SAP 离职用户账号审计要点
IT一般控制中用户授权管理,离职用户账号是否及时锁定是一个关键控制点;原因在于离职用户违背及时锁定可能会再次登陆系统进行未经授权的操作(风险描述的报告写法,其实IT审计师一般也不关注进行了什么未经授权的操作,只要现场审计抓到几个失效的样本,就可以写缺陷了。没有发现缺陷会让审计师怀疑自己的工作能力的)
那么针对SAP系统如何确定离职账号是否及时被锁定,按照抽样原则基本测试基本上比较辛苦,基本上是“穿行测试、抽样、控制测试(与系统管理员挨个核对抽取样本是否锁定)、评估控制有效性。”
下面的方法是过去常用的:
1、那么是否考虑可以选择另外的方法,比如,通过人力资源部获得全部离职用户清单,从SAP导出离职用户清单,用vlookup比对,如果发现离职用户未被及时锁定,就直接评估控制的有效性。
2、通过SAP中suim查询用户长时间未登录的用户,比如大于90天,导出用户清单,与离职用户清单比对,确定离职用户账号是否被及时锁定。此方法适用于SAP 管理员进行日常的审阅,查到长时间未登陆系统的用户可以主动与人力资源部沟通,确定用户是否离职,或与用户联系(电话、邮件)保证对用户账号的定时审阅也是用户授权的关注点。
需要技能:suim查询长时间未登录用户和vlookup
欢迎讨论。
wangcheng
18-11-03 10:01
1、那么是否考虑可以选择另外的方法,比如,通过人力资源部获得全部离职用户清单,从SAP导出离职用户清单,用vlookup比对,如果发现离职用户未被及时锁定,就直接评估控制的有效性。
从SAP导出用户清单,导出离职用户清单笔误。
SAP 离职用户账号审计要点
wangcheng
会员积分:560
IT一般控制中用户授权管理,离职用户账号是否及时锁定是一个关键控制点;原因在于离职用户违背及时锁定可能会再次登陆系统进行未经授权的操作(风险描述的报告写法,其实IT审计师一般也不关注进行了什么未经授权的操作,只要现场审计抓到几个失效的样本,就可以写缺陷了。没有发现缺陷会让审计师怀疑自己的工作能力的)
那么针对SAP系统如何确定离职账号是否及时被锁定,按照抽样原则基本测试基本上比较辛苦,基本上是“穿行测试、抽样、控制测试(与系统管理员挨个核对抽取样本是否锁定)、评估控制有效性。”
下面的方法是过去常用的:
1、那么是否考虑可以选择另外的方法,比如,通过人力资源部获得全部离职用户清单,从SAP导出离职用户清单,用vlookup比对,如果发现离职用户未被及时锁定,就直接评估控制的有效性。
2、通过SAP中suim查询用户长时间未登录的用户,比如大于90天,导出用户清单,与离职用户清单比对,确定离职用户账号是否被及时锁定。此方法适用于SAP 管理员进行日常的审阅,查到长时间未登陆系统的用户可以主动与人力资源部沟通,确定用户是否离职,或与用户联系(电话、邮件)保证对用户账号的定时审阅也是用户授权的关注点。
需要技能:suim查询长时间未登录用户和vlookup
欢迎讨论。
18-11-03 09:52
6294
1
回复
1、那么是否考虑可以选择另外的方法,比如,通过人力资源部获得全部离职用户清单,从SAP导出离职用户清单,用vlookup比对,如果发现离职用户未被及时锁定,就直接评估控制的有效性。
从SAP导出用户清单,导出离职用户清单笔误。
18-11-03 10:01
