โครงสร้างและการควบคุมภายในของระบบ SAP

1. สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.) กรกฎาคม 2549 กิจกรรม คลีนิคไอเอ ครั้งที่ 8 โครงสร้างและการควบคุมภายในของระบบ SAP นำเสนอโดย นฤตา คงสุข และจิรพงศ์ ทรัพย์มณี

2. AGENDA • ข้อมูลทั่วไปของระบบ SAPและ GFMIS • การ Implementระบบ SAPและการบริหารโครงการ • การควบคุมภายในของระบบ SAP • แนวทางการตรวจสอบระบบSAP

3. ข้อมูลทั่วไปของระบบ SAPและ GFMIS

4. ความรู้ทั่วไปของระบบ SAP • “ ERP (Enterprise Resource Planning System)คือแนวความคิดในการบริหารเพื่อวางแผนและจัดการทรัพยากรให้เกิดประโยชน์สูงสุดทั่วทั้งบริษัทโดยการเชื่อมโยงกระบวนการทางธุรกิจไม่ว่าจะเป็นเรื่องการจัดซื้อ การผลิต การขาย ลอจิสติกส์ บัญชี การเงินและงานบุคคลเป็นต้น เข้าด้วยกันอย่างเป็นระบบเพื่อมุ่งไปสู่ผลกำไรสูงสุดของบริษัท ”1 • ระบบ SAPเป็นโปรแกรมสำเร็จรูปประเภท Enterprise Resource Planning System (ERP)ซึ่งประกอบด้วยระบบงานที่สำคัญดังนี้ • ระบบบัญชีและรายงานทางการเงิน (FI module) • ระบบควบคุมต้นทุนและค่าใช้จ่าย (CO module) • ระบบการขายและการจัดส่งสินค้า (SD module) • ระบบการจัดการสินค้าคงคลัง (MM module) • ระบบการผลิตและการวางแผนการผลิต (PP module) • ระบบงานบำรุงรักษาและป้องกันการเสื่อมสภาพของทรัพย์สิน (PM module) • ระบบงานจัดการโครงการ (PS module) • ระบบงาน Basis(Basis system)

5. Enterprise Resource Planning System

6. SAP Solutions

7. SAP R/3

8. Organizational Units Business Enterprise Client Sales Organization Financial Accounting/ Company Code Sales Controlling Area Cost Accounting Distribution Plant Plant Production/ Distribution Channel . . . Storage Storage Storage Inventory Management Location Location Location ã SAP AG 1999 โครงสร้างภายในระบบ SAP

9. GFMIS(Government Fiscal Management Information System) GFMIS หมายถึง ระบบการบริหารการเงินการคลังภาครัฐด้วยระบบอิเล็กทรอนิกส์ เกิดจากมติคณะรัฐมนตรี เมื่อวันที่ 22 กรกฎาคม พ.ศ.2546โดยใช้โปรแกรมสำเร็จรูป SAP R/3 ของประเทศเยอรมัน เพื่อใช้ในการวางแผนจัดการทรัพยากรของหน่วยงานภาครัฐ โดยมีขอบเขตระบบงานหลัก 2 ด้าน คือ • 1.ด้านปฏิบัติการ(Operation System) ประกอบด้วย ระบบการบริหารงบประมาณ การจัดซื้อ/จัดจ้าง ด้านบัญชีการเงิน ข้อมูลส่วนบุคคล และข้อมูลต้นทุน • 2.ด้านการบริหาร(Business Warehouse) ประกอบด้วย ข้อมูลที่ใช้ในการวางแผนและการตัดสินใจ

10. e-Procurement BIS DPIS AFMIS e-Payroll , e-Pension ของกรมบัญชีกลาง ของกรมบัญชีกลาง ของ สงป. ของ สกพ. (e-catalog,e-shopping list ของส่วนราชการ e-Auction) ภาพรวมของระบบ GFMIS MIS (ระบบสารสนเทศ) MIS - BW SEM Operating System SAP R/3(GFMIS) FI ระบบการเงินและบัญชี ประกอบด้วย RPระบบรับและนำส่งเงิน AP ระบบเบิกจ่าย CM ระบบบริหารเงินสด FA ระบบสินทรัพย์ถาวร GLระบบบัญชีแยกประเภท PO ระบบจัดซื้อจัดจ้าง FM ระบบงบประมาณ CO ระบบต้นทุน HR ระบบทรัพยากรบุคคล

11. การ Implement ระบบ SAP และการบริหารโครงการ

12. ASAP Methodology

13. SAP Implementation Source: SAP ASAP

14. ASAP Roadmap

15. ความเสี่ยงและการควบคุมงานโครงการ SAP • ความชัดเจนในขอบเขตของโครงการ รวมถึงระยะเวลาและค่าใช้จ่าย • คุณภาพและประสบการณ์ของทีมงานจัดทำและบริหารโครงการ • การมีส่วนร่วมและการให้ความสำคัญในการบริหารโครงการของผู้บริหาร(Management involvement not just “commitment”) • การอบรมและจัดการการเปลี่ยนแปลงในองค์กร(Changes Management) • ความเข้าใจของพนักงานต่อผลประทบและประโยชน์ที่จะเกิดกับองค์กร (Project Ownership) • การวางแผนและจัดการกับปัญหาที่เกิดขึ้น • การบริหารโครงการและการแก้ปัญหาหลังจากที่ระบบเริ่มมีการใช้งานจริง (Post implementation management)

16. การควบคุมภายในของระบบ SAP

17. ความเสี่ยงและระบบการควบคุมภายในความเสี่ยงและระบบการควบคุมภายใน • การเปลี่ยนแปลงระบบการทำงานโดยการใช้ระบบSAPนั้นจะทำให้องค์กรมีความเสี่ยงทั้งในด้านการจัดการและการควบคุมภายใน • การประเมิณความเสี่ยงและการควบคุมภายในของการ Implement ระบบ SAP • Business Process Controls • Application Security (Segregation Of Duties) • Program Interface • Conversion Control • Technology Infrastructure • End User Training • Master Data Maintenance • Project Management

18. โครงสร้างการจัดการระบบพื้นฐานของ SAP Production ระบบที่ใช้งานจริง Development ระบบสำหรับ การกำหนดค่า และพัฒนาโปรแกรม Quality Assurance ระบบทดสอบ Sandbox ระบบทดลอง/อบรม

19. ประเภทของการควบคุมภายในสำหรับระบบ SAP • การควบคุมโดยวิธีปฏิบัติงาน (Manual / procedural controls) • กำหนดนโยบายการปฏิบัติงานและระเบียบปฏิบัติ • การควบคุมโดยระบบปฏิบัติงาน (Inherent controls) • การควบคุมโดยการกำหนดค่าการทำงานของระบบ(Configuration controls) • การควบคุมการเข้าถึงข้อมูล(Logical access controls) • การกำหนดสิทธิการเข้าถึงข้อมูล • การกำหนดการแบ่งแยกหน้าที่ในระบบงาน(Segregation of duties) • การควบคุมโดยการใช้รายงาน (Reporting Controls) • รายงานรายการผิดปกติ

20. Inherent Controls Duplicate checks through message control Sequential documents thorugh number ranges Automatic integration and postings All transactions through unique documents History of transactions executed by users retained including date, time and user Logging and history of program changes Configuration Controls Edit Check Data Entry Validations Document Blocking Tolerance Levels Authorization Groups Payment Blocking Document Types User defined Error / Warning Messages Automatic Posting with predefined posting keys Reason Codes Predefined Master Data SAP Workflow Mandatory and/or System populated fields Inherent & Configurable Controls

21. แนวทางการตรวจสอบระบบ SAP

22. ภาพรวมของวงจรการตรวจสอบ กับระบบงาน SAP Audit Business Cycles SAP Module Functional Category Financial Accounting Treasury Financial Applications FI, CO, TR Fixed Assets Logistic Applications MM, SD, PP Expenditure Revenue Human Resources HR Inventory Management Payroll and Personnel

23. แนวทางการตรวจสอบระบบ SAP • แนวทางการตรวจสอบระบบ SAPตามหลักการประเมินความเสี่ยง (Risk-based Audit Approach)ประกอบด้วย • การทำความเข้าใจกับระบบการทำงานของระบบSAP (Gaining an understanding) • การประเมินความเสี่ยงของระบบงาน (Identifying the significant risks) • Business Process Controls • Application Security • Program Interface • Master Data Maintenance • การประเมินระบบการควบคุมของระบบงาน (Determining key controls) • Manual / Procedure Controls • Inherent Controls • Configuration Controls • Logical Access Controls • Reporting Controls • การทดสอบระบบการควบคุมและการประเมินความเพียงพอของระบบการควบคุม(Testing those controls to confirm their adequacy)

24. ระบบข้อมูลสารสนเทศเพื่อการตรวจสอบบน SAP (AIS) Audit Information System (AIS)เป็นระบบข้อมูลสารสนเทศเพื่อการตรวจสอบบนระบบ SAP และเป็นเครื่องมือสำหรับผู้ตรวจสอบที่จะใช้ในการติดตามและตรวจสอบการควบคุมภายในของระบบ(Inherent Control & Configuration Control) • AIS ประกอบด้วย • 1. เครื่องมือการตรวจสอบระบบ (System Audit) • System configuration • System logs and status displays • Development / customizing • 2. เครื่องมือการตรวจสอบรายการทางธุรกิจ (Business Audit) • - Organization overview • - Financial statement –oriented audit • - Process-originated audit

25. ตัวอย่างการตรวจสอบระบบ SAP • ขอบเขตของข้อมูลสารสนเทศเพื่อการตรวจสอบ (AIS) • Audit ICQs SAP R/3 – แบบสอบถามการควบคุมภายใน • Audit Program SAP R/3 – รายละเอียดการตรวจสอบการควบคุมภายในระบบ SAP • เครื่องมือการตรวจสอบการแบ่งแยกหน้าที่ในระบบงาน(Segregation Of Duties) – Virsa System

26. Recommended Web Links • http://www.sapsecurity.net/securitydocs.htm • http://www.sapgenie.com/ • http://www.thaisap.com/sapfact.asp • http://help.sap.com/ • http://sap.ittoolbox.com/ • http://www.sap.info/ • http://www.auditnet.org/sapaudit.htm • http://big4guy.com/ • Security, Audit and Control Features SAP R/3 2nd Edition (Book)