You are on page 1of 33

Taller Auditora SAP ERP

Versin II
Relator: Pedro Hernndez, CGEIT, CRISC Senior Manager Deloitte pdhernandez@deloitte.com

Risk Consulting | Security & Privacy | Application Integrity Marzo, 2011

Herramientas de Auditora SAP

2011 Deloitte

Agenda
# 1 2 3 Contenido Inscripcin y registro Bienvenida Inicio 09:30 10:00 Termino 10:00 10:15 11:30 Relator N/A Pablo Caneo Pedro Hernndez

Auditora SoD (Segregacin de 10:15 Funciones) usando herramienta SAP AIS (Audit Information System) Coffee Break 11:30

11:45

N/A

Auditora de Controles 11:45 Configurados SAP de Procesos usando herramienta SAP AIS (Audit Information System)
Preguntas Cierre Encuesta 12:45 13:30 13:45

12:45

Pedro Hernndez

6 7 8

13:30 13:45 14:00

Pedro Hernndez Pedro Hernndez N/A

2011 Deloitte

Objetivos
Comprender las funcionalidades y potencialidades de la herramienta de auditora SAP AIS (Audit Information System), para la ejecucin de auditoras tanto de sistemas como de procesos de negocio.

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD

2011 Deloitte

Herramienta Audit Information System (AIS) Introduccin

Qu es AIS?
Un conjunto de reportes/queries SAP basados en un rbol de reportes. Una herramienta para auditar SAP. Utiliza la funcionalidad existente en SAP. Diseado para racionalizar y facilitar el proceso de auditora. Organiza todas las actividades de auditora bajo un slo men jerrquico. Propuesto para mejorar la calidad de la auditora.

2011 Deloitte

Herramienta Audit Information System (AIS) Introduccin

Auditoria de Sistemas

Auditoria de Negocios

Auditoria a los impuestos

Auditores Internos Auditores externos

Oficial Seguridad de datos


Auditores tax

Auditoria a documentacin especifica

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD Concepto de autorizacin en SAP
Rol (Simple (*) / Compuesto)

Autorizacin = Privilegio (Capa 1, 2 y 3 de seguridad) Concepto de Autorizacin

Perfil

(*) Roles Simples: Conjunto de transacciones Simples normales Derivados (Padre/Hijo)

Valor

Objeto de Autorizacin

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones
Se debe tener en consideracin la relacin transaccin-autorizaciones, puesto que esto posibilitar disear y ejecutar pruebas de auditora para revisar segregacin funcional (SoD) y accesos a transacciones crticas. Siempre una transaccin SAP tendr un objeto de autorizacin relacionado, lo que implica que posee 3 capas de seguridad tal como se seala a continuacin:

Ejemplo: Transaccin ME21N

Capa 1: Objeto de autorizacn S_TCODE ME21N Capa 2: Objeto de autorizacin M_BEST_EKO (Esta capa corresponde al objeto mnimo que requiere la transaccin para poder operar + S:TCODE Tabla TSTCA que contiene los valores de actividad) Capa 3: Objeto de autorizacin M_BEST_BSA M_BEST_EKG M_BEST_EKO M_BEST_WRK (Objetos de autorizacin adicionales que requiere la transaccin para poder operar tabla USOBT que contiene los valores de actividad para cada objeto)

10

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones
Es muy importante que el auditor comprenda la relacin que existe entre las transacciones SAP y los objetos de autorizacin, puesto que al momento de disear las pruebas, es un punto que debe abordar tal como se seala en el siguiente ejemplo:

Ejemplo: Se requiere verificar los usuarios con acceso a ejecutar la transaccin para aprobar ordenes de compra por medio de ME28 Diseo de la prueba: Indagar en la tabla TSTCA y USOBT objetos de autorizacin asociados a la transaccin ME28. (ver demo 1) Por medio de la herramienta SUIM (usuarios segn criterio de seleccin compleja) identificar usuarios que poseen acceso a la transaccin ME28 + Capa 1: S_TCODE ME28 Capa 2: M_EINK_FRG Capa 3: Idem capa 2. (ver demo 1)

Ejecucin de la prueba: (ver demo 2)


Resultado de la prueba: (ver demo 3)

11

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones

12

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones

13

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD

14

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones

15

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones

16

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Relacin transacciones-autorizaciones
Para ejecutar pruebas de segregacin funcional y anlisis de transacciones crticas, se debe aplicar los pasos vistos anteriormente para cada una de las transacciones identificadas en los levantamientos y/o entendimiento de los procesos. Otra forma de hacer pruebas de segregacin funcional, es por medio de anlisis de las tablas relacionadas con las transacciones: Ya vimos que las tablas que almacenan los objetos de autorizacin mnimos y complementarios son: TSTCA y USOBT. Para hacer un anlisis masivo de accesos, se debe incorporar las tablas que poseen la relacin usuarios + autorizaciones y autorizaciones + objetos y valores de actividad asignados a usuarios. (es una prueba ms compleja) Para ejecutar la prueba de auditora anterior, se debe hacer uso de CAATs (tcnicas de auditora asistidas por computador) ejemplo: ACL, ACCESS, etc. Es importante tener presente, que si no se hace el diseo de las pruebas considerando S_TCODE+TSTCA+USOBT existe una alta posibilidad de que los resultados de las pruebas entreguen falsos positivos, lo que puede mermar el trabajo del auditor.

17

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Limitaciones de la herramienta SUIM
1. No permite ejecutar pruebas de accesos para transacciones que poseen ms de 3 objetos de autorizacin validados (mximo capa 1, capa 2 y capa 3 para dos objetos de autorizacin), en una sola bsqueda, la que obliga a ejecutar nuevamente el reporte, dependiendo la cantidad de objetos en capa 3 de seguridad que requiera validar. (mtodo medianamente carretero), ya que tengo que concatenar reportes para llegar a una conclusin razonable y libre de falsos positivos. Para solucionar esta limitacin, se recomienda hacer uso de las tablas (unin de estas): AGR_1251 Capas 1, 2 y 3 de seguridad (autorizaciones) AGR_PROF Info de perfiles AGR_USERS Info de usuarios AGR_TEXTS Info de roles No permite buscar objetos exclusivamente con valor *, ya que al colocar valor * en las bsquedas, me muestra todo, alterando la evidencia. Con la recomendacin del punto anterior lo puedo solucionar.

2.

Conclusin: Como herramienta de uso bsico, podramos decir que es bastante til, salvo estas desventajas, lo que nos genera la necesidad de hacer uso de algn CAATs o tcnicas de auditorias asistidas por computados. (SAP Query, ACCESS, ACL, etc.)
18 2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Revisin de transacciones conflictivas (incompatibles)

19

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Revisin de transacciones conflictivas (incompatibles)

20

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora SoD


Revisin de transacciones conflictivas (incompatibles)

21

2011 Deloitte

Herramienta Hoja divisoria Audit Times New RomanSystem Information desde 52pt (AIS) Auditora de Procesos

22

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Evaluacin de alcance para el plan de auditora anual
Antes de auditar los procesos de negocio en SAP, debemos tener en consideracin de que estos sean parte del plan de auditora anual, el que se determinar poniendo nfasis en los procesos ms crticos para el negocio y que han sido determinados por materialidad o importancia relativa por medio de un proceso de evaluacin: Ejemplo:
Proceso Seleccionado Evaluacin Perodo SAP?
SI/NO Mdulo

01 02 03 04

Ventas Facturacin Cuentas por Cobrar Gestin de Bodegas PT

SI SI SI SI

50.5 48.5 45.5 45.0

2010 2010 2010 2010

NO SI SI SI

Legacy SD FI-AR MM

05
06 07

Inventarios
Compras Nacionales Compras Importadas

SI
SI NO

44.0
40.5 12.0

2010
2010 2011

SI
SI SI

MM
MM MM

23

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP Relacin de procesos seleccionados con SAP
# Proceso Seleccionado Evaluacin Perodo SAP?
SI/NO Mdulo

03 04 05 06 07

Cuentas por Cobrar Gestin de Bodegas PT Inventarios Compras Nacionales Compras Importadas

SI SI SI SI NO

45.5 45.0 44.0 40.5 12.0

2010 2010 2010 2010 2011

SI SI SI SI SI

FI-AR MM MM MM MM

24

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Una vez identificado el alcance de la auditora y de la relacin de los procesos de negocio con las aplicaciones funcionales SAP, se debe identificar las transacciones SAP que aplica a los procesos de negocio, de tal forma de visualizar los puntos de input al sistema:

INPUT

OUTPUT

PROCESO
# Proceso /Sub-Proceso (funciones) Transaccin Input Output
Media ? ? ? ? ? ? ? ? ? ? Media Alta Baja Alta Alta ? ? ? ? ?

Criticidad

Tablas Relacionadas

06 06.01

Compras Nacionales Pedido

25

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Antes de auditar los procesos en SAP, es muy importante primero obtener un entendimiento del flujo transaccional que se genera, con el fin de poder realizar tanto las pruebas de cumplimiento como sustantivas en forma certera:

INPUT PROCESO

OUTPUT

Proceso /Sub-Proceso (funciones)

Transaccin
Input Output

Criticidad

Tablas Relacionadas

06 06.01

Compras Nacionales Pedido


ME21N ME22N ME23N ME28

Media Media Alta Baja Alta

ME29N

Alta

26

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Herramientas de Auditora de Procesos en AIS

Cubren los Ciclos de negocios:


- Gastos (FI-MM) - Ingresos (FI-SD) - Existencia (MM) - Activo Fijo (FI) - Tesorera (FI) - Nmina y RR.HH. (HR) - Cierre de EE.FF (FI)

27

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Controles Configurados de Procesos Customizing SAP/SPRO Qu es el customizing SAP?
Corresponde a aquel mbito del sistema en donde se realizan las parametrizaciones de cada una de las aplicaciones funcionales o mdulos del sistema SAP. Es un mbito extremadamente crtico y que se debe salvaguardar, de tal forma de mitigar el riesgo de que sean alterados los parmetros configurados. En el customizing SAP, se parametrizan los controles automticos del sistema, por lo que lo hace ms critico aun desde el punto de vista de control interno.
2011 Deloitte

28

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Controles Configurados de Procesos Customizing SAP/SPRO Por medio de la transaccin SPRO obtengo el acceso al customizing. El auditor solamente debera tener la posibilidad de visualizar todo el customizing. Ejemplo:

29

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Controles Configurados de Procesos Customizing SAP/SPRO

30

2011 Deloitte

Herramienta Audit Information System (AIS) Auditora de Procesos SAP


Controles Configurados de Procesos Customizing SAP/AIS

31

2011 Deloitte

Preguntas

32

2011 Deloitte

Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Via del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com OHiggins 940 Piso 6 Concepcin Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com

Audit Consulting Tax&Legal Risk Consulting Financial Advisory S ervices Outsourcing


Deloitte se refiere a Deloitte Touche Tohmatsu -asociacin suiza- y a su red de firmas miembro, cada una como una entidad nica e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripcin detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.

Libertador Bernardo OHiggins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) 288 600 Fax: (56-65) 298 600 e-mail: puertomontt@deloitte.com

2011 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados.

www.deloitte.cl

You might also like