Tip of the day: limitare la visibilità ad alcuni esercizi finanziari

Posted by Massimo Manara on Mar 8, 2023 12:00:00 AM

Per molte società che utilizzano SAP (se non tutte) è assolutamente normale "subire" delle ispezioni da parte di enti esterni. Soprattutto per la revisione dei dati relativi al bilancio.

 

audit SAP

Una prassi comune è quella di abilitare tutto ai revisori. E nell'ottica di massima trasparenza potrebbe avere sicuramente senso. Ma è possibile valutare o ragionare in modo diverso? Prosegui nella lettura...

Audit finanziario

Ad esempio, nel caso di un audit finanziario oppure una revisione di bilancio (Financial Audit) società terze devono poter accedere al sistema informativo aziendale per visionare i dati finanziari.

 

Quali abilitazioni dare durante un audit?

Nel caso dei sistemi SAP, dove è possibile, soprattutto nel sistema ERP, definire in modo molto preciso le abilitazioni (e quindi le autorizzazioni tecniche), possono esserci molteplici vie.

 

Chiaramente è necessario anche valutare che tipo di audit sia in corso. Stiamo parlando di un IT audit (magari per la verifica degli ITGC Control) oppure un business audit? O ancora altre tipologie di verifiche es. GxP etcc?

 

 

Dalla più permissiva alla più stringente.

  • Abilito tutto quanto (simil SAP_ALL)
  • Abilito tutto quanto in sola visualizzazione (esiste un ruolo in sola visualizzazione in SAP?)
  • Abilito tutto in sola visualizzazione ma solo su determinati ambiti
  • Abilito le singole funzionalità (transazioni SAP) segregandole per alcuni aspetti

 

Alcuni aspetti e ragionamenti di questo tipo potrebbero anche applicarsi a scenari diversi come, ad esempio, dei carve-out di sistemi.

 

Ma è possibile segregare i dati SAP in base agli esercizi finanziari?

Questo scenario specifico potrebbe essere indirizzato da una specificità normativa tedesca (German tax reduction law StSenkG). La "traduzione" della norma in SAP, viene descritta nella sezione 5 del documento seguente realizzato dal gruppo SAP Tedesco, ovvero, viene mostrato come implementarla in SAP.

DSAG

Il documento, tuttavia, non risulta più accessibile sul disto del gruppo tedesco DSAG.

DSAG_SAP

Ma è possibile trovare la descrizione della funzionalità sul sito Help SAP (vedi qui).

 

Questa funzionalità è quindi pensata per segregare l’accesso ai revisori (un numero limitato di utenti) e su determinate attività, potrebbe quindi non essere applicabile in tutte le casistiche di questo tipo.

 

Quali sono i passaggi per provarla?

 

  1. Inserire una o più utenze in un gruppo (tramite transazione TPC2)

    TCP2

  2. Inserimento dei programmi da sottoporre al controllo

    TCP2 - programmi

  3. Inserimento del periodo finanziario

    TCP2 - periodo

  4. Provando quindi ad eseguire una transazione legata ai programmi sopra (anche con SAP_ALL) per un periodo diverso da quello autorizzato (es. su anno 2015)

    Financial periods error
    Viene mostrato un errore specifico. A differenza dell'interrogazione effettuata sull'anno 2017 dove è possibile recuperare le varie informazioni.

 

Vedi anche seguenti note OSS:

 

 

Gli aspetti legati alla certificazione del bilancio richiedono che anche le logiche di configurazione tecnica (ad esempio ruoli, profili, abilitazioni e configurazioni) del sistema siano gestite nel modo corretto. Guarda qui di seguito cosa potresti fare!

 

 

 

Conclusioni

Quanto davvero possa essere applicabile questa funzionalità in contesti diversi dai paesi oggetto della normativa? Probabilmente non molto, pur essendo legata ad un gruppo ristretto di utenti (quello dei revisori esterni principalmente).



 

Topics: audit sap, itgc, internal audit

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti