// //

Consejos Auditor SAP

Les quería comentar algunos puntos que se suelen observar en las auditorias respecto a las formas de trabajar tanto de consultores funcionales como administradores basis. En mi trabajo audito muchas empresas grandes con sap y siempre me encuentro con los mismos temas. Quizás alguno de estos puntos les ayuden a evitarse dolores de cabeza a la hora de enfrentar una auditoria.

Consejos Auditor SAP - Consultoria-SAP







Consejos Auditor SAP

1- Siempre un auditor va a revisar el uso de usuarios con perfil sap_all

En muchas empresas, por cuestiones de apuro y desconocimiento, se utilizan usuarios con perfil sap_all a la hora de resolver un problema. Para un auditor esto suele ser un error grave, ya que son usuarios difíciles de controlar. En general, toda situación puede ser resuelta con los permisos adecuados sin necesidad de sap_all. Si no tienen alternativa (por cuestiones de tiempo) siempre documenten formalmente la razón por la cual lo hicieron y que hicieron realmente.

2- Por miedo a reducir la performance del sistema

Suelen desactivarse los registros de log del sistema (rec/client y rsau/enabled). Esto para la auditoria resulta fatal, ya que no permite hacer controles reales sobre modificaciones no autorizadas.

3- Todo lo que hagan, tiene que quedar formalmente documentado

Para un auditor no alcanza con que expliquen lo que hicieron, si no esta acompañado de evidencia formal (mails, reportes, planillas, etc).

4- Permisos debug en productivo

Nadie debería, en el ambiente productivo contar con permisos para realizar debugging de programas, tener acceso al profile generator (Transacción PFCG) o modificación de programas (Transacción SE38). Aunque resulte lógico, siempre se encuentran usuarios con estos permisos.

5- Las aperturas de mandante no tienen que ser la primera opción

... y si se hacen, tiene que quedar documentado la causa y realizarse controles posteriores para garantizar que no se haya cambiado nada que no este autorizado.

Espero que a alguien le sirva esto.

Sé que en general los auditores somos una molestia, pero si se toma para bien, nuestras recomendaciones pueden servir.

***

Acerca del Autor

Este aporte es colaboración del usuario @Nacho-575, desde Argentina.


0 comments:

Publicar un comentario

Nota Importante: los comentarios son para agradecer, comentar o sugerir cambios (o hacer preguntas) sobre el artículo de arriba.


SAP y el logotipo de SAP son marcas comerciales registradas de SAP AG en Alemania y en varios otros países. No estamos afiliados ni relacionados con ninguna división o subsidiaria de SAP AG.