Maxim Chuprunov
Handbuch SAP-Revision
Audits vorbereiten, Compliance herstellen, IKS in integriertem GRC-Ansatz für SAP ERP und SAP S/4HANA umsetzen in GRC 12
Maxim Chuprunov
Handbuch SAP-Revision
Audits vorbereiten, Compliance herstellen, IKS in integriertem GRC-Ansatz für SAP ERP und SAP S/4HANA umsetzen in GRC 12
- Gebundenes Buch
- Merkliste
- Auf die Merkliste
- Bewerten Bewerten
- Teilen
- Produkt teilen
- Produkterinnerung
- Produkterinnerung
Der Prüfer kommt! Dieses Buch zeigt Ihnen, wie Sie Ihr SAP-System aufstellen, um für die Wirtschaftsprüfung oder interne Revision gerüstet zu sein. Sie lernen, wie Sie ein Internes Kontrollsystem (IKS) in SAP ERP und SAP S/4HANA umsetzen, und werden mit Applikations- und Berechtigungskontrollen sowie Prüfungshandlungen vertraut gemacht. Zudem erfahren Sie, wie Sie ein IKS im Rahmen eines integrierten GRC-Ansatzes einrichten und automatisieren. So sind Sie als Wirtschaftsprüfer, IT-Verantwortlicher, Mitarbeiter in der Finanzabteilung, Security-Beauftragter und Berater für alle Fälle gewappnet!…mehr
Andere Kunden interessierten sich auch für
![Praxishandbuch SAP-Controlling]( "Praxishandbuch SAP-Controlling")
Uwe BrückPraxishandbuch SAP-Controlling59,90 €![Produktionsplanung und -steuerung mit SAP ERP]( "Produktionsplanung und -steuerung mit SAP ERP")
Jörg Thomas DickersbachProduktionsplanung und -steuerung mit SAP ERP69,90 €![SAP Transportation Management]( "SAP Transportation Management")
Bernd LauterbachSAP Transportation Management89,90 €![SAP S/4HANA Finance]( "SAP S/4HANA Finance")
Janet SalmonSAP S/4HANA Finance79,90 €![Vertrieb mit SAP. Der Grundkurs für Anwender]( "Vertrieb mit SAP. Der Grundkurs für Anwender")
Tobias ThenVertrieb mit SAP. Der Grundkurs für Anwender39,90 €![SAP-Finanzwesen]( "SAP-Finanzwesen")
Heinz ForsthuberSAP-Finanzwesen69,90 €![Materialwirtschaft mit SAP - 100 Tipps & Tricks]( "Materialwirtschaft mit SAP - 100 Tipps & Tricks")
Stefan BäumlerMaterialwirtschaft mit SAP - 100 Tipps & Tricks49,90 €-
-
-
Der Prüfer kommt! Dieses Buch zeigt Ihnen, wie Sie Ihr SAP-System aufstellen, um für die Wirtschaftsprüfung oder interne Revision gerüstet zu sein. Sie lernen, wie Sie ein Internes Kontrollsystem (IKS) in SAP ERP und SAP S/4HANA umsetzen, und werden mit Applikations- und Berechtigungskontrollen sowie Prüfungshandlungen vertraut gemacht. Zudem erfahren Sie, wie Sie ein IKS im Rahmen eines integrierten GRC-Ansatzes einrichten und automatisieren. So sind Sie als Wirtschaftsprüfer, IT-Verantwortlicher, Mitarbeiter in der Finanzabteilung, Security-Beauftragter und Berater für alle Fälle gewappnet! Die 3. Auflage des Standardwerks umfasst die relevanten Neuheiten von SAP S/4HANA, Assurance für Cloud, neue gesetzliche Auflagen und Standards, neue SAP-GRC-Lösungen u.v.m.
Aus dem Inhalt:
SAP ERP und SAP S/4HANASAP Process Control 12Prozessübergreifende KontrollenKontrollen in Finanzwesen, Einkauf, Vertrieb und PersonalwirtschaftVorgehensweise in FI, MM, SD, HCM etc.FDA-Compliance, Betrug im SAP-SystemRisiko- und effizienzorientiertes IKSAssurance- und Compliance-LösungenCloud-LösungenBusiness Integrity Screening (BIS) (ehemals Fraud Management)Audit ManagementUnified Connectivity (UCON)Datenschutz/DSGVO
Aus dem Inhalt:
SAP ERP und SAP S/4HANASAP Process Control 12Prozessübergreifende KontrollenKontrollen in Finanzwesen, Einkauf, Vertrieb und PersonalwirtschaftVorgehensweise in FI, MM, SD, HCM etc.FDA-Compliance, Betrug im SAP-SystemRisiko- und effizienzorientiertes IKSAssurance- und Compliance-LösungenCloud-LösungenBusiness Integrity Screening (BIS) (ehemals Fraud Management)Audit ManagementUnified Connectivity (UCON)Datenschutz/DSGVO
Produktdetails
- Produktdetails
- SAP PRESS
- Verlag: Rheinwerk Verlag / SAP PRESS
- Artikelnr. des Verlages: 459/05586
- 3., aktualis. u. erw. Aufl.
- Seitenzahl: 873
- Erscheinungstermin: April 2019
- Deutsch
- Abmessung: 246mm x 172mm x 55mm
- Gewicht: 1732g
- ISBN-13: 9783836255868
- ISBN-10: 3836255863
- Artikelnr.: 54135225
- Herstellerkennzeichnung
- Rheinwerk Publishing Inc.
- 2 Heritage Drive
- 11201 Quincy, MA, US
- Info@rheinwerk-verlag.de
- www.rheinwerk-verlag.de
- SAP PRESS
- Verlag: Rheinwerk Verlag / SAP PRESS
- Artikelnr. des Verlages: 459/05586
- 3., aktualis. u. erw. Aufl.
- Seitenzahl: 873
- Erscheinungstermin: April 2019
- Deutsch
- Abmessung: 246mm x 172mm x 55mm
- Gewicht: 1732g
- ISBN-13: 9783836255868
- ISBN-10: 3836255863
- Artikelnr.: 54135225
- Herstellerkennzeichnung
- Rheinwerk Publishing Inc.
- 2 Heritage Drive
- 11201 Quincy, MA, US
- Info@rheinwerk-verlag.de
- www.rheinwerk-verlag.de
Maxim Chuprunov schloss sich 2007 dem Center of Expertise Financials & Compliance von SAP Schweiz an und hat in seiner Funktion als Senior Consultant bei weltweiten Implementierungsprojekten und Proof of Concepts für SAP BusinessObjects-/GRC-Lösungen mit dem Schwerpunkt IKS-Automatisierung Pionierarbeit geleistet. Er ist im SAP Solution Management als Experte und Ideengeber bei Tests und Software-Design von SAP BusinessObjects Process Control bekannt und führt als Referent bei SAP Education Schulungen durch. Er hat das Studium der Betriebswirtschaft inklusive verschiedener Forschungsvorhaben als DAAD-Stipendiat im Jahr 2001 mit der Magisterarbeit zum Thema 'Audit im SAP-Umfeld' abgeschlossen. Seitdem ist er diesem Thema treu geblieben und baut es konsequent im GRC-Bereich (Governance, Risk & Compliance) aus. Die Verbindung der fachlichen als auch der Compliance-spezifischen Sichten auf Geschäftsprozesse mit dem technischen Lösungs-Know-how gehört zu seinem Spezialgebiet. Bevor Maxim Chuprunov Ende 2010 RISCOMP GmbH (Schweiz) gegründet hat, war er bei der KPMG DTG in München und der KPMG LLP in Boston, bei der SCHENKER AG in Essen sowie bei der SAP AG in Zürich tätig. Bei KPMG arbeitete er in den Bereichen Information Risk Management und IT Advisory. In dieser Zeit avancierte er vom Diplomanden zum Assistant Manager. Parallel zu zahlreichen Projekten bei internationalen Konzernen hat er Berufsexamina zum CPA (Certified Public Accountant) und CISA (Certified Information Systems Auditor) erfolgreich absolviert sowie die Zertifizierung als FI/CO-Berater für SAP erworben. Bei KPMG leitete er auch diverse Compliance-Prüfungen von SAP-Systemen und entwickelte präventive sowie aufdeckende Prüfungs-, Datenanalyse- und Kontrollautomatisierungs-Szenarien. Seine vielfältigen Interessen realisierte er außerdem in IKSBeratungsprojekten und bei der Erstellung und Umsetzung der Feinkonzepte für internes und externes Rechnungswesen. Bei der SCHENKER AG (Essen), wo er im Rahmen von Global Rollouts Verantwortung für die Einführung der FI- und CO-Prozesse einschließlich Reporting nach SEM mit SAP übernahm, wurde er auf die neue GRC-Produkt-Suite von SAP aufmerksam.
Vorwort ... 25
Vertrauen ist gut, Kontrolle ist billiger: Einleitung ... 27
TEIL I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld ... 39
1. Gesetzliche Anforderungen im Bereich IKS-Compliance ... 41
1.1 ... Begriffsdefinitionen und Abgrenzung ... 41
1.2 ... IKS-Anforderungen in Europa ... 49
1.3 ... IKS-Anforderungen in der Finanzbranche ... 56
1.4 ... Unternehmenserfolg durch IKS? ... 60
1.5 ... Resümee ... 62
2. Der Prüfer kommt: Wann, warum und wie man damit umgeht ... 63
2.1 ... IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung ... 64
2.2 ... IKS-Assurance in der Praxis ... 72
2.3 ... Interessenskonflikte in der Wirtschaftsprüfung ... 83
2.4 ... Resümee ... 87
3. IKS-Anforderungen und SAP-ERP-Systeme: Grundsätze, Frameworks, Struktur ... 89
3.1 ... IKS-Inhalte im SAP-ERP-Umfeld definieren ... 89
3.2 ... IKS-relevante Referenzmodelle ... 106
3.3 ... IKS und risikomanagementrelevante Standards und Modelle ... 116
3.4 ... Resümee ... 123
4. Wie geht SAP mit dem Thema Compliance um? ... 125
4.1 ... Softwarezertifizierung ... 125
4.2 ... Compliancerelevante Leitfäden ... 130
4.3 ... SAP-Lösungen für Governance, Risk and Compliance (GRC) ... 138
4.4 ... Resümee ... 170
TEIL II Vom Konzept zum Inhalt: Kontrollen in SAP ERP ... 173
5. Revisionsrelevante SAP-Basics ... 175
5.1 ... Am Anfang war die Tabelle: SAP-System als tabellengesteuerte Applikation ... 176
5.2 ... Berechtigungen ... 208
5.3 ... Resümee ... 227
6. Generelle IT-Kontrollen in SAP ERP ... 229
6.1 ... Organisatorische Kontrollen ... 229
6.2 ... Kontrollen im Bereich Change Management und Entwicklung ... 240
6.3 ... Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung ... 252
6.4 ... Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP ... 261
6.5 ... Resümee ... 279
7. Übergreifende Applikationskontrollen in SAP ERP ... 281
7.1 ... Grundsatz der Unveränderlichkeit ... 282
7.2 ... Kontrollen für die datenbezogene Nachvollziehbarkeit ... 288
7.3 ... Nachvollziehbarkeit der Benutzeraktivitäten im SAP-System ... 296
7.4 ... Prozessübergreifende Verarbeitungskontrollen ... 304
7.5 ... Resümee ... 315
8. Kontrollen in der Finanzbuchhaltung ... 317
8.1 ... Grundlegende Kontrollmechanismen im Hauptbuch ... 318
8.2 ... Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch ... 328
8.3 ... Vollständigkeit der Verarbeitung im Hauptbuch ... 338
8.4 ... Sicherheit und Schutz der Daten im Hauptbuch ... 344
8.5 ... Kontrollen in der Anlagenbuchhaltung ... 355
8.6 ... Kontrollen in der Kreditoren- und Debitorenbuchhaltung ... 370
8.7 ... Resümee ... 378
9. Kontrollmechanismen im SAP-ERP-gestützten Procure-to-Pay-Prozess ... 379
9.1 ... Bestellwesen ... 381
9.2 ... Wareneingänge und Rechnungsprüfung ... 385
9.3 ... WE/RE-Konto ... 390
9.4 ... Kontrollen rund um das Thema Bestände ... 395
9.5 ... Corporate Governance ... 406
9.6 ... Resümee ... 407
10. Kontrollmechanismen im SAP-ERP-gestützten Order-to-Cash-Prozess ... 409
10.1 ... Kontrollen in der vorbereitenden Vertriebsphase ... 410
10.2 ... Kontrollen bei der Auftragserfüllung und Umsatzlegung ... 417
10.3 ... Resümee ... 430
11. Datenschutz-Compliance in SAP ERP Human Capital Management ... 431
11.1 ... Gesetzliche Datenschutzanforderungen ... 432
11.2 ... Datenschutzrelevante übergreifende Kontrollmechanismen im SAP-System ... 449
11.3 ... Besondere Anforderungen an SAP ERP HCM ... 454
11.4 ... Berechtigungen und Rollen in SAP ERP HCM ... 455
11.5 ... Datenlöschung und Datensperrung ... 468
11.6 ... Resümee ... 469
12. Betrug im SAP-System ... 471
12.1 ... Einführung ... 471
12.2 ... Betrugsszenarien in der SAP-Basis ... 476
12.3 ... Betrugsszenarien im Hauptbuch ... 478
12.4 ... Betrugsszenarien im Vertriebsbereich ... 482
12.5 ... Betrugsszenarien in der Personalbuchhaltung ... 488
12.6 ... Resümee ... 491
13. Exkurs: FDA-Compliance und Kontrollen in SAP ... 493
13.1 ... Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung ... 493
13.2 ... Validierung der IT-Systeme ... 498
13.3 ... FDA-Compliance in IT-gestützten Geschäftsprozessen ... 501
13.4 ... FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten ... 506
13.5 ... Resümee ... 508
14. Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP ... 509
14.1 ... Prozessbezogene Datenauswertungen ... 510
14.2 ... Analyse der Stammdatenqualität ... 527
14.3 ... Manuelle Datenänderungen ... 535
14.4 ... Ergänzung von SAP-ERP-Standardreports ... 547
14.5 ... Resümee ... 550
15. Risk und Compliance in SAP S/4HANA ... 551
15.1 ... SAP S/4HANA im Überblick ... 551
15.2 ... Finanzbuchhaltung ... 558
15.3 ... Controlling ... 569
15.4 ... Resümee ... 572
16. Berechtigungen in SAP S/4HANA ... 573
16.1 ... Berechtigungen für SAP Fiori ... 574
16.2 ... Berechtigungen für das SAP-S/4HANA-Backend ... 587
16.3 ... Funktionstrennung in SAP S/4HANA ... 590
16.4 ... Berechtigungen in SAP HANA ... 593
16.5 ... Erfahrungswerte aus SAP-S/4HANA-Berechtigungsprojekten ... 602
16.6 ... Resümee ... 605
17. Unified Connectivity: Wirksamer Schutz der SAP-ERP-Umgebungen ... 607
17.1 ... Schnittstellenbezogene Risiken in SAP ERP ... 608
17.2 ... Die Funktionsweise von UCON ... 612
17.3 ... Phasen der UCON-Einführung ... 613
17.4 ... Konfigurationsschritte ... 615
17.5 ... Bereitstellungsszenarien für UCON ... 625
17.6 ... FAQ zu UCON ... 635
17.7 ... Resümee ... 637
TEIL III Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems ... 639
18. IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? ... 641
18.1 ... Grundidee der IKS-Automatisierung ... 641
18.2 ... IKS-relevante Objekte und Dokumentation ... 646
18.3 ... Grundszenarien der IKS-Aktivitäten ... 655
18.4 ... Resümee ... 664
19. IKS-Automatisierung mithilfe von SAP Process Control ... 665
19.1 ... Einleitung: IKS-Umsetzung mit SAP Process Control ... 666
19.2 ... Technische Implementierung ... 668
19.3 ... Datenmodell ... 676
19.4 ... Implementierung des IKS-Prozesses ... 696
19.5 ... IKS- und Compliance-Umsetzung: Rollen ... 741
19.6 ... Resümee ... 752
20. Umsetzung von automatisierten Test- und Monitoring-Szenarien ... 753
20.1 ... Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld ... 754
20.2 ... Automatisierte Tests und Monitoring in SAP GRC ... 766
20.3 ... Einrichtung von CMF-Szenarien in SAP Process Control ... 773
20.4 ... Resümee ... 800
21. SAP GRC - Erfolgsfaktoren und Erfahrungswerte ... 801
21.1 ... Wem nutzt GRC: Die drei Verteidigungslinien im Überblick ... 801
21.2 ... Der Mehrwert von GRC ... 805
21.3 ... Projekterfahrungen bei der Automatisierung von IKS und Risikomanagement ... 810
21.4 ... Resümee ... 822
Anhang ... 825
A ... Abkürzungsverzeichnis ... 827
B ... Literatur ... 839
C ... Der Autor ... 845
Index ... 851
Vertrauen ist gut, Kontrolle ist billiger: Einleitung ... 27
TEIL I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld ... 39
1. Gesetzliche Anforderungen im Bereich IKS-Compliance ... 41
1.1 ... Begriffsdefinitionen und Abgrenzung ... 41
1.2 ... IKS-Anforderungen in Europa ... 49
1.3 ... IKS-Anforderungen in der Finanzbranche ... 56
1.4 ... Unternehmenserfolg durch IKS? ... 60
1.5 ... Resümee ... 62
2. Der Prüfer kommt: Wann, warum und wie man damit umgeht ... 63
2.1 ... IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung ... 64
2.2 ... IKS-Assurance in der Praxis ... 72
2.3 ... Interessenskonflikte in der Wirtschaftsprüfung ... 83
2.4 ... Resümee ... 87
3. IKS-Anforderungen und SAP-ERP-Systeme: Grundsätze, Frameworks, Struktur ... 89
3.1 ... IKS-Inhalte im SAP-ERP-Umfeld definieren ... 89
3.2 ... IKS-relevante Referenzmodelle ... 106
3.3 ... IKS und risikomanagementrelevante Standards und Modelle ... 116
3.4 ... Resümee ... 123
4. Wie geht SAP mit dem Thema Compliance um? ... 125
4.1 ... Softwarezertifizierung ... 125
4.2 ... Compliancerelevante Leitfäden ... 130
4.3 ... SAP-Lösungen für Governance, Risk and Compliance (GRC) ... 138
4.4 ... Resümee ... 170
TEIL II Vom Konzept zum Inhalt: Kontrollen in SAP ERP ... 173
5. Revisionsrelevante SAP-Basics ... 175
5.1 ... Am Anfang war die Tabelle: SAP-System als tabellengesteuerte Applikation ... 176
5.2 ... Berechtigungen ... 208
5.3 ... Resümee ... 227
6. Generelle IT-Kontrollen in SAP ERP ... 229
6.1 ... Organisatorische Kontrollen ... 229
6.2 ... Kontrollen im Bereich Change Management und Entwicklung ... 240
6.3 ... Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung ... 252
6.4 ... Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP ... 261
6.5 ... Resümee ... 279
7. Übergreifende Applikationskontrollen in SAP ERP ... 281
7.1 ... Grundsatz der Unveränderlichkeit ... 282
7.2 ... Kontrollen für die datenbezogene Nachvollziehbarkeit ... 288
7.3 ... Nachvollziehbarkeit der Benutzeraktivitäten im SAP-System ... 296
7.4 ... Prozessübergreifende Verarbeitungskontrollen ... 304
7.5 ... Resümee ... 315
8. Kontrollen in der Finanzbuchhaltung ... 317
8.1 ... Grundlegende Kontrollmechanismen im Hauptbuch ... 318
8.2 ... Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch ... 328
8.3 ... Vollständigkeit der Verarbeitung im Hauptbuch ... 338
8.4 ... Sicherheit und Schutz der Daten im Hauptbuch ... 344
8.5 ... Kontrollen in der Anlagenbuchhaltung ... 355
8.6 ... Kontrollen in der Kreditoren- und Debitorenbuchhaltung ... 370
8.7 ... Resümee ... 378
9. Kontrollmechanismen im SAP-ERP-gestützten Procure-to-Pay-Prozess ... 379
9.1 ... Bestellwesen ... 381
9.2 ... Wareneingänge und Rechnungsprüfung ... 385
9.3 ... WE/RE-Konto ... 390
9.4 ... Kontrollen rund um das Thema Bestände ... 395
9.5 ... Corporate Governance ... 406
9.6 ... Resümee ... 407
10. Kontrollmechanismen im SAP-ERP-gestützten Order-to-Cash-Prozess ... 409
10.1 ... Kontrollen in der vorbereitenden Vertriebsphase ... 410
10.2 ... Kontrollen bei der Auftragserfüllung und Umsatzlegung ... 417
10.3 ... Resümee ... 430
11. Datenschutz-Compliance in SAP ERP Human Capital Management ... 431
11.1 ... Gesetzliche Datenschutzanforderungen ... 432
11.2 ... Datenschutzrelevante übergreifende Kontrollmechanismen im SAP-System ... 449
11.3 ... Besondere Anforderungen an SAP ERP HCM ... 454
11.4 ... Berechtigungen und Rollen in SAP ERP HCM ... 455
11.5 ... Datenlöschung und Datensperrung ... 468
11.6 ... Resümee ... 469
12. Betrug im SAP-System ... 471
12.1 ... Einführung ... 471
12.2 ... Betrugsszenarien in der SAP-Basis ... 476
12.3 ... Betrugsszenarien im Hauptbuch ... 478
12.4 ... Betrugsszenarien im Vertriebsbereich ... 482
12.5 ... Betrugsszenarien in der Personalbuchhaltung ... 488
12.6 ... Resümee ... 491
13. Exkurs: FDA-Compliance und Kontrollen in SAP ... 493
13.1 ... Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung ... 493
13.2 ... Validierung der IT-Systeme ... 498
13.3 ... FDA-Compliance in IT-gestützten Geschäftsprozessen ... 501
13.4 ... FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten ... 506
13.5 ... Resümee ... 508
14. Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP ... 509
14.1 ... Prozessbezogene Datenauswertungen ... 510
14.2 ... Analyse der Stammdatenqualität ... 527
14.3 ... Manuelle Datenänderungen ... 535
14.4 ... Ergänzung von SAP-ERP-Standardreports ... 547
14.5 ... Resümee ... 550
15. Risk und Compliance in SAP S/4HANA ... 551
15.1 ... SAP S/4HANA im Überblick ... 551
15.2 ... Finanzbuchhaltung ... 558
15.3 ... Controlling ... 569
15.4 ... Resümee ... 572
16. Berechtigungen in SAP S/4HANA ... 573
16.1 ... Berechtigungen für SAP Fiori ... 574
16.2 ... Berechtigungen für das SAP-S/4HANA-Backend ... 587
16.3 ... Funktionstrennung in SAP S/4HANA ... 590
16.4 ... Berechtigungen in SAP HANA ... 593
16.5 ... Erfahrungswerte aus SAP-S/4HANA-Berechtigungsprojekten ... 602
16.6 ... Resümee ... 605
17. Unified Connectivity: Wirksamer Schutz der SAP-ERP-Umgebungen ... 607
17.1 ... Schnittstellenbezogene Risiken in SAP ERP ... 608
17.2 ... Die Funktionsweise von UCON ... 612
17.3 ... Phasen der UCON-Einführung ... 613
17.4 ... Konfigurationsschritte ... 615
17.5 ... Bereitstellungsszenarien für UCON ... 625
17.6 ... FAQ zu UCON ... 635
17.7 ... Resümee ... 637
TEIL III Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems ... 639
18. IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? ... 641
18.1 ... Grundidee der IKS-Automatisierung ... 641
18.2 ... IKS-relevante Objekte und Dokumentation ... 646
18.3 ... Grundszenarien der IKS-Aktivitäten ... 655
18.4 ... Resümee ... 664
19. IKS-Automatisierung mithilfe von SAP Process Control ... 665
19.1 ... Einleitung: IKS-Umsetzung mit SAP Process Control ... 666
19.2 ... Technische Implementierung ... 668
19.3 ... Datenmodell ... 676
19.4 ... Implementierung des IKS-Prozesses ... 696
19.5 ... IKS- und Compliance-Umsetzung: Rollen ... 741
19.6 ... Resümee ... 752
20. Umsetzung von automatisierten Test- und Monitoring-Szenarien ... 753
20.1 ... Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld ... 754
20.2 ... Automatisierte Tests und Monitoring in SAP GRC ... 766
20.3 ... Einrichtung von CMF-Szenarien in SAP Process Control ... 773
20.4 ... Resümee ... 800
21. SAP GRC - Erfolgsfaktoren und Erfahrungswerte ... 801
21.1 ... Wem nutzt GRC: Die drei Verteidigungslinien im Überblick ... 801
21.2 ... Der Mehrwert von GRC ... 805
21.3 ... Projekterfahrungen bei der Automatisierung von IKS und Risikomanagement ... 810
21.4 ... Resümee ... 822
Anhang ... 825
A ... Abkürzungsverzeichnis ... 827
B ... Literatur ... 839
C ... Der Autor ... 845
Index ... 851
Vorwort ... 25
Vertrauen ist gut, Kontrolle ist billiger: Einleitung ... 27
TEIL I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld ... 39
1. Gesetzliche Anforderungen im Bereich IKS-Compliance ... 41
1.1 ... Begriffsdefinitionen und Abgrenzung ... 41
1.2 ... IKS-Anforderungen in Europa ... 49
1.3 ... IKS-Anforderungen in der Finanzbranche ... 56
1.4 ... Unternehmenserfolg durch IKS? ... 60
1.5 ... Resümee ... 62
2. Der Prüfer kommt: Wann, warum und wie man damit umgeht ... 63
2.1 ... IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung ... 64
2.2 ... IKS-Assurance in der Praxis ... 72
2.3 ... Interessenskonflikte in der Wirtschaftsprüfung ... 83
2.4 ... Resümee ... 87
3. IKS-Anforderungen und SAP-ERP-Systeme: Grundsätze, Frameworks, Struktur ... 89
3.1 ... IKS-Inhalte im SAP-ERP-Umfeld definieren ... 89
3.2 ... IKS-relevante Referenzmodelle ... 106
3.3 ... IKS und risikomanagementrelevante Standards und Modelle ... 116
3.4 ... Resümee ... 123
4. Wie geht SAP mit dem Thema Compliance um? ... 125
4.1 ... Softwarezertifizierung ... 125
4.2 ... Compliancerelevante Leitfäden ... 130
4.3 ... SAP-Lösungen für Governance, Risk and Compliance (GRC) ... 138
4.4 ... Resümee ... 170
TEIL II Vom Konzept zum Inhalt: Kontrollen in SAP ERP ... 173
5. Revisionsrelevante SAP-Basics ... 175
5.1 ... Am Anfang war die Tabelle: SAP-System als tabellengesteuerte Applikation ... 176
5.2 ... Berechtigungen ... 208
5.3 ... Resümee ... 227
6. Generelle IT-Kontrollen in SAP ERP ... 229
6.1 ... Organisatorische Kontrollen ... 229
6.2 ... Kontrollen im Bereich Change Management und Entwicklung ... 240
6.3 ... Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung ... 252
6.4 ... Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP ... 261
6.5 ... Resümee ... 279
7. Übergreifende Applikationskontrollen in SAP ERP ... 281
7.1 ... Grundsatz der Unveränderlichkeit ... 282
7.2 ... Kontrollen für die datenbezogene Nachvollziehbarkeit ... 288
7.3 ... Nachvollziehbarkeit der Benutzeraktivitäten im SAP-System ... 296
7.4 ... Prozessübergreifende Verarbeitungskontrollen ... 304
7.5 ... Resümee ... 315
8. Kontrollen in der Finanzbuchhaltung ... 317
8.1 ... Grundlegende Kontrollmechanismen im Hauptbuch ... 318
8.2 ... Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch ... 328
8.3 ... Vollständigkeit der Verarbeitung im Hauptbuch ... 338
8.4 ... Sicherheit und Schutz der Daten im Hauptbuch ... 344
8.5 ... Kontrollen in der Anlagenbuchhaltung ... 355
8.6 ... Kontrollen in der Kreditoren- und Debitorenbuchhaltung ... 370
8.7 ... Resümee ... 378
9. Kontrollmechanismen im SAP-ERP-gestützten Procure-to-Pay-Prozess ... 379
9.1 ... Bestellwesen ... 381
9.2 ... Wareneingänge und Rechnungsprüfung ... 385
9.3 ... WE/RE-Konto ... 390
9.4 ... Kontrollen rund um das Thema Bestände ... 395
9.5 ... Corporate Governance ... 406
9.6 ... Resümee ... 407
10. Kontrollmechanismen im SAP-ERP-gestützten Order-to-Cash-Prozess ... 409
10.1 ... Kontrollen in der vorbereitenden Vertriebsphase ... 410
10.2 ... Kontrollen bei der Auftragserfüllung und Umsatzlegung ... 417
10.3 ... Resümee ... 430
11. Datenschutz-Compliance in SAP ERP Human Capital Management ... 431
11.1 ... Gesetzliche Datenschutzanforderungen ... 432
11.2 ... Datenschutzrelevante übergreifende Kontrollmechanismen im SAP-System ... 449
11.3 ... Besondere Anforderungen an SAP ERP HCM ... 454
11.4 ... Berechtigungen und Rollen in SAP ERP HCM ... 455
11.5 ... Datenlöschung und Datensperrung ... 468
11.6 ... Resümee ... 469
12. Betrug im SAP-System ... 471
12.1 ... Einführung ... 471
12.2 ... Betrugsszenarien in der SAP-Basis ... 476
12.3 ... Betrugsszenarien im Hauptbuch ... 478
12.4 ... Betrugsszenarien im Vertriebsbereich ... 482
12.5 ... Betrugsszenarien in der Personalbuchhaltung ... 488
12.6 ... Resümee ... 491
13. Exkurs: FDA-Compliance und Kontrollen in SAP ... 493
13.1 ... Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung ... 493
13.2 ... Validierung der IT-Systeme ... 498
13.3 ... FDA-Compliance in IT-gestützten Geschäftsprozessen ... 501
13.4 ... FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten ... 506
13.5 ... Resümee ... 508
14. Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP ... 509
14.1 ... Prozessbezogene Datenauswertungen ... 510
14.2 ... Analyse der Stammdatenqualität ... 527
14.3 ... Manuelle Datenänderungen ... 535
14.4 ... Ergänzung von SAP-ERP-Standardreports ... 547
14.5 ... Resümee ... 550
15. Risk und Compliance in SAP S/4HANA ... 551
15.1 ... SAP S/4HANA im Überblick ... 551
15.2 ... Finanzbuchhaltung ... 558
15.3 ... Controlling ... 569
15.4 ... Resümee ... 572
16. Berechtigungen in SAP S/4HANA ... 573
16.1 ... Berechtigungen für SAP Fiori ... 574
16.2 ... Berechtigungen für das SAP-S/4HANA-Backend ... 587
16.3 ... Funktionstrennung in SAP S/4HANA ... 590
16.4 ... Berechtigungen in SAP HANA ... 593
16.5 ... Erfahrungswerte aus SAP-S/4HANA-Berechtigungsprojekten ... 602
16.6 ... Resümee ... 605
17. Unified Connectivity: Wirksamer Schutz der SAP-ERP-Umgebungen ... 607
17.1 ... Schnittstellenbezogene Risiken in SAP ERP ... 608
17.2 ... Die Funktionsweise von UCON ... 612
17.3 ... Phasen der UCON-Einführung ... 613
17.4 ... Konfigurationsschritte ... 615
17.5 ... Bereitstellungsszenarien für UCON ... 625
17.6 ... FAQ zu UCON ... 635
17.7 ... Resümee ... 637
TEIL III Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems ... 639
18. IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? ... 641
18.1 ... Grundidee der IKS-Automatisierung ... 641
18.2 ... IKS-relevante Objekte und Dokumentation ... 646
18.3 ... Grundszenarien der IKS-Aktivitäten ... 655
18.4 ... Resümee ... 664
19. IKS-Automatisierung mithilfe von SAP Process Control ... 665
19.1 ... Einleitung: IKS-Umsetzung mit SAP Process Control ... 666
19.2 ... Technische Implementierung ... 668
19.3 ... Datenmodell ... 676
19.4 ... Implementierung des IKS-Prozesses ... 696
19.5 ... IKS- und Compliance-Umsetzung: Rollen ... 741
19.6 ... Resümee ... 752
20. Umsetzung von automatisierten Test- und Monitoring-Szenarien ... 753
20.1 ... Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld ... 754
20.2 ... Automatisierte Tests und Monitoring in SAP GRC ... 766
20.3 ... Einrichtung von CMF-Szenarien in SAP Process Control ... 773
20.4 ... Resümee ... 800
21. SAP GRC - Erfolgsfaktoren und Erfahrungswerte ... 801
21.1 ... Wem nutzt GRC: Die drei Verteidigungslinien im Überblick ... 801
21.2 ... Der Mehrwert von GRC ... 805
21.3 ... Projekterfahrungen bei der Automatisierung von IKS und Risikomanagement ... 810
21.4 ... Resümee ... 822
Anhang ... 825
A ... Abkürzungsverzeichnis ... 827
B ... Literatur ... 839
C ... Der Autor ... 845
Index ... 851
Vertrauen ist gut, Kontrolle ist billiger: Einleitung ... 27
TEIL I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld ... 39
1. Gesetzliche Anforderungen im Bereich IKS-Compliance ... 41
1.1 ... Begriffsdefinitionen und Abgrenzung ... 41
1.2 ... IKS-Anforderungen in Europa ... 49
1.3 ... IKS-Anforderungen in der Finanzbranche ... 56
1.4 ... Unternehmenserfolg durch IKS? ... 60
1.5 ... Resümee ... 62
2. Der Prüfer kommt: Wann, warum und wie man damit umgeht ... 63
2.1 ... IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung ... 64
2.2 ... IKS-Assurance in der Praxis ... 72
2.3 ... Interessenskonflikte in der Wirtschaftsprüfung ... 83
2.4 ... Resümee ... 87
3. IKS-Anforderungen und SAP-ERP-Systeme: Grundsätze, Frameworks, Struktur ... 89
3.1 ... IKS-Inhalte im SAP-ERP-Umfeld definieren ... 89
3.2 ... IKS-relevante Referenzmodelle ... 106
3.3 ... IKS und risikomanagementrelevante Standards und Modelle ... 116
3.4 ... Resümee ... 123
4. Wie geht SAP mit dem Thema Compliance um? ... 125
4.1 ... Softwarezertifizierung ... 125
4.2 ... Compliancerelevante Leitfäden ... 130
4.3 ... SAP-Lösungen für Governance, Risk and Compliance (GRC) ... 138
4.4 ... Resümee ... 170
TEIL II Vom Konzept zum Inhalt: Kontrollen in SAP ERP ... 173
5. Revisionsrelevante SAP-Basics ... 175
5.1 ... Am Anfang war die Tabelle: SAP-System als tabellengesteuerte Applikation ... 176
5.2 ... Berechtigungen ... 208
5.3 ... Resümee ... 227
6. Generelle IT-Kontrollen in SAP ERP ... 229
6.1 ... Organisatorische Kontrollen ... 229
6.2 ... Kontrollen im Bereich Change Management und Entwicklung ... 240
6.3 ... Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung ... 252
6.4 ... Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP ... 261
6.5 ... Resümee ... 279
7. Übergreifende Applikationskontrollen in SAP ERP ... 281
7.1 ... Grundsatz der Unveränderlichkeit ... 282
7.2 ... Kontrollen für die datenbezogene Nachvollziehbarkeit ... 288
7.3 ... Nachvollziehbarkeit der Benutzeraktivitäten im SAP-System ... 296
7.4 ... Prozessübergreifende Verarbeitungskontrollen ... 304
7.5 ... Resümee ... 315
8. Kontrollen in der Finanzbuchhaltung ... 317
8.1 ... Grundlegende Kontrollmechanismen im Hauptbuch ... 318
8.2 ... Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch ... 328
8.3 ... Vollständigkeit der Verarbeitung im Hauptbuch ... 338
8.4 ... Sicherheit und Schutz der Daten im Hauptbuch ... 344
8.5 ... Kontrollen in der Anlagenbuchhaltung ... 355
8.6 ... Kontrollen in der Kreditoren- und Debitorenbuchhaltung ... 370
8.7 ... Resümee ... 378
9. Kontrollmechanismen im SAP-ERP-gestützten Procure-to-Pay-Prozess ... 379
9.1 ... Bestellwesen ... 381
9.2 ... Wareneingänge und Rechnungsprüfung ... 385
9.3 ... WE/RE-Konto ... 390
9.4 ... Kontrollen rund um das Thema Bestände ... 395
9.5 ... Corporate Governance ... 406
9.6 ... Resümee ... 407
10. Kontrollmechanismen im SAP-ERP-gestützten Order-to-Cash-Prozess ... 409
10.1 ... Kontrollen in der vorbereitenden Vertriebsphase ... 410
10.2 ... Kontrollen bei der Auftragserfüllung und Umsatzlegung ... 417
10.3 ... Resümee ... 430
11. Datenschutz-Compliance in SAP ERP Human Capital Management ... 431
11.1 ... Gesetzliche Datenschutzanforderungen ... 432
11.2 ... Datenschutzrelevante übergreifende Kontrollmechanismen im SAP-System ... 449
11.3 ... Besondere Anforderungen an SAP ERP HCM ... 454
11.4 ... Berechtigungen und Rollen in SAP ERP HCM ... 455
11.5 ... Datenlöschung und Datensperrung ... 468
11.6 ... Resümee ... 469
12. Betrug im SAP-System ... 471
12.1 ... Einführung ... 471
12.2 ... Betrugsszenarien in der SAP-Basis ... 476
12.3 ... Betrugsszenarien im Hauptbuch ... 478
12.4 ... Betrugsszenarien im Vertriebsbereich ... 482
12.5 ... Betrugsszenarien in der Personalbuchhaltung ... 488
12.6 ... Resümee ... 491
13. Exkurs: FDA-Compliance und Kontrollen in SAP ... 493
13.1 ... Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung ... 493
13.2 ... Validierung der IT-Systeme ... 498
13.3 ... FDA-Compliance in IT-gestützten Geschäftsprozessen ... 501
13.4 ... FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten ... 506
13.5 ... Resümee ... 508
14. Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP ... 509
14.1 ... Prozessbezogene Datenauswertungen ... 510
14.2 ... Analyse der Stammdatenqualität ... 527
14.3 ... Manuelle Datenänderungen ... 535
14.4 ... Ergänzung von SAP-ERP-Standardreports ... 547
14.5 ... Resümee ... 550
15. Risk und Compliance in SAP S/4HANA ... 551
15.1 ... SAP S/4HANA im Überblick ... 551
15.2 ... Finanzbuchhaltung ... 558
15.3 ... Controlling ... 569
15.4 ... Resümee ... 572
16. Berechtigungen in SAP S/4HANA ... 573
16.1 ... Berechtigungen für SAP Fiori ... 574
16.2 ... Berechtigungen für das SAP-S/4HANA-Backend ... 587
16.3 ... Funktionstrennung in SAP S/4HANA ... 590
16.4 ... Berechtigungen in SAP HANA ... 593
16.5 ... Erfahrungswerte aus SAP-S/4HANA-Berechtigungsprojekten ... 602
16.6 ... Resümee ... 605
17. Unified Connectivity: Wirksamer Schutz der SAP-ERP-Umgebungen ... 607
17.1 ... Schnittstellenbezogene Risiken in SAP ERP ... 608
17.2 ... Die Funktionsweise von UCON ... 612
17.3 ... Phasen der UCON-Einführung ... 613
17.4 ... Konfigurationsschritte ... 615
17.5 ... Bereitstellungsszenarien für UCON ... 625
17.6 ... FAQ zu UCON ... 635
17.7 ... Resümee ... 637
TEIL III Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems ... 639
18. IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? ... 641
18.1 ... Grundidee der IKS-Automatisierung ... 641
18.2 ... IKS-relevante Objekte und Dokumentation ... 646
18.3 ... Grundszenarien der IKS-Aktivitäten ... 655
18.4 ... Resümee ... 664
19. IKS-Automatisierung mithilfe von SAP Process Control ... 665
19.1 ... Einleitung: IKS-Umsetzung mit SAP Process Control ... 666
19.2 ... Technische Implementierung ... 668
19.3 ... Datenmodell ... 676
19.4 ... Implementierung des IKS-Prozesses ... 696
19.5 ... IKS- und Compliance-Umsetzung: Rollen ... 741
19.6 ... Resümee ... 752
20. Umsetzung von automatisierten Test- und Monitoring-Szenarien ... 753
20.1 ... Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld ... 754
20.2 ... Automatisierte Tests und Monitoring in SAP GRC ... 766
20.3 ... Einrichtung von CMF-Szenarien in SAP Process Control ... 773
20.4 ... Resümee ... 800
21. SAP GRC - Erfolgsfaktoren und Erfahrungswerte ... 801
21.1 ... Wem nutzt GRC: Die drei Verteidigungslinien im Überblick ... 801
21.2 ... Der Mehrwert von GRC ... 805
21.3 ... Projekterfahrungen bei der Automatisierung von IKS und Risikomanagement ... 810
21.4 ... Resümee ... 822
Anhang ... 825
A ... Abkürzungsverzeichnis ... 827
B ... Literatur ... 839
C ... Der Autor ... 845
Index ... 851