911 407 844

Asociados AUSAPE

Peritaje de pérdidas y ganancias en SAP S4 HANA juicio laboral

peritaje sap

Recientemente una empresa de fabricación del sector automoción nos solicitaba un informe pericial donde se necesitaba demostrar la integridad de la información financiera almacenada en su ERP S/4HANA, específicamente para la cuenta de pérdidas y ganancias de un periodo pasado.

En esta solicitud es crucial asegurarse de que los datos no han sido alterados indebidamente, por ejemplo, manipulando directamente los registros en la base de datos, y que los informes actuales reflejan la realidad. Aquí te doy un enfoque adaptado a S/4HANA:

1. Auditoría y trazabilidad (logs de auditoría y GRC en S/4HANA)

  • SAP GRC (governance, risk, and compliance): al igual que en versiones anteriores, GRC es fundamental en S/4HANA para supervisar la integridad del sistema. Con GRC, se pueden revisar los logs de auditoría y registros de cambios en los datos financieros, documentando cualquier modificación significativa, incluidas aquellas a nivel de base de datos.
  • Logs de auditoría de cambios (change logs): S/4HANA sigue utilizando logs de cambios avanzados. Es posible rastrear las modificaciones en los datos financieros a través de las herramientas nativas de auditoría. Por ejemplo, el log de auditoría de objetos (transaction SCU3) puede ser utilizado para verificar los cambios realizados en los objetos de datos clave relacionados con la contabilidad.
  • Transaction ST03N (workload monitor): en S/4HANA, se puede usar ST03N para verificar los accesos al sistema y realizar un análisis detallado del rendimiento y los logs de acceso. Esta herramienta puede ayudar a identificar comportamientos inusuales que pudieran estar asociados con intentos de manipulación indebida.

2. Revisión de reportes financieros históricos (Fiori apps y F.01)

  • En S/4HANA, la generación de informes financieros es altamente flexible gracias a Fiori apps, que ofrecen interfaces gráficas avanzadas para reportes de pérdidas y ganancias y balances generales. Los informes históricos generados en su momento se pueden comparar con los actuales, asegurándose de que no ha habido alteraciones.
  • Utilizar la transacción F.01 para extraer balances históricos de contabilidad financiera, y Fiori reports como profit and loss statement para verificar si la información financiera coincide con los registros de periodos anteriores.
  • La capacidad de versionado de documentos financieros en S/4HANA también permite revisar versiones previas de los informes y contrastarlas con las actuales.

3. Análisis forense de la base de datos (SAP HANA DB)

  • SAP HANA como base de datos tiene un modelo in-memory que proporciona mecanismos avanzados de auditoría. Se puede llevar a cabo un análisis forense de la base de datos para revisar si se realizaron alteraciones no autorizadas a nivel de las tablas financieras.
  • Log-based replication y auditoría de consultas directas a HANA: HANA permite rastrear accesos y modificaciones a nivel de base de datos. Los logs de consultas directas a tablas críticas como ACDOCA (tabla universal de registros contables) pueden ser revisados para garantizar que no ha habido modificaciones no autorizadas.
  • Revisión de column store tables: a diferencia de bases de datos tradicionales, HANA utiliza un modelo de almacenamiento en columnas, lo que permite una trazabilidad más avanzada de los accesos y modificaciones en las tablas de datos.

4. Revisión de roles y autorizaciones en S/4HANA

  • En S/4HANA, la gestión de autorizaciones sigue siendo crucial. Revisar los roles y perfiles de los usuarios mediante la transacción SUIM sigue siendo importante, y se pueden utilizar las aplicaciones de SAP Fiori para revisar accesos y autorizaciones.
  • PFCG y SU01 siguen siendo las transacciones clave para gestionar roles y usuarios, pero S/4HANA introduce una capa adicional de seguridad con SAP Fiori role maintenance, lo que permite gestionar roles y autorizaciones de una manera más granular. Aquí es posible identificar si algún usuario tuvo acceso indebido a modificar datos financieros.

5. Herramientas de archivado y gestión de datos maestros (data aging en S/4HANA)

  • En S/4HANA, la funcionalidad de data aging reemplaza en gran medida los métodos tradicionales de archivado. Esto permite mantener datos históricos disponibles para análisis mientras se optimiza el rendimiento del sistema. Se pueden recuperar datos históricos para comprobar si coinciden con los reportes financieros actuales.
  • Utilizando la transacción SARA y herramientas avanzadas de data aging, es posible acceder a registros históricos y verificar que los datos no hayan sido alterados desde su almacenamiento.

6. Uso de auditorías externas y comparativas

  • Si la empresa ha sido auditada por terceros en el periodo en cuestión, los informes generados por los auditores externos pueden servir como evidencia adicional para verificar la integridad de la cuenta de pérdidas y ganancias. Las auditorías externas pueden ofrecer un respaldo independiente para corroborar que no ha habido alteraciones indebidas.
  • Balance audits realizados por entidades externas pueden compararse con los reportes generados en SAP durante el mismo periodo.

7. Análisis de logs de seguridad y transacciones críticas

  • S/4HANA permite una revisión detallada de logs de seguridad. A través de la transacción SM20 (registro de auditoría del sistema), se puede verificar si ha habido accesos no autorizados a áreas críticas del sistema, especialmente relacionados con la contabilidad financiera.
  • El uso de SAP EarlyWatch alerts y el SAP security audit log proporcionan una visión detallada de cualquier actividad inusual en el sistema, lo que es crucial para detectar intentos de alteración.

8. Pruebas forenses y expertos periciales

  • En un contexto judicial, contar con un análisis forense realizado por un perito especializado en SAP S/4HANA es fundamental. Este análisis se centraría en identificar cualquier intento de manipulación en los sistemas de aplicación (SAP), base de datos (HANA) y sistemas operativos. Los peritos podrían proporcionar informes que incluyan la revisión de logs de auditoría, tablas de base de datos, acceso a datos y análisis de transacciones críticas.
  • La emisión de un informe pericial que respalde los resultados de la auditoría interna y externa sería esencial para el caso judicial.

9. Reporte pericial para entorno judicial

  • Finalmente, una vez completadas las auditorías y análisis, sería necesario redactar un informe pericial exhaustivo que documente todos los pasos seguidos, los análisis realizados y la evidencia recabada. Este informe debe ser claro, preciso y adecuado para presentarlo ante un tribunal. El perito tendría que explicar de forma técnica, pero comprensible, cómo se ha garantizado que la cuenta de pérdidas y ganancias no fue alterada en el sistema S/4HANA y que los informes actuales reflejan fielmente la situación real del periodo analizado.

Si se encuentra ante una necesidad donde deba demostrar en sala judicial o a terceros una situación de veracidad, cadena de custodia inalterable de la información o integridad de la información de su SAP puede contar con nosotros como peritos informáticos colaboradores con la justicia.

Contáctanos ahora
Secciones
Luis Vilanova, es nuestro auditor y perito jefe especializado en sistemas ERP SAP. Ingeniero informático colegiado con más de 20 años de experiencia, ha participado en más de 100 juicios aportando periciales informáticas de alto nivel.

Con una sólida formación académica, incluyendo un Máster en Ciberseguridad por Deloitte y un Máster en Inteligencia Artificial por MBIT, Luis es reconocido por su rigor técnico y profesionalidad. Ha colaborado con las principales consultoras SAP y empresas líderes en España, ayudándoles a resolver conflictos tecnológicos y optimizar sus sistemas en todo el territorio nacional.

Además de su labor como auditor y perito, Luis es ponente en charlas sobre seguridad y peritaje informático, y profesor en la Escuela de Organización Industrial (EOI), donde forma a futuros profesionales en el campo del peritaje y la auditoría informática. Así como emprendedor en líneas de negocio relacionadas con periciales y cumplimiento de normativa en el ámbito digital y software.

Auditor CISA
perito colaborador
asociación peritos
Asociacion peritos judiciales madrid
ASPEJURE

SAP PERITAJE

MADRID. C/Princesa 31, 2ª. 28008. Madrid.
VALENCIA. C/ de l’Almirall Cadarso, 26, 46005, Valencia.

911 407 844info@peritajesap.es

Aviso legal
Política de privacidad
Política de cookies