Der Weg zu einer SAP-Prüfung

Kennen Sie alle SAP-Probleme? Sind Sie mit der Systemsicherheit vertraut? Die Prüfung des SAP-Systems ist komplex. Was das für Ihren Revisionsalltag bedeutet und auf welche Stolperfallen Sie achten sollten, beschreibt Hans-Willi Jackmuth in diesem Gastbeitrag.

SAP ERP gilt als komplex, auch wenn auf der nächsten Produktgeneration nicht nur HANA, sondern auch das „S“ wie „simplify“ steht. Dies wird unter anderem mittels neuer Tabellen-Strukturen und der In-Memory-Technologie erreicht.

Eine Frage aber bleibt: Die IT sollte eigentlich nur als Werkzeug verstanden werden, aber in der aktuellen Diskussion hört man Begriffe, die einem das zeitliche Dilemma für eine tiefe Auseinandersetzung mit neuen Themen vor Augen führen: Ein wenig agil soll es schon sein, wenn man die Big Data nach Cybercrime analysiert, um die Digitalisierung 4.0 voranzutreiben. Aber SAP ERP soll ja sowieso abgeschaltet werden – aber erst in x Jahren, und bis dahin?

Kein Revisionsleiter will sich eigentlich mit der Sicherheit des Systems und der Prozesse im Werkzeug beschäftigen. Einerseits sind diese Themen viel zu technisch, andererseits sind andere operative Prozesse vermeintlich wichtiger.

Also benötigen Sie Fachexpertise, um sich Auditstrukturen effektiv und effizient nutzbar zu machen. Führen Sie einmal kritisch eine Bestandsaufnahme durch – kennen Sie alle SAP-Probleme, haben Sie in diverse Security-Ecken schon einmal mit der Taschenlampe geleuchtet, sind die Daten für Sie auch im operativen Audit-Geschäft auswertbar? Analysieren Sie die Situation – eine Auseinandersetzung mit Themen, die nicht immer nur Berechtigungskonzept und Need-to-know heißen, führt Sie zu spannenden operativen Sachverhalten: Doppelzahlungen bis Skonto, Wirtschaftlichkeit bis Offene-Posten-Steuerung, automatisierte Kontrollen auf der Maschine – es gibt eine ganze Reihe von Maßnahmenkatalogen, die man umsetzen kann und die Ihrem Unternehmen einen direkten Mehrwert bringen. Und ein wenig GoBD-konform und sicher im Sinne der Bilanzierung sollte es dann auch schon sein.

Mehrwerte schaffen durch Prozessoptimierung – der Gedanke sollte keinem Revisor fremd sein. Aber durch Analyse von einzelnen Feldinhalten? Von selbst kreierten Reports? Von Audit-Datenbanken in SAP?

Lassen Sie das einmal neutral auf sich wirken: Ohne strategisches SAP-Wissen auf der Führungsebene und hohe Fachkompetenz in den Prüfungen werden Sie und Ihre Kollegen an der Aufgabe scheitern.

Und auch Ihr „Prozessoptimierer“ – sei es Organisation oder Unternehmenssteuerung – wird es vermutlich nicht schaffen, Ihre SAP-Aufstellung neutral zu bewerten.

Wieviel spezifisches Wissen braucht Ihr „Productowner“, um es einmal agil auszudrücken? Aus meiner Sicht zumindest alle die „technischen BUZZ-Words“, die die DSAG¹ vor einem Jahrzehnt in einen Prüfleitfaden gepresst hat – Identifikation und Authentisierung, Autorisierung, Systemintegrität, Changemanagement, IT-Security.

Und um in der Revisionssprache zu bleiben, eine ganzheitliche, prozessuale Sicht: Purchase-To-Pay, Order-To-Cash, Lagerfertigung, Kalkulation als Basis, Lagerbewertungen und Weiteres mehr.

Aus meiner Sicht ist tiefes Know-how gefragt, um all die offenen Themen agil und mit einer seriösen Bewertung und Prüfungsleistung abarbeiten zu können. Und eine moderne Revision sollte Data Analytics 4.0 nicht unbedingt mit Excel 4.0 (1992) verwechseln – in Kombination mit SAP und technologischem Wissen lassen sich auch die agilen Stürme im Unternehmen revisorisch beherrschen.

®SAP ist ein eingetragenes Markenzeichen der SAP Deutschland SE & Co. KG.

[1]DSAG: Prüfleitfaden SAP ERP 6.0, Stand März 2009; https://www.dsag.de/fileadmin/media/E-Leitfaeden/Pruefleitfaden_ERP_6.0/index.html (Abruf 02.2019)