Hilfe, die Prüfer kommen! – Mit Sabine Blumthaler
Autor: Tobias Harmes | 27. September 2019
Wenn der Prüfer vor der Tür steht, wird dem einen oder anderen SAP Admin schon mal mulmig. Was denken eigentlich Prüfer und bekommen sie wirklich mehr Geld, wenn sie auch etwas finden? Ich habe mich beim DSAG-Jahreskongress mit Sabine Blumthaler von der Firma IBS Schreiber getroffen. Sie leitet den Bereich SAP Prüfungen und Revision und führt bei Unternehmen IT-Prüfungen im SAP durch.
Ein einwandfreier Ablauf einer SAP Prüfung hängt davon ab, wie gut die Revision zusammen mit dem SAP Team arbeitet bzw. auskommt. Ein weiterer Faktor ist, ob die Unternehmen schon häufiger Prüfungen durchlaufen haben oder ob es die erste Prüfung ist. Das sind nur Beispiele, weshalb man sehr unterschiedliche Prüfungen erlebt.
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Feedback? harmes@rz10.de
Welche Probleme begegnen Prüfern in Unternehmen?
Es kommt häufig vor, dass sich die Revision im Vorhinein nicht mit der Basis-Administration abgesprochen hat. Das Bewusstsein, dass ein Prüfer kommt, ist zwar da, allerdings fehlen oft die Rechte für die Prüfer. Mit dem IBS Schreiber-eigenen CheckAud-Tool kann man grundsätzlich starten, aber dennoch benötigen Prüfer auch einen Zugriff auf das SAP System. Weitere organisatorische Probleme kommen noch dazu, die im Voraus hätten geklärt werden können: Wo kann der Prüfer räumlich sitzen? Darf er bei der SAP Basis sitzen?
Gehen Sie angstfrei in die nächste Prüfung
Wir helfen Ihnen dabei, dass sowohl die Prüfer als auch auch Sie zufrieden sein können. Für weiteren Informationen melden Sie sich kostenlos und unverbindlich bei uns.
Wer beauftragt Prüfer?
Zum einen gibt es Aufträge, die ganz klassisch von der Revision kommen, d.h. die Revision beauftragt im Jahresplan eine SAP Prüfung. Zum anderen werden Prüfer auch immer häufiger von der IT beauftragt. Dabei ist es das Ziel präventiv vorzugehen, damit die Prüfer dann künftig nichts finden. Zudem gibt es auch Aufträge von Basis-Administratoren, die ihr eigenes System checken wollen. Da das Thema „Awareness“ immer mehr zunimmt, sind die Auftraggeber sehr vielfältig.
Was ist die Absicht eines Prüfers?
Der Gedanke ist falsch, dass ein Prüfer dem SAP Admin etwas Böses und ihn in etwas reinreiten will. Die Absicht eines Prüfers ist es, einen Mehrwert für das Unternehmen zu schaffen. Dies soll im Rahmen von Sicherheit und Ordnungsmäßigkeit geschehen. Außerdem soll das ganze Thema „Awareness“ für die Security noch mehr in den Vordergrund gerückt werden. Aber auch die Einhaltung von Gesetzesvorgaben oder internen Vorgaben ist ein wichtiger Punkt für die Prüfer, wie zum Beispiel aktuell die DSGVO. Mit den Prüfungen sollen die Ordnungsmäßigkeiten korrekt dargestellt und Defizite ggf. abgearbeitet werden.
Werden Prüfer nur bezahlt, wenn sie Fehler finden?
Es ist nicht so, dass Prüfer mehr Geld dafür bekommen, wenn sie mehr Fehler finden. Sabine Blumthaler sagt: „Ein Prüfer, der etwas findet, ist glücklicher als ein Prüfer, der nichts findet.“ Aber es ist häufig auch so, dass Prüfer positive Dinge in ihren Berichten darstellen, wenn etwas eben gut läuft. Denn dies kann motivierend auf einen Basis-Administrator wirken und ist letztlich ein gutes Zeichen für die Unternehmen.
Wie sieht eine typische Prüfung aus?
Meistens setzen sich die Prüfer zum Kickoff zusammen mit den Basis-Administratoren und den Geprüften zusammen. Dann werden die Dinge erläutert, die geprüft wurden und wie vorgegangen wird. Wichtig ist dabei auch eine persönliche Beziehung aufzubauen, um den Mythos des „bösen Prüfers“ zu zerstören. Beim Kickoff wird auch geklärt, wie die Kommunikation zwischen den verschiedenen Parteien abläuft – auch für den Fall, dass etwas gefunden wird. Nach dem Kickoff starten die Prüfer mit Interviews. Je nach Prüfthema besprechen sie mit den entsprechenden Ansprechpartnern, wie bspw. Prozesse oder die Berechtigungsvergaben ablaufen. Danach geht es noch mehr in die Tiefe – mit dem Ziel, die ersten Ergebnisse vorstellen zu können. Da die Admins meist auch sehr interessiert sind, kommen diese Ergebnisse oft gut an.
Fehler aufgrund der Stresssituation – wie gehen Prüfer damit um?
Wenn ein Prüfer für zwei Tage in einem Unternehmen ist und bestimmte Unterlagen sichten muss, wäre es sinnvoll diese entweder vorzubereiten oder sie innerhalb der zwei Tage einzureichen. Da ist für die Prüfer die Bereitschaft der Admins entscheidend. Allerdings nehmen Prüfer diese Fehler nicht persönlich. Doch gerade bei prüfungserfahrenen Unternehmen, in denen die Einstellungen kurz vorher nochmal umgestellt werden, fällt es auf. Je nachdem, wie wichtig das Dokument ist und wie glaubwürdig es vermittelt wird, werden Prüfer darauf reagieren.
Wie melden Prüfungen mit Schwierigkeiten und Feststellungen?
Die Feststellung von Prüfern werden bereits während der Prüfung bzw. nach den Prüfschritten im Rahmen einer Abschlussbesprechung besprochen. Vor dem Gespräch mit der Revision oder den Auftraggebern findet auch ein Gespräch mit dem Geprüften statt. Dort werden die Fakten neutral aufgezeigt. Dabei gibt es die Feststellung, die Klassifizierung des Risikos sowie die passende Maßnahme. Grundsätzlich können die Admins oder Geprüften anderer Meinung sein, wenn sie in bestimmten Fällen kein Risiko für ihr Unternehmen erkennen. Bei diesen Themen halten sich die Prüfer dann meist raus, da die Unternehmen in solchen Fällen selbst in der Verantwortung stehen. Um diese Punkte herauszufinden, sind die Interviews aber schon sehr hilfreich. Bei Themen wie gesetzeskritischen Berechtigungen hingegen wird es keinen Diskussionsbedarf geben. Wichtig zu beachten sind dabei allerdings Unternehmensspezifika, wie z.B. die Unternehmensgröße.
Welches Format wird verwendet?
Es gibt zwei verschiedene Informationsquellen, die Prüfer ausliefern. Zum einen gibt es den klassisch in Word geschriebenen Revisionsbericht. Dieser beinhaltet einen Maßnahmenkatalog, der tabellarisch aufgebaut ist. Dadurch kann der Geprüfte die spezifischen Punkte im Nachhinein abarbeiten. Der Aufbau sieht normalerweise folgendermaßen aus:
- Kurze Beschreibung, was geprüft worden ist
- Feststellung
- Maßnahme
- Mögliches Umsetzungsdatum
- Management Summary
- CheckAud-Tool Auswertungen
Die CheckAud-Auswertungen werden den Geprüften mit verschiedenen Empfängerkreisen an die Hand gegeben. Es gibt eine einfache Matrix für den Fachbereich, der nur sein „X“ abprüfen muss. Zudem gibt es den technischen Bericht für den Basis-Admin, der diesen dann auf Berechtigungs-Objektebene durcharbeiten kann.
Worauf sollte jeder in seinem System achten?
In der Benutzeranlage sollte es keine Dead Accounts wie z.B. abgelaufene Kennwörter oder abgelaufene User. Auch SAP_ALL wird von jedem Prüfer geprüft und sollte demnach schon im Vorhinein gecheckt werden. Zudem sollte man sich die Profilparameter anschauen. Ebenfalls wichtig sind eine Dokumentation und ein Berechtigungskonzept. Hierbei sollte eine Routine geschaffen werden, die idealerweise zusammen mit der Revision zusammen abgesprochen ist und regelmäßig durchgeführt wird.
Hat Ihnen diese Episode gefallen, haben Sie noch weitere Fragen zu dem Thema? Ich freue mich über Feedback.