Consideraciones prácticas al auditar un entorno SAP

Anuncio
11/02/2011
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
Consideraciones prácticas al auditar
un entorno SAP
Eudoro César Muñoz San Román, CISA
[email protected]
Contenido
1. Introducción
2. Contexto de la Auditoria de Sistemas de la
información
3. Objetivos en la auditoría de SAP
4. Procedimientos
5. Efecto en el informe
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
2
1
11/02/2011
1.Introducción
• Nuestra experiencia tras 4 años de auditorías
en entornos de sistemas de información.
• Se ha trabajado con diferentes sistemas y
entornos (SAP, Navision, ERP a medida)
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
3
2. Contexto de la Auditoría de Sistemas de
información
• Dentro de un marco de Auditoría de
regularidad: Financiera (área significativa) y
Legalidad
• Se ha contado con asesoría externa (Empresas
auditoras especializadas)
• Proceso de definición y documentación de
procedimientos propios.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
4
2
11/02/2011
3.Objetivos de la Auditoría de SAP
• Configuración de parámetros de seguridad
• Parametrización de medidas de seguridad:
– Identificación y autentificación
– Gestión de cambios
• Asignación de transacciones críticas
• Pruebas de datos
• Pruebas de walkthroug – pruebas de
cumplimiento
• Comprobación de incompatibilidades
(segregación) de funciones
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
5
4.Procedimientos. Comentarios
• Dos posiciones:
– Pedir información
– Extraer la información (perfil auditor).
• Colaboración ente auditado
• Extracción o solicitud de datos y tablas
• Análisis de la información
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
6
3
11/02/2011
4.Procedimientos. Obtención de información de
seguridad
• Programas y Tablas
Programa
RSPARAM
RSUSR003
Descripción del Programa
Parámetros de seguridad
Claves de acceso de los usuarios privilegiados
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
7
4.Procedimientos. Obtención de información de
seguridad
Tabla
USOBT
USR02
USR04
USR11
USR13
UST04
UST10C
UST10S
UST12
USR03
USR21
ADRP
AGR_PROF
T001
T000
USR40
TBRG
TDDAT
DD02T
TPGP
TRDIR
TRDIRT
TSTCA
DD09L
E070
TPLOG
DEVACCESS
Descripción de la tabla
Relación transacción/ Objetos de autorización
Datos Maestros Usuarios (Logon)
Maestro de usuarios autorizaciones
Descripción Perfiles
Textos breves para autorizaciones
Asignación Perfiles/ Usuarios
Maestro de usuarios: Perfiles colectivos
Maestro de usuarios: Perfiles individuales
Maestro de usuarios: Autorizaciones
Datos de dirección de usuarios
Asignación nombre usuario – clave dirección
Personas (Business Address Services)
Nombre de perfil para rol
Sociedades
Mandantes
Listado contraseñas prohibidas
Listado grupos de autorización creados en el sistema (tablas)
Asignación grupos de autorización/ Tablas
Breve descripción de cada tabla (estándar y customizada)
Listado grupos de autorización creados en el sistema (Programas)
Asignación grupos de autorización/ Programas
Breve descripción de cada programa (estándar y customizado)
Detalle de las autorizaciones iniciales para iniciar transacciones
Valores de activación del log de cambios en tablas
Listado de órdenes de cambios
Listado de los transportes a producción de las órdenes de cambios
Usuarios que pueden llevar a cabo función de desarrollo
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
8
4
11/02/2011
4.Procedimientos. Obtención de los datos
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
9
4.Procedimientos. Información financiera y de
negocio
• Tratamiento de los datos con ACL
(especialmente los financieros; reconstrucción
del diario)
• Seguimiento del ciclo de negocio.
Comprobaciones de control interno. Pruebas
de cumplimiento.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
10
5
11/02/2011
4.Procedimientos . Información financiera
Tablas Financieras
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
11
4.Procedimientos . Información financiera
Tablas Financieras
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
12
6
11/02/2011
4.Procedimientos . Información financiera
BKPF
BSEG
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
13
4.Procedimientos . Reconstrucción del diario,
selección de muestra
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
14
7
11/02/2011
4.Procedimientos. Análisis flujo de negocio
Ejemplo: Proceso de gastos e inversiones
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
15
4.Procedimientos. Análisis de riesgos
• A partir del análisis del flujo, se determinan
los riesgos que para nuestro alcance se
consideren significativos.
• Por ejemplo:
– Gastos: adecuada aprobación por usuarios, en
fecha y por importe, adecuada recepción y
contabilización, adecuado control interno,
adecuada documentación y formalización,etc…
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
16
8
11/02/2011
4.Procedimientos. Análisis muestra
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
17
4.Procedimientos . Análisis muestra
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
18
9
11/02/2011
4.Procedimientos. Segregación de funciones
Segregación de funciones (Procesos de Negocio)
Transacción
conflictiva 1
Transacción
conflictiva 2
Acciones incompatibles
FK02
F110
Modificar cuenta de proveedor (Contabilidad) vs.
Pagos automáticos.
Riesgo cambiar los datos bancarios de proveedores
y realizar pagos no autorizados.
FK02
F-53
Modificar cuenta de proveedor (Contabilidad) vs.
Contabilizar salida de pagos (Pago manual)
Riesgo cambiar los datos bancarios de proveedores
y realizar pagos no autorizados.
OB52
F-02
AS02
AFAB
MIRO
MIGO
Abrir/cerrar periodo contable vs. Realizar asiento
contable manual.
Riesgo de abrir un periodo contable (ya cerrado) y
realizar asientos contables no autorizados.
Cambiar Maestros de Activos Fijos vs. Ejecución
del programa de Depreciación.
Riesgo de cambio no autorizado del programa de
depreciación de una Activo.
Introducción de factura vs. Recepción de
mercancía asociada a una orden de compra.
Riesgo de modificar las cantidades recibidas de
mercancía e introducir una factura errónea.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
19
4.Procedimientos. Segregación de funciones
Segregación de funciones (Procesos de Negocio)
Transacción
conflictiva 1
Transacción
conflictiva 2
Acciones incompatibles
FB60
MIGO
Introducción de factura vs. Recepción de
mercancía asociada a una orden de compra.
Riesgo de modificar las cantidades recibidas de
mercancía e introducir una factura errónea.
ME21
ME29N
Crear orden de compra vs. Liberar orden de
compra.
Riesgo de crear una orden de compra ficticia y
liberar la misma.
ME21
FB60
F-02
FSS0
Crear orden de compra vs. Introducción de factura
FB50
FSS0
Riesgo de crear una orden de compra ficticia e
introducir una factura errónea.
Realizar asiento contable manual vs. Modificación
Cuenta Libro Mayor (a nivel de compañía)
Riesgo modificar la configuración de una cuenta
del Libro Mayor y realizar un asiento contable
manual sobre dicha cuenta.
Contabilizar un documento con cuentas de mayor
vs. Modificación Cuenta Libro Mayor (a nivel de
compañía)
Riesgo modificar la configuración de una cuenta
del Libro Mayor y realizar un asiento contable
manual sobre dicha cuenta.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
20
10
11/02/2011
4.Procedimientos. Conclusiones
• Conclusiones
– Datos facilitados: seguridad en que el auditado
entiende lo que se solicita (complicación por perfil
técnico del interlocutor). Más rápido.
– Datos obtenidos: seguridad en la comprensión de
los datos obtenidos (p.e. objetos de transacción).
Mejor comprensión del sistema.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
21
5.Efecto en el informe.
Modelo de informe definido en nuestra guía de Auditoría de Sistemas de
Información
• Área de controles generales:
–
–
–
–
–
•
Área de controles sobre procesos de gestión y aplicaciones
–
–
–
–
–
–
•
Marco organizativo
Gestión de cambios (SAP)
Operaciones de los sistemas de información (SAP)
Acceso a datos y programas (SAP)
Continuidad del servicio (SAP)
Procedimentación (SAP)
Control de acceso a las aplicaciones (SAP)
Automatización de controles manuales (SAP “Z”)
Segregación de funciones (SAP)
Perfiles de los usuarios (SAP)
Procedimientos concretos
Pruebas de datos (SAP)
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
22
11
11/02/2011
Consideraciones prácticas al auditar un
entorno SAP
FIN
Muchas gracias.
IV Foro Tecnológico de los OCEX
Valencia, 14-15 de febrero de 2011
23
12
Descargar