Uno de los secretos mejor guardados dentro de los sistemas SAP es el Sistema de Información de Auditoría (AIS).
Suministrado como parte estándar de SAP S/4 HANA, AIS es esencialmente un portal que proporciona un conjunto centralizado de información de auditoría e informes para auditorías de TI y auditorías orientadas a estados financieros. Debido a que agrupa y recopila información relevante para la auditoría en una sola área, AIS proporciona un buen punto de partida para muchas auditorías de SAP S/4HANA. A pesar de nuestra profunda experiencia (del autor del libro del que proviene esta publicación), usamos regularmente AIS como una verificación de cordura adicional en los procesos que no hemos examinado recientemente para asegurarnos de que no nos hemos perdido nada significativo.
La funcionalidad AIS ha sido parte del sistema Basis durante décadas. Nos han dicho que AIS fue desarrollado por SAP en respuesta a las solicitudes de empresas de auditoría externa de una herramienta capaz de encontrar, evaluar y descargar fácilmente información del sistema SAP. En los primeros días, si bien AIS permitía algunos informes directos de SAP, se usaba principalmente para descargar datos en archivos planos para su análisis con herramientas de auditoría especializadas.
Durante muchos años después de su introducción, AIS parecía ser una herramienta utilizada principalmente por las grandes empresas de contabilidad pública; muchas organizaciones ni siquiera sabían que ya formaba parte de sus sistemas SAP. Alrededor de la introducción de SAP NetWeaver a principios de la década de 2000, AIS se sometió a una revisión bastante significativa. SAP introdujo un conjunto de funciones de seguridad centradas en la auditoría que proporcionaban acceso a las funciones de AIS a través del menú del usuario. Algunos de los informes se limpiaron y los nuevos roles de auditoría permitieron restringir el acceso a los datos de una manera que se alinea más estrechamente con las responsabilidades del auditor. Lamentablemente, AIS no se ha mantenido desde esa actualización y, de hecho, nos sorprendió ver que aún está disponible en SAP S/4HANA. Habiendo dicho eso, si bien gran parte de AIS está desactualizado, todavía hay componentes clave que pueden proporcionar un gran valor hoy en día, particularmente para aquellos auditores de TI nuevos en la auditoría de SAP S/4HANA.
Explicaremos cómo acceder, navegar y usar AIS en las siguientes secciones.
En las primeras versiones de SAP, usaba Transaction SECR para acceder a AIS. Después de la revisión de AIS a principios de la década de 2000, ahora puede obtener la funcionalidad de AIS a través de una serie de roles predefinidos dentro de SAP S/4HANA. Puede encontrar fácilmente estos roles buscando roles con el prefijo «SAP_AUDITOR». Un rol de seguridad compuesto, SAP_AUDITOR, otorga acceso a toda la funcionalidad de AIS, y varias docenas de roles individuales (que generalmente consisten en un rol que contiene solo el menú de usuario y un rol separado que contiene las autorizaciones relacionadas) segregan la funcionalidad de AIS en un nivel más granular. La siguiente figura muestra un subconjunto de estos roles específicos de AIS.
Cuando se crearon los roles AIS originales, SAP pretendía que permitieran al auditor autoservicio y administrar ciertas configuraciones de AIS (principalmente relacionadas con el alcance de la auditoría anual) por su cuenta. Como tal, algunas autorizaciones dentro de AIS permiten más que simplemente mostrar el acceso. La mayoría de las organizaciones eligen que el equipo básico administre AIS y, por lo tanto, los roles de AIS (en lugar de otorgarlos sin cambios) generalmente se copian en el espacio de nombres de la organización y se actualizan las autorizaciones. Afortunadamente, es fácil encontrar los roles que necesitan actualizarse consultando la tabla AGR_1251filtrado por el SAP_AUDITOR* roles que tienen ACTVT valores de campo de 01, 02 o 06. Una gran población de estos problemas se puede eliminar simplemente eliminando el SAP_AUDITOR_ADMIN_A papel único de la SAP_AUDITOR compuesto.
Como se mencionó anteriormente, SAP no ha actualizado los roles de AIS en bastante tiempo, por lo que requerirán algo de trabajo (principalmente para agregar transacciones que no existían en el momento en que se actualizó AIS por última vez, lo que incluiría cualquier transacción relevante para auditoría introducida). por SAP S/4HANA). Típicamente, el SAP_AUDITOR* los roles se copiarían en un Z_ SAP_AUDITOR* (o un conjunto similar de roles siguiendo las convenciones de nomenclatura de la organización), y se realizarían actualizaciones a estos roles personalizados. Tenga en cuenta que, si bien algunos administradores de seguridad pueden argumentar que las funciones de auditoría deben crearse desde cero en función de la necesidad de auditoría, y en teoría estamos de acuerdo, a menudo encontramos que se presta poca atención al diseño de funciones de auditoría adecuadas durante la implementación y, por lo tanto, los auditores por lo general, no tienen un rol diseñado correctamente en el momento en que intentan su primera auditoría de SAP S/4HANA. Creemos que el SAP_AUDITOR los roles brindan el mejor punto de partida (con las modificaciones adecuadas, como hemos comentado) y, por lo tanto, son la forma más fácil de obtener el acceso que necesita para comenzar con sus procedimientos de auditoría.
Fundamentalmente, AIS segrega la información de auditoría en dos categorías principales: una auditoría del sistema y una auditoría comercial. La auditoría del sistema se ocupa principalmente de la configuración, la seguridad, los transportes y otros detalles de SAP S/4HANA Basis tradicionalmente asociados con una auditoría de TI. Las secciones de auditoría empresarial están orientadas principalmente a entornos e informes relevantes para una auditoría de estados financieros. Muchos departamentos de auditoría históricamente han segregado las auditorías técnicas de TI de las auditorías financieras u operativas, aunque en estos días no es raro tener una auditoría integrada, realizada por un auditor individual o un equipo, que cubre todos los aspectos.
Una vez que se le haya asignado una función AIS adecuada, puede comenzar a navegar por AIS a través del menú de usuario, como se muestra en la siguiente figura. En este ejemplo, el usuario tiene acceso a todo el AIS a través de una copia del rol compuesto SAP_AUDITOR. Si se hubiera otorgado un rol único en lugar del rol compuesto, como SAP_AUDITOR_BA_EC_CSsolo se les permitiría ver partes relevantes del menú.
AIS realmente no proporciona ninguna funcionalidad nueva. Por lo general, se puede acceder a cada uno de los programas, transacciones e informes disponibles en AIS a través de otras áreas del sistema y posiblemente se pueden otorgar sin usar AIS como punto de partida. La principal ventaja de AIS es que consolida estas funciones en un solo lugar y organiza las opciones de manera lógica para la mayoría de los auditores. Como tal, es una excelente referencia para ayudar a planificar una auditoría y asegurarse de que su programa de auditoría utilice transacciones e informes adecuados.
Por ejemplo, la siguiente figura muestra el menú AIS ampliado para mostrar algunas de las opciones. Un auditor de TI que planifique una auditoría del proceso de control de cambios y desarrollo del sistema podría encontrar las transacciones en el Herramientas carpeta de la Red de transporte sección de la Auditoría del sistema AIS ser particularmente útil. Es posible que el auditor esté familiarizado con Transaction STMS y el sistema de transporte en general, pero puede no haber tenido conocimiento de estas transacciones utilizadas para buscar solicitudes de transporte de diferentes características.
Como se mencionó, uno de los mejores usos de AIS es ayudar a conocer las transacciones o informes que podrían ser útiles para su auditoría. De hecho, si prestas mucha atención a la figura anterior, notarás un Los 10 mejores informes de seguridad carpeta. Hay otras 10 carpetas principales en todo el menú AIS, y además de la seguridad:
Tenga en cuenta que actualmente hay otros informes más nuevos en SAP S/4HANA que reemplazan algunos de los informes enumerados en AIS, pero un punto de partida un poco desactualizado es mejor que ningún punto de partida.
Si su equipo de seguridad quiere hacer una revisión más exhaustiva de lo que otorga AIS y, por lo tanto, duda en darle acceso de inmediato, puede haber un compromiso que le permita el beneficio de navegar por el menú AIS (algo que hemos discutido como uno de los mayores valores de AIS), sin el riesgo de que pueda hacer algo que no han examinado completamente. SAP creó los roles AIS de una manera interesante. Específicamente, la mayoría de los roles individuales se han dividido en dos partes: un rol que contiene solo el menú (pero no autorizaciones para el contenido del menú) y un rol que contiene solo las autorizaciones. Por lo tanto, si se le otorgan las funciones del menú AIS pero no las funciones de autorización, puede navegar por el menú, buscar transacciones que desee incluir en su auditoría y solicitarlas por separado mientras se evalúa la función AIS completa. Con referencia a la primera figura de esta publicación, en los casos en que los nombres de roles individuales son los mismos, excepto por un sufijo *_A, aquellos con el sufijo *_A contienen las autorizaciones y aquellos que no contienen el menú.
Dado que SAP ya no invierte en AIS, queremos ser realistas sobre su uso. Más allá de usar los menús de AIS para ayudar a identificar transacciones útiles, la mayoría de los auditores financieros u operativos probablemente encontrarán un valor limitado (los auditores de TI encontrarán un valor mucho mayor y por las razones que discutiremos en el siguiente párrafo). Debido a que SAP S/4HANA ha introducido tantas características nuevas o modificadas, particularmente relacionadas con la diario universalel Libro mayor de materialesy integración de socios comercialesmuchos de los informes enumerados en el AIS Auditoría empresarial han sido reemplazadas por otras mejores en SAP S/4HANA.
Para aquellos de ustedes en organizaciones que todavía están funcionando ERP de SAP o incluso SAP R/3, AIS tiene más uso para una auditoría financiera u operativa al eliminar la necesidad de ingresar continuamente parámetros de informe consistentes con el alcance de su auditoría. Muchos de los informes financieros de AIS son una variación de los informes estándar de SAP que llaman a una variante que usted define una vez, que luego ejecuta esos informes con el alcance de su auditoría (p. ej., códigos de empresa, rangos de números de factura, año de informe, período de corte, etc.). Se puede acceder a esta variante y otros procedimientos de configuración sencillos a través de Menú AIS > Administración AIS > Trabajo Preparatorio (Auditoria Empresarial) > Variable de selección.
Los auditores de TI que operan en entornos SAP S/4HANA encontrarán que AIS es útil más allá de la información que se puede obtener del menú AIS. La mayoría de las transacciones en el Menú AIS > Auditoría del sistema carpeta siguen siendo relevantes hoy en día. Esto se debe a que muchos de los principales riesgos relacionados con la auditoría de TI asociados con el sistema Basis todavía existen en SAP S/4HANA. Al igual que nuestra discusión anterior, aún deberá incluir los riesgos específicos de SAP S/4HANA que no estarían en AIS ya que se introdujeron después de la última versión importante de AIS. Sin embargo, a pesar de sus debilidades, AIS sigue siendo una herramienta poderosa y un gran punto de partida para una auditoría de SAP S/4HANA.
Nota del editor: esta publicación ha sido adaptada de una sección del Auditoría SAP S/4HANA por Steve Biskie.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073