Gegründet am 01. Juli 1979, ist die IBS Schreiber GmbH heute einer der führenden Anbieter für SAP- und IT-Sicherheit. Die IBS entwickelt seit 1979 die Prüfsoftware CheckAud®. Berechtigungskonzepte in SAP-Systemen werden damit transparent, leicht prüfbar und kontrollierbar gemacht. Die Anwendung ist wesentlicher Bestandteil im Rahmen eines umfassenden Kontrollmanagements in einem internen Kontrollsystem.
Ein Beispiel aus der Praxis
Die Prüfsoftware CheckAud® for SAPSystems
CheckAud® ermöglicht es, Berechtigungskonzepte in SAP-Systemen transparent, leicht prüfbar und kontrollierbar zu machen. Die Software enthält das komplette Know-how für eine vollständige Prüfung der Berechtigungen des SAP-Systems.
Das in CheckAud® implementierte Regelwerk beinhaltet umfangreiche Abfragen zur Kritikalität von Berechtigungen in den Kernmodulen und spezifischen Branchenlösungen in SAP-Systemen. Innerhalb der Abfragen werden die Risiken zu den kritischen Einzelberechtigungen, sowie zu den kritischen Berechtigungskombinationen, die sich aus prozessualen Funktionstrennungskonflikten ergeben, dargestellt. Die Nutzung von CheckAud® for SAP Systems erlaubt den Aufbau, die Pflege und die Kontrolle eines konfliktfreien Berechtigungsmanagements.
Die Aufgabe
Neben den fachlichen Erweiterungen sollte CheckAud® zukünftig vermehrt auch in gesetzlich oder aufsichtlich vorgeschriebenen Prüfungen, wie z. B. Revisionsprüfungen, Jahresabschlussprüfungen, etc. Anerkennung finden. Die Nutzung von CheckAud® sollte somit die Anforderungen sowohl als einfaches Kontrollinstrument in der „First Line of Defense“, als auch als etabliertes Prüfinstrument in der „Third Line of Defense“ vollumfänglich erfüllen.
Die je Abfrage mitgelieferten Risikobeschreibungen müssen hierzu revisionsfeste Argumente zum Umgang mit den kritischen Einzelberechtigungen und den kritischen Berechtigungskombinationen liefern. Zur Umsetzung ergaben sich die folgenden Aufgaben:
- Herleitung von nachvollziehbaren Bewertungskriterien zur Ermittlung der individuellen Kritikalität der Einzelberechtigungen und von Berechtigungskombinationen.
- Entwicklung einer strukturierten Beschreibung der Risiken und die zusätzliche Herleitung und Darstellung der Kritikalität als nummerischen Wert.
- Transparente Darstellung der „Bedingungen, die zum jeweiligen Risiko führen“, des „eigentlichen Risikos“ und der „Auswirkungen bei der Berechtigungsvergabe“.
- Entwicklung neuer Abfragen zu den SAP Modulen FS-CML, FS-CD, IS-U und CO.
- Identifizierung und Beschreibung von Funktionstrennungskonflikten (Segregation of Duties – SOD’s).
- Überarbeitung der bestehenden Abfragen zu den Kernmodulen.
Die Ausgangssituation
Das in CheckAud® vorgefundene Regelwerk enthielt zunächst ca.1200 Berechtigungsabfragen. Die Risikobeschreibungen enthielten keine ausreichenden Darstellungen der Auswirkungen auf Unternehmensebene. Die Kritikalität wurde nummerisch in sieben Stufen (Keine –> Kritisch) dargestellt. Kriterien für die Bedeutung und die Einstufung der Kritikalität waren nicht vorhanden.
Meine Lösung
Alle sieben Kritikalitätsabstufungen wurden beibehalten und um Bewertungskriterien und Sofortmaßnahmen ergänzt.
Die spezifische Risikobewertung der Einzelberechtigungen und der Berechtigungskombinationen erfolgte strukturiert mit Hilfe unseres „Risk Detection Module“. Je Abfrage werden hier der Sachverhalt, bzw. die Bedingungen, die zu dem jeweiligen Risiko führen, detailliert beschrieben.
Individuelle Risikobeschreibungen orientieren sich nun an gesetzlichen und aufsichtlichen Vorgaben, wobei auch Reputationsschäden berücksichtigt werden.
Die jeweiligen Auswirkungen bei der Vergabe der Berechtigungen sind auf Unternehmensebene zusammengefasst. Empfehlungen zum Umgang mit der gewollten, bzw. ungewollten Vergabe der betrachteten Berechtigungen zeigen wirksame Maßnahmen zur Vermeidung oder Verringerung des jeweiligen Risikos auf.
Beeindruckend
Meinem Anspruch folgend, eine vollumfängliche Modulbetrachtung vorzunehmen, habe ich für die Überarbeitung der Abfragen zu den Kernmodulen, sowie die Entwicklung neuer Abfragen für die Module CO, FS-CD, FS-CML und IS-U insgesamt mehr als 4500 (!) einzelne Transaktionen bewertet.
Durch die funktionale Zusammenfassung der Einzeltransaktionen habe ich ca. 1100 Funktionsbausteine entwickelt und als CheckAud®-Abfragen aufbereitet. Die risikoorientierte Betrachtung der prozessualen Abläufe ergaben zusätzlich mehr als 550 kritische Berechtigungskombinationen.
Die modulspezifischen Plotterausdrucke erreichen hierbei auch schon mal eine Länge von 7,50m!
Das Ergebnis
Die Regelwerke enthalten nicht nur kritische Einzelberechtigungen, sondern auch kritischen Berechtigungskombinationen zu Funktionstrennungskonflikten (Segregation of Duties – SOD’s).
Durch die Darstellungen der Sachverhalte, der Risiken und deren Auswirkungen, im Falle der Berechtigungsvergabe, werden die wesentlichen Fragestellungen zu den jeweiligen Einzelberechtigungen, bzw. Berechtigungskombinationen fach- und abteilungsübergreifend beantwortet.
Die Einstufung der Kritikalität und die Risikobetrachtung der einzelnen Abfragen sind nachvollziehbar aufgebaut und fügen sich so in bestehende Kontrollsysteme nahtlos ein. Der Grad der Einhaltung von gesetzlichen und aufsichtlichen Anforderungen ist detailliert beschrieben. Die detaillierten Handlungsempfehlungen dienen als praktische Hilfen zur Schadensabwehr. Die Anforderungen an ein „Prüfinstrument“ in der „Third Line of Defense“ sind vollumfänglich erfüllt. Prüfer, IT-Administratoren und Fachverantwortliche können somit auf Augenhöhe miteinander kommunizieren.
Die von mir entwickelten Abfragen werden direkt in CheckAud® eingesetzt. Sowohl die Prüfer und Revisoren der IBS Schreiber GmbH, als auch die lizensierten Nutzer der Prüfsoftware CheckAud® for SAP Systems nutzen meine detaillierten Beschreibungen, um die Einhaltung von Governance, Risk and Compliance in den betrachteten Bereichen zu gewährleisten.
Kontrollmanagement – Nachvollziehbar und revisionssicher.
Unternehmensbereiche
Revision
Re|vi|si|on
Beratung
Be|ra|tung
Seminare
Se|mi|nar(-e)
Referenzen
Kunden
Kun|de(n)
- EDSCHA
- GMSH
- Hamburgische Landesbank
- HSBC Trinkaus & Burkhardt
- HSH Nordbank
- ibo Software
- Bayer
- Bayerischer Rundfunk
- BearingPoint
- Bundesbank
- Celanese
- Commerzbank
- Daimler Chrysler
- IBS Schreiber
- Infonova
- KAO PSS
- KPMG
- Minolta
- Nortec Electronic
- OnVista Bank
- OXEA
- SAP
- S-Consit
- Sparkassen (div.)
- Volksbanken
- WSLP Financial Audit
- etc.