Mit der Einführung der Fiori-Apps hat SAP® eine neue Kategorie von Anwendungen bereitgestellt, mit denen Geschäftsprozesse durchgeführt und bearbeitet werden können. Die fortschreitende Migration der alten ERP-Systeme auf die aktuelle S/4HANA®-Systemlandschaft, sowie Neueinführung von S/4HANA® bei den Kunden führt zu einer immer häufigeren Verwendung der Fiori-Apps. Viele altbewährte Transaktionen werden sukzessive durch Apps abgelöst. Neue Funktionen werden größtenteils nur noch als Fiori-Anwendung entwickelt. Ebenso werden auf neuen S/4HANA®-Systemen von Kunden und Beratungshäusern kundeneigene Programme nur noch für Fiori und nicht mehr für Transaktionen implementiert. Daher rücken die Fiori-Apps auch immer mehr in den Fokus der SAP®-Systemprüfungen.
Diese neue Technologie hat hinsichtlich der Berechtigungen und Implementierung in Rollen einiges mit der alten Welt der Transaktionen gemein, unterscheidet sich aber auch in einigen Punkten gravierend davon. Aus diesem Grund soll mit dieser Newsletter-Serie ein Einblick in den technischen Hintergrund der Fiori-Berechtigungen gegeben werden. Außerdem soll auf die Besonderheiten bei einer Prüfung hingewiesen und mögliche Ansätze erläutert werden.
Im letzten Teil dieser Serie wird dargestellt, mit welchen Fragestellungen und Handlungen ein Auditor im Hinblick auf Fiori-Apps konfrontiert sein könnte und welche Prüfungsmöglichkeiten das SAP-System dafür bietet. Es sei jedoch darauf hingewiesen, dass es sich hierbei jeweils nur um eine Auswahl handelt.
Fragestellungen
Betrachtet man die Grundlagen der vorangegangenen Newsletter dieser Serie, so ergeben sich viele Fragestellungen, die in einem Prüfungsanlass berücksichtigt werden könnten oder sollten. Nachfolgend sind einige Beispiele aufgeführt, die aber nicht als abschließend zu sehen sind.
Die beispielhaft in Tabelle 1 aufgeführten möglichen Prüfungshandlungen zeigen eine breite Fächerung auf relevante Bereiche. Ebenso umfangreich sind auch die möglichen Werkzeuge für deren Durchführung. Aufgrund dieser Menge werden im Folgenden ebenfalls nur Beispiele aufgezeigt.
Dokumente und Interviews
Grundsätzlich sollten für alle Bereiche Dokumente vorhanden sein. Sie sind sowohl als Konzepte als auch als Dokumentationen für Implementierungen jeglicher Art relevant. Meist sind sie allerdings nicht direkt bzw. in vollem Umfang über das SAP-System erreichbar, sondern liegen in externen Quellen vor (Papierformat, Ticketsystem etc.). Sie eignen sich daher einerseits dazu, zu prüfen, ob die Umsetzung von Anforderungen gemäß den schriftlichen Konzepten erfolgte, und andererseits dazu, den Change-Management-Prozess zu überprüfen. Damit nehmen sie im Bereich der Fiori-Apps den gleichen Stellenwert ein wie in der „alten Welt”.
Interviews sollten auch im Kontext der Fiori-Apps nicht vernachlässigt werden. Sie können schnell zu Informationen führen, die allerdings auch über schriftliche Unterlagen (digital oder in Papierform) verifiziert werden müssen.
Der Nutzen von Dokumenten und Interviews sollte jedoch nicht unterschätzt werden. Denn es gibt auch prüferische Fragestellungen, die sich nicht aus dem SAP-System beantworten lassen. Eine klassische Fragestellung dieser Art wäre die in Tabelle 1 aufgeführte Frage, ob es sich bei der Systemarchitektur um eine Ein- oder Zwei-System-Implementierung (Embedded vs. Central HUB) handelt.
Tabellenorientiertes Prüfen
Viele Fragestellungen können durch Abfragen der einschlägigen Tabellen beantwortet werden. Die nachfolgend in Tabelle 2 aufgeführten SAP-Tabellen bieten eine Auswahl an Tabellen für tabellenbasierte Prüfhandlungen im Bereich der Fiori-Apps. Auch diese Auflistung ist nicht als abgeschlossen anzusehen.
Für das tabellenorientierte Prüfen stellt die SAP mehrere Möglichkeiten zur Verfügung. Grundsätzlich können sämtliche für den Tabellenzugriff geeigneten Transaktionen verwendet werden. Im Fokus stehen hier vor allem die Transaktion SE16 und deren Verwandte, die teilweise mit Komfortfunktionen versehen sind.
SUIM – Das Benutzerinformationssystem
Das Benutzerinformationssystem ist ein wichtiges Werkzeug bei Prüfungen des SAP-Systems, insbesondere im Hinblick auf benutzer- und rollenabhängige Prüfansätze. Auch im Kontext der Prüfung von Fiori kann wieder darauf zurückgegriffen werden.
Ein Prüfungsansatz, der sehr häufig durchgeführt wird, ist die Suche, welche Benutzer Zugriff auf eine bestimmte Fiori-App haben bzw. in welchen Rollen eine bestimmte Fiori-App enthalten ist. Diese Fragestellungen lassen sich grundsätzlich über die beiden Hauptauswertungen „Benutzer nach komplexen Selektionskriterien“ und „Rollen nach komplexen Selektionskriterien“ beantworten. Zusätzlich bietet die SUIM in S/4HANA®-Systemen zwei weitere Auswertungen: die „Suche nach Anwendungen im Rollenmenü“ und die „Suche in Rollen nach startbaren Anwendungen“.
Bei den beiden zuletzt genannten Auswertungen zur Suche nach Anwendungen sollte darauf geachtet werden, nach dem korrekten Anwendungstyp (d.h. Frontend- oder Backendservice) zu suchen. Dies muss im Selektionsbild ausgewählt werden.
Ebenso muss darauf hingewiesen werden, dass die Auswertung „Suche nach Anwendungen im Rollenmenü“ tatsächlich nur das Rollenmenü durchsucht. Direkt in die Berechtigungen eingefügte Anwendungen (Berechtigungsobjekt S_SERVICE) werden hier nicht ausgewertet!
Beispiel: In welchen kundeneigenen Rollen sind SAP-Standardkataloge enthalten?
Eine einfache Antwort auf diese Frage lässt sich über einen tabellenorientierten Prüfansatz geben. Dazu erfolgt eine Abfrage auf die Tabelle AGR_BUFFI.
Kataloge erkennt man daran, dass diese im Feld URL (=“Internet Link“) mit dem Präfix „X-SAP-UI2-CATALOGPAGE:“ starten. Direkt daran anschließend ist der technische Name des Katalogs gesetzt. Dieser endet mit einem ‚?‘.
Damit ergibt sich nachfolgende Selektion. Die Rollen sind mit „Z*“ und „Y*“ in der Mehrfachselektion eingeschränkt.
Abbildung 4 zeigt einen Ausschnitt des Ergebnisses in einem Testsystem.
Fazit
In aktuellen SAP-Systemen trifft man immer häufiger auf die Verwendung von Fiori-Apps. Mit fortschreitender Zeit wird sich deren Anteil gegenüber den Transaktionen noch deutlich erhöhen. Damit rücken sie immer mehr in den Fokus von Prüfungen der SAP-Systeme.
Damit bringen sie auch ihre eigenen und speziellen Prüfungshandlungen mit sich. Manche ähneln sehr denen aus der alten Zeit ohne Fiori-Apps, andere sind erst durch die neue Technologie relevant geworden.
Für den Prüfer ist es wichtig, dass mit den Fiori-Apps und deren technischen Grundlagen – auch bei ähnlicher Fragestellung wie bei ausschließlicher Verwendung von Transaktionen – auf eine eigene Art und Weise während des Audits umgegangen werden muss. Systemseitig lassen sich die Fragestellungen meist mit Kenntnis der einschlägigen Tabellen beantworten. Aber auch direkte Anwendungen wie das Benutzerinformationssystem liefern die gewünschten Ergebnisse.
Als Ausblick bleibt noch zu erwähnen, dass zu Recherche- und Prüfungszwecken auch administrative Transaktionen verwendet werden können. Deren Verwendung kann durch Einschränkung auf nur lesende Berechtigungen entschärft werden, allerdings wird es für den Prüfer aber wohl eher schwierig werden, auf derartige Transaktionen Zugriff zu erhalten.