Las buenas prácticas de control interno recomiendan:
Control de Cambios en SAP R/3:
- El que libera las órdenes de transporte debe ser distinto al que ejecuta el cambio y distinto al que realiza el import al mandante de destino (3 actores):
Actor 1: Ejecutor del cambio y generador de la orden de transporte ej.: Programador ABAP
Actor 2: Liberador de la orden de transporte ej.: Oficial de Seguridad de la Información
Actor 3: Ejecutor del import al mandante de destino ej.: Administrador Basis
Ej.: Programador que ejecuta un cambio en ambiente de desarrollo sobre un programa ABAP, si bien debe generar la orden de transporte (a ambiente de prueba o productivo), no debe además liberarla por medio de la transacción SE10 y se recomienda que lo haga una instancia de control (seguridad de la información). Esta instancia de control debería ser de la línea y se recomienda que no sea el Auditor Interno ya que este último perdería independencia al ejecutar esas liberaciones.
Por lo tanto, los usuarios que ejecutan cambios en el sistema, no deberían tener la transacción SE10 liberación de órdenes de transporte.
Por otra parte, la materialización o import del transporte vía transacción STMS, debería hacerla un usuario distinto del que ejecuta el cambio y del que libera la orden de transporte y se recomienda que lo haga el Administrador Basis.
Con este procedimiento, mitigamos el riesgo de que un mismo usuario haga cambios indebidos por ejemplo de programas, tablas, roles y/o perfiles de usuario en ambiente de desarrollo y que los mismos no sean identificados antes de que lleguen a ambiente productivo de destino.
Esto debería estar contenido en un procedimiento o un marco de gobernabilidad de tal forma de hacer sustentable en el tiempo la operatoria de estas buenas prácticas.
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile