Enterprise-Resource-Planning - ERP-Systeme, Prozesse und Berechtigungsmanagement

Die Prüfung von Soft­ware­pro­duk­ten, sog. Soft­ware­be­schei­ni­gung, gemäß IDW PS 880 hilft Ih­nen als Soft­ware­her­stel­ler und Ih­ren Kun­den die ord­nungsmäßige Ver­ar­bei­tung Ih­res Sys­tems nach­zu­wei­sen. Die Prüfung kann ge­gen all­ge­mein zugäng­li­che Kri­te­rien (z. B. re­gu­la­to­ri­sche An­for­de­run­gen wie han­dels- steu­er­recht­li­che An­for­de­run­gen) oder auf­ga­ben­spe­zi­fi­sche Nor­men und Stan­dards so­wie auch ge­gen ei­gene, selbst­de­fi­nierte Kri­te­rien er­fol­gen.

Ein in­di­vi­du­el­les Prüfungs­pa­ket für Ihre in­di­vi­du­elle Soft­ware

Un­sere Prüfung glie­dert sich in die fol­gende Prüfungs­pha­sen:

Nach­dem wir zunächst ein Verständ­nis über den Prüfungs­ge­gen­stand ge­won­nen ha­ben, stim­men wir den ge­nauen Um­fang ge­mein­sam mit Ih­nen ab, um den An­for­de­run­gen Ih­rer Ziel­grup­pen ge­recht zu wer­den. An­schließend er­folgt die Prüfung des Soft­ware­ent­wick­lungs­pro­zes­ses ge­folgt von Auf­bau- und Funk­ti­onsprüfung der zu bestäti­gen­den Funk­tio­nen. Im Er­geb­nis er­hal­ten Sie einen Prüfungs­be­richt, den Sie an Ihre Kun­den und In­ter­es­sen­ten wei­ter­ge­ben können.

1. Workshop/Verständnis

• Ge­win­nung ei­nes Verständ­nis­ses über den Prüfungs­ge­gen­stand
• Er­ste Dar­stel­lung des Soft­ware­ent­wick­lungs­ver­fah­rens inkl. Test­ver­fah­ren
• Be­reit­stel­lung der not­wen­di­gen Prüfum­ge­bung für die Soft­ware

2. Softwareentwicklungsverfahren

• Kon­troll­um­feld und Soft­ware­ent­wick­lungs­um­ge­bung
• Stan­dards und Nor­men für die Soft­ware­ent­wick­lung und -war­tung
• Qua­litäts­si­che­rung in der Soft­ware­ent­wick­lung
• Ver­si­onsführung
• Kon­zept und Aus­ge­stal­tung von Test- und Ab­nah­me­ver­fah­ren

3. Angemessenheit der Verarbeitungsfunktionen (inkl. Funktionsprüfungen)

• Vollständig­keit und Ak­tua­lität der Ver­fah­rens­do­ku­men­ta­tion mit An­wen­der-, Sys­tem- und Be­triebs­do­ku­men­ta­tion
• Um­set­zung der wei­te­ren all­ge­mei­nen Ord­nungsmäßig­keits­grundsätze (u. a. Zeit­ge­rech­tig­keit, Ord­nung, Un­veränder­bar­keit)
• Auf­be­wah­rung (Ar­chi­vie­rung, GoBD)
• IT-Si­cher­heits­an­for­de­run­gen
• Ab­stimm­hand­lun­gen und Pro­to­kol­lie­run­gen
• Stan­dard­schnitt­stel­len

Ge­rade in der heu­ti­gen Zeit wer­den Com­pli­ance- und Si­cher­heits­an­for­de­run­gen im­mer wich­ti­ger; das An­for­de­rungs­spek­trum ist in einem per­ma­nen­ten Wan­del. Da­bei den Über­blick zu be­wah­ren, stellt meist eine Her­aus­for­de­rung dar. Dies gilt ins­be­son­dere in Einführungs­pro­jek­ten neuer ERP-Sys­teme, die das Herzstück Ih­res Un­ter­neh­mens mo­der­ni­sie­ren und für Ihr Un­ter­neh­men Zu­kunfts­si­cher­heit er­rei­chen sol­len.

Mit un­se­rer pro­jekt­be­glei­ten­den Prüfung stel­len wir nicht nur si­cher, dass diese An­for­de­run­gen be­reits zu Be­ginn „by de­sign“ an­ge­mes­sen berück­sich­tigt wer­den, son­dern sind auch Ihr un­abhängi­ger Spar­rings­part­ner. Zu­dem in­for­mie­ren wir Sie über Ri­si­ken und un­terstützen Sie diese er­folg­reich zu mi­ni­mie­ren.

Mögli­che Pro­jekt­ri­si­ken im Rah­men ei­ner Sys­tem­einführung

Be­darfs­ori­en­tierte Um­set­zung der sechs Prüfungs­ge­biete

Wir bie­ten Ih­nen einen auf Ih­ren je­wei­li­gen Be­darf in­di­vi­du­ell zu­ge­schnit­te­nen An­satz zur Pro­jekt­be­glei­tung mit fol­gen­den grund­le­gen­den Un­ter­schei­dungs­merk­ma­len:

1. Projektbegleitende Prüfung gemäß IDW PS 850

• Um­fas­sen­der An­satz, um inhären­ten Pro­jekt­ri­si­ken be­reits bei Pro­jekt­durchführung zu be­geg­nen und Com­pli­ance-An­for­de­run­gen zu erfüllen
• Prüfung ei­nes wirk­sa­men pro­jekt­be­zo­ge­nen In­ter­nen Kon­troll­sys­tems
• Be­ur­tei­lung von Ri­si­ken im Rah­men der Ord­nungsmäßig­keit und Si­cher­heit der um­zu­set­zen­den Ge­samtlösung
• Be­ur­tei­lung des Test- und Frei­ga­be­ver­fah­rens so­wie Un­terstützung in der De­fi­ni­tion von Test­sze­na­rien und Vor­ga­ben an die Test- und Mi­gra­ti­ons­do­ku­men­ta­tion
• Mi­gra­ti­onsprüfung an­hand der er­stell­ten Mi­gra­ti­ons­do­ku­men­ta­tion und Mas­sen­da­ten­ana­ly­sen zur Si­cher­stel­lung, dass alle re­le­van­ten Da­ten vollständig und rich­tig in das neue Sys­tem über­tra­gen wur­den
• Bestäti­gung der Ord­nungsmäßig­keit der ein­geführ­ten Pro­zesse und der be­tei­lig­ten An­wen­dungs­sys­teme im Rah­men ei­ner Be­schei­ni­gung nach IDW PS 850

2. Post-Implementation-Review und Quality Stage Gates nach IDW PS 860

• Rück­wir­kende Be­trach­tung, ob die Sys­tem­um­stel­lung sach­ge­recht vor­ge­nom­men wurde
• Prüfung der Er­rei­chung von Pro­jekt­zie­len an­hand Ih­rer Um­stel­lungs­do­ku­men­ta­tion
• Kon­for­mität aus­gewähl­ter Pro­zesse zum Soll-Pro­zess, d. h. wird der Soll-Pro­zess ge­lebt?
• Er­mitt­lung der Ri­si­ken für die Ord­nungsmäßig­keit und Si­cher­heit von Pro­zes­sen
• Überprüfung der Er­rei­chung der Pro­jekt­ziele

3. Post-Implementation-Review/Migrationsprüfung nach IDW PS 860

• Fest­stel­lung, ob ein Mi­gra­ti­ons­kon­zept vor­liegt und ob in die­sem die Da­ten­struk­tu­ren und -for­mate des al­ten und des neuen Sys­tems rich­tig und vollständig er­ho­ben wur­den, um die Ri­si­ken der un­vollständi­gen oder fal­schen Über­nahme von Da­ten­beständen an­ge­mes­sen zu berück­sich­ti­gen.
• Si­cher­stel­lung, dass alle re­le­van­ten Da­ten vollständig und rich­tig über­tra­gen wur­den

Un­ter­neh­men un­ter­lie­gen durch ihre Tätig­keit am Markt, durch re­gu­la­to­ri­sche An­for­de­run­gen oder an­de­ren bran­chen­spe­zi­fi­schen Ge­ge­ben­hei­ten ständi­gen Verände­run­gen. Diese wir­ken sich auf die Or­ga­ni­sa­tion, die Rech­nungs­le­gung so­wie das In­terne Kon­troll­sys­tem aus und be­ein­flus­sen häufig die im Un­ter­neh­men ein­ge­setzte In­for­ma­ti­ons­tech­no­lo­gie.

In der Prüfung von Ge­schäfts­pro­zes­sen und Sys­tem­ein­stel­lun­gen er­mit­teln wir, wie Pro­zesse tatsäch­lich ope­ra­tiv um­ge­setzt sind und be­wer­ten die Wirk­sam­keit der im­ple­men­tier­ten Kon­trol­len so­wie die Pro­zes­sef­fi­zi­enz und -ef­fek­ti­vität. In der Pro­zessprüfung kom­men - pro­jek­tabhängig - ver­schie­dene Tools für die Da­ten­ana­lyse zum Ein­satz.

Ergänzend zum be­trieb­li­chen Pro­zess­ab­lauf prüfen wir die Pa­ra­me­tri­sie­rung des Pro­zes­ses in Be­zug auf das In­terne Kon­troll­sys­tem so­wie die ver­ge­be­nen Be­nut­zer­be­rech­ti­gun­gen gemäß des Need-to-Know-Prin­zips und least pri­vi­le­ged ac­cess. Auch hier bie­ten wir pro­jekt­ge­recht einen va­ria­blen An­satz von ma­nu­el­len Aus­wer­tun­gen bis hin zu spe­zia­li­sier­ten Tools an.

Eine um­fang­rei­che Prüfung von SAP-Be­rech­ti­gun­gen, so­wohl auf Trans­ak­ti­ons- als auch Ob­jek­tebene ist ohne den Ein­satz ei­ner Prüfsoft­ware nicht ef­fek­tiv möglich. Des­halb ver­wen­den wir für die Überprüfung der Be­rech­ti­gun­gen die Prüfungs­soft­ware „CheckAud“ der Firma IBS Schrei­ber GmbH, Ham­burg. „CheckAud“ ist die marktführende Soft­ware in die­sem Ein­satz­ge­biet und von der SAP SE zer­ti­fi­ziert.

Die jüngste Di­gi­ta­li­sie­rungs­stu­die von RSM Eb­ner Stolz hat es zu­letzt noch ein­mal be­legt: Die Mehr­heit der mit­telständi­schen Un­ter­neh­men in Deutsch­land nutzt ERP-Sys­teme von SAP und wird dies mit der Ver­sion S/4HANA auch in den kom­men­den Jah­ren tun.

Hierfür bündeln RSM Eb­ner Stolz und der SAP-Se­cu­rity-Spe­zia­list IBS Schrei­ber ihre Kom­pe­ten­zen in der Prüfung von SAP-Sys­te­men.

Link zum Ar­ti­kel: SAP-Be­rech­ti­gungsprüfung: Eb­ner Stolz und IBS Schrei­ber ko­ope­rie­ren bei Wei­ter­ent­wick­lung von Prüfungs­soft­ware

RSM Eb­ner Stolz ar­bei­tet seit vie­len Jah­ren in die­sem The­men­feld mit der IBS Schrei­ber GmbH ver­trau­ens­voll zu­sam­men. Mit einem Ko­ope­ra­ti­ons­ver­trag he­ben beide Un­ter­neh­men ihre Zu­sam­men­ar­beit auf eine neue Ebene. Wa­rum eine ex­tra Soft­ware außer­halb von SAP für diese Be­rech­ti­gungs­kon­zepte er­for­der­lich ist und wie die Zu­sam­men­ar­beit zwi­schen RSM Eb­ner Stolz und IBS Schrei­ber er­folgt, er­fah­ren Sie hier.

Link zum Ar­ti­kel: Eb­ner Stolz ko­ope­riert mit führen­dem Soft­ware­an­bie­ter für SAP-Be­rech­ti­gungsprüfung

Stan­dar­di­sierte und maßge­schnei­derte Prüfpro­gramme

Für Ihre ver­wen­de­ten Ap­pli­ka­tio­nen und In­fra­struk­tu­ren bie­ten wir Ih­nen nicht nur un­sere stan­dar­di­sier­ten Prüfpro­gramme mit bran­chen- und Sys­temüberg­rei­fen­den Best Prac­tice Er­fah­run­gen an. Si­cher­heits­ein­stel­lun­gen, Pro­zess­ver­fah­ren und Be­rech­ti­gungs­kon­zepte im Sys­tem ge­hen wir mit Ih­nen ge­mein­sam und in­di­vi­du­ell an.

1. Würdigung grundlegende Systemeinstellungen

• Grund­le­gende Ord­nungsmäßig­keit und tech­ni­sche Ein­stel­lun­gen des Sys­tems
• Be­rech­ti­gungs­ma­nage­ment und (ge­set­zes-) kri­ti­sche Be­rech­ti­gun­gen
• Da­ten­bank­zu­griff, Schnitt­stel­len­steue­rung und Mo­ni­to­ring-Ein­stel­lun­gen im Sys­tem
• Im SAP-Um­feld u. a. auch Ein­stel­lun­gen zu FIORI Apps.

2. Geschäftsprozesse - Individuell und im Standard

• Iden­ti­fi­ka­tion der am Pro­zess be­tei­lig­ten Sys­teme
• Berück­sich­ti­gung von in­di­vi­du­el­len Pro­zess­de­signs in den sys­tem­sei­tig ab­ge­bil­de­ten Ge­schäfts­pro­zes­sen
• Kom­mu­ni­ka­tion/Schnitt­stel­len der Sys­teme
• (Mas­sen) Da­ten­ana­ly­sen

3. Berechtigungskonzepte und Berechtigungsmanagement

• Be­ur­tei­lung der Ord­nungsmäßig­keit der im­ple­men­tier­ten Be­rech­ti­gungs­struk­tur im Hin­blick auf die sys­tem­sei­tige Aus­ge­stal­tung so­wie die or­ga­ni­sa­to­ri­sche Um­set­zung des Rol­len­kon­zep­tes
• Be­ur­tei­lung der Wirk­sam­keit der im Be­rech­ti­gungs­kon­zept eta­blier­ten Kon­trol­len und Pro­zesse
• Best Prac­tice Er­fah­run­gen für Er­stel­lung und Um­set­zung des Be­rech­ti­gungs­ma­nage­ments