Die Revisoren kommen! Und wie müssen wir uns vorbereiten? Diese Frage stellen sich die Berechtigungsadministratoren. Die Revisoren benötigen im SAP-System für sie bestimmt konfigurierte Rollen, um ihrer Tätigkeit nachgehen zu können. Aber was macht ein Revisor und wie muss seine Rolle im SAP-System aussehen, damit er keine weitreichenden Berechtigungen erhält?

Die Revision hat die Aufgabe, Arbeitsprozesse im Unternehmen auf Wirtschaftlichkeit, Zweckmäßigkeit, Ordnungsmäßigkeit und Richtigkeit zu prüfen. Dieser Prüfvorgang findet im Regelfall einmal jährlich statt und kann sowohl von einer Internen Revision als auch einer Externen Revision durchgeführt werden.

Für die Ausführung der Tätigkeit der Revision benötigen die Revisoren spezielle Rollen. Diese Rollen unterscheiden sich von den „normalen“ Benutzerrollen in so weit, dass diese nur Anzeigeberechtigungen (Aktivität 03 =Lesen, Aktivität 08 = Änderungsbelege lesen) enthalten und keine Änderungsberechtigungen. Des Weiteren ist zu klären, ob der Revisor
datenschutzrelevante Daten und beispielsweise Stammdaten einsehen darf, falls
dies nicht der Fall ist, sind diese in den Berechtigungen auszuschließen.

SAP stellt Standard-Rollentemplates (SAP_AUDITOR, SAP_AUDITOR_TAX)
als entsprechende Berechtigungsrollen-Vorlagen für die verschiedenen Aufgaben
der Revision im SAP System zur Verfügung. Bei der Verwendung dieser Rollen ist
zu beachten, dass sie bzgl. der enthaltenen Berechtigungen nachgepflegt werden
müssen, da teilweise auch pflegende Berechtigungen enthalten sind. Auf jeden
Fall müssen sie in einen eigenen Namensraum kopiert werden. Alternativ können eigene
Rollen für die Revision erstellt werden.

Für die Revisionsrollen gibt es verschiedene Möglichkeiten des Aufbaus, sowohl für das kaufmännische Audit als auch für das Systemaudit.

Die Rolle „IBS_SICHERHEIT_PRUEFUNG_NW750“ von Thomas Tiede, dem Geschäftsführer von IBS Schreiber, enthält alle wichtigen Berechtigungen für das Systemaudit und die erforderlichen Anzeigeberechtigungen. Die Berechtigungen dieser Rolle entsprechen den erforderlichen Berechtigungen, um die Prüfungshandlungen der einzelnen Kapitel von „Sicherheit und Prüfung von SAP-Systemen“ (SAP PRESS) durchführen zu können.

Die Rolle für das Systemaudit enthält unter anderem Berechtigungen für das Audit der Benutzerauswertungen. Tabellenberechtigungen werden beispielsweise so ausgeprägt, dass die in S*-Berechtigungsgruppen enthaltenen Tabellen angezeigt werden können (Berechtigungsobjekt S_TABU_DIS).

Die Rollen für das kaufmännische Audit sollten nur fachspezifische Transaktionen, die keinen Geschäftsvorfall auslösen, enthalten. Tabellenberechtigungen für die HCM-Tabellen sollte nur für den Prüfungszeitraum zugewiesen werden, da hier unter anderem datenschutzrelevante Informationen über die Mitarbeiter einzusehen sind. In Revisionsrollen sollte die Transaktion SA38 nicht aufgenommen werden, da hiermit eine Vielzahl Reports ausgeführt werden kann. Hier wird empfohlen, für die von der Revision benötigten Reports unternehmenseigene Transaktionen anzulegen und diese in die Rollen zu integrieren.

Die Rollen der Revision sollten nach Modulen getrennt angelegt werden, beispielsweise eine Rolle das Modul BC, eine Rolle für das Modul FI etc. Dies hat den Vorteil, dass den Revisoren nach Modulen getrennte Berechtigungen – je nach Anforderung des Unternehmens und des aktuellen Prüfungsumfeldes – zugewiesen bzw. auch wieder entzogen kann.

Die Rollen können für verschiedene Unternehmensdaten auf Geschäftsjahre eingeschränkt werden. Dies wird über die Transaktionen TPC2 (Benutzer für Berechtigungsprüfung anzeigen), TPC4 (Programme für Berechtigungsprüfung ändern) und TPC6 (Zeiträume für Berechtigungsprüfung) gesteuert.

Transaktionssicht TPC4 – Programme für Berechtigungsprüfung:

Transaktionssicht TPC6 – Zeiträume für Berechtigungsprüfung

Mit der Transaktion TPC6 können die Zeiträume für die Berechtigungsprüfungen geändert werden, beispielsweise für einen Zeitraum von einem Geschäftsjahr. Diese Zeiträume können pro Anwendung (erste Spalte) einer Benutzergruppe zugewiesen werden:

Transaktion TPC2 -Benutzer für Berechtigungsprüfung

Hier werden die Benutzer angegeben, für die diese Zeiträume gelten. Über die Benutzergruppe werden sie mit den Zeiträumen verknüpft:

Zusammenfassend ist zu sagen, dass für qualitativ hochwertige Prüfungen die Mitarbeiter der Revision über ausreichende und angemessene Berechtigungen im SAP-System verfügen müssen. Daher ist es zwingend erforderlich, dass für die Revision spezielle Rollen („Revisionsrollen“) zur Verfügung gestellt werden.