운영 중인 시스템의 경우, 서버의 구성이 기본적으로 개발 > 검증 > 운영으로 이루어져 있다.
개발 시에 검증 > 운영으로 이관시키는 기능이 대부분 있을 텐데, 그 기본이 되는 SAP의 화면이 STMS(SAP Transport Management System)이다.
전산감사를 수행할 때, SAP에서 운영환경으로 배포한 CTS(Change and Transport System) 목록을 기반으로 회사가 적정한 절차를 거쳐 SAP 변경에 대해서 적용했는지 검토하게 된다.
오늘 다룰 내용은, SAP 변경 절차가 적정했는지에 대해서 다룰 것은 아니고 적정한 인원이 이를 운영환경으로 적용했는지 (STMS IMPORT를 수행했는지) 확인하는 방법을 알아보려고 한다.
* 내가 전문가는 아니기에 너무 맹신하지는 말고, 가져갈 수 있는 부분만 가져갔으면 좋겠다..^^
내가 속해있는(있었던.. 등) 회사에서는 변경 적용 List를 E070 테이블에서 추출한다.
E070 테이블에서 추출할 경우, 장점도 당연히 있겠지만 단점은 IMPORT를 수행한 인원을 확인할 수 없다.
E070에 대한 설명(전산감사 측면)
아래에서 보면 Owner는 확인이 가능하다. 이는 저 개별 Task의 소유자를 뜻한다.
(개발자일 가능성이 높다.)
또한, E070에서는 상태가 'R', 이는 Release 처리된 것을 뜻하기에 전산감사 시 'R'인 목록을 필터 하여 모집단으로 선정한다.
SAP 변경 적용 권한자의 연중 유효성
전산감사 시에는 SAP 변경을 운영환경에 적용할 수 있는 권한(STMS, STMS_IMPORT 등)을 보유한 인원의 적정성 또한 검토한다. 그리고 해당 인원들이 연중 유효하였는지(감사대상 연도, 예를 들어 FY22이면 2022.01.01 ~ 2022.12.31 동안 동일한 인원이었는지) 확인할 수 있어야 한다. 하지만 E070이 저렇게 나올 경우 우리는 적정 인원이 IMPORT를 수행하였을지 확신할 수 없다.
관리자 제한 통제(시스템 접근 통제 관련 자동 통제 )의 경우, 감사기간의 한 시점에 관리자 목록을 추출하므로 회사가 감사대상 기간 중에 (부적정한 사용자가 관리자였다가 추출 시점에만 적정 인원으로 바뀌었는지) 부적정한 인원이 관리자 권한을 가졌을 위험이 존재한다.
이는 회계법인에서 주요하게 보는 통제 중 하나이고, 대다수의 회사는 이를 커버할 수 있는 관리자 적정성 모니터링 통제를 주기적으로 수행하여서 이에 대한 위험을 커버하도록 운영하고 있다. 물론 주기적으로 적정성을 검토하더라도, 프로그램 변경 적용(운영환경으로의 이관) 등의 통제에서 목록을 추출할 때 누가 프로그램 변경 적용을 하였는지 등에 대한 확인이 필요하다.
예를 들어 FY22이면 2022.01.01 ~ 2022.12.31에 프로그램 변경 적용을 한 인원을 확인해서 현재시점 각 변경 적용 인원 목록을 대사 하는 것이다. 만약 이를 확인하였는데 변경 적용 이력에서 현재 관리자가 아닌 인원이 적용했던 이력을 확인했다면 이에 대한 근거 등이 관리자 적정성 모니터링 문서에 남아있을 것이기에 증명할 수 있을 것이다. 이 글에서는 두 가지를 설명하려고 한다.
1. STMS를 Import 하는 방법
2. STMS history에서 STMS import 목록과 이를 수행한 인원 확인하는 방법
그럼 레츠고
STMS를 Import 하는 방법
STMS를 Import 할 경우 아래의 Step에 의해 가능하다.
1. T-Code : STMS 실행 후 트럭모양 선택
ㄴ CTS를 불러올 시스템에서 로그인을 해야 한다. ( 개발 > 검증일 경우, 검증에서 로그인. 검증 > 운영일 경우, 운영에서 로그인.)
2. Import 할 서버를 선택 후, 더블클릭
3. Import 처리 가능한 항목만 선택. St가 초록/노랑인 것만 처리가 가능.
ㄴ 현재 빨간 네모박스 쳐둔 양피지 모양에서 왼쪽으로 2번째에 있는 트럭 모양을 클릭하여 Import 처리한다.
STMS history에서 STMS import 목록과 이를 수행한 인원 확인하는 방법
1. T-Code : STMS 실행 후 트럭모양 선택
2. 운영 서버 선택 후 더블클릭
3. 위의 양피지 모양 클릭
4. 편집> 조회계속 클릭
위의 절차를 따라오면, 소유자 옆에 'USER'라는 칼럼이 생성된다.
해당 USER가 현재 STMS, STMS_IMPORT 권한을 보유한 계정인지 확인을 하면 된다.
STMS IMPORT 이력을 확인하면 정말 IMPORT가 된 리스트만 추출이 되기에 훨씬 깔끔하게 결과가 떨어지고, 현재 위의 STMS IMPORT 이력에는 2개의 결과가 조회가 되지만 실제 '요청' 명은 동일함을 확인할 수 있어 동일한 변경 건이라고 확신할 수 있다.
아래의 E070 테이블의 SAP 변경 적용 (상태 'R') 목록의 '요청/태스크' 명을 확인하여 보면, 위의 STMS IMPORT 이력의 '요청' 명과 동일하여 동일한 추출 값을 가지고 있음을 확인할 수 있다.
업무에 조금이라도 도움이 되길 바라며
그럼 안뇽!
'공부 > IT 감사 및 내부회계 IT' 카테고리의 다른 글
SAP USER 타입 및 SAP 라이선스 타입 설명 (1) | 2023.01.17 |
---|---|
데이터 베이스 보안 및 데이터베이스 우회 접근 불가 확인 방법 - SQLORA.NET (0) | 2022.12.10 |
[공부] 내부회계관리제도 IT감사, GITC(ITGC) 및 ITAC 요약 -2편- (10) | 2022.05.01 |
[공부] 내부회계관리제도 IT감사, GITC(ITGC) 및 ITAC 요약 -1편- (0) | 2022.05.01 |
[공부] Journal Entry Test, Journal Entry란? (2) | 2022.01.20 |
댓글