GoBD in SAP – Brauche ich ein IKS?

Autor: Luca Cremer | 23. April 2020

38

Eine der wichtigsten gesetzlichen Anforderungen an Unternehmen liegt in den Grundsätzen ordnungsgemäßer Buchführung und Datenzugriff (GoBD). Nun sind Gesetzestexte nicht die leichteste Kost. Deswegen gehe ich in diesem Beitrag einmal auf die Auswirkungen der GoBD in Bezug auf SAP-Systeme mit Fokus auf das interne Kontrollsystem (IKS) ein.

Was fordern die GoBD?

Grundsätzlich geht es bei den GoBD um die Erfüllung der Grundsätze ordnungsgemäßer Buchführung in Bezug auf DV-Systeme, also die digitale Datenhaltung. Jegliche Buchungsdaten, die für ein Unternehmen relevant sind, werden mehr und mehr digital betrieben und archiviert. Hier müssen also auch entsprechende Regelungen des Zugriffs, der Aufbewahrung und der Kontrolle dieser Daten getroffen werden.

In einem Schreiben des Bundesministeriums für Finanzen (BMF) vom 28.11.2019 heißt es: “Für die Einhaltung der Ordnungsvorschriften des § 146 AO hat der Steuerpflichtige Kontrollen einzurichten, auszuüben und zu protokollieren.

Das interne Kontrollsystem (IKS) wird also als zentraler Bestandteil zur Erfüllung der GoBD angesehen – das gilt auch für SAP!

Forderungen der GoBD an ein IKS für SAP

Zu den steuerpflichtigen Kontrollen eines IKS zählen unter anderem:

  • Zugangs- und Zugriffskontrollen auf Basis entsprechender Konzepte (ähnliche Anforderung wie sie die EU-DSGVO ebenso stellt)
  • Funktionstrennungen (Klassische SoD-Konflikte eines SAP-Systems)
  • Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten

Gleichzeitig sind diese Kontrollen nach den geltenden Regeln nicht immer gleich zu erfüllen. In dem Schreiben des BMF heißt es weiter: “Die konkrete Ausgestaltung des Kontrollsystems ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems.

Wenn ich diese Informationen auf ein SAP-System anwende, schließt sich für mich daraus, dass die GoBD definitiv ein IKS erfordert – wie genau dieses aussieht und was hier erfüllt werden muss, ist jedoch etwas vage formuliert.

Whitepaper: Varianten interner Kontrollsysteme

Informieren Sie sich über die verschiedenen Ausprägungen in internen Kontrollsystemen. Hier gibt es verschiedene Varianten & Anbieter für die unterschiedlichsten Tools.

Ich gehe in den folgenden Abschnitten einmal kurz auf die drei erwähnten Kontrollen ein und zeige auf, wie diese konkret in einem SAP-System als IKS umgesetzt werden können.

Zugangs- und Zugriffskontrollen

Hierzu zählt in SAP die Kontrolle auf Einhaltung der im Berechtigungskonzept definierten Vorgaben. Dazu muss vorerst ein entsprechendes Konzept entworfen werden – falls noch nicht vorhanden.

Ein konkretes Beispiel ist: Im Konzept ist definiert, dass es für interne & externe Prüfer spezielle Rollen gibt, welche auf Anzeigeberechtigungen beschränkt sind. Die Kontrolle wäre in diesem Fall jetzt die Negativkontrolle: Gibt es Prüfer im System, welche auch Änderungsberechtigungen haben?

Die Kontrolle kann dabei sowohl manuell als auch automatisiert erfolgen. Das ist dann eher eine Frage des Aufwands und der Kosten.

Funktionstrennungen

Hierbei geht es darum, dass bestimmte Funktionen an sich vergeben werden dürfen – in der Kombination mehrerer solcher Funktionen, können diese bei einem einzigen Benutzer jedoch kritisch sein.

Eine klassische Funktionstrennung aus dem SAP Basisbereich: Herr Müller hat die Berechtigung User im System anzulegen und Berechtigungszuweisungen zu tätigen. Dadurch ist Herr Müller in der Lage jegliche kritische Aktivität im System unbemerkt durchzuführen.

Die Kontrolle hierfür wird noch etwas schwieriger und aufwendiger als es bei “normalen” kritischen Berechtigungen der Fall ist. Sie müssen die Kombination von verschiedenen Berechtigungen pro User kontrollieren.

Hierfür empfehle ich definitiv den Einsatz eines Tools – alternativ kann auch der gesamte Kontrollprozess extern durchgeführt werden, sodass Sie sich hierüber keine Gedanken machen müssen.

Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten

Auch dieser Punkt kann wieder auf zwei Varianten betrachtet werden:

  1. Die proaktive Absicherung, durch eine entsprechende Berechtigungsvergabe
  2. Die nachträgliche Kontrolle, ob eine solche Verfälschung durchgeführt wurde

Bei den in der GoBD genannten Verfälschungen von Programmen oder Daten handelt es sich in SAP um reale Systemvorfälle, die überwacht werden müssen. Dies ist also keine Kontrolle von vergebenen kritischen Berechtigungen, die ein Risiko auslösen könnten, sondern die Kontrolle darüber, was im System tatsächlich vorgefallen ist.

Um eine solche Kontrolle überhaupt zu ermöglichen, müssen Sie das SAP-System entsprechend konfigurieren. Der erste Ansatzpunkt ist hier das von SAP bereitgestellte Security-Audit-Log (SAL).

Was kann ich konkret tun, um die Anforderungen der GoBD an SAP zu erfüllen?

Ich fasse Ihnen die Erkenntnisse und meine daraus resultierenden Empfehlungen einmal kurz zusammen:

  • Erstellen Sie ein Berechtigungskonzept und setzen Sie dieses im System technisch um
    • inkl. Funktionstrennungskonflikte
  • Sorgen Sie für eine regelmäßige Kontrolle der im Konzept festgesetzten Regeln
    • inkl. Funktionstrennungskonflikte
  • Konfigurieren Sie das Security Audit Log
  • Kontrollieren Sie regelmäßig das Security Audit Log

Lassen Sie mich helfen

Der erste Schritt ist immer der Schwerste. Ich kann Ihnen bei der Erfüllung der Vorgaben helfen - vom Coaching bis hin zur kompletten Umsetzung und regelmäßigen Kontrolle durch unsere Experten. Kontaktieren Sie mich!

Haben Sie Fragen oder Anmerkungen zu den hier erwähnten Inhalten? Ich freue mich über einen entsprechenden Kommentar!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice