請(qǐng)教：針對(duì)SAP系統(tǒng)應(yīng)該如何進(jìn)行年報(bào)審計(jì)

SAP審計(jì)功能主要包括：

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、重慶小程序開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶(hù)創(chuàng)新互聯(lián)還提供了溫宿免費(fèi)建站歡迎大家使用！

1)用戶(hù)登陸及進(jìn)程監(jiān)控

2)文件類(lèi)型已經(jīng)文件變更紀(jì)錄

3)開(kāi)發(fā)紀(jì)錄

4)系統(tǒng)日志文件審計(jì)

(從CCA安全意義來(lái)講，由于SAP將AUDIT LOG以文件形式存儲(chǔ)在SAP服務(wù)器上，所以原則上更應(yīng)該將SAP管理員與OS管理員真正意義上分開(kāi)來(lái)控制)

因此為了配合系統(tǒng)安全控制，SAP嚴(yán)謹(jǐn)?shù)牟捎昧俗陨淼腁UDIT 工具，系統(tǒng)內(nèi)TRACE工具，可控制型TRACE工具，通過(guò)這些來(lái)進(jìn)一步完善和加強(qiáng)系統(tǒng)安全。

系統(tǒng)安全控制策略如下：

1)通過(guò)ST03,ST03N來(lái)設(shè)置系統(tǒng)內(nèi)TRACE的時(shí)間小于等于3天。

2)手工用SM19設(shè)置TRACE內(nèi)容與時(shí)間段，將系統(tǒng)的每一步操作都控制起來(lái)。

基本監(jiān)控策略：

1)每天作一次日常檢查，通過(guò)ST22,SM21,OY18,ST02,ST04查看系統(tǒng)內(nèi)的動(dòng)作，控制每日的運(yùn)行狀態(tài)。

2)系統(tǒng)管理員通過(guò)STAT 監(jiān)控每三天用戶(hù)的系統(tǒng)動(dòng)作，配合以SM20監(jiān)控更詳細(xì)的內(nèi)容，并且對(duì)于用戶(hù)的一些不恰當(dāng)?shù)牟僮骺梢酝ㄟ^(guò)SUIM來(lái)完成監(jiān)控。

3)對(duì)于系統(tǒng)管理員的任何動(dòng)作SM20也能夠詳細(xì)地反饋出來(lái)，每?jī)芍芸梢粤谐鱿到y(tǒng)管理員的動(dòng)作列表。

關(guān)于SAP審計(jì)：

廣義其實(shí)指SAP basis security以及其OS，DB的audit，而狹義就是SAP FI/CO, MM, SD等提供的系統(tǒng)控制的審計(jì)。是吧。

SAP自帶的審計(jì)功能有兩個(gè)，一個(gè)是event level的audit log，參數(shù) rsau/enable = 1開(kāi)啟該功能，再用SM19 configure 要審計(jì)的event，SM20來(lái)做audit log analysis。

另外一個(gè)是對(duì)table的審計(jì)，也就是對(duì)重要的數(shù)據(jù)參數(shù)表的變動(dòng)進(jìn)行審計(jì)，參數(shù)rec/client開(kāi)啟功能，根據(jù)管理層定義的SAP系統(tǒng)關(guān)鍵的數(shù)據(jù)表列表，使用SE13配置數(shù)據(jù)表的屬性，啟動(dòng)這些數(shù)據(jù)表變更日志的功能。再用SCU3查看這些關(guān)鍵數(shù)據(jù)表的變更日志。

audit log 在操作系統(tǒng)上以文件形式存儲(chǔ)的,因此沒(méi)有sap_all卻有操作系統(tǒng)root權(quán)限的一樣可以刪除日志.

所以O(shè)S admin 一定要進(jìn)可能與 SAP admin 分開(kāi)。

如果能做到這個(gè)SOD的話，即使有SAP_ALL在SAP上刪除了audit log，但這個(gè)刪除audit log這個(gè)動(dòng)作是可以被SAP記錄下來(lái)的。所以audit log依然可以起一定作用。

sap可以導(dǎo)出審計(jì)底稿嗎

是的，SAP的審計(jì)底稿可以通過(guò)特定的導(dǎo)出功能導(dǎo)出。 在SAP系統(tǒng)上，可以通過(guò)SAP Security Audit Log（SAL）來(lái)查看和跟蹤用戶(hù)活動(dòng)，以評(píng)估和識(shí)別風(fēng)險(xiǎn)。SAL的審計(jì)數(shù)據(jù)可以通過(guò)安全日志轉(zhuǎn)儲(chǔ)功能（Log Export）轉(zhuǎn)儲(chǔ)到文本文件，并可以將其導(dǎo)出為審計(jì)底稿和報(bào)表。

sap系統(tǒng)中財(cái)務(wù)會(huì)計(jì)報(bào)表如何審計(jì)？我們?nèi)ヒ患夜?，他們用的是sap系統(tǒng)，用常規(guī)的審計(jì)方法不適用，怎么審

第一種：最簡(jiǎn)單的方法，讓他們打出憑證、帳薄、和報(bào)表（因?yàn)樨?cái)政部要求每個(gè)單位都要在年終將所有的電子數(shù)據(jù)都要形成紙質(zhì)財(cái)務(wù)資料）、內(nèi)控、預(yù)算、決算。

第二種：不要被他們的英文簡(jiǎn)稱(chēng)嚇倒，所有的財(cái)務(wù)管理軟件都有不變的原始單據(jù)輸入操作人、審核人、形成報(bào)告結(jié)算單據(jù)。找出他們的依據(jù)，根據(jù)這些要點(diǎn)來(lái)審核就行。