SAP Berechtigungen für Prüfer

Welche Berechtigungen benötigt man als Prüfer in einem SAP System?

Als Prüfer, sei es im Rahmen einer Jahresabschlussprüfung oder der internen Revision, benötigt man (bzw. der SAP-User des Prüfers) eine Auswahl ganz bestimmter Berechtigungen, um

 

  1. seine Prüfungshandlungen durchführen zu können und
  2. nicht durch zu weitreichend vergebene Berechtigungen versehentlich Änderungen bzw. Eingaben im (produktiven) System vorzunehmen.

 

Insbesondere Punkt b) ist gerade bei Prüfer, bei denen das Prüfen von und mit SAP-Systemen zwar als Teil zu Ihrem Aufgabengebiet gehört, jedoch nicht ausschließlich dessen Kern bildet, aus Sicht der IT-Abteilung des geprüften Unternehmens von großer Bedeutung.

Welche technischen Berechtigungen sind genau gemeint?

1) Grundsätzliches

Der komplette Umfang der benötigten Berechtigungen eines Prüfers hängt zwangsläufig immer mit dessen Scope in der Prüfung zusammen.

Bei einer sog. „IT-Prüfung“ oder „ITGC-Prüfung“ im Rahmen einer Jahresabschlussprüfung liegt der Fokus oft auf Themen wie

  • Analyse von User und Berechtigungen
  • Prüfung von Parametern (z. B. Kennwortparameter)
  • Stichproben auf Basis von Tabellen.

Diese Prüfungshandlungen werden dabei oft von einem sog. „IT-Prüfer“ durchgeführt. Dabei handelt es sich um einen Mitarbeiter in der Wirtschaftsprüfungsgesellschaft, welcher ausschließlich solche Prüfungen durchführt, nicht zwangsläufig Teil des „regulären“ Prüfungsteams vor Ort ist und oft nur diesen Teil der Prüfung begleitet.

Wird nun ein User für einen Prüfungsassistenten des „regulären“ Prüfungsteams benötigt, kann dieser für einen anderen Fokus gebraucht werden, wie zum Beispiel

  • Das Anzeigen von Buchhaltungsbelegen
  • Das Anzeigen von Einkaufsbelegen oder Fakturen
  • Das Ausführen von spezifischen Reports (z. B. Änderungsbelege anzeigen)

Je nach Anwendungsfall werden hier also andere Berechtigungen benötigt. Dabei kann es auch vorkommen, dass ein und der selbe User für beide o. g. Anwendungsfälle (und eventuell weitere) benötigt wird.

Letztendlich kommt es immer auf den Scope des Prüfers an. Im besten Fall werden die Anforderungen zusammen mit der IT-Abteilung vor Beginn der Prüfung geklärt und der oder die User dementsprechend eingerichtet.

 

2) Konkrete Berechtigungen

Selbstverständlich gibt es allgemein gültige, oft wiederkehrende Berechtigungen, welche oft von Prüfern benötigt werden und die mir im Laufe meiner Karriere oft untergekommen sind.

Dazu gehören „Klassiker“ wie die Tabellenanzeige (SE16/SE16N/SE16H), Reports (SA38) oder die Beleganzeige (FB03).

Ich habe diese gängigen Berechtigungen anhand der Transaktionscodes gelistet. Viele können per se von sich aus lediglich Belege anzeigen (z. B. FB03, ME23N). Bei anderen muss bei der Pflege der entsprechenden Rolle darauf geachtet werden, nur Anzeigeberechtigungen zu vergeben (Keine Sorge, der Mitarbeiter der IT-Abteilung, welcher die Rollenpflege übernimmt weiß was gemeint ist).

Hier nun die Liste an Berechtigungen:

TDP_CS_Berechtigungen Prüfer_4

In SAP sieht das in der Transaktion PFCG (Rollenpflege) dann folgendermaßen aus, wenn man die Transaktionen in das Menü der Rolle eingefügt hat:

TDP_CS_Berechtigungen Prüfer_1

Bei der weiteren Pflege muss dann wie erwähnt noch darauf geachtet werden, dass nur Anzeigeberechtigungen vergeben werden. Hier ein Beispiel der Einstellung für ein Berechtigungsobjekt bezüglich Buchhaltungsbelege.

TDP_CS_Berechtigungen Prüfer_2

Zusammenfassen bleibt am Schluss zu erwähnen, dass eine gute Vorausplanung und rechtzeitige Kommunikation oft die wichtigsten Kriterien bei der richtigen Vergabe von Berechtigungen an Prüfer-User sind.

Fehlende Berechtigungen im Laufe der Prüfung spontan nachzureichen gestaltet sich sowohl für den Prüfer, der seine Tätigkeit unterbrechen muss (fehlende Berechtigungen fallen ja meistens durch fehlgeschlagene Transaktionsstarts auf), als auch für die Mitarbeiter der IT-Abteilung (die Kollegen haben grundsätzlich viel zu tun und ein System am Laufen zu halten) immer als schwieriger im Gegensatz zur vorherigen Einrichtung mit festgelegten Fristen und klarem Umfang.

Natürlich kann auch dabei immer wieder eine Berechtigung durchgerutscht sein, welche nachgepflegt werden muss. Hierbei bietet sich an die Kollegen aus der IT-Abteilung bestmöglich zu unterstützen, indem man neben der Information, dass eine Berechtigung fehlt, gleich die benötigten Berechtigungsobjekte mit nennt (z. B. als Screenshot in einer E-Mail).

Hierzu kann man nach fehlgeschlagenem Transaktionsstart die Transaktion SU53 ausführen. Dies sieht dann folgendermaßen aus:

TDP_CS_Berechtigungen Prüfer_3

Mit diesem Screenshot fällt es den Kollegen oft leichter die dementsprechende Berechtigung nachzupflegen, wodurch die Wartezeit verkürzt werden kann.