ERP系统审计提高企业风险管理能力
重庆钢铁集团公司是重庆市最大的一家国有企业,也是一家在历史上为中国冶金行业的发展做出过贡献的老企业。重钢集团公司93年开始实施财务管理系统,现在已全部实现电算化,97年实现了营销管理、生产管理及原材料管理信息化改造,建立了生产、销售、管理一体化的信息系统(ERP系统)。精准的战略定位、卓越的研发创新实力,奠定了重庆钢铁突出的主业竞争优势,其主导产品中厚板材被誉为中国第一板。重钢ERP系统经过不断建设,已经形成了能够提供诸如销售(订单)管理、质量控制、生成流程管理等综合业务功能的综合系统。
可以说,ERP已经成为重钢的生命线,在未来的发展过程中,企业需要利用这个系统,进行钢铁的生产、新钢材的研究以及产品销售管理。但众所周知,信息系统的建设过程、使用过程、以及相关的环境因素中都存在着大量的风险因素。如果不能对ERP系统的信息安全问题进行有效的管理,不但可能增加系统的实施成本,稍有不慎,还可能造成巨大的损失。为了防范和降低风险,必须加强风险管理和风险控制,建立一套良好的ERP系统的信息安全管理机制。这其中就包括了信息安全审计。审计已经成为企业内控、信息系统治理、完善风险管理的不可或缺的关键手段。
通过对市场上安全审计技术的评测和试用,重庆钢铁集团最终选择了启明星辰的天玥安全审计解决方案。重庆钢铁希望通过安全审计技术来解决针对重要的业务系统提供基于CA证书(USB令牌)的二次强身份认证,同时针对关键主机访问采取专项控制和管理;针对企业ERP系统的应用操作与维护行为进行记录、审计、回放;针对企业ERP系统的后台Oracle数据库的访问行为进行记录、审计、回放。
细粒度审计报告,全面定位网络风险
ERP系统的应用和发展为在市场经济大潮中奋力搏击的众多企业注入新的血液,在中国和世界都掀起了一场管理思想和管理技术的革命。对企业ERP系统进行安全审计不能仅仅局限在FIS,ERP软件的其他功能模块,如销售和分销(SD)、物料管理(MM)、生产计划(PP)、人力资源(HR)等,对于核实企业资产负债的真实性、交易过程的合规合法性,检查企业内部控制的执行情况,都有重要的参考作用。ERP系统虽然实现了会计处理中间过程的无纸化,但同时对ERP系统审计中如何取得充分、有效的证据也提出了挑战。
