Hilfe, die Prüfer kommen! – Mit Sabine Blumthaler

Autor: Tobias Harmes | 27. September 2019

27 | #podcast, #Wirtschaftsprüfung

Wenn der Prüfer vor der Tür steht, wird dem einen oder anderen SAP Admin schon mal mulmig. Was denken eigentlich Prüfer und bekommen sie wirklich mehr Geld, wenn sie auch etwas finden? Ich habe mich beim DSAG-Jahreskongress mit Sabine Blumthaler von der Firma IBS Schreiber getroffen. Sie leitet den Bereich SAP Prüfungen und Revision und führt bei Unternehmen IT-Prüfungen im SAP durch.

Ein einwandfreier Ablauf einer SAP Prüfung hängt davon ab, wie gut die Revision zusammen mit dem SAP Team arbeitet bzw. auskommt. Ein weiterer Faktor ist, ob die Unternehmen schon häufiger Prüfungen durchlaufen haben oder ob es die erste Prüfung ist. Das sind nur Beispiele, weshalb man sehr unterschiedliche Prüfungen erlebt.

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Welche Probleme begegnen Prüfern in Unternehmen?

Es kommt häufig vor, dass sich die Revision im Vorhinein nicht mit der Basis-Administration abgesprochen hat. Das Bewusstsein, dass ein Prüfer kommt, ist zwar da, allerdings fehlen oft die Rechte für die Prüfer. Mit dem IBS Schreiber-eigenen CheckAud-Tool kann man grundsätzlich starten, aber dennoch benötigen Prüfer auch einen Zugriff auf das SAP System. Weitere organisatorische Probleme kommen noch dazu, die im Voraus hätten geklärt werden können: Wo kann der Prüfer räumlich sitzen? Darf er bei der SAP Basis sitzen?

Gehen Sie angstfrei in die nächste Prüfung

Wir helfen Ihnen dabei, dass sowohl die Prüfer als auch auch Sie zufrieden sein können. Für weiteren Informationen melden Sie sich kostenlos und unverbindlich bei uns.

informieren

Wer beauftragt Prüfer?

Zum einen gibt es Aufträge, die ganz klassisch von der Revision kommen, d.h. die Revision beauftragt im Jahresplan eine SAP Prüfung. Zum anderen werden Prüfer auch immer häufiger von der IT beauftragt. Dabei ist es das Ziel präventiv vorzugehen, damit die Prüfer dann künftig nichts finden. Zudem gibt es auch Aufträge von Basis-Administratoren, die ihr eigenes System checken wollen. Da das Thema „Awareness“ immer mehr zunimmt, sind die Auftraggeber sehr vielfältig.

Was ist die Absicht eines Prüfers?

Der Gedanke ist falsch, dass ein Prüfer dem SAP Admin etwas Böses und ihn in etwas reinreiten will. Die Absicht eines Prüfers ist es, einen Mehrwert für das Unternehmen zu schaffen. Dies soll im Rahmen von Sicherheit und Ordnungsmäßigkeit geschehen. Außerdem soll das ganze Thema „Awareness“ für die Security noch mehr in den Vordergrund gerückt werden. Aber auch die Einhaltung von Gesetzesvorgaben oder internen Vorgaben ist ein wichtiger Punkt für die Prüfer, wie zum Beispiel aktuell die DSGVO. Mit den Prüfungen sollen die Ordnungsmäßigkeiten korrekt dargestellt und Defizite ggf. abgearbeitet werden.

Werden Prüfer nur bezahlt, wenn sie Fehler finden?

Es ist nicht so, dass Prüfer mehr Geld dafür bekommen, wenn sie mehr Fehler finden. Sabine Blumthaler sagt: “Ein Prüfer, der etwas findet, ist glücklicher als ein Prüfer, der nichts findet.” Aber es ist häufig auch so, dass Prüfer positive Dinge in ihren Berichten darstellen, wenn etwas eben gut läuft. Denn dies kann motivierend auf einen Basis-Administrator wirken und ist letztlich ein gutes Zeichen für die Unternehmen.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

Wie sieht eine typische Prüfung aus?

Meistens setzen sich die Prüfer zum Kickoff zusammen mit den Basis-Administratoren und den Geprüften zusammen. Dann werden die Dinge erläutert, die geprüft wurden und wie vorgegangen wird. Wichtig ist dabei auch eine persönliche Beziehung aufzubauen, um den Mythos des „bösen Prüfers“ zu zerstören. Beim Kickoff wird auch geklärt, wie die Kommunikation zwischen den verschiedenen Parteien abläuft – auch für den Fall, dass etwas gefunden wird. Nach dem Kickoff starten die Prüfer mit Interviews. Je nach Prüfthema besprechen sie mit den entsprechenden Ansprechpartnern, wie bspw. Prozesse oder die Berechtigungsvergaben ablaufen. Danach geht es noch mehr in die Tiefe – mit dem Ziel, die ersten Ergebnisse vorstellen zu können. Da die Admins meist auch sehr interessiert sind, kommen diese Ergebnisse oft gut an.

Fehler aufgrund der Stresssituation – wie gehen Prüfer damit um?

Wenn ein Prüfer für zwei Tage in einem Unternehmen ist und bestimmte Unterlagen sichten muss, wäre es sinnvoll diese entweder vorzubereiten oder sie innerhalb der zwei Tage einzureichen. Da ist für die Prüfer die Bereitschaft der Admins entscheidend. Allerdings nehmen Prüfer diese Fehler nicht persönlich. Doch gerade bei prüfungserfahrenen Unternehmen, in denen die Einstellungen kurz vorher nochmal umgestellt werden, fällt es auf. Je nachdem, wie wichtig das Dokument ist und wie glaubwürdig es vermittelt wird, werden Prüfer darauf reagieren.

Wie melden Prüfungen mit Schwierigkeiten und Feststellungen?

Die Feststellung von Prüfern werden bereits während der Prüfung bzw. nach den Prüfschritten im Rahmen einer Abschlussbesprechung besprochen. Vor dem Gespräch mit der Revision oder den Auftraggebern findet auch ein Gespräch mit dem Geprüften statt. Dort werden die Fakten neutral aufgezeigt. Dabei gibt es die Feststellung, die Klassifizierung des Risikos sowie die passende Maßnahme. Grundsätzlich können die Admins oder Geprüften anderer Meinung sein, wenn sie in bestimmten Fällen kein Risiko für ihr Unternehmen erkennen. Bei diesen Themen halten sich die Prüfer dann meist raus, da die Unternehmen in solchen Fällen selbst in der Verantwortung stehen. Um diese Punkte herauszufinden, sind die Interviews aber schon sehr hilfreich. Bei Themen wie gesetzeskritischen Berechtigungen hingegen wird es keinen Diskussionsbedarf geben. Wichtig zu beachten sind dabei allerdings Unternehmensspezifika, wie z.B. die Unternehmensgröße.

Webinar: Hacker hassen diesen Trick: Praxismaßnahmen für IT-Security-Awareness

In diesem Webinar erfahren Sie, wie Sie als IT-Security-Verantwortliche die Security-Awareness in Ihrem Unternehmen erhöhen können. Sie erhalten von uns konkrete Best Practices und Maßnahmen.
Jetzt anmelden

Welches Format wird verwendet?

Es gibt zwei verschiedene Informationsquellen, die Prüfer ausliefern. Zum einen gibt es den klassisch in Word geschriebenen Revisionsbericht. Dieser beinhaltet einen Maßnahmenkatalog, der tabellarisch aufgebaut ist. Dadurch kann der Geprüfte die spezifischen Punkte im Nachhinein abarbeiten. Der Aufbau sieht normalerweise folgendermaßen aus:

  • Kurze Beschreibung, was geprüft worden ist
  • Feststellung
  • Maßnahme
  • Mögliches Umsetzungsdatum
  • Management Summary
  • CheckAud-Tool Auswertungen

Die CheckAud-Auswertungen werden den Geprüften mit verschiedenen Empfängerkreisen an die Hand gegeben. Es gibt eine einfache Matrix für den Fachbereich, der nur sein “X” abprüfen muss. Zudem gibt es den technischen Bericht für den Basis-Admin, der diesen dann auf Berechtigungs-Objektebene durcharbeiten kann.

Worauf sollte jeder in seinem System achten?

In der Benutzeranlage sollte es keine Dead Accounts wie z.B. abgelaufene Kennwörter oder abgelaufene User. Auch SAP_ALL wird von jedem Prüfer geprüft und sollte demnach schon im Vorhinein gecheckt werden. Zudem sollte man sich die Profilparameter anschauen. Ebenfalls wichtig sind eine Dokumentation und ein Berechtigungskonzept. Hierbei sollte eine Routine geschaffen werden, die idealerweise zusammen mit der Revision zusammen abgesprochen ist und regelmäßig durchgeführt wird.

Hat Ihnen diese Episode gefallen, haben Sie noch weitere Fragen zu dem Thema? Ich freue mich über Feedback.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

Transaktionen richtig aus einer Rolle entfernen

Revisionsfeststellung im SAP beheben
In manchen Fällen sind Transaktionen noch abrufbar, obwohl sie bereits aus dem Menü entfernt wurden. Drei Lösungsmöglichkeiten werden hier vorgestellt.
Artikel lesen
SAP Berechtigungen

Best Practice – Funktionsrollen mit dem RoleDesigner konzipieren

xams
Funktionsbezogene Businessrollen aus Nutzungsstatistiken aufbauen und kritische Berechtigungen rechtzeitig identifizieren – mit dem XAMS RoleDesigner.
Artikel lesen
SAP Berechtigungen

S_TCODE als SU24 Vorschlagswert pflegen?

SAP Transport
Die Pflege von SU24 Vorschlagswerten ist sinnvoll, ja! Aber was passiert eigentlich, wenn Sie zu einer Transaktion S_TCODE als Vorschlagswert pflegen?
#leserfrage, #SU24
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage