280 likes | 629 Views
Revizija SAP – kaj mora revizor informacijskih sistemov vedeti o SAP sistemu. mag. Stane MOŠKON CISA, CISM, preizkušeni revizor informacijskih sistemov. Terme Čatež 2006. Izjava. Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja
E N D
Revizija SAP – kaj mora revizor informacijskih sistemov vedeti o SAP sistemu mag. Stane MOŠKON CISA, CISM, preizkušeni revizor informacijskih sistemov Terme Čatež 2006
Izjava Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen. Razlaga in komentarji, ki so predmet te predstavitve, predstavljajo poglede predavatelja in niso nujno tudi stališča, praksa ali politika podjetja, v katerem je predavatelj zaposlen.
Uvod Zakaj mora revizor informacijskih sistemov poznati SAP sisteme? • v Sloveniji je v uporabi že okoli 100 SAP sistemov, • uporabljajo jih velike organizacije, • kompleksnost SAP sistemov je velika. Za uspešno in učinkovito izvedbo revizije SAP sistema je potrebno dobro poznavanje SAP sistemov.
SAP kot ERP sistem Koncept razvoja sodobnih ERP sistemov: • gre v smer organiziranosti po poslovnih procesih in ne po poslovnih funkcijah, • jedro sistema predstavlja relacijsko bazo, ki zagotavlja en vir podatkov, • tradicionalno papirno revizijsko sled je nadomestila revizijska sled v elektronski obliki, ki temelji na zapisih vseh poslovnih dogodkov v dnevnike in omogoča nadzor nad delovanjem sistema po principu poročanja od izjem. SAP sistem je eden od sodobnih ERP sistemov.
Projekt prenove poslovnega informacijskega sistema • je eden od kompleksnejših in zahtevnejših projektov v vsaki organizaciji, • povzroči posredno ali neposredno spremembe na vseh nivojih, • tveganje za neuspešno izvedbo projekta je visoko, • vodstvo organizacije mora zagotavljati ne samo načelno ampak dejansko podporo projektu, • to ni projekt informatike ampak vodstva organizacije. Vključevanje revizorjev informacijskih sistemov v vse faze projekta prenove poslovnega informacijskega zagotavlja boljše obvladovanje tveganja.
Vprašanja na katera je dobro pomisliti pri vpeljavi ERP sistema • Kako zagotoviti, da bo vpeljan ERP sistem uspešno prestal revizijski pregled? • Katera so ključna vprašanja povezana z vpeljavo in delovanjem ERP sistema na katera bo potrebno odgovoriti revizorjem računovodskih izkazov in revizorjem informacijskih sistemov? • Kakšna je svetovalna vloga revizorja informacijskih sistemov v projektu vpeljave ERP sistema? • Kdaj je pravi čas za vključevanje revizorja informacijskih sistemov v projekt vpeljave? Ali poznate primer vključevanja revizorja informacijskih sistemov v projektno skupino zadolženo za uvedbo ERP sistema?
Vpeljava ERP sistema in revizor IS • Vloga revizorja informacijskih sistemov v projektu vpeljave ERP sistema je sodelovanje pri zagotavljanju predvsem: • skladnosti z varnostno politiko • ustreznih notranjih kontrol • revizijske sledi • kontrol dostopa in ločevanju nalog • V projektu vpeljave ERP sistema je vloga revizorja informacijskih sistemov – svetovanje. Sodobni ERP sistemi imajo predvidene vse ustrezne kontrole, ki pa se jih pri vpeljavi ali tudi kasneje lahko izključi.
Načini vključevanja revizorjev IS v projekt uvajanja ERP sistemov Revizor IS: • ni vključen • je sovražnik • je suženj projektne skupine • je partner na projektu • je orožje in obramba. V praksi najpogosteje srečamo primer, da je revizor IS sovražnik, saj otežuje delo projektne skupine in še posebej zunanjih svetovalcev.
Funkcionalnosti in struktura SAP sistema • v SAP-u obstoja knjižnica preko 3000 vnaprej definiranih poslovnih procesov, • SAP funkcionalnosti se združujejo v module, • SAP moduli so oblikovani v funkcionalna področja: • FI – računovodstvo in finance, • CO – kontroling, • SD – prodaja in distribucija, • MM – nabava in skladišča, • PP – proizvodnja, • PM – vzdrževanje, • PS – upravljanje projektov, • BC – osnovne komponente in nastavitve sistema. Posebej mora biti revizor pozoren na dodatne funkcionalnosti razvite z orodjem ABAP/4.
Terminologija v SAP sistemih Nekaj izrazov za lažje razumevanje SAP sistemov: • Transakcije – funkcija, program • Avtorizacijsk objekt – je temeljni gradnik aplikacijskih kontrol in omogoča vzpostavitev sistema ločevanja nalog • Avtorizacijski profil – je nabor avtorizacij zbranih za enega uporabnika (pozorni moramo biti na profil SAP_ALL) Primer avtorizacije: Polje Vrednost ACTVT (aktivnost) 01 BUKRS (organizacija) 0010 Revizor mora razumeti SAP terminologijo!
Pristop k reviziji SAP sistematehnični koncept Organizacijski model – hierarhija SAP sistema: sistem, klient, kontni načrt, oznaka podjetja Avtorizacijski koncept – določa principe dodeljevanja dostopnih pravic uporabnikom v SAP sistemu: avtorizacijski objekt, avtorizacija, avtorizacijski profil Osnovne komponente sistema (nastavitve sistema) pregled osnovnih komponent je ena od kontrol, ki jo je potrebno izvesti po uvedbi, po vsaki nadgradnji ali vsaj enkrat letno Sistemski pristop
Pristop k reviziji SAP sistema - vsebinski koncept • Funkcionalni pristop Kdo v organizaciji izvaja nek proces in s kakšnim profilom? • Profilni pristop Iz seznama uporabnikov izberemo uporabnike, ki jim pripada izbran profil in analiziramo skladnost delovnih odgovornosti z avtorizacijami v profilu. • Transakcijski pristop Ugotovimo ali uporabniki, ki jim je dodeljena neka transakcijo to res potrebujejo pri izvajanju njihovega procesa. • Objektni pristop Ugotovimo ali ima uporabnik avtorizacijske objekte s katerimi lahko izvede transakcijo preko ABAP programa.
Definicija notranjih kontrol Notranje kontrole (programske): • v fazi definiranja funkcionalnih zahtev je potrebno določiti notranje kontrole (preventivne, detektivne in korektivne), • definirati je treba način preverjanja delovanja notranjih kontrol, • definirati je treba sprejemne in potrditvene kriterije ustreznosti notranjih kontrol. Potrebno je določiti lastno kontrolno okolje (BCF) v katerem bodo vse dogovorjene kontrole dosledno uvedene in v katerem bo določen način preverjanja njihove prisotnosti kot tudi ustreznosti njihovega delovanja.
Vrste kontrol v SAP-jevih sistemih Kontrole ob prijavi: • minimalna dolžina gesla, zapadlost gesla, dovoljeno število poskusov prijave, karakteristike gesel Sistemske kontrole: • tolerance, številčna območja, avtomatična knjiženja, tipi dokumentov v povezavi s ključi knjiženja, dovoljena obdobja knjiženja Kontrolni elementi dokumentov: • vidna polja, številčna območja, nadzor krogotoka dokumentov Kontrole upravljanja sprememb: • strategija treh sistemov (razvojni, testni, produkcijski), verzioniranje, spremljanje zahtevkov za spremembe
Revizijska sled in dnevniki v SAP-u Pri zagotavljanju revizijske sledi v SAP sistemih nam pomagajo dnevniki kot so: • dnevniki operacijskih sistemov, • dnevniki podatkovnih zbirk, • dnevniki transakcij (uporabniških aktivnosti), • sistemski dnevniki SAP (SM21), • dnevniki upravljanja sprememb, • dnevniki sprememb konfiguracijskih tabel (tabela DD09L), • dnevniki sprememb profilov in avtorizacij. RSPARAM – omogoča pregled sistemskih parametrov, parametrov učinkovitosti, nastavitev in kontrolnih parametrov.
Kontrola dostopa in ločevanje nalog • Skozi celoten proces vpeljave SAP je potrebno zagotavljati skladnost avtorizacije dostopa do sistema s sprejetimi določili politike varovanja podatkov in informacij. • Še posebej je potrebno zagotavljati odgovornost lastnikov procesov za dodeljevanje dostopnih pravic in dosledno dokumentiranje vseh sprememb. • Prav tako je potrebno zagotavljati ustrezno ločevanje nalog. V primeru ko ni mogoče zagotoviti ustreznega ločevanja nalog je potrebno postaviti sistem nadomestnih kontrol in zagotoviti ustreznost njihovega delovanja. Analiza profilov v SAP sistemu nam hitro odgovori na vprašanje kako je izvedena kontrola dostopa in na kakšnem nivoju je ločevanje nalog.
Nekaj korakov in napotkov za revizijo SAP sistema • Priporočeni koraki za izvedbo revizijo SAP sistema • Kaj mora revizor ugotoviti pri reviziji SAP sistema • Pomembne tabele, ki jih mora revizor pregledati • Pomembne transakcije • Nevarne transakcije
Priporočeni koraki za izvedbo revizijo SAP sistema • Pregled poročila RSUSR003 – hitro si ustvarimo sliko o sistemu • Pregled poročila RSPARAM – sistemski parametri • Pregled tabele USR40 – seznam nedovoljenih gesel • Preglej ali je produkcijski sistem zaklenjen za nenamerne spremembe? • Preglej uporabnika SAP* • Preglej ali se v dnevnikih pojavljajo neaktivni uporabniki • Preglej zaklepanje transakcijski kod
Kaj revizorja IS še posebej zanima pri reviziji SAP • Kdo ima dostop do transakcije za vzdrževanje uporabnikov (SU01)? • Kdo ima dostop do transakcije za vzdrževanje profilov (SU02)? • Kdo ima dostop do transakcije za vzdrževanje avtorizacij (SU03)? • Ali se uporabljajo SAP pred-definirani profili? • Koliko profilov ima organizacija? • Kako so napisani SQL stavki v lastnih programih in ali vključujejo “Authority Check”? • Ali se uporablja zagon programov preko transakcij SA38, SE38, SE16 in SE39?
Pomembne tabele • T001B – finančna obdobja • TACTZ – avtorizacijski objekti in veljavne aktivnosti • TDDAT – avtorizacijske skupine • TRDIR – ABAP program in avtorizacijska skupina • TSTCT – seznam transakcij z opisi • USH02 – zgodovina sprememb identifikacijskih podatkov • USH04 – zgodovina sprememb avtorizacij • USOBT – kode transakcij in avtorizacijski objekti z veljavnimi vrednostmi
Pomembne transakcije • SE16 – brskalnik tabel • SE17 – splošni prikaz tabel • SU01 – vzdrževanje uporabnikov • SU02 – vzdrževanje profilov • SU03 – vzdrževanje avtorizacij • SE93 – vzdrževanje transakcij • SM21 – sistemski dnevniki • STAT – statistična analiza uporabe transakcij • SM01 – zaklenjene transakcije • SECR – program IAS
Nevarne transakcije • SM30 in SM31 – vzdrževanje tabel • SE09 – organizator delovne mize (workbench) • SA38 – zagon programov • SE38 – vzdrževanje programov • SE11 – vzdrževanje podatkovnega slovarja
AIS – Audit Information System AIS je orodje in pripomoček revizorju pri: • učinkovitejšem in kvalitetnejšem izvajanju procesa revizije, • izboru in pripravi podatkov za analizo, • pri izvozu podatkov namenjenih za obdelavo z drugimi računalniško podprtimi revizijskimi orodji (ACL, IDEA, …). AIS je razvit skladno z zahtevami revizije in revizijskimi standardi.
Zaključek Vloga revizorja informacijskih sistemov v projektu uvajanja SAP-jevih sistemov je pomoč pri zagotavljanju skladnosti informacijskega sistema z zahtevami in standardi revizije računovodskih izkazov in informacijskih sistemov. Revizor informacijskih sistemov ni samo oseba, ki ugotavlja morebitne neskladnosti in opozarja nanje ampak je lahko svetovalec in sodelavec skozi celoten proces uvajanja SAP sistema.