Audit around SAP

Maggio 2012

www.pwc.com

PwC

Agenda

•Introduzione ai sistemi ERP

•Panoramica di SAP

•Struttura tecnica di SAP

•Struttura funzionale di SAP

•Le attività di Audit negli ambienti SAP

•Strumenti di terze parti

2

PwC

Introduzione ai sistemi ERP

3

PwC 4

Introduzione ai sistemi ERP

Gli ERP - Enterprise Resource Planning –sono delle soluzioni applicative in grado dicoordinare l’insieme delle attività operativeaziendali automatizzando le routineorganizzative.

Si presentano come pacchetti software giàintegrati nella loro progettazione logica: tuttii database sono relazionati e l’aggiornamentodei dati si svolge in maniera centralizzata edunitaria, in modo che i sistemi operativirelativi alle diverse aree gestionali di unaorganizzazione siano tra loro integrati ecomunicanti.

Software di progettazione modulare checonsente la libera scelta dei moduli richiesti.

Sono applicazioni che automatizzano econtrollano il flusso di informazioni,gestendo ed indirizzando i documenti senzala duplicazione dei dati e altri svantaggitipici delle tradizionale gestioni legacy.

I Sistemi ERP tentano di coprire tutte lefunzioni di base di un'impresa, aprescindere dal business dell'organizzazionestessa.

I sistemi ERP più diffusi e strutturati nelmercato sono: SAP, Oracle, JD Edwards,Microsoft Dynamics.

PwC

Introduzione ai sistemi ERP

5

Sistema ERP

Gestione della produzione

Contabilità generale

Controllo di gestione

Gestione acquisti e magazzino

Gestione del personale

Gestione della

manutenzione impianti

Gestione vendite

Gestione della logistica

PwC

Panoramica di SAP

6

PwC

Panoramica di SAPUn po' di storia

• 1973: Lancio SAP R/1 ('R' sta per elaborazione in tempo reale dei dati)

• 1979: Il prodotto si evolve con la versione SAP R/2

• 1992: Viene rilasciata sul mercato la soluzione SAP R/3 (elaborazione dei dati in temporeale; utilizza la piattaforma tecnologica costruita da tre strati hardware – Architetturathree -tier).

• La versione originale R/3 si è evoluta in modo significativo nel corso degli anni - sonostati rilasciati numerosi aggiornamenti (3.0x, 3.1x, 4.0x, 4.6xe, Enterprise 4.7e mySAP ERP)

• La versione più recente di SAP è SAP ERP ECC6 (parte della SAP Business Suite)

7

PwC

Panoramica di SAPAlcuni numeri

8

• SAP è leader mondiale nelle soluzionisoftware per il business.

• Originariamente utilizzato da aziende digrandi dimensioni, oggi èlargamente usato anche dalle piccole/medie imprese.

• Le soluzioni SAP aiutano le aziende ditutte le dimensioni a migliorare i processidi relazione con i clienti,la collaborazione con i diversi partner, e acreare maggiore efficienza all’internodelle interrelazioni tra le diverseoperazioni aziendali.

• L’elevata possibilità di parametrizzazionedi ogni componente SAP consente unanotevole modularità di funzionamento, ingrado di supportare i processi dibusiness su oltre 25 settori, tra cui high-tech, vendita al dettaglio, servizifinanziari, sanità e pubblicaamministrazione.

• Attualmente, oltre 12 milioni di utentilavorano ogni giorno utilizzando lesoluzioni SAP.

• SAP ha più di 121.000 installazioni intutto il mondo, oltre 1.500 partner, e piùdi 75.000 clienti in 120 paesi.

PwC 9

Caratteristiche principali

Panoramica di SAPCaratteristiche chiave

E’ in grado di monitorare i risultati finanziari, gli acquisti, le vendite, la

produzione, risorse umane e le paghe.

SAP integra tutti i processi di business tramite una applicazione che puòessere a sua volta integrata con altri tools a supporto dell’operativitàquotidiana (es. MS Word, MS Excel).

SAP si compone di 18-20 moduli.

Si può decidere di implementare uno o più moduli SAP.

E’ tipicamente accessibile da tutta l'organizzazione aziendale.La maggior parte delle informazioni aziendali e delletransazioni provengono da SAP.

Processo end – to – end gestito in real time. Ad esempio, la creazione diun ordine in SAP può generare automaticamente un movimento dimagazzino e una registrazione in contabilità generale senza alcunintervento "umano".

Integrato

Multifunzionale

Modulare

Per tuttal’impresa

“In tempo reale”

PwC

Struttura tecnica di SAPOverview

10

Presentation GUIApplicationservers

Database server

PwC

Struttura Tecnica di SAPDatabase

11

Database server

Ogni sistema SAP ha un database centralenel quale è immagazzinato l’interodataset, non solo i dati delle applicazioni,ma anche le configurazioni, il codicesorgente dei report ABAP ( AdvancedBusiness Application Programming è unlinguaggio di programmazioneproprietario creato dalla società SAP) edaltro. La componente softwareresponsabile per il database layer è undatabase relazionale (Es. Oracle 10, MSSQL Server).

PwC

Struttura Tecnica di SAPApplication servers

12

Applicationservers

È a questo livello che il programmacompilato in ABAP effettua il suo lavoro.Le componenti software di questo livellosono uno o più application servers(LINUX Based, IBM OS/400) ed unmessage server, responsabili dellacomunicazione tra gli application servers.Ciascuno di essi fornisce un range diservizi per le operazioni che svolge ilsistema integrato SAP.

PwC

Struttura Tecnica di SAPPresentations Gui

13

Presentations GUI

Seduti davanti allo schermo del propriopc, se abbiamo una “schermata SAP”, vuoldire che è stata generata dal presentationlayer. Il software che abbiamo installatosulla nostra macchina assicura chel’interfaccia utente del sistema SAP vengamostrata e che i comandi forniti da mousee tastiera siano correttamente passatiall’Application Layer.

PwC

Struttura Funzionale di SAPI moduli principali

14

PwC

Struttura Funzionale di SAPLe verticalizzazioni

SAP ha inoltre sviluppato specifiche soluzioni per settore. Alcuni esempi fondamentali:

Banche

Retail

Energy Utilities

Oil

Assicurazioni

IS - U (Industry Specific Utilities – Supplier Switch)

IS - Oil (Industry specific Oil)

FS Insurance (Financial Services Insurance); FS RI (FinancialServices Reinsurance Management); FS CM (Financial ServicesClaim Management)

IS - B (Industry Specific Banking)

IS - R (Industry Specific Retail)

PwC 16

Struttura Funzionale di SAPIl modulo Basis

E’ un componente chiave inquanto tramite Basis vengonocontrollate le principalifunzioni di autorizzazione esicurezza

1. E 'il middleware che integra il Database, SistemaOperativo, le autorizzazioni e losviluppo /personalizzazione dei processi coni moduli applicativi (es. FI, CO, MM).

2. Permette ai moduli applicativi SAP di operare, aprescindere da qualsiasi piattaforma sottostante.

3. Gestisce le seguenti funzionalità:- Configurazione del sistema (personalizzazione)- Repository (programmazione)- Data Dictionary- Accesso / autorizzazioni- Amministrazione del sistema e strumenti di

monitoraggio

PwC

Struttura Funzionale di SAPSAP Basis e le funzioni di sicurezza

17

Basis

Elementi di sicurezza delle autorizzazioni

• L'accesso al sistema èlimitato attraverso oggetti diautorizzazione

• L'accesso deve essereesplicitamente concesso attraversol'utilizzo delle autorizzazioni

Altro

Tabelle di manutenzione

Parametri di sicurezza

Programmi di sicurezza

Accesso remoto

Estensioni/ componenti aggiuntive

Accesso Utenti

Solo gli utenti che hanno attivo un “UserMaster Record” possono accedere alsistema. Le autorizzazioni sono semprecontrollate durante l’elaborazione deiprocessi online e in background ecomprendono:

• Dati base degli utenti• Utente predefiniti• Informazioni sul profilo utente

PwC

Struttura Funzionale di SAPInterfacce

Molte organizzazioni decidono di noninstallare il set completo dei moduliutilizzando invece per alcune aree delleapplicazioni satellite.

Alcune delle aree organizzative piùcomuni nelle quali le società nonutilizzano le funzionalità SAP:

• Finanza

• HR / Payroll

• Consolidamento di gruppo

• Reporting Direzionale

La struttura delle interfacce di SAP facilita lecomunicazioni e le interazioni tra i diversi strumenti dibusiness:

SAP Exchange Infrastructure (SAP XI) consentel'implementazione di processi trasversali aisistemi. Permette di collegare i sistemi di diversifornitori e linguaggi di programmazione diversi traloro.

• Il Legacy System Migration Workbench (LSMW) èuno strumento raccomandato da SAP per trasferire idati una sola volta, o periodicamente, da sistemilegacy in un sistema R / 3.

• SAP R/3 Remote Function Call (RFC) è un processodi comunicazione sincronizzata utilizzato perrichiamare ed eseguire funzionipredefinite all'interno di SAP R/3.RFC lavora tra duesistemi SAP, o tra un sistema SAP e di un sistemaesterno.

PwC

Le attività di audit negli ambientiSAP

19

PwC

Il ciclo tipico del SAP Audit

Audit negliambienti SAP

PwC

Non è facile!- La complessità del modello organizzativo ed

operativo in SAP rende difficile determinare inmodo puntuale l’ambito dell’audit ;

- Sotto il front-end funzionale si trova un sistemamolto complicato, che richiede elevatecompetenze tecniche per un’approfonditacomprensione;

- L’analisi della parametrizzazione delle utenze edei controlli è molto time consuming;

- L’integrazione dei diversi processi aziendaliall'interno di SAP aumenta l'importanza dellaseparazione delle funzioni ;

- L’utilizzo di Computer Assisted Audit Tools andTechniques (CAATs) – analisi di auditautomatizzate - è indispensabile per unacompleta e corretta analisi della segregazione deicompiti;

- Un errore può propagarsi lungo tutti i processiaziendali

PwC

L’ambiente di controllo e SAPDiversi livelli di copertura

22

2222

Controllidi processo

IT GeneralControls

ReportingDirezionale econtrolli degliutenti finali

Controlli configurabili

Autorizzazione e profilazioneutenze

Moduli Basis

Database Management System

Sistema operativo e altri controlli infrastrutturali

DatabaseInfrastructureLayer

Application Layer

Presentation Layer

PwC

Rischi in SAP– alcuni esempi

23

• Accesso inappropriato alle funzionalità del sistema causato da configurazioni disicurezza errate in SAP.

• Elevati diritti di accesso al personale IT in produzione (ad esempioconsulenti o team di supporto).

• Inconsistenza dei dati a causa di interfacce / processi di conversione dei dati

• L’integrazione dei dati e l’elaborazione dei processi in un unico sistemacomportano un unico punto di rottura per tutti i dati dell’organizzazione.

• Rigidità del sistema e conseguenti work around riservati dagli utenti• Rischi di processo intrinseco (es. acquisti non autorizzati, transazioni doppie, ecc)

• Le funzionalità di controllo in SAP possono non essere configurate in modoappropriato (ad esempio account generici, parametri di sistema, accountprivilegiati, ecc)

• L'alto livello di integrazione tra i processi aumenta l'esposizione alleproblematiche relative alla segregazione dei compiti.

Rischi diBusiness

RischiTecnologici

Rischi diControllo

PwC

Punti di controllo chiave in SAP

24

Controlli Generali IT:

Gestione dei progetti Test Conversione dei dati Gestione delle modifiche Autorizzazione e assegnazione

utenze SAP Sistemi operativi e sicurezza dei

Database Backup, ripristino e piani di

emergenza Sicurezza fisica e altri controlli

infrastrutturali

Controlli di processo:

Interfacce Controlli propri di processo (es.

strategie di rilascio, controlli sul limitedi credito)

Modifica e validazione dei controlli Report di monitoraggio Accessi sensibili Segregazione dei compiti

PwC

Pianificazione del livello di analisiClassificazione delle tipologie di controllo in SAP

25

Accessi SAP e SoD

Ambiente di controllo SAP

Bu

siness

/IT

Tra

nsa

ction

s

Gestio

ne

delle

info

rma

zion

i

SAP reports e procedure manuali

Controlli inerenti in SAP

Controlli configurabili inSAP

Nota: i controlli inerenti sono programmati nel sistema e non possono essere modificati

PwC

Tipologie di controllo in SAPAlcuni esempi

26

26

Le scritture devono pareggiare prima di essere contabilizzate

Strategie di rilascio, tolleranze sulla verifica delle fatture

Accesso ristretto alle funzionalità critiche dell’anagrafica fornitori

Modificare report, report di riconciliazione

Controlliinerenti

ControlliConfigurabili

Controlli diaccesso

Reporting eproceduremanuali

PwC

Considerazioni chiave impattanti l’attività diaudit

27

- Disponibilità di una mappatura processi – moduli – funzionalità utilizzati.

- Numerosità delle istanze e moduli in uso;

- Numerosità delle transazioni processate e utenti con accesso al sistema;

- Percentuale di controlli trasversali su più unità aziendali.

- Interfacce vs altri sistemi esterni.

- Competenze specifiche del gruppo di SAP Audit.

- Disponibilità di metodologie e programmi di lavoro

PwC

Altre considerazioni!

28

- Standardizzazione vs diversificazione dei processi e dei controlli

- Metodologia di testing da adottare (reperformance vs analisi configurazione)

- Stabilità vs dinamicità della configurazione applicativa

- Disponibilità di adeguata documentazione funzionale e tecnica;

- Disponibilità di risorse aziendali con elevata conoscenza dell’applicativo

- Affidamento sul lavoro di altri (es. SAS70);

- Utilizzo di strumenti di SAP audit automatizzati.

PwC

Strumenti di terze parti

29

PwC

Strumenti di terze partiPerché?

L’utilizzo di strumenti automatizzatidi audit su SAP permette, ad esempio,di:

- Identificare problemi “reali” disegregazione dei compiti,depurando l’analisi da potenzialifalsi positivi

- Individuare carenze di controlloderivanti dal normale processo dievoluzione aziendale e non da unascorretta configurazione delsistema.

- Analizzare attività non appropriateeffettivamente svolte dagli utenti

Alcuni dei principali benefici ottenibili:

- Garanzia “concreta” che le procedure aziendalivengono effettivamente rispettate

- I controlli configurabili sonodefiniti correttamente secondo le miglioriprassi di settore

- Disponibilità di elementi quantitativi e oggettivisu cui effettuare valutazioni di merito

- Maggiore capacità di soddisfare e gestire ilrispetto delle leggi e dei regolamenti esterni;

- Riduzione dei costi di compliance grazieall’eliminazione di controlli ridondanti e/omanuali e alla standardizzazione erazionalizzazione dei processi di business

PwC

Strumenti di terze partiEsempi

31

Esempio Scopo

Soluzione SAP “Governance, risk andcompliance (GRC)” , che comprende:

• Risk Analysis and Remediation™

• Compliant User Provisioning™

• Super User Privilege Management™

• Enterprise Role Management™

Stumento di reporting che fornisce un'analisi dettagliata di SOD e accessisensibili basata su un insieme di regole predefinite;

Strumento di gestione dei ruoli che opera all'interno di SAP e agevola lacorretta configurazione di ruoli a sistema. Fornisce la possibilità didefinire quali oggetti e le transazioni sono associati ad un ruolo;

Consente un maggiore controllo relativamente ai super-user e agliaccessi di emergenza attraverso diverse restrizioni di accesso ai dati e audittrail.

PwC CCA®

(Configurable Control Analyzer )

Più di 300 test sui controlli configurabili di SAP;

Analisi Risk Driven di conformità rispetto alle best practices o a specificirischi aziendali;

Confronto con dati di benchmarking di società appartenenti a tutti isettori.

PwC ACE* ®

(Automated Control Evaluator)

Oltre 170 test standard di Segregation of Duties (SoD) e circa 200 SensitiveAccess Tests (SAT);

Possibilità di creare test SoD contenenti specifiche customizzazioni delcliente;

Analisi di Transaction Log Data (TLD) e Change Document sulla realeattività degli utenti.

© 2012 PricewaterhouseCoopers SpA. All rights reserved. In this document, “PwC” refers toPricewaterhouseCoopers SpA, which is a member firm of PricewaterhouseCoopers International Limited, eachmember firm of which is a separate legal entity.

Grazie perl’attenzione!