xxxx（天津）有限公司xxxx工业（天津）有限公司IT审计报告(For the period from 01, Nov, 2009 to 31, May, 2010)Prepared by: Internal IT AuditorInternal Audit Dept., XXXX Group目录第一部分审计背景.................................................................................................................. - 7 - 第二部分IT应用控制审计..................................................................................................... - 8 - 审计发现一采购业务系统操作与实物操作不一致...................................................... - 8 - 审计发现二SAP工程物料管理方案无法满足管控需求........................................... - 10 - 审计发现三SAP系统存在一人多账号的情况........................................................... - 12 - 审计发现四生产管理的主数据维护流程不完整........................................................ - 13 - 审计发现五SAP系统中存在没有经过测试、审批的程序....................................... - 15 - 审计发现六产品配方的访问控制缺失........................................................................ - 16 - 审计发现七产品配方的变更管理缺失........................................................................ - 17 - 审计发现八客户计入价格程序存在访问控制的漏洞................................................ - 18 - 审计发现九信贷、货款管理的系统授权违反职责分离原则.................................... - 20 - 审计发现十SAP系统提单程序（事务代码VL03N）错误..................................... - 22 - 审计发现十一系统中存在大量没关闭的不再执行的合同............................................ - 23 - 审计发现十二系统中存在长期不执行的贸易合同........................................................ - 24 - 第三部分IT一般控制审计................................................................................................... - 25 - 审计发现十三企业购置电脑违反集团采购制度............................................................ - 25 - 审计发现十四新员工入职缺少IT方面的培训 .............................................................. - 26 - 审计发现十五机房缺少火灾报警系统............................................................................ - 27 - 审计发现十六机房访问控制不严格................................................................................ - 28 - 审计发现十七机房存在水灾隐患.................................................................................... - 29 - 审计发现十八机房短期供电设备损坏............................................................................ - 30 -审计发现十九企业缺少对外来人员接入集团网络的控制............................................ - 31 - 审计发现二十网络设备缺乏访问控制策略.................................................................... - 32 - 审计发现二十一主要服务器缺少身份鉴别策略................................................................ - 33 - 审计发现二十二地磅系统主机存在安全隐患.................................................................... - 34 - 审计发现二十三主要服务器缺少身份鉴别失败处理策略................................................ - 35 - 审计发现二十四主要服务器缺少审计策略........................................................................ - 36 -重要审计发现摘要第一部分审计背景xxxx（天津）有限公司成立于2002年，主要产品包括散油、小包装油、中包装油以及起酥油、人造奶油等特种油脂，2009年公司主营业务收入达52.67亿元。

SAP系统于08年8月上线，09年11月份优化完成。

xxxx工业（天津）有限公司成立于2004年，主要产品包括甘油、皂粒等油脂化工产品，2009年公司主营业务收入达2.39亿元。

SAP系统于08年11月上线，09年11月份优化完成。

公司总经理：公司财务经理：第二部分 IT应用控制审计审计发现一采购业务系统操作与实物操作不一致采购业务及后续收货、成本核算等系统操作与实物操作不一致：部分采购申请填写较随意，申请的物料并非真实需要采购的物料，单据的备注里注明的才是需要申请的物料。

按照此采购申请生成的采购订单以及后续的收货、成本核算均与实物不一致。

例如：风险1)导致实际库存与系统库存的差异。

2)导致相关物料成本不准确。

建议在集团范围内建立有关物料编码管理、采购申请等流程的规范，例如：1)制定规范，确定必须进行编码管理的物料种类，以及因何种原因目前无法进行编码管理物料种类。

2)采购申请部门应按照物料编码管理规范进行操作，及时提交物料新增或变更申请到SAP物料维护部门。

3)采购申请的审批环节或是在采购部门接到填写不规范的采购申请时，应当有权利拒收，而不应让此类错误的单据继续流转下去。

管理层意见改进措施、时间及负责人审计发现二工程物料管理方案无法满足管控需求工程物料管理方案不能满足管控需求，采购、入库、领用、成本核算等环节不能管理物料明细：1)采购订单（PD类）不能记录物料数量和明细种类，采购人员只能够在系统外手工处理采购合同。

2)采购订单收货时，由于没有物料明细，仓库需要在系统外手工记录详细的收货情况；工程领用时，仓库人员同样需要手工记录领用状况。

系统无法反映详细的入库量和出库量。

3)由于此部分物料默认是计入工程成本或费用的，在没有完全耗用的情况下，无法将剩余的工程物料转化为普通物料，因此无法在系统中准确核算工程项目耗用量。

例如，系统采购订单号：5630000988，实际的采购需求是一批不同种类的截止阀，系统中只能记录为“油化罐区阀门一批（见合同明细表）”，系统限定数量“1.000/PU”不可修改：实际的物料需求包含不同数量的多种阀门（手工明细账）：2009年12月-2010年5月，此类物资的采购订单总金额已达500多万人民币（如下表），系统中没有明细的种类、数量、金额和详细的入库量、工程耗用量。

风险1)系统外的手工管理增加了出错和舞弊的风险，可能会导致资产损失。

2)手工管理效率低下，增加了管理成本。

3)可能导致工程项目的成本或费用虚高。

建议1)SAP需要修改程序，使PD类订单能够反映物料明细。

2)业务管理方需要对各类工程物料的管理进行规范，包括是否需要进行编码管理，所适用的采购流程、库存管理流程和成本核算流程等。

管理层意见改进措施、时间及负责人审计发现三 SAP系统存在一人多账号的情况SAP系统存在一人多账号的情况。

xxxx（天津）有限公司和xxxx工业（天津）有限公司共有108位员工使用SAP系统，但是创建了156个SAP账号，有48人因同时处理两个工厂的业务而在各工厂分别创建了SAP账号，一年因此而多出来的维护费用为28.8万元。

多账号情况举例如下：风险1)SAP账号数是收取软件授权费用和服务费用的依据，一人拥有多个SAP账号，会增加系统运营成本，造成浪费。

2)一人拥有多个SAP账号，不利于权限的管理，可能会造成访问控制方面的漏洞。

建议严格按照一个用户对应一个SAP账户的规则创建系统账户。

管理层意见改进措施、时间及负责人审计发现四生产管理的主数据维护流程不完整SAP系统优化项目确定的流程：工作中心、工艺路线等主数据应由SAP支持部门统一维护。

但是天津xxxx以及其他各工厂均有多人拥有维护此类数据的权限，此类数据的维护大部分都是由工厂用户自己完成。

例如：天津xxxx拥有工作中心、工艺路线维护权限的员工：部分主数据维护记录：风险主数据维护流程不清晰，会影响工作效率，以及数据的准确性。

建议梳理流程，收回不必要的授权，确保数据维护的唯一入口。

管理层意见改进措施、时间及负责人审计发现五SAP系统中存在没有经过测试、审批的程序存在直接在正式系统中创建的变式类程序，此类程序没有经过开发系统、测试系统的测试、审批，如创建物料清单的变式程序ZCS01。