Curso de Auditoria Basico (Version I) - Dia 1

Capacitación
Auditoría SAP
nivel básico
Versión I
Risk Consulting | Security & Privacy | Application Integrity

Mayo, 2012
Agenda General
# Contenido Día Inicio Fin Relator
Introducción a ERP SAP y Herramientas Silvana

1 Día 1 9:00 13:00
para Auditoria (AIS) Palacios
2 Visión General de la Auditoria SAP Día 2 9:00 13:00 Gina Yañez
Auditoria de Procesos de Negocios en Maria Esther

3 SAP
Día 3 9:00 13:00
Soto
4 Auditoria del Componente Basis Día 4 9:00 13:00 Moises Daza
5 Aplicación de Herramientas de Auditoria Día 5 9:00 13:00 Rubén Araneda
2 © 2012 Deloitte
Día 1
Introducción a SAP
3 © 2012 Deloitte
Agenda
Agenda
# Contenido Inicio Fin
1 Bienvenida y Presentación 9:00 9:15
2 Conceptos básicos de SAP 9:15 9:45
3 Procesos de negocios en SAP 9:45 10:10
4 Modelo Organizacional 10:10 10:30
5 Coffe Break 10:30 10:45
6 Herramienta de Auditoria (AIS) 10:45 12:00
7 Ejercicios 12:15 13:00
4 © 2012 Deloitte
Objetivos
Comprender el concepto del ERP SAP 6.0 y conocer las distintas

funcionalidades que este sistema posee, las cuales se traducen en
módulos que interactúan de forma integrada para el procesamiento de
las transacciones de negocio bajo una jerarquía organizacional.
Comprender los ámbitos que cubre el Basis Component de SAP y la

importancia que el mismo tiene dentro de un modelo integrado de
seguridad.
Enfocar la seguridad de las aplicaciones como un todo, bajo el punto

de vista de un modelo integrado de seguridad.
5 © 2012 Deloitte
Conceptos
Hoja divisoria
básicos
– Times
de SAP
New Roman desde 52pt
6 Footer
© 2012 Deloitte
Conceptosbásicos
Conceptos básicosdede SAP
SAP
¿Qué
¿Qué es
es SAP?
SAP 6.0?
ERP: Enterprise Resource Planning
Sistema de planificación integrada de los recursos de una

empresa, incluye todos los aspectos y medios tecnológicos
para hacer más eficiente la gestión de las organizaciones.
SAP: Systems Applications and Products
• El sistema realiza un procesamiento en tiempo real y arquitectura

de proceso es la siguiente:
• Capa 1: Bases de datos

• Capa 2: Servidor de aplicaciones
• Capa 3: Cliente
7 © 2012 Deloitte
Conceptos básicos de SAP
¿Qué es SAP?
Arquitectura Cliente / Servidor multi-nivel.
Base (Middleware) soporta tecnología de sistemas abiertos.
Business Framework Architecture, abierta a integración total

con otros componentes y aplicaciones.
Interfaz de usuario homogénea entre aplicaciones.
Ambiente de desarrollo de fácil comprensión.
Integración total entre aplicaciones.
Amplio rango de servicios.
8 © 2012 Deloitte
¿Qué es SAP?
Capa 1 BD Principal
Capa de Base de Datos
Datos para Información

ver o cambiar validada por
el usuario
Capa 2
Buffer BD Buffer BD
Capa de Aplicación
Información Información Información Información

de salida de entrada de entrada de salida
para el desde el usuario desde el para el
usuario usuario usuario
Capa 3
Capa de Presentación
9 © 2012 Deloitte
Módulos de SAP
SD FI
Sales & Financial
Distribution Accounting
MM CO
Materials
Mgmt. Controlling
PP AM
6.0
Production Fixed Assets
Planning Mgmt.
QM Cliente/ Servidor PS
Quality Project
Manage-ment System
PM
ABAP/4
WF
Plant Main-tenance
BC Workflow
HR IS
Human Industry
Resources Solutions
10 © 2011 Deloitte
Módulos de SAP
• ABAP/4 Development Workbench

• Computer Center Management System
• Sistema de Transportes
BC • Administración de la Base de Datos
• Administración de Seguridad
Componente Basis ……..
11 © 2012 Deloitte
Módulos de SAP
Importancia de Auditoria:
 Permite realizar un monitoreo y

registro de los cambios realizados a
BC nivel de Workbench y Customizing
 Protección de Mandantes
 Monitoreo de Seguridad del Sistema
 Control y Revisión de Maestros de

usuarios y sus accesos
Componente Basis ……..
12 © 2012 Deloitte
Módulos de SAP
Categoria Funcional – Manejo Contable Financiero:

Aplicaciones Financieras :
FI Finanzas
CO Controlling
EC Controlling Empresarial
FI TR Tesoreria
IM Gestion de Inversiones
• Libro Mayor
• Cuentas por Cobrar
• Cuentas por Pagar
• Reportes Financieros y de Impuestos
• Libros Especiales
• Consolidaciones
•Activos Fijos
Aplicaciones Financieras….
13 © 2012 Deloitte
Módulos de SAP
Esquema de Proceso - Financial Accounting:
Manejo de tipos
de cambio Manejo de
inversiones y
Banco créditos
Sistema de información
Manejo de efectivo
financiera
y proyeccciónes
Cuentas por Cuentas por

pagar Cobrar
Cuentas de bancos
CXP CXC
Libro Mayor
Libros con Propósito Especial
Verificación Manejo de
de facturas Consolidación
Crédito
Asset Accounting
14 © 2012 Deloitte
Módulos de SAP
 Permite realizar un rastreo de las
modificaciones realizados en datos
financieros relevantes para la compañía
 Revisión de consistencia de datos y

FI duplicidad. Además de comparaciones de
datos y registros en el tiempo
 Permite detectar fuga de información y

datos mal utilizados o mal ingresados.
 Registra responsables y fechas de

tratamiento de datos, permitiendo realizar
una revisión en el tiempo de los hechos
Aplicaciones Financieras….
15 © 2012 Deloitte
Módulos de SAP
Categoria Funcional - Manejo Logístico:

Aplicaciones Logísticas :
MM Gestión de Materiales
SD Ventas y Distribución
PP Planificación y Control de Producción
LO PM Mantenimiento de Planta
QM Gestión de Calidad
• Compras • Manejo Ord de Mantenimiento

• Inventarios y Bodegas • Control de Producción y
• Proveedores Capacidad
• Verificación de Facturas • Certificación de Procesos y de
• Manejo de Bodegas Calidad
•Ventas
•Adm de Precios y Descuentos
Aplicaciones Logísticas . . . .
16 © 2012 Deloitte
Módulos de SAP
Esquema de Proceso - Logística:
17 © 2012 Deloitte
Módulos de SAP
modificaciones realizados en datos de
materiales y productos que impactan
sobre los resultados de la compañía
LO  Revisión de modificaciones de maestros

de datos, como clientes, proveedores,
listado de precios, materiales, etc.
 Flujos de aprobación
 Registro en fecha y usuarios de
modificaciones indebidas y manejo de
información
Aplicaciones Logísticas . . . .
18 © 2012 Deloitte
Módulos de SAP
Categoria Funcional – Recursos Humanos:
• Administración de Personal
• Nómina, Beneficios
HR • Manejo del Tiempo

• Planeación y Desarrollo
• Manejo Organizacional
Recursos Humanos. . . . . . . .
19 © 2012 Deloitte
Módulos de SAP
Importancia de Auditoría:
modificaciones realizadas a los datos
maestros de personal, impactando los
resultados y administración de datos de la
compañía
HR  Monitoreo de horas ingresadas, vacaciones,
días libre, etc., que permiten realizar un
análisis de la productividad del personal en
un periodo de tiempo
 Registro de personal existente en la empresa

y su información
 Revisión de beneficios indebidos e ingresos

incorrectos
Recursos Humanos. . . . . . . .
20 © 2012 Deloitte
Módulos de SAP
Categoría Funcional - Industry Solutions IS

Soluciones especializadas por tipo de
industria
IS-Banking Banca
IS IS-Healthcare Hospitales
IS-IS Seguros y Mercado de Divisas
IS-OIL Petroleras
IS-Media: Editoriales y Medios de Comunicación
IS-PS: Administración y Sector Público.
IS-Retail: Distribución y Venta por Menor
Soluciones de Industria. . . . . .
21 © 2012 Deloitte
Módulos de SAP
Categoría Funcional - Industry Solutions IS

SAP High Tech & Electronics
SAP Engineering & Construction
SAP Consumer Products
SAP Oil & Gas SAP Transportation

Business
Information
Ware-
house
SAP Utilities SAP Public Sector
Sales
Force
Auto-
SAP Health Care ...
mation
SAP Telecomm
6.0
SAP Automotive SAP Chemicals
Advanced
B2B
Planner &
Procurement
SAP Media Optimizer SAP Pharmaceuticals
SAP Retail
SAP Aerospace & Defense

SAP Banking
SAP Service Providers
22 © 2012 Deloitte
Módulos de SAP
Importancia de Auditoría:
 Reportaría especifica para Industria.
 Análisis de modificaciones de datos

IS maestros
 Revisión de consistencia y duplicidad de

información
 Accesos a reportes e información que

permite realizar una revisión de las
aplicaciones implementadas y la información
contenida
Soluciones de Industria. . . . . .
23 © 2012 Deloitte
Procesos
Hoja divisoria
de negocio
– Times
en
SAP
24 © 2012 Deloitte
Procesos de Negocios en SAP
Mas de 800 procesos de negocio han sido definidos por

SAP:
 Altamente flexibles
 Parametrizados para cada sociedad
 Las sociedades escogen los procesos de negocio
que quieren implementar
Cada Instalación SAP es diferente:

Es importante tener un entendimiento claro de los
procesos de los negocio que son afectados con la
implementación de SAP
Estos procesos de negocio deben ser cruzados con
los correspondientes módulos SAP que han sido
implantados
25 © 2012 Deloitte
Ejemplo Flujo de Procesos : Ventas
Preguntas
Actividades Cotizaciones
de los Contrato
de Ventas a los
clientes
clientes
Servicio al Cliente / Orden

Campo de Ventas de venta
Funciones
Bodega
Finanzas/Cuentas
por Cobrar Transporte
Entrega
Pago del Factura al

Envío
Cliente cliente Manejo de
Inventarios
26 © 2012 Deloitte
Ejemplo Flujo de Procesos : Compras (MM)

Arreglo de la cotización
Lista Fuente
Acuerdo Inicial
Requisición de Selección de
Compras Proveedores
Orden de
Compra
Negocio Compras
Funciones
Funciones
Bodega
Finanzas/Cuentas
por Pagar Recepción de
Materiales
Pago de Verificación de Manejo de

Proveedores Facturas
Inventarios
27 © 2012 Deloitte
Ejemplo de Integración de Procesos
Cierre de
Analisis de
Producto
Utilidad
Planeando
el MPS
Orden de Corre Orden Orden de Pago de

Entrega Facturación
Ventas MRP Planeada Producción Clientes
Goods Goods Goods

Issue Receipt Issue
Mat.
Producto
Prima
Procesos Requisición Terminada
de Compras Recibo
Proveedores Módulos
Mercancia
Clientes n MM
Cuentas n PP
Libro Mayor
Orden de Recibo Pago de n SD
Materiales Compras de Facturas Proveedores
n CO
28 © 2012 Deloitte
Modelo
Hoja divisoria
organizacional
– Times
29
2 © 2012 Deloitte
Footer
9
Modelo Organizacional
¿Que es ?
• También Conocido como “Jerarquía SAP”
• Corresponde a la arquitectura funcional dentro del sistema SAP
• Definida durante la implementación
• No es fácil de cambiar una vez que ha sido implementada
• Permite mapear la estructura organizacional específica de la compañía
en el sistema
• Es centralizado para la operación y control de SAP
Impacto para el negocio

• Determina como se definen y seleccionan los datos
• Define la complejidad de la entrada de datos
• Determina el tamaño de los datos maestros
• Permite definir como las funcionalidades de SAP cumplirá con los
requerimientos del negocio
• Define como se van a realizar las operaciones entre sociedades
• Determina como se van a hacer los reportes
30 © 2012 Deloitte
Relevancia para la Auditoria
 Define la estructura y selecciones de los datos para reportaría

 Permite la revisión de protección del sistema según la
configuración organizacional
 Determina la calidad y segregación de los datos que se obtiene a

través de las herramientas de auditoria
 Permite estructurar un análisis de procesos de global de la

compañía
31 © 2012 Deloitte
Unidad Basica
Mandante 000
Sistema
SAP
Mandante 001 Mandante 002 Mandante 003
32 © 2012 Deloitte
Finanzas
Mandante
Plan de Plan de
cuentas cuentas
(cuentas de libro (cuentas de libro
mayor) mayor)
Sociedad
0001 Sociedad Sociedad
0002 0003
33 © 2012 Deloitte
Controlling
Mandante
001
Area de Area de
Control Control
0001 0002
(Informacion de (Informacion de
costeo)
costeo)
Sociedad Sociedad Sociedad

0001 0002 0003
(Moneda USD) (Moneda DEM) (Moneda USD)
34 © 2012 Deloitte
Logistica : Compras
Mandante
001
Sociedad Sociedad
0001 0002
Organización de
Compras
Organización de Organización de
Compras Compras
Centro A Centro B Centro C Centro D Centro E
Almacén A Almacén B Almacén C
35 © 2011 Deloitte
Logistica : Ventas
Sociedad
Organización Organización
de Ventas de Ventas
División División
(linea de División
productos) (linea de (linea de
productos) productos)
Canales de
Canales de Canales de Distribución
Distribución Distribución
36 © 2012 Deloitte
Diccionario de Datos
• T000 Mandante
• T001 Sociedad
• T001W Centros
• T024 Grupo de Compras
• T024E Organización de Compras
• T014 Áreas de Control de Créditos
• TSPA División
• TVKO Organización de Ventas
• TVTA Área de Ventas
• TVTW Canal de Distribución
• TKA01 Sociedad CO
37 © 2012 Deloitte
Herramientas de
Auditoría de Sistema
(AIS)
3 © 2012 Deloitte
8
Herramienta Audit Information System (AIS)
Introducción
¿Qué es AIS?
 Un conjunto de reportes/queries SAP basados en un árbol de

reportes.
 Una herramienta para auditar SAP.
 Utiliza la funcionalidad existente en SAP.
 Diseñado para racionalizar y facilitar el proceso de auditoría.
 Organiza todas las actividades de auditoría bajo un sólo menú
jerárquico.
 Propuesto para mejorar la calidad de la auditoría.
39 © 2012 Deloitte
Introducción
Características y Funciones
40 © 2012 Deloitte
Introducción
41 © 2012 Deloitte
Introducción
 Herramienta para ejecutar Auditoría de Sistemas y de Negocio.
 Reportes y Querys pueden ser customizados (parametrizados)

para cada usuario específico.
 Permite a los auditores evaluar o bajar datos para ser usados

por software de análisis de datos (ACL, IDEA, otros).
 Diferentes vistas permiten a los auditores (financieros o de

sistemas) utilizar el sistema simultáneamente.
42 © 2011 Deloitte
Auditoria de Sistemas
43 © 2012 Deloitte
Usando el árbol asociado a la auditoría de sistema los usuarios

pueden revisar:
 URL - Guía de seguridad del Sistema R/3

 Los 10 mejores reports de seguridad
 Configuración de sistema
 Grupo de sistemas
 Ejecución en proceso de fondo
 Logs de sistema y visualización status
 Desarrollo/Customizing
44 © 2012 Deloitte
45 © 2012 Deloitte
Auditoria de Autorizaciones
Usando el árbol asociado a la auditoría de seguridad de

autorizaciones los usuarios pueden revisar:
 URL - Guía de seguridad del Sistema R/3

 Autentificación
 Gestión central de usuarios
 Sistema de información y autorizaciones
 Gestión de roles
 Autorizaciones
 Reportes a la pre-configurados: ¿Qué usuario tiene que... ?
 Usuario Internet
46 © 2012 Deloitte
Auditoria de Autorizaciones
47 © 2012 Deloitte
Diccionario de datos
Usando el árbol asociado a la auditoría del diccionario de datos los

usuarios pueden revisar:
 Información/Resumen de tablas
 Autorización para tablas
 Grabación de tablas
 Estadística de acceso
 Documentos de modificación
48 © 2012 Deloitte
Diccionario de datos
49 © 2012 Deloitte
1 . - Ve r i f i q u e e l l a n d s c a p e d e s i s t e m a s
SAP (STMS).
2.- Identifique los roles Z* agregados en

órdenes de transporte (RSWBO040).
3.- Visualice las transacciones

bloqueadas en el sistema
(RSAUDITC_BCE).
50 © 2012 Deloitte
Auditoria de Procesos
51 © 2012 Deloitte
• Usando el árbol asociado a la auditoría de procesos los

usuarios pueden revisar:
 Cierre Individual
 Estado Consolidado
 Protección de datos
5 © 2011 Deloitte
2
Cierre Individual
53 © 2012 Deloitte
Cierre Individual - Vista Organizacional
54 © 2012 Deloitte
Cierre Individual – General – Libro Mayor
55 © 2012 Deloitte
Cierre Individual – Balance
56 © 2012 Deloitte
Cierre Individual – Facturación Interna
57 © 2012 Deloitte
Estado Consolidado
58 © 2012 Deloitte
Protección de Datos
59 © 2012 Deloitte
Auditoria de Impuestos
60 © 2012 Deloitte
Ejercicios
61 © 2011 Deloitte
1.- Identifique las sociedades para el sistemas (OBY6).
2.- ¿Cuántas son las cuentas de mayor?(S_ALR_87101049).
3.- Identifique los documentos discontinuos en el periodo 2010

para las sociedades de(S_P9C_18000153).
4.- Visualizar documentos de material anulados (MBSM).
5.- Identificar los proveedores creados durante el año 2010

(S_ALR_87101121).
6.- Identificar números de factura duplicados (S_ALR_87101127).
7.- Identificar los centros de coste que existen en (KS13).
8.- Visualice los pedidos para los material existentes (ME2M).
9.- Descargue el stock (MB52).
62 © 2012 Deloitte
Preguntas…
63 © 2012 Deloitte
Oficina central
Av. Providencia 1760

Pisos 6, 7, 8, 9, 13 y 18
Providencia, Santiago
Chile
Fono: (56-2) 729 7000
Fax: (56-2) 374 9177
e-mail: deloittechile@deloitte.com
Regiones
Cap. Arturo Prat 461

Oficina 1902
Antofagasta
Chile
Fono: (56-55) 44 9660
Fax: (56-55) 44 9662
e-mail: antofagasta@deloitte.com
1 Poniente 123
Piso 7
Viña del Mar
Chile
Fono: (56-32) 246 6111
Fax: (56-32) 246 6086
e-mail: vregionchile@deloitte.com
O’Higgins 940
Piso 6
Concepción
Chile
Fono: (56-41) 291 4055
Fax: (56-41) 291 4066
e-mail:
concepcionchile@deloitte.com
Audit Consulting Tax&Legal RiskConsulting Libertador Bernardo O’Higgins 167
Financial Advisory Services Outsourcing Oficina 603
Puerto Montt
Chile
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, Fono: (56-65) 288 600
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la Fax: (56-65) 298 600
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. e-mail: puertomontt@deloitte.com
© 2011 Deloitte. Miembro de Deloitte Touche Tohmatsu

Todos los derechos reservados. www.deloitte.cl

Curso de Auditoria Basico (Version I) - Dia 1

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curso de Auditoria Basico (Version I) - Dia 1

Încărcat de

Drepturi de autor:

Formate disponibile

Capacitación

Risk Consulting | Security & Privacy | Application Integrity

# Contenido Día Inicio Fin Relator

Introducción a ERP SAP y Herramientas Silvana

2 Visión General de la Auditoria SAP Día 2 9:00 13:00 Gina Yañez

Auditoria de Procesos de Negocios en Maria Esther

4 Auditoria del Componente Basis Día 4 9:00 13:00 Moises Daza

5 Aplicación de Herramientas de Auditoria Día 5 9:00 13:00 Rubén Araneda

# Contenido Inicio Fin

1 Bienvenida y Presentación 9:00 9:15

2 Conceptos básicos de SAP 9:15 9:45

3 Procesos de negocios en SAP 9:45 10:10

4 Modelo Organizacional 10:10 10:30

5 Coffe Break 10:30 10:45

6 Herramienta de Auditoria (AIS) 10:45 12:00

7 Ejercicios 12:15 13:00

Comprender el concepto del ERP SAP 6.0 y conocer las distintas

Comprender los ámbitos que cubre el Basis Component de SAP y la

Enfocar la seguridad de las aplicaciones como un todo, bajo el punto

ERP: Enterprise Resource Planning

Sistema de planificación integrada de los recursos de una

SAP: Systems Applications and Products

• El sistema realiza un procesamiento en tiempo real y arquitectura

• Capa 1: Bases de datos

Arquitectura Cliente / Servidor multi-nivel.

Base (Middleware) soporta tecnología de sistemas abiertos.

Business Framework Architecture, abierta a integración total

Ambiente de desarrollo de fácil comprensión.

Integración total entre aplicaciones.

Amplio rango de servicios.

Capa de Base de Datos

Datos para Información

Información Información Información Información

• ABAP/4 Development Workbench

Componente Basis ……..

 Permite realizar un monitoreo y

 Monitoreo de Seguridad del Sistema

 Control y Revisión de Maestros de

Componente Basis ……..

Categoria Funcional – Manejo Contable Financiero:

Esquema de Proceso - Financial Accounting:

Cuentas por Cuentas por

 Revisión de consistencia de datos y

 Permite detectar fuga de información y

 Registra responsables y fechas de

Categoria Funcional - Manejo Logístico:

• Compras • Manejo Ord de Mantenimiento

Esquema de Proceso - Logística:

LO  Revisión de modificaciones de maestros

Categoria Funcional – Recursos Humanos:

HR • Manejo del Tiempo

 Registro de personal existente en la empresa

 Revisión de beneficios indebidos e ingresos

Categoría Funcional - Industry Solutions IS

Categoría Funcional - Industry Solutions IS

SAP Oil & Gas SAP Transportation

SAP Aerospace & Defense

SAP Service Providers

 Análisis de modificaciones de datos

 Revisión de consistencia y duplicidad de

 Accesos a reportes e información que

Mas de 800 procesos de negocio han sido definidos por

Cada Instalación SAP es diferente:

Ejemplo Flujo de Procesos : Ventas