Las necesidades organizacionales muchas veces llevan a que se efectuen auditorías sobre los sistemas que las empresas tienen en pos de cumplir con requerimientos tanto internos, como externos.

SAP es una herramienta desarrolalda para las grandes corporaciones, y por ello es que dispone de facilidades para realizar auditorías sobre el mismo, que no es lo mismo que decir que es fácil realizar una auditoría de SAP.

En el presente post vamos a hacer un breve resumen del Sistema de Información de Auditoría (AIS), las posiblidades que nos brinda y como utilizarlo.

En las versiones más viejas de SAP, existía una transacción llamada SECR, a través de la cual se accedía a los distintos reportes. Por cuestiones de compatibilidad en las versiones más nuevas se mantiene, aunque está obsoleta.

El AIS de las nuevas versiones (posteriores a la 4.6c) está conformado por un conjunto de roles, los cuales habilitan a realizar distintas actividades en el sistema. Mediante la generación y posteriores asignación de los mismos a los usuarios finales, se otorgan permisos para realizar diferentes reportes y queries sobre el sistema.

Cuando estos roles son asignados a un usuario el mismo dispone de un menú de árbol especial, donde tiene numerosos reportes y acceso a transacciones que pueden brindar información útil para realizar una auditoría.

Los roles que forman parte del AIS son todos los que poseen la siguiente estructura de nombre “SAP*AUDITOR*“, existen numerosos roles simples y también dos compuestos que integran varios otros, SAP_AUDITOR (auditor general) y SAP_AUDITOR_TAX (auditor de impuestos).

El rol SAP_AUDITOR está pensado para una auditoría general de controles y datos en el sistema, en cambio el SAP_AUDITOR_TAX como su nombre lo indica está mayormente enfocado al auditor de impuestos (accesos a la contabilidad en su mayoría)

Estos roles simples también tienen unas características particulares. Existen los roles como SAP_CA_AUDITOR_SYSTEM el cual no contiene menú alguno, solo objetos de autorización que nos brindan permisos tanto de visualización como de modificación en algunas transacciones. A su vez, también encontramos el SAP_CA_AUDITOR_SYSTEM_DISPLAY, el cual solamente permite la visualización de datos, y es más adecuado para un auditor en muchas situaciones.

Estos roles como dijimos no contienen menú alguno, y el menú está dado por otros roles, que no tienen autorizaciones, solo el menú:

SAP_AUDITOR_SA_BC (AIS – Sistema auditoría)
SAP_AUDITOR_SA_BC_CCM_USR   AIS (Sist.auditoría – Usuarios y autorizaciones)
SAP_AUDITOR_SA_BC_CUS_TOL   AIS (Sist.auditoría – Repository / Tablas)

Esta flexibilidad que nos brinda SAP, permite justamente combinarlos para otorgar con el mismo menú, permisos de visualización o modificación.

Siempre debemos respetar la idea global, de no trabajar con los roles estándar si no realizar copias “Z” de los mismos para evitar inconvenientes en upgrade o posibles parches.

En un próximo post profundizaremos en las posibilidades de reporting que nos brindan los roles de AIS, y como encarar una auditoría a través del uso del rol.