3
Las 6 herramientas que el auditor SAP debe dominar Actualmente un número importante de empresas de gran tamaño y de diversas industrias, han implementado el sistema ERP SAP en todo el mundo, lo cual implica que los auditores internos y externos para poder estar a la altura de las circunstancias y ejecutar auditorías con base en la fuente confiable e ir al origen de la información, requieren dominar el uso de ciertas herramientas estándar que posee este sistema de clase mundial, considerando a su vez que el escepticismo profesional es esencial en todo auditor. A continuación les mencionaré las 6 herramientas de auditoría para SAP ERP, que todo auditor debe conocer: 1.- Sistema de Infomación de usuarios y autorizaciones - Transacción SUIM: Esta herramienta le permite al auditor poder efectuar pruebas de auditoría orientadas al maestro de usuario y a los roles, perfiles y autorizaciones. Asimismo, permite revisar los parámetros de seguridad del sistema relacionados con la autenticación de usuarios en SAP entre otros. 2.- Sistema info de tablas del sistema - Transacción SE16 en modo Display: Esta herramienta le permite al auditor poder obtener tablas de las bases de datos del sistema SAP y poder realizar pruebas relacionadas con las transacciones en los ciclos de negocio y los aspectos propios de la configuración del sistema. En la medida que esta herramienta es usada con precaución, el auditor no debería tener inconvenientes, pero se recomienda bajar tablas masivas en procesos de fondo, a fin de no mermar el performance en ambiente productivo de SAP. Se pueden hacer pruebas relacionadas con parámetros de controles configurados, revisión de los libros contables: Libro Diario, Centralizaciones Contables, Procedimientos de Detección de Fraudes, etc. complementado con herramientas tales como: ACL, IDEA, EXCEL, etc. 3.- Sistema info de diccionario de datos y programas ABAP - Transacción SE15 en modo Display: Permite en modo display revisar las bases de datos lógicas que contienen las tablas físicas del sistema SAP y comprender la relación entre estas y los procesos de negocio implementados. Asimismo, se puede revisar las sentencias de programación de los programa ABAP de SAP y así verificar que las mismas, cumplan con los estándares y buenas prácticas definidos en las políticas y procedimientos de la organización. 4.- Sistema info de customizing o configuración del sistema SAP - Transacción SPRO en modo Display: Permite revisar la configuración funcional de los procesos parametrizados en SAP, de esta forma el auditor podrá revisar los controles configurados de cada proceso por ejemplo:

Las 6 Herramientas Que El Auditor SAP Debe Dominar

Embed Size (px)

Citation preview

Page 1: Las 6 Herramientas Que El Auditor SAP Debe Dominar

Las 6 herramientas que el auditor SAP debe dominar Actualmente un número importante de empresas de gran tamaño y de diversas industrias, han implementado el sistema ERP SAP en todo el mundo, lo cual implica que los auditores internos y externos para poder estar a la altura de las circunstancias y ejecutar auditorías con base en la fuente confiable e ir al origen de la información, requieren dominar el uso de ciertas herramientas estándar que posee este sistema de clase mundial, considerando a su vez que el escepticismo profesional es esencial en todo auditor.

A continuación les mencionaré las 6 herramientas de auditoría para SAP ERP, que todo auditor debe conocer:

1.- Sistema de Infomación de usuarios y autorizaciones - Transacción SUIM: Esta herramienta le permite al auditor poder efectuar pruebas de auditoría orientadas al maestro de usuario y a los roles, perfiles y autorizaciones.  Asimismo, permite revisar los parámetros de seguridad del sistema relacionados con la autenticación de usuarios en SAP entre otros.

2.- Sistema info de tablas del sistema - Transacción SE16 en modo Display: Esta herramienta le permite al auditor poder obtener tablas de las bases de datos del sistema SAP y poder realizar pruebas relacionadas con las transacciones en los ciclos de negocio y los aspectos propios de la configuración del sistema.  En la medida que esta herramienta es usada con precaución, el auditor no debería tener inconvenientes, pero se recomienda bajar tablas masivas en procesos de fondo, a fin de no mermar el performance en ambiente productivo de SAP.  Se pueden hacer pruebas relacionadas con parámetros de controles configurados, revisión de los libros contables: Libro Diario, Centralizaciones Contables, Procedimientos de Detección de Fraudes, etc. complementado con herramientas tales como: ACL, IDEA, EXCEL, etc.

3.- Sistema info de diccionario de datos y programas ABAP - Transacción SE15 en modo Display: Permite en modo display revisar las bases de datos lógicas que contienen las tablas físicas del sistema SAP y comprender la relación entre estas y los procesos de negocio implementados.  Asimismo, se puede revisar las sentencias de programación de los programa ABAP de SAP y así verificar que las mismas, cumplan con los estándares y buenas prácticas definidos en las políticas y procedimientos de la organización.

4.- Sistema info de customizing o configuración del sistema SAP - Transacción SPRO en modo Display: Permite revisar la configuración funcional de los procesos parametrizados en SAP, de esta forma el auditor podrá revisar los controles configurados de cada proceso por ejemplo: Estrategias de liberación o aprobación en compras, límites de tolerancia en compras y gestión de stock, clases de documentos, etc.

5.- Trace o tracking de log de autorizaciones y transacciones - Transacciones ST01 y ST03 Display: Estas transacciones permiten obtener evidencia de las ejecuciones tanto de transacciones como autorizaciones que han efectuado los usuarios en SAP, por lo que le permitirá al auditor recabar información clave respecto a los privilegios que los usuarios han usado y si los mismos, corresponden estrictamente a lo que deberían tener.  La interpretación del trace de la transacción ST01 es muy técnica y requiere de conocimientos experto del concepto de autorización en SAP.

6.- Sistema info de auditoría AIS - Basado en roles de auditor actualmente: Esta herramienta es altamente útil y prácticamente contiene las 5 herramientas antes mencionadas y viene configurada por defecto en modo display, lo que hace mucho más fácil su uso.  La gran particularidad que tiene esta herramienta, es que cubre aspectos de implementación técnica del módulo BC de SAP y aspectos funcionales, por lo que es muy completa, ya que trae grupos de reportes predefinidos que entregan evidencia de auditoría en forma inmediata.  Ver presentación de AIS:

Page 2: Las 6 Herramientas Que El Auditor SAP Debe Dominar

Originalmente Escrito por Luis OvaresBuenas, Necesito determinar que cambios realizo un usuario al ejecutar cualquier transaccion, La auditoria solo me da la transaccion que utilizo pero no muestra que tipo de movimientos realizo,gracias

Hola Prueba con las tablas CDHDR y CDPOS. Estas tienen los cambios de los documentos del sistema.

La realación con lo documentos la encuentras en la TX "SCDO".

Saludos

Saludos,Estimado las tablas CDPOS y CDHDR son muy efectivas al momento de extraer modificaciones sobre la mayoria de objetos a nivel de SAP; sin embargo presenta los siguietnes retos:- No se pueden incluir como un query normal de SAP, no tengo idea el motivo; creeria que esto se debe al tamaño de ambas tablas- Pese a que es muy util su uso, lo complejo es identificar el objeto o tipo de modificación que realizo la acción mediante la transacción.

Pese a lo anterior, te puedo dar unos tips que mi practica me ha enseñado a seguirle el rastro a una modificación:- Realiza un trace de rendimiento, y consultalo; de allí podras sacar el objeto que buscas o con el cual se efectuo la modificacion.- Luego que lo identifiques, llevatelo y buscalo con un rango de fechas en la tabla "CDHDHR".- Esta consulta arroja un listado de modificaciones, que tienen como un consecutivo (N° Documento).... tomalos y buscalos dentro de CDPOS.- Wuallaa!! ahi están las modificaciones....

Lo complejo de esto, es identificar el objeto; por lo que leí más arriba existe una transacción... aún no lo he probado.