Berechtigungsprüfungen in SAP R/3 HR ... - IT-Audit.de
Berechtigungsprüfungen in SAP R/3 HR ... - IT-Audit.de
Berechtigungsprüfungen in SAP R/3 HR ... - IT-Audit.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Audit</strong>.<strong>de</strong>, <strong>Berechtigungsprüfungen</strong> <strong>in</strong> <strong>SAP</strong> R/3 <strong>HR</strong> – Personalwirtschaft Oktober 2006<br />
Die Berechtigungen, die bei Aufruf <strong>de</strong>r kritischen Transaktionen benötigt wer<strong>de</strong>n, lassen sich<br />
über die E<strong>in</strong>träge <strong>de</strong>r Tabelle USOBT wie oben erwähnt herausfiltern. Customiz<strong>in</strong>gabhängige<br />
Fel<strong>de</strong>r s<strong>in</strong>d <strong>in</strong> dieser Darstellung natürlich nicht als kritisch gekennzeichnet, diese<br />
muss <strong>de</strong>r Revisor selbständig erkennen. Er muss hierbei die kritischen Fel<strong>de</strong><strong>in</strong>träge und -<br />
konstellationen i<strong>de</strong>ntifizieren und auf diese prüfen.<br />
Tab. 6: E<strong>in</strong>träge <strong>de</strong>r Tabelle USOBT zu bestimmten Transaktionen (Bsp.)<br />
Fazit<br />
Die Darstellungen entsprechen natürlich kaum <strong>de</strong>m tatsächlich möglichen Komplexitätsgrad<br />
<strong>de</strong>s <strong>HR</strong>-Umfel<strong>de</strong>s, aber sie zeigen bereits <strong>de</strong>utlich, welche Umgebung <strong>de</strong>n Revisor bei e<strong>in</strong>er<br />
Prüfung erwartet.<br />
Die Rollen / Arbeitsplätze müssen e<strong>in</strong><strong>de</strong>utig <strong>de</strong>f<strong>in</strong>iert und vone<strong>in</strong>an<strong>de</strong>r abgegrenzt se<strong>in</strong>. Auch<br />
schließen sich üblicherweise Vermischungen von Rollen bei Mitarbeitern gera<strong>de</strong> <strong>in</strong> diesem<br />
Umfeld möglicher Interessenkollisionen aus. E<strong>in</strong>e Prüfung ist neben <strong>de</strong>r Berechtigungs- auch<br />
immer e<strong>in</strong>e Funktionsbereitstellungsprüfung. So s<strong>in</strong>d die Rollen sowohl auf <strong>de</strong>r Ebene <strong>de</strong>r<br />
Berechtigungsobjekte als auch <strong>de</strong>r Transaktionen zu durchleuchten. Dabei ist es nahe<br />
liegend, dass Basistransaktionen wie zum Beispiel SE16, SE17, SA38, SE38 und die dazu<br />
benötigten kritischen Berechtigungsobjektausprägungen ke<strong>in</strong>e Verwendung <strong>in</strong> <strong>de</strong>n<br />
Fachbereichsberechtigungen f<strong>in</strong><strong>de</strong>n.<br />
Wichtig ist die Erkenntnis, dass e<strong>in</strong>e Nachlässigkeit im <strong>HR</strong> bei <strong>de</strong>r Berechtigungsvergabe<br />
Zugriffsverletzungen nach sich ziehen kann, die im Bereich <strong>de</strong>s persönlichen Empf<strong>in</strong><strong>de</strong>ns<br />
weit schwerwiegen<strong>de</strong>r s<strong>in</strong>d als erweitere Rechte im MM o<strong>de</strong>r CO. Selbst wenn das<br />
Unternehmen dies ggf. an<strong>de</strong>rs sieht, da es sich hier kaum um wirtschaftssensible Daten<br />
han<strong>de</strong>lt wie eben <strong>in</strong> an<strong>de</strong>ren Modulen, können hier bei Bekanntwer<strong>de</strong>n entsprechen<strong>de</strong>r<br />
Datenzugriffe erhebliche Spannungen entstehen. Der Vertrauensverlust <strong>de</strong>r Belegschaft<br />
gegenüber neuen Funktionen wie zum Beispiel ESS und das Misstrauen <strong>de</strong>r<br />
Mitarbeiter<strong>in</strong>teressenvertretung ist dann ggf. be<strong>de</strong>utsamer als e<strong>in</strong>e schnelle und mitunter<br />
nicht akzeptierte Lösung.<br />
Entsprechend sollte e<strong>in</strong> Revisor auch e<strong>in</strong>e sichere Hand bei <strong>de</strong>r Analyse <strong>in</strong> diesem Umfeld<br />
beweisen – speziell die Adm<strong>in</strong>istrations-, Sachbearbeitungs- (Personalmanagement und<br />
Personalabrechnung), Key-User- und Beratungsebene s<strong>in</strong>d als beson<strong>de</strong>rs kritisch zu nennen<br />
und somit von beson<strong>de</strong>rem Interesse.<br />
Dipl.-Betriebswirt Christoph Wil<strong>de</strong>nsee, CISM Seite 10 von 11