Vorwort

23

Vertrauen ist gut, Kontrolle ist billiger: Einleitung

25

Thema, Aufbau und Inhalt des Buches

27

An wen richtet sich dieses Buch?

33

Hinweise zur Lektüre

35

Danksagung

36

1 Gesetzliche Anforderungen im Bereich IKS-Compliance

41

1.1 Begriffsdefinitionen und Abgrenzung

41

1.1.1 Compliance

41

1.1.2 Internes Kontrollsystem (IKS)

43

1.2 Gesetzliche IKS-Anforderungen in Übersee – die vielen Gesichter von SOX

44

1.2.1 SOX in den USA

45

1.2.2 SOX in Kanada (NI 52-109)

46

1.2.3 SOX in Japan

46

1.2.4 SOX in China

48

1.3 IKS-Anforderungen in Europa

48

1.3.1 8. EU-Richtlinie

49

1.3.2 Deutschland

50

1.3.3 Schweiz

52

1.3.4 Österreich

53

1.3.5 Vereinigtes Königreich Großbritannien und Nordirland

53

1.3.6 Frankreich

54

1.3.7 Dänemark

54

1.3.8 Italien

55

1.3.9 Spanien

56

1.4 IKS-Anforderungen in der Finanzbranche

56

1.4.1 Solvency II im Versicherungswesen

57

1.4.2 Basel II und III im Bankwesen

58

1.5 Unternehmenserfolg durch IKS?

60

1.6 Resümee

62

2 Der Prüfer kommt: Wann, warum und wie man damit umgeht

65

2.1 IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung

66

2.1.1 Herausforderung durch die Informationstechnologie

67

2.1.2 Systemprüfung als Prüfungsansatz im IT-Umfeld

67

2.1.3 Ansätze bei der Systemprüfung: IKS im Fokus

69

2.1.4 IKS und die Systemprüfung als Pflicht

71

2.2 IKS-Assurance in der Praxis

75

2.2.1 Ausrichtungen der Prüfer

75

2.2.2 Ausgewählte Prüfungsgrundsätze

77

2.2.3 Arten der externen Prüfung im ERP-Umfeld

80

2.2.4 Empfehlungen zum Umgang mit dem Prüfer

83

2.3 Resümee

86

3 IKS-Anforderungen und ERPSysteme: Grundsätze, Frameworks, Struktur

87

3.1 IKS-Inhalte im SAP ERP-Umfeld definieren

87

3.1.1 IKS-Grundsätze im ERP-Umfeld: Von GoB zu GoBS

88

3.1.2 Wer definiert die Spielregeln im SAP-Umfeld?

90

3.1.3 Kontroll-Identifizierungsprozess

91

3.1.4 Struktur eines klassischen IKS-Frameworks im ERP-Umfeld

94

3.1.5 Struktur der effizienz- und wirtschaftlichkeitsorientierten Kontrollen im ERP-Umfeld

100

3.2 IKS-relevante Referenzmodelle und Standards

103

3.2.1 COSO

104

3.2.2 CobiT

104

3.2.3 ITIL

106

3.2.4 GAIT

107

3.2.5 ITAF

107

3.2.6 Risk IT

108

3.2.7 Val IT

109

3.2.8 CMMI

111

3.2.9 MOF

112

3.2.10 ISO 27k

112

3.2.11 PCI-DSS

113

3.2.12 Zusammenfassende Sicht auf Referenzmodelle

114

3.3 Resümee

115

4 Wie geht SAP mit dem Thema Compliance um?

117

4.1 Softwarezertifizierung

117

4.1.1 SAP-Hinweis 671016

118

4.1.2 Zertifizierungsberichte

119

4.2 Compliancerelevante Leitfäden

122

4.2.1 SAP-Online-Ressourcen

122

4.2.2 Sicherheitsleitfäden

125

4.2.3 DSAG-Leitfäden: Prüfleitfaden, Datenschutzleitfaden

131

4.3 Integrierter Ansatz in den SAP-Lösungen für GRC 10.0 und weitere compliancerelevante Lösungen

132

4.3.1 SAP-Lösungen für Governance, Risk, and Compliance 10.0

133

4.3.2 SAP Process Control 10.0

134

4.3.3 SAP Access Control 10.0

137

4.3.4 Richtlinienverwaltung

145

4.3.5 SAP Risk Management 10.0

145

4.3.6 Zusammenfassende Übersicht über Integrationsszenarien in den SAP-Lösungen für GRC 10.0

148

4.3.7 SAP Audit Management

149

4.3.8 SAP Audit-Informationssystem

150

4.3.9 SAP Security Optimization Service

152

4.3.10 RSECNOTE-Tool

152

4.4 Compliancerelevanter Content

153

4.4.1 Direkter IKS-Content: Welche Kontrollen gibt es in SAP?

153

4.4.2 Content mit IKS-Relevanz: Standardgeschäftsprozesse und -werteflüsse in SAP

161

4.5 Resümee

165

5 Revisionsrelevante SAP-Basics

169

5.1 Am Anfang war die Tabelle: SAP als tabellengesteuerte Applikation

170

5.1.1 Daten im SAP-System

172

5.1.2 Kontrollen im SAP-System

178

5.1.3 Tabellenbezogene Suche

180

5.1.4 Transaktionsbezogene Suche

187

5.1.5 Programmbezogene Suche

189

5.1.6 Beziehung zwischen Programmen und Transaktionen

190

5.1.7 Beziehung zwischen Programmen und Tabellen

192

5.1.8 Zusammenfassung der Suchmöglichkeiten in SAP

195

5.1.9 Organisationsstrukturen im SAP-System

196

5.2 Berechtigungen

198

5.2.1 Ablauf und Hierarchie der Berechtigungskontrollen

198

5.2.2 Berechtigungsobjekte

199

5.2.3 Ermittlung der Berechtigungsobjekte

203

5.2.4 Rollen im SAP-System

207

5.2.5 Benutzer im SAP-System

208

5.2.6 Benutzertypen in SAP

209

5.2.7 Beispiel für eine Berechtigungsauswertung

211

5.3 Resümee

213

6 Generelle IT-Kontrollen in SAP ERP

215

6.1 Organisatorische Kontrollen

215

6.1.1 IT-Organisation

216

6.1.2 IT-Outsourcing: Wer ist verantwortlich für die Kontrollen?

217

6.1.3 Richtlinien und Dokumentation

220

6.2 Kontrollen im Bereich Change Management und Entwicklung

222

6.2.1 SAP-Systemlandschaft

222

6.2.2 Korrektur und Transportwesen

224

6.2.3 Mandantensteuerung

228

6.2.4 Wartung und Updates

230

6.2.5 SAP Solution Manager

233

6.3 Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung

235

6.3.1 Identität und Lebenszyklus der Benutzer

235

6.3.2 Passwortschutz

237

6.3.3 Behandlung der Standardbenutzer

240

6.3.4 Notfallbenutzer-Konzept

242

6.4 Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP

243

6.4.1 Schutz der Programme und Transaktionen – Grundlagen

244

6.4.2 Schutz der Programme und Transaktionen bei weitreichenden Entwicklungen

248

6.4.3 Schutz der Tabellen

255

6.4.4 Kontrollen bei der Steuerung der Berechtigungsprüfungen

256

6.4.5 Kritische Administrationstransaktionen

258

6.4.6 Berücksichtigung der Funktionstrennungsgrundsätze

260

6.5 Resümee

262

7 Übergreifende Applikationskontrollen in SAP ERP

263

7.1 Grundsatz der Unveränderlichkeit

264

7.1.1 Schutz der Daten in Tabellen

264

7.1.2 Debugging

265

7.1.3 Änderbarkeit der Belege

267

7.2 Kontrollen für die datenbezogene Nachvollziehbarkeit

269

7.2.1 Änderungsbelege in SAP

269

7.2.2 Tabellenprotokollierung

271

7.2.3 Belegnummernvergabe

274

7.3 Nachvollziehbarkeit der Benutzeraktivitäten in SAP

276

7.3.1 System-Log

277

7.3.2 Security Audit Log

279

7.3.3 Historie der Transaktionsaufrufe

280

7.3.4 Nachvollziehbarkeit der Systemänderungen im Korrektur- und Transportwesen

281

7.4 Prozessübergreifende Verarbeitungskontrollen

284

7.4.1 Überwachung der Verbuchungsabbrüche

284

7.4.2 Vollständigkeit der ALE-Schnittstellenverarbeitung

287

7.4.3 RFC-Verbindungen (Remote Function Call)

290

7.4.4 Vollständigkeit der Batch-Input-Verarbeitung

292

7.5 Resümee

294

8 Kontrollen in der Finanzbuchhaltung

295

8.1 Grundlegende Kontrollmechanismen im Hauptbuch

296

8.1.1 Grundsatz: Zeitnähe der Buchungen

296

8.1.2 Bilanz

299

8.1.3 Sachkontenstammdaten

301

8.1.4 Konsistenzcheck der Verkehrszahlen mit der großen Umsatzprobe

302

8.1.5 Ausgewählte Kontrollen bei Abschlussarbeiten

303

8.1.6 Abstimmarbeiten im Hauptbuch

304

8.2 Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch

306

8.2.1 Richtigkeit der Kontenfindung

307

8.2.2 Feldstatusgruppen

308

8.2.3 Berechnung von Steuern bei manuellen Buchungen

309

8.2.4 Validierungen in SAP

311

8.2.5 Fremdwährungen

312

8.3 Vollständigkeit der Verarbeitung im Hauptbuch

315

8.3.1 Belegvorerfassung

315

8.3.2 Dauerbuchungen

317

8.3.3 Abstimm-Ledger

319

8.4 Sicherheit und Schutz der Daten im Hauptbuch

321

8.4.1 Schutz der Buchungskreise

321

8.4.2 Toleranzgruppen

323

8.4.3 Schutz der Stammdaten

325

8.4.4 Kritische Transaktionen

329

8.4.5 Funktionstrennung im Hauptbuch

329

8.5 Kontrollen in der Anlagenbuchhaltung

331

8.5.1 Grundlagen der Anlagenbuchhaltung in SAP

331

8.5.2 Default-Werte bei Anlagenklassen

333

8.5.3 Kontenfindung in der Anlagenbuchhaltung

334

8.5.4 Konsistenzprüfung der Kontenfindung und der Konfiguration

336

8.5.5 Abschreibungen

337

8.5.6 Anlagengitter

339

8.5.7 Geringwertige Wirtschaftsgüter

341

8.5.8 Berechtigungssteuerung in der Anlagenbuchhaltung

342

8.5.9 Kritische Berechtigungen in der Anlagenbuchhaltung

344

8.6 Kontrollen in der Kreditoren- und Debitorenbuchhaltung

345

8.6.1 Richtigkeit der Abstimmkonten

345

8.6.2 Zahlungsfunktionen

347

8.6.3 Einmalkunden und -lieferanten – Vorsicht!

350

8.6.4 Altersstruktur und Wertberichtigungen

352

8.6.5 Vier-Augen-Prinzip bei der Stammdatenpflege

353

8.7 Resümee

354

9 Kontrollmechanismen im SAP ERP-gestützten ProcuretoPay-Prozess

355

9.1 Bestellwesen

357

9.1.1 Berechtigungskonsistente Pflege der Organisationsstrukturen

357

9.1.2 Vier-Augen-Prinzip im Bestellwesen

358

9.2 Wareneingänge und Rechnungsprüfung

361

9.2.1 Wareneingänge: Kritische Bewegungsarten

361

9.2.2 3-Way-Match und Zahlungssperren bei der Logistik-Rechnungsprüfung

363

9.2.3 Prüfung auf doppelte Rechnungserfassung

366

9.3 WE/RE-Konto

366

9.3.1 Auszifferung des WE/RE-Kontos

367

9.3.2 Abschlussarbeiten und Ausweis des WE/RE-Kontos in der Bilanz

369

9.4 Kontrollen rund um das Thema Bestände

371

9.4.1 Pflege von Materialstammdaten

371

9.4.2 Unbewertetes Vorratsvermögen und getrennte Bewertung

373

9.4.3 Kontenfindung bei Materialbewegungen

375

9.4.4 Berichtigung des Vorratsvermögens: Inventur und Materialabwertungen

376

9.4.5 Freigabe von Verschrottungen

379

9.4.6 Produktkostenrechnung

380

9.4.7 Ausgänge von unbewertetem Bestand

383

9.5 Corporate Governance

383

9.6 Resümee

384

10 Kontrollmechanismen im SAP ERP-gestützten OrdertoCash-Prozess

385

10.1 Kontrollen in der vorbereitenden Vertriebsphase

386

10.1.1 Kontrollen bei der Auftragserfassung

386

10.1.2 Qualität der Kundenstammdaten

388

10.1.3 Funktionstrennung bei der Stammdatenpflege

390

10.1.4 Kreditlimitvergabe und -kontrolle

391

10.2 Kontrollen bei der Auftragserfüllung und Umsatzlegung

393

10.2.1 Kontrollen rund um die Warenauslieferung

393

10.2.2 Preisfindung und Umsatzsteuerermittlung

395

10.2.3 Rücklieferungen und Gutschriften

398

10.2.4 Fakturavorrat

400

10.2.5 Vollständigkeit der buchhalterischen Erfassung von Fakturen

401

10.2.6 Mahnwesen

402

10.3 Resümee

406

11 Datenschutz-Compliance in SAP ERP Human Capital Management

407

11.1 Gesetzliche Datenschutzanforderungen

408

11.1.1 Datenschutz

408

11.1.2 Grundlagen: Richtlinie der Europäischen Union

410

11.1.3 Mitbestimmung und Arbeitnehmerdatenschutz

419

11.2 Datenschutzrelevante übergreifende Kontrollmechanismen in SAP

422

11.2.1 Änderungen von personenbezogenen Daten nachvollziehen

423

11.2.2 Protokollierung der Reportaufrufe in SAP ERP HCM

425

11.2.3 Daten löschen und unkenntlich machen

425

11.2.4 Personenbezogene Daten außerhalb von SAP ERP HCM

426

11.3 Besondere Anforderungen an SAP ERP HCM

427

11.4 Berechtigungen und Rollen in SAP ERP HCM

429

11.4.1 Differenzierende Attribute in SAP ERP HCM

430

11.4.2 Personalmaßnahmen

432

11.4.3 Strukturelle Berechtigungen

435

11.4.4 Berechtigungshauptschalter

440

11.5 Resümee

442

12 Betrug im SAP-System

443

12.1 Einführung

443

12.1.1 Betrugsarten

444

12.1.2 Betrug und das SAP-System

446

12.2 Betrugsszenarien in der SAP-Basis

448

12.2.1 Write-Debugging-Berechtigungen

448

12.2.2 Abspielen einer Batch-Input-Mappe unter einem anderen Benutzernamen

449

12.3 Betrugsszenarien im Hauptbuch

450

12.3.1 Betrügerische manuelle Belegbuchungen im Hauptbuch

451

12.3.2 Identifizierung und Analyse von manuellen Journaleinträgen

452

12.4 Betrugsszenarien im Vertriebsbereich

454

12.4.1 Fiktive Rechnungen an fiktive Kunden stellen

454

12.4.2 Gewährung nicht ordnungsgemäßer Gutschriften oder Boni

456

12.4.3 Übermäßiger Einsatz von Gratiswaren

457

12.4.4 Nicht ordnungsgemäße Ausbuchung offener Kundenforderungen

459

12.5 Betrugszenarien in der Personalbuchhaltung

459

12.5.1 Fiktive Angestellte

460

12.5.2 Limitierter Zugang zu eigenen HR-Daten

461

12.5.3 Vier-Augen-Prinzip bei vertraulichen Daten

462

12.6 Resümee

463

13 Exkurs: FDA-Compliance und Kontrollen in SAP

465

13.1 Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung

465

13.1.1 FDA-relevante gesetzliche Anforderungen im internationalen Vergleich

466

13.1.2 GxP – die FDA-Grundsätze

467

13.1.3 IT aus der Sicht von FDA-Compliance

469

13.2 Validierung der IT-Systeme

470

13.2.1 Vorgehensweise bei der Validierung

470

13.2.2 Kontrollen in Implementierungsprozessen

472

13.3 FDA-Compliance in IT-gestützten Geschäftsprozessen

473

13.3.1 Beispiele: Kontrollen in der Beschaffung

474

13.3.2 Beispiele: Kontrollen im Produktionsmanagement

474

13.3.3 Beispiele: Kontrollen im Qualitätsmanagement

475

13.3.4 Beispiele: Kontrollen in der Instandhaltung

476

13.3.5 Beispiele: Kontrollen zur Chargenrückverfolgbarkeit

476

13.3.6 Beispiele: Kontrollen in Lagerverwaltungsprozessen

477

13.4 FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten

479

13.5 Resümee

480

14 Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP

481

14.1 Prozessbezogene Datenauswertungen

482

14.1.1 Vergleich von Einkaufsbestelldatum mit dem Wareneingangsdatum

483

14.1.2 Fristgerechte Freigabe bzw. Anlage von Bedarfsanforderungen und Bestellungen

488

14.1.3 Zeitspanne zwischen Bestelleingang und Bestätigung des Kundenauftrags

497

14.1.4 Zehn weitere Beispiele möglicher datenbasierter Prozessanalysen

499

14.2 Analyse der Stammdatenqualität

499

14.2.1 Qualität der Kundenstammdaten

500

14.2.2 Produzierte Materialien ohne Stückliste

502

14.2.3 Abstimmung von Materialkosten innerhalb eines Buchungskreises

504

14.2.4 Zehn weitere Beispiele möglicher Stammdatenanalysen

506

14.3 Manuelle Datenänderungen

507

14.3.1 Veränderungen von Bedarfsanforderungen

508

14.3.2 Veränderungen von Einkaufsbelegen

510

14.3.3 Veränderungen von Verkaufsbelegen

515

14.3.4 Zehn weitere Beispiele für manuelle Datenänderungen

517

14.4 Ergänzung von SAP ERP-Standardreports

518

14.4.1 Bestandsanalysen um Planungsparameter erweitert

518

14.4.2 Kreditmanagementanalyse um Kundenstammdaten erweitert

520

14.5 Resümee

521

15 IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen?

525

15.1 Grundidee der IKS-Automatisierung

525

15.1.1 COSO-Cube in Aktion

526

15.1.2 Idee der IKS-Automatisierung

527

15.2 IKS-relevante Objekte und Dokumentation

530

15.2.1 Organisationseinheiten

530

15.2.2 Prozesse

532

15.2.3 Kontrollen

532

15.2.4 Kontrollziele

534

15.2.5 Risiken

535

15.2.6 Kontengruppen

536

15.2.7 Beispiel eines IKS-Datenmodells

537

15.3 Grundszenarien der IKS-Aktivitäten

538

15.3.1 Dokumentation

539

15.3.2 Selektion und Priorisierung von Kontrollaktivitäten

540

15.3.3 Kontrolldurchführung

541

15.3.4 Designtest

542

15.3.5 Effektivitätstest

542

15.3.6 Umfrage

543

15.3.7 Risikobewertung

544

15.3.8 Behebung

545

15.3.9 Sign-off

545

15.3.10 Reportauswertung

545

15.3.11 Personen als Bindeglied zwischen IKS-Objekten und Aktionen

546

15.4 Resümee

547

16 IKS-Automatisierung mithilfe von SAP Process Control

549

16.1 Einleitung: IKS-Umsetzung mit SAP Process Control

550

16.2 Technischer Implementierungsteil

552

16.2.1 Technische Architektur und Installation

553

16.2.2 Initiale Konfiguration der Standardfunktionen

555

16.2.3 Informationsquellen zu Implementierung, Betrieb und Upgrade von SAP Process Control

557

16.3 Datenmodell

559

16.3.1 IKS-Stammdaten in SAP Process Control

559

16.3.2 IKS-Datenmodell in SAP Process Control

563

16.3.3 Zentrale vs. lokale IKS-Stammdaten

565

16.3.4 Zeitabhängigkeit der IKS-Stammdaten

566

16.3.5 Nachvollziehbarkeit der Änderungen

568

16.3.6 Konzept der objektbezogenen Sicherheit

569

16.3.7 Kundeneigene Felder

570

16.3.8 Multiple-Compliance-Framework-Konzept

572

16.4 Implementierung des IKS-Prozesses

574

16.4.1 IKS-Dokumentationsprozess

575

16.4.2 Scoping-Prozess

582

16.4.3 Planungsprozess, Tests und Bewertungen

586

16.4.4 Problembehebungsprozess

595

16.4.5 Reporting

606

16.5 IKS- und Compliance-Umsetzung: Rollen

609

16.5.1 Berechtigungsmodell in SAP Process Control

610

16.5.2 Objektbezogene Sicherheit in Aktion

612

16.5.3 First-Level- vs. Second-Level-Berechtigungen

613

16.5.4 Vordefiniertes Best-Practice-Rollenkonzept in SAP

614

16.5.5 Anpassung der Rollen

615

16.6 SAP Process Control als GRC-Bestandteil – Neuheiten und Entwicklungen

617

16.6.1 Policy Management und sonstige Neuheiten in Release 10.0

617

16.6.2 Integration mit SAP Access Control

618

16.6.3 Integration mit SAP Risk Management

620

16.7 Resümee

625

17 Umsetzung von automatisierten Test- und Monitoring-Szenarien im SAP ERP-Umfeld

627

17.1 Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld

628

17.1.1 Offline-CAAT-Tools

628

17.1.2 Online-CAAT-Berichte und -Auswertungen

634

17.1.3 Compliance-Management-Software

635

17.2 Automatisierte Tests und Monitoring in den SAP-Lösungen für GRC-Release 10.0 – Einführung

637

17.2.1 Continuous Monitoring Framework

637

17.2.2 Continuous Monitoring Framework – Potenzial und Erwartungshaltung

639

17.3 Einrichtung von CMF-Szenarien in SAP Process Control

643

17.3.1 SAP-Lösungen für GRC mit Geschäftsanwendungen verbinden

643

17.3.2 Datenquellen in SAP Process Control

647

17.3.3 Geschäftsregeln im CMF anlegen

653

17.3.4 Überwachung der Datenänderungen im CMF

656

17.3.5 Automatisierung mithilfe vordefinierter BestPractice-Szenarien

659

17.3.6 Verbindung von Kontrollen mit Regeln

661

17.3.7 Und los geht’s!

663

17.4 Potenzial von CMF-Szenarien in SAP Process Control

664

17.4.1 Verwendung von SAP NetWeaver Business Warehouse für das Continuous Monitoring

665

17.4.2 Überlegungen zum Thema SAP BusinessObjects

666

17.5 Resümee

669

18 Praxis- und Projekterfahrungen

671

18.1 Praxiserfahrungen: Projekte zur IKS- und Compliance-Automatisierung

671

18.1.1 Hilfsmittel bei der Implementierung

671

18.1.2 Best-Practice-Projektaufbau bei der IKS-Umsetzung

673

18.1.3 Business Blueprint

674

18.1.4 IKS-Content

677

18.1.5 Einflussfaktoren auf den Projektaufwand

679

18.1.6 Erfolgsfaktoren

682

18.2 Projektbeispiele zur IKS- und Compliance-Automatisierung

684

18.2.1 Abdeckung der Schweizer Compliance-Anforderungen bei KUONI

685

18.2.2 Integrierter GRC-Ansatz bei Tecan

689

18.3 SOX bei Ericsson

694

18.3.1 IKS-Framework bei Ericsson

695

18.3.2 SOX-Compliance-Prozess bei Ericsson

699

18.3.3 Erfahrungen aus vorhergehenden Projekten

702

18.3.4 Optimierungspotenzial

703

18.3.5 Schritte zur Optimierung

704

18.4 Rückblick auf die IKS-Evolutionsstufen und Fazit

707

Anhang

711

A Abkürzungsverzeichnis

713

B Literatur

717

C Der Autor

721

D Die Beiträger

723