SAP QUICK CHECK Das SAP System ist häufig das zentrale Datenverarbeitungssystem für das gesamte Unternehmen. Aufgrund des hohen Integrationsgrades der Geschäftsprozesse ergibt sich daraus eine hohe Abhängigkeit bezüglich der Verfügbarkeit der Systeme und der Qualität der zu verarbeitenden Daten. Daraus leiten sich zusätzliche Anforderungen an die Ordnungsmäßigkeit der Datenverarbeitung und das IT-Risikomanagement ab. Roever Broenner Susat Mazars unterstützt Unternehmen bei der Prüfung des ordnungsmäßigen Einsatzes von SAP Systemen. Dafür sind besonders folgende Bereiche von entscheidender Bedeutung: IT-Sicherheit (generelle Kontrollen in der Anwendung) – Sicherheitsmaßnahmen, die z. B. unautorisierten Zugriff auf das System oder elektronisches Radieren weitgehend ausschließen Internes Kontrollsystem der Haupt- und Nebenbücher (IKS) – Kontrollen im buchhalterischen Verfahren, die, wie in den Prüfleitfäden der SAP AG beschrieben, die Grundvoraussetzung für einen ordnungsmäßigen Einsatz liefern, z. B. die regelmäßige Kontrolle auf Buchungsabbrüche Für die Beurteilung IT-gestützter Prozesse und insbesondere bei Massentransaktionen haben wir das Data and Risk Analytics System (DaRAS) entwickelt. Fraud Scan Sampling Journal Entry Testing DaRAS Data and Risk Analytics System SAP Quick Check Ein Modul von DaRAS ist der SAP Quick Check. Ziel des SAP Quick Checks ist die Beurteilung der Richtigkeit, Vollständigkeit und Nachvollziehbarkeit der Abwicklung von Geschäftsvorfällen durch das SAP System. Dabei werden in einem risikoorientierten Ansatz folgende Prüfungen durchgeführt: Segregation of Duties Continuous Auditing die Prüfung der Systemparametrisierung bzgl. Sicherheit und Ordnungsmäßigkeit die Prüfung der Verwendung von kritischen Berechtigungen die Prüfung der Konsistenz und Plausibilität der Datenbestände die Prüfung auf Auffälligkeiten in der Stammdatenverwaltung die Prüfung auf Auffälligkeiten im Belegfluss Ein Beispiel des SAP Quick Checks ist die Analyse von temporären Änderungen, um (möglicherweise) fraudulente Handlungen aufzudecken: 23.02.2012, 21:36 Uhr 24.02.2012, 09:15 Uhr 24.02.2012, 21:40 Uhr Änderung Kreditor Bankverbindung Überweisung offene Posten Änderung Kreditor alte Bankverbindung Abbildung 1: Typischer Prozessablauf 1 SAP QUICK CHECK Der SAP Quick Check untersucht Bestands- und Bewegungsdaten aus den Bereichen: 1 SAP Basis und Benutzerverwaltung 2 Hauptbuchung (SAP FI) 3 Kreditorenbuchhaltung (SAP FI-AP) SAP Module 4 Debitorenbuchhaltung (SAP FI-AR) 5 Anlagen-Buchhaltung (SAP FI-AA) 6 Materialwirtschaft (SAP MM) 7 Vertrieb (SAP SD, FI-CA) Abbildung 2: SAP Module Darüber hinaus gibt der SAP Quick Check Hinweise auf mögliche Manipulationen am System, signifikante Eingabe- oder Verarbeitungsfehler (Fraud und Error) und grundsätzliche Unstimmigkeiten. Unser SAP Quick Check ist standardisiert und erfolgt in drei Schritten: 1. Systemaufnahme und Risikoanalyse SAP Systeme und Releasestände SAP Module im Einsatz Relevante Orgebenen im SAP System Art der Stammdatenverwaltung (zentral/dezentral) Relevante Schnittstellen 2. Datenanalyse 3. Ergebnisanalyse Anpassung der Datenübernahme und Auswertungsroutinen auf Grundlage von Schritt 1 Export der relevanten Tabellen und Reports Automatisierte Analyse übernommener Daten Erstellung von Berichten zu Ausfälligkeiten Beurteilung der aufgedeckten Auffälligkeiten Risikobewertung von festgestellten Schwachstellen Ergebnisbericht und Festlegung eines Maßnahmenplans Abbildung 3: Typischer Prozessablauf Unsere Dienstleistungen auf einem Blick: Prüfung der Sicherheit und Ordnungsmäßigkeit des SAP Systems Aufdecken von Kontrollschwächen Analyse des Belegflusses Analyse kritischer Berechtigungen Identifikation von fehlerhaften bzw. manipulierten Datenbeständen Aufdeckung von Auffälligkeiten und Unplausibilitäten Ansprechpartner Henning Lieder Diplom-Wirtschaftsmathematiker CISA, CIA, CISM, DIIR-QA Senior Manager Tel: +49 40 288 01-3140 [email protected] www.mazars.de Michael Potschin Diplom-Mathematiker (FH) CISA Tel: +49 40 288 01-3141 [email protected] 2
© Copyright 2024 ExpyDoc
