Successfully reported this slideshow.
Taller
       Auditoría SAP ERP
       Versión I
Relator:
Pedro Hernández, CGEIT, CRISC
Senior Manager
Deloitte
pdhernande...
Herramientas de Auditoría
SAP



2   © 2011 Deloitte
Agenda

    #        Contenido                     Inicio   Termino   Relator
    1        Inscripción y registro        0...
Objetivos

•   Comprender las funcionalidades y potencialidades de la
    herramienta de auditoría SAP AIS (Audit Informat...
Herramienta Audit
Information System
(AIS) – Auditoría SoD


5   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Introducción


¿Qué es AIS?

•   Un conjunto de reportes/queries SAP basados en...
Herramienta Audit Information System (AIS)
Introducción


                        Auditoria de         Auditoria de      A...
Herramienta Audit Information System (AIS)
Auditoría SoD
Concepto de autorización en SAP

                                ...
Herramienta Audit Information System (AIS)
Auditoría SoD




9   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones
•        Se debe tener en c...
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones
•        Es muy importante ...
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones




12   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones




13   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Auditoría SoD




14   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones




15   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones




16   © 2011 Deloitte
Herramienta Audit Information System (AIS)
Auditoría SoD
Relación transacciones-autorizaciones
•        Para ejecutar prue...
Herramienta Audit Information System (AIS)
Auditoría SoD
Revisión de transacciones conflictivas (incompatibles)




18   ©...
Herramienta Audit Information System (AIS)
Auditoría SoD
Revisión de transacciones conflictivas (incompatibles)




19   ©...
Herramienta Audit Information System (AIS)
Auditoría SoD
Revisión de transacciones conflictivas (incompatibles)




20   ©...
Hoja divisoria – Times
Herramienta Audit
New RomanSystem52pt –
Information desde (AIS)
Auditoría de Procesos


21   © 2011...
Herramienta Audit Information System (AIS)
    Auditoría de Procesos SAP
    Evaluación de alcance para el plan de auditor...
Herramienta Audit Information System (AIS)
    Auditoría de Procesos SAP
    Relación de procesos seleccionados con SAP
# ...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
•             Una vez identificado el alcance de la a...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
•             Antes de auditar los procesos en SAP, e...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
Herramientas de Auditoría de Procesos en AIS


      ...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
Controles Configurados de Procesos – Customizing SAP/...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
Controles Configurados de Procesos – Customizing SAP/...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
Controles Configurados de Procesos – Customizing SAP/...
Herramienta Audit Information System (AIS)
Auditoría de Procesos SAP
Controles Configurados de Procesos – Customizing SAP/...
Preguntas…




31   © 2011 Deloitte
Oficina central
                                                                                                       Av....
Upcoming SlideShare
Loading in …5
×

Isaca Santiago Chapter Taller AuditoríA Sap Enero 2011

2,998 views

Published on

Taller de Auditoría SAP ERP - Enero 2011

  • Be the first to comment

Isaca Santiago Chapter Taller AuditoríA Sap Enero 2011

  1. 1. Taller Auditoría SAP ERP Versión I Relator: Pedro Hernández, CGEIT, CRISC Senior Manager Deloitte pdhernandez@deloitte.com Risk Consulting | Security & Privacy | Application Integrity Enero, 2011
  2. 2. Herramientas de Auditoría SAP 2 © 2011 Deloitte
  3. 3. Agenda # Contenido Inicio Termino Relator 1 Inscripción y registro 08:30 09:0 2 Bienvenida 09:00 09:10 Pablo Caneo 3 Auditoría SoD (Segregación de 09:10 11:00 Pedro Hernández Funciones) usando herramienta SAP AIS (Audit Information System) 4 Coffee Break 11:00 11:15 N/A 5 Auditoría de Controles 11:15 12:50 Pedro Hernández Configurados SAP de Procesos usando herramienta SAP AIS (Audit Information System) 6 Cierre 12:50 13:00 Pedro Hernández 3 © 2011 Deloitte
  4. 4. Objetivos • Comprender las funcionalidades y potencialidades de la herramienta de auditoría SAP AIS (Audit Information System), para la ejecución de auditorías tanto de sistemas como de procesos de negocio. 4 © 2011 Deloitte
  5. 5. Herramienta Audit Information System (AIS) – Auditoría SoD 5 © 2011 Deloitte
  6. 6. Herramienta Audit Information System (AIS) Introducción ¿Qué es AIS? • Un conjunto de reportes/queries SAP basados en un árbol de reportes. • Una herramienta para auditar SAP. • Utiliza la funcionalidad existente en SAP. • Diseñado para racionalizar y facilitar el proceso de auditoría. • Organiza todas las actividades de auditoría bajo un sólo menú jerárquico. • Propuesto para mejorar la calidad de la auditoría. 6 © 2011 Deloitte
  7. 7. Herramienta Audit Information System (AIS) Introducción Auditoria de Auditoria de Auditoria a los Sistemas Negocios impuestos Auditores Internos Auditores externos Oficial Seguridad de datos Auditores tax Auditoria a documentación especifica 7 © 2011 Deloitte
  8. 8. Herramienta Audit Information System (AIS) Auditoría SoD Concepto de autorización en SAP Rol (Simple (*) / Compuesto) Autorización = Privilegio Perfil (Capa 1, 2 y 3 de seguridad) Concepto de Autorización (*) Roles Simples: Conjunto de Objeto de Valor transacciones Autorización - Simples normales - Derivados (Padre/Hijo) 8 © 2011 Deloitte
  9. 9. Herramienta Audit Information System (AIS) Auditoría SoD 9 © 2011 Deloitte
  10. 10. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones • Se debe tener en consideración la relación transacción-autorizaciones, puesto que esto posibilitará diseñar y ejecutar pruebas de auditoría para revisar segregación funcional (SoD) y accesos a transacciones críticas. • Siempre una transacción SAP tendrá un objeto de autorización relacionado, lo que implica que posee 3 capas de seguridad tal como se señala a continuación: Ejemplo: Transacción ME21N • Capa 1: Objeto de autorizacón S_TCODE ME21N • Capa 2: Objeto de autorización M_BEST_EKO (Esta capa corresponde al objeto mínimo que requiere la transacción para poder operar + S:TCODE – Tabla TSTCA que contiene los valores de actividad) • Capa 3: Objeto de autorización M_BEST_BSA M_BEST_EKG M_BEST_EKO M_BEST_WRK (Objetos de autorización adicionales que requiere la transacción para poder operar – tabla USOBT que contiene los valores de actividad para cada objeto) 10 © 2011 Deloitte
  11. 11. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones • Es muy importante que el auditor comprenda la relación que existe entre las transacciones SAP y los objetos de autorización, puesto que al momento de diseñar las pruebas, es un punto que debe abordar tal como se señala en el siguiente ejemplo: Ejemplo: Se requiere verificar los usuarios con acceso a ejecutar la transacción para aprobar ordenes de compra por medio de ME28 Diseño de la prueba: Indagar en la tabla TSTCA y USOBT objetos de autorización asociados a la transacción ME28. (ver demo 1) Por medio de la herramienta SUIM (usuarios según criterio de selección compleja) identificar usuarios que poseen acceso a la transacción ME28 + Capa 1: S_TCODE ME28 Capa 2: M_EINK_FRG Capa 3: Idem capa 2. (ver demo 1) Ejecución de la prueba: (ver demo 2) Resultado de la prueba: (ver demo 3) 11 © 2011 Deloitte
  12. 12. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones 12 © 2011 Deloitte
  13. 13. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones 13 © 2011 Deloitte
  14. 14. Herramienta Audit Information System (AIS) Auditoría SoD 14 © 2011 Deloitte
  15. 15. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones 15 © 2011 Deloitte
  16. 16. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones 16 © 2011 Deloitte
  17. 17. Herramienta Audit Information System (AIS) Auditoría SoD Relación transacciones-autorizaciones • Para ejecutar pruebas de segregación funcional y análisis de transacciones críticas, se debe aplicar los pasos vistos anteriormente para cada una de las transacciones identificadas en los levantamientos y/o entendimiento de los procesos. • Otra forma de hacer pruebas de segregación funcional, es por medio de análisis de las tablas relacionadas con las transacciones: • Ya vimos que las tablas que almacenan los objetos de autorización mínimos y complementarios son: TSTCA y USOBT. Para hacer un análisis masivo de accesos, se debe incorporar las tablas que poseen la relación usuarios + autorizaciones y autorizaciones + objetos y valores de actividad asignados a usuarios. (es una prueba más compleja) • Para ejecutar la prueba de auditoría anterior, se debe hacer uso de CAATs (técnicas de auditoría asistidas por computador) ejemplo: ACL, ACCESS, etc. • Es importante tener presente, que si no se hace el diseño de las pruebas considerando S_TCODE+TSTCA+USOBT existe una alta posibilidad de que los resultados de las pruebas entreguen falsos positivos, lo que puede mermar el trabajo del auditor. 17 © 2011 Deloitte
  18. 18. Herramienta Audit Information System (AIS) Auditoría SoD Revisión de transacciones conflictivas (incompatibles) 18 © 2011 Deloitte
  19. 19. Herramienta Audit Information System (AIS) Auditoría SoD Revisión de transacciones conflictivas (incompatibles) 19 © 2011 Deloitte
  20. 20. Herramienta Audit Information System (AIS) Auditoría SoD Revisión de transacciones conflictivas (incompatibles) 20 © 2011 Deloitte
  21. 21. Hoja divisoria – Times Herramienta Audit New RomanSystem52pt – Information desde (AIS) Auditoría de Procesos 21 © 2011 Deloitte
  22. 22. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Evaluación de alcance para el plan de auditoría anual • Antes de auditar los procesos de negocio en SAP, debemos tener en consideración de que estos sean parte del plan de auditoría anual, el que se determinará poniendo énfasis en los procesos más críticos para el negocio y que han sido determinados por materialidad o importancia relativa por medio de un proceso de evaluación: Ejemplo: # Proceso Seleccionado Evaluación Período ¿SAP? SI/NO Módulo 01 Ventas SI 50.5 2010 NO Legacy 02 Facturación SI 48.5 2010 SI SD 03 Cuentas por Cobrar SI 45.5 2010 SI FI-AR 04 Gestión de Bodegas PT SI 45.0 2010 SI MM 05 Inventarios SI 44.0 2010 SI MM 06 Compras Nacionales SI 40.5 2010 SI MM 07 Compras Importadas NO 12.0 2011 SI MM 22 © 2011 Deloitte
  23. 23. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Relación de procesos seleccionados con SAP # Proceso Seleccionado Evaluación Período ¿SAP? SI/NO Módulo 03 Cuentas por Cobrar SI 45.5 2010 SI FI-AR 04 Gestión de Bodegas PT SI 45.0 2010 SI MM 05 Inventarios SI 44.0 2010 SI MM 06 Compras Nacionales SI 40.5 2010 SI MM 07 Compras Importadas NO 12.0 2011 SI MM 23 © 2011 Deloitte
  24. 24. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP • Una vez identificado el alcance de la auditoría y de la relación de los procesos de negocio con las aplicaciones funcionales SAP, se debe identificar las transacciones SAP que aplica a los procesos de negocio, de tal forma de visualizar los puntos de input al sistema: INPUT OUTPUT PROCESO # Proceso /Sub-Proceso (funciones) Transacción Criticidad Tablas Relacionadas Input Output 06 Compras Nacionales Media 06.01 Pedido ¿? ¿? Media ¿? ¿? ¿? Alta ¿? ¿? ¿? Baja ¿? ¿? ¿? Alta ¿? ¿? ¿? Alta ¿? 24 © 2011 Deloitte
  25. 25. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP • Antes de auditar los procesos en SAP, es muy importante primero obtener un entendimiento del flujo transaccional que se genera, con el fin de poder realizar tanto las pruebas de cumplimiento como sustantivas en forma certera: INPUT OUTPUT PROCESO # Proceso /Sub-Proceso (funciones) Transacción Criticidad Tablas Relacionadas Input Output 06 Compras Nacionales Media 06.01 Pedido ME21N Media ME22N Alta ME23N Baja ME28 Alta ME29N Alta 25 © 2011 Deloitte
  26. 26. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Herramientas de Auditoría de Procesos en AIS Cubren los Ciclos de negocios: - Gastos (FI-MM) - Ingresos (FI-SD) - Existencia (MM) - Activo Fijo (FI) - Tesorería (FI) - Nómina y RR.HH.  (HR) - Cierre de EE.FF (FI) 26 © 2011 Deloitte
  27. 27. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Controles Configurados de Procesos – Customizing SAP/SPRO ¿Qué es el customizing SAP? • Corresponde a aquel ámbito del sistema en donde se realizan las parametrizaciones de cada una de las aplicaciones funcionales o módulos del sistema SAP. • Es un ámbito extremadamente crítico y que se debe salvaguardar, de tal forma de mitigar el riesgo de que sean alterados los parámetros configurados. • En el customizing SAP, se parametrizan los controles automáticos del sistema, por lo que lo hace más critico aun desde el punto de vista de control interno. 27 © 2011 Deloitte
  28. 28. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Controles Configurados de Procesos – Customizing SAP/SPRO • Por medio de la transacción SPRO obtengo el acceso al customizing. • El auditor solamente debería tener la posibilidad de visualizar todo el customizing. Ejemplo: 28 © 2011 Deloitte
  29. 29. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Controles Configurados de Procesos – Customizing SAP/SPRO 29 © 2011 Deloitte
  30. 30. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Controles Configurados de Procesos – Customizing SAP/AIS 30 © 2011 Deloitte
  31. 31. Preguntas… 31 © 2011 Deloitte
  32. 32. Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com Audit Consulting Tax&Legal Risk Consulting Libertador Bernardo O’Higgins 167 Financial Advisory Services Outsourcing Oficina 603 Puerto Montt Chile Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600 cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600 descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com © 2011 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. www.deloitte.cl

×