Reporte de Hallazgos de Auditoria
informe Revisión: Aprobaciones delegadas en SAP
Trabajo de Auditoría
Entidad Engie Energía del Perú
Auditor Local
Tema Conclusión / Situación Observada
GENERAL
Revisión de Se observó que los usuarios SAP: DCAMAC,
User APRIETO y VVANDERSTOCK fueron cedidos a las
miembros respectivas Asistentes Administrativas (AA) para
ExCom ejecutar registros, consultas, etc, sin embargo,
esos perfiles tienen opciones de información
privilegiada, ingresar y ejecutar cambios,
aprobaciones, etc. El alcance fue la revisión de las
transacciones en SAP habidas entre los meses de
setiembre 2017 y febrero 2018.
Esta práctica contraviene con la política TIC
vigente, debilitando las acciones mandatarias en
Seguridad de la información (ver referencias abajo)
así como lo controles para evitar modificaciones,
aprobaciones no validadas.
Transaccio  Sobre las transacciones ejecutadas por las AA,
nes toman especial importancia aquellas detectadas
sentitivas relacionadas con la creación y generación de
asociadas a HES. La cesión debilitó el control SOD vigente
los perfiles dado que ambas acciones han venido recayendo
revisados en una misma persona al interactuar en el SAP
con dos usuarios (Jefe y AA).
Ante esto, se ha identificado que la transacción
ZCA002 permite sólo visualizar algunas
transacciones importantes (pe. Aprobación de
Solpeds, Generación/aprobación de O/C) que
Fecha 30 / 05 / 2018
Preparado por: MSOTOMAYOR
Revisado por:
Recomendación Criticidad Responsable Plan de acción
 Se recomienda eliminar las cesiones Alta Fernando Lossio o Bloquear que un Usuario SAP no pueda
Usuarios SAP identificadas. El control logearse desde un terminal diferente a su
preventivo para asegurar que no hay cesión posición/terminal asignado.
de user se da por cualquiera de las
siguientes 2 opciones (de menor a mayor Fecha de Implementación: 13/010/2018
grado):
o Instaurar una alerta automática en caso
se intente ingresar con un usuario
cedido y/o desde un terminal distinto al
del usuario SAP asignado. La alerta sería
remitida al Usuario SAP y a un tercero
controlador (p.e. Business Quality).
o Bloquear que un Usuario SAP no pueda
logearse desde un terminal diferente a
su posición/terminal asignado.
 Dado que la revisión sólo abarcó los usuarios
miembros del ExCom, replicar la prueba para
los demás usuarios SAP.
 Redefinir la transacción ZCA002: Asociar las Alta  Se adicionará la liberación de pedidos de venta
transacciones necesarias para que tengan desde la transacción ZCA002.
sólo la opción CONSULTA. Transacciones  Se filtrará el acceso a las transacciones
identificadas no asociadas son: estándar de liberación a excepción de la
Transaccion descripción
ML81 Creación de HES
transacción ML85.
ML85 Aprobación de HES
ZCA009 Liberación de tiempos y movimientos (horas extras)
ZFI120 Liberación de gastos Fecha de Implementación: 13/10/2018
ZFI148 Anticipos / presupuestos
ZMM047 Liberación de reservas (de stock)
ZSD010 Pedido de venta (sólo perfil comercial)
ZSC010 Variación presupuestal
 Auditoria Interna
Reporte Detallado de Hallazgos de Auditoría

Informe Revisión Aprobaciones delegadas en SAP

Tema Conclusión / Situación Observada Recomendación Criticidad Responsable Plan de acción

puede estar a disposición de todas las AA a
manera de consulta (a la fecha de la revisión
solo estaba disponible para 1 AA). Antes, asociar
otras transacciones sensitivas que quedarán solo
con la opción de consulta, siendo la remarcable
las de generación y aprobación de HES.
 El perfil SAP de las AA deben tener la
transacción ZCA002 opción sólo consulta y/o
generar reportes. Con esto se elimina alguna
necesidad de ceder SAP users y passwords.

 Sobre el periodo revisado, no se detectaron

otras transacciones / interacciones que puedan
resultar en algún tipo de fraude aunque si
potencialmente uso inapropiado de
información.

Referencia Normativa
El punto 5.3 Contraseñas y Cuentas de Usuarios de
la Política de Tecnología de Información y
comunicación establece, entre otros “…. Las
contraseñas no se deben comunicar a nadie, si
sospechan que alguien conoce su contraseña, debe
modificarla inmediatamente”. También, en el
punto 5.1 Responsabilidades, se establece, entre
otros “… todo Usuario es responsable por
cualquier acción realizada bajo la identificación de
su código de Usuario de red, los cuales son
responsables”

Plan de Acción Page 2 of 2