Externer Zugriff auf SAP R3-Systeme über RFC' aufrufen... · PDF fileÂGrundlagen und Ansätze der Internen Revision Liebe Leserinnen und Leser, bei vielen Prüfungen müssen wir

Erscheinungsweise: ¼-jährlich jeweils Februar/Mai/August/NovemberHerausgeber: Ottokar R. Schreiber

Verlag: OSV Ottokar Schreiber Verlag GmbHFriedrich-Ebert-Damm 145 • 22047 Hamburg

Fon: +49(0)40 /69 69 85 -14 • Fax +49(0)40 /69 69 85 -31eMail: [email protected] • www.revision-hamburg.de

BeiträgeFür unaufgefordert eingesandte Manuskripte wird keine Haftung übernommen. Der Verlag behältsich insbesondere bei Leserbriefen das Recht der Veröffentlichung, der Modifikation und der Kürzungvor. Leserbriefe können in beliebiger Form (handschriftlich, per eMail, Fax usw.) zugesandt werden.Manuskripte sollten uns in Dateiform zugesandt werden, vorzugsweise im RTF- oder Winword-For-mat, Bildmaterial bitte im TIFF-Format/Auflösung 200 dpi od. JPEG 300dpi. Zur Veröffentlichungangebotene Beiträge müssen von allen Rechten Dritter frei sein. Wird ein Artikel zur Veröffentlichungakzeptiert, überträgt der Autor dem OSV das ausschließliche Verlagsrecht, das Recht zur Herstellungweiterer Auflagen und alle Rechte zur weiteren Vervielfältigung bis zum Ablauf des Urheberrechts.Wird der Artikel Dritten ebenfalls zur Veröffentlichung angeboten, muss dies dem OSV bekanntge-geben werden.

eMail: [email protected]

Zu den Konditionen rufen Sie bitte unsere aktuellen Mediadaten ab. Zur problemlosen Abwicklungund korrekten Darstellung stellen Sie uns die Anzeigen vorzugsweise als tiff- oder eps-Datei zurVerfügung. Sollte dies nicht möglich sein, bitten wir um Rücksprache hinsichtlich der geliefertenDateiformate. Telefon 040/69 69 85 -14. Design-Erstellung auf Wunsch auch durch unsere Medien-abteilung möglich.

Anzeigenleitung: Alexandra Palandrani,Telefon 040 / 69 69 85 -14

eMail: [email protected]/Abonnement:

OSV Ottokar Schreiber Verlag GmbHeMail: [email protected]

Rechtliche HinweiseDer Inhalt dieser Zeitschrift inklusive aller Beiträge und Abbildungen ist urheberrechtlich geschützt.Jede Vervielfältigung oder Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassenwird, bedarf der schriftlichen Zustimmung des OSV. Dies gilt auch für Bearbeitung, Übersetzung,Verfilmung, Digitalisierung und Verarbeitung bzw. Bereitstellung in Datenbanksystemen und elektro-nischen Medien einschließlich der Verbreitung über das Internet. Namentlich gekennzeichnete Artikelgeben ausschließlich die persönlichen Ansichten der Autoren wieder. Die Verwendung vonMarkennamen und rechtlich geschützten Begriffen auch ohne Kennzeichnung berechtigt nicht zu derAnnahme, dass diese Begriffe jedermann zur Verwendung oder Benutzung zur Verfügung stehen.

DTP-ProduktionGrafik/Illustration: Alexandra Palandrani, OSV Hamburg

Layout/Satz: Alexandra Palandrani, OSV HamburgDruck: Druckerei Zollenspieker Kollektiv GmbH

Zollenspieker Hauptdeich 5421037 Hamburg

Printed in Germany. • Gedruckt auf chlorfrei gebleichtem Papier© Copyright 2006 by OTTOKAR SCHREIBER VERLAG GMBH, Hamburg

Alle Rechte vorbehalten.

Notwendigkeit der Internen Revision . . . . . . . S. 5

Berichterstattung der Internen Revision . . . . . . . S. 8

Externer Zugriff auf SAP®Systeme über RCF . . . . . S. 15

SAP® Business Infor-mation Warehouse . . . . . . S. 18

Das MS Office Paket als Prüftool . . . . . . . . . . . . . . S. 27

Mit IT-Sicherheit Gewinn erzielen . . . . . . . . . . . . . . S. 35

Interne Revision Prüfen in SAP® IT-Revision

Impressum

Seminare . . . . . . . . . . . . . . . . . S. 38

Buchhinweise . . . . . . . . . . . . . S. 42

Abonnement . . . . . . . . . . . . . . S. 46

Impressum . . . . . . . . . . . . . . . . S. 3

VerlagshinweisNächste Ausgabe der

PRevAugust 2006

Redaktions-/ Einsende-schluss für diese Ausgabe:

17.07.2006

Beilagen dieserAusgabe:

• IBS Schreiber GmbH“Jahresfachkonferenz Sicher-heit und Prüfung von imGesundheitswesen”

• IBS Schreiber GmbH“Roadshow 2006”

• IBS-Prüfmanual• Datakontext Fachverlag

“IKS-Management”

Al lgemein

Beilage: IBS-Prüfmanual “Mobile Sicherheit”

PRev_02_2006.qxp 30.06.2006 15:45 Seite 3

Grundlagen und Ansätze der Internen Revision

Liebe Leserinnen und Leser,

bei vielen Prüfungen müssen wir leider feststellen, dass sich der Stellenwert der Internen Revision innerhalbihrer jeweiligen Unternehmen in den letzten Jahren zwar gesteigert hat, aber von vielen Fachbereichen häufigdoch zwiespältig betrachtet wird. Deshalb wird im folgenden Beitrag die Notwendigkeit - und daraus resultie-rend der hohe Stellenwert - der Internen Revision aus KonTraG (Gesetz zur Kontrolle und Transparenz vonUnternehmen), DCGK (Deutscher Corporate Governance Kondex) und SOA (Sarbanes Oxley Act) abgelei-tet. Alle Beteiligten, das sind der Vorstand, die Fachbereiche und die Interne Revision selber, sind in diesemSinne gefordert!

Begründet aus der praktischen Prüfertätigkeit wird der Stellenwert der Internen Revision mit dem Prüfbericht.PRev stellt Ihnen in dieser Ausgabe alle relevanten Soll-Vorgaben für einen Prüfbericht nach IIR und IDWzusammen. Im Prüfbericht dokumentiert sich die - hoffentlich erfolgreiche - Tätigkeit der Internen Revision;er ist die "Visitenkarte" der Internen Revision! In PRev III wird dieses Thema fortgesetzt: "Der Prüfberichtals Prüfobjekt". Hier stellen wir formale, inhaltliche und stilistische Aspekte des Prüfberichts zur Diskussion.

Ich hoffe auf Ihr reges Interesse und auch auf Ihre Kritiken und Beiträge.

Ihr

Ottokar R. Schreiber

PRev_02_2006.qxp 30.06.2006 15:46 Seite 4

PRev - Revisionspraxis II-2006 5

Einführung

Seit KonTraG im Jahre 1998 und in verstärktem Massebefördert durch die Diskussion und Verabschiedungdes DCGK (Deutscher Corporate GovernanceKodex) und in diesem Sinne weiter verstärkt durch denSOA (Sarbanes Oxley Act) prägt sich die InterneRevision (IR) als die zentrale, im "Querschnitt" wirken-de, interne Kontrollinstanz eines Unternehmens aus.

DCGK, KonTraG/AktG § 91 und SOASection 406

Dass der Vorstand uneingeschränkt zum Wohle sei-nes Unternehmens zu handeln und zu wirken hat,scheint kein Selbstverständnis zu sein. Denn imDCGK (Deutscher Corporate Governance Kodex),der keinen Gesetzescharakter hat, heißt es unter 4.1:

4.1.1 Der Vorstand leitet das Unternehmen ineigener Verantwortung. Er ist dabei an dasUnternehmensinteresse gebunden undder Steigerung des nachhaltigen Unter-nehmenswertes verpflichtet.

4.1.2 Der Vorstand entwickelt die strategischeAusrichtung des Unternehmens, stimmtsie mit dem Aufsichtsrat ab und sorgt fürihre Umsetzung.

4.1.3 Der Vorstand hat für die Einhaltung dergesetzlichen Bestimmungen zu sorgenund wirkt auf deren Beachtung durch dieKonzernunternehmen hin.

4.1.4 Der Vorstand sorgt für ein angemessenesRisikomanagement und Risikocontrollingim Unternehmen.

Diese Vorgaben sind, um einen Informatik-Begriffzu benutzen, redundant, d.h. ohne Informationsge-halt und damit eigentlich überflüssig. Denn dass einVorstand • das Unternehmen in eigener Verantwortung zu

führen hat (s. AktG § 76 Abs 1),• eine Unternehmensstrategie zu entwickeln hat

und • für die Beachtung (Einhaltung wäre fordernder

und damit angemessener für Gesetze gewesen)der gesetzlichen Bestimmungen zu sorgen hat,

sind für jeden Kleinunternehmer und Handwerks-meister Selbstverständlichkeiten! Mit der letztenForderung ergibt sich die Schnittstelle zumKonTraG (AktG § 91 Abs 2), in dem es heißt, derVorstand einer Aktiengesellschaft ist verpflichtet,"geeignete Maßnahmen zu treffen, insbesondere einÜberwachungssystem einzurichten, damit denFortbestand der Gesellschaft gefährdende Entwick-lungen früh erkannt werden".

Gem. SOA Section 406 ist vom Vorstand und leiten-den Angestellten ein "code of ethics" einzuhalten,nach dem ehrliches Verhalten, Beachtung gesetzli-cher Vorschriften und korrekte Berichterstattung andie SEC (Securities and Exchange Commission)gefordert werden.

DCGK und SOA Section 302

Erst mit der direkten "Inverantwortungsnahme" desVorstands für das Wohl und Wehe des eigenenUnternehmens ist dieser in der Bredouille, seine

Dipl.-Ing.Ottokar R. SchreiberIBS Schreiber GmbH

Notwendigkeit derInternen Revision oder

Was wäre das Unternehmen ohneseine Interne Revision?

PRev_02_2006.qxp 30.06.2006 15:46 Seite 5

Freiheitsgrade hinsichtlich "politischer" Entschei-dungen, evtl. begründet in persönlicher Egomanieoder gar persönlicher Bereicherung, der Verant-wortbarkeit von Risiken unterzuordnen: "Verletzensie (Vorstand und Aufsichtsrat) die Sorgfalt einesordentlichen und gewissenhaften Geschäftsleitersbzw. Aufsichtsratsmitglieds schuldhaft, so haften sieder Gesellschaft gegenüber auf Schadensersatz."(DCGK 3.8) SOA Section 302 geht noch einenSchritt weiter, indem CEO (Chief Executive Officer)und CFO (Chief Financial Officer) verpflichtet wer-den, eine eidesstattliche Erklärung (Certification) fürperiodisch bei der SEC eingereichte Berichte abzuge-ben.

Daraus leitet sich der gewachsene Stellenwert derInternen Revision im Unternehmen, der Kontroll-instanz des Vorstands, direkt ab, denn: Was wäre derVorstand unter den Vorgaben von KonTraG,DCGK und SOA ohne seine Interne Revision?• Er wäre auf die Aussagen und Berichte seiner

Fachbereiche angewiesen (Self Assessment), unddiese sind i.d.R. interessensgefärbt.

• Mängel und Fehler würden häufig erst durch dieAbschlussprüfer aufgedeckt werden mit einementsprechenden Überraschungswert für den ver-antwortlichen (!) Vorstand.

• Oder der Vorstand müsste externe Prüfer beauf-tragen, die einerseits keine Intimkenntnisse derUnternehmensphilosophie und der Unterneh-mensabläufe haben, und die andererseits Unter-nehmenswissen nach außen tragen könnten."Outsourcen" der Internen Revision kann keinZiel des Vorstands sein. Nach DCGK 4.3.2 "dür-fen Vorstandsmitglieder und ihre Mitarbeiter imZusammenhang mit ihrer Tätigkeit weder fürsich noch für andere Personen von DrittenZuwendungen oder sonstige Vorteile fordernoder annehmen oder Dritten ungerechtfertigteVorteile gewähren." - Die engsten Mitarbeiterdes Vorstands sollten die Internen Revisorensein!

KonTraG/HGB § 317 und SOA Section 404

SOA Section 404 (management assessment of inter-nal control) impliziert einen hohen Implemen-tierungsaufwand für das Unternehmen; denn jederJahresbericht muss einen Bericht über das interneKontrollsystem der Finanzberichterstattung enthal-

ten. Deshalb muss durch entsprechend ausgeprägteMaßnahmen verhindert werden, dass mangelhafteKontrollen und dadurch bedingte falsche und/oderunvollständige Informationen den Finanzberichtverfälschen.

Dieser Ansatz korrespondiert mit KonTraG und denentsprechend angepassten HGB-Gesetzen § 317 ff.

§ 317 HGB (Gegenstand und Umfang der Prüfung)....Dabei ist (vom Abschlussprüfer) auch zu prü-fen, ob die Risiken der zukünftigen Entwicklungzutreffend dargestellt sind.

Bei der Aktiengesellschaft, die Aktien mit amtlicherNotierung ausgegeben hat, ist außerdem im Rahmender Prüfung zu beurteilen, ob der Vorstand die ihmnach § 91,2 AktG obliegenden Maßnahmen in einergeeigneten Form getroffen hat und ob das danacheinzurichtende Überwachungssystem seine Aufgabeerfüllen kann.

§ 321 HGB (Prüfungsbericht)Der Abschlussprüfer hat über Art und Umfangsowie das Ergebnis der Prüfung schriftlich undmit der gebotenen Klarheit zu berichten ..........

In einem besonderen Abschnitt des Prüfungs-berichtes sind Gegenstand, Art und Umfang derPrüfung zu erläutern.

Ist im Rahmen der Prüfung eine Beurteilungnach § 317, Abs. 4 abgegeben worden, so istderen Ergebnis in einem besonderen Teil desPrüfungsberichtes darzustellen. Es ist daraufeinzugehen, ob Maßnahmen erforderlich sind,um das interne Überwachungssystem zu verbes-sern.

6 PRev - Revisionspraxis II-2006

Bei der Aktiengesellschaft, die Aktien mitamtlicher Notierung ausgegeben hat, ist

außerdem im Rahmen der Prüfung zu beur-teilen, ob der Vorstand die ihm nach § 91,2

AktG obliegenden Maßnahmen in einer geeig-neten Form getroffen hat und ob das danacheinzurichtende Überwachungssystem seine

Aufgabe erfüllen kann.

PRev_02_2006.qxp 30.06.2006 15:46 Seite 6

§ 322 HGB (Bestätigungsvermerk) Auf Risiken, dieden Fortbestand des Unternehmens gefährden, istgesondert einzugehen.

...Dabei ist darauf einzugehen, ob die Risiken derkünftigen Entwicklung zutreffend dargestelltsind.

In den zahlreichen von SOA Section 404 undKonTraG/HGB § 317 ff getriebenen Projekten inden Unternehmen ist die Interne Revision "ex ante"als Projektrevision umfassend gefordert! Da fast alleUnternehmensbereiche und -prozesse IT-gestütztbetrieben werden, ist bei diesen Projekten nebendem "Financial Auditing" insbesondere die IT-Revision gefordert. (siehe hierzu auch GoBS desAWV und PS 330 des IDW)

IKS

Zusammengefasst summieren sich alle Sicherheits-regularien eines Unternehmens im IKS (InternesKontrollsystem), das vom AWV (Arbeitsgemein-schaft für wirtschaftliche Verwaltung e.V.), vom IDW(Institut der Wirtschaftsprüfer in Deutschland e.V.)und von AIA (American Institute of Accountants) inentsprechenden Prüfungsstandards beschrieben wird:

GoBS (AWV) definiert:

Als IKS wird grundsätzlich die Gesamtheit aller auf-einander abgestimmten und miteinander verbunde-nen Kontrollen, Maßnahmen und Regelungenbezeichnet, die folgende Aufgaben haben:• Sicherung und Schutz vorhandenen Vermögens

und vorhandener Informationen Bereitstellungvollständiger, genauer und aussagefähiger sowiezeitnaher Aufzeichnungen

• Förderung der betrieblichen Effizienz• Unterstützung der Befolgung der vorgeschriebe-

nen Geschäftspolitik

IDW PS 260 Das Interne Kontrollsystem imRahmen der Abschlussprüfung definiert:

Unter einem Internen Kontrollsystem werden dievon der Unternehmensleitung im Unternehmen ein-geführten Grundsätze, Verfahren und Maßnahmen(Regelungen) verstanden, die gerichtet sind auf dieorganisatorische Umsetzung der Entscheidungen derUnternehmensleitung

• zur Sicherung der Wirksamkeit und Wirt-schaftlichkeit der Geschäftstätigkeit,

• zur Ordnungsmäßigkeit und Verlässlichkeit derinternen und externen Rechnungslegung sowie

• zur Einhaltung der für das Unternehmen maß-geblichen rechtlichen Vorschriften.

AIA American Institute of Accountants definiert:

Das Interne Kontrollsystem umfasst sowohl denOrganisationsplan als auch sämtliche aufeinanderabgestimmte Methoden und Maßnahmen in einemUnternehmen, die dazu dienen, sein Vermögen zusichern, die Genauigkeit und Zuverlässigkeit derAbrechnungsdaten zu gewährleisten und dieEinhaltung der vorgeschriebenen Geschäftspolitikzu unterstützen.

Fazit für die Interne Revision

Unter der Zielsetzung einer permanenten Ver-besserung des IKS subsummiert sich das Handelnder Internen Revision!

Die moderne Revision ist effizient aufgestellt, weilsie risiko-orientiert und deshalb proaktiv tätig ist.Auch die neben "ex ante"-Prüfungen nach wie vorgeforderten "ex post"-Prüfungen wirken zukunfts-orientiert in der permanenten Verbesserung des IKSmit der Zielsetzung, dolose und dolorose Hand-lungen auf ein Minimum zu reduzieren. Die plötz-lich wieder aktuell aufflackernde "Fraud"-Diskus-sion, u.a. initiiert durch SOA Abschnitt VIII (Cor-porate and Criminal Fraud Accountability), solltedurch die effektive Tätigkeit der IR wieder auf einNormalmaß relativiert werden.

Eine so aufgestellte und agierende Interne Revisionmuss auch vom eigenen Vorstand gewollt sein. Indiesem Sinne stellen der Stellenwert und dieAusprägung der IR, weil direkt implementiert undsanktioniert durch den Vorstand selber, ein Spiegel-bild eben dieses Vorstands dar! ✜


...unter der Zielsetzung einer permanentenVerbesserung des IKS subsummiert sich das

Handeln der Internen Revision!

PRev_02_2006.qxp 30.06.2006 15:46 Seite 7


Im Prüfbericht mündet die Arbeit des Revisors. Erstellt implizit den gesamten Prüfprozeß dar, begin-nend• mit dem dedizierten Prüfthema über• die Erhebung der Soll-Vorgaben (beschreibend

das normierte Objekt) und über• die Erhebung des Ist-Zustandes des Prüfobjekts

bis hin zur• Bewertung des festgestellten (gemessenen)

Deltas (Mängel) und• Aussprache von Empfehlungen.

Das heißt der Prüfbericht des Revisors ist einErgebnisbericht der jeweiligen Prüfung mit demZiel,• Schwachstellen des Unternehmens aufzuzeigen

(Feststellungen),• diese risiko-orientiert zu bewerten und• Empfehlungen zu ihrer Eliminierung oder

zumindest Minimierung aufzuzeigen (nach demVerhältnismäßigkeitsprinzip).

Adressat des Prüfberichts sind der Auftraggeber, d.h.der Vorstand bzw. die Geschäftsführung und dergeprüfte Fachbereich. Insofern gliedern sich die"Kunden" der Internen Revision in diese beidenKategorien und der Bericht ist jeweils empfängerori-entiert abzufassen.

Dieser Beitrag zur Berichterstattung besteht aus 2Teilen: Im ersten Teil in dieser Ausgabe von PRev(Ausgabe II/06) werden relevante Soll-Vorgaben ausGesetzen, Verlautbarungen und Prüfungsstandardsfür die Berichterstattung zusammenfassend zitiert.

Im zweiten Teil (erscheint in PRev III/06) werdenaus der formellen und inhaltlichen (materiellen)Berichtskritik konkrete Vorschläge zur Bericht-erstattung abgeleitet.

Insofern stellt sich in diesem Beitrag der Prüfberichtselber als Prüfobjekt dar!

Die Soll-VVorgaben zur Berichterstellungnach IDW und IIR

Grundforderung

Jeder Prüfbericht hat über das Ergebnis der Prüfung • unparteiisch,• vollständig,• wahrheitsgetreu und• mit der gebotenen Klarheit schriftlich zu berichten.

Entsprechend deklarieren die Grundlagen desPrüfungsberichtes (aus WP-Handbuch Seite 899ff) im Abschnitt "Allgemeine Berichtsgrundsätze" §321 HGB wie folgt:

Grundsatz der UnparteilichkeitWertungen positiver oder negativer Art sind zulässigund erforderlich. Der Prüfer hat sich aber jeder ein-seitigen oder persönlich wirkenden Kritik zu enthal-ten.

Grundsatz der VollständigkeitEs ist über wesentliche Tatsachen zu berichten, diedie Prüfung erbracht hat. Wesentlich sind solche

Berichterstattung der Internen Revision

PRev_02_2006.qxp 30.06.2006 15:46 Seite 8


Tatsachen, die für eine ausreichende Information derBerichtsempfänger von Bedeutung sind.

Zum Umfang: bei der Abfassung der Berichte undbei der Festlegung des Umfanges der Bericht-erstattung wird es im Einzelfall erforderlich sein, dieStruktur des Empfängerkreises des Berichtes nichtunberücksichtigt zu lassen. Über Sachverhalte, derenOrdnungsmäßigkeit festgestellt wird, ist nur knappzu berichten. Problematische oder zu beanstandendeSachverhalte sind ausführlicher darzulegen.

Grundsatz der WahrheitDieser Grundsatz wird verletzt, wenn wesentliche Tat-sachen weggelassen werden. Meinungsverschiedenhei-ten über die Würdigung eines Sachverhaltes sind zumAusdruck zu bringen. Der Bericht darf nicht den Ein-druck erwecken, dass der Sachverhalt geprüft wurde,obwohl seine Prüfung (noch) nicht möglich war.

Grundsatz der KlarheitGefordert wird eine verständliche und eindeutigeDarlegung der Sachverhalte. Der Bericht sollte sichdurch eine übersichtliche Gliederung, einfachen undsachlichen Stil auszeichnen. Nicht allgemein geläufi-ge Fachausdrücke, wenig gebräuchliche Fremd-wörter und Abkürzungen sollten vermieden werden.Umfangreiche Zusammenstellungen und Zahlen-tabellen als Anlagen beifügen.

Berichterstattung zur BuchführungÜber bereits behobene Mängel wird dann nicht zuberichten sein, wenn es sich um zufällige Fehler auf-grund menschlicher Unzulänglichkeiten und nichtausschaltbarer Irrtümer handelt. Das gilt nicht fürgewichtige Mängel, die auf organisatorischeSchwächen hindeuten.

Es ist stets über festgestellte gravierende Mängel desInternen Kontrollsystems zu berichten. Dies giltauch dann, wenn die festgestellten Mängel des Sys-tems (noch) zu keinem Fehler geführt haben, aber zueinem Fehler führen können.

Berichterstattung zu negativen UnternehmenssachverhaltenEine schriftliche Warnpflicht ist schon dann gege-ben, wenn sich die Unternehmenslage zum Schlech-ten wendet oder wenn selbst bei einer positivenErtragslage bedeutende Verlustquellen des Unter-nehmens festgestellt werden.

Weitere Kriterien für den Prüfbericht (Soll-Vor-gaben) ergeben sich aus • KonTraG/HGB 321/PS 350 (IDW)• PS 450 (IDW)• IIR Revisionsstandard Nr. 3

KonTraG

Nach dem KonTraG sind Vorstände von börsenno-tierten Aktiengesellschaften verpflichtet, "geeigneteMaßnahmen" zu treffen, insbesondere ein Überwa-chungssystem einzurichten, damit der Fortbestandder Gesellschaft gefährdende Entwicklungen früherkannt werden". (§ 91 (2) AktG)

§ 111 AktG (Aufgaben und Rechte des Aufsichts-rates)Der Aufsichtsrat hat die Geschäftsführung zu über-wachen.......... Der Aufsichtsrat erteilt dem Abschlussprüferden Prüfungsauftrag für den Jahresabschluss gemäß§ 290 HGB.

§ 317 HGB (Gegenstand und Umfang der Prüfung)............. Dabei ist (vom Abschlussprüfer) auch zu prü-fen, ob die Risiken der zukünftigen Entwicklungzutreffend dargestellt sind....

Bei der Aktiengesellschaft, die Aktien mit amtlicherNotierung ausgegeben hat, ist außerdem im Rahmender Prüfung zu beurteilen, ob der Vorstand die ihmnach § 91,2 AktG obliegenden Maßnahmen in einergeeigneten Form getroffen hat und ob das danacheinzurichtende Überwachungssystem seine Aufgabeerfüllen kann.

§ 321 HGB (Prüfungsbericht)

Der Abschlussprüfer hat über Art und Umfangsowie das Ergebnis der Prüfung schriftlich und mitder gebotenen Klarheit zu berichten ..........

In einem besonderen Abschnitt des Prüfungs-berichtes sind Gegenstand, Art und Umfang derPrüfung zu erläutern.

Ist im Rahmen der Prüfung eine Beurteilung nach §317, Abs. 4 abgegeben worden, so ist deren Ergebnis

PRev_02_2006.qxp 30.06.2006 15:46 Seite 9


in einem besonderen Teil des Prüfungsberichtes her-zustellen. Es ist darauf einzugehen, ob Maßnahmenerforderlich sind, um das interne Überwachungssy-stem zu verbessern.

§ 322 HGB (Bestätigungsvermerk)

.......... Der Bestätigungsvermerk hat neben einerBeschreibung von Gegenstand, Art und Umfang derPrüfung auch eine Beurteilung des Prüfungsergeb-nisses zu enthalten.

Die Beurteilung des Prüfungsergebnisses soll allge-meinverständlich und problemorientiert ... erfolgen........... Auf Risiken, die den Fortbestand desUnternehmens gefährden, ist gesondert einzugehen.

...Dabei ist darauf einzugehen, ob die Risiken derkünftigen Entwicklung zutreffend dargestellt sind.

Prüfungsstandard 350 (IDW) "Prüfung desLageberichts"

In Kap. 6.1 heißt es:(21) Gemäß § 321 Abs. 2 Satz 1 und 2 HGB ist im

Prüfungsbericht darzustellen, ob der Lage-bericht den gesetzlichen Vorschriften und denergänzenden Bestimmungen des Gesellschafts-vertrags oder der Satzung entspricht. Die fürdie Aussagen des Lageberichts bedeutendenAnnahmen und übrigen Prognoseelemente sinddarzustellen und zu würdigen. Entspricht derLagebericht nach dem Urteil des Abschluss-prüfers nicht den gesetzlichen uns gesell-schaftsvertraglichen bzw. satzungsmäßigenBestimmungen, muß der Abschlussprüfer aufdiese Mängel im Prüfungsbericht hinweisen,selbst wenn diese Beanstandungen noch nichtzu einer Einschränkung des Bestätigungs-vermerks führen.

(22) Auch wenn der Lagebericht den Anforderun-gen des § 289 HGB entspricht und daher eineausreichende Lagedarstellung enthält, verlangt §321 Abs. 1 Satz 2 HGB, dass der Abschluss-prüfer zu der Beurteilung der Lage desUnternehmens durch die gesetzlichen VertreterStellung zu nehmen hat, wobei insbesondereauf die Beurteilung des Fortbestands und derkünftigen Entwicklung des Unternehmensunter Berücksichtigung des Lageberichts einzu-

gehen ist, soweit die geprüften Unterlagen undder Lagebericht eine solche Beurteilung erlau-ben. Außerdem ist nach § 321 Abs. 1 Satz 3HGB darzustellen, ob bei Durchführung derPrüfung Unrichtigkeiten oder Verstöße gegengesetzliche Vorschriften sowie Tatsachen fest-gestellt worden sind, die den Bestand desgeprüften Unternehmens gefährden oder seineEntwicklung wesentlich beeinträchtigen. DerAbschlussprüfer hat seinen Feststellungen zurBeurteilung der Lage durch die gesetzlichenVertreter erforderlichenfalls eigene Akzente zusetzen und auf ihm wesentlich erscheinendePunkte ggf. ausführlicher einzugehen, als diesim zu veröffentlichenden Lagebericht gefordertwerden muß.

Bestätigungsvermerk(23) Mit dem uneingeschränkten Bestätigungsver-

merk wird in Zusammenfassung der sich ausden §§ 317, 321 und 322 HGB zu treffendenPrüfungsfeststellungen zum Ausdruck ge-bracht, dass der Lagebericht insgesamt nach derBeurteilung des Abschlussprüfers eine zutref-fende Vorstellung von der Lage des Unter-nehmens vermittelt sowie dass die Risiken derkünftigen Entwicklung zutreffend dargestelltsind.

(24) Unabhängig davon, ob der Lagebericht eineausreichende Darstellung ggf. bestehenderbestandsgefährdender Risiken enthält, hat derAbschlussprüfer nach § 322 Abs. 2 Satz 2 HGBauf den Fortbestand gefährdende, im Rahmender Prüfung festgestellte Risiken in demBestätigungsvermerk gesondert einzugehen.

(25) Für den Fall, dass der Abschlussprüfer seineBeurteilung von (wesentlichen) prognostischenAussagen im Lagebericht weitgehend nur aufErklärungen der Geschäftsführung stützenkann, ist hierauf im Rahmen der Beurteilungdes Prüfungsergebnisses nach § 322 Abs. 1 Satz2 HGB einzugehen.

(26) Der Bestätigungsvermerk ist im Hinblick aufden Lagebericht einzuschränken, wenn Ein-wendungen zu erheben sind. Dies kann bei-spielsweise der Fall sein, wenn ein Lageberichtentgegen der gesetzlichen Verpflichtung nichterstellt wurde, wenn wesentliche Informations-elemente (z.B. Angaben zur künftigen Ent-wicklung, Schlusserklärung zum Abhängigkeits-

PRev_02_2006.qxp 30.06.2006 15:46 Seite 10


bericht nach § 312 Abs. 3 AktG) im Lageberichtfehlen oder im Widerspruch zu den geprüftenUnterlagen stehen, wenn der Abschlussprüfereine wesentliche prognostische Aussage nicht fürplausibel hält oder wenn der Abschlussprüferbestimmte Sachverhalte nicht beurteilen kann.Zur Einschränkung von Bestätigungsver-merken aufgrund von Mängeln im Lageberichtenthält der IDW Prüfungsstandard: Grund-sätze für die ordnungsmäßige Erteilung vonBestätigungsvermerken bei Abschlußprüfungen(IDW PS 400) ergänzende Anforderungen undFormulierungen.

PS 450 (IDW) "Grundsätze ordungsmäßigerBerichterstattung bei Abschlußprüfung"

Hieraus ergeben sich als allgemeine Grundsätze(Attribute) für die Erstellung eine Prüfberichtes:• gewissenhaft• wahrheitsgetreu• tatsächliche Gegebenheiten• vollständig• unparteiisch• verständliche, eindeutige und problemorientierte

Darlegung• übersichtliche Gliederung des Prüfberichts

Unter Berücksichtigung der gesetzlichen Vorgabenwird empfohlen, den Prüfbericht entsprechend dennachfolgend aufgeführten Abschnitten undBezeichnungen zu gliedern.• Prüfungsauftrag• Grundsätzliche Feststellungen• Gegenstand, Art und Umfang der Prüfung• Feststellungen und Erläuterungen zur

Rechnungslegung• Feststellungen und Risikofrüherkennungssystem• Feststellung aus Erweiterungen des Prüfungs-

auftrags• Bestätigungsvermerk

Der Prüfungsbericht ist so abzufassen, dass er vonden jeweiligen Adressaten des Prüfungsberichts ver-standen werden kann. Er ist als einheitliches Ganzesanzusehen.

Der Abschlussprüfer hat im Prüfungsbericht vorwegzur Beurteilung der Lage des Unternehmens durchdie gesetzlichen Vertreter Stellung zu nehmen.

Weiterhin hat er darzustellen, ob er bei Durch-führung der Abschlussprüfung Tatsachen festgestellthat, welche die Entwicklung des geprüften Unter-nehmens wesentlich beeinträchtigen.

Wird die Lagebeurteilung der gesetzlichen Vertretervom Abschlussprüfer als nicht vertretbar beurteilt,so ist dies im Prüfungsbericht zu erläutern.

Nach § 321 Abs. 1 Satz 3 HGB hat der Abschluss-prüfer darzustellen, ob er bei Durchführung der Ab-schlussprüfung einzelne Tatsachen festgestellt hat,welche die Entwicklung des geprüften Unterneh-mens wesentlich beeinträchtigen oder seinenBestand gefährden können.• Entwicklungsbeeinträchtigung• Gefährdung des Unternehmensfortbestand

In Einzelfällen kann es notwendig sein, aus Gründender Eilbedürftigkeit erforderlicher Gegenmaßnah-men vorweg einen gesonderten Teilbericht zu erstat-ten.

Der Abschlussprüfer hat darüber zu berichten obUnrichtigkeiten oder Verstöße gegen gesetzlicheVorschriften sowie Tatsachen festgestellt wurden, dieschwerwiegende Verstöße von gesetzlichenVertretern oder von Arbeitnehmern gegen Gesetz,Gesellschaftsvertrag oder Satzung darstellen.• Negativfeststellung

Der Abschlussprüfer hat die Grundzüge seinesjeweiligen Prüfungsvorgehen darzustellen.

Zu den berichtspflichtigen Prüfungsinhalten gehören:• Prüfungsstrategie• Prüfungsschwerpunkte• rechnungslegungsbezogene interne Kontroll-

systeme• stichprobengestütztes Prüfungsverfahren• Auswirkungen aus dem Vorjahresabschluss auf

die Prüfungsdurchführung• Bestätigungen Dritter• Untersuchungen Dritter (z.B. Wertgutachten,

Ergebnisse der Internen Revision)• Besonderheiten der Prüfung des Inventars• Organisatorische Umstellungen

Der Abschlussprüfer hat über festgestellte wesentli-che Mängel in den nicht auf den Jahresabschluss

PRev_02_2006.qxp 30.06.2006 15:46 Seite 11


oder Lagebericht bezogenen Bereichen des internenKontrollsystems zu berichten.

Es ist auszuführen• ob der Vorstand ein Überwachungssystem in

geeigneter Form eingerichtet hat• ob Maßnahmen erforderlich sind, um das Risiko-

früherkennungssystem zu verbessern

Einzelheiten zur Prüfung des Risikofrüherken-nungssystems enthält der IDW Prüfungsstandard"Die Prüfung des Risikofrüherkennungssystemsnach § 317 Abs. 4 HGB".• gesonderter Abschnitt des Prüfungsberichts• funktionsfähiges Risikofrüherkennungssystem• Formulierung im Prüfungsbericht

"Unsere Prüfung hat ergeben, dass der Vorstand dienach § 91 Abs. 2 AktG geforderten Maßnahmen ins-besondere zur Einrichtung eines Überwachungssy-stems in geeigneter Weise getroffen hat und dass dasÜberwachungssystem geeignet ist, Entwicklungen,die den Fortbestand der Gesellschaft gefährden,frühzeitig zu erkennen."

Ist das Risikofrüherkennungssystem nicht dazugeeignet, hat der Abschlussprüfer dies festzustellen,konkrete Verbesserungsvorschläge sind nichtGegenstand der Berichterstattungspflicht. Hat derVorstand kein Risikofrüherkennungssystem einge-richtet, ist hierauf hinzuweisen.

IIR Revisionsstandard Nr. 3"Qualitätsmanagement in der InternenRevision"

Hier heißt es in Kap. 3.5.2.3 Berichterstattung: In-halt, Sprache und Form der Berichte sind ein wesent-liches Merkmal der Qualität einer Internen Revision.

Der Inhalt und die Sprache müssen den Grund-sätzen der Vollständigkeit, der Wahrheit und derKlarheit entsprechen. In dem Begriff Wahrheit istdie Objektivität enthalten.

Alle Berichte müssen zumindest Aussagen enthaltenzu:• Prüfungsziel und -umfang• Auftragsdurchführung• Prüfungsobjekt

• Prüfungsergebnis• Maßnahmen/Empfehlungen (incl. Verantwort-

lichkeiten, Realisierungsdatum und Priori-sierung)

Die Form der Berichte einer Internen Revision ist zustandardisieren, um dem Adressaten die Orientie-rung zu erleichtern. Die Berichterstattung erfolgtknapp und zeitnah.

Grundlagen der Internen Revision/Basicsof Internal Auditing (IIR/IIA)

Standard 2400 - Berichterstattung

Hier heißt es u.a.:Interne Revisoren sollten mit der gebotenen Vorsichtvorgehen, wenn sie Ergebnisse und Stellungnahmenin die Berichterstattung und Arbeitspapiere aufneh-men, die sich auf Verstöße gegen Gesetze und auf-sichtsrechtliche Bestimmungen oder andere rechtli-che Fragen beziehen.

Interne Revisoren müssen Nachweise zusammen-stellen, analytische Urteile abgeben, über Ergebnisseberichten und sicherstellen, dass korrigierendeMaßnahmen eingeleitet werden.

Standard 2410 - Berichterstattungskriterien

Hier heißt es u.a.:Obwohl Format und Inhalt der Schlussberichte jenach Organisation oder Art des Auftrags variierenkönnen, müssen sie doch zumindest Zweck, Umfangund Ergebnisse des Auftrags enthalten.

Schlussberichte können auch Hintergrundinfor-mationen und Zusammenfassungen enthalten.

Zu den Ergebnissen gehören Feststellungen,Schlussfolgerungen, Beurteilungen, Empfehlungenund Maßnahmenpläne.

Feststellungen sind sachdienliche Tatsachen-beschreibungen.

Feststellungen und Empfehlungen entstehen durcheinen Soll/Ist-Vergleich. Falls bei diesem eineDiskrepanz besteht, hat der Interne Revisor eineBasis, auf der er den Bericht aufbauen kann. Wenn

PRev_02_2006.qxp 30.06.2006 15:46 Seite 12


die Gegebenheiten mit den Kriterien übereinstim-men, kann die Anerkennung einer zufrieden stellen-den Leistung im Revisionsbericht gerechtfertigt sein.

Die Ansicht der geprüften Einheiten zu den Schluss-folgerungen, Beurteilungen oder Empfehlungen kön-nen in den Revisionsbericht aufgenommen werden.

Abschließendes

So viel zu den bestehenden Vorgaben an eine Bericht-erstellung von Seiten der beiden Institutionen derInternen Revision (IIR) und - wesentlich ausführli-cher - der externen Prüfer/Wirtschaftsprüfer (IDW).

Zu ergänzen sind diese grundsätzlich formuliertenVorgaben durch betriebsinterne Regeln zur Doku-mentation der Prüfberichte:• Aufbewahrungsfristen• Datenbank-basierte Strukturierung und

Recherchemöglichkeiten nach - Prüfthema- Prüfzeitpunkt- Prüfer- u.a.m.mit entsprechendem Deckblatt.

Fortsetzung2. Teil: Formelle und materielle Berichtskritik ✜

PRev_02_2006.qxp 30.06.2006 15:47 Seite 13


Prüfen in SAP®


"Remote"-Zugriffe, d.h. Zugriffe von außen auf IT-Systeme, sind ein altes ambivalentes Diskussionsthema inder IT. Einerseits wurde der "Remote"-Zugriff erfunden, um effiziente Fernwartung und -support der IT-Systeme zu ermöglichen, andererseits handelt man sich damit erhebliche Sicherheitsrisiken ein.

Auch auf SAP-Systeme wird i.d.R. über die als Standard ausgeprägte RFC-Schnittstelle zugegriffen, mit allenVor- und Nachteilen. Die diesbezüglichen Risiken, ihre Prüfung und Empfehlungen zur Minimierung dieserRisiken stehen im Fokus des folgenden Beitrags von Christoph Wildensee.

SAP BW bzw. BI stehen in steigendem Masse in zahlreichen Unternehmen zur Disposition. Die Revision istdeshalb gut beraten, sich mit diesem komplexen Modul rechtzeitig auseinander zu setzen. In dieser Ausgabevon PRev wird von Claus-Dieter Lillich das diesbezügliche Thema mit der Vorstellung der speziellenBerechtigungsobjekte fortgesetzt und in den Folgebeiträgen mit Prüfansätzen vertieft werden.

Viel Freude in der weiteren Vermehrung Ihres SAP-Prüferwissens wünscht Ihnen

Ihr

Thomas Tiede

PRev_02_2006.qxp 30.06.2006 15:47 Seite 14


Einleitung

Der ‚Remote Function Call' (RFC) bildet die Grund-lage für die Integration mehrerer SAP-Systeme, aberauch die bidirektionale Anbindungsmöglichkeit wei-terer Systeme mit entsprechender Datenversorgung.Somit bietet diese Technik des entfernten Funktions-aufrufes als Standardschnittstelle die Möglichkeit,Funktionsbausteine in entfernten SAP-Systemenauszuführen - Funktionen und Daten werden für dieVerwendung in und aus anderen Systemen verfügbargemacht. Über RFC wird auch die Kommunikationmit anderen Mandanten desselben Systems herge-stellt.

Standardmäßig sind in jedem SAP-System bereitsRFC-Verbindungen vorhanden, z.B. für das Trans-port Management System und die Verbindungen zuallen Applikationsservern. Hinzu kommen naturge-mäß die Konsolidierungsverbindungen zwischen denSystemen untereinander wie z.B. IS-U und Classicsowie HR und Classic, sofern die Systeme getrenntgefahren werden.

Risiken

Der Mechanismus des Datenzugriffs in SAP-Sys-temen ist zweigeteilt. Zum einen wird die Trans-aktion, d.h. der Aufruf des SAP-Programmpaketes,das einen Arbeitsabschnitt eines Prozesses darstellt,geschützt. Zum anderen werden die Zugriffe auf dieeigentlichen Schlüsselinformationen und zumeist derdamit verbundene Manipulationsgrad innerhalb derTransaktion über Berechtigungsobjekte gesteuert.

Das Gewähren einer Transaktion bedeutet somit nurin Kombination mit den ausgeprägten Berechti-gungsobjekten, dass der betriebswirtschaftliche Ab-lauf mit entsprechenden Daten in SAP vollständigausgeführt werden kann.

Die Ausprägung der Berechtigungen in den SAP-Systemen erfolgt auf Transaktionsebene üblicher-weise restriktiv, während auf Berechtigungsobjekt-ebene meist aus Gründen der Administrationsent-lastung durchaus eine "Überversorgung" anzutreffenist. Ging man bisher davon aus, dass ein Ausnutzender höheren Rechte nicht möglich ist, wennTransaktionen nicht gewährt werden, ergibt sich -dies gilt sowohl in den Fachmodulen als auch aufCustomizing- und Entwicklungsebene, d.h. demEntwickeln und Ausführen von Quellcode - über dieNutzungsmöglichkeit externer Connectoren einanderes Bild. Es ist häufig einer Vielzahl vonMitarbeitern möglich, über die Nutzung der RFC-Schnittstelle und externer Zugriffsprogramme, diefrei verfügbar sind, uneingeschränkt auf SAP-Tabellen Zugriff zu nehmen, ohne dabei die Trans-aktionsberechtigungen innerhalb der Berechti-gungsstämme aufzuweisen. Darüber hinaus sindhäufig nicht nur uneingeschränkte Lesezugriffe mög-lich, es kann auch unprotokolliert über RFC ABAP-Quellcode zur Ausführung gebracht werden. Diessind erhebliche Sicherheitslücken, die es zu schließenoder zumindest sinnvoll zu handhaben gilt.

Gegen die pauschale Unterstellung eines solchenVorgehens durch Mitarbeiter wird sich jeder verwah-ren, insbesondere in den als kritisch erachteten SAP-

Dipl.-BetriebswirtChristoph WildenseeCISM, CIFI, Hannover

Externer Zugriff auf SAP®

Systeme über RFC

PRev_02_2006.qxp 30.06.2006 15:47 Seite 15

(Neben)Buchhaltungssystemen sind solche Möglich-keiten jedoch durch die gesetzeskonforme Aus-gestaltungsnotwendigkeit und der unzureichendenProtokollierung ausgesprochen prekär. Ich erinnerean dieser Stelle gern an die Problematik des Tabellen-Debuggings und der Nutzung der Replace-Funktion.

Grundlagen

Generell werden RFC-Anmeldungen nicht protokol-liert. Über das AuditLog (SM19) besteht dieMöglichkeit, erfolgreiche und gescheiterte RFC-Verbindungszugriffe und Funktionsbausteinaufrufezu protokollieren und über die SAPLogHistorie aus-zuwerten (s. Tabelle USOBT => SM19 =S_ADMI_FCD mit AUDA und AUDD).

Die zugrunde liegenden Berechtigungen sehen wiefolgt aus:

Verwalten von RFC-Verbindungen:

Objekt notwendige EingrenzungS_TCODE TCD: SM59S_ADMI_FCD Funktion: NADM

Aufruf von Funktionsbausteinen:

Objekt notwendige EingrenzungS_RFC Aktivität: 16 (Ausführen)

RFC-Typ: FUGR (Funktionsgruppe)RFC-Name: <Name der RFC-Funktions

gruppe>

Der relevante Systemparameter über RSPARAM /RSPFPAR ist AUTH / RFC_AUTHORITY_CHECK(= 1 [0=keine Prüfung im System], System-Default=1).

SAP® stellt spezifische Funktionsbausteine zurVerfügung, die mittels externer Programmzugriffeaufgerufen werden können. Diese können Tabel-leninhalte zurückgeben oder auch ABAP-Quellcodeenthalten, die im Zielsystem ohne dezidierte Detail-Protokollierung ausgeführt wird. Es existieren ca.200.000 Funktionsbausteine und BAPI's, von denenetwa 15.000 remotefähig, d.h. über RFC aufrufbar,sind (TFDIR / TFTIT, ENLFDIR).

Funktionsbausteine sind in Funktionsgruppen zu-sammengefasst. Sofern einem Benutzer die Berechti-

gung auf S_RFC mit Aktivität = 16, RFC-Objekt =FUGR und einer Eingrenzung in der Funktions-gruppe (RFC_NAME) zugewiesen wurde, kann erüber RFC auf alle Funktionsbausteine der Funk-tionsgruppe zugreifen.

Ein Beispiel für einen problematischen Baustein istRFC_ABAP_INSTALL_AND_RUN der Funk-tionsgruppe SUTL. Mit diesem ist es möglich, einenbeliebigen externen Quellcode im Zielsystem auszu-führen. So kann auch ein Quellcode übergeben wer-den, der Daten manipuliert. Diese Berechtigungkann also zum Verstoß gegen § 239 (Radierverbot)und §257 HGB (Aufbewahrung von Unterlagen -Verfahrensdokumentation) genutzt werden.

Ausführen von Quellcode im Zielsystem:


RFC-Typ: FUGR (Funktions-gruppe)

RFC-Name: SYST, SYSU, SRFC und SUTL

S_ADMI_FCD Funktion: MEMO (Speicher-verwaltung)

S_DEVELOP Aktivität: 03 (Anzeigen)Objekttyp: PROG (ABAP-

Programm)

Für den uneingeschränkten Lesezugriff sind erheb-lich geringere Berechtigungen als zum unprotokol-lierten Ausführen von Quellcode notwendig (z.B.FuBa: RFC_READ_TABLE; GET_TABLE_RFC;TABLE_ENTRIES_GET_VIA_RFC).

Die hier problematischen Funktionsgruppensind somit BDCH, SYSE, SYSU, SYST, SRFC,

SR1T, SRTT, SDTX und SUTL, da externeProgramme üblicherweise mit den hier ent-haltenen Funktionsbausteinen Zugriffe defi-nieren, Stati abfragen und Datenaustausch

betreiben...


PRev_02_2006.qxp 30.06.2006 15:47 Seite 16


Uneingeschränkter Lesezugriff:


RFC-Typ: FUGR (Funktions-gruppe)

RFC-Name: SYSE, SYST, SYSU,SRFC und SDTX / SR1T / SRTT /BDCH

S_TABU_DIS Aktivität: 03 (Anzeigen)Berecht.gruppe: alle bzw. als kri-

tisch erkannte,z.B. aus FI oderHR

Die hier problematischen Funktionsgruppen sindsomit BDCH, SYSE, SYSU, SYST, SRFC, SR1T,SRTT, SDTX und SUTL, da externe Programmeüblicherweise mit den hier enthaltenen Funktions-bausteinen Zugriffe definieren, Stati abfragen undDatenaustausch betreiben (siehe SE37; Berechtigungzur Anzeige von Informationen aus dem DataDictionary: RFC1, SDIF*, SG00, SYST und SYSU).

Abb. 1: Problematische Funktionsgruppen (Auszug)

Externer Zugriff auf die SAP-SSysteme

Das bisher als eher theoretisch behandelte Szenariodes Zugriffs auf SAP-Systeme durch externe Pro-gramme oder Zugangskanäle erhält durch dieVielzahl frei verfügbarer Programme einen prakti-schen Bezug. Mit Hilfe des Programms‚ExtractOnDemand for SAP' (EOD), welches aus-schließlich lesende Zugriffe bereitstellt, wird diesesBedrohungsszenario beispielhaft realistisch betrach-

tet. Dabei sollte der Zugriff stichprobenartig sowohlmit produktiven Berechtigungen als auch mit einemTestuser unter Laborbedingungen analysiert werden.Download-Authorisation o.ä. wird nicht benötigt, dadas Tool eine eigene Preview- und Download-Funktion offeriert.

Nicht jeder Mitarbeiter im Unternehmen wird dasRecht besitzen, Programminstallationen durchzufüh-ren, ein Ausschluss solcher Rechte ist jedoch kaumsicherzustellen. Hinzu kommen temporär zugelasse-ne Konfigurationen (aus Projekten o.ä.), die ebenfallskaum abzusichern sind.

Des Weiteren werden nicht bei jeder Programm-installation lokale Administrationsrechte benötigt.Beispielsweise wird die Schnittstelle als Java-Connec-tor (siehe bereitgestellte Klassen aus JCo) oderAccess-Addon geliefert oder die Connection wirdüber server-basierte Skriptsprachen wie etwa PHP(siehe auch Open Source Projekt ‚SAPRFC' vonEduard Koucky) oder Perl (SAPRFC-Extension)bereitgestellt. EOD ist allerdings ein komplexesProgrammpaket.

Zuletzt ist hier noch zu erwähnen, dass die Nutzungdieser Lücke auch über Systemgrenzen hinweg überdie Verbindung von SAP-System zu SAP-System, jenach Berechtigungsausgestaltung z.B. vonEntwicklung oder Test / Integration zu Produktion,möglich ist und somit ein fehlender Praxisbezugnicht unterstellt werden kann. Die Installation exter-ner Programme stellt den schwierigeren Weg dar,insofern ist ein solches Szenarium durchaus als gege-ben einzuschätzen.

Extract On Demand for SAP

EOD ist ein frei zugängliches Programmpaket, wel-ches über die SOLONDE-Seite bezogen werdenkann. Nach der Installation wird ein Licence-Keybenötigt, dieser wird für eine befristete Testlizenznach einer Registrierung bereitgestellt. NachVorliegen der Schlüsseldatei im Programmver-zeichnis können alle SAP-Systeme angesteuert wer-den. EOD nutzt die SAP-Logon-Systemeinstel-lungen aus der SAPLOGON.INI oder eine manuel-le Einstellung, die unter ‚Advanced' eingerichtet wer-den kann - das Zugangsprocedere ist mit dem desSAPGUI-Logon vergleichbar.

PRev_02_2006.qxp 30.06.2006 15:48 Seite 17

Abb. 2: Zugriff über EOD (Logon)

Nach erfolgreicher Anmeldung können aus denTabellengruppen einzelne Tabellen- und View-Fel-der ausgewählt (Joins) und zu einer ‚Output-Fields'-Liste zusammengestellt werden. Ein Search-Modusermöglicht die explizite Suche nach einzelnen Tabel-len und Views, deren Daten über die Preview-Funk-tion angezeigt werden können. Grundsätzlich sind -vorbehaltlich entsprechender Berechtigungen - alleDaten eines SAP-Systems im Zugriff, die in Tabellenvorgehalten werden. Es gibt einige Bereiche, indenen die Daten in Binärform oder verschlüsseltvorliegen. Diese können nicht ohne weiteres aufge-löst werden, hierzu sind zusätzliche Bausteinaufrufeoder BAPI's zu nutzen (z.B. für FeldbeschreibungenDDIF_FIELDINFO_GET). Strukturen wie z.B. imHR die Infotypstruktur P0008 sind nicht notwendi-gerweise mit Tabellen verknüpft, sondern dienenmeist der Aufbereitung von Daten aus verschiedenenTabellen. Diese Strukturen werden nicht angezeigt -sehr wohl aber die zugehörigen Tabellen.

Abb. 3: Zugriff über EOD (HR PA0008)

Als besonders sensibel gelten beispielsweise die Pay-ment-Daten. Auch diese sind über die Metadaten-suche selektierbar, allerdings muss hier die BAPI-

Technik (d.h. über Mitgabe eines BAPI's [HR-Cluster] - siehe u.a. BAPI_GET_PAYSLIP [Entgelt-nachweis für Mitarbeiter]) einbezogen werden, umauf der Mitarbeiterebene, d.h. im detailliertenEinzelzugriff, Daten aufzubereiten.

Abb. 4: Zugriff über EOD (Payment)

So lassen sich gewünschte Ergebnislisten per Previewund Download ohne Protokollierung im SAP belie-big auf dem Arbeitsplatzrechner zusammenstellen.

Fazit

Der hier beschriebene Zugriff auf SAP-Systemedemonstriert eine einfache Handhabung beim pro-blemlosen Umgehen dokumentierter / gewünschterSicherheitspolicies. Es zeigt sich deutlich, dass eineBeschränkung der Berechtigungsstrukturen in SAPnicht ausreicht, die umfangreichen betriebswirt-schaftlichen Informationen, die im SAP - als die imUnternehmen zumeist maßgebliche Datenhaltung -abgelegt werden, abzusichern. Zum einen ist derZugriff im SAP selbst, aber auch auf Betriebssys-tem- und Datenbankebene zu begrenzen, zum ande-ren besonders aber auch die Kanäle, die sich über dieSAP-Schnittstellen und die Nutzung externerConnectoren ergeben. Dieser letzte Punkt kann nurunterbunden werden, wenn die Schnittstellen über-wacht und eingeschränkt werden.

Häufig entscheidet das Unternehmen auswirtschaftlichen Erwägungen heraus, dieAdministration in strukturellen Fragen zuentlasten und lediglich einen geringen Teilder Einschränkungsmöglichkeiten des SAP-

Systems zu nutzen.


PRev_02_2006.qxp 30.06.2006 15:49 Seite 18


Folgende Maßnahmen sind hierzu u.a. erforderlich:• Restriktiver Ansatz bei der Vergabe von RFC-

Zugriffsberechtigungen • Protokollierung gescheiterter, aber auch geglück-

ter Zugriffsversuche über RFC und Dokumenta-tionspflicht für die entsprechenden Benutzungen

• Auswertung der Protokollierung hinsichtlich die-ser Ereignisse

• Reduzierung der Berechtigungen:o Ausschluss von: S_ADMI_FCD: Funktion

MEMO für alle Benutzerstammsätze; Aus-nahme: Notfalluser, SAP-Hotline und Nicht-Dialog-User / Systemuser

o Ausschluss von: S_RFC: FunktionsgruppenBDCH, SYSE, SYST, SYSU, SRFC, SR1T,SRTT, SDTX und SUTL; Ausnahme wiezuvor

o Einschränkung von: S_TABU_DIS: dezidier-te Einschränkung auf Ebene der Tabellen-gruppen auch für Anzeige der Tabellen beiallen Benutzern

o Einschränkung der Definitionsmöglichkeitvon RFC-Destinationen (SM59 / NADM)=> nur für SAP-Basisadministration undNotfalluser

• Analyse weiterer konkurrierender Zugangskanäle(auch RFC im Kundennamensraum u.a.) undmöglicher Datencontainer und Eingrenzung dieser

• Positionierung des Unternehmens hinsichtlichdes generell anzustrebenden Sicherheitsniveausim Umfeld der SAP-Systeme und Risikoklassi-fizierung betriebswirtschaftlicher Informationen

Häufig entscheidet das Unternehmen aus wirtschaft-lichen Erwägungen heraus, die Administration instrukturellen Fragen zu entlasten und lediglich einengeringen Teil der Einschränkungsmöglichkeiten desSAP-Systems zu nutzen. Es wird also auf der Ebeneder Datenabsicherung in den SAP-Funktionen nichtin dem Maße eingegrenzt, wie dies sinnvoll ist("Überversorgung" auf der Ebene der Berechti-gungsobjekte) und überwiegend die Transaktions-ebene als Schlüssel zur Funktionsbereitstellung ge-nutzt. Tatsächlich substituiert ein wie hier dargestell-tes Tool jedoch die bewusst entzogene Transaktions-berechtigung im Zielsystem (SE16, SQ01 usw.).

Es ist kaum zu verhindern, dass Schnittstellen durchexterne Connectoren genutzt werden - es stehtbereits eine Vielzahl von Tools zur Verfügung. Eine

Reglementierung dieser von SAP bereitgestelltenoffenen, jedoch nicht jedem offensichtlichen Schnitt-stellen ist unausweichlich.

Ausgesuchte Literatur:

Beyer/Fischer/Jäck u.a. SAP Berechtigungswesen -Design und Realisierungvon Berechtigungskonzep-ten für SAP R/3 und SAPEnterprise Portal,SAP Press / Galileo Press,Bonn, 2003;

Thomas Tiede SAP R/3 Ordnungsmäßig-keit und Prüfung des SAP-Systems (OPSAP), 2. Auf-lage, Ottokar-Schreiber-Verlag, Hamburg, S. 282 -304,www.osv-hamburg.de;

Christoph Wildensee Ausgesuchte Berechti-gungsobjekte des SAP R/3- Systems als Prüfungsan-satz für die IV-Revision -Eine Übersicht - Teil 1 bis 3für Basis, FI & CO; DasSAP R/3 IS-U-Berechti-gungskonzept - Versor-gungswirtschaft - Ein Prüf-ungsansatz für die InterneRevision; Regelungsbedarfüber die Berechtigungsdefi-nition und -vergabe hinaus,ReVision III/2001ff, Otto-ka r-Schre ibe r-Ver l ag ,Hamburg,www.osv-hamburg.de;

OPAL SAP Data Downloaderwww.opalsoft.com.au

SOLONDE ExtractOnDemand forSAP®; www.solonde.com

TISCOM RFCdirect; ww.tiscon.com

WINSHUTTLE TablePro;www.winshuttle.com ✜

PRev_02_2006.qxp 30.06.2006 15:49 Seite 19

Haben Sie eine Vorstellung von den möglichen Be-rechtigungsstrukturen für Ihr Unternehmen? Ver-tiefende Informationen zu BW-Berechtigungs-objekten schaffen Klarheit.

Was sie hier erwartet

Dieser Artikel erläutert das SAP BW-Berechtigungs-konzept, welches auf der Nutzung von vordefinier-ten und selbst angelegten Berechtigungsobjektenbasiert. Im folgenden sollen die wichtigsten Objektein ihrer Funktionalität vorgestellt und an Beispielenverdeutlicht werden.

Ausblick

In weiteren Artikeln, die in den nächsten Ausgabendieser Fachzeitschrift erscheinen, werden ihnenSchritt für Schritt vertiefende Kenntnisse des mitSAP BW zur Verfügung stehenden Instrumentari-ums vermittelt. Einen größerer Einblick in wichtigeTeilaspekte verschafft ihnen die Möglichkeit, dieRevisionsqualität ihres BW-Systems durch konkretePrüfungsansätze maßgeblich zu erhöhen.

Berechtigungskonzeption von SAP BW

Das Berechtigungskonzept von R/3® stellt die ele-mentarste Sicherheitsfunktion des Systems dar.Gleiches gilt für das Business-Information-Warehouse von SAP®. SAP® arbeitet transaktions-gesteuert. Das bedeutet, dass jede Anwendung inner-halb von SAP® durch eine Transaktion dargestelltwird. Das Berechtigungskonzept ist so aufgebaut,

dass Benutzer Berechtigungen benötigen, um eineFunktion ausführen zu können. Diese werden beiSAP Transaktionen genannt.

Transaktionen

Transaktionen sind Programme, die einen Zugriffauf verschiedene Arten von Daten erlauben. Mitihnen werden im Business-Warehouse Daten vonanderen Systemen geholt, aufbereitet und verändert,gespeichert und für Auswertungen bereitgestellt. DasBerechtigungskonzept ist so aufgebaut, dass Benut-zer Berechtigungen benötigen, um eine Transaktionausführen zu dürfen. Für die meisten Transaktionenist es notwendig, dass die Möglichkeiten, die dieseTransaktion bietet, eingeschränkt werden. Es kanndurchaus sinnvoll sein, einigen Benutzern die An-zeige von Tabellen zu gestatten, nicht allerdings dieÄnderung derselben. Realisiert werden diese not-wendigen Einschränkungen über Berechtigungs-objekte.

Berechtigungsobjekte

Innerhalb des Berechtigungskonzeptes spielen spe-zielle Berechtigungsobjekte eine tragende Rolle. Fürein Objekt innerhalb des BW Systems gilt, dass essich um einen vordefinierten <Datencontainer>

Claus-Dieter LillichIBS Schreiber GmbH

SAP® BusinessInformation WarehouseChancen und Risiken - Teil II: “Objekte der Begehrlichkeit!?”

Es kann durchaus sinnvoll sein, einigenBenutzern die Anzeige von Tabellen zu ge-

statten, nicht allerdings die Änderung der-selben.


PRev_02_2006.qxp 30.06.2006 15:49 Seite 20


handelt, der in Verbindung mit anderen <Datencontainern> des selben Benutzers bzw. der selben Benutzer-gruppe die Ausführung einer festgelegten Aktion erlaubt.

Liste aller Berechtigungsobjekte im SAP BW

Berechtigungsobjekte aus der Objektklasse RS (Business Information Warehouse)

RSCRMRTUPD RSCRMRTUPD

R_AREA Planungsgebiet

R_BUNDLE Globale Planungssequenz

R_CT_SET Währungsumrechnungseinstellungen

R_METHOD Planungsmethode

R_PACKAGE Planungspaket

R_PARAM Parametergruppe

R_PLEVEL Planungsebene

R_PM_NAME Planungsmappe

R_PROFILE Planungsprofile

R_STS_CUST Ausführung des Customizing zum Status- und Tracking-System

R_STS_PT Berechtigung für Planungsrunde und Teilplan

R_STS_ST nicht mehr verwenden, bitte R_STS_PT verwenden!

R_STS_SUP Berechtigung für Sonderzugriff Status und Tracking-System

R_UPX_EXEC Vertriebsplanung ausführen

R_UPX_MNTN Einstellungen zur Vertriebsplanung

R_WEBITF Benutzung des Web Interface Builders

S_RS_ADMWB Administrator Workbench - Objekte

S_RS_BCS BEx Broadcasting Berechtigung zum Einplanen

S_RS_COMP Business Explorer - Komponenten

S_RS_COMP1 Business Explorer - Komponenten: Erweiterung auf Owner

S_RS_FOLD Business Explorer - Ordnersicht ein/aus

S_RS_HIER Administrator Workbench - Hierarchie

S_RS_ICUBE Administrator Workbench - InfoCube

S_RS_IOBC Administrator Workbench - InfoObjectCatalog

S_RS_IOBJ Administrator Workbench - InfoObject

S_RS_IOMAD Administrator Workbench - Stammdaten pflegen

S_RS_ISET Administrator Workbench - Infoset

S_RS_ISOUR Administrator Workbench - InfoSource (flex. Fortschreibung)

S_RS_ISRCM Administrator Workbench - InfoSource (direkte Fortschr.)

S_RS_MPRO Administrator Workbench - Multiprovider

S_RS_ODSO Administrator Workbench - ODS-Objekt

S_RS_TOOLS Business Explorer - einzelne Werkzeuge

PRev_02_2006.qxp 30.06.2006 15:49 Seite 21

Zu Berichtszwecken stellt die SAP ferner die Objektklasse RSR (Business Information Warehouse - Reporting)zur Verfügung. In ihr und nur hier können eigendefinierte Berechtigungsobjekte gespeichert werden. Sie die-nen den speziellen Anforderungen an das Reporting des einzelnen Unternehmens.

Anwendungsbereich und Aufgabe der wichtigsten Berechtigungsobjekte

Im Folgenden werden Berechtigungsobjekte im Zusammenhang mit ihrem Benutzerkreis dargestellt:

Objekte für wen Bezeichnung Beschreibung Beispiel

Berichtswesen undAdministration

S_RS_ICUBE Berechtigungen zum Arbeitenmit InfoCubes und ihrenTeilobjekten.Autorisierung der Anwender,die zur Definition desInfoCube, zur Anwendung vonFortschreibungsregeln und zurAnzeige der Daten imInfoCube berechtigt sind.Dieses Objekt schützt die Basisfür das Arbeiten mit InfoCubes.

Ihr SAP BW-Administrator ist für das Anlegen vonInfoCubes zuständig (Aktivität=01). DerAbteilungsleiter Verkauf benötigt Zugang zu denDaten in einem der neuen InfoCubes (Aktivität=03).Obwohl die Berechtigungswerte unterschiedlich sind,benötigen sowohl der Administrator als auch derAbteilungsleiter Verkauf Zugang zu diesem Objekt.

S_RS_ODSO Berechtigungen zum Arbeitenmit ODS-Objekten und ihrenTeilobjekten

Zusätzlich zu den InfoCubes kann ein SAP-BW-Ad-ministrator ODS-Objekte zur Verarbeitung großerMengen von Bewegungsdaten anlegen (Aktivität=01).Der Abteilungsleiter Verkauf benötigt auch Zugang zuDaten einiger ODS-Objekte, weil hier Detailinforma-tionen zur Verfügung gestellt werden (Aktivität=03).

S_RS_HIER Berechtigungen zum Arbeitenmit Hierarchien. Durch diesesObjekt wird festgelegt, wer zumAnlegen von Hierarchien undwer zum Ausführen vonQueries berechtigt ist, dieHierarchien verwenden.

Die Geschäftsleitung benötigt Informationen nachKostenstelle. Der Abteilungsleiter Verkauf für dieeinzelnen Verkaufsgebiete (Europa, Amerika, Asien)und möchte diese auf Kostenstellenebene betrachten.Die Kostenstellen sind in einer Hierarchie definiert.Innerhalb der Hierarchie Verkaufsgebiet befindensich die Kostenstellen für jede Region in diesemBereich. Der BW-Administrator benötigtS_RS_HIER zum Anlegen der Hierarchien; derAbteilungsleiter Verkauf benötigt S_RS_HIER zumAusführen der Queries, die Hierarchien nutzen.

Berichtswesen S_RS_COMP Berechtigung zur Verwendungverschiedener Komponentenfür die Query-Definition.Dieses Berechtigungsobjekt istsehr wichtig für das Reporting.

Im IKS ihres Unternehmens ist definiert, dass jederPower-User Queries nur zu seiner eigenen Abteilunganlegen darf. Sie verwenden für jede Abteilung einebestimmte Namenskonvention. S_RS_COMP kannzur Umsetzung dieser Strategie verwendet werden (inder Einkaufsabteilung müssen beispielsweise alleQueries mit EK beginnen). Möglichkeit 2 im IKSihres Unternehmens ist definiert, dass jeder Power-User Queries nur zu seiner eigenen Abteilung anle-gen darf. Sie haben die Abteilung mit einer bestimm-ten InfoArea und einem bestimmten InfoCube ver-knüpft. Alle Power-User können beliebige Queriesmit einem beliebigen Namen erzeugen, solange sienur Queries zu "ihrem" InfoCube erzeugen.S_RS_COMP kann ebenso zur Umsetzung dieserStrategie verwendet werden. Im ersten Beispiel ist dieBerechtigung mit dem Query-Namen verknüpft, imzweiten Beispiel mit dem InfoCube.


PRev_02_2006.qxp 30.06.2006 15:49 Seite 22


Objekte für wen Bezeichnung Beschreibung Beispiel

S_RS_COMP1 Berechtigung für Queries vonbestimmten Besitzern. Mit die-sem Objekt kann nach Query-Besitzer eingeschränkt werden,welche Queries ein Anwenderanzeigen kann.

Power-User A, B und C erzeugen Querys für ver-schiedene Arbeitsgebiete. Möchte ein Anwender imBex Analyzer eine Query ausführen, enthält dieQuery-Liste nur die Queries, die von seinem Power-User erzeugt wurden.

S_RS_FOLD Berechtigung für Mappenanzeigen.

Der Reporting-Anwender kann nur seine MappeFavoriten und die der zugewiesenen Rollen anzeigen.Es ist nicht möglich, andere InfoAreas anzuzeigen,zu denen kein Zugang erteilt wurde.

Administration S_RS_ADMWB Berechtigung zum Schutz dereinzelnen Objekte der Adminis-tratorWorkbench: Quellsystem,InfoObject, Monitor, Anwen-dungskomponenten, InfoArea,AdministratorWorkbench,Einstellungen, Metadaten,InfoPackages und InfoPackage-Gruppen.

U. a. wird dieses Objekt im Transaktionscode RSA1verwendet und deckt zahlreicheAdministrationsaufgaben ab. Hierzu zählt beispiels-weise die Bearbeitung von Quellsystemen,InfoObjects, InfoPackages, Stammdaten undBewegungsdaten.

S_RS_IOBJ Berechtigung zum Arbeiten miteinzelnen InfoObjekten undihren Teilobjekten. DiesesBerechtigungsobjekt wird nurgeprüft, wenn der Benutzernicht zur Pflege oder Anzeigevon InfoObjects berechtigt ist.

Muss ein Anwender nur Info-Objekte bearbeiten,kann ein Administrator mit der BerechtigungS_RS_ADMBW diesem Anwender S_RS_IOBJzuweisen.

S_RS_ISOUR Berechtigung zum Arbeiten mitBewegungsdaten, InfoSourcesund ihre Teilobjekte undStammdaten InfoSources. Mitdiesem Berechtigungsobjektkönnen Sie die Bearbeitung vonInfoSources mit flexibler Fort-schreibung und ihren Teilobjek-ten einschränken. Dieses Ob-jekt schützt den Zugang zu denunterschiedlichen Quellsys-temen und die Verwaltung derÜbertragungsregeln.

Ein Administrator in Ihrem Unternehmen legt fest,welcher Administrator welche Daten (z.B. BereichEinkauf) bzw. aus welchen Quellsystem(en) (z.B.Firma A oder Standort B) extrahieren darf, bzw. fürdie Batchverarbeitung, welche Daten extrahiert wer-den sollen.

S_RS_ISRCM Berechtigung zum Arbeiten mitStammdaten-InfoSources undihren Teilobjekten. Mit diesemBerechtigungsobjekt können Siedie Bearbeitung vonInfoSources mit direkter Fort-schreibung (für Stammdaten)oder mit ihren Teilobjekten ein-schränken.

Ein Administrator in Ihrem Unternehmen legt fest,welche Stammdaten auf welche Art und Weise(Verwaltung der Übertragungsregeln) aus welchenQuellsystemen extrahiert werden sollen.

PRev_02_2006.qxp 30.06.2006 15:49 Seite 23


Attribute von Berechtigungsobjekten

Ein Berechtigungsobjekt kann aus bis zu 10 unterschiedlichen Parametern bestehen, die Attribute genanntwerden. Diese spezifizieren die Zugriffsmöglichkeiten.

Beispiel der möglichen Werte des Attributs: Aktivität

Nachfolgend werden die Attribute der aufgezeigten Berechtigungsobjekte vollständig dargestellt:

Bezeichnung Beschreibung Attribute Wert

S_RS_ADMWBAdministrator Workbench

AktivitätAdministrator Workbench Objekt

ACTVTRSADMWBOBJ

**

S_RS_COMP

Business Explorer - KomponentenAktivitätInfoAreaInfoCubeName (ID) einer Reporting-KomponenteTyp einer Reporting-Komponente

ACTVTRSINFOAREARSINFOCUBERSZCOMPIDRSZCOMPTP

*****

S_RS_COMP1

Business Explorer - Komponenten: Erweiterung auf OwnerAktivitätName (ID) einer Reporting-KomponenteTyp einer Reporting-KomponenteBesitzer (Verantwortlicher)

ACTVTRSZCOMPIDRSZCOMPTPRSZOWNER

****

S_RS_FOLDBusiness Explorer - Ordnersicht ein/aus

Druckknopf “Ordner” ausblenden SUP_FOLDE *

S_RS_HIER

Administrator Workbench - HierarchieAktivitätHierarchienameInfoObjectHierarchieversion

ACTVTRSHIENMRSIOBJNMRSVERSION

****

S_RS_ICUBE

Administrator Workbench - InfoCubeAktivitätInfoCube - TeilobjektInfoAreaInfoCube

ACTVTRSICUBEOBJRSINFOAREARSINFOCUBE

****

S_RS_IOBJ

Administrator Workbench - InfoObjectAktivitätInfoObjectInfoObjectCatalogTeilobjekt zum InfoObject

ACTVTRSIOBJRSIOBJCATRSIOBJPAR

****

PRev_02_2006.qxp 30.06.2006 15:49 Seite 24


Zuordnung zu Funktionen

Wie im SAP R/3-System, werden Profile fürBenutzer mit gleicher Aufgabenstellung erstellt.Diese Profile bestehen aus Zuordnungen von Trans-aktionsberechtigungen und Berechtigungsobjekten.Grundsätzlich besteht der Wunsch nach derAttributsausprägung <*>, die den uneingeschränk-ten Zugriff auf die Funktionalitäten des Objektsbeinhaltet.

Objekte der Begehrlichkeit

Aus der Erfahrung im Bereich Revision zeigt sich,dass der restriktiven Zuordnung von Berechti-gungsobjekten zu wenig Beachtung geschenkt wird.Ohne feste Vorgaben und laufende Kontrolle, wer-den häufig - unabhängig von der tatsächlichenNotwendigkeit - ihre Mitarbeiten quasi unbemerkt zu<Superusern>. Dieses birgt neben gelegentlichenpraktischen Vorteilen ein großes Risiko in Bezug aufden Schutz ihrer Geschäftsdaten vor unerwünschtemoder unberechtigtem Zugriff. Ein <Superuser> istletztlich sogar in der Lage, aus dem BW-System her-aus Daten zu verändern. Aus diesem Grunde solltebei der Anlage von Profilen stets bedacht werden:

Berechtigungsobjekte sind "Objekte der Begehrlichkeit".

✜

+++ Pressenotiz +++

Lohnsteuerrecht aktuell und die Auswirkungen für dieUnternehmen Praxisrelevante Informationen zurUmsetzung der anstehenden Gesetzesänderungen auf dem24. alga-Fachforum in Bad Neuenahr 12. Juni 2006 – DieSteueränderungen sind beschlossene Sache, doch welcheKonsequenzen diese für die Unternehmen in der täglichenPraxis haben, ist noch unklar. Licht in den Dschungel derNeuerungen im Tagesgeschäft bringt das 24. alga-Fachforum vom 19.6. - 21.06.2006 in Bad Neuenahr. Nam-hafte Referenten erläutern die wichtigsten Auswirkungensachgerecht und kompetent. In Diskussionsrunden könneneingehend Fragen gestellt werden. „Da die Umsetzung derbeschlossenen Steueränderungen in 2007 ansteht, haben wirgezielt nach Referenten gesucht, die Spezialisten auf diesemGebiet sind. Es ist uns gelungen MR Richard Reinhart,Bundesfinanzministerium, Bonn, Michael-Ingo Thomas,Richter am Bundesfinanzhof, München sowie RolandBurau, Projektleiter ElsterLohn, Düsseldorf, zu gewinnen,“erläutert Hans-Günter Böse, Geschäftsführer der datakon-text-tagungen GmbH & Co.KG. Diskutiert werden in BadNeuenahr auch weitere Gesetzesvorhaben 2007, wie der Ar-beitgeber-Lohnsteuerjahresausgleich, die Vorsorgepauschalesowie die Festschreibung von Freibeträgen für Versorgungs-bezüge. „Wir sind stolz darauf, dass es uns erneut gelungenist, dieses spannende Thema Lohnsteuerrecht mit derarthochkarätigen Referenten zu besetzen, die im Tagesgeschäftmit den jeweiligen Fragestellungen der Praxis beschäftigtsind und somit Rede und Antwort stehen können“, ergänztBernd Hentschel, Vorsitzender und Gesamtleiter des alga-Competence-Centers, Frechen. Hentschel kann durch seinelangjährige Arbeit auf ein funktionierendes Netzwerk kom-petenter Referenten zurückgreifen, die das Programm deralga-Fachforen interessant gestalten.

Ansprechpartner für Rückfragen:Elke PetersTel. +49 (0)22 34 / 6 56 - 33Fax +49 (0)22 34 / 6 56 - 35E-Mail: [email protected]

Bezeichnung Beschreibung Attribute Wert

S_RS_ISOUR

Administrator Workbench - InfoSource (flex. Fortschreibung)AktivitätAnwendungskomponenteInfoSourceInfoSource-Teilobjekt

ACTVTRSAPPLNMRSISOURCERSISRCOBJ

****

S_RS_ISRCM

Administrator Workbench - InfoSource (direkte Fortschreibung)AktivitätAnwendungskomponenteInfoSource-TeilobjektObjectSource (Stammdaten, Texte und Hierachien)

ACTVTRSAPPLNMRSISRCOBJRSOSOURCE

****

S_RS_ODSO

Administrator Workbench - ODS-ObjektAktivitätInfoAreaODS-ObjektTeilobjekt zum ODS-Objekt

ACTVTRSINFOAREARSODSOBJRSODSPART

****

PRev_02_2006.qxp 30.06.2006 15:49 Seite 25

IT-Revision


die Entwicklung von Applikationen und deren Einsatz in Unternehmen geht mit rasanter Geschwindigkeitvoran. Immer mehr Funktionen, Prozesse und Datenbestände werden digitalisiert und miteinander verknüpft.

Für die interne Revision bleibt das Problem, dass für eine Prüfung dieser rasanten Entwicklung nur in den sel-tensten Fällen auch Tools bereitstehen, um diesen neuen Einsatz von Systemen und Prozessen prüfen zu kön-nen.

Daher bleibt oft nur der Weg, auf Standard-Tools für eine Auswertung und Analyse von Daten und derenVerknüpfungen zurückzugreifen.

Frau Katrin Fitz zeigt in einem Beitrag an praktischen Beispielen, wie man mit dem Einsatz von Microsoft-Office-Produkten Datenbestände aus Applikationen prüfen und auswerten kann, ohne dass diese dafür expli-zite Funktionen für einen Revisor bereitstellen müssen.

Anhand des Einsatzes von Excel und Access wird gezeigt, wie man nach bestimmten Kriterien in Grenz-werten Abweichungen ermitteln kann oder Inkonsistenzen zwischen verschiedenen Datenbeständen ermittelt.

Dass IT-Sicherheit heute nur Geld zusätzlich kostet, ist eine gängig verbreitete Meinung. Aber dass sich mitdem Einsatz von IT-Sicherheit auch Geld verdienen lässt, abgesehen von den sonstigen Steigerungen, diedamit verbunden sind, ist nur für Wenige nachvollziehbar.

Hier kann auch die Empfehlung der Revision bei Prüfungen und deren Argumentation der wirtschaftlichenVorteile bei der Umsetzung von Maßnahmen unterstützend wirken. Es gibt zwar keinen allgemeingültigenKalkulator für ein "Return on Security Investment" (RoSI), aber in einem Beitrag finden Sie hier Ansätze , dieauch einen wirtschaftlichen Aspekt darstellen lässt und kalkulieren lassen.

Ihr

Michael Foth

PRev_02_2006.qxp 30.06.2006 15:49 Seite 26


Speziell für die Prüfung von Massendaten gibt eszwei Produkte am Markt, die einen immensen Um-fang an Programmfunktionen bieten. Sie sind spe-ziell auf die Bedürfnisse des Revisors angepasst.Gemeint sind IDEA® und ACL®.

Die Stärken liegen eindeutig im Umgang mit Mas-sendaten, in diversen Importfiltern für externeDaten und in den Analysefunktionen.

In welcher Weise grenzen sich diese Prüf-tools von den MS Office Produkten Excel®und Access® ab?

Der eindeutige Wettbewerbsvorteil der MS Office-Produkte ist, dass sie so vielfältig einsetzbar sind,dass sie in vielen Unternehmen bereits an jedemArbeitsplatz vorhanden sind. Bei der Entscheidungzwischen IDEA® und MS Excel® bzw. MSAccess® werden also meistenteils nicht die jeweili-gen Kosten und Nutzen gegenüber gestellt. Es mussviel mehr geprüft werden, ob vorhandene Tools (hieralso das MS Office Paket) den Bedarf abdecken kön-nen.

Welche Möglichkeiten bieten MS Excel®und MS Access® und wo liegen dieGrenzen?

Der Spezifikation von MS Excel® 2003 ist zu ent-nehmen, dass ein Arbeitsblatt maximal 65.536 Zeilenund 256 Spalten haben kann. Jede Zelle kann 32.767Zeichen aufnehmen. Die Anzahl der Arbeitblätter istnur durch den verfügbaren Hauptspeicher begrenzt.

Auch in MS Access® kann eine Tabelle nicht mehrals 255 Spalten enthalten. Die Zeilenzahl ist nichtdirekt beschränkt, die gesamte Tabelle darf jedochnicht größer als 1GB werden. Die Anzahl derObjekte ist auf 32.768 beschränkt. Hierzu gehörenTabellen, Abfragen, Berichte, Formulare, Seiten undModule. Insgesamt darf die Datenbank nicht größerals 2GB werden.

Die Grenzen der zu bearbeitenden Datenmenge sindalso klar definiert und für den größten Teil derArbeit sicher ausreichend.

Der nächste Aspekt ist die Revisionsfestigkeit unddie Protokollierung der ausgeführten Analysen.Diese sind bei IDEA® und ACL® vollständig gege-ben, die MS Office Produkte bieten hier keine Mög-lichkeit. Die versehentliche Bearbeitung der Datenkann zwar begrenzt unterbunden werden, vonRevisionsfestigkeit kann hier jedoch nicht gespro-chen werden.

Von diesen Randbedingungen abgesehen bietet dasOffice-Paket mit Excel® und Access® zwei mächti-ge Werkzeuge zur Datenanalyse.

Nachfolgend möchte ich anhand von drei Beispielenaufzeigen, wie klassische Revisions-Fragen gelöstwerden können.

Schichtung (Excel®)

Bei einer Menge von Auftragsdaten ist es zur Analysesehr hilfreich, diese zunächst in verschiedene

Dipl.-Wirtschafts-Ing.Katrin FitzIBS Schreiber GmbH

Das MS Office Paketals Prüftool

PRev_02_2006.qxp 30.06.2006 15:49 Seite 27


Kategorien einzuteilen. Zum Beispiel gibt es einsogenanntes Vertrauensintervall, in dem Aufträge nichtgenauer geprüft werden. Die Mitarbeiter haben bei-spielsweise freien Handlungsspielraum bis 500 EUR.Hier würden die Grenzen von 400 EUR bis 500EUR angesetzt.

Ein weiteres interessantes Intervall ist das der Aus-schreibungsgrenzen. Evtl. gibt es Richtlinien die vor-schreiben, dass ab einem Volumen von 5.000 EURbeschränkt ausgeschrieben werden muss und ab10.000 EUR öffentlich. Hier sind die Bereiche kurzdarunter interessant um Splittung aufzudecken. Füröffentliche Auftraggeber werden diese Grenzendurch das Vergaberecht geregelt.

In dem Beispiel teilen wir unsere Auftragsdaten alsoin folgende Schichten ein, die anschließend näheruntersucht werden müssen:

400 EUR - 500 EUR Vertrauensintervall4.000 EUR - 5.000 EUR bis beschränkte Vergabe9.000 EUR - 10.000 EUR bis Ausschreibung

Umsetzung in Excel®:

Zur Einteilung der Daten in die jeweiligen Schichtenkann die Funktion SVERWEIS() verwendet wer-den.

Im ersten Schritt wird eine Matrix aufgestellt, die inder ersten Spalte die untere Grenze des Intervallsenthält. Als obere Grenze dient die untere Grenzedes nächsten Intervalls. Aus diesem Grund müssenwir also auch die Intervalle, die nicht geprüft werdensollen, mit aufnehmen.

In der zweiten Spalte wird der Kategorie ein Namezugeordnet:

Im zweiten Schritt wird an die Datenbasis (Auf-tragsdaten) eine berechnete Spalte angefügt. Als

Formel dient hier der bereits erwähnte SVER-WEIS(). Diese Funktion benötigt mindestens dreiArgumente: Suchkriterium, Matrix undSpaltenindex.

Suchkriterium enthält den Wert, der in derMatrix gesucht wird.

In unserem Beispiel ist es das Auftragsvolumen, dassin eine der Schichten einsortiert werden soll.

Matrix enthält den Bereich in Excel®, in dem sichdie Verweis-Matrix befindet. In unserem Beispielkann es A1:B6 (Spalte A und B, Zeile 1 bis 6) sein.

Spaltenindex enthält den Index der Spalte, indem der Name der Kategorie zu finden ist. Hierbeiwerden die Spalten der unter Matrix definiertenMatrix mit 1 beginnend nummeriert.

In unserem Beispiel ist dies also der Wert 2.

In der berechneten Spalte steht nun je nach Auftrags-wert entweder ‚Vertrauensintervall', ‚bis beschränkteAusschreibung', ‚ bis Ausschreibung' oder ‚irrele-vant'.

Im dritten Schritt kann nach diesen Begriffen nachBelieben gruppiert, sortiert und gefiltert werden.Interessante Stichworte hierzu sind die FunktionenTeilergebnisse und Pivot-Tabelle aus Excel®.

Für die Risiko-Bewertung ist ebenfalls interessant zusehen, wie viele Aufträge den Hauptumsatz ausma-chen. Werden z.B. 40% des Umsatzes mit 2% derAufträge erwirtschaftet? Wie kann reagiert werden,wenn einer der Hauptkunden ausfällt?

Altersstrukturanalyse (Excel®)

Mit der Altersstukturanalyse können Datenbeständenach Bearbeitungszeiträumen gruppiert werden. Sokann zum Beispiel das Zahlungsverhalten derKunden überprüft werden. Fragestellungen wie "Wieviele Kunden zahlen innerhalb der ersten 30 Tage(Skonto)" oder "Wie verteilen sich die OffenenPosten im Bezug auf Rechnungsdatum?" können mitdieser Funktion leicht geprüft werden. Die Umset-zung in Excel® lässt sich ebenfalls durch die Funk-tion SVERWEIS() realisieren.

400 EUR Vertrauensintervall

500 EUR irrelevant

4.000 EUR bis beschränkte Ausschreibung

5.000 EUR irrelevant

9.000 EUR bis Ausschreibung

10.000 EUR irrelevant

PRev_02_2006.qxp 30.06.2006 15:49 Seite 28

Im ersten Schritt wird ein berechnetes Feld ange-fügt, dass den Zeitraum zwischen zwei Daten angibt.Hierzu kann einfach das eine Datum vom zweitenabgezogen werden. Das Ergebnis ist die Anzahl derTage als Zahl. Die Zelle muss also als Zahl forma-tiert sein um das Ergebnis korrekt angezeigt zubekommen.

Das aktuelle Datum erhält man mit der FunktionHEUTE()

Die Formel für das Alter eines offenen Postens kannalso folgendermaßen aussehen:=HEUTE() - RgDatum

Wobei RgDatum für das Feld steht, in dem dasRechnungsdatum gespeichert ist.

Im zweiten Schritt muss eine Matrix aufgestellt wer-den. Sie kann folgendermaßen aussehen:

Hier gibt die erste Spalte die untere Grenze desIntervalls an, die zweite Spalte gibt den Namen fürdie Kategorie an.

Im dritten Schritt wird wie bei der Schichtung einFeld für den SVERWEIS() angefügt. Als Such-kriterium dient bei der Altersstrukturanalyse das imSchritt Eins berechnete Feld.

Die Funktion könnte in dem angeführten Beispielfolgendermaßen aussehen:=SVERWEIS(RgAlter;A1:B5;2)

Im vierten Schritt kann nach Belieben sortiert,gruppiert und gefiltert werden. Weitere Analysenkönnen mit der Funktion Teilergebnisse oder überPivottabellen berechnet werden

Inkonsistenzprüfung (Access®)

Diese Prüfung kann angewendet werden, wenn zweiverschiedene Tabellen mit einem gemeinsamen

Schlüssel vorliegen. Es wird hierbei geprüft, ob inbeiden Tabellen Daten zu jedem Schlüssel vorhan-den sind. Dies können zum Beispiel Bestellkopf-daten und Bestelldetails sein. Die Kopfdaten-Tabelleenthält alle Daten zum Auftraggeber und die TabelleBestelldetails enthält alle Bestellpositionen. Die spe-zielle Prüffrage lautet hier: "Gibt es Bestellungenohne Bestelldetails?"

Diese Fragestellung ist denkbar einfach zu lösen.Access® stellt hierzu einen Assistenten zurInkonsistenz-Analyse zur Verfügung.

Über das Menü Einfügen -> Abfrage wird ein Fensterzur Auswahl des gewünschten Assistenten geöffnet.Nach der Wahl Abfrage-Assistent zur Inkonsistenz-Sucheöffnet sich ein Auswahlfenster. Hier wählen Siezunächst die Tabelle, die die ‚Master-Daten' enthält,aus. In unserem Beispiel ist dies die Tabelle Kopfdaten.Nach bestätigen der Auswahl mit Weiter werden siegebeten, die Tabelle mit den Detail-Datensätzenanzugeben. In unserem Beispiel ist dies die TabelleBestellpositionen

Im nächsten Fenster geben Sie an, über welchenSchlüssel die Daten verknüpft werden sollen. Inunserem Beispiel ist dies das Feld Bestellnummer.

Ein weiterer optionaler Schritt ermöglicht dieAuswahl der Felder, die in der Ergebnismenge ent-halten sein sollen. In unserem Beispiel können esalso Daten zum Bearbeiter, die Bestellnummer unddie Kundennummer sein. Es sollten hier alle Feldergewählt werden, die zur weiteren Analyse desErgebnisses notwendig sind.

Nach der Wahl Fertigstellen erhalten Sie alle Master-Daten, denen keine Detail-Daten zugeordnet sind. Inunserem Beispiel also die Bestellungen ohneBestellposition.

Fazit

Excel® und Access® können zur Prüfungs-unterstützung sehr gut eingesetzt werden. WelchesProgramm bevorzugt wird kann hauptsächlich vonden Vorlieben des Prüfers abhängig gemacht wer-den. Die Funktionalität im Bezug auf dieDatenanalyse ist sehr ähnlich. Lediglich die techni-sche Umsetzung ist grundverschieden. ✜

0 Tage Skonto

10 Tage Im Zahlungsziel

30 Tage Zahlungsziel überschritten

40 Tage erste Mahnung

50 Tage zweite Mahnung


PRev_02_2006.qxp 30.06.2006 15:49 Seite 29


J a h r e s f a c h k o n f e r e n z

„Sicherheit und Prüfung im

Gesundheitswesen“

16.10.-17.10.2006 in HamburgLiebe Interessenten,

zum ersten Mal findet in diesem Jahr auch eine branchenspezifische IBS-Fachkonferenz für den BereichRevision statt. Mit dem Thema "Sicherheit und Prüfung im Gesundheitswesen" wollen wir denAnforderungen nach branchenspezifischen Themen gerecht werden und dieser Branche, die zur Zeit durchgroße Veränderungen geprägt ist, frühzeitig Hilfen und Hinweise für diese neuen Themen geben.

Das Gesundheitswesen ist zur Zeit durch das Gesundheits-Modernisierungs-Gesetz, Einführung derGesundheitskarte, Telemedizinische Anwendungen, medizinische Netzwerke, Outsourcing und rechtssi-chere Archivierungsfragen geprägt.

Alle diese Themen sind für die Revision von hoher Bedeutung, da sie nicht unerhebliche Auswirkungenauf die Prozesse in Kliniken, bei Ärzten aber auch bei den Kostenträgern haben.

So werden wir am ersten Konferenztag durch den Bundesbeauftragten des Datenschutzes, Herrn PeterSchaar, und durch den Landesbeauftragten des Datenschutzes Schleswig-Holstein, Herrn Dr. jur. ThiloWeichert, etwas über die Anforderungen des Datenschutzes für Telemedizin und medizinische Netzeerfahren, die auf einer Infrastruktur basieren, die technisch machbar ist, aber deren Anforderung unterDatenschutz- und Revisionsgesichtspunkten nur selten betrachtet wird.

Vor allem die rechtsverbindliche Archivierung von Patientenunterlagen, elektronische Signatur und dieEinhaltung von Fristen, auch im Bereich medizinischer Netze, werden von Herrn Prof. Dr. Paul Schmückervorgetragen und diskutiert.

Der zweite Konferenztag bietet in zwei Durchgängen die Möglichkeit, Themen zur Prüfung von SAP®durch Herrn Thomas Tiede oder die Anforderungen an Sicherheit der Gesundheitskarte für die Revisionund den Datenschutz durch Herrn Marcel Weinand vom Bundesamt für Sicherheit in der Informations-technik zu erörtern. Die Prüfbarkeit und Zertifizierung von Infrastrukturen und deren Aussagekraft durchHerrn Prof. Dr. Reinhard Vossbein wird parallel zum Thema Korruption und deren Verhinderung imGesundheitswesen durch Herrn Prof. Dr. Joachim Tanski angeboten.

Ich freue mich auf spannende und aufschlussreiche Diskussionen zwischen Ihnen und unseren Referentenzur Beförderung Ihrer Prüfungsstrategie und -umsetzung in Ihrem Bereich und nicht zuletzt auf dengemeinsamen Hamburger Abend mit Ihnen.

Ihr Michael Foth

www.ibs-hamburg.com

J a h r e s f a c h k o n f e r e n z „ S i c h e r h e i t u n d P r ü f u n g i m G e s u n d h e i t s w e s e n “ 1 6 . 1 0 . - 1 7 . 1 0 . 2 0 0 6 i n H a m b u r g

PRev_02_2006.qxp 30.06.2006 15:49 Seite 30


J a h r e s f a c h k o n f e r e n z „ S i c h e r h e i t u n d P r ü f u n g i m G e s u n d h e i t s w e s e n “ 1 6 . 1 0 . 2 0 0 6 ( 2 . Ta g ) i n H a m b u r g

Telematik im Gesundheitswesen• Grundrecht auf informationelle Selbstbestimmung und Arztgeheimnis• Datensouveränität der Patienten• Technische und organisatorische Datenschutzprobleme• Akzeptanz bei den PatientenPETER SCHAAR, BUNDESBEAUFTRAGTER FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT

Risiken und Prüfbarkeit der Infrastruktur • Patientendaten im Netz• Risiken der Mitlesbarkeit• Neue Technologien, mobiler Einsatz und WLAN• Möglichkeiten und Grenzen der RevisionMICHAEL FOTH, IBS SCHREIBER GMBH

Revision beim Outsourcing/Outtasking • Externe Verarbeitung medizinischer Daten• Outsourcing und Public-Private-Partnership• Änderung der StPO § 97• Auswahl eines Dienstleisters• Anforderungen an Verträge und Möglichkeiten der Prüfbarkeit• Verwendung Prüfungergebnisse DritterDIPL.-INF. HOLGER KLINDTWORTH, SUSAT & PARTNER OHG &WP/STB DIPL.-KFM. (FH) OLAF MANGLIERS, SUSAT & PARTNER OHG

Elektronische Archivierung von Patientenunterlagen - Anforderungen an Datenschutzund Rechtssicherheit• Anforderungen an Datenschutz und Rechtssicherheit• Zugriffsberechtigungskonzepte für elektronische Patientenakten• Prüfbarkeit von Fristen und Löschung• Zulässigkeit, Ordnungsmäßigkeit und Revisionssicherheit digitaler Archivsysteme• Grundsätze der beweiskräftigen elektronischen Archivierung• Rechtssicherheit von digitalen Dokumenten mit Hilfe digitaler Signaturen• Informationsaustausch in integrierten VersorgungsnetzenPROF. DR. PAUL SCHMÜCKER - HOCHSCHULE MANNHEIM

Anschließend gemeinsames Abendprogramm “Hamburger Abend

www.ibs-hamburg.com

PRev_02_2006.qxp 30.06.2006 15:49 Seite 31


J a h r e s f a c h k o n f e r e n z „ S i c h e r h e i t u n d P r ü f u n g i m G e s u n d h e i t s w e s e n “ 1 7 . 1 0 . 2 0 0 6 ( 1 . Ta g ) i n H a m b u r g

Workshops - Session 1WS 1.1 - Zukünftige Anforderungen durch die Gesundheitskarte• aktueller Sachstand zum Heilberufeausweis und zur Gesundheitskarte• Anforderungen an die Sicherheit und Schutzprofile • Vorgabe und Einbeziehung durch das BSI• Wozu Schutzprofile - welcher Nutzen ist damit verbunden?• Das Deutsche Sicherheitszertifikat und die EAL-StufenDIPL.-ING. MARCEL WEINAND, BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK

• Änderungen in Prozessen und Infrastruktur beim Leistungserbringer• Risiken und Kontrollen der Lösungen• Frühzeitige Einbindung von Datenschutz und RevisionMICHAEL FOTH, IBS SCHREIBER GMBH

WS 1.2 - Einsatz von SAP® Systemen in Krankenhäusern• Datenschutz in SAP® Systemen mit Patientendaten• Das Berechtigungskonzept in mySAP® Healthcare• Möglichkeiten zum Zugriff auf Patientendaten• Absicherung der Schnittstellen von mySAP® Healthcare zu mySAP® FI/MMTHOMAS TIEDE, IBS SCHREIBER GMBH

Workshops - Session 2WS 2.1 - Prüfbarkeit und Zertifizierung der IT-Systeme/-Infrastruktur• Welche Gütesiegel oder Zertifikate gibt es?• Welche sind sinnvoll und aussagekräftig?• Vorgehensweise bei der Durchführung von Audits• Anforderungen an und Vorteile von Zertifizierungen• Revisionsfähigkeit von ZertifizierungsergebnissenPROF. DR. REINHARD VOSSBEIN, UIMCERT

WS 2.2 -Korruption und Korruptionsverhinderung im Gesundheitswesen• Korruptionsfälle und -ursachen• Analyse von Korruptionsrisiken• Maßnahmen zur Korruptionsverhinderung• Aufgaben der internen Revision PROF. DR. JOACHIM TANSKI, FACHHOCHSCHULE BRANDENBURG

Prüfbarkeit und Anforderungen des Datenschutzes an medizinische Netze• verfassungsrechtliche Grundlagen, Patientengeheimnis und Wahlfreiheit• Verantwortlichkeit in verteilten Systemen• gesetzliche Anforderungen, insbesondere im Hinblick auf die elektronische Gesundheitskarte• regionale Praxisnetze, integrierte Versorgung, Telematik-Infrastruktur• Anforderungen vernetzter elektronischer Strukturen nach §§ 63, 73a, 140 SGB V• technische Sicherungen von Vertraulichkeit, Integrität und Revisionsfähigkeit• Sicherung der Patientenrechte• Kontroll-Szenarien der Datenschutz-Aufsicht und Best Practice, Gütesiegel, AuditDR. THILO WEICHERT, LANDESDATENSCHUTZBEAUFTRAGTER SCHLESWIG-HOLSTEIN

Abschlußdiskussion und Verabschiedung

www.ibs-hamburg.com

PRev_02_2006.qxp 30.06.2006 15:49 Seite 32


FON: +49 (0) 40 69 69 85-15 • Fax: +49 (0) 40 69 69 85-31 • E-Mail: [email protected]

Veranstaltungsort: Le Royal Méridien *****, An der Alster 52-56, 20099 Hamburg

Teilnahmegebühr: pro Person (2 Tage) 1.200,- € zzgl. MwSt.

(inkl. Abendveranstaltung, Fachkonferenzunterlagen als Ausdruck und auf CD,Mittagessen und Pausengetränke)

Jeder Teilnehmer erhält ein persönliches Exemplar „Interne Revision - Jahrbuch 2007“.

Frühbucherrabatt: Bei Anmeldung bis zum 18.08.2006 bieten wir Ihnen die Teilnahme zu einem Preis von950,- € (zzgl. MwSt.) an.

Die IBS Schreiber GmbH behält sich vor, inhaltliche und personelle Änderungen im Programm vorzunehmen, wenndie Gründe hierfür nicht vom Veranstalter zu vertreten sind.

Bitte tragen Sie hier Ihre Teilnahme für unser Abendprogramm („Hamburger Abend“) am 16.10.2006 ein:

❐ Ja, ich nehme am Hamburger Abend teil.❐ Ja, ich nehme am Hamburger Abend teil und bringe meine/n Partner/in mit.❐ Nein, ich nehme nicht am Hamburger Abend teil.

Wie sind Sie auf unsere Fachkonferenz aufmerksam geworden? _______________________________________

Auf Wunsch nehmen wir gerne nachstehende Hotelreservierung für Sie vor:

Hotelreservierung von (Anreise): __________________________ bis (Abreise): __________________________

❐ Raucher❐ Nichtraucher

Bei Buchung über die IBS Schreiber GmbH gewährt Ihnen unser Veranstaltungshotel (Le Royal Méridien) folgendeSonderkonditionen:

Zimmer: ❐ Einzelzimmer inkl. reichhaltigem Frühstücksbuffet 189,00 €

Wir bitten Sie um Ihre Hotelbuchung möglichst bis zum 15.09.2006, da das Hotel nach diesem Datum keine freienZimmer mehr garantieren kann.

Ort/Datum: _________________________________ Unterschrift: _________________________________

www.ibs-hamburg.com

...::::::: Anmeldung zur IBS-Jahresfachkonferenz “Gesundheitswesen” 2006 :::::::...

Vor-/Nachname:

Firma:

Abteilung:

Straße/Postfach:

PLZ/Ort:

Telefon:

Telefax:

E-Mail:

Ort, Datum:

Unterschrift:

PRev_02_2006.qxp 30.06.2006 15:49 Seite 33


Die Aufgabe der Revision ist es auch, die Sicherheits-lösungen der IT-Infrastrukturen zu prüfen. Hier fin-den sich heute noch immer die größten Mängel undLücken. Argumente, wie "es ist doch bisher nichtspassiert" und "die Investitionen dafür sind zu hoch"klingen zunächst wie betriebswirtschaftliche Aus-reden. Aber gerade aus Sicht der Revision lässt sichmit der Notwendigkeit von Mindest-Sicherheits-maßnahmen für die IT-Infrastruktur sogar Gewinnerzielen. Dieses basiert nicht nur auf den Kriteriennach Basel II, um ein günstigeres Rating zu errei-chen, was sich auf jeden Fall auch rechnen lässt, oderden Anforderungen nach KonTraG, was sich in derBilanz gut darstellen lässt. Auch die nüchterneBetrachtung des Betriebes und der Systeme im tägli-chen Einsatz lässt eine Kosteneinsparung und für dieZukunft Gewinne aufzeigen. Hier kann die Revisiondie Chancen aufzeigen und beratend aus ihrer Rolleheraus als Initiator für ein "Return on Security-Investment" dienen. Dieser Beitrag soll Möglich-keiten für eine Herangehensweise aufzeigen, Investi-tionen in Security-Lösungen auch aus einer anderenSicht zu betrachten. Die Prüfungen und Empfehlun-gen der Revision können hier die Basis bilden undsollten in den Empfehlungen auch diese Aspekteberücksichtigen, da Empfehlungen, die mit derUmsetzung von Sicherheits-Kriterien zusätzlichnoch Kosteneinsparungen bringen, sich leichterdurch alle Ebenen realisieren lassen.

Sicherheits-GGewinn

Investitionen in die Sicherheit der IT-Infrastruktureines Unternehmens sind sicherlich keine zu ver-

nachlässigende Größe und dürfen auch keinSelbstzweck sein. Angesichts deutlicher Zurückhal-tung bei derartigen Investitionen erscheint jedocheine erneute Besinnung auf die betriebswirtschaftli-chen Überlegungen angebracht, die durchaus auchfür Sicherheitsinvestitionen sprechen können.

Schäden durch Sicherheitsvorfälle sind zwar schwerzu beziffern, aber beileibe keine graue Theorie: ImJahre 2004 legten Serverausfälle oder der Zusam-menbruch ganzer Netzwerke zwei Drittel derFirmen zeitweise lahm. Wie Mummert Consulting inder Studie "IT-Security 2004" berichtet, fiel beijedem elften registrierten Angriff das Unter-nehmensnetzwerk sogar länger als einen Arbeitstagaus. Die Folgen mangelhafter Sicherheitsmaß-nahmen kosteten 44 der Firmen bis zu 10.000 €,jeder zehnte IT-Manager bezifferte den Schaden aufbis zu 100.000 € und l% beklagte sogar Verluste vonmehr als einer halben Million.

Doch die wenigsten Unternehmen scheinen aus die-sem Schaden klug zu werden. Mehr als die Hälfte derbefragten Firmen haben ihr Engagement in punctoDatensicherheit gegenüber dem Vorjahr nicht aufge-stockt - im Gegenteil: Fast jedes zwölfte Unter-nehmen will das entsprechende Budget sogar sen-ken. Derzeit steht offensichtlich vor allem dieKostenseite der Investitionen im Fokus derEntscheidung. Die Folge: Zwei von fünf Sicher-heitsinvestitionen scheitern, weil niemand das dafürnötige Geld in die Hand nehmen will. Bisweilenscheint es dabei an objektivierten finanziellen Argu-menten zu mangeln.

Dipl.-Ing.Michael FothIBS Schreiber GmbH

Mit IT-Sicherheit Gewinnerzielen

PRev_02_2006.qxp 30.06.2006 15:49 Seite 34

Natürlich unterliegen Investitionen in die Sicherheitden gleichen Forderungen nach Wirtschaftlichkeitwie alle anderen Unternehmensausgaben auch. DieBesonderheit ist dabei, dass eine solche Investitionder Senkung eines Risikos dient, das demnach ersteinmal für die konkrete Umgebung korrekt einzu-schätzen ist. Doch es gibt auch einige allgemeingülti-ge Eckdaten, die das weltweite Ausmaß derBedrohung kennzeichnen und die bei der Analysebekannt sein sollten: Hier können Studien undAnalysen aus Presse, von Consulting-Unternehmensowie durch Anbieter, Computer EmergencyResponse Teams (CERTs) hilfreich sein.

Auch die Informationen sonstiger Organisationenwie des SANS Institute (www.sans.org) bilden einegute Basis, um für einen bestimmten Zeitraum stati-stische Daten hinsichtlich der Art und desAufkommens von Malware-Ausbrüchen und geziel-ten Attacken sowie über den verursachten wirt-schaftlichen Schaden zu erhalten. Dieses kannzumindestens eine Basis für die Definition einerEintrittswahrscheinlichkeit sein. Das ist nötig, umInvestitionen in ein kalkulierbares Verhältnis für eineentsprechende Kalkulation setzen zu können.

Eine Schwachstelle alleine mag vielleicht noch keinernstes Problem sein - trifft ein solcher wunderPunkt aber mit einem realistischen Bedrohungs-szenario zusammen, so lässt sich anhand der ange-nommenen Eintrittswahrscheinlichkeit ein statisti-scher Wert für zu erwartende Schäden errechnen.Eine sinnvolle Kosten-Nutzen-Analyse für die IT-Sicherheit sollte das Risiko beziehungsweise dieAuswirkungen eines Systemausfalls unter Annahmeder Eintrittswahrscheinlichkeit im Verhältnis zumAufwand für die Beseitigung des Risikos betrachten.Zu diesem Zweck sind zunächst die vorhandenenRisiken zu identifizieren und zu bewerten.

Risiko und Aufwand ermitteln

Der Risikowert eines Risikos lässt sich dabei als dasProdukt aus seiner Eintrittswahrscheinlichkeit multi-pliziert mit der finanziellen Bewertung der damit ver-bundenen Auswirkungen ermitteln. Der Risikowertaller identifizierten Risiken ist dann die Summe derRisikowerte der Einzelrisiken. Eine Investition in dieRisikoverminderung - also in die Sicherheit - lohntsich dann, wenn im Betrachtungszeitraum der

Risikowerte der Risiken die Investition in die Risiko-verminderung zuzüglich des verbleibenden Risikosübersteigt.

Nach der Ermittlung des Risikowerts aller Risikensowie der erforderlichen Investitionen zur Ver-minderung oder Vermeidung der Risiken kann derReturn on Security-Investment (ROSI) kalkuliertwerden: Er ergibt sich aus dem Wert, der durch diegeplante Investition entsteht, dividiert durch diedafür notwendigen Ausgaben. Als Wert kann derBetrag angesehen werden, um den der Risikowert derRisiken reduziert wurde, also der Risikowert desRisikos vor der Investition abzüglich des Risiko-wertes des Restrisikos nach getätigter Investition.

Beispieldarstellung einer Return-on-Security-Investment Kalkulation fürArbeitsplatz und Kommunikationssicherheit.

Ermittlung des "Returns on Investment"

Ist beispielsweise in einem Unternehmen kein Viren-schutz vorhanden, heißt das Bedrohungsszenario"Infektion des Netzwerks mit allen Folgen für dieangeschlossenen Systeme und den Datenbestand".Die Wahrscheinlichkeit, dass ein solches Szenarioheutzutage auftreten kann, beträgt realistische 40 % -allein der finanzielle Schaden durch zu erwartendenDatenverlust dürfte hier leicht 100.000 € und mehrerreichen. Lässt sich durch eine angenommeneInvestition in Höhe von 20.000 € die Eintrittswahr-scheinlichkeit des identifizierten Risikos auf 5 sen-ken, ergibt sich das folgende Bild (sofern derSchaden bei Eintritt unverändert mit 100.000 € ange-setzt wird):

Risikowert des Risikos vor der Investition:R(r) = 100.000 € x 0,40 = 40.000 €

Risikowert des Restrisikos nach getätigter Investition:R(rr) = 100.000 € x 0,05 = 5.000 €


PRev_02_2006.qxp 30.06.2006 15:50 Seite 35

Bei einer hierfür notwendigen Investition in dieInformationssicherheit von 20.000 € folgt eineVerminderung des Riskowerts um den Faktor:

(40.000 € - 5.000 €): 20.000 € =1,75

Innerhalb des Betrachtungszeitraums ist die Ver-minderung des Riskowerts des Risikos also 1,75-malgrößer als der investierte Betrag. Bezogen auf einenBetrachtungszeitraum von einem Jahr beträgt dieAmortisationsdauer der Investition damit 1:1,75 =0,6 Jahre, also etwa sieben Monate.

Beispiel-Detaildarstellung der einzelnen Einsparungen für sichere Kommunikation.

Anwenderspezifische Größen

Der Return on Investment, also die Rentabilität vonInvestitionen in die Sicherheit, kann für jedeSicherheitslösung individuell errechnet werden.Allerdings lässt sich dieser Wert nicht einfach durchdie Entwicklung eines allgemein gültigen Kalkulatorsetwa in Form einer Excel-Tabelle festmachen.Vielmehr ist eine flexible Betrachtung notwendig, dieanwenderspezifische Größen berücksichtigt.

So ist auch eine Risikoanalyse zur Bestimmung undBewertung der schutzbedürftigen Ressourcen not-wendig, damit Anhaltspunkte über potenzielleSchäden sowie deren Eintrittswahrscheinlichkeitentransparent und nachvollziehbar sind.

Darüber hinaus sollten bei der Betrachtung unteranderem auch die Ausgaben für Organisation und

Personal sowie für Service und Support in dieKostenberechnung einfließen. Außerdem sindInvestitions- und Abschreibungszyklen kalkulato-risch zu berücksichtigen.

Beispiel-Gegenüberstellung von Schutzmechanismenund Angriffszenarien.

Jedes Unternehmen sollte das Ausmaß verschiedenermöglicher Gefahren abschätzen und seine Sicher-heitsbedürfnisse priorisieren. Die zu schützendenZiele und ihr wirtschaftlicher Wert können in einerRiskoanalyse ermittelt werden.

Im Rahmen der Analysen sind die Downtimes vonIT-Services sowie die genannten allgemeinen Sicher-heitsprobleme zu bewerten. Als Ergebnis wird dieRisikosituation im Hinblick auf die Abhängigkeitvon IT-Ressourcen und -Services (operationellesRisiko) und die Informations-Sicherheit dokumen-tiert.

Die Verantwortung für die Durchführung der Risko-analyse liegt beim jeweiligen Geschäftsverantwort-lichen. Initiatoren und daran aktiv Beteiligte sinddaneben vor allem die Revision, die ClOs, dieInformationssicherheitsverantwortlichen und gege-benenfalls Risikomanager der verschiedenen Unter-nehmensbereiche.

Abschließend lassen sich dann organisatorische undtechnische Konzepte für die notwendigen Sicher-

Bezogen auf einen Betrachtungszeitraum voneinem Jahr beträgt die Amortisationsdauerder Investition damit 1:1,75 = 0,6 Jahre,

also etwa sieben Monate.

Für die meisten Unternehmen sind Sicher-heitsgrundsätze (Policies) und -lösungeneine individuelle Angelegenheit, die an die

spezifischen Gegebenheiten angepasst wer-den müssen.


PRev_02_2006.qxp 30.06.2006 15:51 Seite 36

heitsmaßnahmen inklusive der erforderlichenFinanzpläne erstellen. Auf diese Weise werden allenotwendigen Daten erhoben, die auch für dieBerechnung des Return on Investment benötigt wer-den.

Beispieldarstellung einer Return-of-Security-Investment Kalkulation fürden Einsatz von multifunktionalen Mitarbeiterausweisen.

Fazit

Für die meisten Unternehmen sind Sicherheits-grundsätze (Policies) und -lösungen eine individuelleAngelegenheit, die an die spezifischen Gegeben-heiten angepasst werden müssen. Um beim Wettlaufzwischen Sicherheitsbedrohungen und Vorbeugungschnell zu sein, benötigen Firmen eine vorausschau-ende, ganzheitliche Strategie.

Zu diesem Zweck sollte eine umfassende Sichtweiseentwickelt werden, die Sicherheit als organisations-übergreifende Aufgabe definiert. Dafür sollten aus-

nahmslos alle potenziellen Bedrohungen identifiziertund Methoden zur Prävention vorgesehen werden.

Hierzu gehört auch das Bewusstsein, dass derMensch immer das schwächste Glied in derSicherheitskette darstellt. Hinzu kommen die sorgfäl-tige Risikoanalyse und die Bestimmung der notwen-digen Sicherheitsanforderungen. Auf dieser Basiskönnen die bereits vorhandenen Sicherheitsvor-kehrungen systematisch bewertet und eine robusteSicherheitspolitik definiert werden. Dazu gehörtneben den benötigten Regeln und Sicherheits-managementprozessen auch die Abwägung desRisikos gegen die notwendigen Investitionen.

Die Revision kann hier als Initiator mit einer verhält-nismäßig neutralen Sichtweise dienen. Das Auf-zeigen von Schwachstellen und die Empfehlung zuderen Beseitigung mit den Hinweisen auch aufbetriebswirtschaftliche Vorteile lässt eine Umsetzungsicherlich schnell realisierbar machen.

Denn Lücken in der Sicherheit erlauben keineDiskussion über "wer bezahlt das", und die Aussage"es ist doch bisher noch nichts passiert" basiert aufder Argumentation mit dem Faktor Glück. Nur die-ser Faktor ist eine nicht definierte mathematischeGröße und somit ein unbekanntes Risiko. ✜

+++ Vorschau PRev III-22006 +++

Lesen Sie in der nächsten Ausgabe von PRevArtikel unter anderem zu folgenden Themen:

• Formelle und materlielle Brechtskritik

• Überblick über die SAP® IS-U-Funktions-und Berechtigungsanpassung durch IDEX-GE

• SAP® Business Information WarehouseChancen und Risiken - Teil III

• Prüfen durch alle Schichten• Prüfung einer WAN-Infrastruktur

Lücken in der Sicherheit erlauben keineDiskussion über "wer bezahlt das", und die

Aussage "es ist doch bisher noch nichts pas-siert" basiert auf der Argumentation mit

dem Faktor Glück.

Dazu gehört neben den benötigten Regelnund Sicherheitsmanagementprozessen auchdie Abwägung des Risikos gegen die notwen-

digen Investitionen.


PRev_02_2006.qxp 30.06.2006 15:52 Seite 37


Revisionsworkshop„Finanzbuchhaltung“ von SAP®

SystemenInhalte u.a.:Aufbau, Funktionalität und Organisation• Gesamtsystem• Datenaufbau und Datenfluss• Abbildung buchhalterischer Abläufe im

SAP-System

Modul FI• Transaktionen• Plausibilitätsprüfungen• Kreditoren und Rechnungsprüfung

Auswertungsmöglichkeitenmit SAP-Mitteln• Standardreports• Reportmodifizierung• Überwachung der Tabellen-

protokollierung

Seminarcode: R3FI

14.09.-15.09.06

Anmeldung und Auskünfte:

IBS Schreiber GmbHFrau Christina RobrockTEL: +49 40 69 69 85-15FAX: +49 40 69 69 85-31Friedrich-Ebert-Damm 145

22047 Hamburg

[email protected]

+++ SEMINARE +++

Revisionsführerschein für SAP® SystemeInhalte u.a.:Einführung:• SAP R/3® Architektur/Leistung• Komponenten/Teilkomponenten

Die R/3®-Benutzeroberfläche• Vergl. zum Windows-Standard• Matchcode und Modi

Transaktionscodes• Aufrufen von Anwendungen• Historienliste

Individuelle Benutzereinstellungen• Benutzerfestwerte• Das Benutzermenü

Reports• Standardreports in den Modulen• Selektionskriterien

Seminarcode: R3GB

31.08.-01.09.06



22047 Hamburg

[email protected]

Prüfung des Berechtigungs-konzeptes von SAP® SystemenInhalte u.a.:Aufbau des Berechtigungskonzeptes• Objekte / Berechtigungen / Profile• Transaktionsberechtigungen

Die Problematik des Berechtigungs-konzeptes• Komplexität und Quantität• Kritische Berechtigungen

Konzepte zur Implementierung desBerechtigungskonzept

Tipps und Tricks beim Umgang mit demBerechtigungskonzept

Der Profilgenerator

Möglichkeiten zur Prüfung mitexternen Werkzeugen

Seminarcode: R3BK

07.09.-08.09.06



22047 Hamburg

[email protected]

Systemprüfung von SAP®

Inhalte u.a.:Basissicherheit:• Schichten eines SAP-Systems und

Gefahrenpunkte• Systemparameter

Benutzerverwaltung:• Grundkonzeption• Lizensierungen

Protokollierungskomponenten• Systemprotokollierung• Anwendungslog

Verbuchungsprinzip:• Gefahrenpunkte der asynchronen

Verbuchung

Tabellensteuerung:• Konzept der Tabellensteuerung• Protokollierung

Seminarcode: R3SY

11.09.-13.09.06



22047 Hamburg

[email protected]

Nutzung des AIS von SAP® fürdie PrüfungInhalte u.a.:Einführung in das AIS:• Struktur des AIS-Berichtsbaums• Erstellung diverser Sichten auf

das AIS• Überwachung von Fortschrittshandlun-

gen im Rahmen der Prüfungshand-lungen größerer Prüfungsabteilungen

Funktionalität• Einführung in das AIS basierte

Kaufmännische Ausit

Auswertung• Einführung in

Auswertungsmöglichkeiten des SAPR/3® via Datentransport in EXCEL,WINIDEA, ACL usw.

Seminarcode: R3IS

18.09.-19.09.06



22047 Hamburg

[email protected]

Prüfungsworkshop zum ModulFI des SAP® SystemsInhalte u.a.:Einführung:• Prüfungsansätze im Rahmen von PS

330/ISA 401• Prüfleitfaden im Rahmen eines IKS

Workshopthema:• Prüfung der Ordnungsmäßigkeit der

Buchführung nach HGB in Anlehnungan PS 330/ISA 401

Prüfprozedur• Erstellung eines Handlungsleitfadens• Durchführung der Prüfungshandlungen• Dokumentation der Prüfergebnisse• Präsentation der Prüfprozedur und

Prüfergebnisse

Seminarcode: R3PF

25.09.-27.09.06



22047 Hamburg

[email protected]

PRev_02_2006.qxp 30.06.2006 15:52 Seite 38


+++ SEMINARE +++

RevisionsworkshopPersonalwesen - HR vonSAP® SystemenInhalte u.a.:Einführung in SAP®-HR:• Projektabwicklung• Projektmitarbeit der Revision

Grundlagen und Prüfung der Stammdaten

Grundlagen und Prüfung der Zeitwirtschaft

Grundlagen und Prüfung derPersonalplanung

Auswertungsmöglichkeiten in SAP® HR

Revisionsaspekte SAP® HR• Systemlandschaften• Anforderungen an eine

Systemdokumentation

Seminarcode: R3HR

09.10.-11.10.06



22047 Hamburg

[email protected]

Workshop zur Berechtigungs-prüfung des Moduls CO vonSAP®Inhalte u.a.:Spezifikation der Berechtigungskonzeptionfür das Controlling• Berechtigungsobjekte des Controlling• Komplexität und Quantitäten

Berechtigungsvergabe• Einsatz von Funktionstrennungen• Prüfen kritischer Berechtigungen und

kritischer Kombinationen

Prüfung und Dokumentation• Erstellung eines Prüfleitfadens zur

Berechtigungskonzeption desControlling

• Auswertungsmöglichkeiten mit SAP®Standardreports und Tabellen

Seminarcode: R3CB

09.10.-10.10.06



22047 Hamburg

[email protected]

Prüfung des Korrektur- undTransportwesens von SAP R/3® LandschaftenInhalte u.a.:R/3®-Systemlandschaften• Mögliche R/3®-Systemlandschaften• Test- und Freigabeverfahren

Transportwege• Organisation und Schutz der

Transportwege• Automatische und manuelle Transporte

Rollentrennung beim Transportprozess• Entwicklung, Qualitätssicherung,

Administration• Funktionstrennung

Das Transport Management System (TMS)

Kontrolle der Importvorgänge

Seminarcode: R3KT

12.10.-13.10.06



22047 Hamburg

[email protected]

Revisionsworkshop “BusinessInformation Warehouse - BW”von SAP® SystemenInhalte u.a.:Einführung• Architektur von Data Warehouse

Systemen• Einordnung in das Gesamtkonzept• Funktionalität SAP® BW

Datenbeschaffung prüfrelevanter Daten• Stammdaten• Bewegungsdaten

Datenmodellierung und Datenaufbereitung

Reporting und Analyse• Erarbeitung von Musterlösungen

Sicherheitsrisiken BW• Datenschutz• Datensicherheit• Berechtigungskonzeption

Seminarcode: R3BW

12.10.-13.10.06



22047 Hamburg

[email protected]

Workshop zur Berechtigungs-prüfung des Moduls HR vonSAP®Inhalte u.a.:Spezifikation der Berechtigungskonzeptionfür die Personalwirtschaft - HR• Komplexität und Quantitäten• Verwendungsnachweis• Fehlerquellen - Fehleranalyse

Strukturelle Berechtigungen• Konzeption - Einsatz• Prüfen kritischer Berechtigungen und

kritischer Kombinationen

Prüfung und Dokumentation• Abbildung der Prüfungstätigkeit• Auswertungsmöglichkeiten mit

SAP R/3® Standardreports undTabellen

Seminarcode: R3HB

16.10.-17.10.06



22047 Hamburg

[email protected]

Gesamtsicherheit durch alleSchichten von SAP® SystemenInhalte u.a.:Die Client/Server-Umgebung unterSAP R/3®

Die Protokollierung von NT/UNIX, Oracleund SAP

Beeinflussung der Ebenen untereinander(Schnittstellen) in hierachischerBetrachtung• WindowsNT/UNIX und SAP R/3®• Sicherung der Client-Stationen

Risikomanagement und Sicherheitstrategien

Checklisten und ihre praktische Umsetzung

Seminarcode: R3BD

18.10.-20.10.06



22047 Hamburg

[email protected]

PRev_02_2006.qxp 30.06.2006 15:52 Seite 39


Risikomanagement ausRevisionssichtInhalte u.a.:Risiko und Chance

Kategorisierung von Betriebsrisiken ausRevisionssicht

Anforderungen an ein Risikomanagement-System aus diversen Sichtweisen -Sollvorgaben für die Revision?

Das Risiko-Kataster - Basis einer risiko-ori-entierten Prüfungsplanung? (Fallbeispiele?)

Aufbau und Prüfung vonFrühwarnsystemen

Ordnungsmäßigkeit einesRisikomanagementsystems

IT-gestüztes RMS

Seminarcode: GMRI

13.09.-15.09.06



22047 Hamburg

[email protected]

Prüfung interner Kontroll-systeme (IKS) in der IT aufGrundlage des Sarbanes-Oxley-ActsInhalte u.a.:Das interne Kontrollsystem imUnternehmen

IKS und rechtliche Anforderungen/Normen• GoBS• KonTraG / RMS• IDW PS 260 / PS 330• SOX / SOA

Kontrollen der IT

Prozessbeschreibungen unterKontrollgesichtspunkten

Wirksamkeitsprüfung / Testing

Dokumentation der Kontrollen

Seminarcode: DSIK

18.09.-19.09.06



22047 Hamburg

[email protected]

Ordnungsmäßigkeit undPrüfung von Dokumenten-management- und Archiv-SystemenInhalte u.a.:Grundsätze der ordnungsmäßigenArchivierung originärer elektronischerDokumente• Datenzugriff der Finanzbehörde• Steuerlich relevante Daten• Maschinelle Auswertbarkeit

Theoretische Grundlagen• Überblick und Einsatzmöglichkeiten• DMS und digitale Signatur• Prüfungsmethoden und -verfahren

Praktische Übungen/Workshops• Erstellung von Prüfungsleitfäden und -

checklisten

Seminarcode: DSDM

04.09.-06.09.06



22047 Hamburg

[email protected]

Praktische ProjektrevisionInhalte u.a.:Einführung• Projekte: Strategie-Backbone zur

Realisierung von Unternehmens-visionen

• Definition und Zielsetzung vonProjekten: Chance vs. Risiko

• Projektrevision: Notwendigkeit undZielsetzung

Prozeß eines Projektes (Fallbeispiele)• Initiierung und Begründung• Das Projektteam• Die Projektlenkung• Fertigstellung und Abnahme• Erfolgsmessung• IT-gestütztes Projektmanagement

Projektrevision (Fallbeispiele)

Seminarcode: GMPR

06.09.-08.09.06



22047 Hamburg

[email protected]

IT-Revision und OutsourcingInhalte u.a.:IT-Outsourcing• Der Outsourcingprozess• Generelle Risiken beim Outsourcing• Kernkompetenzen im Wandel

Vertragsgestaltung

Prüfung des IT-Outsourcing• Grundlagen der IT-Revision• Die Revisionscheckliste

Der Revisionsbericht

Dokumentation

Revisionsgespräche mitOutsourcingpartnern

Prüfung des „Daheimgebliebenen“• Prüfung verbliebener Systeme• Prüfung von Schnittstellen• Prüfung von IDV

Seminarcode: GMOS

11.09.-12.09.06



22047 Hamburg

[email protected]

RACF für RevisorenInhalte u.a.:RACF-Begrifflichkeiten

Installation

Rollen und Rechte

Profile

Dateischutz

General Ressources

Protokollierung

Prüfhilfen

Prüfansätze

Diskussion

Seminarcode: DSRF

14.09.-15.09.06



22047 Hamburg

[email protected]

PRev_02_2006.qxp 30.06.2006 15:52 Seite 40


Baurevision - Grundlagen +Praxis mit Spezialproble-matikenInhalte u.a.:Grundlagen Bau• Kalkulation von Baupreisen• Prüfsubjekte und -objekte

Praxis (Fallbeispiele)• Bereich Ausschreibung• Bereich Ausführung/Abrechnung

Baurevision als Projektrevision• Projektleitung/-lenkung• Abnahme-/Freigabeverfahren

Spezialproblematiken• HOAI• Nachträge

Grundlagen IT• AVA-Programme

Seminarcode: BWGL

25.09.-27.09.06



22047 Hamburg

[email protected]

Electronic Banking ausRevisionssichtInhalte u.a.:Techniken im eBanking

HBCI - eBanking

Kryptografische Verfahren beim Einsatz inBanken

Funktion und Qualität von Zertifizierungs-verkehr im Internet

Internet als Kapitalmarkt

Internet als Informationsmarkt

Seminarcode: BKEB

12.10.-13.10.06



22047 Hamburg

[email protected]

EXCEL für RevisorenInhalte u.a.:Handling von Tabellen, Blättern undMappen

Einlesen von Prüfdaten

Selektionen / Stichprobennahmen

Schichten von Datenbeständen(ABC-Analyse)

Funktionen zur Aufbereitung und Analysevon Daten

Formatierung und Darstellung

Verknüpfen von EXCEL-Tabellen und vergleichende Auswertungen

Automatisierungsmöglichkeiten von sichwiederholenden Prüfabfragen

Individuelle Anpassung

Seminarcode: CDXR

23.10.-25.10.06



22047 Hamburg

[email protected]

Prüfen des VertriebsInhalte u.a.:Einführung• Definition und Strategie von Marketing

und Vertrieb• Gesetzliche Randbedingungen und

Vertragsbedingungen

Risiken im Vertriebsprozess und Prüfungder Risikosteuerung• Risikopotential und -ranking• IT-Werkzeuge zur Prüfung von

Umsätzen, Debitoren u.a.m.

Kommunikationsfluss• Richtlinien/Ethik-Werk für den Vertrieb• Die Kundenakte

Fallbeispiele im Zusammenhang

Seminarcode: GMSD

25.10.-27.10.06



22047 Hamburg

[email protected]

Windows® 2000 für RevisorenInhalte u.a.:Aufbau und Struktur des Betriebssystems:• Leistungsmerkmale• Eigenschaften der Serverversionen• Kompatibilität

NTFS 5• Verschlüsselung• Prüfungsansätze

Security• Anmeldesicherheit• Restriktion für Benutzer

Berechtigungskonzept• Einführung in ADS• Gruppen und deren Verschachtelung• Freigaberechte contra NTFS-Rechte

Seminarcode: DSW2

06.11.-08.11.06



22047 Hamburg

[email protected]

ACCESS für RevisorenInhalte u.a.:Arbeit mit Tabellen/Datenbanken

Einlesen von Prüfdaten in ACCESS

Erstellen von Feldstatistiken

Schichten von Datenbeständen(ABC-Analyse)

Analyse der extrahierten Daten

Verknüpfen von ACCESS-Tabellen und ver-gleichbare Auswertungen

SQL-Abfragen

Zusammenfassung am Beispiel einer kom-pletten interaktiven Prüfung vonDatenbeständen inkl. grafischerAuswertung

Automatisierungsmöglichkeiten von sichwiederholenden Prüfabfragen

Seminarcode: CDAR

06.11.-08.11.06



22047 Hamburg

[email protected]

PRev_02_2006.qxp 30.06.2006 15:52 Seite 41

Prof. Dr. Hanno Kirsch

Einführung in die internationaleRechnungslegung nach IFRSGrundzüge der IFRS. Anwendung im Konzern-abschluss. Folgerungen für denEinzelabschluss.

3. wesentlich überarbeitete und erweiterte Aufl. 2006.Verlag Neue Wirtschafts-Briefe,524 S., ISBN 3 482 52043 729,80 €

Vertiefte Kenntnisse der internationalen Rechnungs-legung nach IAS/IFRS sind heute für jeden Stu-dierenden der Betriebswirtschaftslehre sowie fürTeilnehmer von Bilanzbuchhalter-Kursen und Kur-sen zum Bilanzbuchhalter International unabding-bar.

Diese Einführung in die internationale Rechnungs-legung nach IAS/IFRS enthält eine systematischeGesamtübersicht über die internationalen Rech-nungslegungsstandards. Das Buch schließt sowohltheoretische Grundlagen als auch praktischeUmstellungsprobleme ein. Es bietet als Lern- undNachschlagewerk eine strukturierte Orientierungs-hilfe auf dem Gebiet der internationalen Rech-nungslegung.

Damit der Leser das erarbeitete Wissen sofortanwenden kann, wurden zahlreiche Beispiele undumfangreiche Fallstudien aufgenommen. BesondererWert wird auf eine übersichtliche und durchAbbildungen unterstützte Darstellung gelegt.

Die 3. Auflage berücksichtigt die zahlreichen Ände-rungen und wurde an den aktuellen Stand derIAS/IFRS angepasst. Sie enthält außerdem zweizusätzliche Fallstudien zu Fertigungsaufträgen und

zur Eigenkapitalveränderungsrechnung sowie vieleneue Beispiele.

Dipl.-Kaufmann Prof. Klaus Olfert

InvestitionReihe: Kompendium der praktischenBetriebswirtschaft

10. Auflage 2006.Friedrich Kiehl Verlag,522 S., ISBN 3 470 70470 824,00 €

Investitionen sind notwendig, um den Bestand unddie Weiterentwicklung der Unternehmen sicherzu-stellen. Aufgrund des sich anhaltend verstärkendenKostendruckes und den sich dadurch entsprechendbegrenzenden Kostenbudgets spielt die Wirtschaft-lichkeit von Investitionen eine bedeutende Rolle. Umden Nachweis zu erbringen, müssen sämtlicheInvestitionsvorhaben der Unternehmen auf denPrüfstand gestellt werden.

Die Aufgaben, die sich der Investition dadurch stel-len, werden in diesem Band aus der Reihe "Kom-pendium der praktischen Betriebswirtschaft" umfas-send behandelt. Der Inhalt ist übersichtlich, klar undverständlich aufgebaut. InvestitionsmathematischeTeile können einfach nachvollzogen werden. Zahl-reiche Abbildungen und Beispiele veranschaulichendie thematische Beschreibung. Ergänzt wird die pra-xisnahe Darstellung durch die bewährten Elementeder Olfert-Kompendium-Reihe. Zur Lernkontrolledienen insgesamt 500 Fragen sowie ein umfangrei-cher Übungsteil mit 80 Aufgaben und Lösungen.

Uwe Frank

Das Einmaleins derEntgeltabrechnung70 Seiten Praxisteil mit Musterlösungen!

3. überarbeitete Auflage 2006,Datakontext-Fachverlag,476 S., ISBN 3-89577-407-339,00 €

Das Werk vermittelt in praxisbezogener und pro-zessorientierter Vorgehensweise das grundlegende

+++ BUCHHINWEISE +++

Investitionen sind notwendig, um den Be-stand und die Weiterentwicklung der Unter-nehmen sicherzustellen. Aufgrund des sich

anhaltend verstärkenden Kostendruckes undden sich dadurch entsprechend begrenzen-

den Kostenbudgets spielt die Wirtschaftlich-keit von Investitionen eine bedeutende Rolle.


PRev_02_2006.qxp 30.06.2006 15:52 Seite 42

und vertiefende Wissen rund um die Lohn- undGehaltsabrechnung. Viele Beispiele verdeutlichen diekomplexe Materie. Ein 70-seitiger Praxisfall mitMusterlösungen gibt dem Leser die Möglichkeit daserlernte Wissen zu überprüfen. Dieser Ratgeberumfasst Grundlagenthemen wie• Ablauf einer Lohn- und Gehaltsabrechnung,

vom Brutto zum Netto• Aufgaben und Pflichten der Lohnbuchhaltung• Grundlagen des Lohnsteuer- und Sozialver-

sicherungsrechtes• Gesetzliche Abzüge und Arbeitspapiere• Führen von Lohnkonten und Lohnjournalen• Gesetzliche Aufzeichnungs- und Meldepflich-

ten

bis hin zur ausführlichen Behandlung speziellerSachverhalte wie z. B.• alle Neuerungen im Lohnsteuer- und Sozial-

versicherungsrecht• Einmalbezüge und Abfindungen• Minijobs und Gleitzonenbeschäftigungen• Firmen-Kfz und andere Sachbezüge• Pauschalversteuerung• Schüler, Studenten und Praktikanten• Pfändung von Arbeitslohn

Das Einsteigerwerk von Frank hat sich mit der drit-ten Auflage mittlerweile in der Praxis etabliert undgehört zur Standardliteratur in der betrieblichenAusbildung.

Zielgruppe:Das Werk dient in idealer Weise Neulingen alsEinstieg in das komplexe Thema, aber auch erfahre-neren Praktikern zur Auffrischung bzw. VertiefungIhres Wissens.

Kai-Uwe Marten, Reiner Quick, Klaus Ruhnke

Lexikon der WirtschaftsprüfungNach nationalen und internationalen Normen

Auflage 2006,Schäffer-Poeschel Verlag,929 S., ISBN 3-7910-2103-659,95 €

Das Lexikon erläutert in mehr als 500 Stichwörternalle wichtigen Begriffe der Wirtschaftsprüfung im

nationalen und internationalen Kontext. Behandeltwerden neben der Abschlussprüfung auch anderegesetzliche und freiwillige Prüfungsleistungen sowieangrenzende Bereiche wie z.B. Berufsaufsicht,Balanced Scorecard, Beratung und Prüfung,Erwartungslücke, kontinuierliche Prüfung, Unter-nehmensbewertung oder die Prüfung von Börsen-prospekten, Energieversorgungsunternehmen, Ge-nossenschaften, Kreditinstituten und Versicherungs-unternehmen.

Die Autoren stellen die Mehrzahl der Stichwortekompakt und knapp dar; einzelne Stichworte höhererKomplexität werden in abgeschlossenen Kurzbeiträ-gen behandelt. Ein Wesensmerkmal des Nach-schlagewerkes ist die strukturierte Behandlung zen-traler Abschlussposten nach einem festen Bearbei-tungsschema, welches dem Leser zunächst die rele-vanten Rechnungslegungs- und Prüfungsnormenbenennt, den zu behandelnden Bereich aus demBlickwinkel der IFRS und des HGB kurz darstelltund anschließend die Prüfung insbesondere nachISA und IDW PS erläutert. Eine umfassende Quer-verweistechnik sowie die Aufnahme von Schlagwor-ten der aktuellen Diskussion machen dieses Lexikonzu einem wertvollen Nachschlagewerk für Praktikerund Studierende sowie für an Forschungsfrageninteressierte Personen.

Dr. Matthias Heiden

Pro-forma-BerichterstattungReporting zwischen Informationen undTäuschung

Auflage 2006,Erich Schmidt Verlag,594 S., ISBN 3 503 09327 369,00 €

Im Sog der Bilanzskandale ist auch die Pro-forma-Berichterstattung ins Blickfeld der Öffentlichkeitgeraten. An Stelle handelsrechtlicher Rechnungsle-gung rücken weltweit immer mehr Unternehmen,Medien und Analysten als "pro forma" bezeichneteFantasiekennzahlen in den Vordergrund. Zwarkommt man damit Transparenzanforderungen und -bedürfnissen nach und beseitigt Unstetigkeiten. Zumanderen aber geht es oft schlicht darum, progressiveErgebnispolitik zu betreiben.



PRev_02_2006.qxp 30.06.2006 15:52 Seite 43

Die Pro-forma-Berichterstattung pendelt so zwi-schen wertvoller Information und Unglaubwürdig-keit, zwischen echtem Nutzen und bloßer Täu-schung. Um nun aber Pro-forma-Informationen inall ihren Facetten zutreffend einzuordnen, stellensich zahlreiche komplizierte Fragen:• Was verbirgt sich hinter dem Begriff der Pro-

forma-Berichterstattung? • Welche Varianten der Pro-forma-Berichterstat-

tung existieren? • Welche Ziele verfolgen Unternehmen mit Pro-

forma-Informationen? • Welche Vorschriften sind für kapitalmarktorien-

tierte deutsche Unternehmen zu beachten? • Sind Informationsintermediäre und Anleger in

der Lage, Pro-forma-Ergebnisinformationensachgerecht zu interpretieren?

Das neue Buch von Matthias Heiden gibt auf diezentralen Fragen der Pro-forma-Berichterstattungfundierte und zielführende Antworten. Erstmaligwird grundlegend das komplexe Terrain der Pro-forma-Berichterstattung praxisgerecht erschlossen.

Die Vorschriften der für deutsche Unternehmenmaßgeblichen Normensysteme, der IAS/IFRS undder US-GAAP werden analysiert und Aus-gestaltungsmöglichkeiten aufgezeigt.

Prof. Dr. Michael Klotz, Dr. Dietrich-W. Dorn

Vertragsmanagement in derInformationsverarbeitungHandbuch für Planung, Durchführung undControlling von IT-Verträgen

Auflage 2006,Erich Schmidt Verlag,206 S., ISBN 3 503 09317 644,00 €

Anzahl und Verschiedenartigkeit von Verträgen inder betrieblichen Informationsverarbeitung (IV)nehmen ständig zu. Außer Beschaffungs- und War-

tungsverträgen für Hard- und Software-Erstellungs-und Nutzungsverträgen gibt es zunehmendSystemverträge, Schulungs- und Beratungsverträge,IV-Infrastrukturverträge und weitere IV-Dienst-leistungsverträge. Darüber hinaus verändert sich dieQualität von IT-Verträgen hinsichtlich Auftragshöhe,Langfristigkeit der Zusammenarbeit mit demVertragspartner, Internationalität und Umfang derVertragsrisiken. Der Umgang mit IT-Verträgen istalso hochkomplex. Juristische Regelungen undManagement-Perspektiven sind eng miteinander ver-zahnt. Oft kommt es gerade hier zu teuren und lang-wierigen Konflikten.

Vermeiden Sie schwierige oder sogar existenzielleProbleme und sorgen Sie lieber mit einem wirkungs-vollen IV-Vertragsmanagement vor. Dieses umfasstnicht nur die Abmahnung, den Abschluss und dieVerwaltung von IT-Verträgen, sondern vor allemauch planerische und steuernde Maßnahmen in derVetragsdurchführung.

In ihrem neuen hochaktuellen Buch erläutern IhnenMichael Klotz und Dietrich-W. Dorn verständlichund praktisch sofort umsetzbar alles Wichtige• zu den Grundlagen des IV-Vertragsmanagements• zu den verschiedenen Vertragsarten• zur Vertragsplanung und -gestaltung• zum Controlling der IT-Verträge oder• zur Steuerung des Vertragsportfolios.

Viele Beispiele mit praktischen Bezügen und zahlrei-che Checklisten mit über 700 Checkpoints erleich-tern Ihnen die Einarbeitung in diese wichtigeMaterie. Zusätzlich werden Sie durch die dem Buchbeiliegende CD-ROM bei Ihrer praktischen Arbeitunterstützt.

Raimund Weyand, Judith Diversy

InsolvenzdelikteUnternehmenszusammenbruch und Strafrecht

7., überarbeitete Auflage 2006,Erich Schmidt Verlag,246 S., ISBN 3 503 09324 936,80 €

Im Zusammenhang mit fast allen Firmeninsolvenzenwerden Straftaten begangen, welche die Staats-


Vermeiden Sie schwierige oder sogar exi-stenzielle Probleme und sorgen Sie lieber

mit einem wirkungsvollen IV-Vertrags-management vor.


PRev_02_2006.qxp 30.06.2006 15:52 Seite 44

anwaltschaft auf den Plan rufen. Langfristige und oftkostspielige Ermittlungsverfahren schließen sich fastimmer an.

Nicht nur für die wirtschaftliche Existenz der betroffe-nen Unternehmer hat dies in den meisten Fällen gra-vierende Folgen. Haftungsansprüche von Geschäfts-partnern, Kreditinstituten und der öffentlichen Handstehen ebenso im Raum wie massive strafrechtlicheKonsequenzen.

Dieses seit Jahren bewährte Standardwerk • bietet einen umfassenden Überblick über den

aktuellen Stand der Rechtsentwicklung,• orientiert sich konsequent an der für die Praxis

bedeutsamen Rechtsprechung,• vermittelt gleichzeitig wichtige Einsichten in die

Praxis der Ermittlungsbehörden,• beschreibt detailliert die typischen Tatbestands-

merkmale von Insolvenzdelikten und• verschafft durch Schaubilder einen schnellen

Überblick über die komplexe Materie.

Raimund Weyand ist Oberstaatsanwalt und Stellver-tretender Leiter der Staatsanwaltschaft Saarbrückenund befasst sich seit vielen Jahren mit dem Wirt-schafts- und Steuerstrafrecht. Judith Diversy ist alsStaatsanwältin für Steuer- und Wirtschaftsdeliktezuständig und war vorher Anwältin in einer großenwirtschafts-rechtlich ausgerichteten Kanzlei.

Peter Wolff

Die Macht der BlogsChancen und Risiken von Corporate Blogs undPodcasting in Unternehmen

1. Auflage 2006,Datakontext-Fachverlag,164 S., ISBN 3-89577-409-X19,00 €

Seit Monaten ist das Phänomen der Blogs oder Web-logs in aller Munde. Mit diesem neuen Internettrend

werden Ansätze diskutiert, das Bloggen auch inner-halb eines Unternehmens einzusetzen, um sowohldie Unternehmens- und Mitarbeiterkultur zu för-dern, als auch nach außen glaubwürdig und regelmä-ßig mit seiner Unternehmensumwelt zu kommuni-zieren. Den sich ergebenden Chancen stehen eineganze Reihe von Risiken gegenüber. (Ex)-Mitarbeiterz. B. könnten sich wenig schmeichelhaft bis sehr kri-tisch zum Unternehmen äußern oder gebenFirmenwissen preis. Die Gefahren, die sich darausfür das Image und die Marktstellung ergeben, kön-nen fatal sein. Doch auch Unternehmen haben dieChance, aus den Beiträgen der Blogosphäre Markt-trends und gesellschaftliche Entwicklungen herauszu lesen und Wettbewerbs- und Umfeldbeobachtungzu betreiben.

Der Autor beschreibt, auf welche FallstrickeUnternehmen vorbereitet sein sollten, wenn sie dasKommunikationsinstrument Blog einsetzen und wiesich ein ehrlicher und persönlicher Dialog zu denStakeholdern aufbauen lässt. Da ein Weblog nur einInstrument ist, werden die grundsätzlichen Fragender Unternehmenskultur, Mitarbeiterführung,Wertekultur und Unternehmensethik angesprochen,die zur richtigen Imagepositionierung führen kön-nen.

Der Leser erfährt weiterhin, wie ein Weblog aufge-baut und gepflegt werden sollte, wie es sich von einernormalen Internetseite unterscheidet und welcheErfahrungen andere Unternehmen mit einemCorporate Blog gemacht haben. Es werdenMonitoringtools vorgestellt, mit denen fremde Blogsanalysiert werden, um jederzeit im Bilde zu sein, was"draußen" in der virtuellen Internetwelt über daseigene Unternehmen gesagt wird. Ebenfalls wirderklärt, wie der eigene Unternehmensblog in derBlogosphäre bekannt gemacht wird und wie sich einBlog auf das Google-Ranking auswirken kann.Darüber hinaus wird der neue Trend desPodCastings vom Autor erläutert. ✜



Der Autor beschreibt, auf welche FallstrickeUnternehmen vorbereitet sein sollten, wennsie das Kommunikationsinstrument Blog ein-

setzen und wie sich ein ehrlicher und per-sönlicher Dialog zu den Stakeholdern aufbau-

en lässt.

Haftungsansprüche von Geschäftspartnern,Kreditinstituten und der öffentlichen Handstehen ebenso im Raum wie massive straf-

rechtliche Konsequenzen.

PRev_02_2006.qxp 30.06.2006 15:52 Seite 45


ABO-Bestellung für PRevEin Abo von Revisionspraxis beinhaltet folgende Verlagsdienstleistungen:

• Zusendung von PRev• IBS-Prüfmanual (Beilage)• Zugriffsfreigabe auf umfassende Informationen unter

www.revision-hamburg.de mit allen jeweils erschienenenBeiträgen und Zusatzinformationen, abrufbar und selektierbar

• Zusendung vertiefender Hinweise und Unterlagen zuBeiträgen auf Anfrage

Das Jahresabonnement gilt für 4 Folgeausgaben ab Abo-Bestellung und verlängert sich jeweilsum ein Jahr (d.h. um zusätzlich 4 Ausgabefolgen), wenn nicht gekündigt wird. Kündigung ist mitAblauf des jeweiligen Jahresabo-Termins mindestens einen Monat vorher möglich.

PRev erscheint quartalsweise (jeweils Februar/Mai/August/November)

Kosten für ein Jahresabonnement: € 47,00 (inkl. 7% MwSt).

Bestell-FaxTel. +49 40 69 69 85-14 • Fax +49 40 69 69 85-31

Oder bestellen Sie online unter www.revision-hamburg.de

Hiermit bestelle ich das Journal Revisionspraxis im Jahresabonnement zum nächstmöglichenZeitpunkt. Ein Jahresabonnement (4 Ausgaben) kostet € 47,00 inkl. 7% MwSt. Die Abo-Gebühren zahle ich

❑ nach Rechnungsstellung durch den Verlag.❑ per Bankeinzug. Bitte belasten Sie fällige Beiträge:

Falls ich nicht spätestens 1 Monat vor dem jeweiligen Beginn meines Jahresabonnementskündige, verlängert sich das Abonnement automatisch um ein weiteres Jahr.

Konto-Nr.: _________________________

Bank:_____________________________

Name: ____________________________

Firma: ____________________________

Abteilung: _________________________

Straße: ___________________________

Ort, Datum: _______________________

BLZ:______________________________

Kontoinhaber: ______________________

Vorname: _________________________

Telefon: ___________________________

eMail: ____________________________

PLZ/Ort: __________________________

Unterschrift: _______________________

PRev_02_2006.qxp 30.06.2006 15:52 Seite 46

Documents

Externer Zugriff auf SAP R3-Systeme über RFC' aufrufen... · PDF fileÂGrundlagen und Ansätze der Internen Revision Liebe Leserinnen und Leser, bei vielen Prüfungen müssen wir