Upload
nguyentruc
View
223
Download
2
Embed Size (px)
Citation preview
11/02/2011
1
IV Foro Tecnológico de los OCEXValencia, 14-15 de febrero de 2011
Consideraciones prácticas al auditar un entorno SAP
Eudoro César Muñoz San Román, CISA
Contenido
IV Foro Tecnológico de los OCEXValencia, 14-15 de febrero de 2011
2
1. Introducción2. Contexto de la Auditoria de Sistemas de la
información3. Objetivos en la auditoría de SAP4. Procedimientos5. Efecto en el informe
11/02/2011
2
1.Introducción
• Nuestra experiencia tras 4 años de auditorías en entornos de sistemas de información.
• Se ha trabajado con diferentes sistemas y entornos (SAP, Navision, ERP a medida)
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
3
2. Contexto de la Auditoría de Sistemas de información
• Dentro de un marco de Auditoría de regularidad: Financiera (área significativa) y Legalidad
• Se ha contado con asesoría externa (Empresas auditoras especializadas)
• Proceso de definición y documentación de procedimientos propios.
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
4
11/02/2011
3
3.Objetivos de la Auditoría de SAP
• Configuración de parámetros de seguridad• Parametrización de medidas de seguridad:
– Identificación y autentificación– Gestión de cambios
• Asignación de transacciones críticas• Pruebas de datos• Pruebas de walkthroug – pruebas de
cumplimiento • Comprobación de incompatibilidades
(segregación) de funciones
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
5
4.Procedimientos. Comentarios
• Dos posiciones:
– Pedir información
– Extraer la información (perfil auditor).
• Colaboración ente auditado
• Extracción o solicitud de datos y tablas
• Análisis de la información
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
6
11/02/2011
4
4.Procedimientos. Obtención de información de seguridad
• Programas y Tablas
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
7
Programa Descripción del Programa
RSPARAM Parámetros de seguridad
RSUSR003 Claves de acceso de los usuarios privilegiados
4.Procedimientos. Obtención de información de seguridad
Tabla Descripción de la tabla
USOBT Relación transacción/ Objetos de autorización
USR02 Datos Maestros Usuarios (Logon)
USR04 Maestro de usuarios autorizaciones
USR11 Descripción Perfiles
USR13 Textos breves para autorizacionesUST04 Asignación Perfiles/ Usuarios
UST10C Maestro de usuarios: Perfiles colectivos
UST10S Maestro de usuarios: Perfiles individuales
UST12 Maestro de usuarios: Autorizaciones
USR03 Datos de dirección de usuariosUSR21 Asignación nombre usuario – clave dirección
ADRP Personas (Business Address Services)
AGR_PROF Nombre de perfil para rol
T001 Sociedades
T000 Mandantes
USR40 Listado contraseñas prohibidasTBRG Listado grupos de autorización creados en el sistema (tablas)
TDDAT Asignación grupos de autorización/ Tablas
DD02T Breve descripción de cada tabla (estándar y customizada)
TPGP Listado grupos de autorización creados en el sistema (Programas)
TRDIR Asignación grupos de autorización/ ProgramasTRDIRT Breve descripción de cada programa (estándar y customizado)
TSTCA Detalle de las autorizaciones iniciales para iniciar transacciones
DD09L Valores de activación del log de cambios en tablas
E070 Listado de órdenes de cambios
TPLOG Listado de los transportes a producción de las órdenes de cambiosDEVACCESS Usuarios que pueden llevar a cabo función de desarrollo
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
8
11/02/2011
5
4.Procedimientos. Obtención de los datos
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
9
4.Procedimientos. Información financiera y de negocio
• Tratamiento de los datos con ACL (especialmente los financieros; reconstrucción del diario)
• Seguimiento del ciclo de negocio.Comprobaciones de control interno. Pruebas de cumplimiento.
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
10
11/02/2011
6
4.Procedimientos . Información financiera
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
11
Tablas Financieras
4.Procedimientos . Información financiera
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
12
Tablas Financieras
11/02/2011
7
4.Procedimientos . Información financiera
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
13
BKPF BSEG
4.Procedimientos . Reconstrucción del diario, selección de muestra
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
14
11/02/2011
8
4.Procedimientos. Análisis flujo de negocio
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
15
Ejemplo: Proceso de gastos e inversiones
4.Procedimientos. Análisis de riesgos
• A partir del análisis del flujo, se determinan los riesgos que para nuestro alcance se consideren significativos.
• Por ejemplo:
– Gastos: adecuada aprobación por usuarios, en fecha y por importe, adecuada recepción y contabilización, adecuado control interno, adecuada documentación y formalización,etc…
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
16
11/02/2011
9
4.Procedimientos. Análisis muestra
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
17
4.Procedimientos . Análisis muestra
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
18
11/02/2011
10
4.Procedimientos. Segregación de funciones
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
19
Segregación de funciones (Procesos de Negocio)
Transacción
conflictiva 1
Transacción
conflictiva 2 Acciones incompatibles
FK02 F110
Modificar cuenta de proveedor (Contabilidad) vs. Pagos automáticos.
Riesgo cambiar los datos bancarios de proveedores
y realizar pagos no autorizados.
FK02 F-53
Modificar cuenta de proveedor (Contabilidad) vs. Contabilizar salida de pagos (Pago manual)
Riesgo cambiar los datos bancarios de proveedores
y realizar pagos no autorizados.
OB52 F-02
Abrir/cerrar periodo contable vs. Realizar asiento contable manual.
Riesgo de abrir un periodo contable (ya cerrado) y realizar asientos contables no autorizados.
AS02 AFAB
Cambiar Maestros de Activos Fijos vs. Ejecución del programa de Depreciación.
Riesgo de cambio no autorizado del programa de depreciación de una Activo.
MIRO MIGO
Introducción de factura vs. Recepción de mercancía asociada a una orden de compra.
Riesgo de modificar las cantidades recibidas de mercancía e introducir una factura errónea.
4.Procedimientos. Segregación de funciones
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
20
FB60 MIGO
Introducción de factura vs. Recepción de mercancía asociada a una orden de compra.
Riesgo de modificar las cantidades recibidas de mercancía e introducir una factura errónea.
ME21 ME29N
Crear orden de compra vs. Liberar orden de compra.
Riesgo de crear una orden de compra ficticia y
liberar la misma.
ME21 FB60
Crear orden de compra vs. Introducción de factura
Riesgo de crear una orden de compra ficticia e introducir una factura errónea.
F-02 FSS0
Realizar asiento contable manual vs. Modificación Cuenta Libro Mayor (a nivel de compañía)
Riesgo modificar la configuración de una cuenta del Libro Mayor y realizar un asiento contable manual sobre dicha cuenta.
FB50 FSS0
Contabilizar un documento con cuentas de mayor vs. Modificación Cuenta Libro Mayor (a nivel de compañía)
Riesgo modificar la configuración de una cuenta del Libro Mayor y realizar un asiento contable manual sobre dicha cuenta.
Segregación de funciones (Procesos de Negocio)
Transacción conflictiva 1
Transacción conflictiva 2
Acciones incompatibles
11/02/2011
11
4.Procedimientos. Conclusiones
• Conclusiones
– Datos facilitados: seguridad en que el auditado entiende lo que se solicita (complicación por perfil técnico del interlocutor). Más rápido.
– Datos obtenidos: seguridad en la comprensión de los datos obtenidos (p.e. objetos de transacción). Mejor comprensión del sistema.
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
21
5.Efecto en el informe.
Modelo de informe definido en nuestra guía de Auditoría de Sistemas de Información• Área de controles generales:
– Marco organizativo– Gestión de cambios (SAP)– Operaciones de los sistemas de información (SAP)– Acceso a datos y programas (SAP)– Continuidad del servicio (SAP)
• Área de controles sobre procesos de gestión y aplicaciones– Procedimentación (SAP)– Control de acceso a las aplicaciones (SAP)– Automatización de controles manuales (SAP “Z”) – Segregación de funciones (SAP)– Perfiles de los usuarios (SAP)– Procedimientos concretos
• Pruebas de datos (SAP)
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
22
11/02/2011
12
Consideraciones prácticas al auditar un entorno SAP
FINMuchas gracias.
IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011
23