prüfleitfaden sap erp 6.0

Click here to load reader

Post on 09-Dec-2016

490 views

Category:

Documents

30 download

Embed Size (px)

TRANSCRIPT

  • Deutschsprachige SAP AnwendergruppePrfleitfaden SAP ERP 6.0

    DSAG ARbEitSGRuPPE AuDit RoADmAPStAnD mRz 2009

  • S.2113Prfleitfaden SaP erP 6.0,teil 1, Stand 1.0 mrz 2009

    S.114183Prfleitfaden SaP erP 6.0,teil 2, BetrieBSwirtSchaftlicher teil , Stand 1.0

    dSaG e. V.deutschsprachige SaP-anwendergruppe

    DSAG Arbeitsgruppe Audit RoadmapSe

    ite 2

  • Einleitungder vorliegende Prfleitfaden der arbeitsgruppe (aG) audit roadmap bezieht sich auf den release-Stand SaP erP 6.0. die aG ist teil der deutschsprachigen SaP-anwendergruppe e. V. (dSaG) mit Sitz in walldorf.

    zielsetzung ist, revisoren anhaltspunkte fr die Prfungen von SaP-anwendungen zu geben. in diesem leitfaden werden Prfaspekte fr den Basisbereich im teil 1 und auf der applikationsebene fr die module fi, mm, cO und Sd im teil 2 aufgezeigt.

    die Prflisten in diesem leitfaden sind als hinweise fr einen mit SaP vertrauten Prfer gedacht. Sie sind keine verbindliche richtlinie oder norm. Jegliche Verantwortung fr art, Umfang und ergebnis externer und interner Prfungen verbleibt beim Prfer selbst. in seiner Verantwortung liegt auch die zuordnung der ausgewhlten Prfungsschwerpunkte zu einschlgigen iSO normen, z. B. fr it-Sicherheit iSO / iec 27001, zu rahmenwerken fr die Prfung, z. B. cOSO, cOBit oder zu berufsstndischen Prfungsstandards.

    Voraussetzung ist die erfahrung mit dem SaP-System, insbesondere mit SaP erP 6.0 sowie Kenntnisse der gesetzlichen Vorschriften fr die rechnungslegung. zur detaillierten auseinandersetzung mit der neuen SaP-architektur verweist das autorenteam auf die SaP-Online-dokumentation, auf entsprechende literatur und Schulungskurse.

    die Kapitel des Prfleitfadens sind alle einheitlich aufgebaut: zunchst werden fr das unter der Kapitelber- schrift genannte Prfungsfeld summarisch risiken und Kontrollziele aufgefhrt, anschlieend folgen in den gekennzeichneten Prfprogrammen detaillierte Prfungshandlungen zu den genannten risiken und Kontrollzielen. die Kapitel sind thematisch in sich abgeschlossen, um redundanzen weitestgehend zu vermeiden.

    die ausgewhlten Prfprogramme vermitteln handlungen, die dem Prfer die wahrnehmung der kritischen kundenspezifischen ausprgungen, der technischen SaP-Konzepte und -funktionen erleichtern sollen. die notwendigen kundenspezifischen organisatorischen Prozesse mssen jeweils individuell dem Prfungs-umfang angepasst werden.

    der Prfleitfaden wird in Versionen fortgeschrieben.

    hinweise zum teil 1 (Basisbereich):> eine Prfungshandlung auf fehlerhafte Konfiguration der SaP Software ist in der linken Spalte mit einem h gekennzeichnet, wenn diese ein hohes risiko bedeutet. dies ist als ein hinweis fr den Prfer gedacht. der Prfleitfaden bietet allerdings keine systematische risikobewertung.> Bei Prfungshandlungen, die durch das SaP audit informationssystem (aiS) untersttzt werden, ist der betreffende aiS menpfad angegeben.> Prfungshandlungen, die der SaP Security Optimization Self-Service untersttzt (http://service.sap.com/ SOS), sind mit SOS gekennzeichnet. text und nummer der automatisierten Prfung sind angegeben.

    Seite

    3Pr

    fl

    eitf

    ad

    en S

    aP

    erP

    6.0,

    tei

    l 1,

    Sta

    nd

    m

    rz

    2009

    , d

    SaG

    e. V

    .

  • Einleitungdie autoren des ersten teils sind mitglieder der aG audit roadmap des dSaG arbeitskreises revision und risikomanagement, der zweite teil ist analog des Schulungskurses fin 900 aufgesetzt worden. die Verantwortung fr den inhalt tragen die autoren.

    cOPyriGht 2009 dSaG e.V.

    die aUtOren:herr thorsten Bretzler Bhi informatikherr nder Gngr SaP aGherr Oliver herbert Bhi informatikherr martin le maire heidelberger druckmaschinen aGherr carsten Schultz Pricewaterhousecoopers aGfrau Beate Spickenheier ernst Klett aG

    hinweiS:die vorliegende Publikation ist urheberrechtlich geschtzt (copyright). alle rechte liegen, soweit nicht ausdrcklich anders gekennzeichnet, bei:

    deUtSchSPrachiGe SaP anwenderGrUPPe e.V.altrottstrae 34 a69190 walldorfdeutschland

    Jedwede unerlaubte Verwendung ist nicht gestattet. dies gilt insbesondere fr die Vervielfltigung, Verbreitung, bersetzung oder die Verwendung in elektronischen Systemen / digitalen medien.

    die autoren des Prfleitfadens sind fr Kritik, nderungs- und ergnzungswnsche dankbar. zuschriften an die autoren knnen formlos an die folgende e-mail-adresse:

    [email protected]

    gerichtet werden, die Betreffzeile muss dabei mit dem wort Prfleitfaden beginnen. auch das formular auf der folgenden Seite kann verwendet werden.

    Seite

    4

  • an diearbeitsgruppe SaP audit roadmap z. hd. herrn Oliver herbertc/o. Bhi informatik Bretzler und herbert Partnerschaftmainzer landstrae 2731d-60329 frankfurt am main

    fax: +49 (0) 069 27 40 15-111

    aBSendername

    funktion

    abteilung

    firma

    anschrift

    telefon telefax

    erGnzende infOrmatiOn(en) zUm Prfleitfaden SaP erP 06ich beziehe mich auf den Prfleitfaden erP 6.0 Version:.V0 ................. Seite: ................. textnummer: .................

    meine infOrmatiOn laUtet:

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    ............................................................................................................................................................................................

    zUr weiteren erlUterUnG Sind anlaGen BeiGefGt (Bitte anKreUzen):( ) Ja( ) nein

    Bitte pro information ein formblatt verwenden!

    Seite

    5Pr

    fl

    eitf

    ad

    en S

    aP

    erP

    6.0,

    tei

    l 1,

    Sta

    nd

    m

    rz

    2009

    , d

    SaG

    e. V

    .

  • Gliederung1 SaP erP 6.0 8

    2 PrferrOlle, BeStandSaUfnahme der SaP-SyStemlandSchaft Und der richtlinien deS UnternehmenS 9 2.1 Grundlagen zur erstellung einer Prferrolle 9 2.2 Bestandsaufnahme der SaP-Systemlandschaft 9 2.3 Bestandsaufnahme der richtlinien des Unternehmens 10

    3 identifiKatiOn Und aUthentiSierUnG (aBaP StacK) 12 3.1 anmeldekontrollen 12 3.2 risiken 12 3.3 Kontrollziele 12 3.4 Prfprogramm: Systemparameter fr die anmeldekontrolle 13 3.5 tabelle: Vorschlagswerte fr die Systemparameter der anmeldekontrolle 16 3.6 Prfprogramm: Gltigkeitszeitraum von Benutzerkennungen 18 3.7 Prfprogramm: Sichere Konfiguration besonderer Benutzertypen 20 3.8 Prfprogramm: berwachung der wirksamkeit des zugriffsschutzes 24

    4 aUtOriSierUnG (aBaP-StacK) 26 4.1 Berechtigungsvergabe 26 4.2 risiken 26 4.3 Kontrollziele 27 4.4 Prfprogramm: dokumentiertes Berechtigungs- und Benutzerkonzept 27 4.5 Prfprogramm: notfallbenutzerkonzept (aBaP Stack) 29 4.6 Prfprogramm: nutzung kritischer SaP Standardprofile / -rollen 30 4.7 Prfprogramm: ersetzen kritischer Vorschlagswerte im Profilgenerator 32 4.8 Prfprogramm: Ordnungsmige Berechtigungs- und Benutzerorganisation 36 4.9 tabellen: Beispielszenarien der Organisation einer Benutzer- und Berechtigungsverwaltung 38 4.9.1 Szenario 1: 4-augen Prinzip 38 4.9.2 Szenario 2: 6-augen Prinzip 40 4.9.3 Szenario 3: 6-augen Prinzip 43 4.10 Prfprogramm: Berechtigungen fr die Benutzer- und Berechtigungsverwaltung 46 4.11 Prfprogramm: Sicherheitsmechanismen zur aktivierung der Prfung von Berechtigungen 49

    5 SySteminteGritt aUf der anwendUnGSeBene 50 5.1 Gewhrleisten der integritt von System und daten 50 5.2 risiken 50 5.3 Kontrollziele 50 5.4 Prfprogramm: Systemeinstellungen zum Schutz des Produktivsystems gegen nderungen 51 5.5 Prfprogramm: Systemeinstellungen zum Schutz der mandanten 53 5.6 Prfprogramm: nachvollziehbarkeit von nderungen an tabellen im Produktivsystem 55 5.7 Prfprogramm: Ordnungsmige Verbuchung 58 5.8 Prfprogramm: Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen 59 5.9 Prfprogramm: Schutz der rfc-aufrufe 64 5.10 Prfprogramm: Schutz der Batch-input-Prozesse 68 5.11 Prfprogramm: Schutz sicherheitskritischer anwendungsberechtigungen 70 5.12 Prfprogramm: Schutz der Job-ablufe 72 5.13 Prfprogramm: Schutz der druckauftrge 74

    Seite

    6

  • 6 SOftware-chanGe-manaGement 78 6.1 Kontrolliertes Software-nderungs- und einsatzverfahren 78 6.2 risiken 78 6.3 Kontrollziele 78 6.4 Prfprogramm: Ordnungsmige und sichere implementierung des transpo