Teil IV der Serie: „Das digitale Audit für prozessübergreifende Prozessschwächen“
Dieser Blog Post stellt Ihnen drei interessante Datenindikatoren vor, um den Zugriffsschutz Ihres SAP Systems zu beleuchten. Natürlich geht es hierbei häufig um SAP Berechtigungen.
1. Das digitale Audit für prozessübergreifende Prozessschwächen
2. Im Fokus: So prüft man Stammdaten und Zahlungen automatisiert
3. Die GoBD lassen grüßen: Ein Quickcheck für Ihren Buchungsstoff
4. Offenheit kann sich rächen: Automatische Analyse Ihres SAP Zugriffsschutzes
5. Sind Ihre Prozesse plausibel? So bekommen Sie es automatisiert heraus
6. Wenn die Datenanalysen fertig sind kommt das Professional Judgement…
Bevor Sie sich in den Details zu den Indikatoren vertiefen, empfehle ich Ihnen, sich Das Konzept der Indikatoren anzusehen.
Drei TOP Indikatoren für die Analyse des Zugriffsschutzes in SAP
Alle Indikatoren sind jeweils einem Prozess, einem Prozessbereich, einem Prüfungsziel und einem Risiko zugeordnet. Im Folgenden werden drei ausgesuchte Indikatoren bzgl. des Zugriffsschutzes in SAP vorgestellt.
Insgesamt habe ich 20 Indikatoren für den Bereich der prozessübergreifenden Sachverhalte entworfen und implementiert. Die Details zu allen diesen Indikatoren können Sie hier downloaden.
Aktivitäten von Superusern
Dieser Indikator ist dem Prüfungsziel Zugriffsschutz zugeordnet.
Es besteht das Risiko von Betrug, da Superuser die Funktionstrennung umgehen können.
Der Beleg wird markiert, weil dieser von einem Nutzer gebucht wurde, welcher Standard SAP Administrationsprofile als Nutzerrechte hat.
Ein einziger Nutzer hat den gesamten Ablauf abgewickelt
Dieser Indikator ist dem Prüfungsziel Zugriffsschutz zugeordnet.
Es besteht gesteigertes Potenzial bzgl. Fehler oder Betrug, wenn ein einziger Nutzer den gesamten Ablauf durchführt.
Es werden alle Belege eines Prozessablaufs markiert, wenn ein Nutzer alle Aktivitäten des Prozessablaufs durchgeführt hat.
Belege ohne Nutzer
Dieser Indikator ist dem Prüfungsziel Ordnungsmäßigkeit zugeordnet.
Es besteht das Risiko, dass die Entstehung von Belegen nicht nachvollzogen werden kann.
Der Beleg wird markiert, da das User Feld im Beleg keinen Nutzernamen beinhaltet.