CheckAud^® for SAP^® Systems wurde mit der Zielrichtung entwickelt, maßgeblich das Berechtigungskonzept transparent und leicht auswertbar zu machen, aber auch um die sicherheitsrelevanten Bereiche eines SAP®-Systems prüfen zu können.

Wer prüft aber was in einem SAP® System? Und wie oft? Wer ist für welche Prüfungen verantwortlich? Generell wird CheckAud^® for SAP^® Systems in den Unternehmen von den verschiedensten Stellen eingesetzt. Hierbei handelt es sich maßgeblich um:

Die Aufgabe der Revision ist es, Prozesse auf Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit zu prüfen. Im virtuellen Betrieb (Abbild des Unternehmens in der IT) bedeutet dies unter anderem, die Berechtigungskonzepte in den SAP Systemen zu prüfen.

Ordnungsmäßigkeitsvorgaben, die in hohem Maße das Berechtigungskonzept betreffen, sind unter anderem:

• §239 Abs. III HGB Radierverbot
• §257 HGB Aufbewahrungsfristen
• KonTraG
• GoBS
• TUG (Transparenzrichtlinie-Umsetzungsgesetz)
• 8. EU-Richtlnie
• Sarbanes-Oxley Act

Des weiteren gelten umfangreiche branchenbezogene gesetzliche Vorgaben. Für Banken gelten z.B. die Vorgaben aus BASEL II. Hier gilt besonders zu Prüfen, ob die Mindestanforderungen an das Risikomanagement (MaRisk) eingehalten werden.

Für Energieversorger gelten die Unbundling- bzw. Entflechtungsvorschriften im Energiewirtschaftsgesetz (EnWG).

Hinzu kommen unternehmensinterne Vorgaben wie das fachabteilungsbezogene interne Kontrollsystem (IKS). Die Kontrolle der Umsetzung dieser Vorgaben und Vorschriften in den SAP Systemen stellt sowohl eine qualitative als auch eine quantitative Herausforderung an den Prüfer dar. Die Prüfung und Überwachung wird erst durch CheckAud^® for SAP^® Systems umfassend möglich.

CheckAud^® for SAP^® Systems bietet nicht nur ein Maximum an Transparenz, es beinhaltet auch das kompetente Beraterwissen zur Basisicherheit sowie in den einzelnen Modulen. Sowohl Berechtigungs- als auch Systemadministratoren können sich somit darüber informieren, welche Gesetzmäßigkeiten (z.B. Radierverbot, Aufbewahrungsfristen) oder Ordnungsmäßigkeiten (z.B. 4-Augenprinzipien, Schutz sensibler Daten) zu beachten sind, welche System- und Customizing-Einstellungen vorgenommen / nicht vorgenommen werden sollten und wie das ganze nun bei ihnen im System aussieht. Dies ist nicht nur dadurch möglich, dass eine vielzahl kritischer Berechtigungen in CheckAud^® for SAP^® Systems abgebildet sind, sondern auch deren genaue Beschreibungen (Gefahrenpotentiale im Detail) sowie die Hinweise zur Beseitigung von "falschen" Berechtigungen. Des weiteren sind grundsätzlich immer auch die Gesetzmäßigkeiten und Ordnungsmäßigkeitsvorgaben in Form von Dokumenten und Checklisten hinterlegt sowie die zugehörigen Customizing-Einstellungen (Berechtigungsgruppen, Organisationselemente, ...), Systemeinstellungen (Parameter, Dictionary-Tabellen, ...) und sonstigen Elemente (RFC-Destinationen, Buchungsperioden, ...).

Speziell für Administratoren wurden zu den einzelnen Modulen die entsprechenden OSS-Hinweise integriert. Diese und viele weitere Funktionen ermöglichen dem Administrator ein sicherheitsprophylaktisches Arbeiten, dass garantiert zu einer sicheren und dadurch revisions- und datenschutzfesten Umgebung führt.

Aber nicht nur hierdurch wird die Arbeit der Administration erheblich erleichtert. Das Tool bietet u.a. auch umfassende Möglichkeiten für Negativtests bei neuen / geänderten Rollen oder Rollenzuweisungen, z.B. durch die Möglichkeit zur Simulation von Rollen und Benutzern. Auf diese Weise lassen sich Berechtigungsprobleme, die z.B. über den Profilgenerator entstanden sind oder durch eine Kombination verschiedener Rollen, sehr leicht finden und darstellen. Außerdem stehen verschiedenste Darstellungsmöglichkeiten für das komplexe Berechtigungskonzept zur Verfügung, welche dieses transparent und nachvollziehbar machen, z.B. durch Auflösung sämtlicher Rollen-, Sammelrollen- und Referenzbenutzerdarstellungen. Zusätzlich wird auch zu Berechtigungsobjekten und deren Felder die vollständige Dokumentation aus dem SAP®-System mit ausgelesen.

Fachabteilungen haben eigene interne Vorgaben für die Berechtigungen in den SAP Systemen, sowohl bzgl. sensibler einzelner Transaktionen als auch zu kritischen Kombinationen von Berechtigungen. Dieses interne Kontrollsystem für die SAP Berechtigungen lässt sich mit wenig Aufwand in CheckAud^® for SAP^® Systems abbilden. Die Fachabteilung (Dateneigentümer oder Fachbereichsleiter) hat dadurch die Möglichkeit, seine eigenen Vorgaben leicht zu überprüfen. Hierfür ist noch nicht einmal die Nutzung von CheckAud^® for SAP^® Systems von der Fachabteilung selbst notwendig. Über einen Scheduler gesteuert können die Auswertungen komfortabel in Excel-Dateien gespeichert werden, so dass nur diese noch überprüft werden müssen.

Somit ermöglicht CheckAud^® for SAP^® Systems die Abbildung eines IKS für Berechtigungen.

Nicht nur Revisoren schauen sich SAP-Systeme vor dem Hintergrund eines ordnungsgemäßen Betriebes an - auch Betriebs- und Personalräte tun dies, wenn auch mit anderen Schwerpunkten.

Angefangen bei den geltenden Interessenvertretungsgesetzen (BetrVG, PersVG, MVO, MVG), vielfältigen Gesetzen, Richtlinien und Verordnungen aus den unterschiedlichsten Bereichen (z.B. Arbeits- und Gesundheitsschutz, etc.) bis hin zu den Regelungen des Bundesdatenschutzgesetzes stützt sich die Arbeit der Interessenvertretungen im Zusammenhang mit SAP®.

CheckAud^® for SAP^® Systems unterstützt bei der regelmäßigen Kontrolle der Betriebsvereinbarungen und beantwortet zum Beispiel folgende Fragestellung:

• Wer kann Leistungs- und Verhaltenskontrollen vornehmen?

Hierfür wurde ein spezieller Analysebaum in Zusammenarbeit mit dem TBS NRW erstellt, in dem die speziellen Fragestellungen der Betriebsräte abgebildet sind.

CheckAud^® for SAP^® Systems unterstützt den internen Datenschutz in der Kontrolle und Einhaltung des BDSG § 4e (Meldepflicht) und § 9 (Technische und organisatorische Maßnahmen) bei SAP®-Systemen. Die Anforderungen für Verfahrensmeldungen (Zugriffskontrolle und Eingabekontrolle) werden mit CheckAud^® for SAP^® Systems geprüft und dokumentiert. Ebenso ist die Kontrolle und Einhaltung des Trennungsgebots mit CheckAud^® for SAP^® Systems bei SAP®-Systemen für die Anforderungen des Datenschutzes abgebildet.

CheckAud^® for SAP^® Systems kann von einem Datenschützer / Prüfer unabhängig von den Administratoren des SAP®-Systems eingesetzt werden.

Im Rahmen einer Jahresabschlussprüfung haben die Jahresabschlussprüfer die Verpflichtung zur Durchführung einer IT-Prüfung (IDW PS330). CheckAud^® for SAP^® Systems bietet optimale Möglichkeiten für eine Standardisierung dieser Prüfungen. Dies ermöglicht die Prüfung der relevantesten Sicherheitseinstellungen und Berechtigungen in den SAP Systemen in einem äußerst kurzen Zeitraum (ca. 3 Tage inkl. Prüfbericht). Die Ergebnisse stellen trotzdem keine Stichprobe dar, sondern eine 100%ige Abbildung des Prüfungsumfanges. CheckAud^® for SAP^® Systems wird bereits vermehrt von Wirtschaftsprüfungsgesellschaften im Rahmen der Jahresabschlüsse eingesetzt.

• > deutsch
• english