Algunos se preguntan ¿Qué es SAP
AIS? sobre todo auditores que se ven enfrentados a tener que auditar procesos
de negocio donde el sistema SAP ERP pasa a ser clave en el flujo de información
o en los "Input, Process & Output" que fluyen en forma sistemática
en esos procesos, pero para entender bien qué es realmente esta funcionalidad
que posee el sistema SAP, a continuación les comentaré algunos tips y buenas
noticias que de seguro les ayudará a comprender mejor esta funcionalidad.
SAP Audit Information System (en
sus siglas en inglés AIS) es una funcionalidad de auditoría que le
permite evaluar los procesos implementados en SAP ERP, pudiendo ser utilizada
con mucho énfasis en los procesos "BackOffice", es decir, procesos
asociados a los módulos FI-CO-MM-SD-HR y procesos tecnológicos asociados al
aplicativo que se implementan en el módulo BC (Basis Components) de SAP, por lo
que puede ser utilizada tanto por auditores de sistemas como de procesos,
debido a la gran cantidad de variadas funcionalidades que ofrece, tales
como para auditar:
Ámbito Auditoría de Sistemas ==>
- Configuración de bases de
datos.
- Configuración de sistema
operativo.
- Configuración de parámetros de
seguridad de accesos.
- Rendimiento del sistema
"performance".
- Procesos de fondo.
- Seguridad de roles y perfiles
de usuario (incluida una herramienta de análisis de segregación de funciones
SoD) a la cual se le puede incorporar reglas SoD.
- Monitoreo de ejecución de
transacciones en línea e históricas.
- Activación de log de auditoría
para el tracking de información de ciertos usuarios.
- Trace de seguridad de usuarios
y autorizaciones.
- Auditoría de tablas y
diccionario de datos.
- Auditoría a los programas ABAP
y control de cambios (desarrollos Z).
- Etc...
Ámbito Auditoría de
Procesos ==>
- Revisión de controles
configurados o automáticos de los procesos de negocio. Ejemplo: límites de
tolerancia en la gestión de stock de materiales o para desviaciones entre
pedidos de compra y facturas de proveedor.
- Revisión de reportes de
excepción relacionados con chequeos de consistencia de los flujos de
información de procesos.
- Revisión de reportes de gastos
y aprobaciones de los mismos.
- Revisión de movimientos de
activos fijos.
- Revisión de ajustes de inventarios.
- Revisión de transacciones
inusuales con indicios de fraude.
- Revisión de la segregación
funcional de los privilegios otorgados a los usuarios de los procesos por medio
de roles y perfiles.
- Revisión de ajustes de
inventario y desviaciones del físico versus el teórico.
- Revisión de las propuestas de
pago masivo a proveedores.
- Revisión de aspectos
tributarios.
- Etc...
Estos ejemplos, representan
algunas de las herramientas que SAP AIS le ofrece al auditor para que pueda
desarrollar auditorías independientes y obtener la información desde la fuente
de origen, pensando en el "escepticismo profesional" y en la mitigación
de los riesgos de detección y auditoría.
Con la funcionalidad SAP AIS, los
auditores podrán realizar auditorías tanto para la ejecución de pruebas de
cumplimento o sustantivas en el ámbito de sistemas de información o de procesos
de negocio.
Las ventajas que ofrece el uso de
SAP AIS para los auditores:
- Funcionalidad es parte de SAP
ERP, por lo que no se compra por separado.
- Podrá ser utilizado por
auditores externos, internos (sistemas / procesos) y oficial de seguridad de la
información CISO.
- El uso de SAP AIS no depende
del área de sistemas de la empresa, por lo que el auditor podrá utilizarla y
obtener información cuando quiera.
- Los reportes que posee SAP AIS
son bastante intuitivos y con la misma interfaz gráfica de usuario que ofrece
SAP ERP. Salvo que se trate de reportes relativos al módulos BC que es
tecnológico y el análisis e interpretación de los resultados debe ser revisado
por un auditor de sistemas y/u oficial de seguridad de la información.
Algunas consideraciones
importantes:
- SAP AIS si bien es una
funcionalidad propia de SAP ERP, debe ser configurado por un equipo de
especialistas con expertise en SAP AIS, antes de ser utilizado por los usuarios
finales (auditores, seguridad de la información, etc.)
- Los usuarios finales de SAP AIS
deben entrenarse antes de utilizar sus funcionalidades.
- Se debe acotar el uso de
herramientas a utilizar y es recomendable partir por las más esenciales y poco
a poco ir sumando otras más específicas. Esto en materia de ejecución de
reportes estándar que ofrece SAP AIS.
- El área de TI también debe ser
entrenada en SAP AIS, a fin de que pueda cubrir los requerimientos posterior a
la configuración y go live (salida a productivo de SAP AIS)
- La ejecución de log de
auditoría debe ser coordinado con las áreas de TI, a fin de definir un
almacenamiento masivo de información de log práctico, certero y eventualmente
apoyado con un dispositivo de almacenamiento externo.
- No es recomendable hacer log
masivos y se debe acotar con la ayuda de especialistas tecnológicos o
especialistas en SAP AIS.
- Se debe auditar los ambientes
Desarrollo, Prueba y Productivo, por lo que SAP AIS debe estar activado en los
3 ambientes de SAP ERP.
- La obtención masiva de
información de tablas se debe hacer con mucho cuidado para no mermar el
performance de SAP ERP. Se recomienda obtener información masiva en
procesos de fondo. (Tablas con más de 100.000 registros)
Algunos auditores me han
comentado que cuando le piden al área de TI la configuración de SAP AIS para
ser utilizado en las auditorías de proceso o sistemas, por desconocimiento se
le responde: "no se puede porque merma el performance, hay que comprar el
módulo y no fue presupuestado, no es parte del alcance de la implementación SAP
y no se puede usar, están prohibidos los log de auditoría, etc." Muchas de
estas respuestas son por desconocimiento, ya que ni siquiera la gran mayoría de
los implementadores de SAP ERP saben configurar SAP AIS o no saben de su
existencia y es por eso que el uso que se le da a esta funcionalidad es muy
limitado o nulo.
Por último, se debe tener
presente que SAP AIS se complementa muy bien con las Computer-assisted audit
techniques (en sus siglas en inglés CAATs) ACL, IDEA, ACCESS, etc., para la
obtención de tablas que serán utilizadas para ejecución de pruebas sustantivas
o analíticas y/o procedimientos de detección de fraudes, pero una no reemplaza
a la otra.
Para más información me pueden
escribir a: pdhernandez@deloitte.com
