Was prüft der Wirtschaftsprüfer im SAP? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 5)
Autor: Lucas Hoppe | 22. März 2021
Angefangen bei einer einfachen Suche nach dem SAP_ALL-Profil in der SUIM bis hin zur umfangreichen Prüfung mit Hilfe eines externen Tools: Die Detailtiefe von Wirtschaftsprüfungen im SAP ist oft unterschiedlich und hängt von vielen Faktoren ab. Was genau schaut sich der Prüfer also alles an?
Weitere Artikel zum Thema Wirtschaftsprüfung und SAP Berechtigungen:
- Wirtschaftsprüfung im SAP (Wirtschaftsprüfung und SAP Berechtigungen – Teil 1)
- Tipps für die anstehende Wirtschaftsprüfung (Wirtschaftsprüfung und SAP Berechtigungen – Teil 2)
- Warum schauen Wirtschaftsprüfer auf das SAP-System? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 3)
- Externe SAP-Wirtschaftsprüfung vs. interne Revision (Wirtschaftsprüfung und SAP Berechtigungen – Teil 4)
- [Dieser Artikel] Was prüft der Wirtschaftsprüfer im SAP? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 5)
Was genau schaut sich der Prüfer also alles an? Die Antwort auf diese Frage ist gar nicht so einfach. Die Erfahrung zeigt, dass die Detailtiefe von Wirtschaftsprüfungen im SAP von Faktoren wie der Unternehmensgröße oder auch der Branche abhängig sein können . So kann es sein, dass die Wirtschaftsprüfer bei einer großen Bank deutlich umfangreicher Prüfungen im SAP-System durchführen als bei einem mittelständigen Unternehmen mit nur einem kleinen SAP-System.
1. Berechtigungen
Die höchste Priorität bei Wirtschaftsprüfungen im SAP haben natürlich oftmals die Berechtigungen. In erster Linie vor allem die Berechtigungen der Dialoguser. Konkret wird oft auf kritische Berechtigungen geprüft. Ein Beispiel hierfür ist die Berechtigung zum Debuggen mit Replace. Dadurch können sehr leicht Variablen im Code und somit direkt Werte bis auf die Datenbankebene manipuliert werden. Mit Blick auf eine konforme Finanzbuchhaltung ist so etwas natürlich nicht akzeptabel.
Weiterhin schaut der Prüfer auch auf sogenannte SoD-Konflikte oder Funktionstrennungskonflikte. Eine SoD oder Funktionstrennung verhindert, dass eine Person allein die Möglichkeit hat, eine kompletten Geschäftsprozess in betrügerischer Absicht zu durchlaufen. Ein Beispiel hierfür wäre ein Mitarbeiter, welcher gleichzeitig die Berechtigung im SAP zum Ändern von Bankenstammdaten hat und einen Zahllauf ausführen kann. Dadurch könnte der Mitarbeiter durch eine Stammdatenänderung eine Zahlung auf das falsche oder sogar eigene Konto vornehmen.
Sind die Berechtigungen der Dialoguser bereinigt, dürfen nicht die Systemuser vergessen werden. Wenn Systemuser (z.B. RFC-User) mit zu umfangreichen Berechtigungen oder sogar einem SAP_ALL ausgestattet sind, gibt es Möglichkeiten diese zu missbrauchen. Möglich ist das zum Beispiel über eine schlecht gesicherte Schnittstelle.
2. Benutzerprozesse
Nach den Berechtigungen sind oft die Benutzerprozesse/das User-Lifecycle Management im Fokus der Wirtschaftsprüfung. Ohne einen funktionierenden Prozess zum Umgang mit SAP-Benutzern können verschiedene Risiken entstehen.
Ein gutes Beispiel aus der aktuellen Zeit ist die Arbeit im Home Office oder Remote. Viele Unternehmen schaffen aktuell Möglichkeiten für Ihre Mitarbeiter auch von zuhause aus per Remote-Zugang im SAP-System zu arbeiten. Verlässt nun ein Mitarbeiter mit Remote-Zugang das Unternehmen, ohne dass sein Remote-Zugang und SAP User gesperrt wird, hat dieser auch nach seinem Austritt noch die Möglichkeit auf sensible und kritische Daten des Unternehmens zuzugreifen.
Ein weiteres Beispiel sind die Benutzeraccounts von Auszubildenden im Unternehmen. Auszubildende durchlaufen in Ihrer Ausbildung oft mehrere Abteilungen im Unternehmen. Um überall gut mitarbeiten zu können, bekommen Sie in jeder Abteilung neue Berechtigungen. Werden die alten Berechtigungen Ihnen dann nicht wieder entzogen, sammeln Sie so über die Zeit umfangreiche Berechtigungen an. Dies gilt es durch gute Benutzerprozesse zu vermeiden.
3. Systemparameter
Im nächsten Schritt wird meist geprüft, ob und wie das SAP-System nach außen abgesichert ist. Eine zentrale Rolle spielen hier die richtigen Einstellungen der Systemparameter. Unter anderem wird hier auf die Passwortsicherheit und die Passwortrichtlinien geschaut. Ein typisches Thema dabei ist zum Beispiel die Verwendung von SAP Standardpasswörtern. Weiterhin kann auch auf die Absicherung der Kommunikation der Systeme nach außen geprüft werden.
4. ABAP-Code
Eher selten in einer Wirtschaftsprüfung geprüft und auch sehr oft von den Entwicklern selbst vernachlässig: der ABAP-Code von Eigenentwicklungen im SAP-System. Dieser wird – wenn überhaupt – meist nur durch die interne Revision kontrolliert.
Die besten Berechtigungen nützen nichts, wenn im ABAP-Code nicht nach ihnen geprüft wird. Deswegen ist es wichtig, dass ausreichend und nicht zu allgemeine AUTORITY-CHECKS in die eigenen Reports eingebaut werden. Die SAP selbst bietet hier zum Beispiel Möglichkeiten ABAP-Code auf Sicherheitslücken hin zu analysieren. Um Sicherheitsprobleme im ABAP-Code schon abzufangen, bevor diese überhaupt in das Produktivsystem gelangen, ist es möglich, schon im Transportprozess den Code zu analysieren und gegebenenfalls Probleme abzufangen.
Fazit
Auf was genau bei der Wirtschaftsprüfung im SAP-System geprüft wird, kann von Unternehmen zu Unternehmen unterschiedlich sein. Meist werden zuerst die Berechtigungen und deren Vergabe unter die Lupe genommen. Dabei liegt der Fokus zuerst auf Dialog- und dann auf den System-Usern. Im nächsten Schritt wird darauf geachtet, dass die Benutzerprozesse sinnvoll aufgebaut sind. Anschließend liegt der Fokus auf den Einstellungen der Systemparameter und zum Schluss wird eventuell noch der ABAP-Code der Eigenentwicklungen im System geprüft. Somit sollten bei der Vorbereitung auf eine Prüfung die Berechtigungen und Benutzer immer die höchste Priorität haben.
Wenn Sie wissen möchten, wie Sie sich auf eine anstehende Wirtschaftsprüfung optimal vorbereiten wollen, empfehlen wir unser Webinar SAP Berechtigungen: Last-Minute-Tipps, bevor die Prüfer kommen. Auf RZ10.de haben wir außerdem weitere Artikel zum Thema Wirtschaftsprüfung.
Bei weiteren Fragen oder Beratungsbedarf zu dem Thema, können Sie uns auch jederzeit eine Mail an info@rz10.de schreiben.
2 Kommentare zu "Was prüft der Wirtschaftsprüfer im SAP? (Wirtschaftsprüfung und SAP Berechtigungen – Teil 5)"
Gibt es die Möglichkeit, eine allgemeine Anzeigeberechtigung zu vergeben?
Damit der Wirtschaftsprüfer sich alles anzeigen aber nichts verändern kann?
Hallo Andreas,
es gibt Ansätze dazu (z.B. Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG). Hat aber den Nachteil, dass ein Rest Änderungsberechtigung enthalten ist. Wenn man manuell sehr gute Leseberechtigungen erzeugt, gibt es dann oft einen veralteten Stand, irgendwelche neuen Reports lassen sich dann nicht aufrufen. Manchmal kann man auch mit Protokollierung arbeiten, also irgendeine Form von Zugriff, der aber hinterher kontrolliert wird.
Viele Grüße
Tobias