，以确定系统管理员、安全保密管理员的 *** 作是否经过授权和批准。
在实际工作中，通过类似上述的管理流程，使3类安全保密管理人员各司其职，充分发挥作用，再加上完善的安全保密审批监督机制，就能深入贯彻安全保密管理措施，全面实现系统的安全保密目标。
四、涉密信息系统提供“三员”权限划分等安全保密防护措施
（一）“三员”等权限设置
系统管理员、安全保密管理员和安全审计员是否能够发挥实效作用，除了人员设置和管理到位外，还取决于系统使用的业务应用系统和安全保密产品是否提供相应的管理员账号，以及权限划分和审计日志功能。因此，在设计开发业务应用系统和安全保密产品时，应充分考虑该方面的需求，为使用人员提供相应功能。
管理员角色划分
序号 角色 职责
1
系统管理员
1负责系统参数，如流程、表单的配置、维护和管理。 2负责用户的注册、删除,保证用户标识符在系统生命周期的唯一性;
3负责组织机构的变动调整,负责与用户权限相关的各 类角色的设置。
2 安全保密管理员
1负责人员涉密等级和职务等信息调整和用户权限的分配; 2负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统; 3不能查看和修改任何业务数据库中的信息； 4负责用户审计日志以及安全审计员日志的查看，但不能增删改日志内容。
3 安全审计员
1负责监督查看系统管理员、安全保密管理员和安全审计管理员的 *** 作日志,但不能增删改日志内容; 2负责定期备份、维护和导出日志。
在应用系统设计过程中应避免超级用户，即该用户具有完全的资源访问权限。
对于普通用户的权限，应按照最小授权原则进行划分，将其权限设定在完成工作所需的最小授权范围内。
（二）安全审计功能
审计功能主要记录系统用户业务 *** 作的过程，为安全保密管理员和安全审计员判断用户 *** 作的合法性提供依据。
1审计范围。包括：审计功能的启动和关闭，用户的增加、修改和删除以及权限变更，系统管理员、安全保密管理员、安全审计员和用户所实施的各种 *** 作，包括查阅、备份、维护和导出审计日志。
2审计记录内容。应包括事件发生的时间、地点、类型、主体、客体和结果（开始、结束、失败、成功等）。
3审计事项管理。审计事项管理是指对核心业务 *** 作、需要进行审计的事件的定义和管理，配置和定义所有可能需要审计的事项或 *** 作。
4审计策略配置。审计策略配置是指审计事项和审计人员之间的关联、设置关系，也就是设置哪些关键人员的哪些关键 *** 作事项需要审计；而且根据国家标准要求，用户的增加和删除、权限的变更、系统管理员、审计管理员、安全管理员和用户所实施的 *** 作必须审计，因此根据审计内容审计分为两类强制审计和可配置审计。
5审计信息的存储。系统应设计充足的审计记录存储空间，且当存储空间将满时能及时进行告警，必须对已存储的审计记录进行保护，能检测或防止对审计记录的修改和伪造，记录应至少保存三个月。

最近刚读完一本畅销书《刻意练习》，书中反思了“10000小时理论”在现实的作用。作者认为，很多行业和现实都反映出，我们在某些事务上无论积累多少个10000个小时，都无法成为这个事务上的专家。例如，你自己练习小提琴、学习网球技巧，无论是看着视频学习还是跟着老师练习，在达到一定阶段以后，如果没有“刻意练习”，一切积累时间的训练都是枉然。很多原因都导致了这种情况的发生，例如老师的指导无法满足你的继续成长、学习无法得到专业且及时的反馈、学习状态低下等等。
而在任何专业工作，这种情况也很明显，完成4年专业学习或者仅仅通过入职培训的审计新人，如何才能适应好审计工作？这本书中的观点给了很好的指引。想要成为行业的优秀人才，不仅需要经年累月的工作和学习（这个还是需要的，而且此书不认为真的存在某某行业的天才），还需要你在实际工作中，找到一个真正卓越的role model（职业标杆！），识别出ta与普通从业者的差异，不断在这些差异处进行学习和实践。如果这个role model能够不定时地跟你进行沟通和交流，充分反馈你自身成长和学习中的不足，将会更加有效。
回想四大的工作体制，其实建立了很好的刻意学习场景。永远不会缺少更优秀的role model，永远不会缺少锻炼职业技能的机会。
1、从底稿开始思考，寻找最好的底稿pattern
作为一个审计新人，你拿到以往年度底稿，就应该开始学习这些底稿，经过半年的磨炼，开始发现一些不同客户或者AIC底稿格式、表达、程序之间的细微差异，你就需要思考，每种差异之间是因为客户不同的原因、项目审计目标的差异导致的，还是不同人的审计习惯导致。每一份底稿其实就是其他前辈的工作记录和思考，是专业知识的沉淀。
通过思考，你就可能会在纯粹follow up上年底稿的基础上，开始整理出自己底稿的统一pattern（当然你首先得满足AIC以及项目明确的要求）。例如，如何陈述、表达数据，如何进行图表的配色，如何有效、快速地调整底稿格式等。甚至是，面对某些认定，你所需要执行的程序以及一些特殊的要点。
2、从清Q开始，了解Senior、Manager甚至Par们关注的要点
漫漫年审路，清Q是最痛苦的吗？我觉得反而是最有趣，基本上交上去的底稿，1天或者几个小时之后，就会被前辈们review之后，带着一堆Q回来了。这些快速且深入的质疑，可能是你刻意练习中最重要的因素——反馈（也是其他行业所缺乏的）。每个review notes背后都是AIC、MIC、PIC（甚至可能大大大大Par）们的审计思路。从最简单的格式和日期，为什么做这个程序、为什么没做那个程序，到reference其他底稿之间的勾稽关系和逻辑关系等等。他们所问的或者质疑的，都应该成为你以后应当关注的。
甚至，当你做了好几个不同team的项目之后，你能发现不同MIC在同一张底稿中，开出了完全不同类型的Q，关注了不同的风险。这时候，你可能需要把思维跳出单个科目的审计，去思考整个公司甚至行业的风险点。
3、从客户中学习会计知识，也从客户中学习职场之道
很多审计新人对会计知识是十分陌生的，而对接的财务人员却可能有着比你更丰富的会计经验。这时候你需要思考、提问客户（以及看会计凭证）来快速学习会计知识。但是客户说的未必都对，所以你还需要查阅会计准则、以前年度底稿和咨询team里的senior们，来确认相关信息。
另外，由于事务所内通常人际关系比较简单，而且大家大都是年轻人，不大会在乎职场中竞争关系。而客户一般都是大中型企业，势必存在内部派系冲突，即使会计部门内部，也会存在各种复杂的人际关系和竞争关系。因此，想要让审计项目顺利推进，就需要从底层小会计入手，尽早了解内部关系，找到部门的核心人物。这种历练也会对职场险恶有更多一些了解和思考。
4、保持良好身心状态，多传递正能量
大多数事业成功的人同时一个生活上很成功的人，能够在事业、生活和自我状态之间保持很好的平衡。想要做好审计工作，首先也是要保持好自己的身心状态，例如保证一定的睡眠和良好的饮食，保持良好的心情和心态。
审计毕竟不是一个追求99999%准确率的工作，按照审计准则要求完成审计工作是其最重要的工作标准。因此一定不要过度追求完美，而是按照审计计划已经安排的所有审计程序去执行即可。在这基础上，一定保证睡眠和饮食，让自己一直处于健康但亢奋的工作状态之中。
另外，审计也通常是团队工作，因此要多向团队成员传递正能量，在闲暇之余，能够多制造一些大家能够接受的欢乐，例如出差中的周末休息时间安排好出去大快朵颐的饭店，每天给team带一些好吃的零食，在加班时给大家卖萌和讲笑话。你在帮助其他人开心的同时，也让自己形成了乐观的心理状态，这能更好地帮助你应对繁忙的工作。
5、适时地与AIC、MIC以及自己的mentor沟通
虽然进入忙季后，所有审计部的成员都处在极度忙碌的状态中。但是，如果你遇到专业问题或者自己心理问题，我都建议你适时地找team member以及mentor进行沟通。不要把问题憋在心里，或者忽视这些问题。及时的沟通和反馈，会让你更清晰地找到解决方案。
当然，我很推荐你找自己认为优秀的前辈进行咨询，他们的指导更能让你接受（你对ta有信任和好感）。同时，最优秀的前辈往往也能给出最为优秀的建议。
6、把每次交谈、每张底稿、每次抽样都变成一次练习
通过上面几项的历练和沟通，你会逐渐清晰地找到在目前的岗位上，你所需要达到的状态和需要关注的问题。把这些思考和想法记录下来，并要求自己达到这种卓越状态。然后在之后的每一项工作作为一次练习，让卓越的工作习惯、良好的工作状态、具有洞察和思考的工作内容变成你自身的一部分。
在不断的练习中，让每一次都比之前的工作做的更好，同时又不会做得过于苛刻（虽然，小朋友阶段很少注意，但是过度审计也是一种错误）。
我的一些审计习惯
之前讲了很多在审计过程中应当注意的学习方法，后面简单聊聊我自己一些良好的工作习惯。
文件归档和整理
在信息化时代之后，我们大量的审计资料都以PDF、JPG、DOC、XLS等格式出现在我们的硬盘中，因此建议大家采用“客户-项目-审计科目”的方式建立三级文件夹。而在outlook中也可以建立“客户-项目”的两级本地邮件备份文件夹。
而接收到的电子文件，除了直接放入底稿的文件外，均应当重命名为“客户名称-项目名称-文件名称-日期-提供人”的格式（也可以根据大家工作习惯，改为客户编号和项目编号，避免泄密）。然后将所有文件先存入一个“Inbox”的文件夹中，使用完毕或每天下班前，把上述文件存入上述的三级文件夹内。
工作备份
目前审计人员使用的电脑经常出现死机或文件损坏的情况，虽然如DTT已经有了云端备份底稿的系统。但是如一些扫描文件、通话录音等，我们通常不会存在底稿系统中。所以，我推荐大家：
（1）每天下班前，拷贝一份最新的底稿给其他team成员，做交叉备份。事务所提供云端备份的，回酒店或回家后（一般网络比较好），在睡觉和洗澡的时间，对所有底稿进行一次备份。
（2）每天下班前，把所有Inbox和客户-项目-审计科目三级文件夹备份进入移动硬盘（最好加密），并且不建议覆盖之前的备份；
（3）每个月，把Outlook本地及服务器中的邮箱备份到移动硬盘；
（4）需要存入纸质底稿中的文件，建议第一时间打印并标注，避免文件损坏或丢失。
电话及面谈
审计过程中，大量需要进行电话沟通或当面沟通的工作。即使在小朋友阶段，也有大量工作需要去会谈，例如了解企业内控流程、科目变动分析、抽样差异分析等等。如果没有大量的练习和准备，面谈经常无法达到预期的效果。我的建议是：
（1）提前准备面谈提纲，把一个面试人需要涉及的所有问题全部准备好；
（2）确认问题清单，如果合适，可以提前发给对方准备，如果有支持文件，要求对方可以提前准备；
（3）针对某些可能存在审计风险的事项，或与其他审计组成员工作存在交叉的，邀请审计组成员一起参加，并提前内部沟通；
（4）多问Open question（即WHAT、WHEN、HOW、WHY等，如公司今年为何差旅费用大幅增加？），让对方进行解释，而不是Close question（如是不是、对不对等，公司今年是不是增加了很多出差？）
（5）重要的访谈可以做访谈记录，并请对方签字；但更重要的是，重点事项要求拿supporting！
审计抽样
小朋友阶段最多的工作之一，莫过于审计抽样了。其实审计抽样也有很多技巧：
（1）选样时，如果需要手动选样，一定事先阅读底稿中关于选样的标准，如选取期末余额最大的N笔、本期发生额最大的N笔、年末最后N笔等等，然后严格执行，避免选样错误。如果本期的选样方法发生变化（提升审计的不确定性），记得修改选样标准，并跟AIC沟通修改的合理性。
（2）抽样时，把所有抽样的内容放在一张大的空excel表中，每个科目一个sheet，并在外部存档。然后抽样时，可以把所有抽样集中一次抽完。
（3）找凭证，先完整了解客户分类和归档凭证的方法，然后再开始找。如果确实需要客户帮你找凭证，我建议你只给出凭证号的区间，而不是具体的凭证号（避免对方舞弊）。
（4）（敲黑板，重点来了）千万不要让客户去抽凭证！你可以让客户把类似发票清单表、出库明细表、费用名单表等电子文档完整版发给你，方便你直接复制内部内容，但也一定要在看一下凭证，内容是否与电子文档内容一致。一旦发现一个存在错误，就必须全部手动翻凭证

---