Funktionstrennung / Stammdatenänderungsprüfung SAP

Ein wichtiger Bestandteil eines IKS (internen Kontrollsystems) ist die Funktionstrennung innerhalb kritischer rechnungslegungsrelevanter Prozessabläufe. Laut der Tz 6 der GoBS sind Änderungen von Systemeinstellungen in DV-gestützten Buchführungssystemen durch den Anwender in Form von  Protokollen als Teil der Verfahrensdokumentation aufzuzeichnen. Ziel einer solchen Funktionstrennung ist es, Risiken aus der Bearbeitung von Geschäftsvorfällen mit Hilfe einer Funktionstrennung zu begegnen. Als ein typisches Beispiel wird hier häufig Trennung zwischen der Einkaufsabteilung und der Kreditorenbuchhaltung im Rahmen der Kreditorenstammdatenpflege aufgeführt. Das Risiko hierbei könnte wie folgt beschrieben werden:

Nicht autorisierte Personen nehmen Änderungen an Stammdaten vor. Fraud-Risiko durch Missbrauchspotential (Bankverbindung). Keine organisatorische Trennung von Einkauf und Kreditorenbuchhaltung führt zu einer erhöhten Fehleranfälligkeit innerhalb der Organisation. (Einkauf setzt Buchungssperren oder definiert die Kontenzugehörigkeit)

Der klassische Stammdatenaufbau kann mit Hilfe der Transaktion XK02 „Kreditor ändern“ nachvollzogen werden. 1. Ebene Mandantenebene (allgemeine Daten), 2. Ebene Buchungskreisebene (Rechnungslegungsrelevante Zuordnung) und 3. Ebene Einkaufsorganisationsebene (Konditionen, Verkaufsdaten je Einkaufsorganisation)

Stammdaten1

Die Änderungsmöglichkeit der Bankverbindung befindet sich unter den allgemeinen Daten (Mandantenebene) im Bereich des Zahlungsverkehrs.

Stammdaten2

 

Eine Möglichkeit zur Wirksamkeitsprüfung einer solchen Berechtigungskontrolle ist eine Auswertung der Stammdatenänderungsprotokolle im SAP System. Hierzu kann der Report RFKABL00 verwendet werden.

Stammdaten3

Hier sollten mit Hilfe der Layout-ändern Funktion weitere Felder hinzugefügt werden, sodass eine spätere Auswertung erleichtert wird.

Stammdaten4

Der Export sollte als „Tabellenkalkulation“ vorgenommen werden. Weiterhin sollte mit Hilfe der Excel-Sortierfunktion die leere Zeilen und Spalten aus dem Report entfernt werden. (Alles markieren -> Daten -> Sotieren -> Daten haben Überschrift und eine Sortierung wählen)

Stammdaten5

 

Mit Hilfe einer Pivottabelle über die Felder „Feldname“ und „Änderer“ kann die ordnungsgemäße Berechtigungsvergabe über einen beliebigen Prüfungszeitraum (Sofern die Protokollierung aktiviert gewesen ist) überprüft werden. Mit Hilfe der Reports RPUAUD00 „Personalstammdaten je Infotyp“ sowie RFDABL00 „Debitorenstammdatenänderung“ können weitere nützliche Stammdatenänderungsprüfung vorgenommen werden.

Stammdaten6