Segregación Funcional AIS SAP

Segregacin Funcional en SAP
Concepto de Segregacin Funcional

Autorizaciones y Combinaciones Crticas
Octubre 2016
Segregacin Funcional
2 2012 Deloitte
Objetivo del Curso
Comprender el concepto de segregacin funcional y su relacin con las diversas

capas de seguridad que le permite al usuario del sistema SAP, poder ejecutar
una transaccin a niveles organizacionales diferentes.
Identificar los puntos relevantes para mantener una adecuada segregacin de

funciones en la organizacin con el fin de mantener un sano control interno.
Entender el significado de una segregacin funcional adecuada y su impacto

para la informacin y los procesos realizados por la compaa, con el fin de
prevenir fraudes y la integridad de la informacin.
Cybertrust| Inspirando Confianza 3

Concepto
Una de las principales actividades de control interno
Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia La

seguridad en un ERP, debe abordar el resguardo de la disponibilidad,
confidencialidad e integridad de la informacin del negocio
Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y

en especial el fraude interno en las organizaciones
Permite asegurar que un individuo no pueda llevar a cabo todas las fases de
una operacin/transaccin, desde su autorizacin, pasando por la custodia de
activos y el mantenimiento de los registros maestros necesarios
Control de accesos transaccionales y de manejo de informacin

Segregacin Funcional Roles y Perfiles
Un modelo tradicional de seguridad en SAP, considera la creacin de roles y perfiles para que un
usuario pueda acceder a la aplicacin. Estos roles y perfiles, son una o ms transacciones agrupadas
entre si. Por ejemplo, ordenes de venta, trminos de pagos, resumen de clientes, acuerdo de precios,
etc.
Rol / Perfil
Transaccin
Objeto de
autorizacin
Actividades

Segregacin Funcional Roles y Perfiles
Roles y Perfiles es el mecanismo de seguridad que ofrece SAP para controlar

y asignar los privilegios de usuarios que operarn el sistema
En el marco de la operacin de SAP diariamente, es importante poseer con

un modelo de seguridad razonable y estructurado segn las funciones de
cada cargo existente en la compaa
El modelo de seguridad aplicado debe ser estructurado, controlable y que

permita una gobernabilidad alineada con las polticas de la empresa

Escenarios
Como mitigar los riesgos de errores y/o fraudes al limitar el
acceso a transacciones crticas y/o conflictivas?
Crear Proveedor (Compra) Aprobar pedido de compras
Crear pedido de compras
Aprobar pedido de compras
Registrar factura acreedor

Escenarios
RIESGO
Escenario Riesgoso
Que un usuario realice la creacin de un
proveedor ficticio y que las facturas sean
registradas por el mismo usuario, las que se
iran directo a la propuesta de pago
Crear Proveedor (Compra) automtica
Escenario Tpico de Fraude
CONTROL
3 Alternativas:
1.- Segregar el acceso en 2 usuarios (Automtico-
preventivo)
2.- Implementar un control automtico para que
la factura se registre bloqueada y una instancia
de control la aprueba (Automtico preventivo)
3.- Colocar un control de mitigacin que consista
en un reporte de monitoreo (semiautomtico
detectivo)
Beneficios
Mayor control sobre el modelo de accesos de los usuarios, manteniendo

procedimientos conocidos y establecidos
Mejorar el ambiente de control interno
Reducir las acciones fraudulentos o mal intencionadas dentro de la compaa
Mantener informacin sensible y crtica de la compaa en los usuarios que

realmente responden a su nivel de responsabilidad
Mejorar los niveles de seguridad del sistema, segn las buenas practicas
Proteger eficientemente el ambiente que sustenta la informacin operacional y

financiera del negocio

Herramientas de Segregacin Funcional
Las herramientas existentes en el mercado permiten hacer una segregacin

funcional de accesos para los distintos ERP.
Podemos encontrar anlisis desde los mas simples, como solo validacin de
transacciones, hasta los mas complejos que validan hasta los valores mnimos de
autorizacin ligado al usuario.
Las herramientas de segregacin siguen la siguiente lgica
Riesgo/Regla : Crear ordenes de compra y Liberar
Grupo / Subproceso
Crear OC Liberacin de OC
Tx1 Tx3 Tx5

Tx2 Tx4

Anlisis Capa 1 (S_TCODE)
SQVI - SAP
Roles y/o perfiles
S_TCODE S_TCODE
Campo Campo
TCD=ME21N TCD=ME28
INCOMPATIBILIDAD

Herramientas Capa 3
Capa 1 Capa 1
S_TCODE S_TCODE
Campo TCD=ME21N Campo TCD=ME28
Capa 2 Capa 2
Chequea Objeto Chequea Objeto
M_BEST_EKO M_EINK_FRG
Capa 3 Capa 3
Programa ABAP Programa ABAP
Objeto Autorizacin 1 Objeto Autorizacin 1
Objeto Autorizacin 2
Objeto Autorizacin
INCOMPATIBILIDAD

Algunas Soluciones de Segregacin
Funcional- Capa 3
Cambiar

Funcional- Capa 3
14
Funcional- Capa 3

Autorizaciones y Combinaciones
Crticas
16 2012 Deloitte
Autorizaciones Crticas
Transaccin SUIM

Se debe tener en consideracin que la ejecucin de reportes de autorizaciones y
combinaciones criticas de efectan a travs de Variantes, por lo tanto, cada autorizacin y
combinacin debe estar asociada a una variante.
Paso 1
Definir las autorizaciones que sern evaluadas:
Objeto de autorizacin crtico
Transaccin con objeto de autorizacin crtico
Paso 2
Definir un nombre de la autorizacin y variante a aplicar
Paso 3
Comenzar la construccin

Paso 1: Creacin de autorizacin crtica
1.- Doble click sobre Autorizaciones Crticas

Paso 1: Creacin de autorizacin critica
1.- Doble click sobre Autorizacin Crtica
2.- Seleccionar Entrada Nueva

1.- Dar nombre a la 2.- Dar una descripcin de

autorizacin crtica la autorizacin 4.- Indicar un cdigo
de transaccin para la
3.- Dar un color que autorizacin crtica
distinga la autorizacin [Opcional]
en los reportes

Paso 1: Generar la OT Correspondiente

2.-Si desea dar valores adicionales a la
autorizacin debe ingresar Entradas nuevas
1.- Aparecen los valores necesarios de

autorizacin para la transaccin selecciona
1.- Indicar Objeto de

Autorizacin 4.- Indicar condicin
AND/OR. * Cuando
3.- Indicar valores del selecciona la opcin OR
campo se debe ingresar un ID de
2.- Indicar el campo del grupo.
objeto de autorizacin

Paso 2: Creacin de variante de autorizacin crtica 3.- Guardar
2.- Dar una descripcin de la

1.- Dar nombre a la variante de
variante
autorizacin crtica. * Debe
comenzar con Z, para diferenciar
de los estndar de SAP

Paso 3: Asignacin de autorizacin crtica a la variante
2.- Doble click sobre

autorizacin
1.- Seleccionar la variante
creada
Este paso se realiza para asignar la autorizacin critica

creada a la variante, para que pueda ser ejecutado el reporte

1.- Seleccionar nueva

entrada

2.- Guardar.
Se puede seleccionar mas de una autorizacin critica

para agregar a la variante, pero las bsquedas las
realiza por separado
1.- Buscar la autorizacin

critica creada y asignarla

Paso 4: Ejecucin de variante de autorizacin crtica

Paso 4: Ejecucin de variante de autorizacin crtica
Ejemplo: agregamos una nueva autorizacin crtica a la variante creada

Combinaciones Crticas
Paso 1: Crear la Combinacin crtica
1.- Doble click sobre Combinaciones Crticas

2.- Seleccionar
Entrada Nueva

Combinacin

4.- Guardar
2.- Seleccionar color

1.- Dar nombre a la 2.- Dar descripcin a
para los reportes
autorizacin la combinacin

1.- Seleccionar la
combinacin

Autorizacin crtica
1.- Seleccionar
Entrada Nueva

2.- Guardar
1.- Seleccionar
autorizaciones crticas que
conforman la combinacin

Paso 2: Crear la variante de la Combinacin critica
2.- Presionar Entradas

nuevas

variantes de combinacin
crtica

2.- Guardar
1.- Crear nombre

de la variante de
combinacin critica

Paso 3: Asignacin de combinacin critica a variante
1.- Seleccionar nueva

entrada

2.- Guardar.
1.- Buscar la autorizacin

crtica creada y asignarla



Ejercicios
1.- Cree autorizaciones crticas para las

transacciones F110(Pagos automticos) y
F-48(Contab anticip acreedor).
2.- Cree una variante de autorizacin

crtica para evaluar individualmente los
usuarios que posean autorizaciones
crticas antes sealadas.
3.- Cree una combinacin de

autorizaciones crticas para analizar a
usuarios que poseen en conjunto las
autorizaciones crticas mencionadas.

Preguntas

Segregación Funcional AIS SAP

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Segregación Funcional AIS SAP

Cargado por

Copyright:

Formatos disponibles

Segregacin Funcional en SAP

Concepto de Segregacin Funcional

Comprender el concepto de segregacin funcional y su relacin con las diversas

Identificar los puntos relevantes para mantener una adecuada segregacin de

Entender el significado de una segregacin funcional adecuada y su impacto

Cybertrust| Inspirando Confianza 3

Una de las principales actividades de control interno

Al aplicarlo a SAP podemos hacer referencia a la siguiente sentencia La

Tiene como objetivo prevenir o reducir el riesgo de errores o irregularidades, y

Control de accesos transaccionales y de manejo de informacin

Cybertrust| Inspirando Confianza 4

Cybertrust| Inspirando Confianza 5

Roles y Perfiles es el mecanismo de seguridad que ofrece SAP para controlar

En el marco de la operacin de SAP diariamente, es importante poseer con

El modelo de seguridad aplicado debe ser estructurado, controlable y que

Cybertrust| Inspirando Confianza 6

Crear Proveedor (Compra) Aprobar pedido de compras

Crear pedido de compras

Aprobar pedido de compras

Registrar factura acreedor

Registrar factura acreedor

Cybertrust| Inspirando Confianza 7

Escenario Tpico de Fraude

Mayor control sobre el modelo de accesos de los usuarios, manteniendo

Mejorar el ambiente de control interno

Reducir las acciones fraudulentos o mal intencionadas dentro de la compaa

Mantener informacin sensible y crtica de la compaa en los usuarios que

Proteger eficientemente el ambiente que sustenta la informacin operacional y

Cybertrust| Inspirando Confianza 9

Las herramientas existentes en el mercado permiten hacer una segregacin

Las herramientas de segregacin siguen la siguiente lgica

Riesgo/Regla : Crear ordenes de compra y Liberar

Tx1 Tx3 Tx5

Cybertrust| Inspirando Confianza 10

Roles y/o perfiles

Cybertrust| Inspirando Confianza 11

Objeto Autorizacin 1 Objeto Autorizacin 1

Cybertrust| Inspirando Confianza 12

Cybertrust| Inspirando Confianza 13

Cybertrust| Inspirando Confianza 15

Cybertrust| Inspirando Confianza 17

Cybertrust| Inspirando Confianza 18

1.- Doble click sobre Autorizaciones Crticas

Cybertrust| Inspirando Confianza 19

1.- Doble click sobre Autorizacin Crtica

2.- Seleccionar Entrada Nueva

Cybertrust| Inspirando Confianza 20

1.- Dar nombre a la 2.- Dar una descripcin de

Cybertrust| Inspirando Confianza 21

Cybertrust| Inspirando Confianza 22

1.- Aparecen los valores necesarios de

1.- Indicar Objeto de

Cybertrust| Inspirando Confianza 24

2.- Dar una descripcin de la

Cybertrust| Inspirando Confianza 25

2.- Doble click sobre

Este paso se realiza para asignar la autorizacin critica

Cybertrust| Inspirando Confianza 26

1.- Seleccionar nueva

Cybertrust| Inspirando Confianza 27

Paso 3: Asignacin de autorizacin crtica a la variante

Se puede seleccionar mas de una autorizacin critica

1.- Buscar la autorizacin

Cybertrust| Inspirando Confianza 28