IV Foro Tecnológico de los OCEX Contenido

11/02/2011

1

IV Foro Tecnológico de los OCEXValencia, 14-15 de febrero de 2011

Consideraciones prácticas al auditar un entorno SAP

Eudoro César Muñoz San Román, CISA

[email protected]

Contenido

IV Foro Tecnológico de los OCEXValencia, 14-15 de febrero de 2011

2

1. Introducción2. Contexto de la Auditoria de Sistemas de la

información3. Objetivos en la auditoría de SAP4. Procedimientos5. Efecto en el informe

11/02/2011

2

1.Introducción

• Nuestra experiencia tras 4 años de auditorías en entornos de sistemas de información.

• Se ha trabajado con diferentes sistemas y entornos (SAP, Navision, ERP a medida)

IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011

3

2. Contexto de la Auditoría de Sistemas de información

• Dentro de un marco de Auditoría de regularidad: Financiera (área significativa) y Legalidad

• Se ha contado con asesoría externa (Empresas auditoras especializadas)

• Proceso de definición y documentación de procedimientos propios.


4

11/02/2011

3

3.Objetivos de la Auditoría de SAP

• Configuración de parámetros de seguridad• Parametrización de medidas de seguridad:

– Identificación y autentificación– Gestión de cambios

• Asignación de transacciones críticas• Pruebas de datos• Pruebas de walkthroug – pruebas de

cumplimiento • Comprobación de incompatibilidades

(segregación) de funciones


5

4.Procedimientos. Comentarios

• Dos posiciones:

– Pedir información

– Extraer la información (perfil auditor).

• Colaboración ente auditado

• Extracción o solicitud de datos y tablas

• Análisis de la información


6

11/02/2011

4

4.Procedimientos. Obtención de información de seguridad

• Programas y Tablas


7

Programa Descripción del Programa

RSPARAM Parámetros de seguridad

RSUSR003 Claves de acceso de los usuarios privilegiados

4.Procedimientos. Obtención de información de seguridad

Tabla Descripción de la tabla

USOBT Relación transacción/ Objetos de autorización

USR02 Datos Maestros Usuarios (Logon)

USR04 Maestro de usuarios autorizaciones

USR11 Descripción Perfiles

USR13 Textos breves para autorizacionesUST04 Asignación Perfiles/ Usuarios

UST10C Maestro de usuarios: Perfiles colectivos

UST10S Maestro de usuarios: Perfiles individuales

UST12 Maestro de usuarios: Autorizaciones

USR03 Datos de dirección de usuariosUSR21 Asignación nombre usuario – clave dirección

ADRP Personas (Business Address Services)

AGR_PROF Nombre de perfil para rol

T001 Sociedades

T000 Mandantes

USR40 Listado contraseñas prohibidasTBRG Listado grupos de autorización creados en el sistema (tablas)

TDDAT Asignación grupos de autorización/ Tablas

DD02T Breve descripción de cada tabla (estándar y customizada)

TPGP Listado grupos de autorización creados en el sistema (Programas)

TRDIR Asignación grupos de autorización/ ProgramasTRDIRT Breve descripción de cada programa (estándar y customizado)

TSTCA Detalle de las autorizaciones iniciales para iniciar transacciones

DD09L Valores de activación del log de cambios en tablas

E070 Listado de órdenes de cambios

TPLOG Listado de los transportes a producción de las órdenes de cambiosDEVACCESS Usuarios que pueden llevar a cabo función de desarrollo


8

11/02/2011

5

4.Procedimientos. Obtención de los datos


9

4.Procedimientos. Información financiera y de negocio

• Tratamiento de los datos con ACL (especialmente los financieros; reconstrucción del diario)

• Seguimiento del ciclo de negocio.Comprobaciones de control interno. Pruebas de cumplimiento.


10

11/02/2011

6

4.Procedimientos . Información financiera


11

Tablas Financieras



12

Tablas Financieras

11/02/2011

7



13

BKPF BSEG

4.Procedimientos . Reconstrucción del diario, selección de muestra


14

11/02/2011

8

4.Procedimientos. Análisis flujo de negocio


15

Ejemplo: Proceso de gastos e inversiones

4.Procedimientos. Análisis de riesgos

• A partir del análisis del flujo, se determinan los riesgos que para nuestro alcance se consideren significativos.

• Por ejemplo:

– Gastos: adecuada aprobación por usuarios, en fecha y por importe, adecuada recepción y contabilización, adecuado control interno, adecuada documentación y formalización,etc…


16

11/02/2011

9

4.Procedimientos. Análisis muestra


17

4.Procedimientos . Análisis muestra


18

11/02/2011

10

4.Procedimientos. Segregación de funciones


19

Segregación de funciones (Procesos de Negocio)

Transacción

conflictiva 1

Transacción

conflictiva 2 Acciones incompatibles

FK02 F110

Modificar cuenta de proveedor (Contabilidad) vs. Pagos automáticos.

Riesgo cambiar los datos bancarios de proveedores

y realizar pagos no autorizados.

FK02 F-53

Modificar cuenta de proveedor (Contabilidad) vs. Contabilizar salida de pagos (Pago manual)

Riesgo cambiar los datos bancarios de proveedores

y realizar pagos no autorizados.

OB52 F-02

Abrir/cerrar periodo contable vs. Realizar asiento contable manual.

Riesgo de abrir un periodo contable (ya cerrado) y realizar asientos contables no autorizados.

AS02 AFAB

Cambiar Maestros de Activos Fijos vs. Ejecución del programa de Depreciación.

Riesgo de cambio no autorizado del programa de depreciación de una Activo.

MIRO MIGO

Introducción de factura vs. Recepción de mercancía asociada a una orden de compra.

Riesgo de modificar las cantidades recibidas de mercancía e introducir una factura errónea.

4.Procedimientos. Segregación de funciones


20

FB60 MIGO

Introducción de factura vs. Recepción de mercancía asociada a una orden de compra.

Riesgo de modificar las cantidades recibidas de mercancía e introducir una factura errónea.

ME21 ME29N

Crear orden de compra vs. Liberar orden de compra.

Riesgo de crear una orden de compra ficticia y

liberar la misma.

ME21 FB60

Crear orden de compra vs. Introducción de factura

Riesgo de crear una orden de compra ficticia e introducir una factura errónea.

F-02 FSS0

Realizar asiento contable manual vs. Modificación Cuenta Libro Mayor (a nivel de compañía)

Riesgo modificar la configuración de una cuenta del Libro Mayor y realizar un asiento contable manual sobre dicha cuenta.

FB50 FSS0

Contabilizar un documento con cuentas de mayor vs. Modificación Cuenta Libro Mayor (a nivel de compañía)

Riesgo modificar la configuración de una cuenta del Libro Mayor y realizar un asiento contable manual sobre dicha cuenta.

Segregación de funciones (Procesos de Negocio)

Transacción conflictiva 1

Transacción conflictiva 2

Acciones incompatibles

11/02/2011

11

4.Procedimientos. Conclusiones

• Conclusiones

– Datos facilitados: seguridad en que el auditado entiende lo que se solicita (complicación por perfil técnico del interlocutor). Más rápido.

– Datos obtenidos: seguridad en la comprensión de los datos obtenidos (p.e. objetos de transacción). Mejor comprensión del sistema.


21

5.Efecto en el informe.

Modelo de informe definido en nuestra guía de Auditoría de Sistemas de Información• Área de controles generales:

– Marco organizativo– Gestión de cambios (SAP)– Operaciones de los sistemas de información (SAP)– Acceso a datos y programas (SAP)– Continuidad del servicio (SAP)

• Área de controles sobre procesos de gestión y aplicaciones– Procedimentación (SAP)– Control de acceso a las aplicaciones (SAP)– Automatización de controles manuales (SAP “Z”) – Segregación de funciones (SAP)– Perfiles de los usuarios (SAP)– Procedimientos concretos

• Pruebas de datos (SAP)


22

11/02/2011

12

Consideraciones prácticas al auditar un entorno SAP

FINMuchas gracias.


23

IV Foro Tecnológico de los OCEX Contenido

Documents

Transcript of IV Foro Tecnológico de los OCEX Contenido