SOX: Beherrschung der allgemeinen IT-Kontrollen (ITGCs) in SAP zur Vorbereitung auf die Prüfung

Die Beherrschung der SAP-IT-Grundkontrollen (ITGCs) gewährleistet, dass die Finanzdaten des Unternehmens korrekt, sicher und im Einklang mit dem Sarbanes-Oxley Act (SOX) bleiben. Wirtschaftsprüfer unterziehen SAP-Umgebungen einer strengen Prüfung, da diese Systeme die zentralen Umsatz- und Betriebsdaten des Unternehmens verarbeiten. Unternehmen müssen im Rahmen ihrer übergeordneten SAP-GRC-Strategien (Governance, Risk und Compliance) strenge ITGCs einführen, um wesentliche Schwachstellen zu vermeiden und das Vertrauen der Anleger zu wahren.

Die Kernkomponenten der SAP-ITGCs

Die allgemeinen SAP-IT-Kontrollen umfassen logischen Zugriff, Änderungsmanagement und den IT-Betrieb zur Sicherung der Finanzberichtssysteme. Sicherheitsadministratoren müssen diese grundlegenden Kontrollen implementieren, um unbefugte Datenmanipulationen zu verhindern und die Integrität der SAP-Landschaft während SOX-Prüfungen zu gewährleisten.

Um die SOX-Konformität in SAP zu erreichen, ist ein tiefgreifendes Verständnis dafür erforderlich, wie sich technische Konfigurationen unmittelbar auf das Risiko der Finanzberichterstattung auswirken. Wirtschaftsprüfer bewerten drei Hauptkategorien der IT-Governance, um festzustellen, ob ein Unternehmen seine Finanzdaten angemessen schützt.

Logischer Zugriff und Aufgabentrennung

Logische Zugriffskontrollen beschränken den Systemzugang auf autorisiertes Personal. Unternehmen müssen das Prinzip der geringsten Berechtigungen durchsetzen, um sicherzustellen, dass Benutzer nur auf die spezifischen Transaktionscodes zugreifen, die für ihre jeweiligen Rollen erforderlich sind. Darüber hinaus müssen Sicherheitsteams eine strikte Aufgabentrennung (Segregation of Duties, SoD) durchsetzen, um internen Betrug zu verhindern. So muss das System beispielsweise verhindern, dass ein und derselbe Benutzer einen Lieferanten anlegt und gleichzeitig eine Zahlung an diesen Lieferanten genehmigt. Die Implementierung eines umfassenden SAP-Zugriffsrisikomanagements verhindert, dass unbefugte Benutzer sensible Finanzdaten kompromittieren.

Veränderungsmanagement und Transportsicherheit

Change-Management-Kontrollen regeln, wie Entwickler neuen Code und neue Konfigurationen in die SAP-Produktionsumgebung einbringen. SOX schreibt vor, dass alle Systemänderungen strengen Test- und Genehmigungsverfahren unterzogen werden müssen. Sicherheitsadministratoren müssen das SAP-Transportmanagementsystem absichern, um zu verhindern, dass Entwickler Genehmigungsschritte umgehen oder bösartigen ABAP-Code in live geschaltete Finanzsysteme einschleusen.

IT-Betrieb und Sicherheitsüberwachung

IT-Betriebskontrollen gewährleisten die kontinuierliche Verfügbarkeit und Sicherheit der SAP-Anwendungsschicht. Zu dieser Kategorie gehören das Backup-Management, die Planung von Batch-Jobs und die kontinuierliche Sicherheitsüberwachung. Sicherheitsteams müssen das SAP Security Audit Log (SAL) so konfigurieren, dass kritische Ereignisse wie unbefugte Zugriffsversuche oder Änderungen an zugrunde liegenden Systemparametern erfasst werden, um so einen unverfälschbaren Nachweis für externe Prüfer zu schaffen.

Der Übergang zur kontinuierlichen Prüfungsbereitschaft

Durch die Automatisierung von SAP-ITGC-Tests entfällt die manuelle Erfassung von Nachweisen, und Sicherheitsteams erhalten einen kontinuierlichen Überblick über Compliance-Lücken. Automatisierte Plattformen überprüfen Systemkonfigurationen sofort anhand der SOX-Richtlinien und verwandeln so die reaktive Vorbereitung auf Audits in ein proaktives Risikomanagement.

Bei herkömmlichen SOX-Prüfungen sind SAP-Basis-Teams gezwungen, manuell Screenshots von Benutzerberechtigungen und Systemparametern zu erstellen. Diese manuelle Erfassung von Nachweisen verschlingt Tausende von Arbeitsstunden und liefert lediglich eine Momentaufnahme der Compliance. Durch die Automatisierung von SAP-Compliance-Prüfungen überwachen Unternehmen ihre ITGCs kontinuierlich, anstatt sich auf veraltete Stichproben in Tabellenkalkulationen zu verlassen. Sicherheitsteams in Unternehmen, die speziell entwickelte Plattformen einsetzen, erreichen automatisierte SAP-Compliance, indem sie Echtzeit-Dashboards generieren und Administratoren auf control hinweisen, bevor externe Prüfer mit ihren Bewertungen beginnen.

Umsetzung der SOX-IT-Kontrollrichtlinien mit Onapsis Comply

Die Platform die Einhaltung der SOX-Vorschriften, indem sie manuelle ITGC-Bewertungen durch kontinuierliche, automatisierte technische Überprüfungen ersetzt. Sicherheitsteams nutzen Onapsis Assess und Comply , um SAP-Systemkonfigurationen kontinuierlich zu bewerten, technische Ergebnisse direkt den SOX-Vorgaben zuzuordnen und prüferkonforme Nachweise zu erstellen.

Durch die Integration automatisierter Plattformen in die SAP-Umgebung werden die Transparenzlücken beseitigt, die bei manuellen Prüfzyklen unvermeidlich sind. Onapsis Assess scannt die SAP-Landschaft Assess , um fehlende Sicherheitspatches, risikobehaftete Profilparameter und anfälligen benutzerdefinierten Code zu identifizieren. Diese kontinuierliche Überprüfung stellt sicher, dass die grundlegenden Kontrollen des IT-Betriebs sowohl vor internen Konfigurationsfehlern als auch vor externen Cyberbedrohungen geschützt bleiben.

Um diese technischen Erkenntnisse in nachweisbare Compliance-Daten umzuwandeln, setzen Unternehmen eine automatisierte platform zentrale Reporting-Engine ein. Onapsis Comply die von Assess gesammelten Rohkonfigurationsdaten Comply Assess ordnet sie automatisch vordefinierten control zu. Diese automatisierte Umwandlung stellt internen Revisionsteams zentralisierte Dashboards zur Verfügung, die den Zustand der IT-Governance-Kontrollen in Echtzeit überwachen und so den Verwaltungsaufwand für die Vorbereitung auf externe Prüfungen drastisch reduzieren.

Abstimmung von ITGCs auf übergeordnete Compliance-Rahmenwerke

Durch die Standardisierung von SAP-ITGCs können Unternehmen baseline gleichzeitig auf mehrere gesetzliche Vorschriften abstimmen. Sicherheitsteams nutzen strenge SOX-Zugriffskontrollen und Audit-Protokollierung, um die Einhaltung globaler Datenschutz- und Cybersicherheitsrahmenwerke zu beschleunigen.

Während sich SOX ausdrücklich auf die finanzielle Integrität konzentriert, bilden die zugrunde liegenden ITGCs die Grundlage für die unternehmensweite Sicherheit. Unternehmen, die die SOX-Kontrollen beherrschen, können ihre allgemeinen Compliance-Bemühungen erheblich straffen. Durch die Zuordnung technischer Sicherheitsmaßnahmen zu einer einheitlichen control vereinfachen Sicherheitsteams die SAP-Compliance für SOX, DSGVO und NIST. So schränken beispielsweise dieselben logischen Zugriffskontrollen, die Finanzbetrug im Rahmen von SOX verhindern, auch den Zugriff auf personenbezogene Daten gemäß DSGVO ein.

Häufig gestellte Fragen zu SAP-ITGCs

Was sind SAP-IT-Grundkontrollen (ITGCs)?

Die SAP IT General Controls sind grundlegende Sicherheitsrichtlinien und -verfahren, die auf IT-Systeme angewendet werden, welche Finanzdaten verarbeiten. Die ITGC regeln den logischen Zugriff, Systemänderungen und den IT-Betrieb, um die Integrität, Vertraulichkeit und Verfügbarkeit der SAP-Finanzberichterstattung sicherzustellen.

Inwiefern wirken sich manuelle Tests auf SAP-SOX-Prüfungen aus?

Manuelle Tests wirken sich auf SAP-SOX-Prüfungen aus, da sie erhebliche administrative Ressourcen beanspruchen und das Risiko menschlicher Fehler erhöhen. SAP-Basis-Teams verbringen Wochen damit, Screenshots zu sammeln, um die Einhaltung der ITGC-Vorgaben nachzuweisen, was zu massiven operativen Engpässen führt und zwischen den vierteljährlichen Prüfungen Lücken in der Transparenz hinterlässt.

Warum ist die Aufgabentrennung für SOX-ITGCs von entscheidender Bedeutung?

Die Aufgabentrennung ist für SOX-ITGCs von entscheidender Bedeutung, da sie verhindert, dass einzelne Personen widersprüchliche Finanztransaktionen durchführen. Die Durchsetzung der Aufgabentrennung begrenzt das Risiko von internem Betrug und stellt sicher, dass kein einzelner Benutzer über den durchgängigen Zugriff verfügt, der zur Manipulation der Unternehmensfinanzen erforderlich wäre.