Implementación de ERP desde la perspectiva de Auditoría Interna

Transcripción

1 Implementación de ERP desde la perspectiva de Auditoría Interna Ideas desde experiencias SAP en Uruguay Cr. Gabriel Budiño, MSI

2 Algunos clientes SAP en Uruguay

3 Metodología ASAP *No hay pruebas piloto, ni etapa de paralelo

4 Participación en Equipo de Proyecto Por qué involucrar a los auditores internos? Conocimiento de los procesos Visión integradora (sistémica) Puntos de Control Segregación de Funciones Roles de Usuarios Roles de Equipo de Sistemas

5 Realidad de Proyectos en Uruguay Proyectos de presupuesto reducido: o Sin gestión del cambio o Recorte en área Basis / Roles o Testing minimizado o Sin Audit Information System (AIS) Proyectos sin HR (impacto en roles) Proyectos sin PMP

6 Algunas Recomendaciones Protagonismo Tomar el Control Proyecto Auditoría (metas propias) Testing, Testing, Testing Verificar roles: generalmente se prueba poder hacer, pero se omite probar no poder Implementar AIS

7 SAP Security Solution Map

8 Programa de Formación en Auditoría Target Audience: Auditores del proceso de negocios, áreas de Finanzas y Contabilidad que son responsables del control, mejora y diseño del proceso de control. Requerimientos previos: Conocimientos de auditoría. Objetivos de cada Módulo: 1) Funcional: Incorporar los conocimientos básicos relacionados con tareas administrativas del sistema, necesarios para el auditor de sistemas. 2) Técnico: Utilizar las herramientas de auditoría de SAP para conducir y estructurar los mecanismos de monitoreo de seguridad.

9 Cursos SAP para Auditores Contenidos: El primero incluye parte de los cursos SAPTEC (visión general), ADM100 (bases de administración) y ADM940 (Autorizaciones), complementado con una idea general de las funcionalidades de los principales módulos (FI, CO, MM, SD). En el segundo módulo se incorpora parte del contenido de los cursos ADM950 (Audit Information System) y ADM960 (Seguridad). Es requerimiento previo para este segundo módulo, haber cursado el primero o tener conocimientos equivalentes por la experiencia en el uso de SAP.

10 Contenido de cursos SAP para Auditoría (1/4) SAPTEC mysap Technology: Visión General / Explicar la arquitectura, procesos y alcance de la tecnología mysap / Explicar y demostrar sistemas efectivos de navegación en los sistemas / Introducción a la tecnología mysap / Definición de la tecnología mysap / Navegación / Logon y elementos de pantalla / Acceso a las funciones del sistema / Tipos de procesos de trabajo y sus usos / El entorno de desarrollo SAP / Transporte entre los distintos sistemas SAP / Migración de datos / Introducción a la administración SAP / Tareas diarias en la administración de sistemas / SAP Service Marketplace. ADM100 mysap Technology Administration: Configuración del sistema / Configuración de tareas automatizadas en bases de datos, por ejemplo, calendarización de respaldos / Transportes en sistemas SAP / Aplicar patches, add-ons, plug- ins y notas SAP / Calendarización de tareas en fondo / Definición de integración de impresoras / Tareas básicas en el manejo de usuarios / Fundamentos del sistema de seguridad / Trabajando con monitores del sistema / SAP Solution Manager / Utilizar diversas funciones de ayuda

11 Contenido de cursos SAP para Auditoría (2/4) ADM940 SAP R/3 Autorizaciones: Elementos, estrategias y herramientas de los conceptos de seguridad de R/3 / Gestionan los usuarios y sus autorizaciones mediante el Generador de perfiles / Elementos de los conceptos de seguridad de R/3 / Registro maestro de usuario / Definición de los grupos de actividades con el Herramientas de análisis para el monitoreo del desempeño / Elementos de los conceptos de seguridad de R/3 / Registro maestro de usuario / Definición de los grupos de actividades con el generador de perfiles / Grupo de actividades / Grupo de actividades derivados y grupos de actividades complejos / Máscaras de edición y ejemplos de puestos de trabajo predefinidos / Autorizaciones con período de validez / Integración en la estructura organizativa / Instalación del generador de perfiles / Gestión centralizada de usuarios / Control de acceso y administración de los usuarios / Funciones de análisis y de información / Objetos de autorización particulares / Transferencia de componentes de autorización.

12 Contenido de cursos SAP para Auditoría (3/4) ADM950 Secure SAP System management: Identificar y proteger los datos sensibles / Uso del SAP Audit Information System para estructurar y conducirse a través de los controles de seguridad y configurar los mecanismos de monitoreo de seguridad / Configurar las herramientas de mantenimiento de roles y perfiles de autorización / Administración el cambio con mecanismos de seguridad en la entrada en productivo y proteger del uso erróneo con herramientas del sistema / Introducción y descripción general /Configuración y uso del SAP Audit Information System / Configuración y uso de herramientas de auditoría, logging, y tracing provistas por SAP / Monitoreo y protección de acceso y transacciones, tablas y programas / Configurar roles de seguridad y mantenimiento de autorizaciones / Asegurar el proceso de administración del cambio / Monitoring and protecting accesses and transactions, tables, and programs / Administración del sistema de seguridad / Autorizaciones críticas, combinaciones de autorizaciones y grupos.

13 Contenido de cursos SAP para Auditoría (4/4) ADM960 Seguridad en Sistema SAP: Fundamentos y objetivos de la seguridad del sistema / Autentificación, encriptación / Fundamentos de redes / Comunicación, TCP/IP, puertos, enrutamiento (routing), firewalls, proxies, SAPRouter / Seguridad en SAP R/3 / Autentificación, passwords / Detección de intrusión empleando auditoría / Single Sign- On / Colaboración- Seguridad de red / DMZ, detección de intrusos, seguridad de aplicación: firmas digitales INVENZIS Uruguay

14 Formación mixta

15 Cr. Gabriel Budiño, MSI Gerente Proyectos IX Jornadas Rioplatenses de Auditoría Interna Montevideo, Setiembre 2013