deen

Geschäftsbereich IT-Revision

Anforderungen sind dazu da, um erfüllt zu werden. Unternehmensziele aber auch! Matthias Ruhe

Enterprise-Resource-Planning - ERP-Systeme, Prozesse und Berechtigungsmanagement

Machen Sie das digitale Herz ihres Unternehmens fit für die Zukunft

Die di­gi­tale Trans­for­ma­tion for­dert Un­ter­neh­men und hin­ter­fragt die Ge­schäfts­abläufe. Bei al­len tech­ni­schen Möglich­kei­ten dürfen aber so­wohl die wirt­schaft­li­che Mach­bar­keit als auch die Com­pli­ance-An­for­de­run­gen nicht ver­nachlässigt wer­den. Es be­steht sonst die Ge­fahr, dass po­ten­zi­elle Ri­si­ken im Pro­jekt, sich schnell als Kos­ten nie­der­schla­gen wer­den.

Drei Blinkwinkel - ein Ziel: Risikovermeidung

Vertrauen stärken

Für Sie als Her­stel­ler von (rech­nungs­le­gungs­re­le­van­ten) Soft­ware­pro­duk­ten und ge­genüber Ih­ren Kun­den ist es ein er­heb­li­cher Mehr­wert, wenn die ord­nungs­gemäße Ver­ar­bei­tung Ih­rer Soft­ware durch einen ex­ter­nen Drit­ten be­schei­nigt ist. Im Rah­men von Soft­ware­be­schei­ni­gun­gen (nach IDW PS 880) prüfen wir die sach­ge­rechte und ord­nungs­gemäße Ver­ar­bei­tung nach re­le­van­ten Nor­men­krei­sen (bspw. GOBD, IDW RS FAIT 1). Dies um­fasst klas­si­scher­weise han­dels- und steu­er­recht­li­che An­for­de­run­gen, können aber auch in­di­vi­du­elle An­for­de­run­gen oder auch An­for­de­run­gen an­de­rer Stan­dard­set­ter wie z. B. der ISO Nor­men sein.

Projektziele erreichen - Risiken minimieren

Bei der Im­ple­men­tie­rung oder Neu­aus­rich­tung kom­ple­xer ERP-Sys­teme ha­ben Un­ter­neh­men die Her­aus­for­de­rung gleich­zei­tig:

Auf­recht­er­hal­tung des Ge­schäfts­be­triebs | Trans­for­ma­tion in die neue Um­ge­bung | Pro­jekt­ri­si­ken kon­ti­nu­ier­lich er­ken­nen | Han­dels- und steu­er­recht­li­che, auf­sichts­recht­li­che und wei­tere An­for­de­run­gen um­zu­set­zen.

Wäre es nicht für Sie als Un­ter­neh­men hilf­reich durch einen un­abhängi­gen Drit­ten si­cher­zu­stel­len, dass Ihre ERP Einführung ord­nungs­gemäß verläuft und die Fülle von in­ter­nen und ex­ter­nen Com­pli­ance-An­for­de­run­gen sach­ge­recht berück­sich­tigt wer­den? Wir als Ge­schäfts­be­reich IT-Re­vi­sion un­terstützen Sie gerne bei die­ser Auf­gabe in Form der pro­jekt­be­glei­ten­den Prüfung oder auch einem Post-Im­ple­men­ta­tion-Re­view.

Kontinuierlich Compliance einhalten

Auch wenn ein ERP Sys­tem ord­nungs­gemäß im­ple­men­tiert wurde un­ter­liegt es im Zeit­ab­lauf ständi­ger Verände­rung. Be­ach­tet wer­den müssen ein­fa­che Ände­run­gen der Pa­ra­me­ter und auch Er­wei­te­run­gen neuer Funk­tio­na­litäten. All diese Ände­run­gen ha­ben Ein­fluss auf die Sys­tem-Com­pli­ance und die Funk­ti­onsfähig­keit der Pro­zesse. Wir ha­ben für Sie ein um­fas­sen­des In­stru­men­ta­rium zur Be­ur­tei­lung der Ord­nungsmäßig­keit der ERP Land­schaft so­wie zur Würdi­gung der Ef­fi­zi­enz und Ef­fek­ti­vität. Un­ser Vor­ge­hen er­streckt sich von Be­rech­ti­gungs­sys­temprüfun­gen bis hin zur Be­ur­tei­lung gan­zer ERP gestütz­ter Ge­schäfts­pro­zesse und Ab­bil­dung des In­ter­nen Kon­troll­sys­tems.

Wenn ERP, dann auch richtig

Wir als Prüfer und Be­ra­ter des Ge­schäfts­be­reichs IT-Re­vi­sion von RSM Eb­ner Stolz sind er­fah­rene Ex­per­ten auf den Ge­bie­ten der pro­jekt­be­glei­ten­den Qua­litäts­si­che­rung, der Prüfung von Ge­schäfts­pro­zes­sen und Soft­ware­pro­duk­ten. Wir bie­ten Ih­nen neu­trale, her­stel­ler­un­abhängige und prag­ma­ti­sche pro­fes­sio­nelle Prüfung und grei­fen Her­aus­for­de­run­gen ge­mein­sam mit Ih­nen auf und führen diese zu ei­ner Lösung.

Un­sere ge­sam­melte Er­fah­rung und Wis­sen bei ei­ner Viel­zahl von Sys­tem­einführun­gen, Post-Im­ple­men­ta­tion-Re­views und Soft­wareprüfun­gen, u. a. im Fi­nanz­sek­tor, bei Han­dels-, Pro­duk­ti­ons- und Tech­no­lo­gie­un­ter­neh­men so­wie im Kas­sen­be­reich stel­len wir Ih­nen gerne zur Verfügung.

Auf­grund des um­fas­sen­den Wis­sens im Be­reich Com­pli­ance können wir auf eine Viel­zahl von Com­pli­ance-Ex­per­ten zu ver­schie­de­nen Sys­te­men zurück­grei­fen. Hierzu zählen Prüfer für bspw. SAP ECC, SAP S/4HANA, SAP Busi­ness By­De­sign, Mi­cro­soft Dy­na­mics NAV u. a.

Ein Überblick über unsere Tätigkeitsbereiche

Die Prüfung von Soft­ware­pro­duk­ten, sog. Soft­ware­be­schei­ni­gung, gemäß IDW PS 880 hilft Ih­nen als Soft­ware­her­stel­ler und Ih­ren Kun­den die ord­nungsmäßige Ver­ar­bei­tung Ih­res Sys­tems nach­zu­wei­sen. Die Prüfung kann ge­gen all­ge­mein zugäng­li­che Kri­te­rien (z. B. re­gu­la­to­ri­sche An­for­de­run­gen wie han­dels- steu­er­recht­li­che An­for­de­run­gen) oder auf­ga­ben­spe­zi­fi­sche Nor­men und Stan­dards so­wie auch ge­gen ei­gene, selbst­de­fi­nierte Kri­te­rien er­fol­gen.

Ein in­di­vi­du­el­les Prüfungs­pa­ket für Ihre in­di­vi­du­elle Soft­ware

Un­sere Prüfung glie­dert sich in die fol­gende Prüfungs­pha­sen:

Nach­dem wir zunächst ein Verständ­nis über den Prüfungs­ge­gen­stand ge­won­nen ha­ben, stim­men wir den ge­nauen Um­fang ge­mein­sam mit Ih­nen ab, um den An­for­de­run­gen Ih­rer Ziel­grup­pen ge­recht zu wer­den. An­schließend er­folgt die Prüfung des Soft­ware­ent­wick­lungs­pro­zes­ses ge­folgt von Auf­bau- und Funk­ti­onsprüfung der zu bestäti­gen­den Funk­tio­nen. Im Er­geb­nis er­hal­ten Sie einen Prüfungs­be­richt, den Sie an Ihre Kun­den und In­ter­es­sen­ten wei­ter­ge­ben können.

 

1. Workshop/Verständnis

  • Ge­win­nung ei­nes Verständ­nis­ses über den Prüfungs­ge­gen­stand
  • Er­ste Dar­stel­lung des Soft­ware­ent­wick­lungs­ver­fah­rens inkl. Test­ver­fah­ren
  • Be­reit­stel­lung der not­wen­di­gen Prüfum­ge­bung für die Soft­ware

2. Softwareentwicklungsverfahren

  • Kon­troll­um­feld und Soft­ware­ent­wick­lungs­um­ge­bung
  • Stan­dards und Nor­men für die Soft­ware­ent­wick­lung und -war­tung
  • Qua­litäts­si­che­rung in der Soft­ware­ent­wick­lung
  • Ver­si­onsführung
  • Kon­zept und Aus­ge­stal­tung von Test- und Ab­nah­me­ver­fah­ren

3. Angemessenheit der Verarbeitungsfunktionen (inkl. Funktionsprüfungen)

  • Vollständig­keit und Ak­tua­lität der Ver­fah­rens­do­ku­men­ta­tion mit An­wen­der-, Sys­tem- und Be­triebs­do­ku­men­ta­tion
  • Um­set­zung der wei­te­ren all­ge­mei­nen Ord­nungsmäßig­keits­grundsätze (u. a. Zeit­ge­rech­tig­keit, Ord­nung, Un­veränder­bar­keit)
  • Auf­be­wah­rung (Ar­chi­vie­rung, GoBD)
  • IT-Si­cher­heits­an­for­de­run­gen
  • Ab­stimm­hand­lun­gen und Pro­to­kol­lie­run­gen
  • Stan­dard­schnitt­stel­len

 

 

Ge­rade in der heu­ti­gen Zeit wer­den Com­pli­ance- und Si­cher­heits­an­for­de­run­gen im­mer wich­ti­ger; das An­for­de­rungs­spek­trum ist in einem per­ma­nen­ten Wan­del. Da­bei den Über­blick zu be­wah­ren, stellt meist eine Her­aus­for­de­rung dar. Dies gilt ins­be­son­dere in Einführungs­pro­jek­ten neuer ERP-Sys­teme, die das Herzstück Ih­res Un­ter­neh­mens mo­der­ni­sie­ren und für Ihr Un­ter­neh­men Zu­kunfts­si­cher­heit er­rei­chen sol­len.

Mit un­se­rer pro­jekt­be­glei­ten­den Prüfung stel­len wir nicht nur si­cher, dass diese An­for­de­run­gen be­reits zu Be­ginn „by de­sign“ an­ge­mes­sen berück­sich­tigt wer­den, son­dern sind auch Ihr un­abhängi­ger Spar­rings­part­ner. Zu­dem in­for­mie­ren wir Sie über Ri­si­ken und un­terstützen Sie diese er­folg­reich zu mi­ni­mie­ren.

Mögli­che Pro­jekt­ri­si­ken im Rah­men ei­ner Sys­tem­einführung

 

Be­darfs­ori­en­tierte Um­set­zung der sechs Prüfungs­ge­biete

Wir bie­ten Ih­nen einen auf Ih­ren je­wei­li­gen Be­darf in­di­vi­du­ell zu­ge­schnit­te­nen An­satz zur Pro­jekt­be­glei­tung mit fol­gen­den grund­le­gen­den Un­ter­schei­dungs­merk­ma­len:

 

1. Projektbegleitende Prüfung gemäß IDW PS 850

  • Um­fas­sen­der An­satz, um inhären­ten Pro­jekt­ri­si­ken be­reits bei Pro­jekt­durchführung zu be­geg­nen und Com­pli­ance-An­for­de­run­gen zu erfüllen
  • Prüfung ei­nes wirk­sa­men pro­jekt­be­zo­ge­nen In­ter­nen Kon­troll­sys­tems
  • Be­ur­tei­lung von Ri­si­ken im Rah­men der Ord­nungsmäßig­keit und Si­cher­heit der um­zu­set­zen­den Ge­samtlösung
  • Be­ur­tei­lung des Test- und Frei­ga­be­ver­fah­rens so­wie Un­terstützung in der De­fi­ni­tion von Test­sze­na­rien und Vor­ga­ben an die Test- und Mi­gra­ti­ons­do­ku­men­ta­tion
  • Mi­gra­ti­onsprüfung an­hand der er­stell­ten Mi­gra­ti­ons­do­ku­men­ta­tion und Mas­sen­da­ten­ana­ly­sen zur Si­cher­stel­lung, dass alle re­le­van­ten Da­ten vollständig und rich­tig in das neue Sys­tem über­tra­gen wur­den
  • Bestäti­gung der Ord­nungsmäßig­keit der ein­geführ­ten Pro­zesse und der be­tei­lig­ten An­wen­dungs­sys­teme im Rah­men ei­ner Be­schei­ni­gung nach IDW PS 850

2. Post-Implementation-Review und Quality Stage Gates nach IDW PS 860

  • Rück­wir­kende Be­trach­tung, ob die Sys­tem­um­stel­lung sach­ge­recht vor­ge­nom­men wurde
  • Prüfung der Er­rei­chung von Pro­jekt­zie­len an­hand Ih­rer Um­stel­lungs­do­ku­men­ta­tion
  • Kon­for­mität aus­gewähl­ter Pro­zesse zum Soll-Pro­zess, d. h. wird der Soll-Pro­zess ge­lebt?
  • Er­mitt­lung der Ri­si­ken für die Ord­nungsmäßig­keit und Si­cher­heit von Pro­zes­sen
  • Überprüfung der Er­rei­chung der Pro­jekt­ziele

3. Post-Implementation-Review/Migrationsprüfung nach IDW PS 860

  • Fest­stel­lung, ob ein Mi­gra­ti­ons­kon­zept vor­liegt und ob in die­sem die Da­ten­struk­tu­ren und -for­mate des al­ten und des neuen Sys­tems rich­tig und vollständig er­ho­ben wur­den, um die Ri­si­ken der un­vollständi­gen oder fal­schen Über­nahme von Da­ten­beständen an­ge­mes­sen zu berück­sich­ti­gen.
  • Si­cher­stel­lung, dass alle re­le­van­ten Da­ten vollständig und rich­tig über­tra­gen wur­den

Un­ter­neh­men un­ter­lie­gen durch ihre Tätig­keit am Markt, durch re­gu­la­to­ri­sche An­for­de­run­gen oder an­de­ren bran­chen­spe­zi­fi­schen Ge­ge­ben­hei­ten ständi­gen Verände­run­gen. Diese wir­ken sich auf die Or­ga­ni­sa­tion, die Rech­nungs­le­gung so­wie das In­terne Kon­troll­sys­tem aus und be­ein­flus­sen häufig die im Un­ter­neh­men ein­ge­setzte In­for­ma­ti­ons­tech­no­lo­gie.

In der Prüfung von Ge­schäfts­pro­zes­sen und Sys­tem­ein­stel­lun­gen er­mit­teln wir, wie Pro­zesse tatsäch­lich ope­ra­tiv um­ge­setzt sind und be­wer­ten die Wirk­sam­keit der im­ple­men­tier­ten Kon­trol­len so­wie die Pro­zes­sef­fi­zi­enz und -ef­fek­ti­vität. In der Pro­zessprüfung kom­men - pro­jek­tabhängig - ver­schie­dene Tools für die Da­ten­ana­lyse zum Ein­satz.

Ergänzend zum be­trieb­li­chen Pro­zess­ab­lauf prüfen wir die Pa­ra­me­tri­sie­rung des Pro­zes­ses in Be­zug auf das In­terne Kon­troll­sys­tem so­wie die ver­ge­be­nen Be­nut­zer­be­rech­ti­gun­gen gemäß des Need-to-Know-Prin­zips und least pri­vi­le­ged ac­cess. Auch hier bie­ten wir pro­jekt­ge­recht einen va­ria­blen An­satz von ma­nu­el­len Aus­wer­tun­gen bis hin zu spe­zia­li­sier­ten Tools an.

Eine um­fang­rei­che Prüfung von SAP-Be­rech­ti­gun­gen, so­wohl auf Trans­ak­ti­ons- als auch Ob­jek­tebene ist ohne den Ein­satz ei­ner Prüfsoft­ware nicht ef­fek­tiv möglich. Des­halb ver­wen­den wir für die Überprüfung der Be­rech­ti­gun­gen die Prüfungs­soft­ware „CheckAud“ der Firma IBS Schrei­ber GmbH, Ham­burg. „CheckAud“ ist die marktführende Soft­ware in die­sem Ein­satz­ge­biet und von der SAP SE zer­ti­fi­ziert.

Die jüngste Di­gi­ta­li­sie­rungs­stu­die von RSM Eb­ner Stolz hat es zu­letzt noch ein­mal be­legt: Die Mehr­heit der mit­telständi­schen Un­ter­neh­men in Deutsch­land nutzt ERP-Sys­teme von SAP und wird dies mit der Ver­sion S/4HANA auch in den kom­men­den Jah­ren tun.

Hierfür bündeln RSM Eb­ner Stolz und der SAP-Se­cu­rity-Spe­zia­list IBS Schrei­ber ihre Kom­pe­ten­zen in der Prüfung von SAP-Sys­te­men.

Link zum Ar­ti­kel: SAP-Be­rech­ti­gungsprüfung: Eb­ner Stolz und IBS Schrei­ber ko­ope­rie­ren bei Wei­ter­ent­wick­lung von Prüfungs­soft­ware

RSM Eb­ner Stolz ar­bei­tet seit vie­len Jah­ren in die­sem The­men­feld mit der IBS Schrei­ber GmbH ver­trau­ens­voll zu­sam­men. Mit einem Ko­ope­ra­ti­ons­ver­trag he­ben beide Un­ter­neh­men ihre Zu­sam­men­ar­beit auf eine neue Ebene. Wa­rum eine ex­tra Soft­ware außer­halb von SAP für diese Be­rech­ti­gungs­kon­zepte er­for­der­lich ist und wie die Zu­sam­men­ar­beit zwi­schen RSM Eb­ner Stolz und IBS Schrei­ber er­folgt, er­fah­ren Sie hier.

Link zum Ar­ti­kel: Eb­ner Stolz ko­ope­riert mit führen­dem Soft­ware­an­bie­ter für SAP-Be­rech­ti­gungsprüfung

 

Stan­dar­di­sierte und maßge­schnei­derte Prüfpro­gramme

Für Ihre ver­wen­de­ten Ap­pli­ka­tio­nen und In­fra­struk­tu­ren bie­ten wir Ih­nen nicht nur un­sere stan­dar­di­sier­ten Prüfpro­gramme mit bran­chen- und Sys­temüberg­rei­fen­den Best Prac­tice Er­fah­run­gen an. Si­cher­heits­ein­stel­lun­gen, Pro­zess­ver­fah­ren und Be­rech­ti­gungs­kon­zepte im Sys­tem ge­hen wir mit Ih­nen ge­mein­sam und in­di­vi­du­ell an.

 

1. Würdigung grundlegende Systemeinstellungen

  • Grund­le­gende Ord­nungsmäßig­keit und tech­ni­sche Ein­stel­lun­gen des Sys­tems
  • Be­rech­ti­gungs­ma­nage­ment und (ge­set­zes-) kri­ti­sche Be­rech­ti­gun­gen
  • Da­ten­bank­zu­griff, Schnitt­stel­len­steue­rung und Mo­ni­to­ring-Ein­stel­lun­gen im Sys­tem
  • Im SAP-Um­feld u. a. auch Ein­stel­lun­gen zu FIORI Apps.

2. Geschäftsprozesse - Individuell und im Standard

  • Iden­ti­fi­ka­tion der am Pro­zess be­tei­lig­ten Sys­teme
  • Berück­sich­ti­gung von in­di­vi­du­el­len Pro­zess­de­signs in den sys­tem­sei­tig ab­ge­bil­de­ten Ge­schäfts­pro­zes­sen
  • Kom­mu­ni­ka­tion/Schnitt­stel­len der Sys­teme
  • (Mas­sen) Da­ten­ana­ly­sen

3. Berechtigungskonzepte und Berechtigungsmanagement

  • Be­ur­tei­lung der Ord­nungsmäßig­keit der im­ple­men­tier­ten Be­rech­ti­gungs­struk­tur im Hin­blick auf die sys­tem­sei­tige Aus­ge­stal­tung so­wie die or­ga­ni­sa­to­ri­sche Um­set­zung des Rol­len­kon­zep­tes
  • Be­ur­tei­lung der Wirk­sam­keit der im Be­rech­ti­gungs­kon­zept eta­blier­ten Kon­trol­len und Pro­zesse
  • Best Prac­tice Er­fah­run­gen für Er­stel­lung und Um­set­zung des Be­rech­ti­gungs­ma­nage­ments

 

Haben wir Ihr Interesse geweckt?

Un­sere Ex­per­tin­nen und Ex­per­ten be­ant­wor­ten Ihre Fra­gen gerne.
Matthias Ruhe
Se­nior Ma­na­gerCer­ti­fied In­for­ma­tion Sys­tems Au­di­tor, ISO 27001 LA, Cer­ti­fied Au­di­tor® for SAP® Ap­pli­ca­ti­ons
Holger Klindtworth, Certified Information Systems Auditor, Certified Internal Auditor, Certified Information Security Manager, Ebner Stolz, Ludwig-Erhard-Straße 1, 20459 Hamburg
Holger Klindtworth
Part­ner

* Pflichtfelder

Sie wünschen einen Rückruf?

Bitte geben Sie einen Wunschtermin an, an dem wir Sie am besten erreichen können.