Handbuch SAP -Revision

Transkript

1 Maxim Chuprunov Handbuch SAP -Revision IKS, Audit, Compliance Galileo Press Bonn Boston

2 Auf einen Blick TEIL I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld 1 Gesetzliche Anforderungen im Bereich IKS-Compliance 37 2 Der Prüfer kommt: Wann, warum und wie man damit umgeht 57 3 IKS-Anforderungen und ERP-Systeme: Grundsätze, Frameworks, Struktur 79 4 Wie geht SAP mit dem Thema Compliance um? 105 TEIL II Vom Konzept zum Inhalt: Revisionsleitfaden für SAP ERP 5 Revisionsrelevante SAP-Basics Generelle IT-Kontrollen in SAP ERP Übergreifende Applikationskontrollen in SAP ERP Kontrollen in der Finanzbuchhaltung Kontrollmechanismen im SAP ERP-gestützten Procure-to-Pay-Prozess Kontrollmechanismen im SAP ERP-gestützten Order-to-Cash-Prozess Datenschutz-Compliance in SAP ERP Human Capital Management Betrug im SAP-System Exkurs: FDA-Compliance und Kontrollen in SAP 437 TEIL III Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems 14 IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? IKS-Automatisierung mithilfe von SAP BusinessObjects Process Contro! Umsetzung von automatisierten Test- und Monitoring-Szenarien im SAP ERP-Umfeld Praxis- und Projekterfahrungen 603

3 Vorwort 21 Vertrauen ist gut, Kontrolle ist billiger: Einleitung 23 Teil I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld Gesetzliche Anforderungen im Bereich IKS-Compliance 1.1 Begriffsdefinitionen und Abgrenzung Der Begriff»Compliance« Der Begriff»Internes Kontrollsystem«(IKS) Gesetzliche IKS-Anforderungen in Überseedie vielen Gesichter von SOX SOX in USA SOX in Kanada (Nl ) SOX in Japan SOX in China IKS-Anforderungen in Europa Die 8. EU-Richtlinie Deutschland Schweiz Österreich Vereinigtes Königreich Großbritannien und Nordirland Frankreich Dänemark Italien Spanien IKS-Anforderungen in der Finanzbranche Solvency II im Versicherungswesen Basel 11 im Bankwesen Resümee 55

4 Der Prüfer kommt: Wann, warum und wie man damit umgeht 2.1 IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung Herausforderung durch die Informationstechnologie Systemprüfung als Prüfungsansatz im IT-Umfeld Ansätze bei der System prüf ung: IKS im Fokus IKS und die Systemprüfung als Pflicht IKS-Assurance in der Praxis Ausrichtungen der Prüfer Ausgewählte Prüfungsgrundsätze Arten der externen Prüfung im ERP-Umfeld Empfehlungen zum Umgang mit dem Prüfer Resümee 78 IKS-Anforderungen und ERP-Systeme: Grundsätze, Frameworks, Struktur 3.1 IKS-Inhalte im SAP ERP-Umfeld definieren IKS-Grundsätze im ERP-Umfeld: Von GoB zu GoBS Wer definiert die Spielregeln im SAP-Umfeld? Kontroll-Identifizierungsprozess Struktur des IKS-Frameworks im SAP-Umfeld IKS-relevante Referenzmodelle und Standards COSO CobiT ITIL GAIT ITAF Risk IT VAL IT 97

5 3.2.8 CMMI MOF ISO 27k PCI-DSS Zusammenfassende Sicht auf Referenzmodelle Resümee 103 MHHMNKMHNNBMMHHBM 4.1 Softwarezertifizierung SAP-Hinweis Zertifizierungsberichte Compliance-relevante Leitfäden SAP-Onlineressourcen Sicherheitsleitfäden DSAG-Leitfäden: Prüfleitfaden, Datenschutzleitfaden Compliance-relevante Produkte SAP BusinessObjects Access Control SAP BusinessObjects Process Control SAP BusinessObjects Risk Management SAP Audit Management SAP Audit Informationssystem SAP Security Optimization Service RSECNOTE-Tool Compliance-relevanter Content Direkter IKS-Content: Welche Kontrollen gibt es in SAP? Content mit der IKS-Relevanz: Standardgeschäftsprozesse und -werteflüsse in SAP Resümee 145 Teil II Vom Konzept zum Inhalt: Revisionsleitfaden für SAP ERP Revisionsrelevante SAP-Basics Am Anfang war die Tabelle: SAP als tabellengesteuerte Applikation 150

6 5.1.1 Daten im SAP-System Kontrollen im SAP-System Tabellenbezogene Suche Transaktionsbezogene Suche Programmbezogene Suche Beziehung zwischen Programmen und Transaktionen Beziehung zwischen Programmen und Tabellen Zusammenfassung der Suchmöglichkeiten in SAP Organisationsstrukturen im SAP-System Berechtigungen Ablauf und Hierarchie der Berechtigungskontrollen Berechtigungsobjekte Ermittlung der Berechtigungsobjekte Rollen im SAP-System Benutzer im SAP-System Benutzertypen in SAP Beispiel für eine Berechtigungsauswertung Resümee 191 Generelle IT-Kontrollen in SAP ERP Organisatorische Kontrollen IT-Organisation IT-Outsourcing: Wer ist verantwortlich für die Kontrollen? Richtlinien und Dokumentation Kontrollen im Bereich Change Management und Entwicklung SAP-Systemlandschaft Korrektur und Transportwesen Mandantensteuerung Wartung und Updates SAP Solution Manager Sicherheitskontrollen beim Zugriff auf das SAP-System und der Authentifizierung Identität und Lifecycle der Benutzer

7 6.3.2 Passwortschutz Behandlung der Standard-User Notfallbenutzerkonzept Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP Schutz der Programme und Transaktionen Schutz der Tabellen Kontrollen in Steuerung der Berechtigungsprüfungen Kritische Administrationstransaktionen Berücksichtigung der Funktionstrennungsgrundsätze Resümee 232 Übergreifende Applikationskontrollen in SAP ERP 7.1 Der Grundsatz der Unveränderlichkeit Schutz der Daten in Tabellen Debugging Änderbarkeit der Belege Kontrollen für die datenbezogene Nachvollziehbarkeit Änderungsbelege in SAP Tabellenprotokollierung Belegnummernvergabe Nachvollziehbarkeit der Benutzeraktivitäten in SAP Systemlog Security Audit Log Historie der Transaktionsaufrufe Nachvollziehbarkeit der Systemänderungen im KTW Prozessübergreifende Verarbeitungskontrollen Überwachung der Verbuchungsabbrüche Vollständigkeit der ALE- Schnittstellenverarbeitung Remote-Function-Call-Verbindungen Vollständigkeit der Batch-Input- Verarbeitung Resümee

8 Kontrollen in der Finanzbuchhaltung 8.1 Grundlegende Kontrollmechanismen im Hauptbuch Grundsatz: Zeitnähe der Buchungen Bilanz Sachkontenstammdaten Konsistenzcheck der Verkehrszahlen mit der großen Umsatzprobe Ausgewählte Kontrollen bei Abschlussarbeiten Abstimmarbeiten im Hauptbuch Kontrollen über die Richtigkeit und Qualität der Daten im Hauptbuch Richtigkeit der Kontenfindung Feldstatusgruppen Berechnung von Steuern bei manuellen Buchungen Validierungen in SAP Fremdwährungen Vollständigkeit der Verarbeitung im Hauptbuch Belegvorerfassung Dauerbuchungen Abstimmledger Sicherheit und Schutz der Daten im Hauptbuch Schutz der Buchungskreise Toleranzgruppen Schutz der Stammdaten Kritische Transaktionen Funktionstrennung im Hauptbuch Kontrollen in der Anlagenbuchhaltung Grundlagen der Anlagenbuchhaltung in SAP Default-Werte bei Anlagenklassen Kontenfindung in der Anlagenbuchhaltung Konsistenzprüfung der Kontenfindung und der Konfiguration Abschreibungen Anlagengitter Geringwertige Wirtschaftsgüter

9 8.5.8 Berechtigungssteuerung in der Anlagenbuchhaltung Kritische Berechtigungen in der Anlagenbuchhaltung Kontrollen in der Kreditoren- und Debitorenbuchhaltung Richtigkeit der Abstimmkonten Zahlungsfunktionen Einmalkunden und -Lieferanten - Vorsicht! Altersstruktur und Wertberichtigungen Vier-Augen-Prinzip bei der Stammdatenpflege Resümee 323 Kontrollmechanismen rm SAP ERP-gestützten Procure-to-Pay-Prozess, 9.1 Bestellwesen Berechtigungskonsistente Pflege der Organisationsstrukturen Vier-Augen-Prinzip im Bestellwesen Wareneingänge und Rechnungsprüfung Wareneingänge: Kritische Bewegungsarten Way-Match und Zahlungssperren bei der Logistik-Rechnungsprüfung Prüfung auf doppelte Rechnungserfassung WE/RE-Konto Auszifferung des WE/RE-Kontos Abschlussarbeiten und Ausweis des WE/RE-Kontos in der Bilanz Kontrollen rund um das Thema Bestände Pflege von Materialstammdaten Unbewertetes Vorratsvermögen und getrennte Bewertung Kontenfindung bei Materialbewegungen Berichtigung des Vorratsvermögens: Inventur und Materialabwertungen Freigabe von Verschrottungen 349

10 9.4.6 Produktkostenrechnung Ausgänge von unbewertetem Bestand Corporate Governance Resümee Kontrollmechanismen im SAP ERP-gestützten Order-to-Cash-Prozess 10.1 Kontrollen in der vorbereitenden Vertriebsphase Kontrollen bei der Auftragserfassung Qualität der Kundenstammdaten Funktionstrennung bei der Stammdatenpflege Kreditlimitvergabe und -kontrolle Kontrollen bei der Auftragserfüllung und Umsatzlegung Kontrollen rund um die Warenauslieferung Preisfindung und Umsatzsteuerermittlung Rücklieferungen und Gutschriften Fakturavorrat Vollständigkeit der buchhalterischen Erfassung von Fakturen Mahnwesen Resümee Datenschutz-Compliance in SAP ERP Human Capital Management Gesetzliche Datenschutzanforderungen Datenschutz Grundlagen: Richtlinie der Europäischen Union Mitbestimmung und Arbeitnehmerdatenschutz Datenschutzrelevante übergreifende Kontrollmechanismen in SAP Änderungen von personenbezogenen Daten nachvollziehen Protokollierung der Reportaufrufe in SAP ERP HCM 395

11 Daten löschen und unkenntlich machen Personenbezogene Daten außerhalb von SAP ERP HCM Besondere Anforderungen an SAP ERP HCM Berechtigungen und Rollen in SAP ERP HCM Differenzierende Attribute in SAP ERP HCM Personalmaßnahmen Strukturelle Berechtigungen Berechtigungshauptschalter Resümee Betrug im SAP-System Einführung in das Thema»Betrug« Betrugsarten Betrug und das SAP-System Betrugsszenarien in der SAP-Basis »Write-Debugging«-Berechtigungen Abspielen einer Batch-Input-Mappe unter einem anderen Benutzernamen Betrugsszenarien im Hauptbuch Betrügerische manuelle Belegbuchungen im Hauptbuch Identifizierung und Analyse von manuellen Journaleinträgen Betrugsszenarien im Vertriebsbereich Fiktive Rechnungen an fiktive Kunden stellen Gewährung nicht ordnungsgemäßer Gutschriften oder Boni Übermäßiger Einsatz von Gratiswaren Nicht ordnungsgemäße Abschreibung offener Kundenforderungen Betrugszenarien in der Personalbuchhaltung Fiktive Angestellte Limitierter Zugang zu eigenen HR-Daten Vier-Augen-Prinzip bei vertraulichen Daten Resümee 435

12 13 Exkurs: FDA-Compliance und Kontrollen in SAP Gesetzliche Anforderungen im Bereich Arzneiund Lebensmittelherstellung FDA-relevante gesetzliche Anforderungen im internationalen Vergleich GxP-die FDA-Grundsätze IT aus der Sicht von FDA-Compliance Validierung der IT-Systeme Vorgehensweise bei der Validierung Kontrollen in Implementierungsprozessen FDA-Compliance in IT-gestützten Geschäftsprozessen Beispiele: Kontrollen in der Beschaffung Beispiele: Kontrollen im Produktionsmanagement Beispiele: Kontrollen im Qualitätsmanagement Beispiele: Kontrollen in der Instandhaltung Beispiele: Kontrollen zur Chargenrückverfolgbarkeit Beispiele: Kontrollen in Lagerverwaltungsprozessen FDA-Compliance bei Systempflege, -aktualisierung und-änderung aufrechterhalten Resümee 452 Teil IM Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems 14 IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? 14.1 Grundidee der IKS-Automatisierung Der COSO-Cube in Aktion Idee der IKS-Automatisierung IKS-relevante Objekte und Dokumentation Organisationseinheiten Prozesse

13 Kontrollen Kontrollziele Risiken Kontengruppen Beispiel eines IKS-Datenmodells Grundszenarien der IKS-Aktivitäten Dokumentation Selektion und Priorisierung von Kontrollaktivitäten Kontrolldurchführung Designtest Effektivitätstest Umfrage Risikobewertung Behebung Sign-Off Reportauswertung Personen als Bindeglied zwischen IKS-Objekten und Aktionen Resümee IKS-Automatisierung mithilfe von SAP BusinessObjects Process Control Einleitung: IKS-Umsetzung mit SAP BusinessObjects Process Control Technischer Implementierungsteil Technische Architektur und Installation Initiale Konfiguration der Standardfunktionen Informationsquellen zu Implementierung, Betrieb und Upgrade von Process Control Datenmodell IKS-Stammdaten in Process Control IKS-Datenmodell in Process Control Zentrale vs. lokale IKS-Stammdaten Zeitabhängigkeit der IKS-Stammdaten Nachvollziehbarkeit der Änderungen Konzept der objektbezogenen Sicherheit Kundeneigene Felder Multiple-Compliance-Framework-Konzept 502

14 15.4 Implementierung des IKS-Prozesses IKS-Dokumentationsprozess Scoping-Prozess Planungsprozess, Tests und Bewertungen Problembehebungsprozess Reporting IKS-und Compliance-Umsetzung: Rollen Berechtigungsmodell in Process Control Objektbezogene Sicherheit in Aktion First-Level- vs. Second-Level- Berechtigungen Vordefiniertes Best-Practice-Rollenkonzept in SAP Anpassung der Rollen SAP BusinessObjects Process Control als GRC-Bestandteil Policy Management und sonstige Neuheiten in Release Integration mit Access Control Integration mit Risk Management Zusammenführung von GRC-, Strategie- und Performance-Themen Resümee Umsetzung von automatisierten Test- und Monitoring-Szenarien im SAP ERP-Umfeld 16.1 Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld Offline-CAAT-Tools Online-CAAT-Berichte und -Auswertungen Compliance Management Software Automatisiertes Testen und Monitoring Automated Rules Framework Anbindung Kontrollen Kontrollautomatisierung: Beispiele Und los geht's! Ausblick auf künftige ARF-Szenarien in Process Control

15 Release-Unterschiede 3.0 vs Überlegung zum Thema SAP BusinessObjects Resümee Praxis- und Projekterfahrungen 17.1 Praxiserfahrungen: Projekte zur IKS- und Compliance-Automatisierung Hilfsmittel bei der Implementierung Best-Practice-Projektaufbau bei der IKS-Umsetzung Business Blueprint IKS-Content Einflussfaktoren auf den Projektaufwand Erfolgsfaktoren Projektbeispiele zur IKS-und Compliance-Automatisierung Abdeckung der Schweizer Compliance- Anforderungen bei KUONI SAP BusinessObjects Process Control Implementierung in den Niederlanden SOX bei Ericsson IKS-Framework bei Ericsson SOX-Compliance-Prozess bei Ericsson Erfahrungen aus vorherigen Projekten Optimierungspotenzial Schritte in Richtung Optimierung Rückblick auf die IKS-Evolutionsstufen und Fazit Anhang 641! A Abkürzungsverzeichnis 643 B Literatur 649 C Der Autor dieses Buches 653 D Beiträger zu diesem Buch 655 Index