SAP Assure SAP Integrity Assure Tool

Transcript

1 Enterprise Fraud Application Risk Management Solution SAP Assure SAP Integrity Assure Tool

2 Agenda Introduzione a SAP Assure Tool Suite Focus su Assure Integrity Presentazione di un caso pratico 1

3 I prodotti software Protiviti Protiviti Assure Integrity consente l identificazione di potenziali operazioni fraudolente e di dati incorretti od incompleti all interno dei processi business di SAP: - Purchase-to-Payment - General Ledger - Assets - Order-to-Cash - People Management E un tool web di Protiviti. Permette un monitoraggio continuo e supporta l analisi dell efficienza pel processo di Purchase-to-Payment e la mitigazione dei rischi associati attraverso: - la valutazione dello Spend Risk - soluzioni di Vendor Master File Cleanup - conformità e recupero dei contratti dei fornitori - soluzioni di riconciliazione. Completano i Servizi offerti da Protiviti in tema di Fraud Risk Management 2

4 SAP Assure Tool Suite Assure Tool è un software che permette di effettuare un analisi efficace ed efficiente dei controlli applicativi su piattaforma SAP. I diritti di utilizzo del prodotto Assure, sono stati acquisiti da Protiviti nel 2005 dalla società Australiana Jabit Solutions, nel contesto di una strategia di focalizzazione dei servizi EAS in ambito SAP. Il tool è il nostro supporto per analizzare, su ogni ciclo aziendale, la funzionalità dei processi e sottoprocessi SAP: Identificando i rischi; Processi: Contabilità Generale Ciclo Attivo Ciclo Passivo Gestione dei Materiali Gestione Cespiti Gestione Progetti Amm. Personale Preventive Controlli Detective Di Processo Accessi Utenti & SOD Data Mining + SoD Test Evidenziando possibili controlli automatici; Suggerendo tecniche di test. Funzionalità di base Totale Assure Controls N.A. Assure Security Assure Integrity 3

5 SAP Assure Tool Suite - Overview Assure Controls Assure Security Assure Integrity Identificazione dei rischi - Rischi predefiniti per ogni processo di business. - Valutazione dei controlli sugli accessi degli account di sistema. - Supporta l identificazione di test specifici su dati transazionali. Identificazione dei processi e delle transazioni critiche Definizione dei Controlli Interni - Knowledge base di controlli interni di sistema. - Stima dei rischi e dei controlli per diversi processi di business. - Knowledge base delle transazioni chiave e delle funzioni incompatibili. - Verifica dell adeguatezza dei controlli sugli accessi al sistema. - Identifica i dettagli e le consistenze a livello transazionale per focalizzare le attività di test. Test dei Controlli Interni Remediation Plan - Test automatici e manuali dei controlli di sistema. - Definizione delle azioni di Remediation e degli step di miglioramento. - Stima la correttezza di accesso alle transazioni sensibili ed alle funzioni incompatibili. - Supporta l attività di remediation per ottenere miglioramento continuo nei controlli sugli accessi al sistema. - Test sul dettaglio delle transazioni che si traduce in un monitoraggio proattivo delle potenziali eccezioni. - Individua le eccezioni e supporta la costruzione di business case e la definizione delle opzioni di remediation. Monitoraggio - Monitoraggio on-going dei controlli di sistema. - Monitoraggio on-going dei controlli sugli accessi al sistema. - Monitoraggio dell attività sulle transazioni eseguite per individuare inconsistenze o issue. Chiusura e Reporting - Modello interno per l attribuzione delle responsabilità sui processi di business. - Modello predefinito per l assegnazione dei ruoli corretti. 4

6 SAP Assure Tool Suite - Benefici L utilizzo della suite Assure apporta diversi benefici, tra cui: Evidenza di aree a rischio e possibili casi di frode; Ottimizzazione e automatizzazione dei controlli applicativi; Supporto all implementazione di una corretta separazione delle funzioni (Segregation of Duties - SoD); Maggiore sicurezza nella gestione del sistema; Maggior efficienza e efficacia nelle attività di testing; Maggior consapevolezza dell impatto e ruolo del sistema SAP nella definizione di un sistema di controllo interno; Esecuzione di attività di analisi in modo non pervasivo nell ambiente SAP, con conseguente non influenza sulle performance del sistema. 5

7 Esempio di analisi integrata L analisi può essere condotta secondo due approcci: Dalla sicurezza all integrità del dato Un analisi sulla Sicurezza nell ambiente SAP potrebbe rivelare la presenza di profili autorizzativi troppo ampi. Questa situazione, combinata con una non adeguata configurazione dei controlli automatici, potrebbe riflettersi in un problema di integrità dei dati. Dall integrità del dato alla sicurezza Le cause di potenziali problemi di integrità dei dati emersi durante una prima analisi potrebbe essere ricercate, a ritroso, nell errata configurazione dei controlli automatici e nell attribuzione di profili autorizzativi troppo ampi o comunque non in linea con le reali esigenze organizzative. 25 utenti hanno un profilo che permette loro di effettuare modifiche delle anagrafiche dei fornitori Il controllo standard SAP che richiede un autorizzazione per fare modifiche nei campi sensibili dell anagrafica fornitori non è stato configurato 8 utenti hanno fatto modifiche delle coordinate bancarie dei fornitori negli ultimi 3 mesi con un totale di 461 modifiche fatte 6

8 Assure Integrity Assure Integrity rende possibile identificare potenziali operazioni fraudolente e dati incorretti od incompleti con riferimento ai principali processi aziendali. I test disponibili nel tool Assure Integrity, per l analisi dei dati su SAP, evidenziano dei rischi per processo di business e si dividono in due categorie: Integrity Tests: Identificano dati incorretti od incompleti e potenziali operazioni fraudolente sui principali processi aziendali; SoD Tests: Identificano attività tra di loro incompatibili eseguite dalla stessa persona con lo scopo di ridurre o eliminare i rischi di business (frodi od altri illeciti). 7

9 Assure Integrity: l approccio progettuale Comprensione del dominio Esecuzione dei test Produzione dei primi risultati Analisi dei risultati Definizione delle remediation Presentazione risultati Identificazione dei requisiti per l esecuzione dei test: - Mandante e moduli SAP - Società - Processi in ambito - Estrazione dei dati dal mandante selezionato - Validazione dei dati - Configurazione dei test di integrità - Esecuzione dei test - Revisione dei test - Identificazione delle potenziali eccezioni o inconsistenze - Ottimizzazione dei test - Produzione della prima reportistica - Approfondimento e discussione delle evidenze rilevate con i Process Owners - Identificazione delle principali eccezioni - Misurazione dell impatto delle eccezioni - Identificazione delle cause - Definizione delle opzioni di remediation - Produzione e presentazione dei deliverables di progetto Protiviti Team Assure Tools & Protiviti Team Company & Protiviti Team 8

10 Assure Integrity: principali test Ciclo Passivo Identificazione degli utenti privilegiati che hanno registrato fatture Analisi di pagamenti occasionali con importi significativi Identificazione degli utenti privilegiati che hanno creato o modificato anagrafiche fornitore Pagamento di fatture prive di riferimento Identificazione casi in cui i termini di pagamento contenuti nell anagrafica fornitore sono diversi da quelli presenti in fattura Analisi degli ordini d acquisto con importi significativi Analisi degli ordini d acquisto con valori elevati dei limiti di tolleranza delle Entrate Merce Analisi degli ordini d acquisto senza indicatore obbligatorio della Entrata Merce (EM) e Verifica fattura (VF) Ciclo Attivo Identificazione delle anagrafiche clienti che sono state mantenute da utenti che non rientrano nella lista degli utenti autorizzati Identificazione degli utenti privilegiati che hanno registrato fatture attive Identificazione degli utenti privilegiati che hanno processato incassi da clienti Analisi delle note di credito con importi significativi Analisi di fatture attive duplicate Analisi della chiusura dei saldi clienti con importi significativi Analisi degli utenti che hanno aggiornato le anagrafiche fornitori e registrato fatture ai medesimi fornitori Analisi degli utenti che hanno aggiornato le anagrafiche fornitori e processato pagamenti manuali e/o automatici ai medesimi fornitori Analisi degli utenti che hanno creato ordini di acquisto e processato pagamenti fornitori Analisi degli utenti che hanno registrato fatture fornitore e processato pagamenti fornitori Analisi degli utenti che hanno creato ordini di vendita e aggiornato anagrafica cliente Analisi degli utenti che hanno creato ordini di vendita e registrato le relative fatture clienti in SD Analisi degli utenti che hanno aggiornato le anagrafiche clienti e processato incassi dei medesimi clienti Analisi degli utenti che hanno creato delle anagrafiche clienti e processato fatture in SD ai medesimi clienti Analisi degli utenti che hanno registrato fatture clienti in FI e processato incassi 9

11 Assure Integrity: principali test (cont.) Contabilità Generale Analisi delle registrazioni contabili con importi significativi Identificazione degli utenti privilegiati che hanno aggiornato l anagrafica dei conti Identificazione degli utenti privilegiati che hanno registrato documenti contabili Amministrazione personale Identificazione di impiegati duplicati in base alle coordinate bancarie (possibili pagamenti duplicati) Analisi pagamenti a fornitori con lo stesso conto bancario di un impiegato Identificazione degli utenti privilegiati che hanno modificato anagrafiche impiegati Analisi degli utenti che hanno fatto registrazioni di contabilità generale e processato fatture fornitore Analisi degli utenti che hanno fatto registrazioni di contabilità generale e processato incassi clienti Analisi degli utenti che hanno aggiornato i dati bancari dei impiegati (infotype 0009) e gli stipendi base (infotype 0008) Analisi degli utenti che hanno aggiornato la fascia salariale dei impiegati (infotype 0003) e pagamenti addizionali ai impiegati (infotype 0015) Funzionalità di base Identificazione delle istanze SAP in cui uno utente ha modificato il proprio profilo autorizzativo Cespiti Analisi dei cespiti duplicati Valutazione integrità dati nell anagrafica cespiti Identificazione degli utenti privilegiati che hanno processato transazioni riferite ai cespiti 10

12 Un caso pratico Nelle prossime slide verrà illustrato un caso pratico dell utilizzo di Assure Integrity in un ottica di Fraud Management. In particolare saranno presentati: L approccio adottato Il perimetro di analisi Le attività svolte I principali risultati I next step 11

13 Approccio adottato Fase I Fase II Analisi delle transazioni SAP Validazione dei risultati Fase I Ottimizzazione degli indicatori Implementazio ne del tool di Continuous Monitoring Altre estensioni Estrazione ed analisi dei dati da SAP con il supporto del tool Protiviti Assure Integrity Generazione del report con i potenziali rischi di frode sulla base degli indicatori predefiniti nel tool Protiviti Assure Supporto al dipartimento progetti speciali AFC nell identificazione degli indicatori Assure che meglio si adattano al contesto del Cliente Analisi dei potenziali rischi di frode rispetto al processo Purchaseto-Pay specifico del Cliente Revisione e personalizzazione degli indicatori predefiniti in Assure secondo il contesto specifico del Cliente Identificazione e definizione di ulteriori indicatori di frode relativi al processo Purchase-to-Pay, da monitorarsi a cura del Cliente Definizione delle specifiche funzionali per il tool di Continuous Monitoring Supporto all implementazione della logica degli indicatori del tool di Continuous Monitoring Estensione dei processi definiti e al tool di prevenzione delle frodi anche ad altri scopi Report sui potenziali rischi di frode 12

14 Perimetro di analisi L assessment Integrity su SAP è stato svolto tramite l utilizzo del tool proprietario di Protiviti Assure Integrity e con strumenti Office Automation. Sono state svolte anche analisi manuali sul sistema SAP. L analisi si è focalizzata sul perimetro esposto di seguito: SAP Environment Business Processes Release 4.6C Client 010 (Aperto) Production Environment General Controls Assets Order to Cash People Management Purchasing & Payables Date Range of Analysis From to Company Codes IT00 xxx IT01 xxx IT03 xxx IT04 xxx IT05 xxx IT06 xxx IT07 xxx IT08 xxx IT09 xxx IT10 xxx IT11 xxx IT12 xxx IT99 xxx Inoltre sono stati identificati gli utenti privilegiati, i tipi documento e le anagrafiche bloccate o segnate per la cancellazione, al fine dello svolgimento di alcuni test. 13

15 Attività svolte Punti di attenzione da investigare Punti di attenzione senza necessità di investigazione Funzionalità di base Cespiti Ciclo Attivo Amministrazione Personale(*) Ciclo Passivo - Identificazione dei 1 mandanti SAP in cui un 2 utente ha modificato il proprio profilo autorizzativo Valutazione dell adeguatezza delle svalutazioni per classe di cespite - Analisi di cespiti duplicati - Valutazione dell integrità delle anagrafiche cespiti - Identificazione dei casi in cui utenti privilegiati hanno processato transazioni relative ai cespiti - Analisi dei clienti 5 duplicati Valutazione dell integrità delle anagrafiche Clienti - Identificazione di utenti privilegiati che hanno creato anagrafiche Clienti - Analisi dei Clienti inattivi - identificazione delle anagrafiche Clienti gestite da utenti che non appartengono all elenco degli utenti autorizzati Analisi dei dipendenti duplicati - Identificazione dei dipendenti duplicati sulla base de conto corrente bancario (rischio di doppi pagamenti) - Valutazione dell integrità delle anagrafiche dipendenti - Analisi dei Fornitori con lo stesso conto corrente di un dipendente - Analisi dei dipendenti con lo stesso numero telefonico o indirizzo dei un fornitore (*) L analisi del processo di Amministrazione Personale è stata svolta con strumenti di Office Automation - Analisi dei pagamenti di fatture tramite la Legge di Benford - Analisi Fornitori duplicati 11 - Revisione delle fatture duplicate - Violazioni della Segregazione delle Funzioni nello svolgimento di manutenzione anagrafica Fornitori e registrazione fatture - Identificazione dei casi in cui utenti privilegiati hanno processato transazioni relative al ciclo passivo - Modifiche al conto corrente dei Fornitori 12 - Analisi di pagamenti occasionali con importi significativi - Valutazione integrità dati nell anagrafica fornitori 13 - Analisi dei fornitori non attivi 14 - Identificazione degli utenti privilegiati che hanno creato o 15 modificato anagrafiche fornitore Identificazione delle anagrafiche fornitore che sono state mantenute da utenti che non rientrano nella lista degli utenti autorizzati - Analisi dei pagamenti effettuati a fornitori successivamente marcati per la cancellazione - Pagamento di fatture senza riferimento - Analisi del One time vendor - Analisi del beneficiario alternativo - Identificazione casi in cui i termini di pagamento contenuti nell anagrafica fornitore sono diversi da quelli presenti in fattura 14

16 Principali risultati Funzionalità di base Alcuni utenti privilegiati hanno modificato il proprio profilo autorizzativo Cespiti Diversi record cespiti potenzialmente duplicati Elevato numero di problemi di integrità riscontrati nelle anagrafiche cespiti. Amministrazione personale Alcune anagrafiche dipendenti potenzialmente duplicate Diverse anagrafiche dipendenti con campi chiave (secondo le best practices) vuoti. Ciclo Passivo Problemi sulle anagrafiche fornitori (diversi fornitori potenzialmente duplicati, inattivi e potenzialmente obsoleti, anagrafiche con problemi di integrità) Elevato numero di modifiche al conto corrente di fornitori nel periodo d analisi (la motivazione potrebbe essere l introduzione del codice IBAN) Differenze nei termini di pagamento associati ad un fornitore rispetto a quelli della fattura processata Gestione di fatture relative a fornitori marcati per la cancellazione. Ciclo Attivo Elevato numero di Clienti inattivi e potenzialmente obsoleti Elevato numero di Clienti potenzialmente duplicati Anagrafiche Clienti i cui campi chiave (secondo le best practices) sono vuoti. Per ognuna delle rilevazioni sono stati identificati i possibili rischi di frode correlati e sono state suggerite le ulteriori attività di controllo e bonifica necessarie alla riduzione del rischio, come presentato nelle slide successive. 15

17 Principali risultati alcuni esempi Principali risultati Attività di controllo Rischio potenziale di frode Funzionalità di base 1 Alcuni utenti privilegiati hanno modificato il proprio profilo autorizzativo. I profili autorizzativi degli utenti dovrebbero essere ristretti, anche per gli utenti privilegiati, in modo da non poter eseguire modifiche ai loro profili autorizzativi. Un utente che modifica le sue autorizzazioni ha la possibilità di assegnarsi accessi inappropriati e potrebbe eseguire transazioni fraudolente. Cespiti 2 Un elevato numero di cespiti ha il campo vita utile settato a 0 o 1 anno. L anagrafica cespiti dovrebbe essere rivista per investigare la risultanza relativa alla vita utile, in particolare per quei cespiti la cui vita utile è settata a 0 o 1 anno. I cespiti con vita utile pari a 0 o 1 anno potrebbero far crescere il rischio di appropriazione indebita dei cespiti, dal momento che hanno un valore economico anche se quello contabile è nullo. 3 4 Ci sono diversi record cespiti potenzialmente duplicati, probabilmente a causa dell elevato numero di problemi di integrità riscontrati nelle anagrafiche cespiti. Dovrebbe essere approfondito il problema dei cespiti identificati come potenzialmente duplicati. Il test è stato svolto solo su alcuni campi anagrafici, ma altri potrebbero essere utilizzati nel sistema SAP del cliente per identificare univocamente i cespiti. L anagrafica cespiti dovrebbe essere rivista rendendo obbligatori quei campi che sono considerati rilevanti dalle best practices (descrizione, localizzazione, cost center, numero di serie, indicatore di inventario) ed aggiornare i record già memorizzati. Questo dovrebbe ridurre i potenziali rischi di integrità del dato rilevati. I cespiti non identificabili univocamente, specie quelle con vita utile pari a 0 o 1 anno, potrebbero aumentare il rischio di appropriazione indebita dei cespiti. 16

18 Principali risultati alcuni esempi (cont.) Principali risultati Attività di controllo Rischio potenziale di frode Ciclo Passivo L analisi delle anagrafiche ha evidenziato: Diversi Fornitori potenzialmente duplicati; Diversi Fornitori inattivi e potenzialmente obsoleti; Elevato numero di anagrafiche fornitori con problemi di integrità. I conti fornitore identificati come potenzialmente duplicati dovrebbero essere analizzati e solo uno dovrebbe essere mantenuto nel sistema, nel caso. I Fornitori inattivi dovrebbero essere investigati e, se obsoleti, dovrebbero essere archiviati. Inoltre, i conti fornitori con problemi di integrità sui campi considerati rilevati dalle best practices (città, CAP, via, numero telefonico, termini di pagamento) dovrebbero essere rivisti e i gruppi di autorizzazione e tolleranza dovrebbero essere configurati come obbligatori. I fornitori duplicati potrebbero essere utilizzati come parte di transazioni fraudolente, dato che potrebbero originare pagamenti duplicati. La presenza di fornitori inattivi potrebbe permettere ad un utente di gestire transazioni fraudolente È stato rilevato un elevato numero di modifiche al conto corrente di fornitori durante il periodo analizzato; la motivazione potrebbe essere l introduzione del codice IBAN. Inoltre un utente privilegiato ha svolto attività di manutenzione fornitori. Tutte le modifiche ai dati bancari dei fornitori dovrebbero essere riviste in termini di idoneità, e le modifiche effettuate da utenti privilegiati dovrebbero essere approfonditi. Un utente potrebbe modificare in modo inappropriato i dati bancari di un fornitore e processare pagamenti fraudolenti verso quel conto. 17

19 Principali risultati alcuni esempi (cont.) Principali risultati Attività di controllo Rischio potenziale di frode Ciclo Passivo Sono stati identificati I seguenti casi: Termini di pagamento associati ad un fornitore diversi rispetto a quelli della fattura processata; Gestione di fatture relative a fornitori marcati per la cancellazione. Modifiche sospette ai termini di pagamento effettuate a favore del fornitore dovrebbero essere verificate per capire se rispondono ad esigenze di business. Ogni pagamento di una fattura a fornitori marcati per la cancellazione dovrebbe essere verificato con la documentazione originale per appurare se si tratta di un pagamento fraudolento. Un utente potrebbe applicare un termine di pagamento più conveniente per il fornitore, generando problemi al flusso di cassa. Potrebbero essere processate fatture fraudolente. 18

20 Next Steps Sono elencate di seguito le attività che sono state svolte dal gruppo di lavoro all inizio della seconda fase per meglio comprendere I risultati riscontrati nella fase I: Funzionalità di base Controllare le transazioni utilizzate dagli utenti SAP_ALL che hanno modificato i loro stessi 1 profili autorizzativi durante il periodo di analisi Cespiti 2 3 Investigare la possibilità di dismettere i cespiti duplicati o quelli con vita utile pari a 0 o 1 Amministrazione personale Investigare le ragioni che hanno condotto alla creazione di anagrafiche dipendenti duplicate, 8 in particolare i casi in cui la duplicazione dell anagrafica è avvenuta più di due volte 9 Capire il tipo di relazione esistente tra dipendenti con lo stesso conto corrente Capire come sono stati effettuati i pagamenti ai dipendenti senza dati bancari 10 Ciclo Passivo Capire quali anagrafiche fornitori possono essere archiviate 13 Investigare le modifiche agli stessi dati bancari avvenute più di due volte 12 Realizzare una procedura per evitare che un fornitore marcato per la cancellazione sia 17 smarcato per essere pagato

21 20