Tip of the day: limitare la visibilità ad alcuni esercizi finanziari

Per molte società che utilizzano SAP (se non tutte) è assolutamente normale "subire" delle ispezioni da parte di enti esterni. Soprattutto per la revisione dei dati relativi al bilancio.

Una prassi comune è quella di abilitare tutto ai revisori. E nell'ottica di massima trasparenza potrebbe avere sicuramente senso. Ma è possibile valutare o ragionare in modo diverso? Prosegui nella lettura...

Audit finanziario

Ad esempio, nel caso di un audit finanziario oppure una revisione di bilancio (Financial Audit) società terze devono poter accedere al sistema informativo aziendale per visionare i dati finanziari.

Quali abilitazioni dare durante un audit?

Nel caso dei sistemi SAP, dove è possibile, soprattutto nel sistema ERP, definire in modo molto preciso le abilitazioni (e quindi le autorizzazioni tecniche), possono esserci molteplici vie.

Chiaramente è necessario anche valutare che tipo di audit sia in corso. Stiamo parlando di un IT audit (magari per la verifica degli ITGC Control) oppure un business audit? O ancora altre tipologie di verifiche es. GxP etcc?

Dalla più permissiva alla più stringente.

• Abilito tutto quanto (simil SAP_ALL)
• Abilito tutto quanto in sola visualizzazione (esiste un ruolo in sola visualizzazione in SAP?)
• Abilito tutto in sola visualizzazione ma solo su determinati ambiti
• Abilito le singole funzionalità (transazioni SAP) segregandole per alcuni aspetti

Alcuni aspetti e ragionamenti di questo tipo potrebbero anche applicarsi a scenari diversi come, ad esempio, dei carve-out di sistemi.

Ma è possibile segregare i dati SAP in base agli esercizi finanziari?

Questo scenario specifico potrebbe essere indirizzato da una specificità normativa tedesca (German tax reduction law StSenkG). La "traduzione" della norma in SAP, viene descritta nella sezione 5 del documento seguente realizzato dal gruppo SAP Tedesco, ovvero, viene mostrato come implementarla in SAP.

Il documento, tuttavia, non risulta più accessibile sul disto del gruppo tedesco DSAG.

Ma è possibile trovare la descrizione della funzionalità sul sito Help SAP (vedi qui).

Questa funzionalità è quindi pensata per segregare l’accesso ai revisori (un numero limitato di utenti) e su determinate attività, potrebbe quindi non essere applicabile in tutte le casistiche di questo tipo.

Quali sono i passaggi per provarla?

1. Inserire una o più utenze in un gruppo (tramite transazione TPC2)
   
   
   
   
2. Inserimento dei programmi da sottoporre al controllo
   
   
   
   
3. Inserimento del periodo finanziario
   
   
   
   
4. Provando quindi ad eseguire una transazione legata ai programmi sopra (anche con SAP_ALL) per un periodo diverso da quello autorizzato (es. su anno 2015)
   
   
   Viene mostrato un errore specifico. A differenza dell'interrogazione effettuata sull'anno 2017 dove è possibile recuperare le varie informazioni.

Vedi anche seguenti note OSS:

• 445148 - Access by tax authorities to stored data
• 788313 - Tax reduction law: Authorization check for customer-specific reports

Gli aspetti legati alla certificazione del bilancio richiedono che anche le logiche di configurazione tecnica (ad esempio ruoli, profili, abilitazioni e configurazioni) del sistema siano gestite nel modo corretto. Guarda qui di seguito cosa potresti fare!

Conclusioni

Quanto davvero possa essere applicabile questa funzionalità in contesti diversi dai paesi oggetto della normativa? Probabilmente non molto, pur essendo legata ad un gruppo ristretto di utenti (quello dei revisori esterni principalmente).