En el mundo empresarial actual, muchas compañías utilizan aplicaciones SAP para planificar actividades y recursos. Sin embargo, la amplitud y flexibilidad de SAP pueden hacer que sea muy desafiante auditarlo. SAP (sistemas, aplicaciones y productos) es altamente configurable y su implementación varía incluso dentro de los diferentes departamentos de una empresa. Tanto los departamentos financieros como los no financieros se ven afectados por SAP. Para mantener un entorno financiero sólido, es necesario controlar las operaciones que se realizan dentro del sistema. Por lo tanto, es imperativo comprender completamente SAP y la forma en que se utiliza durante el proceso de auditoría.
Cuando se audita SAP en un entorno empresarial, varios factores únicos pueden afectar el enfoque y el alcance de la auditoría.
Procesos empresariales
La mayoría de los procesos empresariales están cubiertos por SAP, y cualquier cambio en estos procesos puede afectar directamente el proceso de auditoría. El porcentaje de la auditoría que se ve afectado depende de los desafíos del sistema implementado. Por lo tanto, cualquier cambio en la configuración y estructura del sistema, o la creación de nuevos procesos, puede resultar en nuevas funcionalidades o módulos de SAP.
Por ejemplo, un propietario de negocio puede decidir retirar un sistema de compras heredado y trasladar esta función a SAP. Anteriormente, se requería aprobación manual para controlar las claves de compra, pero cuando el propietario del negocio decide configurar “fiorilaunchpad”, la aprobación del proceso se realiza automáticamente. Es por eso que es importante asegurarse de que existan controles adecuados para minimizar riesgos, mantener la seguridad de acceso de los usuarios y automatizar el flujo de trabajo.
Sensibilidad y segregación
Para que una auditoría sea exitosa, el auditor debe tener un buen entendimiento del diseño del concepto de autorización de SAP. En algunos casos, el diseño de seguridad (concepto de autorización) puede ser tan ineficaz que los usuarios obtienen acceso involuntario a transacciones no autorizadas o innecesarias. Por lo tanto, la implementación y el diseño de la seguridad y el control de acceso de SAP son extremadamente importantes para asegurar que los deberes estén segregados y que se mantenga esta segregación para controlar adecuadamente el acceso a transacciones sensibles.
Pueden surgir conflictos con la segregación de funciones cuando a un usuario se le permite acceder a transacciones conflictivas. Por ejemplo, puede surgir un conflicto si a un usuario se le asigna modificar los detalles de un proveedor en la lista maestra y también se le otorga acceso para crear una orden de compra. Es importante contar con un mapa claro de los procesos del negocio, así como la identificación de responsabilidades y roles, para que la auditoría se pueda completar de manera efectiva.
En conclusión, auditar SAP en el entorno empresarial es fundamental para garantizar la integridad y seguridad de los procesos y datos. Comprender los desafíos y factores únicos asociados con SAP es esencial para llevar a cabo una auditoría exitosa. Al implementar controles adecuados y mantener una segregación de funciones efectiva, las empresas pueden minimizar riesgos y mantener un entorno financiero sólido.
