Das Audit Information System (AIS) ist ein Standard-Werkzeug der SAP® und stand ab dem Release SAP R/3 3.1l und 4.6A erstmals als Standardkomponente zur Verfügung. Den Zugriff auf das AIS erhielt man durch die Ausführung der Transaktion SECR. Ruft man diese Transaktion in den neueren Systemen auf, erscheint in einem neuen Fenster der Hinweis: Der Report RSSECR00 ist veraltet.

Ist das Audit Information System also veraltet bzw. wurde es von der SAP® aussortiert?

Diese Frage stellen sich viele unserer Kunden. Denn die Aussage wird meist innerhalb der IT-Abteilung getroffen. Und generell wird die Anforderung ein AIS zu installieren, von der IT meist abgewehrt. Entweder ist es nicht möglich, die Rollen zu erstellen, da die eigentlichen Data-Owner entscheiden müssen, welche Daten eingesehen werden dürfen. Oder es liegt daran, dass es einfach nicht ins Konzept passt.

Anzeige beim Aufruf der Transaktion SECR.

Der Mythos „Audit Information System“

In vielen Projekten stoßen wir vor Projektbeginn schon an vielen Ecken an und müssen erst einmal Klarheit über das AIS schaffen. Denn es ist keinesfalls veraltet oder wird nicht mehr weiterentwickelt. Das AIS hat sich nur im Laufe der Zeit verändert. Definiert und entwickelt wurde es in Zusammenarbeit mit dem SAP-Arbeitskreis Revision (DSAG). Dabei wurden Erfahrungen aller Arbeitskreismitglieder zusammengetragen und der kleinstmögliche Nenner als Standard im AIS niedergeschrieben.

Mittlerweile ist das AIS nicht mehr über eine Transaktion aufrufbar, sondern direkt im Benutzermenü über eine heute übliche Rollenstruktur implementiert. Durch die Ordnerstruktur entsteht ein klarer Leitfaden, der die Revision dabei unterstützen soll – auch ohne Erfahrung mit SAP® – schrittweise Prüfungen durchzuführen. Dabei beinhaltet es neben den kaufmännischen Themen auch die Systemprüfungssicht. Der Aufbau ist klar an die Ansprüche der Revision angepasst und setzt sich dadurch von der SAP-Standard-Struktur ab, die für die einzelnen Fachbereiche zur Ausführung der täglichen Tätigkeiten gedacht sind.

AIS Benutzermenü.

Einrichtung des Audit Information System

Die Zuordnung der einzelnen Bereiche und Themenfelder wird durch Einzelrollen geschaffen. Dadurch ist es auch möglich, die Revision in mehrere Themenfelder zu unterteilen. Die Rollen sind im Standard hinterlegt und müssen in den Kundenraum überführt werden. Die Rollen sind unterteilt in Berechtigungsrollen (diese sind mit einem „*_A“ gekennzeichnet) und Transaktionsrollen. Dabei beinhalten die Berechtigungsrollen, die notwendigen Berechtigungen und die Transaktionsrollen die zugehörigen Menüs.

Für die Firmen, in denen ich das AIS bisher eingerichtet habe, ist diese Aufteilung allerdings unpraktisch. Daher bin ich dazu übergangen, diese Rollen zusammenzuführen. Dies beinhaltet allerdings einen etwas höheren Aufwand, da darauf geachtet werden muss, dass keine weitreichenden Berechtigungen in die Rollen miteinfließen.

Neben den Rollen gibt es noch einzelne Arbeiten, die vor Fertigstellung des AIS durchzuführen sind. Diese sind teilweise Customizing-Einstellungen, die nur auf der Entwicklungsumgebung durchgeführt werden sollen und dann mittels Transportauftrag ins Produktivsystem transportiert werden.

Nutzung und Vorteile des AIS

Wie bereits erwähnt, bietet das AIS die Möglichkeit strukturiert das System zu prüfen. Dabei bietet es teilweise Kontrollen, die direkt auf dem System durchgeführt werden und gleichzeitig die Auswertung von Daten, die mittels eines Exports auch in externen Programmen, weiterverarbeitet werden können. Dies können z. B. Belege, Salden oder Stammdaten sein.

Durch Selektionsvariablen, die innerhalb der Tabelle TVARVC an die einzelnen Prüfungen angepasst werden können, wird die Revision dabei unterstützt, innerhalb aller für das AIS abgeleiteten Standardreports, Voreinstellungen zu tätigen. Eine Optimierung kann darin bestehen, nicht bei jedem Report das Jahr oder den Prüfungszeitraum neu einzutragen, sondern auf die Einstellungen zurückzugreifen. Dies ermöglicht ein komfortableres Arbeiten. Aus diesem Grund ist es auch möglich, wie bereits in meinem Blogbeitrag „Continuous Auditing – Automatisierte Prüfungen in SAP®“ beschrieben, automatisierte Prüfungen zu erstellen.

Die Nutzung des Benutzermenüs und der vorgegebenen Struktur bietet außerdem den Vorteil, dass teilweise zu einzelnen Auswertungen Hinweise im Menü hinterlegt sind. Mittels der Hinweise, wird einerseits die Nutzung der Reports erläutert und andererseits auch die Aussagemöglichkeiten der Reports beschrieben. Die Hinweise sind meist mit „SAPSCRIPT – AIS Doku“ betitelt.

Das AIS ist nicht nur durch die aktive Nutzung zu erlernen. Der SAP-Arbeitskreis Revision hat neben der Entwicklung des AIS auch mehrere Leitfäden geschrieben, die sich an dem AIS orientieren. So wurde im Jahr 2009 der „Prüfleitfaden SAP ERP 6.0“ entwickelt, der aus zwei Teilen besteht. Der erste Teil widmet sich dem System Audit und der zweite dem kaufmännischen Part. Letzterer ist immer noch gültig, der erste Teil wurde allerdings im Jahr 2015 erneuert und beinhaltet jetzt Prüfungshandlungen für SAP® HANA. Beide Leitfäden können unter www.dsag.de kostenlos heruntergeladen werden.

Mittels der früheren Transaktion SECR war es auch möglich, eigene Prüfungen zu erstellen und Dokumentationen während der Durchführung der Prüfung zu hinterlegen. Dies ist mit dem Benutzermenü erst einmal nicht möglich. Allerdings hat SAP® dafür eine neue Plattform erstellt. Über die Transaktion SAIS – Arbeitsplatz Audit Informationssystem –, ist es wieder möglich eigene Prüfungen und Dokumentationen zu erstellen. Die Möglichkeiten mittels des SAIS möchte ich Ihnen in meinem nächsten Beitrag darstellen.

Fazit

Die Frage, ob das AIS veraltet ist, kann man ganz klar verneinen. Es mag sein, dass ältere Funktionen nicht mehr der heutigen Vorgehensweise entsprechen, allerdings bietet das AIS der Revision immer noch die Möglichkeit, das System schrittweise zu prüfen. Dabei dient es vor allem dafür, den Grundstein für die Revision zu legen und einen angemessenen Arbeitsplatz zu schaffen. Gerade bei der Einführung von SAP® oder bei der ersten Nutzung des Systems kann das AIS helfen, sich einen Überblick über alle wichtigen Bereiche zu schaffen und damit die Prüfungen, effizienter und effektiver zu gestalten.

Aus meiner Sicht sollte es für die Revision selbstverständlich sein, die nötigen Informationen autark über direkte Systemzugriffe zu beziehen. Um Risiken zu erkennen, muss die Revision sich mit dem System vertraut machen und eigenständig prüfen können. Genau aus diesem Grund sollte das AIS auch ein Standard in jedem Unternehmen sein.

Sie haben immer noch nicht genug
von der Prüfung von SAP?

Mit unserem Newsletter erhalten Sie alle zwei Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen.