SAP® und Transaktionen – was die Berechtigungsprüfung so schwierig macht… Teil 1

Hans-Willi Jackmuth

Teil 1 – Einstieg in die Prüfungswelt der SAP®-Berechtigungen

Wie alles begann…

Wenn Sie diese Zeilen zu lesen beginnen, haben Sie sicherlich bereits die ein oder andere Erfahrung mit dem Thema oder sind schlichtweg interessiert. Ich habe 1997 mit der Prüfung von Berechtigungen in SAP® begonnen - zu diesem Zeitpunkt gab es noch Profile der Nomenklatur FI:**:**:ALL. Über die Jahre habe ich eine Menge dazu gelernt und glauben Sie mir, es existiert auf dem System alles, was Sie sich als sicherheitskritisch vorstellen können.

Mauer aus Stein.

Dazu sitzen in der Entwicklung bei der SAP® auch nur Menschen – also sind auch in den angelieferten Vorschlagswerte der SAP®, die die Administratoren zum Rollenbau nutzen, schon Fehler. Die Dokumentation hat den üblichen Qualitätsstandard: Von exzellent über fehlerhaft und veraltet bis nicht vorhanden – es ist alles bei den rd. 3.000 Objekten dabei.

Know-how kann man in dieser Ecke des Systems nie genug haben. Wenn Sie also über eine Idee verfügen, die noch nicht in einem Prüfungsleitfaden oder im Schwarmwissen der Community bekannt ist, senden Sie mir doch einfach eine E-Mail. Ich werde versuchen Sie zu unterstützen und – falls vorhanden – weiteres Material zur Verfügung stellen.

Toolentwicklung addCube SoDRisk

Als wir in unserem Team begonnen haben, uns dem Thema Übernahme unserer addCube SoDRisk Logik aus IDEA auf unsere eigene SQL-Welt zu nähern, haben wir inständig diskutiert, ob wir nicht gleich ein „HANA-Tool“ schreiben. Aber erstens ist die Qualität unserer eigenen Prüfschritte in den letzten Jahren kontinuierlich gewachsen (wir wissen also, was wir auf einer ERP-Maschine bis einschließlich EHP8 prüfen) und zweitens ist die Logik auf HANA transportierbar und wird im Jahr 2020 implementiert.

„Make or Buy“ – wichtig ist ein grundsätzliches Verständnis der Zusammenhänge

Als Softwarehersteller kann ich Ihnen nur „Buy“ empfehlen – ist Ihnen wahrscheinlich auch klar, dass ich dies präferieren werde. Als Revisor bleibt dann aber noch ein Rest, der beleuchtet werden muss – Ihre unternehmenseigene Welt, also die Welt
der Y*und Z*.

Beginnen wir mit dem „Buy“: Schauen Sie einmal in das Mengengerüst im zweiten Teil dieser Blogserie – rd. 115.000 Transaktionen, die auf rd. 67.000 Programme laufen, die über verschiedene Wege zu dem gleichen Ergebnis führen, wo aus fachlicher Sicht alle Wege der User möglichst „Need-to-know“ sein sollen und Sie auch noch prüfen sollen, ob der Mitarbeiter A in der Einheit 1 lesen, aber in der Einheit 2 schreiben darf?

Wir haben einmal in einer Logistikfirma ein durchaus schlankes Berechtigungskonzept denormalisiert – d.h. auf die Feldebene analytisch aufgebrochen. Ergebnis waren bei nur 500 Usern rd. 8 Mio. Einträge, die Ihnen anschließend zur Auswertung zur Verfügung stehen. Bei allem Verständnis der Liebe der Internen Revision zu MS Excel – das wird auch mit MS Excel PowerPivot und einem schicken Datenbankmodell nicht funktionieren. Von „richtigen“ Datentöpfen mit Useranzahlen > 1.000 und komplexen Ausprägungen einmal ganz zu schweigen.

Was kann also ein Tool? Am Markt sind alle ähnlich aufgestellt, wenn Sie einen professionellen Anspruch haben. Es sollten aus Ihrer Betrachtung sofort alle Tools ausscheiden, die nur auf Transaktionsebene (ja, die gibt es tatsächlich immer noch) und nicht auf Objektebene prüfen. Jedes Tool kann mehr oder weniger komplexe Prüfschritte abarbeiten, ggf. auch Kombinationen aus zwei Prüfschritten auswerten (SoD/Funktionstrennung) und das möglichst noch mit entsprechenden Reports. Ein Kriterium muss dabei die Frage sein, ob der User über alle Objekte verfügt, damit er die Transaktion tatsächlich ausführen kann.

Uns war bei unserer Lösung mit addCube SoDRisk wichtig, dass man die Probleme bis auf Feldebene nachweisen kann. Es bringt einer Administration nun einmal nichts, wenn die die Interne Revision etwas beanstandet, aber die Frage nach dem „Warum“ nicht beantworten kann.

Was spricht für das „Buy“?

Ganz einfach: das komplexe Wissen, dass Sie sich über die Jahre aneignen müssen. Wir arbeiten im Team intensiv immer wieder in Projekten an den Themen– sei es bei Prüfungen oder auch bei Reorganisationen –und lernen viele neue Fallstricke kennen. Um Ihnen ein Gefühl zu geben – so sieht ein Teil unserer Analyse des Themas „BELEG BUCHEN“ aus:

ABAD, ABAD_OLD, ABB1, ABF1, ABF1L, ABZK, F_RFUMSV25, F-01, F-02, F-05, F-21, F-22, F-27, F-41, F-42, F-43, F-90, F-92, FB01, FB01L, FB41, FBB1, FBCB, FBM1, FBS1, FBVB, FMPEBTRANS.   Diese Transaktionen greifen auf das gleiche SAP-Programm SAPMF05A zurück, wie die Transaktion FB01 (Beleg buchen) inklusive des gleichen Dynpros. Somit führt man mit diesen Transaktionen exakt die gleiche Funktion aus, wie mit einem Zugang über die Transaktion FB01.

Neben den oben benannten Transaktionen existieren gleichzeitig noch 97 Transaktionen, die das gleiche ausführbare Programm ansteuern, allerdings eine andere Einstiegsmaske (Dynpro) verwenden. Trotzdem kann man ggf. damit auch buchen.

Diese Darstellung umfasst einen Teilaspekt einer kritischen Berechtigung – also noch keine Funktionstrennungen und ist auch noch nicht hinsichtlich der ergänzenden und ggf. auch optionalen Objekte dargestellt.

Stellen Sie sich doch einmal den tatsächlich „härtesten“ Fall vor, den Ihr Unternehmen treffen könnte – Täter und Wirtschaftskriminelle suchen genau nach diesen Lücken. Dr. Alexander Schuchter, von der HSG St. Gallen hat daher auch das Ihnen vielleicht bekannte Fraud-Triangel auf ein Fraud-Diamond erweitert – es geht darum, dass der Täter spezifisches Wissen über die Schwachstellen im Unternehmen erwirbt und dieses auch einsetzt.

Also sollten Sie aus unserer Sicht nicht einen Teilbericht in „blutrot“ abliefern, sondern versuchen systematisch alle Lücken zu schließen. Dazu können wir Ihnen mit unserem Know-how eine ganze Menge Lücken zeigen und Ihnen anschließend ein „fast gutes“ Gefühl vermitteln.

Warum nur fast gut? Es wird immer in einer derart komplexen Welt ein Restrisiko verbleiben – also wie im realen Leben auch an einer grünen Ampel.

Wir bieten Ihnen unser Wissen in Prüfungsschritten an, die sich wie folgt aufgliedern:

  • BC – Basis
  • FI – Finanzwesen,
  • CO – Kostenrechnung,
  • MM – Materialwirtschaft,
  • SD – Vertrieb.

 

Im Rahmen der Funktionstrennung werden zudem noch folgende Module berücksichtigt:

  • TR – Treasury,
  • PP – Produktionsplanung und -steuerung,
  • QM – Qualitätsmanagement,
  • PS – Projektsystem,
  • MM-IM – Bestandsführung,
  • MM-PUR – Einkauf,
  • FI-AP – Kreditorenbuchhaltung,
  • FI-AR – Debitorenbuchhaltung,
  • FI-GL – Hauptbuchhaltung,
  • FI-AA – Anlagenbuchhaltung.

Warum muss ich als Interne Revision trotzdem „Make“ auf dem Schirm haben?

Wir können für Sie im Standard eine ganze Menge vordenken. Aber manchmal reichen die Standardprogramme schlichtweg nicht aus, um Ihre Unternehmensanforderungen abzudecken. Ergo müssen Sie trotzdem die typischen Y*- und Z*-Transaktionen (ggf. noch einige Namensräume mehr) testen. Wir können in der Software Sie dabei zwar unterstützen, aber dazu muss zuerst einmal eine Analyse erfolgen, welche von den Programmen im Einsatz sind (wir hatten zuletzt eine Bank mit 60-70% „toten“ Programmen), wie gut diese programmiert sind (wir haben regelmäßig Feststellungen, dass der Programmzugriff auch auf kritische FI-Daten nur über Transaktionen, nicht über weitere Objekte abgesichert wird) und welche Aktivitäten damit durchgeführt werden. Sie sehen: alleine an der Stelle hilft ein solider Ausbildungsstand plus eine Prüferhartnäckigkeit.

Wie geht es weiter?

In den weiteren Teilen, welche ich hier in den kommenden Wochen veröffentlichen werde, werde ich Ihnen zu den Mengengerüsten im System einige Informationen geben und unseren Weg, wie wir die Transaktionen qualifizieren, testen und implementieren. Wer über genügend Energie verfügt, kann den Weg ja mitgehen und sich so seine eigene Welt unternehmenskritischer Berechtigungen bauen.

Newsletter mit interessanten Beiträgen

Was gibt es Neues? Profitieren Sie von aktuellen und kostenfreien Arbeitsvorlagen, Buchartikeln, Seminarempfehlungen, Best-Practice-Ansätzen uvm. – so können Sie Ihre Arbeitsabläufe optimieren und neues Wissen in der Praxis einsetzen.

Hier geht es zur Anmeldung.

Zur Übersicht