DSAG veröffentlicht Prüfleitfaden zu SAP ERP 6.0 und GRC-Einführung Praktische Hilfestellungen für die Compliance bei SAP
1. Juni 2015Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) hat zwei Handlungsempfehlungen mit Beispielszenarien und praktischen Tipps veröffentlicht: Zum einen wird erläutert, welche Risiken innerhalb von SAP ERP 6.0 lauern und wie die Wirksamkeit entsprechender Kontrollen am besten geprüft werden kann. Zum anderen beschreiben die Autoren, wie sich Governance, Risikomanagement und Compliance (GRC) Access Control sicher und wirksam einführen lässt.
In der Schusslinie
Unternehmen stehen in der Schusslinie: Von allen Seiten verlangen unterschiedliche Institutionen und Personen, dass die IT-Systeme revisionssicher betrieben werden. Überdies müssen Ordnungsmäßigkeit und Sicherheit des Zugriffs auf Programme und Daten gewährleistet sein. Vor dem Hintergrund, dass IT-Landschaften immer komplexer werden – auch durch mobile Endgeräte und Cloud Computing – sind Unternehmen mehr denn je gefordert, alle fachlichen, organisatorischen und gesetzlichen Ansprüche unter einen Hut zu bringen, Stichwort Compliance. Durch die aktuellen Sicherheitsdiskussionen kommt eine weitere und brisante Dimension hinzu.
Grund genug für den Arbeitskreis Revision und Risikomanagement, den Leitfaden SAP ERP 6.0 umfassend zu aktualisieren – und zwar mit dem Ziel, Best-Practice-Empfehlungen für die Prüfung von SAP-Anwendungen zu geben. Wichtige Ergänzungen finden Anwender speziell zu Prüfungshandlungen innerhalb der GRC-Suite (Governance, Risikomanagement und Compliance) und bei SAP HANA.
Erstellung einer Prüferrolle
Im Rahmen einer Prüfung müssen neben den für das Unternehmen geltenden gesetzlichen Vorgaben auch die „internen“ Compliance-Vorgaben berücksichtigt werden, wobei den gesetzlichen Vorgaben Vorrang zu gewähren ist. Zur Durchführung einer SAP-Systemprüfung benötigt der interne bzw. externe Prüfer generell alle Anzeigeberechtigungen, die das Prüfungsgebiet umfassen.
Insofern ist die Einrichtung von Prüferrollen im Vorfeld anstehender Prüfungen empfehlenswert, damit bei Prüfungsbeginn nicht unnötige Zeit auf Anwender- und Prüferseite vertan wird. Die Prüferrollen sind in der Form aufzubauen, dass nur die Inhalte der zum Prüfungsumfang gehörenden Bereiche angezeigt werden dürfen. Dies gilt insbesondere dann, wenn gesetzliche Vorgaben im Kontext des Datenschutzes oder einer Steuerprüfung (DART-Zugriffe) zu erfüllen sind.
Ist aus technischer Sicht in den Prüferrollen eine Änderungsfunktion/Änderungstransaktion unumgänglich (z.B. Zugriff auf bestimmte Customizing-Tabellen), ist diese separat nur für die Dauer des spezifischen Prüfungsschrittes zu berechtigen. Benötigt ein Prüfer Berechtigungen (z.B. Zugriff auf Eigenentwicklungen), die denen eines Notfallusers entsprechen, ist gemäß dem vorliegenden Notfalluserkonzept zu verfahren.
(Auszug aus dem Prüfleitfaden SAP ERP 6.0 der DSAG)
GRC Access Control
Einen Schritt weiter geht die Arbeitsgruppe GRC (Governance, Risk Management, Compliance) mit dem Leitfaden zu SAP GRC Access Control 10.0. und ihren Einzelkomponenten: Die Handlungsempfehlung kann als praxiserprobter Wegweiser dienen, um potenziellen Stolperfallen aus dem Weg zu gehen.
Dazu zählen rechtliche Anforderungen aus Wirtschaftsprüfung und Revision sowie fachliche und gesetzliche Anforderungen aus Corporate Governance, dem Bilanzrechtmodernisierungsgesetz (BilMoG) oder den Mindestanforderungen an das Risikomanagement von Finanzinstituten und Versicherungen (MaRisk). Denn hier gilt, dass nur auf Daten und Programme zugreifen kann, wer sie für seine Aufgabenerfüllung benötigt und zu deren Zugriff er berechtigt ist. Den Autoren lag für einen erweiterten Blick auf die gesamte Bandbreite heutiger Compliance-Anforderungen erstmals auch ein Praxisbericht aus einem DAX-Unternehmen vor.
Alle DSAG-Handlungsempfehlungen sind online abrufbar.
Unter www.dsag.de/E-Pruefleitfaden6.0 und www.dsag.de/E-GRC-Access-Control10.0 stehen beide Dokumente zum Download bereit.