HowTo

Segregation of Duties (SoD) - Prüfung mit

der SAP Transaktion SUIM

31.12.2013 M. Sc. Oliver Gehring

Inhalt
1 EINLEITUNG ........................................................................................................................................................ 2

2 SEGREGATION OF DUTIES – PRÜFUNG ............................................................................................................... 3

2.1 EINSTIEG .............................................................................................................................................................. 3

2.2 VARIANTE FÜR KRITISCHE BERECHTIGUNGEN ANLEGEN................................................................................................... 4
2.3 VARIANTE FÜR KRITISCHE KOMBINATIONEN ANLEGEN .................................................................................................. 13
2.4 VARIANTE AUSFÜHREN .......................................................................................................................................... 16

1 Einleitung
Segregation of Duties, oder kurz SoD, bedeutet, dass bestimmte Aufgaben eines Geschäftspro-
zesses nicht durch ein und dieselbe Person durchgeführt werden sollen. Ähnlich dem Vier-Augen-
Prinzip dient die Funktionstrennung Fehler und Manipulationen zu verhindern, sowie Funktionen
und Verantwortungsbereiche sauber voneinander zu trennen.
Gerade im Rahmen einer Wirtschaftsprüfung wird immer ein SoD-Check durchgeführt, um zu ver-
hindern, dass zum Beispiel Zahlungswege manipuliert werden und so ein großer finanzieller Scha-
den sowohl für den Kunden, als auch den Lieferanten entsteht. Werden bei einer Prüfung dann
auch noch Lücken in der Umsetzung der Funktionstrennung aufgedeckt, sind dies Punkte die zu
einer erneuten Wirtschaftsprüfung führen und gegebenenfalls auch weitere Konsequenzen für das
Unternehmen nach sich ziehen können.
Neben den zahlreichen Drittanbietern, die Lizenz-Software für SoD Prüfungen im SAP Umfeld an-
bieten, bietet die SAP selbst eine Möglichkeit SoD Prüfungen im System durchzuführen.
Im folgenden Kapitel wird beschreiben, wie über die SAP Transaktion SUIM eine automatisierte
SoD Prüfung durchgeführt werden kann, um im Vorfeld einer Wirtschaftsprüfung Mängel feststellen
zu können.
2 Segregation of Duties – Prüfung
2.1 Einstieg
Starten Sie zunächst die Transaktion SUIM und navigieren Sie dann zu dem Punkt Benutzerinfor-
mationssystem  Benutzer  mit kritischen Berechtigungen (Abbildung 1).

Abbildung 1 Navigation zur SoD-Prüfung

Wenn Sie den Punkt mit kritischen Berechtigungen ausführen, gelangen Sie in den Report
RSUSR008_009_NEW. Dieser Report bildet den zentralen Einstieg in die SoD-Prüfung (Abbildung
2). Von dort aus können Sie zum einen die SoD-Prüfung durchführen und zum anderen ein Regel-
werk (im System Varianten genannt) anlegen/ändern gegen das die Systembenutzer geprüft wer-
den.
Abbildung 2 Einstiegsbildschirm des Reports RSUSR008_009_NEW

Die SAP liefert ein Standard Regelwerk für kritische Berechtigungen mit aus, welches sich
SAP_RSUSR009 nennt.

2.2 Variante für kritische Berechtigungen anlegen

Um ein neues „Regelwerk“ für den Umgang mit kritischen Berechtigungen anlegen zu können, kli-
cken Sie zuerst auf den Button Kritische Berechtigungen (Abbildung 3). Sie gelangen danach in
die Pflegeansicht für die Varianten zu kritischen Berechtigungen (Abbildung 4). Dort finden Sie in
der Liste auch die von der SAP mit ausgelieferte Variante. Wenn Sie eine neue Variante anlegen
benötigen Sie zusätzlich einen Customizing Transportauftrag, weil die Änderungen in Clustertabel-
len abgelegt werden, die sich in einem Paket im SAP Namensraum befinden. Aus diesem Grund
müssen die neuen Einträge auch im Kundennamensraum (z.B. Z-Namensraum) liegen. Gleiches
gilt auch für den Punkt Kritische Kombinationen (Kapitel 2.3).
Abbildung 3 Kritische Berechtigungen pflegen

Abbildung 4 Pflegeansicht für kritische Berechtigungen

Wie Sie sehen besteht die Dialogstruktur aus vier Ordnern, die zwei Hierarchien bilden.
Varianten zu kritischen Berechtigungen  krit. Berechtigungen
Krit. Berechtigungen  Berechtigungsdaten
Legen Sie im erste Schritt neue kritische Berechtigungen an, indem Sie die zweite Hierarchie Krit.
Berechtigungen per Doppelklick auswählen und den Button Neue Einträge drücken (Abbildung 5).
Wie Sie der Abbildung entnehmen können gibt es bereits ein paar kritische Berechtigungen, die
von der SAP mitgeliefert werden. Diese können Sie selbstverständlich auch verwenden.
Wenn Sie allerdings neue Einträge anlegen geben Sie folgende Daten an (Abbildung 6):
Namen der Kennung (ID Berechtigung). Hier die Kundennamensräume verwenden.
Beschreibung zur Kennung
Farbe in der Ereignisliste, die bei der Auswertung angezeigt wird, falls es zu einer Überein-
stimmung kommt. Die SAP bietet acht Abstufungen:
0. Neutral
1. Graublau
2. Hellgrau
3. Gelb
4. Blaugrün
5. Grün
6. Rot
7. Violett
Optional den Transaktionscode. Wenn Sie einen Transaktionscode angeben, dann werden
automatisch alle zur Ausführung der Transaktion erforderlichen Berechtigungsdaten, die in
der Transaktion SE93 gepflegt sind, als kritische Daten eingetragen, nachdem Sie das Dia-
logfenster bestätigt und gesichert haben (Abbildung 7). Sollten Sie einen Transaktionscode
bei einer bereits existierenden kritischen Berechtigung angeben, werden die Einträge durch
die des Transaktionscodes überschrieben.
Sichern Sie anschließend Ihre Eingaben.
Abbildung 5 krit. Berechtigung anlegen

Abbildung 6 neue krit. Berechtigung

Abbildung 7 krit. Berechtigung auf Basis eines Transaktionscodes

Im nächsten Schritt werden die Berechtigungsdaten zu der eben angelegten kritischen Berechti-
gung gepflegt. Markieren Sie dazu die kritische Berechtigung und wählen Sie in der Hierarchie auf
der linken Seite den Punkt Berechtigungsdaten aus (Abbildung 8). Sie gelangen dadurch in die An-
sicht, die Sie bereits in Abbildung 7 gesehen haben.

Abbildung 8 in die Ansicht Berechtigungsdaten wechseln

Auch hier werden über den Button Neue Einträge die Datensätze gepflegt. Füllen Sie dann alle
Mussfelder (mit * gekennzeichnet) aus und sichern Sie Ihre Eingaben. Diese sind, wie ebenfalls in
Abbildung 7 ersichtlich, die Felder Objekt und AND/OR.
Beim Ausfüllen der Felder ist auf folgendes zu achten (Abbildung 9):
Alle Einträge innerhalb einer Gruppe müssen denselben Operanden AND oder OR haben.
Die einzelnen Gruppen sind grundsätzlich mit AND verknüpft. Eine OR-Verknüpfung ist
nicht möglich.
 Sie können innerhalb derselben Gruppe kritische Daten für verschiedene Berechtigungsob-
jekte angeben.
Wenn Sie das Feld von frei lassen, sucht das Programm nach Berechtigungen mit Leerzei-
chen zum angegebenen Feld und Objekt. Wenn Sie im Feld von einen Stern (*) eingeben,
sucht der Report nach der Gesamtberechtigung zum angegebenen Feld (siehe Hinweis
216557 und 674212).
Obwohl das Feld Feldname nicht zu den Mussfeldern gehört, empfiehlt es sich auch hier zu
dem zu prüfenden Berechtigungsobjekt den konkreten Feldnamen anzugeben, damit bei
der späteren Überprüfung zuverlässige Ergebnisse erzielt werden können.

Abbildung 9 Beispiel für die Berechtigungsdatenpflege

Nun legen Sie eine neue Variante zu kritischen Berechtigungen an, indem Sie auf oberster Ebene
der Dialogstruktur den Button Neue Einträge auswählen (Abbildung 10). Tragen Sie nun einen
neuen Variantennamen ein, sowie eine Beschreibung und bestätigen/speichern Sie die Eingaben
(Abbildung 11).
Abbildung 10 Neue Variante anlegen

Abbildung 11 Namen für die Variante festlegen

Markieren Sie den Eintrag und Springen Sie per Doppelklick auf den Ordner krit. Berechtigungen
eine Ebene tiefer in der Hierarchie, um eine/mehrere kritische Berechtigungen anlegen zu können
(Abbildung 12).

Abbildung 12 in die Sicht krit. Berechtigungen wechseln

Der Ordner Krit. Berechtigungen besteht aus den Kennungen (IDs) kritischer Berechtigungen, die
Sie in den Schritten zuvor angelegt haben. Erstellen Sie nun neue Einträge über den zuvor schon
verwendeten Button Neue Einträge (Abbildung 13).
Setzen Sie den Cursor in das Feld ID Berechtigungen und verwenden Sie anschließend die F4-
Suchhilfe. Sie haben daraufhin die Möglichkeit aus einer Liste die kritischen Berechtigungen aus-
zuwählen, die Sie für Ihre Variante verwenden wollen (Abbildung 14). Speichern Sie anschließend
Ihre Eingaben.
Abbildung 13 Kritische Berechtigung(en) anlegen

Abbildung 14 kritische Berechtigungen hinzufügen

2.3 Variante für kritische Kombinationen anlegen
Mit dem Report RSUSR008_009_NEW können Sie auch die Kennungen kritischer Berechtigungen
beliebig kombinieren und mit diesen Kombinationen Varianten bilden. Wählen Sie hierfür den Me-
nüpunkt Kritische Kombinationen (Abbildung 15).

Abbildung 15 Kritische Kombinationen pflegen

Auch hier besteht die Dialogstruktur aus vier Ordnern, die zwei Hierarchien bilden (Abbildung 16).
Varianten zu krit. Komb. von Berechtigungen  Kombinationen
Kombinationen  Krit. Berechtigung
Abbildung 16 Pflegeansicht für kritische Kombinationen
Im Ordner Kombination geben Sie die Kennungen (IDs) kritischer Berechtigungen an, die Sie ge-
mäß der Vorgehensweise oben gepflegt haben und nun miteinander kombinieren wollen. Eine Va-
riante besteht aus einer Liste kritischer Kombinationen.

Wechseln Sie per Doppelklick in die zweite Hierarchie Kombination. Legen Sie dort ähnlich der kri-
tischen Berechtigungen eine/mehrere Kombinationen an. Hier geben Sie folgende Daten an und
speichern Ihre Eingaben (Abbildung 17).
Den Namen der Kombination
Die Farbe für die Ergebnisliste
Die Beschreibung der Kombination

Abbildung 17 kritische Kombination anlegen

Danach markieren Sie die Kombination, zu der Sie kritische Berechtigungen hinzufügen wollen
und gehen per Doppelklick auf den Ordner Krit. Berechtigungen eine Hierarchieeben tiefer in die
Dialogstruktur. Dort können Sie dann aus der Liste an kritischen Berechtigungen beliebig viele der
Kombination zuordnen (Abbildung 18). Die selektierten Kennungen sind grundsätzlich mit AND
verknüpft. Eine OR-Verknüpfung ist nicht möglich.

Abbildung 18 kritische Berechtigungen der Kombination zuordnen

Zum Schluss legen Sie über die erste Hierarchieebene Varianten zu krit. Komb. von Berechtigun-
gen eine neue Variante an (Abbildung 19). Markieren Sie die Variante und wechseln Sie in die
nächst tiefere Hierarchieebne Kombination. Nachdem Sie dort die Kombinationen der Variante zu-
gewiesen haben (Abbildung 20), können Sie die kritischen Kombinationen über den Report
RSUSR008_009_NEW ausführen.

Abbildung 19 Variante zu kritischen Kombinationen anlegen

Abbildung 20 kritische Kombinationen zuweisen

2.4 Variante ausführen

Um Ihre neu angelegte Variante ausführen zu können, wechseln Sie wieder in den Report, der in
dem Kapitel 2.1 Einstieg bereits beschrieben wurde.
Wählen Sie im Report RSUSR008_009_NEW den Punkt für kritische Berechtigungen aus und Ihre
Variante. Bei den Selektionskriterien ist es Ihnen überlassen, nach welchen Kriterien Sie die SoD-
Prüfung durchführen. In dem folgenden Beispiel (Abbildung 21 und 22) wurde nur nach dem Be-
nutzernamen die Prüfung durchlaufen. In der Ergebnisliste sehen Sie dann, welche Kriterien auf
den Benutzer zutreffen und wie diese farblich bewertet werden. Über die Buttons Rollen und Pro-
file, die Sie in der Menüleiste der Ergebnisliste finden, können Sie sich zudem die Rollen/Profile
anzeigen lassen, die den Benutzern zugewiesen sind (Abbildung 22).
Abbildung 21 Beispiel Variante mit kritischen Berechtigungen

Abbildung 22 Ergebnisliste des Reports

Für Kritische Kombinationen ist dieser Vorgang analog auszuführen.