Aus dem Raster gefallen: Prozessplausibilität und SAP Sicherheit

von Dennis Jürgensen am 26.10.2017 08:45:00

Bei einigen Themen der Prozessstandardisierung, Ordnungsmäßigkeit oder des Zugriffsschutzes ist eine Zuordnung in die klassischen Prozesse Einkauf, Verkauf oder Anlagevermögen durchaus schwierig, wenn nicht sogar unmöglich. Allerdings sind Prüfungsfragen, wie z.B. Aktivitäten von Superusern, Funktionstrennungskonflikten, oder Buchungen am Wochenende nicht minder kritisch.

 

Für eben solche Prüfungsfragen haben wir den prozessübergreifenden Prozess in zap Audit implementiert. Darunter fallen alle Prüfungsfragen, die keinem speziellen Prozess zugeordnet werden können. Warum, wieso und weshalb erfahren Sie in diesem Blog Post.

 

Prozessübergreifende (überfachliche) Prüfungsfragen - Prozessplausibilität Security in SAP

 

Warum gibt es prozessübergreifende Prozessanalysen?

"Prozessübergreifende Prozessanalysen" - hört sich unspezifisch an! Warum kann man Datenanalysen oder Datenindikatoren nicht eindeutig einem Prozess wie Einkauf oder Verkauf zuordnen? Die Antwort ist, dass es Fragestellungen gibt, die gewissenmaßen "überfachliche" Prozessschwächen ausfindig machen wollen. Beispielsweise ist es eine generelle Frage, ob Sie Ihren Buchungsstoff zeitnah erfasst haben, damit Ihr Rechnungswesen ordnungsgemäß ist. Dabei ist es völlig unerheblich, ob es sich um einen Beleg aus dem Bereich Einkauf, Verkauf oder Anlage- und Vorratsvermögen handelt. Die zeitnahe Erfassung von Belegen ist gewissermaßen eine stets relevante "Sekundärtugend". Und von solchen Fragenstellungen gibt es viele...

 

Welche Rolle spielen dabei die GoBD?

Die GoBD sind nach wikipedia.org:

"Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) regeln die formalen Anforderungen an die Buchführung und die Aufbewahrung von steuerrechtlich relevanten elektronischen Daten und Papierdokumenten unter Bezug auf die Grundsätze ordnungsmäßiger Buchführung. Zudem enthalten die GoBD Regeln zum elektronischen Datenzugriff der Finanzverwaltung im Rahmen von Außenprüfungen."

Die offiziellen GoBD finden Sie auf den Seiten des Bundesministeriums für Finanzen:

 

GoBD einsehen (externer Link)

 

Unter Punkt 46 finden Sie z.B. die zeitnahe Verbuchung von Geschäftsvorfällen (in zap Audit: Belege mit langem Zeitraum zwischen Erfassungsdatum und Buchungsdatum). Dieser und weitere beispielhafte Indikatoren in zap Audit sind:

Belege mit langem Zeitraum zwischen Erfassungsdatum und Buchungsdatum

Dieser Indikator ist dem Prüfungsziel Ordnungsmäßigkeit zugeordnet.

Es besteht das Risiko fehlerhafter oder betrügerischer Buchungen in (wieder)eröffneten Buchungsperioden.

Der Beleg wird markiert, weil zwischen Erfassungsdatum und Buchungsdatum mehr als 40 Tage liegen. 40 Tage repräsentieren dabei einen Buchungsmonat plus angenommene 10 Tage zur Erstellung des Periodenabschlusses.

 

Buchungen am Wochenende

Dieser Indikator ist dem Prüfungsziel Ordnungsmäßigkeit zugeordnet.

Es könnten nicht ordnungsgemäße oder betrügerische Buchungen außerhalb des Geschäftsbetriebs verübt worden sein.

Der Beleg wird markiert, weil er am Wochenende verbucht wurde. Buchungen durch Systemuser werden nicht markiert.

Mehr Informationen rund um das Thema Buchungen am Wochenende finden sie hier.

 

Fehlender stornierter Beleg

Dieser Indikator ist dem Prüfungsziel Ordnungsmäßigkeit zugeordnet.

Es besteht das Risiko, dass Geschäftsvorfälle nicht periodengerecht erfasst wurden.

Der Beleg wird markiert, weil dieser ein Storno ist und der stornierte Beleg im vorliegenden Datensatz nicht auffindbar ist.

 

Der Zusammenhang mit der SAP Security

Großzügig vergebene Berechtigungen haben in den allermeisten Fällen einen bitteren Beigeschmack. Eines der bekanntesten Phänomene ist wohl die "Azubi Falle". Während die Auszubildenden in einer Vielzahl von Abteilungen eingesetzt werden, kommen immer mehr und mehr Berechtigungen über die Zeit dazu und keiner kümmert sich darum die nicht mehr benötigten Berechtigungen zu entziehen. So kommt es in Einzelfällen vor, dass die Azubis über die Jahre mehr Rechte im SAP System haben, als z.B. ein Geschäftsführer es hat. Einige wenige IT Abteilungen machen es sich aber noch einfacher und vergeben leichtfertig Administrationsrechte an ausgewählte Nutzer. Dabei ist das kennzeichnende SAP_ALL oder SAP_NEW Profil nach Empfehlungen des DSAG-Arbeitskreises gar nicht zulässig. Dieser und weitere in zap Audit integrierte Indikatoren im Bereich Zugriffsschutz sind:

 

Aktivitäten von Superusern

Dieser Indikator ist dem Prüfungsziel Zugriffsschutz zugeordnet.

Es besteht das Risiko von Betrug, da Superuser die Funktionstrennung umgehen können.

Der Beleg wird markiert, weil dieser von einem Nutzer gebucht wurde, welcher Standard SAP Administrationsprofile als Nutzerrechte hat.

Wie Sie Nutzern mit weitreichenden SAP Berechtigungen auf den Grund gehen, erfahren sie hier.

 

Ein einziger Nutzer hat den gesamten Ablauf abgewickelt

Dieser Indikator ist dem Prüfungsziel Zugriffsschutz zugeordnet.

Es besteht gesteigertes Potenzial bzgl. Fehler oder Betrug, wenn ein einziger Nutzer den gesamten Ablauf durchführt.

Es werden alle Belege eines Prozessablaufs markiert, wenn ein Nutzer alle Aktivitäten des Prozessablaufs durchgeführt hat.

 

Belege ohne Nutzer

Dieser Indikator ist dem Prüfungsziel Ordnungsmäßigkeit zugeordnet.

Es besteht das Risiko, dass die Entstehung von Belegen nicht nachvollzogen werden kann.

Der Beleg wird markiert, da das User Feld im Beleg keinen Nutzernamen beinhaltet.

 

Plausibilität

In einigen Fällen kommt es allerdings zu außergewöhnlich Vorkommnissen. Dann steht die Frage nach der Prozessplausibilität auf dem Plan. Einige Beispiele dafür sind unter anderem:

 

Belege von Nutzern mit hohen Stornoquoten

Dieser Indikator ist dem Prüfungsziel Prozessstandardisierung zugeordnet.

Hohe Stornoquoten eines Nutzers sind Hinweise auf fehlerhaftes Buchungsverhalten.

Der Rechnungswesenbeleg wird markiert, weil dieser ein Stornobeleg ist und von einem Nutzer gebucht wurde, der eine Stornoquote von größer als 20% hat oder zu den Top 20% der Nutzer mit den höchsten Stornoquoten gehört. Die Stornoquote berechnet sich anhand der Anzahl der stornierten Belege des Nutzers.

 

Zyklusänderung eines bestimmten Feldes

Dieser Indikator ist dem Prüfungsziel Prozessstandardisierung zugeordnet.

Es besteht das Risiko, dass durch häufige Änderungen von Belegen das interne Kontrollsystem umgangen werden sollte.

Der Beleg wird markiert, weil ein bestimmtes Feld des Beleges mehr als einmal innerhalb einer Sequenz geändert wurde. Die Änderung war dabei zyklisch, d.h. ein alter Wert wurde geändert und bei einer weiteren Änderung wurde später wieder auf diesen alten Wert zurückgeändert.

 

Conto pro Diverse Belege

Dieser Indikator ist dem Prüfungsziel Ordnungsmäßigkeit zugeordnet.

Es besteht das Risiko, dass übliche interne Kontrollen des Einkaufs nicht zur Anwendung kommen oder ein erhöhtes Potenzial für Betrug besteht.

Der Beleg wurde markiert, weil dieser als CPD gekennzeichnet ist (Conto pro Diverse).

Mehr zur Analyse von Conto pro Diverse (CPD) Belegen in SAP erfahren Sie in unserer CPD Serie.

 

Sie haben noch nicht genug von den "überfachlichen" Prüfungsfragen in zap Audit? Dann erhalten sie alle 20 prozessübergreifenden Indikatoren unter dem folgenden Link zum kostenfreien Download:

 

Download pdf

 

Topics: Funktionstrennung, prozessübergreifend, Prozessplausibilität, Superuser, SAP Audit, CPD, Indikator, Buchungen am Wochenende, zeitnahe Erfassung, Zyklusänderung, hohe Stornoquoten

Blog Kommentar