540 likes | 1.8k Views
สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.). กรกฎาคม 2549. กิจกรรม คลีนิคไอเอ ครั้งที่ 8. โครงสร้างและการควบคุมภายในของระบบ SAP. นำเสนอโดย นฤตา คงสุข และจิรพงศ์ ทรัพย์มณี. AGENDA. ข้อมูลทั่วไปของระบบ SAP และ GFMIS การ Implement ระบบ SAP และการบริหารโครงการ การควบคุมภายในของระบบ SAP
E N D
สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.) กรกฎาคม 2549 กิจกรรม คลีนิคไอเอ ครั้งที่ 8 โครงสร้างและการควบคุมภายในของระบบ SAP นำเสนอโดย นฤตา คงสุข และจิรพงศ์ ทรัพย์มณี
AGENDA • ข้อมูลทั่วไปของระบบ SAPและ GFMIS • การ Implementระบบ SAPและการบริหารโครงการ • การควบคุมภายในของระบบ SAP • แนวทางการตรวจสอบระบบSAP
ข้อมูลทั่วไปของระบบ SAPและ GFMIS
ความรู้ทั่วไปของระบบ SAP • “ ERP (Enterprise Resource Planning System)คือแนวความคิดในการบริหารเพื่อวางแผนและจัดการทรัพยากรให้เกิดประโยชน์สูงสุดทั่วทั้งบริษัทโดยการเชื่อมโยงกระบวนการทางธุรกิจไม่ว่าจะเป็นเรื่องการจัดซื้อ การผลิต การขาย ลอจิสติกส์ บัญชี การเงินและงานบุคคลเป็นต้น เข้าด้วยกันอย่างเป็นระบบเพื่อมุ่งไปสู่ผลกำไรสูงสุดของบริษัท ”1 • ระบบ SAPเป็นโปรแกรมสำเร็จรูปประเภท Enterprise Resource Planning System (ERP)ซึ่งประกอบด้วยระบบงานที่สำคัญดังนี้ • ระบบบัญชีและรายงานทางการเงิน (FI module) • ระบบควบคุมต้นทุนและค่าใช้จ่าย (CO module) • ระบบการขายและการจัดส่งสินค้า (SD module) • ระบบการจัดการสินค้าคงคลัง (MM module) • ระบบการผลิตและการวางแผนการผลิต (PP module) • ระบบงานบำรุงรักษาและป้องกันการเสื่อมสภาพของทรัพย์สิน (PM module) • ระบบงานจัดการโครงการ (PS module) • ระบบงาน Basis(Basis system)
Organizational Units Business Enterprise Client Sales Organization Financial Accounting/ Company Code Sales Controlling Area Cost Accounting Distribution Plant Plant Production/ Distribution Channel . . . Storage Storage Storage Inventory Management Location Location Location ã SAP AG 1999 โครงสร้างภายในระบบ SAP
GFMIS(Government Fiscal Management Information System) GFMIS หมายถึง ระบบการบริหารการเงินการคลังภาครัฐด้วยระบบอิเล็กทรอนิกส์ เกิดจากมติคณะรัฐมนตรี เมื่อวันที่ 22 กรกฎาคม พ.ศ.2546โดยใช้โปรแกรมสำเร็จรูป SAP R/3 ของประเทศเยอรมัน เพื่อใช้ในการวางแผนจัดการทรัพยากรของหน่วยงานภาครัฐ โดยมีขอบเขตระบบงานหลัก 2 ด้าน คือ • 1.ด้านปฏิบัติการ(Operation System) ประกอบด้วย ระบบการบริหารงบประมาณ การจัดซื้อ/จัดจ้าง ด้านบัญชีการเงิน ข้อมูลส่วนบุคคล และข้อมูลต้นทุน • 2.ด้านการบริหาร(Business Warehouse) ประกอบด้วย ข้อมูลที่ใช้ในการวางแผนและการตัดสินใจ
e-Procurement BIS DPIS AFMIS e-Payroll , e-Pension ของกรมบัญชีกลาง ของกรมบัญชีกลาง ของ สงป. ของ สกพ. (e-catalog,e-shopping list ของส่วนราชการ e-Auction) ภาพรวมของระบบ GFMIS MIS (ระบบสารสนเทศ) MIS - BW SEM Operating System SAP R/3(GFMIS) FI ระบบการเงินและบัญชี ประกอบด้วย RPระบบรับและนำส่งเงิน AP ระบบเบิกจ่าย CM ระบบบริหารเงินสด FA ระบบสินทรัพย์ถาวร GLระบบบัญชีแยกประเภท PO ระบบจัดซื้อจัดจ้าง FM ระบบงบประมาณ CO ระบบต้นทุน HR ระบบทรัพยากรบุคคล
การ Implement ระบบ SAP และการบริหารโครงการ
SAP Implementation Source: SAP ASAP
ความเสี่ยงและการควบคุมงานโครงการ SAP • ความชัดเจนในขอบเขตของโครงการ รวมถึงระยะเวลาและค่าใช้จ่าย • คุณภาพและประสบการณ์ของทีมงานจัดทำและบริหารโครงการ • การมีส่วนร่วมและการให้ความสำคัญในการบริหารโครงการของผู้บริหาร(Management involvement not just “commitment”) • การอบรมและจัดการการเปลี่ยนแปลงในองค์กร(Changes Management) • ความเข้าใจของพนักงานต่อผลประทบและประโยชน์ที่จะเกิดกับองค์กร (Project Ownership) • การวางแผนและจัดการกับปัญหาที่เกิดขึ้น • การบริหารโครงการและการแก้ปัญหาหลังจากที่ระบบเริ่มมีการใช้งานจริง (Post implementation management)
ความเสี่ยงและระบบการควบคุมภายในความเสี่ยงและระบบการควบคุมภายใน • การเปลี่ยนแปลงระบบการทำงานโดยการใช้ระบบSAPนั้นจะทำให้องค์กรมีความเสี่ยงทั้งในด้านการจัดการและการควบคุมภายใน • การประเมิณความเสี่ยงและการควบคุมภายในของการ Implement ระบบ SAP • Business Process Controls • Application Security (Segregation Of Duties) • Program Interface • Conversion Control • Technology Infrastructure • End User Training • Master Data Maintenance • Project Management
โครงสร้างการจัดการระบบพื้นฐานของ SAP Production ระบบที่ใช้งานจริง Development ระบบสำหรับ การกำหนดค่า และพัฒนาโปรแกรม Quality Assurance ระบบทดสอบ Sandbox ระบบทดลอง/อบรม
ประเภทของการควบคุมภายในสำหรับระบบ SAP • การควบคุมโดยวิธีปฏิบัติงาน (Manual / procedural controls) • กำหนดนโยบายการปฏิบัติงานและระเบียบปฏิบัติ • การควบคุมโดยระบบปฏิบัติงาน (Inherent controls) • การควบคุมโดยการกำหนดค่าการทำงานของระบบ(Configuration controls) • การควบคุมการเข้าถึงข้อมูล(Logical access controls) • การกำหนดสิทธิการเข้าถึงข้อมูล • การกำหนดการแบ่งแยกหน้าที่ในระบบงาน(Segregation of duties) • การควบคุมโดยการใช้รายงาน (Reporting Controls) • รายงานรายการผิดปกติ
Inherent Controls Duplicate checks through message control Sequential documents thorugh number ranges Automatic integration and postings All transactions through unique documents History of transactions executed by users retained including date, time and user Logging and history of program changes Configuration Controls Edit Check Data Entry Validations Document Blocking Tolerance Levels Authorization Groups Payment Blocking Document Types User defined Error / Warning Messages Automatic Posting with predefined posting keys Reason Codes Predefined Master Data SAP Workflow Mandatory and/or System populated fields Inherent & Configurable Controls
ภาพรวมของวงจรการตรวจสอบ กับระบบงาน SAP Audit Business Cycles SAP Module Functional Category Financial Accounting Treasury Financial Applications FI, CO, TR Fixed Assets Logistic Applications MM, SD, PP Expenditure Revenue Human Resources HR Inventory Management Payroll and Personnel
แนวทางการตรวจสอบระบบ SAP • แนวทางการตรวจสอบระบบ SAPตามหลักการประเมินความเสี่ยง (Risk-based Audit Approach)ประกอบด้วย • การทำความเข้าใจกับระบบการทำงานของระบบSAP (Gaining an understanding) • การประเมินความเสี่ยงของระบบงาน (Identifying the significant risks) • Business Process Controls • Application Security • Program Interface • Master Data Maintenance • การประเมินระบบการควบคุมของระบบงาน (Determining key controls) • Manual / Procedure Controls • Inherent Controls • Configuration Controls • Logical Access Controls • Reporting Controls • การทดสอบระบบการควบคุมและการประเมินความเพียงพอของระบบการควบคุม(Testing those controls to confirm their adequacy)
ระบบข้อมูลสารสนเทศเพื่อการตรวจสอบบน SAP (AIS) Audit Information System (AIS)เป็นระบบข้อมูลสารสนเทศเพื่อการตรวจสอบบนระบบ SAP และเป็นเครื่องมือสำหรับผู้ตรวจสอบที่จะใช้ในการติดตามและตรวจสอบการควบคุมภายในของระบบ(Inherent Control & Configuration Control) • AIS ประกอบด้วย • 1. เครื่องมือการตรวจสอบระบบ (System Audit) • System configuration • System logs and status displays • Development / customizing • 2. เครื่องมือการตรวจสอบรายการทางธุรกิจ (Business Audit) • - Organization overview • - Financial statement –oriented audit • - Process-originated audit
ตัวอย่างการตรวจสอบระบบ SAP • ขอบเขตของข้อมูลสารสนเทศเพื่อการตรวจสอบ (AIS) • Audit ICQs SAP R/3 – แบบสอบถามการควบคุมภายใน • Audit Program SAP R/3 – รายละเอียดการตรวจสอบการควบคุมภายในระบบ SAP • เครื่องมือการตรวจสอบการแบ่งแยกหน้าที่ในระบบงาน(Segregation Of Duties) – Virsa System
Recommended Web Links • http://www.sapsecurity.net/securitydocs.htm • http://www.sapgenie.com/ • http://www.thaisap.com/sapfact.asp • http://help.sap.com/ • http://sap.ittoolbox.com/ • http://www.sap.info/ • http://www.auditnet.org/sapaudit.htm • http://big4guy.com/ • Security, Audit and Control Features SAP R/3 2nd Edition (Book)