Berechtigungsvorschlagswerte
SAP Berechtigungstrace – Einfache Übersicht über Berechtigungen
Rollen können so geschnitten sein, dass diese z. B. nur über Anzeige- oder Änderungsberechtigungen verfügen. Des Weiteren könnte zwischen Customizing-, Stammdaten- und Bewegungsdatenpflege differenziert werden.
Liegen solche Informationen aus der Vergangenheit vor, sollte überprüft werden, ob alle Themen entsprechend den Anmerkungen umgesetzt wurden. Sollte die eine oder andere Empfehlung nicht umgesetzt worden sein, ist dieser Umstand auf jeden Fall nachvollziehbar zu dokumentieren, bzw. sollte eine nachvollziehbare Begründung vorgebracht werden können. Es reicht jedoch nicht, sich nur auf die vorgebrachten Verbesserungspotentiale zu konzentrieren, denn es muss sichergestellt sein, dass all jene Punkte, welche in der Vergangenheit nicht moniert wurden, auch weiterhin passen. Die Vorbereitung wird wesentlich erschwert, wenn keine hilfreichen Kommentare oder Berichte aus dem vergangenen Geschäftsjahr vorliegen oder wenn es sich um eine Erstprüfung bzw. um einen Wechsel des Wirtschaftsprüfers handelt. Was sieht sich der IT-Prüfer im Rahmen der Jahresabschlussprüfung alles an? Es gibt Themen, die sich jeder Prüfer ansieht, weil es dazu Standards gibt, jedoch ist es üblich, dass der Wirtschaftsprüfer abhängig von der Strategie der gesamten Prüfung, zusätzliche Prüfungshandlungen in der IT-Prüfung vornimmt. In diesem Newsletter wollen wir uns auf die wichtigsten Standardprüfungsthemen auf der Prozessebene und der darin definierten IT-Kontrollen im Zusammenhang des SAP®-Systems konzentrieren.
Das SAP-Berechtigungskonzept
Das Security Audit Log kann ab SAP NetWeaver 7.31 auch kundenspezifische Ereignisse eingeschränkt protokollieren. Dazu werden die Ereignisdefinitionen DUX, DUY und DUZ für Kunden reserviert und mit einer Dummy-Ausprägung ausgeliefert. Für diese Ereignisse können Sie dann mittels des Funktionsbausteins RSAU_WRITE_CUSTOMER_EVTS individuell konfigurierbare Meldungen definieren. Zuerst müssen Sie hierzu die zusätzlich notwendigen Ereignisse identifizieren und deren Meldungstexte und Variablen definieren. Beachten Sie hierbei, dass Sie später keine Änderungen mehr an der Bedeutung der Meldung und der Anordnung der Variablen vornehmen dürfen, denn dies würde die Lesbarkeit älterer Protokolldateien verhindern. Abschließend müssen Sie noch die neuen Meldungsdefinitionen in Ihre Filter aufnehmen (Transaktion SM19). Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1941526. Da die Nutzung dieser Funktionalität umfangreiches Wissen über das Security Audit Log voraussetzt, sollten Sie unbedingt auch die Empfehlungen in SAP-Hinweis 1941568 berücksichtigen und sich durch einen Basisberater unterstützen lassen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Welche Rollen hat mein Benutzer (SU01)? Wir starten mit einer einfachen Frage: welche Rollen sind deinem SAP-Benutzer eigentlich zugeordnet? Mit der Transaktion SU01 kannst du dir deinen (oder andere) SAP-Benutzer ansehen. Neben vielen anderen Informationen findest du auf dem Reiter “Rollen” die zugeordneten Einzel- und Sammelrollen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Die Excel-Datei darf nicht verlorengehen oder etwa beschädigt werden.
Mit der apm Suite verlieren Sie nie den Überblick über Ihre Compliance im SAP Berechtigungsmanagement.