Compliance Enforcer Module Application Controls Analyzer Release 14.1 Analyse der Applikationskontrollen (Customizing) in SAP ERP-Systemen fu r Revisionen des Internen Kontrollsystems
Big Picture Werkzeug im IKS und fu r Revisionen Der Schweizer Pru fungsstandard PS890 der Treuhand-Kammer beschreibt, wie das Interne Kontrollsystem (IKS) durch externe Revisionsstellen gepru ft wird, um den Nachweis zur Existenz des IKS zu besta tigen. Grundlage fu r einen solchen Existenznachweis eines IKS ist u.a. deren Dokumentation. Die Revisionsstelle verla sst sich aber nicht nur auf die Dokumentation, sondern pru ft zusa tzlich die Kenntnis und Wirkung des IKS innerhalb des Unternehmens. Der ACA sta rkt das Interne Kontrollsystem durch die Mo glichkeit der systematischen und u bersichtlichen Dokumentation der Applikationskontrollen und deren Auswirkungen auf die inanziellen Werte lu sse in der Buchhaltung. Integration in die Produktfamilie Compliance Enforcer Der ACA ist Teil unserer Produktgruppe Compliance Enforcer, die sich auf die Themen IKS und Audit fokussieren. Im IKS-Haus kann die Positionierung unserer drei Produkte folgendermassen vorgenommen werden. Application Controls Analyzer: Kontrollen auf der Prozessebene fu r automatisierte IT-Anwendungskontrollen Value Chain Analyzer: Kontrollen auf der Prozessebene im Bereich manueller Kontrollen IT Controls Enforcer: Kontrollen auf der Ebene der generellen IT Kontrollen
Ausgangslage und Anforderungen Eine Finanzabschlusspru fung erfordert unter anderem eine Beurteilung der Verla sslichkeit, der mit dem Informationssystem erstellten Finanzdaten. Damit der Abschlusspru fer eine wirkungsvolle Pru fstrategie entwickeln kann, muss er ein Versta ndnis fu r die im Informationssystem tatsa chlich vorhandenen und fu r das Rechnungswesen relevanten Verarbeitungsprozesse und Anwendungskontrollen erlangen. Dieses Versta ndnis dient der Einscha tzung der inha renten Risiken sowie der Identi izierung wesentlicher Pru ffelder. In einem SAP ERP System werden die in der Corporate Governance de inierten Business Rules durch kundenspezi ische Einstellungen (Customizing) ausgepra gt. Ein SAP ERP System verfu gt u ber zahlreiche Kontrollfunktionen zur Einhaltung der Ordnungsma ssigkeit einer Finanzbuchhaltung. Indem einige Einstellungen die Aufgabe einer automatisierten Kontrolle u bernehmen oder auf die inanzielle Verbuchung Ein luss nehmen, werden sie Bestandteil des Internen Kontrollsystems (IKS). Beispiele dafu r sind die Umrechnungskurse, die Kontierungslogik fu r die Verbuchung der Mehrwertsteuer, zula ssige Toleranz- und Betragsgrenzen, Zahlungs- und Skontobedingungen usw. In der Regel verfu gt der Abschlusspru fer nicht u ber das spezialisierte SAP-Know-how, um diese Informationen selber auswerten zu ko nnen. Die deshalb notwendige Zusammenarbeit mit einem SAP-Spezialisten fu hrt zu Mehraufwand und zu einer Abha ngigkeit der entsprechenden Personalressourcen. Hauptfunktionen Sammlung und Visualisierung der fu r ein Audit relevanten Applikationsstrukturen und parameter aus ca. 200 SAP-Tabellen Automatisierung der Auswertung von Anwendungskontrollen und Organisationsstrukturen eines SAP-Systems Einsatzbereiche Planung und Schwerpunktsetzung im Rahmen einer Finanzrevision aufgrund der tatsa chlich vorhandenen Applikationsstrukturen und -parameter Beurteilung eines IKS bezu glich der tatsa chlich implementierten Applikationskontrollen Beurteilung eines Finanzabschlusses mithilfe der Visualisierung der relevanten Applikationsparameter und deren Beziehungen Revisionssicherheit Fu r den Zugriff auf die Daten im SAP ERP-System sind Frontend- wie auch die SAP-ERP-Komponenten notwendig. Beide sind berechtigungstechnisch geschu tzt und mu ssen wechselseitig kon iguriert werden. Die Datenherrschaft bezu glich der SAP ERP-Daten muss nachgewiesen und als Vertragsbestandteil in den ACA-Nutzungsbedingungen festgehalten werden. Die Einhaltung wird durch technische Massnahmen wie der Fixierung der Datenselektionsbedingung sichergestellt. Alle Zugriffe auf das SAP ERP-System werden protokolliert. Der Code der SAP-Komponenten wird offengelegt.
Frontendapplikation Hauptmenu Die Hauptfunktionen des Application Controls Analyzers sind direkt auf dem Einstiegsbild angeordnet. Applikationsfunktionen Die Funktionen des Application Controls Analyzers sind in fu nf Hauptgruppen organsiert. Innerhalb dieser Hauptfunktionen sind die Informationen in einzelnen Registern abgebildet.
Finanzbuchhaltung Kontenrahmen, Kontenplan und Buchungskreise Die U bersicht zeigt alle Buchungskreise die im selektierten Mandanten vorhanden sind. Die wichtigsten Informationen bezu glich dem Status und dem Einsatz des Buchungskreises werden angezeigt. Informationen zu einem (1) Buchungskreis Die Informationen zu einem (1) Buchungskreis sind durch verschiedene Reiter strukturiert. Allgemeine Informationen zum Buchungskreis
Fokus Buchhaltung Fokus Mehrwertsteuer Fokus Toleranzwerte
Fokus Nummernkreise Fokus Einkauf Fokus Zahlungswesen
Anlagenbuchhaltung U bersicht der Buchungskreise mit aktiver Anlagebuchhaltung Fu r die Anlagenbuchhaltung existiert eine eigene Einstiegsmaske. Wie im nachfolgenden Beispiel ersichtlich, werden diejenigen Buchungskreise aufgelistet, in denen die SAP-Komponente Anlagenbuchhaltung aktiviert ist. Customizing-Beziehungen zu einem (1) Buchungskreis Die Informationen der Anlagenbuchhaltung sind wie in der Buchhaltung durch verschiedene Reiter strukturiert. Allgemeine Informationen zum Buchungskreis
Fokus Bewertungsbereiche Fokus Anlagenklasse Fokus Abschreibungen
Fokus Kontierung Fokus Kontierungsobjekte Fokus Bildregeln
Sicherheit & Architektur Sicherheit Architektur ABAP-Coding Alle ACA-Funktionen die in ABAP programmiert wurden, geho ren zum Namensraum /tecs01/. Eine U berschneidung mit bereits existierenden Entwicklungsobjekten im Zielsystem ist somit ausgeschlossen. Struktur der DB-Tabellen Der ACA-Loader la dt nicht nur die relevanten Daten aus den SAP-Systemen, sondern er la dt auch die dazugeho renden DDIC-Strukturinformationen. Die ACA-DB-Tabellen werden entsprechend den aktuellen DDIC- Strukturen generiert. Dieses Vorgehen stellt die Releasefa higkeit der ACA-DB sicher.
unsere Softwareprodukte Unsere Softwareprodukte sind Zusatzmodule fu r SAP. Wir fokussieren auf Governance, Risk & Compliance (GRC), User- & Identity Management (UIM) und IT Service Management (ITSM). Das GRC wird durch unsere Werkzeuge sowohl im Bereich Access Control als auch im Bereich Process Control unterstu tzt. Neben dem Risk Management stellen wir auch das Access - und Emergency Management sowie die Compliance sicher. Unsere UIM Werkzeuge decken das Identity Management, das User Login und die Netzwerksicherheit ab. Im Bereich ITSM unterstu tzen wir vom Service Design u ber die Kalkulation, die Vereinbarung und das Reporting bis zur Verrechnung alle kundenorientierten Prozesse. Die typischen Anwender sind externe und interne Revisoren, IKS- und Prozessverantwortliche, IT-Organisationseinheiten und Shared Services Centers. Roland Giger Gescha ftsfu hrer Giger Consulting «Wirksame und kostensparende Lösungen, damit Ihre Ansprüche Realität werden». Lutz Kengelbacher Gescha ftsfu hrer ormeko «Effektivität und Ef izienz sind die Ursachen, tiefere Kosten und höhere Qualität sind die Wirkungen unserer Lösungen». Heini Schmid Gescha ftsfu hrer HSMD «Angesichts von Hindernissen mag die kürzeste Linie zwischen zwei Punkten die krumme sein». Zitat Galilei unsere Zusammenarbeit Die Auswahl der Partnerunternehmen unterliegt klaren Richtlinien. Neben ausgezeichneten und sehr leistungsorientierten Mitarbeitern, muss jede Unternehmung eine eindeutige und eigene strategische Fokussierung aufweisen. Entscheidend ist deren Unique Selling Proposition. Diese notwendige Einzigartigkeit gestattet es uns, echte Synergien zu generieren und unser Wachstum auf langfristigen Erfolg auszurichten. Giger Consulting Eigentümer Beratungs- & Entwicklungspartner Balderstrasse 24 3007 Bern, Switzerland www.giger-consulting.com info@giger-consulting.com ormeko GmbH Vertriebs- & Beratungspartner Kublystrasse 2 9016 St.Gallen Switzerland www.ormeko.ch info@ormeko.ch HSMD GmbH Beratungs- & Entwicklungspartner Kreuzstrasse 2 8590 Romanshorn Switzerland www.hsmd.ch info@hsmd.ch Version 20140215_01 Status freigegeben