Isaca santiago chapter taller auditoría sap - marzo 2011

4,272 views

Published on

Taller: AUDITORIA SAP ERP versión II

Gentileza de: Isaca Santiago Chapter y Deloitte firma miembro en Chile.

Published in: Technology

Isaca santiago chapter taller auditoría sap - marzo 2011

  1. 1. Taller Auditoría SAP ERP Versión IIRelator:Pedro Hernández, CGEIT, CRISCSenior ManagerDeloittepdhernandez@deloitte.comRisk Consulting | Security & Privacy | Application IntegrityMarzo, 2011
  2. 2. Herramientas de AuditoríaSAP2 © 2011 Deloitte
  3. 3. Agenda # Contenido Inicio Termino Relator 1 Inscripción y registro 09:30 10:00 N/A 2 Bienvenida 10:00 10:15 Pablo Caneo 3 Auditoría SoD (Segregación de 10:15 11:30 Pedro Hernández Funciones) usando herramienta SAP AIS (Audit Information System) 4 Coffee Break 11:30 11:45 N/A 5 Auditoría de Controles 11:45 12:45 Pedro Hernández Configurados SAP de Procesos usando herramienta SAP AIS (Audit Information System) 6 Preguntas 12:45 13:30 Pedro Hernández 7 Cierre 13:30 13:45 Pedro Hernández 8 Encuesta 13:45 14:00 N/A3 © 2011 Deloitte
  4. 4. Objetivos• Comprender las funcionalidades y potencialidades de la herramienta de auditoría SAP AIS (Audit Information System), para la ejecución de auditorías tanto de sistemas como de procesos de negocio.4 © 2011 Deloitte
  5. 5. Herramienta AuditInformation System(AIS) – Auditoría SoD5 © 2011 Deloitte
  6. 6. Herramienta Audit Information System (AIS)Introducción¿Qué es AIS?• Un conjunto de reportes/queries SAP basados en un árbol de reportes.• Una herramienta para auditar SAP.• Utiliza la funcionalidad existente en SAP.• Diseñado para racionalizar y facilitar el proceso de auditoría.• Organiza todas las actividades de auditoría bajo un sólo menú jerárquico.• Propuesto para mejorar la calidad de la auditoría.6 © 2011 Deloitte
  7. 7. Herramienta Audit Information System (AIS)Introducción Auditoria de Auditoria de Auditoria a los Sistemas Negocios impuestos Auditores Internos Auditores externosOficial Seguridadde datos Auditores tax Auditoria a documentación especifica7 © 2011 Deloitte
  8. 8. Herramienta Audit Information System (AIS)Auditoría SoDConcepto de autorización en SAP Rol (Simple (*) / Compuesto) Autorización = Privilegio Perfil (Capa 1, 2 y 3 de seguridad) Concepto de Autorización(*) Roles Simples: Conjunto de Objeto de Valor transacciones Autorización- Simples normales- Derivados (Padre/Hijo) 8 © 2011 Deloitte
  9. 9. Herramienta Audit Information System (AIS)Auditoría SoD9 © 2011 Deloitte
  10. 10. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones• Se debe tener en consideración la relación transacción-autorizaciones, puesto que esto posibilitará diseñar y ejecutar pruebas de auditoría para revisar segregación funcional (SoD) y accesos a transacciones críticas.• Siempre una transacción SAP tendrá un objeto de autorización relacionado, lo que implica que posee 3 capas de seguridad tal como se señala a continuación:Ejemplo: Transacción ME21N • Capa 1: Objeto de autorizacón S_TCODE ME21N • Capa 2: Objeto de autorización M_BEST_EKO (Esta capa corresponde al objeto mínimo que requiere la transacción para poder operar + S:TCODE – Tabla TSTCA que contiene los valores de actividad) • Capa 3: Objeto de autorización M_BEST_BSA M_BEST_EKG M_BEST_EKO M_BEST_WRK (Objetos de autorización adicionales que requiere la transacción para poder operar – tabla USOBT que contiene los valores de actividad para cada objeto) 10 © 2011 Deloitte
  11. 11. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones• Es muy importante que el auditor comprenda la relación que existe entre las transacciones SAP y los objetos de autorización, puesto que al momento de diseñar las pruebas, es un punto que debe abordar tal como se señala en el siguiente ejemplo:Ejemplo: Se requiere verificar los usuarios con acceso a ejecutar la transacción para aprobar ordenes de compra por medio de ME28Diseño de la prueba: Indagar en la tabla TSTCA y USOBT objetos de autorización asociados a la transacción ME28. (ver demo 1) Por medio de la herramienta SUIM (usuarios según criterio de selección compleja) identificar usuarios que poseen acceso a la transacción ME28 + Capa 1: S_TCODE ME28 Capa 2: M_EINK_FRG Capa 3: Idem capa 2. (ver demo 1)Ejecución de la prueba: (ver demo 2)Resultado de la prueba: (ver demo 3) 11 © 2011 Deloitte
  12. 12. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones12 © 2011 Deloitte
  13. 13. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones13 © 2011 Deloitte
  14. 14. Herramienta Audit Information System (AIS)Auditoría SoD14 © 2011 Deloitte
  15. 15. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones15 © 2011 Deloitte
  16. 16. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones16 © 2011 Deloitte
  17. 17. Herramienta Audit Information System (AIS)Auditoría SoDRelación transacciones-autorizaciones• Para ejecutar pruebas de segregación funcional y análisis de transacciones críticas, se debe aplicar los pasos vistos anteriormente para cada una de las transacciones identificadas en los levantamientos y/o entendimiento de los procesos.• Otra forma de hacer pruebas de segregación funcional, es por medio de análisis de las tablas relacionadas con las transacciones:• Ya vimos que las tablas que almacenan los objetos de autorización mínimos y complementarios son: TSTCA y USOBT. Para hacer un análisis masivo de accesos, se debe incorporar las tablas que poseen la relación usuarios + autorizaciones y autorizaciones + objetos y valores de actividad asignados a usuarios. (es una prueba más compleja)• Para ejecutar la prueba de auditoría anterior, se debe hacer uso de CAATs (técnicas de auditoría asistidas por computador) ejemplo: ACL, ACCESS, etc.• Es importante tener presente, que si no se hace el diseño de las pruebas considerando S_TCODE+TSTCA+USOBT existe una alta posibilidad de que los resultados de las pruebas entreguen falsos positivos, lo que puede mermar el trabajo del auditor. 17 © 2011 Deloitte
  18. 18. Herramienta Audit Information System (AIS)Auditoría SoDLimitaciones de la herramienta SUIM 1. No permite ejecutar pruebas de accesos para transacciones que poseen más de 3 objetos de autorización validados (máximo capa 1, capa 2 y capa 3 para dos objetos de autorización), en una sola búsqueda, la que obliga a ejecutar nuevamente el reporte, dependiendo la cantidad de objetos en capa 3 de seguridad que requiera validar. (método medianamente “carretero”), ya que tengo que concatenar reportes para llegar a una conclusión razonable y libre de falsos positivos. • Para solucionar esta limitación, se recomienda hacer uso de las tablas (unión de estas): • AGR_1251 Capas 1, 2 y 3 de seguridad (autorizaciones) • AGR_PROF Info de perfiles • AGR_USERS Info de usuarios • AGR_TEXTS Info de roles 2. No permite buscar objetos exclusivamente con valor “*”, ya que al colocar valor “*” en las búsquedas, me muestra todo, alterando la evidencia. • Con la recomendación del punto anterior lo puedo solucionar. Conclusión: Como herramienta de uso básico, podríamos decir que es bastante útil, salvo estas desventajas, lo que nos genera la necesidad de hacer uso de algún CAATs o técnicas de auditorias asistidas por computados. (SAP Query, ACCESS, ACL, etc.)18 © 2011 Deloitte
  19. 19. Herramienta Audit Information System (AIS)Auditoría SoDRevisión de transacciones conflictivas (incompatibles)19 © 2011 Deloitte
  20. 20. Herramienta Audit Information System (AIS)Auditoría SoDRevisión de transacciones conflictivas (incompatibles)20 © 2011 Deloitte
  21. 21. Herramienta Audit Information System (AIS)Auditoría SoDRevisión de transacciones conflictivas (incompatibles)21 © 2011 Deloitte
  22. 22. Hoja divisoria – TimesHerramienta AuditNew RomanSystem52pt –Information desde (AIS)Auditoría de Procesos22 © 2011 Deloitte
  23. 23. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Evaluación de alcance para el plan de auditoría anual • Antes de auditar los procesos de negocio en SAP, debemos tener en consideración de que estos sean parte del plan de auditoría anual, el que se determinará poniendo énfasis en los procesos más críticos para el negocio y que han sido determinados por materialidad o importancia relativa por medio de un proceso de evaluación: Ejemplo:# Proceso Seleccionado Evaluación Período ¿SAP? SI/NO Módulo01 Ventas SI 50.5 2010 NO Legacy02 Facturación SI 48.5 2010 SI SD03 Cuentas por Cobrar SI 45.5 2010 SI FI-AR04 Gestión de Bodegas PT SI 45.0 2010 SI MM05 Inventarios SI 44.0 2010 SI MM06 Compras Nacionales SI 40.5 2010 SI MM07 Compras Importadas NO 12.0 2011 SI MM 23 © 2011 Deloitte
  24. 24. Herramienta Audit Information System (AIS) Auditoría de Procesos SAP Relación de procesos seleccionados con SAP# Proceso Seleccionado Evaluación Período ¿SAP? SI/NO Módulo03 Cuentas por Cobrar SI 45.5 2010 SI FI-AR04 Gestión de Bodegas PT SI 45.0 2010 SI MM05 Inventarios SI 44.0 2010 SI MM06 Compras Nacionales SI 40.5 2010 SI MM07 Compras Importadas NO 12.0 2011 SI MM 24 © 2011 Deloitte
  25. 25. Herramienta Audit Information System (AIS)Auditoría de Procesos SAP• Una vez identificado el alcance de la auditoría y de la relación de los procesos de negocio con las aplicaciones funcionales SAP, se debe identificar las transacciones SAP que aplica a los procesos de negocio, de tal forma de visualizar los puntos de input al sistema: INPUT OUTPUT PROCESO # Proceso /Sub-Proceso (funciones) Transacción Criticidad Tablas Relacionadas Input Output 06 Compras Nacionales Media 06.01 Pedido ¿? ¿? Media ¿? ¿? ¿? Alta ¿? ¿? ¿? Baja ¿? ¿? ¿? Alta ¿? ¿? ¿? Alta ¿? 25 © 2011 Deloitte
  26. 26. Herramienta Audit Information System (AIS)Auditoría de Procesos SAP• Antes de auditar los procesos en SAP, es muy importante primero obtener un entendimiento del flujo transaccional que se genera, con el fin de poder realizar tanto las pruebas de cumplimiento como sustantivas en forma certera: INPUT OUTPUT PROCESO # Proceso /Sub-Proceso (funciones) Transacción Criticidad Tablas Relacionadas Input Output 06 Compras Nacionales Media 06.01 Pedido ME21N Media ME22N Alta ME23N Baja ME28 Alta ME29N Alta 26 © 2011 Deloitte
  27. 27. Herramienta Audit Information System (AIS)Auditoría de Procesos SAPHerramientas de Auditoría de Procesos en AIS Cubren los Ciclos de negocios: - Gastos (FI-MM) - Ingresos (FI-SD) - Existencia (MM) - Activo Fijo (FI) - Tesorería (FI) - Nómina y RR.HH.  (HR) - Cierre de EE.FF (FI)27 © 2011 Deloitte
  28. 28. Herramienta Audit Information System (AIS)Auditoría de Procesos SAPControles Configurados de Procesos – Customizing SAP/SPRO¿Qué es el customizing SAP?• Corresponde a aquel ámbito del sistema en donde se realizan las parametrizaciones de cada una de las aplicaciones funcionales o módulos del sistema SAP.• Es un ámbito extremadamente crítico y que se debe salvaguardar, de tal forma de mitigar el riesgo de que sean alterados los parámetros configurados.• En el customizing SAP, se parametrizan los controles automáticos del sistema, por lo que lo hace más critico aun desde el punto de vista de control interno.28 © 2011 Deloitte
  29. 29. Herramienta Audit Information System (AIS)Auditoría de Procesos SAPControles Configurados de Procesos – Customizing SAP/SPRO• Por medio de la transacción SPRO obtengo el acceso al customizing.• El auditor solamente debería tener la posibilidad de visualizar todo el customizing.Ejemplo:29 © 2011 Deloitte
  30. 30. Herramienta Audit Information System (AIS)Auditoría de Procesos SAPControles Configurados de Procesos – Customizing SAP/SPRO30 © 2011 Deloitte
  31. 31. Herramienta Audit Information System (AIS)Auditoría de Procesos SAPControles Configurados de Procesos – Customizing SAP/AIS31 © 2011 Deloitte
  32. 32. Preguntas…32 © 2011 Deloitte
  33. 33. Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) 729 7000 Fax: (56-2) 374 9177 e-mail: deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) 44 9660 Fax: (56-55) 44 9662 e-mail: antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) 246 6111 Fax: (56-32) 246 6086 e-mail: vregionchile@deloitte.com O’Higgins 940 Piso 6 Concepción Chile Fono: (56-41) 291 4055 Fax: (56-41) 291 4066 e-mail: concepcionchile@deloitte.com Audit Consulting Tax&Legal Risk Consulting Libertador Bernardo O’Higgins 167 Financial Advisory Services Outsourcing Oficina 603 Puerto Montt Chile Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600 cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600 descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com© 2011 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. www.deloitte.cl

×