Bei einer SAP-Prüfung im Rahmen einer IT-Revision bei einem Finanzdienstleister wurden nach einer zuvor erfolgten Bestandsaufnahme der SAP-Systemlandschaft im Wesentlichen die folgenden Bereiche geprüft:
- die Einstellungen zur Identifikation und Authentisierung (ABAP-Stack)
- die Zugriffsberechtigungen
- die Systemeinstellungen zur Gewährleistung der Integrität
- das SAP Change-Management
- die Systemintegrität des SAP Java-Stack
- die Integrität der eingesetzten Datenbank sowie des Betriebssystems
- die Kommunikations- und Netzsicherheit.
Die SAP-Prüfung erfolgte auf der Grundlage des Prüfleitfaden zu SAP ERP 6.0 der deutschsprachigen SAP-Anwendergruppe vom März 2009. Die Arbeitsgruppe (AG) Audit Roadmap ist ein Teil der Deutschsprachigen SAP-Anwendergruppe e.V. (DSAG) mit Sitz in Walldorf. Mit dem SAP-Prüfleitfaden sollen Revisoren Anhaltspunkte für die Prüfung von SAP-Systemen gegeben und die Prüfaspekte für den SAP Basisbereich erläutert werden.
Aufgrund der Komplexität des SAP-Systems sowie einer nahezu unüberschaubaren Anzahl von SAP Tabellen bietet sich neben dem Einsatz des DSAG-Prüfleitfadens der Einsatz von speziellen Softwaretools an. Diese Tools gewährleisten i.d.R. eine vollumfängliche und effiziente Prüfungsdurchführung.
Bei dem von uns eingesetzten Prüfungstool CheckAud for SAP der IBS-Schreiber GmbH, Hamburg, müssen keine ABAP-Programme oder sonstige Softwarekomponenten auf dem SAP-System installiert werden. Mit Hilfe dieses Tools bleibt der für eine SAP-Prüfung notwendige Zeitaufwand überschaubar und das SAP Audit kann sehr detailliert und umfassend durchgeführt werden.
Aufgrund unseres ganzheitlichen Ansatzes berücksichtigen wir bei einem SAP Audit auch die Anforderungen des BSI. In dem BSI Baustein 5.13 SAP System hat das BSI die Gefährdungen und Maßnahmen im Bereich von SAP Systemen zusammengestellt. Die vom BSI in diesem Baustein beschriebenen Maßnahmen werden von unseren ISO 27001 Auditoren geprüft und müssen im Rahmen einer ISO 27001 Zertifizierung umgesetzt werden.
SAP-Prüfung im Rahmen eines Quickchecks
Grundsätzlich ist es mit unserer Prüfsoftware CheckAud for SAP auch möglich, eine SAP-Prüfung durchzuführen, ohne dass wir uns an dem zu prüfenden SAP-System anmelden. Sämtliche Informationen, die wir für die SAP-Revision benötigt, werden hierbei mit Hilfe eines Softwaretools aus dem SAP-System ausgelesen und auf einen lokalen Arbeitsplatzrechner in einem Flatfile bereitgestellt. Hierzu stellen wir Ihnen gerne die entsprechende Software bereit. Diese Software muss lediglich auf einem Arbeitsplatzrechner installiert werden. Das hierbei entstehende Flat-File, welches ausschließlich technische Informationen des SAP-Systems beinhaltet, wird von uns in die Prüfsoftware übertragen und steht anschließend für diverse Auswertungen zur Verfügung.
Diesen sog. SAP-Quickcheck bieten wir Ihnen gerne an, wenn es darum geht, die grundsätzlichen SAP Systemeinstellungen und Berechtigungen kurzfristig und kostengünstig einem SAP Audit zu unterziehen.