PwC
Agenda
•Introduzione ai sistemi ERP
•Panoramica di SAP
•Struttura tecnica di SAP
•Struttura funzionale di SAP
•Le attività di Audit negli ambienti SAP
•Strumenti di terze parti
2
PwC 4
Introduzione ai sistemi ERP
Gli ERP - Enterprise Resource Planning –sono delle soluzioni applicative in grado dicoordinare l’insieme delle attività operativeaziendali automatizzando le routineorganizzative.
Si presentano come pacchetti software giàintegrati nella loro progettazione logica: tuttii database sono relazionati e l’aggiornamentodei dati si svolge in maniera centralizzata edunitaria, in modo che i sistemi operativirelativi alle diverse aree gestionali di unaorganizzazione siano tra loro integrati ecomunicanti.
Software di progettazione modulare checonsente la libera scelta dei moduli richiesti.
Sono applicazioni che automatizzano econtrollano il flusso di informazioni,gestendo ed indirizzando i documenti senzala duplicazione dei dati e altri svantaggitipici delle tradizionale gestioni legacy.
I Sistemi ERP tentano di coprire tutte lefunzioni di base di un'impresa, aprescindere dal business dell'organizzazionestessa.
I sistemi ERP più diffusi e strutturati nelmercato sono: SAP, Oracle, JD Edwards,Microsoft Dynamics.
PwC
Introduzione ai sistemi ERP
5
Sistema ERP
Gestione della produzione
Contabilità generale
Controllo di gestione
Gestione acquisti e magazzino
Gestione del personale
Gestione della
manutenzione impianti
Gestione vendite
Gestione della logistica
PwC
Panoramica di SAPUn po' di storia
• 1973: Lancio SAP R/1 ('R' sta per elaborazione in tempo reale dei dati)
• 1979: Il prodotto si evolve con la versione SAP R/2
• 1992: Viene rilasciata sul mercato la soluzione SAP R/3 (elaborazione dei dati in temporeale; utilizza la piattaforma tecnologica costruita da tre strati hardware – Architetturathree -tier).
• La versione originale R/3 si è evoluta in modo significativo nel corso degli anni - sonostati rilasciati numerosi aggiornamenti (3.0x, 3.1x, 4.0x, 4.6xe, Enterprise 4.7e mySAP ERP)
• La versione più recente di SAP è SAP ERP ECC6 (parte della SAP Business Suite)
7
PwC
Panoramica di SAPAlcuni numeri
8
• SAP è leader mondiale nelle soluzionisoftware per il business.
• Originariamente utilizzato da aziende digrandi dimensioni, oggi èlargamente usato anche dalle piccole/medie imprese.
• Le soluzioni SAP aiutano le aziende ditutte le dimensioni a migliorare i processidi relazione con i clienti,la collaborazione con i diversi partner, e acreare maggiore efficienza all’internodelle interrelazioni tra le diverseoperazioni aziendali.
• L’elevata possibilità di parametrizzazionedi ogni componente SAP consente unanotevole modularità di funzionamento, ingrado di supportare i processi dibusiness su oltre 25 settori, tra cui high-tech, vendita al dettaglio, servizifinanziari, sanità e pubblicaamministrazione.
• Attualmente, oltre 12 milioni di utentilavorano ogni giorno utilizzando lesoluzioni SAP.
• SAP ha più di 121.000 installazioni intutto il mondo, oltre 1.500 partner, e piùdi 75.000 clienti in 120 paesi.
PwC 9
Caratteristiche principali
Panoramica di SAPCaratteristiche chiave
E’ in grado di monitorare i risultati finanziari, gli acquisti, le vendite, la
produzione, risorse umane e le paghe.
SAP integra tutti i processi di business tramite una applicazione che puòessere a sua volta integrata con altri tools a supporto dell’operativitàquotidiana (es. MS Word, MS Excel).
SAP si compone di 18-20 moduli.
Si può decidere di implementare uno o più moduli SAP.
E’ tipicamente accessibile da tutta l'organizzazione aziendale.La maggior parte delle informazioni aziendali e delletransazioni provengono da SAP.
Processo end – to – end gestito in real time. Ad esempio, la creazione diun ordine in SAP può generare automaticamente un movimento dimagazzino e una registrazione in contabilità generale senza alcunintervento "umano".
Integrato
Multifunzionale
Modulare
Per tuttal’impresa
“In tempo reale”
PwC
Struttura Tecnica di SAPDatabase
11
Database server
Ogni sistema SAP ha un database centralenel quale è immagazzinato l’interodataset, non solo i dati delle applicazioni,ma anche le configurazioni, il codicesorgente dei report ABAP ( AdvancedBusiness Application Programming è unlinguaggio di programmazioneproprietario creato dalla società SAP) edaltro. La componente softwareresponsabile per il database layer è undatabase relazionale (Es. Oracle 10, MSSQL Server).
PwC
Struttura Tecnica di SAPApplication servers
12
Applicationservers
È a questo livello che il programmacompilato in ABAP effettua il suo lavoro.Le componenti software di questo livellosono uno o più application servers(LINUX Based, IBM OS/400) ed unmessage server, responsabili dellacomunicazione tra gli application servers.Ciascuno di essi fornisce un range diservizi per le operazioni che svolge ilsistema integrato SAP.
PwC
Struttura Tecnica di SAPPresentations Gui
13
Presentations GUI
Seduti davanti allo schermo del propriopc, se abbiamo una “schermata SAP”, vuoldire che è stata generata dal presentationlayer. Il software che abbiamo installatosulla nostra macchina assicura chel’interfaccia utente del sistema SAP vengamostrata e che i comandi forniti da mousee tastiera siano correttamente passatiall’Application Layer.
PwC
Struttura Funzionale di SAPLe verticalizzazioni
SAP ha inoltre sviluppato specifiche soluzioni per settore. Alcuni esempi fondamentali:
Banche
Retail
Energy Utilities
Oil
Assicurazioni
IS - U (Industry Specific Utilities – Supplier Switch)
IS - Oil (Industry specific Oil)
FS Insurance (Financial Services Insurance); FS RI (FinancialServices Reinsurance Management); FS CM (Financial ServicesClaim Management)
IS - B (Industry Specific Banking)
IS - R (Industry Specific Retail)
PwC 16
Struttura Funzionale di SAPIl modulo Basis
E’ un componente chiave inquanto tramite Basis vengonocontrollate le principalifunzioni di autorizzazione esicurezza
1. E 'il middleware che integra il Database, SistemaOperativo, le autorizzazioni e losviluppo /personalizzazione dei processi coni moduli applicativi (es. FI, CO, MM).
2. Permette ai moduli applicativi SAP di operare, aprescindere da qualsiasi piattaforma sottostante.
3. Gestisce le seguenti funzionalità:- Configurazione del sistema (personalizzazione)- Repository (programmazione)- Data Dictionary- Accesso / autorizzazioni- Amministrazione del sistema e strumenti di
monitoraggio
PwC
Struttura Funzionale di SAPSAP Basis e le funzioni di sicurezza
17
Basis
Elementi di sicurezza delle autorizzazioni
• L'accesso al sistema èlimitato attraverso oggetti diautorizzazione
• L'accesso deve essereesplicitamente concesso attraversol'utilizzo delle autorizzazioni
Altro
Tabelle di manutenzione
Parametri di sicurezza
Programmi di sicurezza
Accesso remoto
Estensioni/ componenti aggiuntive
Accesso Utenti
Solo gli utenti che hanno attivo un “UserMaster Record” possono accedere alsistema. Le autorizzazioni sono semprecontrollate durante l’elaborazione deiprocessi online e in background ecomprendono:
• Dati base degli utenti• Utente predefiniti• Informazioni sul profilo utente
PwC
Struttura Funzionale di SAPInterfacce
Molte organizzazioni decidono di noninstallare il set completo dei moduliutilizzando invece per alcune aree delleapplicazioni satellite.
Alcune delle aree organizzative piùcomuni nelle quali le società nonutilizzano le funzionalità SAP:
• Finanza
• HR / Payroll
• Consolidamento di gruppo
• Reporting Direzionale
La struttura delle interfacce di SAP facilita lecomunicazioni e le interazioni tra i diversi strumenti dibusiness:
SAP Exchange Infrastructure (SAP XI) consentel'implementazione di processi trasversali aisistemi. Permette di collegare i sistemi di diversifornitori e linguaggi di programmazione diversi traloro.
• Il Legacy System Migration Workbench (LSMW) èuno strumento raccomandato da SAP per trasferire idati una sola volta, o periodicamente, da sistemilegacy in un sistema R / 3.
• SAP R/3 Remote Function Call (RFC) è un processodi comunicazione sincronizzata utilizzato perrichiamare ed eseguire funzionipredefinite all'interno di SAP R/3.RFC lavora tra duesistemi SAP, o tra un sistema SAP e di un sistemaesterno.
PwC
Non è facile!- La complessità del modello organizzativo ed
operativo in SAP rende difficile determinare inmodo puntuale l’ambito dell’audit ;
- Sotto il front-end funzionale si trova un sistemamolto complicato, che richiede elevatecompetenze tecniche per un’approfonditacomprensione;
- L’analisi della parametrizzazione delle utenze edei controlli è molto time consuming;
- L’integrazione dei diversi processi aziendaliall'interno di SAP aumenta l'importanza dellaseparazione delle funzioni ;
- L’utilizzo di Computer Assisted Audit Tools andTechniques (CAATs) – analisi di auditautomatizzate - è indispensabile per unacompleta e corretta analisi della segregazione deicompiti;
- Un errore può propagarsi lungo tutti i processiaziendali
PwC
L’ambiente di controllo e SAPDiversi livelli di copertura
22
2222
Controllidi processo
IT GeneralControls
ReportingDirezionale econtrolli degliutenti finali
Controlli configurabili
Autorizzazione e profilazioneutenze
Moduli Basis
Database Management System
Sistema operativo e altri controlli infrastrutturali
DatabaseInfrastructureLayer
Application Layer
Presentation Layer
PwC
Rischi in SAP– alcuni esempi
23
• Accesso inappropriato alle funzionalità del sistema causato da configurazioni disicurezza errate in SAP.
• Elevati diritti di accesso al personale IT in produzione (ad esempioconsulenti o team di supporto).
• Inconsistenza dei dati a causa di interfacce / processi di conversione dei dati
• L’integrazione dei dati e l’elaborazione dei processi in un unico sistemacomportano un unico punto di rottura per tutti i dati dell’organizzazione.
• Rigidità del sistema e conseguenti work around riservati dagli utenti• Rischi di processo intrinseco (es. acquisti non autorizzati, transazioni doppie, ecc)
• Le funzionalità di controllo in SAP possono non essere configurate in modoappropriato (ad esempio account generici, parametri di sistema, accountprivilegiati, ecc)
• L'alto livello di integrazione tra i processi aumenta l'esposizione alleproblematiche relative alla segregazione dei compiti.
Rischi diBusiness
RischiTecnologici
Rischi diControllo
PwC
Punti di controllo chiave in SAP
24
Controlli Generali IT:
Gestione dei progetti Test Conversione dei dati Gestione delle modifiche Autorizzazione e assegnazione
utenze SAP Sistemi operativi e sicurezza dei
Database Backup, ripristino e piani di
emergenza Sicurezza fisica e altri controlli
infrastrutturali
Controlli di processo:
Interfacce Controlli propri di processo (es.
strategie di rilascio, controlli sul limitedi credito)
Modifica e validazione dei controlli Report di monitoraggio Accessi sensibili Segregazione dei compiti
PwC
Pianificazione del livello di analisiClassificazione delle tipologie di controllo in SAP
25
Accessi SAP e SoD
Ambiente di controllo SAP
Bu
siness
/IT
Tra
nsa
ction
s
Gestio
ne
delle
info
rma
zion
i
SAP reports e procedure manuali
Controlli inerenti in SAP
Controlli configurabili inSAP
Nota: i controlli inerenti sono programmati nel sistema e non possono essere modificati
PwC
Tipologie di controllo in SAPAlcuni esempi
26
26
Le scritture devono pareggiare prima di essere contabilizzate
Strategie di rilascio, tolleranze sulla verifica delle fatture
Accesso ristretto alle funzionalità critiche dell’anagrafica fornitori
Modificare report, report di riconciliazione
Controlliinerenti
ControlliConfigurabili
Controlli diaccesso
Reporting eproceduremanuali
PwC
Considerazioni chiave impattanti l’attività diaudit
27
- Disponibilità di una mappatura processi – moduli – funzionalità utilizzati.
- Numerosità delle istanze e moduli in uso;
- Numerosità delle transazioni processate e utenti con accesso al sistema;
- Percentuale di controlli trasversali su più unità aziendali.
- Interfacce vs altri sistemi esterni.
- Competenze specifiche del gruppo di SAP Audit.
- Disponibilità di metodologie e programmi di lavoro
PwC
Altre considerazioni!
28
- Standardizzazione vs diversificazione dei processi e dei controlli
- Metodologia di testing da adottare (reperformance vs analisi configurazione)
- Stabilità vs dinamicità della configurazione applicativa
- Disponibilità di adeguata documentazione funzionale e tecnica;
- Disponibilità di risorse aziendali con elevata conoscenza dell’applicativo
- Affidamento sul lavoro di altri (es. SAS70);
- Utilizzo di strumenti di SAP audit automatizzati.
PwC
Strumenti di terze partiPerché?
L’utilizzo di strumenti automatizzatidi audit su SAP permette, ad esempio,di:
- Identificare problemi “reali” disegregazione dei compiti,depurando l’analisi da potenzialifalsi positivi
- Individuare carenze di controlloderivanti dal normale processo dievoluzione aziendale e non da unascorretta configurazione delsistema.
- Analizzare attività non appropriateeffettivamente svolte dagli utenti
Alcuni dei principali benefici ottenibili:
- Garanzia “concreta” che le procedure aziendalivengono effettivamente rispettate
- I controlli configurabili sonodefiniti correttamente secondo le miglioriprassi di settore
- Disponibilità di elementi quantitativi e oggettivisu cui effettuare valutazioni di merito
- Maggiore capacità di soddisfare e gestire ilrispetto delle leggi e dei regolamenti esterni;
- Riduzione dei costi di compliance grazieall’eliminazione di controlli ridondanti e/omanuali e alla standardizzazione erazionalizzazione dei processi di business
PwC
Strumenti di terze partiEsempi
31
Esempio Scopo
Soluzione SAP “Governance, risk andcompliance (GRC)” , che comprende:
• Risk Analysis and Remediation™
• Compliant User Provisioning™
• Super User Privilege Management™
• Enterprise Role Management™
Stumento di reporting che fornisce un'analisi dettagliata di SOD e accessisensibili basata su un insieme di regole predefinite;
Strumento di gestione dei ruoli che opera all'interno di SAP e agevola lacorretta configurazione di ruoli a sistema. Fornisce la possibilità didefinire quali oggetti e le transazioni sono associati ad un ruolo;
Consente un maggiore controllo relativamente ai super-user e agliaccessi di emergenza attraverso diverse restrizioni di accesso ai dati e audittrail.
PwC CCA®
(Configurable Control Analyzer )
Più di 300 test sui controlli configurabili di SAP;
Analisi Risk Driven di conformità rispetto alle best practices o a specificirischi aziendali;
Confronto con dati di benchmarking di società appartenenti a tutti isettori.
PwC ACE* ®
(Automated Control Evaluator)
Oltre 170 test standard di Segregation of Duties (SoD) e circa 200 SensitiveAccess Tests (SAT);
Possibilità di creare test SoD contenenti specifiche customizzazioni delcliente;
Analisi di Transaction Log Data (TLD) e Change Document sulla realeattività degli utenti.