Handbuch SAP-Revision

Maxim Chuprunov hat das Studium der Betriebswirtschaft inklusive verschiedener Forschungsvorhaben als DAAD-Stipendiat im Jahr 2001 mit der Magisterarbeit zum Thema 'Audit im SAP-Umfeld' abgeschlossen. Seitdem ist er diesem Thema treu geblieben und baut es konsequent im GRC-Bereich (Governance, Risk & Compliance) aus. Die Verbindung der fachlichen als auch der Compliance-spezifischen Sichten auf Geschäftsprozesse mit dem technischen Lösungs-Know-how gehört zu seinem Spezialgebiet. Bevor Maxim Chuprunov Ende 2010 RISCOMP GmbH (Schweiz) gegründet hat, war er bei der KPMG DTG in München und der KPMG LLP in Boston, bei der SCHENKER AG in Essen sowie bei der SAP AG in Zürich tätig. Bei KPMG arbeitete er in den Bereichen Information Risk Management und IT Advisory. In dieser Zeit avancierte er vom Diplomanden zum Assistant Manager. Parallel zu zahlreichen Projekten bei internationalen Konzernen hat er Berufsexamina zum CPA (Certified Public Accountant) und CISA (Certified Information Systems Auditor) erfolgreich absolviert sowie die Zertifizierung als FI/CO-Berater für SAP erworben. Bei KPMG leitete er auch diverse Compliance-Prüfungen von SAP-Systemen und entwickelte präventive sowie aufdeckende Prüfungs-, Datenanalyse- und Kontrollautomatisierungs-Szenarien. Seine vielfältigen Interessen realisierte er außerdem in IKSBeratungsprojekten und bei der Erstellung und Umsetzung der Feinkonzepte für internes und externes Rechnungswesen. Bei der SCHENKER AG (Essen), wo er im Rahmen von Global Rollouts Verantwortung für die Einführung der FI- und CO-Prozesse einschließlich Reporting nach SEM mit SAP übernahm, wurde er auf die neue GRC-Produkt-Suite von SAP aufmerksam. 2007 schloss er sich dem Center of Expertise Financials & Compliance von SAP Schweiz an. In seiner Funktion als Senior Consultant hat er bei weltweiten Implementierungsprojekten und Proof of Concepts für SAP BusinessObjects-/GRC-Lösungen mit dem Schwerpunkt IKS-Automatisierung Pionierarbeit geleistet. Er ist im SAP Solution Management als Experte und Ideengeber bei Tests und Software-Design von SAP BusinessObjects Process Control bekannt und führt als Referent bei SAP Education Schulungen durch.

  Vorwort ... 23
       Vertrauen ist gut, Kontrolle ist billiger: Einleitung ... 25
       Thema, Aufbau und Inhalt des Buches ... 27
       An wen richtet sich dieses Buch? ... 33
       Hinweise zur Lektüre ... 35
       Danksagung ... 36


TEIL I  Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld ... 39

  1.  Gesetzliche Anforderungen im Bereich IKS-Compliance ... 41
       1.1 ... Begriffsdefinitionen und Abgrenzung ... 41
       1.2 ... Gesetzliche IKS-Anforderungen in Übersee -- die vielen Gesichter von SOX ... 44
       1.3 ... IKS-Anforderungen in Europa ... 48
       1.4 ... IKS-Anforderungen in der Finanzbranche ... 56
       1.5 ... Unternehmenserfolg durch IKS? ... 60
       1.6 ... Resümee ... 62

  2.  Der Prüfer kommt: Wann, warum und wie man damit umgeht ... 65
       2.1 ... IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung ... 66
       2.2 ... IKS-Assurance in der Praxis ... 75
       2.3 ... Resümee ... 86

  3.  IKS-Anforderungen und ERPSysteme: Grundsätze, Frameworks, Struktur ... 87
       3.1 ... IKS-Inhalte im SAP ERP-Umfeld definieren ... 87
       3.2 ... IKS-relevante Referenzmodelle und Standards ... 103
       3.3 ... Resümee ... 115

  4.  Wie geht SAP mit dem Thema Compliance um? ... 117
       4.1 ... Softwarezertifizierung ... 117
       4.2 ... Compliancerelevante Leitfäden ... 122
       4.3 ... Integrierter Ansatz in den SAP-Lösungen für GRC 10.0 und weitere compliancerelevante Lösungen ... 132
       4.4 ... Compliancerelevanter Content ... 153
       4.5 ... Resümee ... 165


TEIL II  Vom Konzept zum Inhalt: Kontrollen in SAP ERP ... 167

  5.  Revisionsrelevante SAP-Basics ... 169
       5.1 ... Am Anfang war die Tabelle: SAP als tabellengesteuerte Applikation ... 170
       5.2 ... Berechtigungen ... 198
       5.3 ... Resümee ... 213

  6.  Generelle IT-Kontrollen in SAP ERP ... 215
       6.1 ... Organisatorische Kontrollen ... 215
       6.2 ... Kontrollen im Bereich Change Management und Entwicklung ... 222
       6.3 ... Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung ... 235
       6.4 ... Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP ... 243
       6.5 ... Resümee ... 262

  7.  Übergreifende Applikationskontrollen in SAP ERP ... 263
       7.1 ... Grundsatz der Unveränderlichkeit ... 264
       7.2 ... Kontrollen für die datenbezogene Nachvollziehbarkeit ... 269
       7.3 ... Nachvollziehbarkeit der Benutzeraktivitäten in SAP ... 276
       7.4 ... Prozessübergreifende Verarbeitungskontrollen ... 284
       7.5 ... Resümee ... 294

  8.  Kontrollen in der Finanzbuchhaltung ... 295
       8.1 ... Grundlegende Kontrollmechanismen im Hauptbuch ... 296
       8.2 ... Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch ... 306
       8.3 ... Vollständigkeit der Verarbeitung im Hauptbuch ... 315
       8.4 ... Sicherheit und Schutz der Daten im Hauptbuch ... 321
       8.5 ... Kontrollen in der Anlagenbuchhaltung ... 331
       8.6 ... Kontrollen in der Kreditoren- und Debitorenbuchhaltung ... 345
       8.7 ... Resümee ... 354

  9.  Kontrollmechanismen im SAP ERP-gestützten ProcuretoPay-Prozess ... 355
       9.1 ... Bestellwesen ... 357
       9.2 ... Wareneingänge und Rechnungsprüfung ... 361
       9.3 ... WE/RE-Konto ... 366
       9.4 ... Kontrollen rund um das Thema Bestände ... 371
       9.5 ... Corporate Governance ... 383
       9.6 ... Resümee ... 384

10.  Kontrollmechanismen im SAP ERP-gestützten OrdertoCash-Prozess ... 385
       10.1 ... Kontrollen in der vorbereitenden Vertriebsphase ... 386
       10.2 ... Kontrollen bei der Auftragserfüllung und Umsatzlegung ... 393
       10.3 ... Resümee ... 406

11.  Datenschutz-Compliance in SAP ERP Human Capital Management ... 407
       11.1 ... Gesetzliche Datenschutzanforderungen ... 408
       11.2 ... Datenschutzrelevante übergreifende Kontrollmechanismen in SAP ... 422
       11.3 ... Besondere Anforderungen an SAP ERP HCM ... 427
       11.4 ... Berechtigungen und Rollen in SAP ERP HCM ... 429
       11.5 ... Resümee ... 442

12.  Betrug im SAP-System ... 443
       12.1 ... Einführung ... 443
       12.2 ... Betrugsszenarien in der SAP-Basis ... 448
       12.3 ... Betrugsszenarien im Hauptbuch ... 450
       12.4 ... Betrugsszenarien im Vertriebsbereich ... 454
       12.5 ... Betrugszenarien in der Personalbuchhaltung ... 459
       12.6 ... Resümee ... 463

13.  Exkurs: FDA-Compliance und Kontrollen in SAP ... 465
       13.1 ... Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung ... 465
       13.2 ... Validierung der IT-Systeme ... 470
       13.3 ... FDA-Compliance in IT-gestützten Geschäftsprozessen ... 473
       13.4 ... FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten ... 479
       13.5 ... Resümee ... 480

14.  Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP ... 481
       14.1 ... Prozessbezogene Datenauswertungen ... 482
       14.2 ... Analyse der Stammdatenqualität ... 499
       14.3 ... Manuelle Datenänderungen ... 507
       14.4 ... Ergänzung von SAP ERP-Standardreports ... 518
       14.5 ... Resümee ... 521


TEIL III  Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems ... 523

15.  IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? ... 525
       15.1 ... Grundidee der IKS-Automatisierung ... 525
       15.2 ... IKS-relevante Objekte und Dokumentation ... 530
       15.3 ... Grundszenarien der IKS-Aktivitäten ... 538
       15.4 ... Resümee ... 547

16.  IKS-Automatisierung mithilfe von SAP Process Control ... 549
       16.1 ... Einleitung: IKS-Umsetzung mit SAP Process Control ... 550
       16.2 ... Technischer Implementierungsteil ... 552
       16.3 ... Datenmodell ... 559
       16.4 ... Implementierung des IKS-Prozesses ... 574
       16.5 ... IKS- und Compliance-Umsetzung: Rollen ... 609
       16.6 ... SAP Process Control als GRC-Bestandteil -- Neuheiten und Entwicklungen ... 617
       16.7 ... Resümee ... 625

17.  Umsetzung von automatisierten Test- und Monitoring-Szenarien im SAP ERP-Umfeld ... 627
       17.1 ... Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld ... 628
       17.2 ... Automatisierte Tests und Monitoring in den SAP-Lösungen für GRC-Release 10.0 -- Einführung ... 637
       17.3 ... Einrichtung von CMF-Szenarien in SAP Process Control ... 643
       17.4 ... Potenzial von CMF-Szenarien in SAP Process Control ... 664
       17.5 ... Resümee ... 669

18.  Praxis- und Projekterfahrungen ... 671
       18.1 ... Praxiserfahrungen: Projekte zur IKS- und Compliance-Automatisierung ... 671
       18.2 ... Projektbeispiele zur IKS- und Compliance-Automatisierung ... 684
       18.3 ... SOX bei Ericsson ... 694
       18.4 ... Rückblick auf die IKS-Evolutionsstufen und Fazit ... 707

  Anhang ... 711
       A ... Abkürzungsverzeichnis ... 713
       B ... Literatur ... 717
       C ... Der Autor ... 721
       D ... Die Beiträger ... 723

  Index ... 727