Datenänderungen auswerten – Einfacher mit dem Audit Trail Prüfen in SAP ® Roland Giger Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Inhalt 1 2 3 4 5 6 7 Einführung Änderungsobjekt – Das betriebswirtschaftliche Objekt Die Tabellenprotokollierung Der SAP Audit Trail Spezialfälle für Änderungsprotokollierungen Informationsquellen Fazit Die Aufzeichnung von Änderungen an Daten in einem SAP-System erfolgt einerseits zur Erfüllung gesetzlicher Vorgaben, sichert darüber hinaus aber auch unternehmenseigene Interessen und Ansprüche. Gesetzliche Vorgaben über die Buchführung verpflichten zum Grundsatz der Unveränderlichkeit und daraus ergeben sich die Anforderungen, dass bei Änderungen sowohl der ursprüngliche Inhalt wie auch der Sachverhalt, dass Änderungen vorgenommen wurden, aufgezeichnet werden muss. SAP hat für diese Anforderung zwei ähnlich klingende Verfahren. Die Tabellenprotokollierung und die Änderungsbelege. In meinem Artikel stelle ich sie Ihnen vor und zeige Ihnen die Unterschiede auf. Wie Sie beide Verfahren einfach, schneller und besser auswerten können, stelle ich Ihnen mit der übergreifenden Funktionalität des SAP Audit-Trail vor. 1 Einführung Tagtäglich werden von den SAP-Anwendern neue Daten hinzugefügt, geändert oder auch gelöscht. Wenn SAP nicht explizit eine zeitbezogene Abgrenzung der Daten vorsieht, sehen Sie bei der Anzeige der Daten immer den “IST-Zustand“, zum Beispiel die aktuelle Bankverbindung des Kreditors oder das aktuelle Mahnverfahren eines Debitors. PRev Revisionspraxis 1 | 2015 35 Prüfen in SAP ® Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Die Möglichkeit, auch Änderungen an Daten anzuzeigen, ist in vielen Fällen eine wichtige Notwendigkeit für die Sicherstellung betrieblicher Prozesse des Unternehmens. Fragen wie z. B. wer hat wann die Bestellposition der Kundenbestellung geändert oder was wurde an einem bestimmten Kreditor geändert, können ohne Aufzeichnung der Änderung nicht beantwortet werden. Für die Revision sind nachweisbare Änderungen eine hilfreiche Unterstützung in der Beurteilung verschiedenster Prüffragen. Wurde das Interne Kontrollsystem zu einem bestimmten Zeitpunkt umgangen, da eine temporäre Berechtigung von einer Person für eine Datenänderung genutzt wurde? Sind unverhältnismäßig viele Änderungen an kritischen Daten durchgeführt worden? Gibt es gesetzliche Vorgaben wie beispielsweise die Grundsätze der ordnungsmäßigen Buchführung, sind Daten über Änderungen an rechnungslegungsrelevanten Daten auch Teil der Verfahrensdokumentation und somit Aufbewahrungspflichtig. Dem erfahrenen Anwender ist sicher bekannt, dass Änderungen von Daten meistens direkt in der jeweiligen Transaktion zur Bearbeitung oder Anzeige der Daten angezeigt werden können. Der Nachteil ist, dass Sie lediglich die Änderungen eines bestimmten Datensatzes auswerten können und keine Suche oder Analyse der Änderungen vornehmen können. Ergänzend dazu bietet SAP Transaktionen an, um bestimmte Analysen wie beispielsweise alle Änderungen der Sachkonten auszuwerten. Auch hier besteht eine Einschränkung, dass immer nur das dafür vorgesehene Objekt ausgewertet werden kann. Das Verfahren zur Aufzeichnung und Anzeige dieser Daten bezeichnet SAP als “Änderungsbeleg“. Bezüglich Protokollierung von Daten gibt es im SAP noch ein weiteres Verfahren – die Tabellenprotokollierung. Thematisch und umgangssprachlich ist nicht sofort erkennbar, was der eigentliche Unterschied ist und was dieser Unterschied für Auswirkungen hat auf der Suche nach Änderungsinformationen oder der Nachvollziehbarkeit, was genau wo protokolliert wird. Abb. 1 – Konzept für die Protokollierung von Änderungen an Tabellen Verändert ein Benutzer über eine Transaktion bestimmte Daten, können innerhalb eines Arbeitsschrittes mehrere Tabellen (in der Abbildung die Tabellen A, B, C und D) betroffen sein. Die für den Benutzer innerhalb der Transaktion mögliche Suche nach Änderungen bezieht sich auf die Tabellen A, B und C, die in Form eines Änderungsbeleges protokolliert werden. Die Tatsache, dass Änderungen an der Tabelle D nicht im Änderungsbeleg aufgezeichnet werden, liegt daran, dass sich bei der Gestaltung und Realisierung der Transaktion keine Notwendigkeit ergab oder es möglicherweise vergessen wurde. SAP hat für die zentralen und wichtigen Transaktionen die dazugehörigen Änderungsbelege umgesetzt. Zu beachten ist bei Eigenentwicklungen, dass Änderungsbelege an Tabellen nur dann protokolliert werden, wenn dies explizit programmiert wird. 36 PRev Revisionspraxis 1 | 2015 Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Prüfen in SAP ® Die Tabellenprotokollierung findet im Gegenzug zum Änderungsbeleg unabhängig von der jeweiligen Transaktion statt. In obiger Abbildung erkennbar, wird die Tabelle C nicht aufgezeichnet, dafür aber die Tabelle D, welche im Änderungsbeleg aufgezeichnet wird. Die Ursache für das Fehlen der Tabelle C ist der, dass sie nicht für die Aufzeichnung aktiviert wurde. Zusammenfassend: Es gibt zwei Verfahren für die Protokollierung von Daten – Tabellenprotokollierung und Änderungsbelege. Änderungsbelege sind abhängig von der Transaktion, die Tabellenprotokollierung nicht. Es kann nicht davon ausgegangen werden, dass zwischen den Änderungsbelegen und der Tabellenprotokollen vollständige Übereinstimmung der protokollierten Tabellen vorliegt. Dies muss auch nicht zwingend erfolgen, sondern ist vom jeweiligen Zweck und Notwendigkeit abhängig. Die Einhaltung gesetzlicher Vorgaben zur Nachweispflicht von Änderungen wird durch beide Verfahren vollumfänglich erfüllt. 2 Änderungsbelegobjekt – Das betriebswirtschaftliche Objekt Änderungen an mehreren Tabellen und die Protokollierung zusammenfassend durchzuführen, ist sinnvoll, weil damit der betriebswirtschaftliche Zusammenhang einer Änderung besser nachvollzogen werden kann. Ohne diese Gruppierung, in SAP als Änderungsbelegobjekt bezeichnet, wäre es schwierig oder fast unmöglich, eine Änderung in einer Tabelle in Beziehung zu einer Änderung in einer anderen Tabelle nachzuvollziehen. Wo und wie erfolgt dies nun in SAP? Es sind folgende zwei Voraussetzungen notwendig: 1. Ein Änderungsobjekt mit den vorgesehenen Tabellen muss angelegt und definiert sein. 2. Da nicht alle Felder einer Tabelle aufgezeichnet werden müssen, muss definiert sein, welche Felder protokolliert werden sollen. Insbesondere bei Eigenentwicklung kann es vorkommen, dass keine Änderungsbelege vorgesehen sind bzw. diese Anforderung nicht geklärt wurde. Aktivierung prüfen mit der Transaktion SCDO Das Einstiegsbild zeigt Ihnen eine Übersicht über die vorhandenen Änderungsbelegobjekte. Geben Sie den gesuchten Namen unten. Über das Menu ÄndBelegobjekt->Anzeigen werden Ihnen die Details wie im linken Bild angezeigt. Sie sehen hier, welche Tabellen zu Änderungsobjekt “Beleg“ gehören. Gespeichert werden diese Einstellungen in der Tabelle TCDOB. Abb. 2 – Die Konfiguration der Änderungsbelegobjekte PRev Revisionspraxis 1 | 2015 37 Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Prüfen in SAP ® Welche Felder durch ein Änderungsbelegobjekt aufgezeichnet werden, lässt sich nicht mit der Transaktion SCDO ermitteln. Dies kann mit der Transaktion SE11 und mit dem Anzeigen der Datenelemente ermittelt werden. Abb. 3 – Die Aktivierung der Datenelemente Änderungsbelege auswerten Die Auswertung der protokollierten Änderungsbelege erfolgt mit der Transaktion RSSCD100 oder S_ ALR_87101238. Mit “Objektklasse“ ist die Bezeichnung des Änderungsbelegobjektes gemeint. Wie Sie sehen, können Sie gezielt nach Änderungen einer bestimmten Person, einer bestimmten Tabelle und für einen bestimmten Zeitraum durchführen. Beachten Sie bitte, dass Sie Ihre Suchkriterien einschränken, damit lange Laufzeiten vermieden werden. Gespeichert werden die Aufzeichnungen über Änderungen in den Tabellen CDHDR und CDPOS. Das Ergebnis einer Auswertung sehen Sie nachfolgend. Abb. 4 – Die Auswertung der Änderungsbelegobjekte Beachten Sie bitte, dass mit dieser Auswertung auch personenbezogene Analysen durchgeführt werden können. In solchen Fällen sind datenschutzrechtliche Vorgaben zu beachten und einzuhalten. Empfehlungstipp: Über das Änderungsbelegobjekt “AENDBELEG“ können Sie ermitteln, wer Änderungsbelegobjekte geändert hat. 3 Die Tabellenprotokollierung Die Tabellenprotokollierung wird insbesondere bei Customizing-Tabellen standardmäßig aktiviert, kann aber für jede Tabelle aktiviert werden. Es sind folgende zwei Voraussetzungen nötig: 1. Systemparameter rec/client muss aktiviert sein. 2. Die gewünschte Tabelle muss als zu protokollieren gekennzeichnet sein 38 PRev Revisionspraxis 1 | 2015 Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Tabellenaktivierung prüfen Prüfen in SAP ® Der Systemparameter rec/client muss aktiviert sein, damit die Protokollierung überhaupt stattfinden kann. Dies kann mit der Transaktion RSPFPAR_TABLEREC oder RSPFPAR geprüft werden. Abb. 5 – Der Systemparameter für die Tabellenprotokollierung Über die Transaktion SE13 oder SE11 können Sie prüfen, ob die Tabelle für die Tabellenprotokollierung aktiviert ist. Im Falle von SE11 finden Sie die Einstellung über die Auswahl “Technische Einstellung“ im Menü. Gespeichert wird diese Einstellung in der Tabelle DD09L und im Feld “Protokoll“. Im obigen Beispiel sehen Sie auch die Tabelle BKPF, die für die Buchhaltung einer der wichtigsten Daten, die Belegkopfdaten, enthält. Diese ist erstaunlicherweise nicht für die Protokollierung aktiviert. Da diese Tabelle aber über die Änderungsbelege aufgezeichnet wird, liegt kein Verstoß gegen die Nachweispflicht von Änderungen vor! Abb. 6 – Die Konfiguration der Tabellenprotokollierung Tabellenprotokolle auswerten Abb. 7 – Die Auswertung der Tabellenprotokolle PRev Revisionspraxis 1 | 2015 39 Prüfen in SAP ® Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Mit der Transaktion SCU3 (Alternativen: RSTBHIST, RFTBPROT_BCE_AUDIT) wählen Sie die gewünschte Tabelle, um die Änderungen anzuzeigen. Sie können gleichzeitig auch mehrere Tabellen auswerten, indem Sie in der Mehrfachselektion mehrere Tabellen hinterlegen. Der Nachteil dieser Transaktion ist, dass keine zusätzlichen Selektionsparameter eingegeben werden können. So ist eine Suche für eine bestimmte Person oder ein bestimmtes Tabellenfeld nicht möglich. Beachten Sie bitte, dass Sie die Auswahl für “Tabellen“ treffen, wenn es sich nicht um eine Customizingtabelle handelt. Gespeichert sind die Daten in der Tabelle DBTABLOG. Tipp: Diese Transaktion können Sie auch anstelle der SE13/SE11 für die Prüfung der Tabellenaktivierung nutzen. Klicken Sie einfach oben auf “Protokollierung: Status anzeigen“. 4 Der SAP Audit Trail Die vorgestellten Transaktionen für die Prüfung und Auswertung der Änderungsbelege und Tabellenprotokolle haben einige Nachteile für die Nutzung. So können bei der Prüfung der Einstellungen nicht alle Sachverhalte gleichzeitig mit einer einzigen Transaktion geprüft werden oder Sie müssen ständig im Auge haben, dass sie die Transaktionen nicht verwechseln und zuletzt eine gleichzeitige Auswertung beider Protokolle ist auch nicht möglich. Doch Hilfe naht in einem eher wenig bekannten Konzept. SAP stellt mit dem sogenannten Audit Trail eine SAP Netweaver Komponente zur Verfügung, welche beide Verfahren einfach prüfen und auswerten lässt. Ebenfalls von Nutzen ist, dass die Daten exportiert werden können. Aktivierung der Protokollierung prüfen mit der Transaktion S_AUT03 Wenn Sie die Transaktion starten, steht Ihnen auf der linken Seite ein Auswahlfenster zur Verfügung. Hier können Sie wählen, aus welcher Perspektive Sie eine Einstellung prüfen möchten. Mit der Auswahl “Änderungsbelegobjekt“ ist auswertbar, welche Tabellen damit protokolliert werden. Im Beispiel sehen Sie diejenigen Tabellen, die zum Änderungsbelegobjekt “Beleg“ gehören. Ändern Sie die Auswahl auf “Tabelle“ und geben eine bestimmte Tabelle ein, ist erkennbar, in welchen Änderungsbelegobjekten diese Tabelle ist und welche Felder protokolliert werden. Auch ersichtlich ist nun, ob die Tabellenprotokollierung für diese Tabelle aktiviert ist (Feld Protokollierung). Einfach und praktisch können Sie mit nur einer Transaktion beide Verfahren mit allen Informationen auswerten. Ein weiteres Beispiel soll Ihnen die Auswirkung der Einstellungen nochmals vertieft erläutern. Die Tabelle FMFXPO hat zwar Felder für die Protokollierung aktiviert, aber da die Tabelle in keinem Änderungsbelegobjekt ist, wird auch kein Änderungsbeleg protokolliert. Die Tatsache, dass die Tabellenprotokollie- 40 Abb. 8 – Die Konfiguration der Änderungsbelegobjekte Abb. 9 – Die Aktivierung der Datenelemente PRev Revisionspraxis 1 | 2015 Datenänderungen auswerten – Einfacher mit dem Audit Trail rung aktiviert ist, spielt dabei keine Rolle, da in diesem Verfahren immer sämtliche Felder protokolliert werden. Dies muss kein Fehler sein, sondern individuell beurteilt werden. Da sich die Markierung technisch auf ein Datenelement bezieht, kann es sein, dass das gleiche Datenelement in einem Fall in einer Tabelle als Feld geführt wird, die aufgezeichnet werden muss und in einem anderen Fall in einer Tabelle, die nicht aufgezeichnet werden soll. Prüfen in SAP ® Roland Giger Abb. 10 – Änderungsbeleg nicht aktiviert, aber Datenelemente Auswerten der Protokolle mit der Transaktion S_AUT10 Nach dem Starten wird Ihnen der sogenannte Standardmodus angezeigt. In diesem Modus müssen Sie immer ein Startdatum und eine Transaktion eingeben in den Parametern. Abb. 11 – Audit-Trail auswerten im Standardmodus Ich bevorzuge die flexiblere Möglichkeit des Erweiterungsmodus. Wählen Sie diesen über aus. Auf die Anzeige der Daten hat der Modus keine Auswirkungen. Sie den Button erkennen sofort, dass hier mehr Möglichkeiten zur Verfügung stehen. Ich kann wählen, ob ich beide Verfahren oder jeweils nur eine bestimmte auswerten möchte. Abb. 12 – Audit-Trail auswerten im Erweiterungsmodus PRev Revisionspraxis 1 | 2015 41 Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail Prüfen in SAP ® Die Auswertung der Daten ist jeweils unterteilt in einen oberen Teil für die Tabellenprotokollierung und im unteren Teil für die Anzeige der Änderungsbelege. Da wie schon erwähnt, die Tabellen für dieses Änderungsbelegobjekt nicht für die Tabellenprotokollierung aktiviert sind, gibt es auch keine Anzeige im oberen Teil. Abb. 13 – Anzeigen der Änderungen im Audit-Trail Sie haben also mit nur zwei Transaktionen alle Informationen, die Sie für die Prüfung der Konfiguration wie auch für die Abfrage von Änderungen an Tabellen für beide Verfahren benötigen. Zwecks Übersicht habe ich Ihnen nachfolgende Abbildung erstellt, welche beide Verfahren, die Tabellen sowie die Transaktionen zusammenfassend zeigt. Abb. 14 – Die Verfahren für Änderungsaufzeichnungen 5 Spezialfälle für Änderungsprotokollierungen Auf zwei Fälle möchte ich Aufmerksam machen. Auch SAP speichert trotz allem nicht alles und jedes mit der Tabellenprotokollierung und den Änderungsbelegen. Beispielsweise muss im Projektsystem die Aufzeichnung von Änderungen in den Projektdaten über das Customizing im Projektprofil aktiviert werden. Auch im Personalbereich sind die gewünschten Aufzeichnungen für die jeweiligen Infotypen individuell zu aktivieren. 42 PRev Revisionspraxis 1 | 2015 Roland Giger Datenänderungen auswerten – Einfacher mit dem Audit Trail 6 Informationsquellen 112388 Protokollierungspflichtige Tabellen 1916 Protokollierung Tabellen Änderungen im R/3 1518447_Neues Audit Trail Online-Dokumentation Änderungsbelege http://help.sap.com/saphelp_nw74/helpdata/de/48/ d1c0eff6c96745e10000000a421937/frameset.htm Tabellenprotokollierung http://help.sap.com/saphelp_nw74/helpdata/de/4d/b6ceab36311dcee10000000a42189c/content.htm?frameset=/de/4d/b716fcf1ab34d5e10000000a42189c/frameset.htm¤t_toc=/de/f3/73672be560404587ee b9a63c086d0d/plain.htm&node_id=95&show_children=false http://help.sap.com/saphelp_nw74/helpdata/de/c7/69bcd2f36611d3a651000 0e835363f/content.htm PREV – Artikel 2/2012 – M. Herold; Tabellenorientiertes Prüfen von integrierten Werteflüssen 6/2010 – M. Herold; Prüfungsrelevante Fragestellungen in der SAP-Finanzbuchhaltung SAP OSS Hinweise Prüfen in SAP ® Informationsquelle 7 Fazit Die Begriffe und Verfahren für die Aufzeichnung von Datenänderungen können immer wieder verwechselt werden. Mit zwei Transaktionen – S_AUT03 für die Prüfung der Konfiguration und S_AUT10 für die Auswertung der Änderungen – ist es möglich, beide Verfahren auszuwerten und es ist immer erkennbar, um welches es sich handelt. Die Einsatzmöglichkeiten für die Revision erweitern sich mit der Nutzung des SAP Audit Trail insofern, dass der Zugang zu den benötigten Informationen einfacher, schneller und flexibler wird. Es würde mich sehr freuen, wenn Sie mir über Ihre Erfahrungen im Umgang mit dem SAP Audit Trail berichten. Besten Dank im Voraus. Roland Giger Inhaber der Giger Consulting GmbH (www.giger-consulting.com) Eidg. Dipl. Wirtschaftsinformatiker, CISA, CRISC, mehrjährige IT-Erfahrung, davon 10 Jahre als SAP-Berater und 7 Jahre als leitender Revisor. PRev Revisionspraxis 1 | 2015 43
© Copyright 2024 ExpyDoc
