Was tun, wenn der Wirtschaftsprüfer kommt – Teil 1: Prozesse und Dokumentationen
Kompensierende Maßnahmen für Funktionstrennungskonflikte
Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hinweis werden die Reports RSUSR200 und RSUSR002 um die Selektion verschiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht. Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren wollen. Dabei werden lokale und globale Administratorsperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskriterien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heute gültig und Benutzer heute nicht gültig wählen.
Da ein Rollenkonzept in der Regel regelmäßigen Veränderungen und Aktualisierungen unterliegt, da z. B. neue Funktionen oder Module eingeführt werden oder neue organisatorische Werte hinzukommen, sollten Rollennamen so gestaltet sein, dass diese ausbaufähig sind. Legen Sie daher im nächsten Schritt fest, welche sinnvollen Kriterien Sie in Ihrem Rollennamen benötigen.
Vorteile von Berechtigungstools
Im schriftlich dokumentierten Berechtigungskonzept sollte auch das Kapitel der Berechtigungsrezertifizierung definiert sein. Damit ist eine regelmäßige, mindestens einmal im Jahr durchzuführende Überprüfung der vergebenen Berechtigungen im SAP®-System gemeint. Im Zuge dieses Prozesses sollten die zuständigen Fachbereiche die Vergabe der jeweiligen Rollen an Benutzer in ihrem Bereich überprüfen und noch einmal kritisch hinterfragen. Durch diesen Prozess kann letzten Endes sichergestellt werden, dass die Benutzer auch tatsächlich nur jene Berechtigungen im SAP®-System besitzen, die sie auch tatsächlich brauchen. Es muss also definiert sein, in welchem Zeitraum und in welcher Form die Fachbereiche die Informationen über die vergebenen Berechtigungen erhalten und bezüglich der Korrektheit der Vergabe zurückmelden müssen. In der Vorbereitung ist daher zu überprüfen, ob der Prozess gemäß den internen Vorgaben, aber auch gemäß möglicher Optimierungsvorschläge des Wirtschaftsprüfers, ausgeführt wurde und sämtliche Nachweise griffbereit für den Prüfer abgelegt sind.
In Schritt 2b (Abgleich kundenmodifizierter Vorschlagswerte) müssen Sie manuelle Anpassungen an den Einträgen vornehmen, die Sie im Ausgangsrelease manuell in der Transaktion SU24 geändert haben. Dabei wird die Transaktion SU24 im Upgrademodus gestartet, und Sie können Schritt für Schritt durch alle Anwendungen gehen und die Änderungen abgleichen. Haben Sie kundeneigene Organisationsebenen (Orgebenen) erstellt, müssen Sie diese an dieser Stelle mithilfe des Reports PFCG_ORGFIELD_UPGRADE wiederherstellen. Der Report muss für jede einzelne Organisationsebene aufgerufen werden. Über die Wertehilfe werden nur die von Ihnen erstellten Organisationsebenen angezeigt. SAP-Hinweis 727536 führt Fragen und Antworten rund um die Verwendung von kundeneigenen Organisationsebenen auf.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Es könnten also Aktivitäten angestoßen werden, die mit den eigenen Berechtigungen nicht ausführbar wären.
Ihre Sicherheitsvorgaben definieren Sie für die komplette SAP-Systemlandschaft; sie betreffen z. B. die Einstellungen der Profilparameter, den Umgang mit Sicherheitshinweisen oder kritische Berechtigungen, die nur an Notfallbenutzer vergeben werden dürfen.