11/02/2011 IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 Consideraciones prácticas al auditar un entorno SAP Eudoro César Muñoz San Román, CISA emunoz@sindicom.gva.es Contenido 1. Introducción 2. Contexto de la Auditoria de Sistemas de la información 3. Objetivos en la auditoría de SAP 4. Procedimientos 5. Efecto en el informe IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 2 1 11/02/2011 1.Introducción • Nuestra experiencia tras 4 años de auditorías en entornos de sistemas de información. • Se ha trabajado con diferentes sistemas y entornos (SAP, Navision, ERP a medida) IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 3 2. Contexto de la Auditoría de Sistemas de información • Dentro de un marco de Auditoría de regularidad: Financiera (área significativa) y Legalidad • Se ha contado con asesoría externa (Empresas auditoras especializadas) • Proceso de definición y documentación de procedimientos propios. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 4 2 11/02/2011 3.Objetivos de la Auditoría de SAP • Configuración de parámetros de seguridad • Parametrización de medidas de seguridad: – Identificación y autentificación – Gestión de cambios • Asignación de transacciones críticas • Pruebas de datos • Pruebas de walkthroug – pruebas de cumplimiento • Comprobación de incompatibilidades (segregación) de funciones IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 5 4.Procedimientos. Comentarios • Dos posiciones: – Pedir información – Extraer la información (perfil auditor). • Colaboración ente auditado • Extracción o solicitud de datos y tablas • Análisis de la información IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 6 3 11/02/2011 4.Procedimientos. Obtención de información de seguridad • Programas y Tablas Programa RSPARAM RSUSR003 Descripción del Programa Parámetros de seguridad Claves de acceso de los usuarios privilegiados IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 7 4.Procedimientos. Obtención de información de seguridad Tabla USOBT USR02 USR04 USR11 USR13 UST04 UST10C UST10S UST12 USR03 USR21 ADRP AGR_PROF T001 T000 USR40 TBRG TDDAT DD02T TPGP TRDIR TRDIRT TSTCA DD09L E070 TPLOG DEVACCESS Descripción de la tabla Relación transacción/ Objetos de autorización Datos Maestros Usuarios (Logon) Maestro de usuarios autorizaciones Descripción Perfiles Textos breves para autorizaciones Asignación Perfiles/ Usuarios Maestro de usuarios: Perfiles colectivos Maestro de usuarios: Perfiles individuales Maestro de usuarios: Autorizaciones Datos de dirección de usuarios Asignación nombre usuario – clave dirección Personas (Business Address Services) Nombre de perfil para rol Sociedades Mandantes Listado contraseñas prohibidas Listado grupos de autorización creados en el sistema (tablas) Asignación grupos de autorización/ Tablas Breve descripción de cada tabla (estándar y customizada) Listado grupos de autorización creados en el sistema (Programas) Asignación grupos de autorización/ Programas Breve descripción de cada programa (estándar y customizado) Detalle de las autorizaciones iniciales para iniciar transacciones Valores de activación del log de cambios en tablas Listado de órdenes de cambios Listado de los transportes a producción de las órdenes de cambios Usuarios que pueden llevar a cabo función de desarrollo IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 8 4 11/02/2011 4.Procedimientos. Obtención de los datos IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 9 4.Procedimientos. Información financiera y de negocio • Tratamiento de los datos con ACL (especialmente los financieros; reconstrucción del diario) • Seguimiento del ciclo de negocio. Comprobaciones de control interno. Pruebas de cumplimiento. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 10 5 11/02/2011 4.Procedimientos . Información financiera Tablas Financieras IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 11 4.Procedimientos . Información financiera Tablas Financieras IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 12 6 11/02/2011 4.Procedimientos . Información financiera BKPF BSEG IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 13 4.Procedimientos . Reconstrucción del diario, selección de muestra IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 14 7 11/02/2011 4.Procedimientos. Análisis flujo de negocio Ejemplo: Proceso de gastos e inversiones IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 15 4.Procedimientos. Análisis de riesgos • A partir del análisis del flujo, se determinan los riesgos que para nuestro alcance se consideren significativos. • Por ejemplo: – Gastos: adecuada aprobación por usuarios, en fecha y por importe, adecuada recepción y contabilización, adecuado control interno, adecuada documentación y formalización,etc… IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 16 8 11/02/2011 4.Procedimientos. Análisis muestra IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 17 4.Procedimientos . Análisis muestra IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 18 9 11/02/2011 4.Procedimientos. Segregación de funciones Segregación de funciones (Procesos de Negocio) Transacción conflictiva 1 Transacción conflictiva 2 Acciones incompatibles FK02 F110 Modificar cuenta de proveedor (Contabilidad) vs. Pagos automáticos. Riesgo cambiar los datos bancarios de proveedores y realizar pagos no autorizados. FK02 F-53 Modificar cuenta de proveedor (Contabilidad) vs. Contabilizar salida de pagos (Pago manual) Riesgo cambiar los datos bancarios de proveedores y realizar pagos no autorizados. OB52 F-02 AS02 AFAB MIRO MIGO Abrir/cerrar periodo contable vs. Realizar asiento contable manual. Riesgo de abrir un periodo contable (ya cerrado) y realizar asientos contables no autorizados. Cambiar Maestros de Activos Fijos vs. Ejecución del programa de Depreciación. Riesgo de cambio no autorizado del programa de depreciación de una Activo. Introducción de factura vs. Recepción de mercancía asociada a una orden de compra. Riesgo de modificar las cantidades recibidas de mercancía e introducir una factura errónea. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 19 4.Procedimientos. Segregación de funciones Segregación de funciones (Procesos de Negocio) Transacción conflictiva 1 Transacción conflictiva 2 Acciones incompatibles FB60 MIGO Introducción de factura vs. Recepción de mercancía asociada a una orden de compra. Riesgo de modificar las cantidades recibidas de mercancía e introducir una factura errónea. ME21 ME29N Crear orden de compra vs. Liberar orden de compra. Riesgo de crear una orden de compra ficticia y liberar la misma. ME21 FB60 F-02 FSS0 Crear orden de compra vs. Introducción de factura FB50 FSS0 Riesgo de crear una orden de compra ficticia e introducir una factura errónea. Realizar asiento contable manual vs. Modificación Cuenta Libro Mayor (a nivel de compañía) Riesgo modificar la configuración de una cuenta del Libro Mayor y realizar un asiento contable manual sobre dicha cuenta. Contabilizar un documento con cuentas de mayor vs. Modificación Cuenta Libro Mayor (a nivel de compañía) Riesgo modificar la configuración de una cuenta del Libro Mayor y realizar un asiento contable manual sobre dicha cuenta. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 20 10 11/02/2011 4.Procedimientos. Conclusiones • Conclusiones – Datos facilitados: seguridad en que el auditado entiende lo que se solicita (complicación por perfil técnico del interlocutor). Más rápido. – Datos obtenidos: seguridad en la comprensión de los datos obtenidos (p.e. objetos de transacción). Mejor comprensión del sistema. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 21 5.Efecto en el informe. Modelo de informe definido en nuestra guía de Auditoría de Sistemas de Información • Área de controles generales: – – – – – • Área de controles sobre procesos de gestión y aplicaciones – – – – – – • Marco organizativo Gestión de cambios (SAP) Operaciones de los sistemas de información (SAP) Acceso a datos y programas (SAP) Continuidad del servicio (SAP) Procedimentación (SAP) Control de acceso a las aplicaciones (SAP) Automatización de controles manuales (SAP “Z”) Segregación de funciones (SAP) Perfiles de los usuarios (SAP) Procedimientos concretos Pruebas de datos (SAP) IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 22 11 11/02/2011 Consideraciones prácticas al auditar un entorno SAP FIN Muchas gracias. IV Foro Tecnológico de los OCEX Valencia, 14-15 de febrero de 2011 23 12