14/10/2014 Governance, Risk & Compliance (GRC): ¿Qué es SAP Audit Information System (SAP AIS)?

)? ¿Por qué los auditores no usan esta funcionalid…

2 Más Siguiente blog» Crear un blog Acceder

Blog de Pedro Hernández, destinado a compartir prácticas y experiencias de gobernabilidad corporativa,

gestión de riesgos y cumplimiento (GRC).

domingo, 1 de junio de 2014 Páginas vistas en total

¿Qué es SAP Audit Information System (SAP AIS)? ¿Por 42547

qué los auditores no usan esta funcionalidad?
Translate
Algunos se preguntan ¿Qué es SAP AIS? sobre todo auditores que se ven
Seleccionar idioma
enfrentados a tener que auditar procesos de negocio donde el sistema SAP ERP
Con la tecnología de Traductor
pasa a ser clave en el flujo de información o en los "Input, Process & Output" que
fluyen en forma sistemática en esos procesos, pero para entender bien qué es
Governance, Risk & Compliance (GRC)
realmente esta funcionalidad que posee el sistema SAP, a continuación les
comentaré algunos tips y buenas noticias que de seguro les ayudará a comprender
mejor esta funcionalidad.

SAP Audit Information System (en sus siglas en inglés AIS) es una funcionalidad
de auditoría que le permite evaluar los procesos implementados en SAP ERP,
pudiendo ser utilizada con mucho énfasis en los procesos "BackOffice", es decir,
procesos asociados a los módulos FI-CO-MM-SD-HR y procesos tecnológicos
asociados al aplicativo que se implementan en el módulo BC (Basis Components)
de SAP, por lo que puede ser utilizada tanto por auditores de sistemas como de
procesos, debido a la gran cantidad de variadas funcionalidades que ofrece, tales Pedro Hernández, CGEIT, CRISC
como para auditar:
LinkedIn
Ámbito Auditoría de Sistemas ==>

- Configuración de bases de datos.

- Configuración de sistema operativo.
Twitter
- Configuración de parámetros de seguridad de accesos.
- Rendimiento del sistema "performance".
- Procesos de fondo.
- Seguridad de roles y perfiles de usuario (incluida una herramienta de análisis de
segregación de funciones SoD) a la cual se le puede incorporar reglas SoD.
- Monitoreo de ejecución de transacciones en línea e históricas.
- Activación de log de auditoría para el tracking de información de ciertos usuarios.
- Trace de seguridad de usuarios y autorizaciones.
- Auditoría de tablas y diccionario de datos.
- Auditoría a los programas ABAP y control de cambios (desarrollos Z).
- Etc...

Ámbito Auditoría de Procesos ==>

- Revisión de controles configurados o automáticos de los procesos de negocio.

Ejemplo: límites de tolerancia en la gestión de stock de materiales o para
desviaciones entre pedidos de compra y facturas de proveedor.
- Revisión de reportes de excepción relacionados con chequeos de consistencia de
los flujos de información de procesos.
- Revisión de reportes de gastos y aprobaciones de los mismos.
- Revisión de movimientos de activos fijos.

http://grcchile.blogspot.com/2014/06/que-es-sap-audit-information-system-sap.html 1/3
14/10/2014 Governance, Risk & Compliance (GRC): ¿Qué es SAP Audit Information System (SAP AIS)? ¿Por qué los auditores no usan esta funcionalid…
- Revisión de ajustes de inventarios.
Tweets Follow
- Revisión de transacciones inusuales con indicios de fraude.
- Revisión de la segregación funcional de los privilegios otorgados a los usuarios de Pedro 14h
Hernández
los procesos por medio de roles y perfiles.
@pdhernandezf
- Revisión de ajustes de inventario y desviaciones del físico versus el teórico.
Muy mal @chilevision al
- Revisión de las propuestas de pago masivo a proveedores. repetir el primer caso
- Revisión de aspectos tributarios. policial de #AlertaMáxima
- Etc... innecesario !
Expand

Estos ejemplos, representan algunas de las herramientas que SAP AIS le ofrece al Pedro 15h
auditor para que pueda desarrollar auditorías independientes y obtener la Hernández
información desde la fuente de origen, pensando en el "escepticismo profesional" y @pdhernandezf
Que manera de correr
en la mitigación de los riesgos de detección y auditoría.
peligro el carabinero en la
población ... Centauro son
Con la funcionalidad SAP AIS, los auditores podrán realizar auditorías tanto para la unos cracks!
ejecución de pruebas de cumplimento o sustantivas en el ámbito de sistemas de #AlertaMáxima #fb

información o de procesos de negocio. Expand

Pedro 12 Oct
Las ventajas que ofrece el uso de SAP AIS para los auditores: Hernández
@pdhernandezf
- Funcionalidad es parte de SAP ERP, por lo que no se compra por separado. Evo Morales reelecto con
- Podrá ser utilizado por auditores externos, internos (sistemas / procesos) y oficial cerca de 60% de
preferencias y con
de seguridad de la información CISO. mayoría absoluta en
- El uso de SAP AIS no depende del área de sistemas de la empresa, por lo que el congreso boliviano, por lo
auditor podrá utilizarla y obtener información cuando quiera. q podrá avanzar con sus
proyectos
- Los reportes que posee SAP AIS son bastante intuitivos y con la misma interfaz
gráfica de usuario que ofrece SAP ERP. Salvo que se trate de reportes relativos al
módulos BC que es tecnológico y el análisis e interpretación de los resultados debe Pedro 12 Oct

ser revisado por un auditor de sistemas y/u oficial de seguridad de la información. Tweet to @pdhernandezf

Algunas consideraciones importantes:

Entradas populares
- SAP AIS si bien es una funcionalidad propia de SAP ERP, debe ser configurado
por un equipo de especialistas con expertise en SAP AIS, antes de ser utilizado por Las 6 herramientas que el auditor SAP debe
dominar
los usuarios finales (auditores, seguridad de la información, etc.)
Actualmente un número importante de
- Los usuarios finales de SAP AIS deben entrenarse antes de utilizar sus empresas de gran tamaño y de diversas
funcionalidades. industrias, han implementado el sistema
ERP SAP en todo el mundo,...
- Se debe acotar el uso de herramientas a utilizar y es recomendable partir por las
más esenciales y poco a poco ir sumando otras más específicas. Esto en materia Gestión de Roles y Perfiles de Usuarios en
SAP - 12 Lecciones claves aprendidas a
de ejecución de reportes estándar que ofrece SAP AIS. partir de las implementaciones de SAP
- El área de TI también debe ser entrenada en SAP AIS, a fin de que pueda cubrir Es más óptimo administrar roles por
los requerimientos posterior a la configuración y go live (salida a productivo de SAP función de negocio que roles hechos a la
medida del usuario (se debe aplicar una
AIS) lógica alineada con el ...
- La ejecución de log de auditoría debe ser coordinado con las áreas de TI, a fin de
Funciones SAP GRC Access Control "La
definir un almacenamiento masivo de información de log práctico, certero y forma segura de otorgarprivilegios en SAP"
eventualmente apoyado con un dispositivo de almacenamiento externo. ¿Qué son las funciones SAP GRC Access
Control? La solución SAP GRC Access
- No es recomendable hacer log masivos y se debe acotar con la ayuda de Control, no solamente nos sirve para hacer
especialistas tecnológicos o especialistas en SAP AIS. análisis de riesgos ...
- Se debe auditar los ambientes Desarrollo, Prueba y Productivo, por lo que SAP
Monitoreo Continuo "el fin de la auditoría
AIS debe estar activado en los 3 ambientes de SAP ERP. interna ex-post"
- La obtención masiva de información de tablas se debe hacer con mucho cuidado Desde hace un tiempo se habla del
concepto de "monitoreo continuo" o (CM
para no mermar el performance de SAP ERP. Se recomienda obtener información Continuous Monitoring en sus siglas en
masiva en procesos de fondo. (Tablas con más de 100.000 registros) inglés) tanto en l...

Tips de buenas prácticas en control de

Algunos auditores me han comentado que cuando le piden al área de TI la cambios para SAP R/3
configuración de SAP AIS para ser utilizado en las auditorías de proceso o A continuación comparto algunos tips de
buenas prácticas en control de cambio: ·
sistemas, por desconocimiento se le responde: "no se puede porque merma el Los cambios en las
performance, hay que comprar el módulo y no fue presupuestado, no es parte del organizaciones qu...
alcance de la implementación SAP y no se puede usar, están prohibidos los log de
Seguridad en el uso de ABAP Query en SAP
auditoría, etc." Muchas de estas respuestas son por desconocimiento, ya que ni Uno de los típicos dolores de cabeza en las
siquiera la gran mayoría de los implementadores de SAP ERP saben configurar empresas que poseen implementado un
ERP como SAP, está asociado a la seguridad

http://grcchile.blogspot.com/2014/06/que-es-sap-audit-information-system-sap.html 2/3
14/10/2014 Governance, Risk & Compliance (GRC): ¿Qué es SAP Audit Information System (SAP AIS)? ¿Por qué los auditores no usan esta funcionalid…
SAP AIS o no saben de su existencia y es por eso que el uso que se le da a esta de las consultas ...

funcionalidad es muy limitado o nulo. Trace de autorizaciones por medio de la

transacción ST01 - una muy buena
Por último, se debe tener presente que SAP AIS se complementa muy bien con las herramienta para auditores y
administradores de seguridad SAP
Computer-assisted audit techniques (en sus siglas en inglés CAATs) ACL, IDEA, Esta herramienta posee características que
ACCESS, etc., para la obtención de tablas que serán utilizadas para ejecución de la hace ser una de las más importantes
para auditar y obtener evidencia de
pruebas sustantivas o analíticas y/o procedimientos de detección de fraudes, pero accesos de los usuari...
una no reemplaza a la otra.
Solución SAP GRC Access Control:
Beneficios de hacer upgrade desde
versiones 5.2, 5.3 a la última versión 10.0
Para más información me pueden escribir a: [email protected] Desde hace un tiempo, SAP liberó la
versión 10.0 de la solución SAP GRC Access
Control y entre los beneficios que hemos
Publicado por Pedro Hernández en 9:57 podido identificar,...

+2 Recomendar esto en Google

6 lecciones aprendidas de
Etiquetas: #AuditoríaSAP implementaciones de reglas automáticas
de monitoreo continuo en SAP GRC Process
Control
Ya muchas empresas durante el 2013
ejecutaron proyectos de implementación
No hay comentarios: de modelos de monitoreo continuo a través
de la solución SAP GRC...

Publicar un comentario en la entrada ¿Qué hay de nuevo con SAP Business

Objects Governance, Risk & Compliance
(GRC) versión 10.0?
A continuación van algunos tips en relación
a este tema: - Lo primero que debemos
Introduce tu comentario... saber es que este cambio de versión aplica
para todos p...

Archivo del blog

Comentar como: Cuenta de Google
▼ 2014 (3)
► septiembre (1)

Publicar Vista previa ▼ junio (1)

¿Qué es SAP Audit Information System
(SAP AIS)? ¿P...

► enero (1)

► 2013 (4)
Entrada más reciente Página principal Entrada antigua
► 2012 (11)
Suscribirse a: Enviar comentarios (Atom)
► 2011 (4)
► 2010 (13)

©2014 - by Pedro Hernández . Plantilla Simple. Con la tecnología de Blogger.

http://grcchile.blogspot.com/2014/06/que-es-sap-audit-information-system-sap.html 3/3