Actualmente un número importante de empresas de gran tamaño y de diversas industrias, han implementado el sistema ERP SAP en todo el mundo, lo cual implica que los auditores internos y externos para poder estar a la altura de las circunstancias y ejecutar auditorías con base en la fuente confiable e ir al origen de la información, requieren dominar el uso de ciertas herramientas estándar que posee este sistema de clase mundial, considerando a su vez que el escepticismo profesional es esencial en todo auditor.
A continuación les mencionaré las 6 herramientas de auditoría para SAP ERP, que todo auditor debe conocer:
1.- Sistema de Infomación de usuarios y autorizaciones - Transacción SUIM: Esta herramienta le permite al auditor poder efectuar pruebas de auditoría orientadas al maestro de usuario y a los roles, perfiles y autorizaciones. Asimismo, permite revisar los parámetros de seguridad del sistema relacionados con la autenticación de usuarios en SAP entre otros.
2.- Sistema info de tablas del sistema - Transacción SE16 en modo Display: Esta herramienta le permite al auditor poder obtener tablas de las bases de datos del sistema SAP y poder realizar pruebas relacionadas con las transacciones en los ciclos de negocio y los aspectos propios de la configuración del sistema. En la medida que esta herramienta es usada con precaución, el auditor no debería tener inconvenientes, pero se recomienda bajar tablas masivas en procesos de fondo, a fin de no mermar el performance en ambiente productivo de SAP. Se pueden hacer pruebas relacionadas con parámetros de controles configurados, revisión de los libros contables: Libro Diario, Centralizaciones Contables, Procedimientos de Detección de Fraudes, etc. complementado con herramientas tales como: ACL, IDEA, EXCEL, etc.
3.- Sistema info de diccionario de datos y programas ABAP - Transacción SE15 en modo Display: Permite en modo display revisar las bases de datos lógicas que contienen las tablas físicas del sistema SAP y comprender la relación entre estas y los procesos de negocio implementados. Asimismo, se puede revisar las sentencias de programación de los programa ABAP de SAP y así verificar que las mismas, cumplan con los estándares y buenas prácticas definidos en las políticas y procedimientos de la organización.
4.- Sistema info de customizing o configuración del sistema SAP - Transacción SPRO en modo Display: Permite revisar la configuración funcional de los procesos parametrizados en SAP, de esta forma el auditor podrá revisar los controles configurados de cada proceso por ejemplo: Estrategias de liberación o aprobación en compras, límites de tolerancia en compras y gestión de stock, clases de documentos, etc.
5.- Trace o tracking de log de autorizaciones y transacciones - Transacciones ST01 y ST03 Display: Estas transacciones permiten obtener evidencia de las ejecuciones tanto de transacciones como autorizaciones que han efectuado los usuarios en SAP, por lo que le permitirá al auditor recabar información clave respecto a los privilegios que los usuarios han usado y si los mismos, corresponden estrictamente a lo que deberían tener. La interpretación del trace de la transacción ST01 es muy técnica y requiere de conocimientos experto del concepto de autorización en SAP.
6.- Sistema info de auditoría AIS - Basado en roles de auditor actualmente: Esta herramienta es altamente útil y prácticamente contiene las 5 herramientas antes mencionadas y viene configurada por defecto en modo display, lo que hace mucho más fácil su uso. La gran particularidad que tiene esta herramienta, es que cubre aspectos de implementación técnica del módulo BC de SAP y aspectos funcionales, por lo que es muy completa, ya que trae grupos de reportes predefinidos que entregan evidencia de auditoría en forma inmediata. Ver presentación de AIS:
Excelente resumen.
ResponderEliminarSaludos
Boris Ferrer
Excelente post, muchas gracias y saludos!
ResponderEliminarPor nada estimados ! Cualquier aporte que complemente este resumen, es bienvenido! Saludos
ResponderEliminarBuen dato :), muchas de esas Tx. se utilizan efectivamente para Revisar Roles y Perfiles, están también las Zxxx, que generan información referida a Usuarios y transacciones, la FB03 cuando se filtra por usuario y fecha arroja los asientos diario registrados.
ResponderEliminarEstimados, alguien me podría ayudar diciéndome cómo puedo saber cuantas veces se ha utilizado una transacción en cierto periodo de tiempo? En específico quiero saber cuantas veces se ha utilizado la MSC2N en los últimos 6 meses y qué características de lotes modificaron. Requiero sacar un estadístico. Muchas gracias !!!
ResponderEliminarEstimado, puedes usar SAP AIS (Nodo Auditoría de Sistemas) Saludos
EliminarNota: SAP AIS es una herramienta que es parte de SAP ERP.
Buenas tardes, soy nuevo en el mundo SAP, actualmente vengo haciendo trabajos de auditoria con SAP y ACL realizando reportes y análisis de información en la Base de Datos, estoy revisando la parte de Egresos e Ingresos. Pero se me dificulta realizar los reportes ya que no conozco poco las tablas internas de SAP y su estructura. Quisiera saber que curso debería llevar para que se me pueda facilitar la generación y análisis de mis reportes como Auditor.
ResponderEliminarGracias de antemano,
Saludos,
Creo que si tomas el curso de auditoría SAP ERP intermedio, podrás aprender esa parte del modelo de datos en SAP ERP.
ResponderEliminarRevisa acá: www.grcchile.cl (entrenamiento)
Saludos
Que Profesiones estan alineadas para ser Auditor SAP
ResponderEliminarEl URL http://www.slideshare.net/pdhernandez/presentacion-audit-information-systems-sap-ais ya no funciona
ResponderEliminarMuestra el mensaje
This uploaded file has been marked private by the author. Sorry!
no me deja abrir el link que paso?
ResponderEliminarYo puedo sin problemas. Debe ser problema de tu equipo. Saludos
EliminarExcelente post Pedro, por experiencia, sin estos accesos, no podríamos hacer una auditoría con resultados certeros, esto debe complementarse con el conocimiento del negocio (de acuerdo al ciclo al que apuntamos) y una potente metodología para generar un buen plan de auditoría.
ResponderEliminar