Warum schauen Wirtschaftsprüfer auf das SAP-System? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 3)
Autor: Lucas Hoppe | 8. März 2021
Bei der Wirtschaftsprüfung in einem Unternehmen schauen die Prüfer oft auf das eingesetzte SAP-System. Vor allem, wenn darin Prozesse stattfinden, welche für die Buchführung relevant sind. Was genau und warum sich die Wirtschaftsprüfung ein SAP-System anschaut, erklären wir im folgenden Beitrag.
Weitere Artikel zum Thema Wirtschaftsprüfung und SAP Berechtigungen:
- Wirtschaftsprüfung im SAP (Wirtschaftsprüfung und SAP Berechtigungen – Teil 1)
- Tipps für die anstehende Wirtschaftsprüfung (Wirtschaftsprüfung und SAP Berechtigungen – Teil 2)
- [Dieser Artikel] Warum schauen Wirtschaftsprüfer auf das SAP-System? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 3)
- Externe SAP-Wirtschaftsprüfung vs. interne Revision (Wirtschaftsprüfung und SAP Berechtigungen – Teil 4)
- Was prüft der Wirtschaftsprüfer im SAP? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 5)
Warum das SAP-System?
Das Ziel des Wirtschaftsprüfers ist es, mit hinreichender Sicherheit zu bestätigen, dass die Finanzberichterstattung des Unternehmens korrekt ist und den gesetzlichen Anforderungen entspricht. Konkret muss der Wirtschaftsprüfer verantworten, dass der Jahresabschluss und auch die Buchführung konform nach den GoBD sind und den jeweiligen gesetzlichen Vorschriften entsprechen. Dies ist in den Gesetzen nach den Gesetzen § 316, 317 und 322 HGB festgehalten.
Um dies sicherzustellen, wird natürlich die Finanzbuchhaltung selbst geprüft. Zum anderen muss aber natürlich auch das IT-System mit geprüft werden, in dem die Finanzbuchhaltung stattfindet. Ein solches IT-System muss folgende Anforderungen erfüllen: Sicherheit, Funktionstrennung, Archivierung sowie Wiedergabe, Dokumentation und Vollständigkeit, Nachvollziehbarkeit, Unveränderlichkeit, Zeitgerechtigkeit und Richtigkeit. Da bei den meisten großen Unternehmen die Finanzbuchhaltung im SAP-System stattfindet, muss also auch dieses geprüft werden.
Was wird geprüft?
Um die oben genannten Anforderungen zu erfüllen, dürfen Funktionen und Berechtigungen, die Einfluss auf die Finanzbuchhaltung haben, nur restriktiv und kontrolliert vergeben werden.
Ein klassisches Beispiel hierfür ist die Kritikalität des Berechtigungsprofils SAP_ALL. Ist dieses Berechtigungsprofil einem User zugeordnet, dann kann sich dieser ohne Einschränkungen im SAP-System bewegen und sehr leicht negativen Einfluss auf die Finanzbuchhaltung nehmen. Zusätzlich ist es ihm noch möglich, alle Dokumentationen seiner Handlungen restlos zu entfernen. Das geht zum Beispiel durch die Löschung der Änderungsbelege. Somit ist auch nicht mehr nachvollziehbar, wer welche Änderungen im System gemacht hat.
Die DSAG (Deutschsprachige SAP-Anwendergruppe e.V.) hat einen Prüfleitfaden entwickelt, der für Wirtschaftsprüfer und SAP Kunden Informationen darüber bereithält, welche Sicherheitsrisiken es in einem SAP-System gibt. Dieser Leitfaden gilt auch als das Best-Practice für die Prüfung von SAP-Systemen.
Wenn Sie wissen möchten, wie Sie sich auf eine anstehende Wirtschaftsprüfung optimal vorbereiten wollen, empfehlen wir unser Webinar SAP Security: Last-Minute-Tipps, bevor die Prüfer kommen. Auf RZ10.de haben wir außerdem weitere Artikel zum Thema Wirtschaftsprüfung.
Bei weiteren Fragen oder Beratungsbedarf zu dem Thema, können Sie uns auch jederzeit eine Mail an info@rz10.de schreiben.
2 Kommentare zu "Warum schauen Wirtschaftsprüfer auf das SAP-System? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 3)"
mich stellt sich die Frage braucht ein Wirtschaftsprüfer ein SAP Lizenz wenn er 6 Wochen bei uns im Unternehmen ist und wenn ja welche am besten?
Hallo Rene,
danke für die Frage! Hier die Antwort unseres Experten:
„Die juristisch korrekte Antwort lautet vermutlich: Jeder Kunde hat eigene Lizenzverträge mit SAP, die alle ein bisschen unterschiedlich sind. Daher ist keine pauschale Antwort auf diese Frage möglich. In der Praxis kennen wir es so, dass User die nur kurzzeitig im System sind, von der SAP Lizenzvermessung abgegrenzt werden und nicht lizensiert werden müssen. Ob dieses Praxis-Vorgehen vertraglich einwandfrei ist oder nicht können wir aber nicht sicher sagen. Wir empfehlen daher, das individuell zu klären.“
Wenn Sie weitere Unterstützung benötigen, schreiben Sie uns auch gerne eine Mail an info@rz10.de.
Viele Grüße
Die RZ10-Redaktion