PRev 03 2006 - Christoph · PDF fileInterne Revision Prüfen in SAP

Erscheinungsweise: ¼-jährlich jeweils Februar/Mai/August/NovemberHerausgeber: Ottokar R. Schreiber

Verlag: OSV Ottokar Schreiber Verlag GmbHFriedrich-Ebert-Damm 145 • 22047 Hamburg

Fon: +49(0)40 /69 69 85 -14 • Fax +49(0)40 /69 69 85 -31eMail: [email protected] • www.revision-hamburg.de

BeiträgeFür unaufgefordert eingesandte Manuskripte wird keine Haftung übernommen. Der Verlag behältsich insbesondere bei Leserbriefen das Recht der Veröffentlichung, der Modifikation und der Kürzungvor. Leserbriefe können in beliebiger Form (handschriftlich, per eMail, Fax usw.) zugesandt werden.Manuskripte sollten uns in Dateiform zugesandt werden, vorzugsweise im RTF- oder Winword-For-mat, Bildmaterial bitte im TIFF-Format/Auflösung 200 dpi od. JPEG 300dpi. Zur Veröffentlichungangebotene Beiträge müssen von allen Rechten Dritter frei sein. Wird ein Artikel zur Veröffentlichungakzeptiert, überträgt der Autor dem OSV das ausschließliche Verlagsrecht, das Recht zur Herstellungweiterer Auflagen und alle Rechte zur weiteren Vervielfältigung bis zum Ablauf des Urheberrechts.Wird der Artikel Dritten ebenfalls zur Veröffentlichung angeboten, muss dies dem OSV bekanntge-geben werden.

eMail: [email protected]

Zu den Konditionen rufen Sie bitte unsere aktuellen Mediadaten ab. Zur problemlosen Abwicklungund korrekten Darstellung stellen Sie uns die Anzeigen vorzugsweise als tiff- oder eps-Datei zurVerfügung. Sollte dies nicht möglich sein, bitten wir um Rücksprache hinsichtlich der geliefertenDateiformate. Telefon 040/69 69 85 -14. Design-Erstellung auf Wunsch auch durch unsere Medien-abteilung möglich.

Anzeigenleitung: Alexandra Palandrani,Telefon 040 / 69 69 85 -14

eMail: [email protected]/Abonnement:

OSV Ottokar Schreiber Verlag GmbHeMail: [email protected]

Rechtliche HinweiseDer Inhalt dieser Zeitschrift inklusive aller Beiträge und Abbildungen ist urheberrechtlich geschützt.Jede Vervielfältigung oder Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassenwird, bedarf der schriftlichen Zustimmung des OSV. Dies gilt auch für Bearbeitung, Übersetzung,Verfilmung, Digitalisierung und Verarbeitung bzw. Bereitstellung in Datenbanksystemen und elektro-nischen Medien einschließlich der Verbreitung über das Internet. Namentlich gekennzeichnete Artikelgeben ausschließlich die persönlichen Ansichten der Autoren wieder. Die Verwendung vonMarkennamen und rechtlich geschützten Begriffen auch ohne Kennzeichnung berechtigt nicht zu derAnnahme, dass diese Begriffe jedermann zur Verwendung oder Benutzung zur Verfügung stehen.

DTP-ProduktionGrafik/Illustration: Alexandra Palandrani, OSV Hamburg

Layout/Satz: Alexandra Palandrani, OSV HamburgDruck: Druckerei Zollenspieker Kollektiv GmbH

Zollenspieker Hauptdeich 5421037 Hamburg

Printed in Germany. • Gedruckt auf chlorfrei gebleichtem Papier© Copyright 2006 by OTTOKAR SCHREIBER VERLAG GMBH, Hamburg

Alle Rechte vorbehalten.

Warum Revisionsberichte nicht gelesen werden . . . . . S. 5

Die Bedeutung von Arbeits-papieren für die Interne Revision . . . . . . . . . . . . . . . S. 8

Überblick über die SAP® IS-U-Funktions- und Berechti-gungsparameter durch IDEX-GE . . . . . . . . . . . . S. 13

SAP® Business Infor-mation Warehouse . . . . . . S. 24

Prüfstandards für Datenschutz-audits - Unterstützung derRevisionsarbeit . . . . . . . . . . . S. 29

Prüfung einer “Wide AreaNetwork”-Infrastruktur am Beispiel einer ausgelagertenDienstleistung . . . . . . . . . . . S. 34

Prüfung durch alle Schichten . .S. 40

Interne Revision Prüfen in SAP® IT-Revision

Impressum

Seminare . . . . . . . . . . . . . . . . . S. 44

Buchhinweise . . . . . . . . . . . . . S. 46

Abonnement . . . . . . . . . . . . . . S. 50

Impressum . . . . . . . . . . . . . . . . S. 3

VerlagshinweisNächste Ausgabe der

PRevNovember 2006

Redaktions-/ Einsende-schluss für diese Ausgabe:

31.10.2006

Beilagen dieserAusgabe:

• Zugangscode für denAbonnentenbereich aufwww.revision-hamburg.de(nur für Abonnenten)

• IBS-Prüfmanual• IBS Schreiber GmbH

“Roadshow 2006”• Datakontext Fachverlag

“IKS-Management”

Al lgemein

Beilage: IBS-Prüfmanual “Windows® 2000/2003 - Teil III”

PRev_03_2006.qxp 27.09.2006 11:32 Seite 3

Grundlagen und Ansätze der Internen Revision

Liebe Leserinnen und Leser,

in Fortsetzung unserer Betrachtungen zum Thema "Berichterstattung der Revision" stellen wir Ihnen nachVorgabe der Sollvorgaben vom IIR, IDW und IAS in PRev II/06 in dieser Ausgabe PRev III/06 die Themen"Warum Revisionsberichte nicht gelesen werden" und "Die Bedeutung von Arbeitspapieren" zur Diskussion.

Im Revisionsbericht manifestieren sich das Arbeitsergebnis der Revision und ihre Arbeit an sich.Selbstverständliches Ziel des Berichts muss seine Effektivität sein, nämlich dass die Feststellungen in ihremjeweiligen risikobezogenen Stellenwert ernst genommen und die daraus abgeleiteten Empfehlungen auchumgesetzt werden. Haub stellt in seinem Beitrag humorgewürzt vor, warum Revisionsberichte wegenDarstellungsmängeln und mangels Überzeugungskraft oft nicht gelesen werden geschweige wirksam sind.

Ernst genommen werden die Prüfergebnisse dann und nur dann, wenn sie "revisionsfest" sind. Deswegen stel-len die Arbeitspapiere das maßgebliche "Rückgrat" für den Bericht dar, wie Sie dem Beitrag von Bosse ent-nehmen können.

Viel konstruktive Diskussion zu diesem "immerwährenden" Revisionsthema und viele Stellungnahmen vonIhnen wünscht sich wie immer

Ihr

Ottokar R. Schreiber

PRev_03_2006.qxp 27.09.2006 11:32 Seite 4

PRev - Revisionspraxis III-2006 5

In meinen Revisionsseminaren befrage ich die Teil-nehmer, ob und welche Fehler sie denn schon einmalbei der Berichterstellung in der Revisionsabteilunggemacht haben. Verblüffend, was dabei heraus-kommt. Selbst Berufsanfänger, die noch keinenBericht geschrieben haben, kommen auf die interes-santesten Fehlermöglichkeiten.

Denken wir also schon an Fehler, bevor wir mit derArbeit begonnen haben?

Nein? Um das Gegenteil zu beweisen, biete ichIhnen einen kleinen Strauß an

Fehlermöglichkeiten aus meinen Seminaren an:• subjektive Einschätzungen• ,,Zahlenfriedhöfe"• belehrender Berichtsstil (,,Oberlehrer")• kein Einsatz von Grafiken• zu lange Sätze (,,Bandwurmsätze")• unstrukturierter Aufbau• Summary fehlt • Empfehlungen fehlen• Rechtschreibfehler

Aus meiner langen Revisionserfahrung möchte ichauf die Frage ,,Warum werden Revisionsberichtenicht gelesen?" Antworten gebündelt, in vierBlöcken geben.

Diätplan für Berichte

Ein leidiges Thema ist immer wieder: Wie lang undwie umfangreich darf ein Revisionsbericht sein?

Haben Sie schon einmal erlebt, dass sich Ihr Vor-stand über einen zu kurzen Bericht beklagt hat? DasGegenteil ist doch der Fall. Wir schreiben zuumfangreiche Berichte! Der Berichtsempfänger legtschon einmal den Bericht des Umfangs wegen beisei-te und hebt ihn sich (vielleicht) für seinen nächstenUrlaub auf.

These 1:

Der Bericht ist kein Ablageplatz für die Arbeits-papiere. Das Fundament und die Mauern unse-res Revisionshauses sind die Arbeitspapiere, derBericht ist nur das Dach.

Der Satzbau in unseren Berichten ist viel zu lang.Sätze mit mehr als 25 Wörtern sind sehr schwer ver-ständlich. Zählen Sie einmal Ihre Sätze nach Wörternaus. Revisoren werden hinsichtlich Schachtel- undBandwurmsätzen nur noch von Juristen übertroffen.In Gesetzestexten finden wir Sätze mit 50, 60 undmehr Wörtern. Die Absätze in Texten sind viel zulang. Man beachte, dass die längsten Absätze zuletztgelesen werden. Das kann aber auch heißen, sie wer-den nie gelesen. Denken Sie beispielsweise daran,dass niemand einen Brief im ersten Moment konse-quent von oben bis unten liest. Im Brief sollte dererste Absatz der kürzeste sein, der letzte darf derlängste sein.

These 2:

Je kürzer die Sätze, desto besser die Ver-ständlichkeit. Füllwörter, Wiederholungen,

Frank Haub

Warum Revisionsberichtenicht gelesen werden

PRev_03_2006.qxp 27.09.2006 11:32 Seite 5

Überflüssiges streichen! Absätze sollten vier bismax. sieben Zeilen haben.

Redaktionelles Pech

Wir schreiben unseren Bericht aus unserer Sicht.Setzen Sie sich doch einmal die Brille ihresBerichtsempfängers auf. Plötzlich stellen Sie fest,dass Sie eine Revisionssprache vermitteln (Zunft-jargon), die der Empfänger nicht versteht odermissinterpretiert. Wenn Sie schreiben ,,Es ergabensich keine wesentlichen Beanstandungen", meinenwir es als Lob, der Leser fasst es jedoch als Kritikauf.

These 3:

Erfolgreiche Berichtsverfasser verwenden Tat-sachen, Ideen und Gefühle, die ihre Leser ken-nen oder anerkennen.

Der ,,eilige Revisor" macht aus einer Auskunft einePrüfungsfeststellung. Beispiel: ,,Wir stellten fest, dassdie im Oktober vergangenen Jahres häufig aufgetre-tenen Arbeitsfehler auf eine schlechte Stimmung inder Abteilung zurückzuführen waren." Das stimmtnatürlich formulierungsmäßig nicht. Es handelt sichstattdessen nur um eine Auskunft. Die richtigeFormulierung müsste lauten: ,,Lt. Auskunft vonHerrn/Frau... sollten die Arbeitsfehler auf von unsnicht mehr nachzuvollziehende Situationen zurück-zuführen sein."

Ich lese immer wieder in Berichten Ungenauigkeitenund Unpräzises. Kürzlich schrieb ein Revisor zumSchluss seiner Prüfungsaussagen: ,,Die Verlustebewegten sich im zweistelligen Millionenbereich".Damit bietet er eine Bandbreite von 10 bis 99Millionen an. Und welche Währung war gemeint?Dollar, Lire, Euro?

These 4:

Zahlen, Daten, Fakten exakt und vollständig zupräsentieren heißt sauber recherchiert und pro-fessionell revidiert zu haben. Ungeprüfte Zahlenund Sachverhalte - sofern sie überhaupt zu er-wähnen sind - müssen als solche dargestelltsein.

Kommunikation, die schöne Unbekannte

Haben Sie sich schon einmal mit den bekanntestenKommunikationsmodellen beschäftigt? Schade! Einspannendes Modell beschreibt Schulz von Thun inseinen Büchern "Miteinander reden: Störungen undKlärungen" Band l und II. Darin schildert er vierKommunikationsebenen:

- Sachinhalt = Prüfungsfeststellungen- Appell = Empfehlungen- Beziehung = persönliche Einstellung

zum Geprüften- Selbstdarstellung = persönliche Darstellung

des Revisors

Wenn Menschen miteinander kommunizieren, tunsie es - jeder für sich - auf unterschiedliche Art, aus-geprägt auf den vier Ebenen. Der eine ist sehr sach-bezogen, er wird also den Sachinhalt besondersbeachten, der nächste ist ein Appellmensch, derdaran denkt, was er tun muss, der dritte ist auf derBeziehungsebene Zuhause und der vierte ist ein aus-gesprochener Selbstdarsteller.

Analog dazu operieren wir als Berichtsschreiber auchunterschiedlich auf diesen vier Ebenen. Sind wir sehrsachbezogen, wird der Bericht vielleicht zu nüchternsein. Haben wir ein übersteigertes Selbstdarstellungs-bedürfnis, wird der Bericht wahrscheinlich zu subjektiv.

Zurückkommend auf unsere Frage ,,Warum werdenRevisionsberichte nicht gelesen?" wollen wir diesevier Ebenen aus der Sicht des Berichtsempfängerseinmal analysieren:

Ebene Reaktion des EmpfängersSachinhalt ,,Das Prüfungsthema interes-

siert mich nicht"Appell ,,Ich habe keine Zeit,

Empfehlungen umzusetzen"

Wenn Menschen miteinander kommuni-zieren, tun sie es - jeder für sich - aufunterschiedliche Art, ausgeprägt auf

den vier Ebenen.

6 PRev - Revisionspraxis III-2006

PRev_03_2006.qxp 27.09.2006 11:32 Seite 6

Beziehung ,,Der Revisor hat mich wäh-rend der Prüfung gestört"

Selbstdarstellung ,,Wenn Herr/Frau XY diesenBericht geschrieben hat, weißich schon vorher, welche Ge-meinheiten er wieder verbrei-tet"

Dieses sind Negativbeispiele, wie Geprüfte auf denunterschiedlichen Ebenen reagieren könnten. Siekönnen in allen Fällen dazu führen, dass der Berichtnicht gelesen wird. Kürzlich berichtete mir einer mei-ner Referenten aus dem öffentlichen Dienst, dass derGeprüfte den Bericht nicht gelesen, ja, nicht akzep-tiert hat aus folgendem Grund: Der Revisor hattedas SPD-Parteibuch in der Tasche und der Geprüftewar CDU-Mitglied.

Prof. Vögele, der bekannteste Trainer der Direkt-marketing-Branche, stellt in seinem neuesten Buch,,99 Erfolgsregeln für Direktmarketing" u.a. dieFrage: ,,Wie retten wir unsere Mailings vor demPapierkorb?" Seine Antwort: ,,Das Mailing mussmehrere Wegwerfwellen überleben!"

Analog zu unseren Prüfungsberichten wollen wirzwar nun nicht von Wegwerfwellen, aber doch von,,Nichtlese-Wellen" reden.

These 5:

Wir sollen empfängerorientierter denken und schrei-ben. Dabei sind auch die unterschiedlichen Aus-prägungen und Wirkungsweisen der oben beschrie-benen Kommunikationsebenen zu beachten!

Psychologisches Unglück

Seit Jahren diskutiere ich in meinen Seminaren mitden Teilnehmern kontrovers das Thema, ob imBericht auch Positives aufgenommen und dargestelltwird. Die Teilnehmer bejahen es im allgemeinen, inden Unternehmen gibt es jedoch immer noch diegegenteilige Meinung. "Uns interessiert nur, wennetwas nicht geklappt hat. Wenn alles in Ordnung ist,brauchen wir auch keinen Bericht". So ist vonKollegen, Vorgesetzten und Managern zu hören.

Ich zitiere nochmals Prof. Vögele. Sein Grundprin-zip lautet:

"Wir lesen nur, wenn es mit Vorteilen verbundenist." Dieses Prinzip bezieht sich zwar auf Direkt-mailings. Wenn ich also etwas nur lese, wenn es mitVorteilen verbunden ist, heißt das für jeglichenLesestoff, dass ich zumindest motiviert sein muss;also kaufe ich mir ein Buch, weil mich der Titel inter-essiert. Ich kaufe mir einen Roman, den ich als span-nend einschätze oder ein anderes Buch verschafftmir beim Lesen Entspannung.

Wenn ein Revisionsbericht auf den Tisch des Ge-prüften kommt, hat er dann Vorteile oder Nachteile?Wenn nichts Positives vermerkt ist, hat er für ihn nurNachteile. Also wird er nicht gelesen.

Aber halt, er wird ihn wohl doch lesen. Warum?Während der Prüfung wurde beim Geprüften somanches festgestellt. Neugierig, was und vor allem,wie der Revisor es beschrieben hat (siehe die vierKommunikationsebenen), liest er doch den Text.Zum ersten Mal hat der Geprüfte jetzt die einmaligeChance, in die Rolle des Revisors zu schlüpfen. Eruntersucht den Text nach Fehlern des Revisors undwird fündig. Es haben sich Rechtschreibfehler einge-schlichen, ungeprüfte Behauptungen sind aufgestellt,Auskünfte sind unglaubwürdig, er findet polemischeÄußerungen und: Es steht nichts Positives imBericht.

These 6:

Es ist notwendig, in einem Prüfungsberichtnicht nur gefundene Fehler aufzuzeigen, son-dern neben Schwachstellen auch angemessendie Starkstellen herauszustellen. Berichte wer-den dann wieder gelesen, wenn sie auch mitVorteilen verbunden sind! ✜✜


Wenn ein Revisionsbericht auf denTisch des Geprüften kommt, hat er

dann Vorteile oder Nachteile? Wennnichts Positives vermerkt ist, hat erfür ihn nur Nachteile. Also wird er

nicht gelesen.

PRev_03_2006.qxp 27.09.2006 11:32 Seite 7

1 Vorbemerkungen

Als "Produkt" der Revision wird im Allgemeinen nurder Revisionsbericht wahrgenommen. Er gilt letzt-endlich auch als Visitenkarte der Revision. Daneben,bzw. als Grundlage für den Revisionsbericht, werdenwährend der Prüfung jedoch laufend Arbeitspapiereerstellt. In der Außenwirkung führen sie ein stiefmüt-terliches Dasein, da in aller Regel nur in Beweis-situationen darauf zurückgegriffen werden muss.Für den Revisionsprozess haben sie jedoch eine emi-nent wichtige Funktion. Das vorliegende Papier stelltdie Funktion und Bedeutung von Arbeitspapierenfür die Revision dar. Es orientiert sich im Wesent-lichen an dem Standard 2330 (Aufzeichnung vonInformationen) des Institute of Internal Auditors(IIA) und den sich daraus ergebenden praktischenRatschlägen• 2330-1 (Aufzeichnung von Informationen)• 2330.A1-1 (Kontrolle der Prüfungsunterlagen)• 2330.A1-2 (Rechtliche Erwägungen bei der

Gewährung des Zugangs zu den Prüfungsunter-lagen)

• 2330.A2-1 (Aufbewahrung von Unterlagen)

2 Definition und Zielsetzung

Das Institute of Internal Auditors (IIA) hat in demStandard 2330 festgelegt, dass die "Internen Revi-soren alle relevanten Informationen zur Begründungder Schlussfolgerungen und Revisionsergebnisseaufzeichnen". Dies geschieht üblicherweise in denArbeitspapieren. Auskonkretisiert kann man Arbeits-papiere definieren als:

Die übersichtlich und zweckmäßig geordnete Ge-samtheit der Arbeits- und Fragebögen, auf denender Revisor eigene Feststellungen und andereAngaben aufgeschrieben hat, einschließlich derschriftlichen Unterlagen, die er von anderen ergän-zend zu seinen eigenen Aufzeichnungen erhalten hat.Die Arbeitspapiere sollen die im Einzelnen durchge-führten Prüfungsschritte (Prüfungshandlungen) undangewendeten Methoden, die dazu herangezogenenUnterlagen, durchgeführten Berechnungen undPrüfungsmaßnahmen enthalten, und zwar so syste-matisch geordnet, dass sie nicht nur als Grundlageder Berichterstattung, sondern auch zu ihrer Ver-tiefung dienlich sein und von Dritten nachvollzogenwerden können.

Grundsätzlich gilt für Arbeitspapiere das gleiche wiein den GoBS definiert: Ein fachkundiger Drittermuss anhand der Arbeitspapiere die Prüfung undden Revisionsbericht in angemessener Zeit eindeutigund leicht nachvollziehen können.

Die Arbeitspapiere bieten i.d.R. einen höherenDetaillierungsgrad der Revisionserkenntnisse als derRevisionsbericht. Sie unterstützen somit speziell imSchlussgespräch die Nachvollziehbarkeit und Akzep-tanz der Revisionsergebnisse durch die geprüfteOrganisationseinheit.

3 Funktion von Arbeitspapieren

Arbeitspapiere dienen im Allgemeinen als:• Hauptgrundlage für die Berichterstattung über

den Auftrag.


Richard BosseTechniker Krankenkasse

Die Bedeutung vonArbeitspapieren für die Interne Revision

PRev_03_2006.qxp 27.09.2006 11:32 Seite 8

• Hilfe bei der Planung, Durchführung und demReview von Aufträgen.

• Dokumentation, ob die Auftragsziele erreichtwurden.

• Basis für Überprüfungen durch Dritte.• Basis für die Bewertung des Qualitätsprogramms

der Internen Revision.• Beleg in Situationen wie "geltend machen" von

Versicherungsansprüchen, bei Betrugsfällen undim Rahmen von Gerichtsverfahren.

• Hilfsmittel für die Ausbildung der InternenRevisoren.

• Nachweis für das Einhalten der InternationalenStandards für die berufliche Praxis derInternen Revision durch die Interne Revision(Standards).

Im Detail stellen sich die wesentlichen Funktionenwie folgt dar:

a) Prüfungsvorbereitung

Die Arbeitspapiere dienen der Vorbereitung derPrüfung oder entstehen bei der Prüfung bzw. werdenwährend der Prüfung übernommen. Ein nachträgli-ches "In Form bringen" ist reiner Selbstzweck undsollte tunlichst vermieden werden.

b) Detailangaben zum Revisionsbericht

Mit der nachvollziehbaren Führung von Arbeitspa-pieren wird vermieden, dass die Revisionsberichteselbst aufgebläht werden und umfangreiche Berech-nungen und Sachverhaltsdarstellungen beinhalten.Diese Arbeitspapiere müssen die während eines Auf-trags gewonnenen Informationen und durchgeführ-ten Analysen enthalten. Zudem geben sie einenguten Überblick über die verwerteten Unterlagenund erhaltenen Auskünfte. Ebenso müssen sie alsBasis die zu berichtenden Feststellungen undEmpfehlungen untermauern.

c) Möglichkeiten der Vertretung

Bei Ausfall eines Revisors (z.B. durch Krankheit) istder Einsatz eines anderen Revisors ohne Arbeits-wiederholung möglich. Er setzt während der Prü-fung dort auf, wo der ausgefallene Revisor seine Ar-beit abgebrochen hat. Auf der Basis der Arbeits-papiere sollte es auch einem sachkundigen Revisor

möglich sein, den Revisionsbericht als Ergebnis derPrüfung zu fertigen.

d) Kontrollmöglichkeiten der Revisionsleitung

Arbeitspapiere ermöglichen der Revisionsleitung dasNachvollziehen der konkreten revisorischen Aktivi-täten, sowohl in Bezug auf die Prüfungsvorbereitungals auch auf die -durchführung. Sie sind somitGrundlage der Führungsüberwachung durch denVorgesetzten (siehe hier auch: Praktischer Ratschlagdes IIA Nr. 2330.A1-1 - Kontrolle der Prüfungs-unterlagen - und 2340-1, Ziff 5 - Beaufsichtigungder Auftragsdurchführung). Dies gilt umso mehr, alsRevisoren von Hause aus in aller Regel ziemlich selb-ständig die ihnen übertragenen Prüfungsaufträgeabwickeln. Die Revisionsleitung hat hiermit dieMöglichkeit, sich im Zuge einer begleitenden Kon-trolltätigkeit vom Stand der Prüfung zu überzeugen.

Mit der Kontrolle der Arbeitspapiere soll sicherge-stellt werden, dass alle erforderlichen Prüfverfahrenangewendet wurden und eine ordnungsgemäßeGrundlage für die Berichterstattung vorliegt. Sie istein Baustein der Internen Qualitätssicherung (sieheauch IIR-Revisions-standard Nr. 3). Beispielhaft ste-hen hier folgende Aspekte im Vordergrund:• Art und Umfang der Prüfhandlungen werden

einheitlich, sachgerecht und ordnungsgemäß do-kumentiert.

• die Prüfergebnisse sind aus den Arbeitspapiereneindeutig ableitbar und somit auch für sachkun-dige Dritte in angemessener Zeit nachvollzieh-bar.

Die Kontrolle erfolgt häufig mittels einer Review-Checkliste. Auf jeden Fall sollten schriftliche

Arbeitspapiere sind grundsätzlichEigentum des Unternehmens. Es kannjedoch sinnvoll sein, den geprüftenStellen, der Managementebene oderweiteren betroffenen Organisations-

einheiten die Arbeitspapiere zur Verfü-gung zu stellen, um Prüffeststellungen

zu konkretisieren und zu erläutern.


PRev_03_2006.qxp 27.09.2006 11:32 Seite 9

Notizen über Art und Umfang sowie das Ergebnisdes Reviews gefertigt werden. Schließlich ist dasReview eine Hilfe für die berufliche Entwicklungvon internen Revisoren.

e) Information Dritter

Arbeitspapiere sind grundsätzlich Eigentum desUnternehmens. Es kann jedoch sinnvoll sein, dengeprüften Stellen, der Managementebene oder weite-ren betroffenen Organisationseinheiten die Arbeits-papiere zur Verfügung zu stellen, um Prüffest-stellungen zu konkretisieren und zu erläutern.Zudem ist es üblich, dass diese Unterlagen auchexternen Prüfern, z.B. den WPs, zur Verfügunggestellt werden. Der Zugang zu den relevantenUnterlagen bedarf jedoch der Genehmigung desRevisionsleiters.

Zudem sind sie Beweismittel in schwierigen Fällen(z.B. bei Delikten) und dienen der Unterstützung beiSachverhalten wie Durchsetzung von Ver-sicherungsansprüchen.

4 Inhalt, Umfang und Struktur

Zur Gestaltung der Arbeitspapiere sollten folgendeGrundsätze beherzigt werden:• Einfach, übersichtlich, zuverlässig und lesbar• Hinweise auf Ersteller und denjenigen, der die

Arbeitspapiere prüft (z.B. Prüfungsleiter oderFührungskraft)

• Angabe der Informationsquelle• Kennzeichnung in übernommene und erstellte

Arbeitspapiere• Redundanzfreiheit

Systematik, Layout und Inhalt der Arbeitspapierehängen jeweils von der Art des Auftrags ab. Deshalbbietet es sich nicht an, Detailvorgaben über Aufbauund Inhalt unisono für jede Prüfung zu geben. Inden Arbeitspapieren sind jedoch folgende Aspekteder Auftragsabwicklung zu dokumentieren:• Planung.• Risikobeurteilung.• Prüfung und Bewertung der Angemessenheit

und Wirksamkeit des Internen Kontrollsystems.• Angewandte Prüfungsverfahren, gewonnene

Informationen und entsprechende Schlussfol-gerungen.

• Review.• Entwurfsfassung(en) des Berichts.• Follow-up.

Die Anfertigung, Indizierung und Sammlung vonArbeitspapieren hat ohne Zweifel erheblicheVorteile. Welche Unterlagen konkret die Arbeitspa-piere umfassen, ergibt sich beispielhaft aus Ziff. 3des IIA-Standards 2330. Die Gliederung der Arbeits-papiere sollte sich hiernach in aller Regel an folgen-der Einteilung orientieren:• Organisation (z.B. Inhaltsverzeichnis, Zwischen-

blätter)• Allgemeiner Teil (Prüfungsauftrag, Revisions-

fragebögen, Schriftwechsel)• Prüfhandlungen (zum Soll-Zustand, Ist-Zu-

stand, zu den Empfehlungen)• Schlussbesprechung (Notizen und Protokolle,

Terminübersichten zur Realisierung vonEmpfehlungen)

Arbeitspapiere müssen in sich stimmig und vollstän-dig sein sowie Informationen zum Nachvollziehenund ggf. zur Belegführung gezogener Schlussfol-gerungen enthalten. Dazu gehören beispielhaft unteranderem:• Planungsunterlagen und Arbeitsprogramme.• Fragebögen zu Kontrollen, Flussdiagramme,

Checklisten und Erläuterungen.• Notizen und Protokolle von Besprechungen.• Informationen über die Organisation wie

Organigramme und Stellenbeschreibungen.• Kopien von wichtigen Verträgen und Verein-

barungen.• Informationen über betriebliche und finanzwirt-

schaftliche Vorgehensweisen.• Ergebnisse von Kontrollauswertungen.• Bestätigungsschreiben und Vollständigkeits-

erklärungen.• Analyse und Prüfung von Transaktionen, be-

trieblichen Prozessen und Kontosalden.• Ergebnisse aus analytischen Prüfungsverfahren.• Der definitive Bericht und Stellungnahmen des

Managements.• Auftragskorrespondenz, falls diese im Rahmen des

Auftrags getroffene Beurteilungen dokumentiert.

Arbeitspapiere können in Form von Papier, Bändern,Platten, Disketten, Filmen oder anderen Medien vor-liegen. Falls die Arbeitspapiere in einer anderen


PRev_03_2006.qxp 27.09.2006 11:32 Seite 10

Form als auf Papier vorliegen, muss auf die An-fertigung von Sicherungskopien geachtet werden.

Wenn Interne Revisoren über Daten des Rechnungs-wesens berichten, muss aus den Arbeitspapieren her-vorgehen, ob die Bücher mit diesen Daten überein-stimmen bzw. damit abgestimmt sind.

Im Folgenden werden einige typische Schritte für dieAnfertigung von Arbeitspapieren dargestellt:• Aus jedem Arbeitspapier sollten der durchge-

führte Auftrag sowie Inhalt oder Zweck desArbeitspapiers erkennbar sein.

• Jedes Arbeitspapier ist vom Ersteller zu unter-schreiben (oder abzuzeichnen) und mit einemDatum zu versehen.

• Bearbeitungssymbole (Prüfzeichen) sind zuerklären.

• Informationsquellen müssen eindeutig erkenn-bar sein.

Standardisierte Arbeitspapiere wie Fragebögen undPrüfungsprogramme können die Effizienz derAuftragsabwicklung verbessern und das Delegierenerleichtern. Bestimmte Arbeitspapiere können alsdauerhafte oder fortzuschreibende Revisionsakten ge-nutzt werden. Diese Akten enthalten im AllgemeinenInformationen von fortdauernder Bedeutung.

Von allen prüfungsrelevanten Unterlagen solltenFotokopien für die Arbeitspapiere angefertigt wer-den, damit • die Prüfungsfeststellungen der Prüfungsberichte

in den Arbeitspapieren dokumentiert sind und • eine Rekapitulation von Sachzusammenhängen

möglich ist.

Zu den Arbeitsunterlagen sind insbesondere zu neh-men• alle Dokumente, die für die Prüfer von anderen

Stellen erstellt wurden,• von den Prüfern selbst angefertigt worden sind,• alle Ablichtungen/Zweitschriften von Schrift-

stücken sowie Gesprächsnotizen, die Sachver-halte belegen, soweit sie für die Darstellung eines

Sinnzusammenhangs oder des Umfangs derSchwachstellen relevant sind,

• Schriftstücke, die der Revisor zu seinen Aktennimmt und die von der geprüften Organisations-einheit oder Dritten stammen.

Vor jeder Prüfung hat der Prüfungsleiter Anspruchauf die notwendige Orientierung durch den Vor-gesetzten zu Art, Umfang und Struktur der von ihmerwarteten Arbeitspapiere. Der Prüfungsleiterstimmt das Layout der Arbeitspapiere mit den betei-ligten Prüfern ab. Bei einer mehrere Organisations-einheiten übergreifenden Themenprüfung hat sichz.B. eine tabellarische Darstellung nach einem vorge-gebenen Fragenkatalog bewährt.

Die Erstellung des eigentlichen Revisionsberichtsliegt in der Verantwortung des Prüfungsleiters. Erkann diese Arbeit jedoch nur effizient leisten, wennalle beteiligten Revisoren ihm solide zuarbeiten. Ausdiesem Grund erstellen sie während der jeweiligenRevision, spätestens nach Abschluss eines jedenThemenkomplexes, aussagefähige Arbeitspapiere.Die Arbeitspapiere sollen auch Querverweise undSchnittstellen zu anderen Prüfgebieten, dieBestandteil der Gesamtprüfung sind, aufzeigen. DieArbeitspapiere übergeben die beteiligten Revisorendem Prüfungsleiter. Kurz gesagt: Arbeitspapiere, dieden Revisionsauftrag dokumentieren, werden vomRevisor erstellt und von den Führungskräften derInternen Revision überprüft.

Die Anforderungen an den Detaillierungsgrad vonArbeitspapieren ergeben sich in aller Regel aus derUnternehmenskultur, der Revisionsphilosophie, derBrisanz des Prüfthemas und der "Spitzfindigkeit" imGegenargumentieren der geprüften Stelle.

5 Arbeitspraktische Schlussbemerkungen

Der Leiter einer internen Revision sollte Vorgabenentwickeln • zu den Grundsätzen der Erstellung von

Arbeitspapieren sowie• zu den Regularien zur Aufbewahrung von

Arbeitspapieren.

Diese Vorgaben stellen eine Orientierung für dieRevisoren dar und sind zugleich Vorgabe für ein ziel-und qualitätsorientiertes Handeln. ✜

Der Leiter einer internen Revision sollte Vorgaben entwickeln...


PRev_03_2006.qxp 27.09.2006 11:32 Seite 11


Prüfen in SAP®


auch in Zukunft werden wir im SAP®-Teil der Revisionspraxis immer wieder SAP® Branchenlösungen behan-deln. Aufgrund der unterschiedlichen Anforderungen werden vermehrt in allen Branchen spezifischeLösungen in die SAP® Systeme integriert. Sei dies z.B. für den öffentlichen Bereich das IS-PS (Public Sector),für Krankenkäuser das IS-H (Healthcare), für Banken das IS-B (Banking) oder für Energieversorger das IS-U(Utilities) und das IDEX-GE (Intercompany Data Exchange Extended - German Electricity). In dieserAusgabe stehen die Energieversorger im Mittelpunkt. Herr Christoph Wildensee gibt in seinem Artikel einenÜberblick über die Funktionalitäten des IDEX-GE. Insbesondere geht er hierbei auch auf das Thema derZugriffsrechte zu IDEX-GE ein.

Der zweite Artikel ist die dritte Fortsetzung unser SAP® BW-Reihe von Herrn Claus-Dieter Lillich, der sichdiesmal mit dem Prüfen der Zugriffsrechte des SAP® BW auseinandersetzt. Dies hat eine besondereRelevanz, da in einem BW-System eine Vielzahl an Unternehmensdaten in aggregierter Form vorliegen undsomit auch äußerst sensible Daten daraus extrahiert werden können. Aufgrund der Komplexität derBerechtigungen wird sich auch der vierte und letzte Teil unserer SAP® BW-Reihe, der in RevisionspraxisIV/2006 erscheint, noch eingehender mit diesem Thema befassen.

Ihr

Thomas Tiede

PRev_03_2006.qxp 27.09.2006 11:33 Seite 12

Einführung

Der Begriff ‚Unbundling' ist gleichzusetzen mitEntflechtung oder Auftrennung und zielt auf diePflicht zur Trennung eines betriebsnotwendigenNetzes von anderen Bereichen des Unternehmenswie der Erzeugung oder insbesondere dem Ver-triebs- und Handelsbereich. Ein Netzmonopol er-möglicht es dem Netzeigner, den öffentlich geforder-ten Wettbewerb zum Nachteil fremder Netznutzerim eingerahmten Gebiet zu stören, indem prohibiti-ve Zugangsbedingungen wie hohe Netznutzungs-entgelte und andere Beschränkungen durchgesetztwerden. Das Energiewirtschaftsgesetz (EnWG) ver-folgt somit das Ziel, zum einen das natürlicheMonopol ‚Netz' von anderen, dem Wettbewerb un-terliegenden Unternehmensbereichen zu entflechten,und zum anderen, die Transparenz des Netz-bereiches zu erhöhen und Quersubventionierungenaufzudecken und zukünftig zu verhindern. DasEnergiewirtschaftsgesetz ist hier eindeutig:

§9 EnWG: Verwendung von Informationen

(1): "Unbeschadet gesetzlicher Verpflichtungen zurOffenbarung von Informationen haben vertikalintegrierte Energieversorgungsunternehmen undNetzbetreiber sicherzustellen, dass die Vertrau-lichkeit wirtschaftlich sensibler Informationen,von denen sie in Ausübung ihrer Geschäfts-tätigkeit als Netzbetreiber Kenntnis erlangen,gewahrt wird."

(2): "Legen das vertikal integrierte Energieversor-gungsunternehmen oder der Netzbetreiber [, der

im Sinne von §3 Nr. 38 mit ihm verbunden ist,]über die eigenen Tätigkeiten als NetzbetreiberInformationen offen, die wirtschaftliche Vorteilebringen können, so hat dies in nicht diskriminie-render Weise zu erfolgen."

Die Deregulierung der Energiemärkte und die suk-zessive offerierten Konkretisierungen der Bundes-netzagentur (BNetzA) führen bei den Energie-versorgern zu Anpassungen der Geschäftsprozesse.Während in der Vergangenheit im Verhältnis zuanderen Netzmonopolisten nur geringer Aufwandz.B. zur Verwaltung von Wechselkunden entstand,werden zukünftig solche Vorgänge durch höhereWechselquoten im eigenen Versorgungsgebiet zu-nehmen. Auch die Administration von "Groß-kunden- / Bündelkundenverträgen" ist hier als mar-kanter Punkt zu nennen.

Wenn diese Prozesse zu Massenprozessen werden,muss auch die IT-Unterstützung entsprechendeFunktionen bereitstellen und für Automatismen inder Abarbeitung der Datenströme sorgen. Hinzukommt die Forderung, dass der eigene Vertriebs-bereich gegenüber außenstehenden Mitbewerbernnicht bevorzugt werden darf. Dies führt unweigerlichzur Notwendigkeit eindeutiger Prozess- undOrganisationsdefinitionen und zu Berechtigungs-trennungen.

Unabhängig von der unternehmensrechtlichen Aus-gestaltung des Unbundling erfordert die Verpflich-tung des diskriminierungsfreien Zugangs zu wirt-schaftlich sensiblen Informationen, also Vorkehrun-


Dipl.-BetriebswirtChristoph Wildensee,CISM, CIFI, Hannover

Überblick über die SAP®IS-U-Funktions- und Be-rechtigungsparameterdurch IDEX-GE

PRev_03_2006.qxp 27.09.2006 11:33 Seite 13

gen gegen eine Weitergabe dieser an eigene, in Kon-kurrenz stehende Bereiche wie dem Vertriebs- undHandelsbereich. Entsprechend sind Datenverar-beitungssysteme im Rahmen des technisch, zeitlich,organisatorisch und wirtschaftlich Zumutbaren soauszugestalten, dass die Diskriminierungsfreiheitgewahrt wird.

Freiwillige Vereinbarungen der Verbände u.a. hin-sichtlich des Netzzuganges, der Netznutzungsent-gelte und der Mengenabrechnungen schienen unge-eignete Mittel, den geforderten diskriminierungsfrei-en Zugang von Fremdversorgern zu gewährleisten.Ausgehend vom Projekt VV2@SAP® arbeitetenneben SAP® selbst z.B. E.ON, RWE, EnBW,Vattenfall und ewmr als Impulsgeber an einer unter-stützenden Lösung, die eine weitestgehende Auto-matisierung wesentlicher Prozesse / Workflows wiedem Lieferantenwechsel, die Mehr- /Mindermengenabrechnung und dieZahlungsbearbeitung / -abwicklung zwischen denMarktteilnehmern unterstützen sollte.

Das SAP® R/3 IS-U als Standardinstrumentariumdeckt nicht die geforderten Funktionalitäten ab, sodass ohne weitere Unterstützung / Anpassung einerheblicher Implementierungsaufwand im Unter-nehmen entsteht (EDM -Energiedatenmanagement/ IDE - Unternehmensübergreifender Datenaus-tausch).

IDEX-GE (intercompany data exchange extended -german electricity) ist das Ergebnis dieser gemeinsa-men Initiative zur (Weiter)Entwicklung einer SAP®-seitigen Abbildung standardisierter Prozesse im libe-ralisierten Energiemarkt. Durch die Bereitstellungneuer / geänderter Funktionen und Musterprozessewerden der Anpassungsaufwand verringert und bis-herige Fehlerquellen ausgeglichen. Das vorrangigeZiel der Einführung im Unternehmen ist also, einenlauffähigen Prototypen mit vordefinierten Prozess-anpassungen zu implementieren, der lediglich gerin-gen, unternehmensspezifischen Anpassungsaufwandnach sich zieht und dabei über SAP®-Standard-Change-Modi unterstützt wird.

IDEX-GE basiert auf SAP® R/3 und ist eineZusatzentwicklung zu den Modulen IS-U, EDM undIDE, wobei es auf Release 4.64 aufsetzt. Es ist indiese Module integriert und verändert alte Modul-

Funktionen, fügt aber auch neue Funktionen hinzu.Das Berechtigungskonzept wird modifiziert. Zumeinen steht eine vorkonfigurierte Benutzerrolle‚Kritischer Vertriebsmitarbeiter' zur Verfügung, dieentsprechende Berechtigungsobjekteingrenzungensowie ein CIC-Profil zur Begrenzung der Anwen-dungs- / Anzeigefunktionen enthält, zum anderenwerden Änderungen der Verarbeitungslogik überBAPI's und BAdI's realisiert.

Über BAPI-Schnittstellen (Business ApplicationProgramming Interface) können in anderenProgrammiersprachen oder Zugangsdefinitionenaufgebaute externe Funktionen mittels RFC(Remote Function Call) in jedem SAP®-Systemohne SAPGUI-Nutzung aufgerufen werden. Reintechnisch betrachtet sind BAPI's remotefähigeFunktionsbausteine. Sie ermöglichen die Integrationexterner Systemkomponenten auf der betriebswirt-schaftlichen Ebene. Nach Freigabe eines BAPI'sdurch SAP® bleiben seine Schnittstellendefinitionund Aufruf-parameter bestehen - auf diese Weise istsichergestellt, dass externe Zugriffe auf das SAP®-System dauerhaft stabil laufen.

Reichen die Customizing-Möglichkeiten von SAP®-Systemen / -Modulen nicht aus, stellen die Program-me an vielen Stellen Erweiterungspunkte zur Ver-fügung, an denen kundenspezifische Programm-modifikationen in die Standardverarbeitung einge-bettet werden können. Eine Möglichkeit besteht inder Nutzung von BAdI's (Business Add-Ins), die als"objektorientierte User-Exists" oder Einsprung-punkte in der Verarbeitungslogik gesehen werdenkönnen.

IDEX-GGE-FFunktionsumfang

Die folgende Übersicht gibt einen kurzen Einblick inden Funktionsumfang von IDEX-GE:• Verbesserter Erfassungsdialog für den

Wechselbeleg (kundenindividuelle Anpassungenüber BAdI)

• Automatische Zählpunktidentifikation für einge-hende Meldungen mit Möglichkeit der manuel-len Nachidentifikation (der Zählpunkt ist keinMuss-Feld in der Wechselmeldung)

• Definition von Kündigungskonditionen zumZweck der Prüfung einer Mindestvertragslaufzeitbeim alten Lieferanten


PRev_03_2006.qxp 27.09.2006 11:33 Seite 14

• Erweiterungen bei der Mehr- / Mindermengen-abrechnung, z.B. zählpunktbezogene Einzel-nachweise

• Erweiterungen im Bereich Netznutzungsbear-beitung

• Rechnungsprüfung bei Eingang Netznutzungs-rechnung beim Lieferanten

• Erweiterungen bei der Funktionalität zur Er-zeugung elektronischer Netznutzungsrechnun-gen beim Netzbetreiber

• Erweiterte Funktionalitäten im Bereich Berechti-gungen (Voraussetzung: Zwei-Vertragsmodell[2VM])

• Vorkonfiguration für den "kritischen Vertriebs-mitarbeiter".

Hierzu stehen verschiedene Instrumente zur Verfü-gung wie z.B.• Werkzeuge zur Datenübernahme (BC-Sets

[Business-Configuration-Sets], CATT's)• Geschäftsprozessorientierte Konfigurationsleit-

fäden: Exemplarische Beschreibung der Installa-tion, sowohl manuelle Unterstützung als auchWerkzeugnutzung zur Automatisierung derKonfigurationsaktivitäten

• Detaillierte Ablaufbeschreibungen von Muster-Geschäftsprozessen

• Muster zur Abrechnung von Mehr- / Minder-mengen.

Die erweiterten Funktionen beziehen sich vorwiegendauf den Lieferantenwechsel, die Netznutzungsbear-beitung und die Mehr- / Mindermengenabrechnung.Die Erweiterungen ermöglichen insbesondere • das manuelle Nachidentifizieren von Zählpunk-

ten: Optimierte Identifikation für eingehendeMeldungen im automatischen Datenaustauschintegrierbar mit der Möglichkeit der manuellenNachidentifizierung im Workflow für Liefer-antenwechsel und Kündigungsbearbeitung,Identifizierung während Dialogerfassung, überAdressdaten- oder über Zählpunkteingabe, keineEindeutigkeit = Auswahlliste

• die Prüfung der Mindestvertragslaufzeit: Defi-nition von Kündigungskonditionen, optimierteBearbeitung bei der Berechnung des nächstmög-lichen Kündigungstermins

• eine prozessabhängige Ermittlung relevanterFeldbelegungen bei Mussfeldprüfungen imErfassungsdialog des Wechselbeleges

• und dabei die effiziente Erfassung von Wechsel-belegen: Anzeige der Felder in Abhängigkeit von‚Wechselsicht' und ‚Wechselart', Vorbelegungvon Feldern

• Datenaustausch innerhalb eines Mandanten (Vo-raussetzung: Netzbetreiber und eigener Lieferantwerden im selben Mandanten geführt und für dieAbbildung von All-Inclusiv-Kunden wird wieoben erwähnt ein 2VM verwendet)

• Netznutzungsbearbeitung innerhalb eines Man-danten wie direkte Netznutzungsrechnungs-buchung zum Rechnungseingang des Lieferanten(INVOIC), Überführung der Rechnungen in dasFI-CA des Lieferanten, Zahlung der Rechnun-gen und Erstellung von Zahlungsavisen (REM-ADV) über den Zahlungslauf des Lieferanten

• Optimierter Rechnungseingang durch Feldvor-belegungen, Erfassungsvarianten, Identifikationvon Zählpunkten im Dialog, verbesserte Rech-nungseingangsprüfungen, Prüfparameter, die inPrüfbausteinen der optimierten Rechnungsein-gangsprüfung verwendet werden können

• Kundengruppenspezifische Ermittlung und Ab-rechnung von Mehr- / Mindermengen, getrenn-te Abrechnungen der Mehr- / Mindermengennach Kundengruppen: Bilanzierungsreport:REEDMSETTLPROC_VV2_SYNTH_GRP(synthetisches Bilanzierungsverfahren nach VV2- kundengruppenspezifisch) - Bilanzierungs-schritt: SUMRES08SU; Bilanzierungsreport:REEDMSETTLPROC_FINSETTL_GRP(Mehr- / Mindermengenermittlung nach VV2 -kundengruppenspezifisch) -Bilanzierungsschritt: DIFFGRPSU; Mehr- /Mindermengenabrechnung erfolgt über RTP-Schnittstelle

• Zählpunktbezogener Einzelnachweis für diejeweiligen Lieferanten, u.a. Aufschlüsselung vonDifferenzmenge je Zählpunkt, Report: /ISI-DEX/RESETTLPODLIST; ALV-Grid-Controloder Filetransfer, Zählpunktselektion überBelegnummer

• Verbessertes Bilanzierungsreporting:Zählpunkt ↔ BilanzierungsbelegeTransaktion EEDMSETTLANALYSE /EEDMSETTLANALYSEPOD.

Eine exemplarische Kurzübersicht über ausgesuchteBasis-Einstellungen aus den SAP®-Building-Block-Konfigurationsleitfäden, die gleichzeitig zu analysie-


PRev_03_2006.qxp 27.09.2006 11:33 Seite 15

renden Revisionsaspekten entsprechen, gibt einen wichtigen Ausblick auf die Implementationsaktivitäten:


Geschäftsprozess Lieferant und Lieferantenwechsel (Verteilnetzbetreiber)

Zugehörige Rollen:

IDEX LW LIEFERANT BLOCK und IDEX LW VERTEILNETZBETREIBER BLOCK

Fristen-Framework

Der Lieferantenwechselprozess benötigt für dieWechselarten Lieferantenwechsel, Lieferbeginnund Lieferende eine Reihe von Fristen. Zu die-sen zählen z.B. bilaterale Fristen zwischenMarktpart-nern, Fristen nach Marktregeln,Fristen für unterschiedliche Zählpunktgruppenusw. Mit dem Fristen-Framework werden diesedefiniert und überwacht.

View-Cluster:VC_EIDESWTTIME

Customizing über:

Unternehmensübergreifender Datenaustausch → Prozess-bearbeitung → Lieferantenwechsel → Fristenarten definieren

Prüf-Framework-Grundeinstellungen

Die Infrastruktur für Prüfungen imLieferantenwechselprozess wird über das Prüf-Framework bereitgestellt. Hierbei können dieException-Behandlung, die Protokollierung unddas Ignorieren von Zuständen (Übersteuerung:Definition, ob der Prozess / die Aktion über-gangen werden kann, es wird dann mit demnächsten Prozess / der nächsten Aktion fortge-fahren) eingestellt werden.

View-Cluster:VC_EIDESWTCHECKV_EIDESWTCHECKEV

Customizing über:

Werkzeuge → Systemanpassung → Kundeneigene Funktionserwei-terung für IDE → Lieferantenwechsel → Prüfungen definierenundUnternehmensübergreifender Datenaustausch → Prozess-bearbeitung → Lieferantenwechsel → Ausnahmebehandlung fürPrüfungen definieren (POD_MISSING)

Wechselbeleg-Nummernkreis

Die Protokollierung der Wechselprozess-einzelschritte erfolgt über die Wechsel-belege.

Customizing über:

Unternehmensübergreifender Datenaustausch → Prozess-bearbeitung → Lieferantenwechsel → Nummernkreise fürWechselbelegnummer definieren

Art der Serviceanbietervereinbarung

Die Serviceanbietervereinbarung dient zurSteuerung der Folgeprozesse abhängig von denServicearten. Hieran sind der Marktpartner undder prozessausführende Serviceanbieter betei-ligt.

View-Cluster:V_EDRGSPAGRTYPE (DeregProzess: GRIDUSAGE)

Customizing über:

Unternehmensübergreifender Datenaustausch → Serviceanbieter-vereinbarungen → Arten der Serviceanbietervereinbarungen fest-legen

Workflows zu Wechselsichten

Der entsprechende Prozess-Workflow wird inAbhängigkeit des Service-anbieters gestartet.

View-Cluster:

V_EIDESWTVIEWTAS

Customizing über:

Unternehmensübergreifender Datenaustausch → Prozessbearbei-tung → Lieferantenwechsel → Workflow pro Wechselsicht definie-ren

PRev_03_2006.qxp 27.09.2006 11:33 Seite 16



Datenaustauschprozesse

Der Datenaustauschprozess zwischen Service-anbietern ist eine zentrale Aufgabe. Er basiertauf den implementierten DA-Basismethoden.Ein DA-Prozess zwischen zwei Serviceanbieternwird über eine Datenaustauschdefinition veran-schaulicht, entsprechend der DA-Aufgaben kön-nen DA-Definitionen gesteuert und überwachtwerden.

Customizing über:

Unternehmensübergreifender Datenaustausch → Datenaustausch-prozesse → Datenaustauschprozesse definieren

Wechselbeleg-Erfassungsdialog

Der Wechselbeleg-Erfassungsdialog wurdedurch stichtags(un)abhängige Vorbelegungen,spezifische Feldeigenschaften undMussfelddefinitionen erweitert (VDEW-Vorgabenrichtwerte für Kann-, Soll- undMussfelder einer Systemnachricht).

Customizing Erfassungsdialoge über:

(SE19) Werkzeuge → ABAP Workbench → Hilfsmittel →Business-Add-Ins → Implementierung

BAdI-Aktivierung: /ISIDEX/IDE_SWITCHD

Mussfelddefinitionen:View-Cluster: VC_EIDESWTMSGFIELD

/ISIDEX/V_EMDCHK

Customizing über:

Unternehmensübergreifender Datenaustausch → Prozess-bearbeitung → Lieferantenwechsel → Feldprüfung festlegenundUnternehmensübergreifender Datenaustausch → Prozessbear-beitung → Lieferantenwechsel → Verwendung der Mussfeld-prüfungen festlegen

(Neue Prüfmethode/ISIDEX/CL_ISU_IDE_SWITCH_CHECK →Methode Check_Msgdata_Ext() kann kundenindividuell integriertwerden.)

Zählpunktidentifikation

Die Abweisung der UTILMD-Anfrage bei derautomatischen Zählpunktidentifikation kannüber eine manuelle Nachidentifikation desZählpunktes ausgeglichen werden. Hierzu sindprojektspezifische Anpassungen des Muster-Workflows notwendig.

View-Cluster:/ISIDEX/V_EIDPRD

Customizing über:

Unternehmensübergreifender Datenaustausch →Prozessbearbeitung → Verwendung der Prozessvarianten fürIdentifikation der Zählpunkte festlegenDie manuelle Zählpunktidentifikation kann nur durch eine Ausprägungdes BAdI ISU_IDE_COMM_SWT ? MethodeInbound_Determine_POD() eingebunden werden. Damit das System dieUTILMD-Anfrage nicht automatisch ablehnt, ist die Workflow-ExceptionPOD_MISSING für die Wechselsicht ‚Netzbetreiber' und ‚AlterLieferant' mit 09 (kein Fehler nach Sachbearbeiterentscheidung fortset-zen) überzudefinieren.

PRev_03_2006.qxp 27.09.2006 11:33 Seite 17


Mindestvertragslaufzeit

Bei der Kündigung eines Stromlieferungsvertrages zueinem gewünschten Zeitpunkt muss entschiedenwerden können, ob der Beendigungswunsch auf-grund von Mindestvertragslaufzeiten,Verlängerungsregelungen und einzuhaltendenKündigungsfristen korrekt ist. Das System prüft dieEingaben auf zeitliche Konsistenz.

View-Cluster:/ISIDEX/V_CANCON

Customizing über:

Unternehmensübergreifender Datenaustausch →Prozessbearbeitung → Lieferantenwechsel →Kündigungskonditionen für Prüfungen derMindestvertragslaufzeit definierenErweiterung durch Subscreen-Einbindung, Feldprüfungsdefinition,DDIC-Strukturanlage (CI_EVER → Hinzufügen der KomponenteCANC_COND_ID vom Komponententyp/ISIDEX/E_CANC_COND_ID), Kopieren und Aktivieren neuerDynpros vom Programm /ISIDEX/SAPLXES20 in das ProgrammSAPLXES20, Include-Erweiterung in der Funktionsgruppe XES20 undErweiterung des Workflow ‚Alter Lieferant' um die Prüfung NOTICE-PERIOD.

Ereignistypkoppelung

Wird das Ereignis ‚Wechselbeleg angelegt' ausgelöst,startet die Typkoppelung. Zur differenziertenBetrachtung im Workflow wird eine Check-Funktionbenötigt.

Customizing über:

(SWETYPV) Werkzeuge → Business Workflow → Entwicklung →Hilfsmittel → Ereignisse → Typkoppelung

Checkfunktion: ISU_IDE_CHECK_SWT_WF_START

Lieferantenwechsel - Sicht Neuer Lieferant(LN); Lieferbeginn - Sicht Neuer Lieferant(LN); Lieferantenwechsel - Sicht Alter Lieferant(LA); Lieferende - Sicht Alter Lieferant (LA)

Customizing über:

(EWBC) Kundenservice → Front-Office → Front-Office-Prozessedefinieren

Serviceanbieter

Serviceanbieter können nur angelegt werden beiVorliegen korrespondierender Geschäftspartner(GP). Das GP-Feld ist bei der Serviceanbieterpflegeein Muss.Ein Serviceanbieter (Marktteilnehmer, der Dienst-leistungen anbietet) kann sowohl ein fremdes Unter-nehmen (Marktpartner) als auch eine Organisationim eigenen Konzern (prozessausführender Service-anbieter) sein.Eine Bilanzierungseinheit (BE) beinhaltet relevanteZählpunkte (ZP) für eine Bilanzierung. Das Systemordnet jeder BE einen virtuellen technischen ZE zu,um Profile direkt einer BE zuordnen zu können. (?Bilanzierungsergebnisse).Zu einer BE ermittelt das System Deregulierungs-zählpunkte, die zu den Servicetypen einenZählpunktservice zum jeweiligen Serviceanbieterbesitzen. Bei der BE-Generierung vergleicht danndas System die Serviceanbieter der BE und der ZPund ordnet entsprechend die ZP den BE zu.Ein Netz ist ein ganzes oder ein Teilnetz eines Ver-sorgungsgebietes eines Verteilnetzbetreibers. Es bil-det die Hierarchie von Verteil- und Übertragungs-netzen und ggf. auch physikalisch getrennteRegelzonen ab.

Geschäftspartner Verteilnetzbetreiber und Lieferant ausSicht des Verteilnetzbetreibers:Customizing über:

(FPP1) Stammdaten kaufmännisch → Geschäftspartner →Vertragspartner → AnlegenFür GP ‚Fremder Verteilnetzbetreiber', ‚Eigener Lieferant' und‚Fremder Lieferant' und ‚Bilanzkreiskoordinator' Serviceanbieter aus Sicht des Lieferanten:Customizing über:

(EEDMIDESERVPROV01) UnternehmensübergreifenderDatenaustausch → Serviceanbieter → AnlegenBilanzierungseinheiten für die Sicht Lieferant:Customizing über:

(EEDMSETTLUNIT01) Energiedaten-Management →Bilanzierung → Stammdaten → Bilanzierungseinheit anlegen(Gen.-Report: EEDM_SETTLUNIT_GEN)und

(EEDM09) Stammdaten technisch → Zählpunkt → AnlegenNetzanlage aus Sicht des Lieferanten:

(EEDMIDE_GRID01) UnternehmensübergreifenderDatenaustausch → Netz → AnlegenNutzung der Stammdatenvorlagen über:

SPRO (Zahlungsklasse), CAA1 (aggregiertes Vertragskonto) undEEDMIDESERVPROV02 (Serviceanbieterergänzung)


PRev_03_2006.qxp 27.09.2006 11:33 Seite 18


Customer Interaction Center (CIC)

Unter Verwendung des CIC werden die Prozesse desLieferantenwechsels ausgelöst (Anpassungen überCIC-Profil (Z)ISU_DRG).

Customizing über:

(PPOME) Personal → Organisationsmanagement →Aufbauorganisation → Organisation und Besetzung → Ändern

(EWFC0) Kundenservice → Customer Interaction Center →Komponenten Konfiguration → Einstellungen zur Action Box →Konfigurationsprofile für Actionbox festlegen

Kundenservice → Customer Interaction Center → CIC-Profile →CIC-Profile pflegen

mit View-Cluster: V_CICPROF

Deregulierungs-Basiseinstellungen Verteilnetzbetreiber und Deregulierungs-Basiseinstellungen Lieferant

Zugehörige Rollen:

IDEX DEREG VERTEILNETZBETREIBER BLOCK undIDEX DEREG LIEFERANTEN BLOCK

Deregulierungseinstellungen

Unterscheidung zwischen Dialog- und Prozess-Steuerung. Dialogsteuerung:Serviceanbietervereinbarung undVersorgungsszenario; Prozess-Steuerung:Zahlungsabwicklung und Servicefindung.

View-Cluster:VC_EDRGSWITCH

Customizing über:

Grundeinstellungen/Unternehmensstruktur →Deregulierungseinstellungen festlegen

ServiceartenCustomizing über:

Unternehmensübergreifender Datenaustausch → Services →Servicearten definieren

Versorgungsszenarien

Es werden Datenmodelle für unterschiedlicheVersorgungsszenarien festgelegt.

View-Cluster:

VC_EDRGSCENARIO

Customizing über:

Unternehmensübergreifender Datenaustausch →Versorgungsszenarien → Versorgungsszenarien definieren

Workflow: Customizing verifizieren undStammdatenvorlage Customizing über:

(SWU3) Werkzeuge → Business Workflow → Entwicklung →Hilfsmittel → Customizing verifizieren

Stammdatenvorlage:

/ISIDEX/VNB (Verteilnetzbetreiber) bzw./ISIDEX/LIEF (Lieferant)


PRev_03_2006.qxp 27.09.2006 11:33 Seite 19


IS-U-EDM Basis Block - Einstellungen

Zugehörige Rolle:

IDEX EDM BASIS BLOCK

Grundeinstellung Customizing EDM - Energie-Daten-Management

1. Grundeinstellung Kalender und Nummernkreise

Customizing über:

Kalender: Allgemeine Einstellungen → Kalender pflegenNummernkreise: Energiedaten-Management → Profilverwaltung→ Nummernkreise für Profile definierenProfilarten: Energiedaten-Management → Grundeinstellungen →Profilart → Profilarten definierenIntervallzulässigkeit: Energie-Datenmanagement → Grundein-stellungen → Profilart → Zulässigkeit der Intervalllänge je Profil-art definieren

2. Saisonblock / Tagesblock / Tageszeitblock

Customizing über:

Saisonarten: Energiedaten-Management → Grundeinstellungen →Saisonblock → Saisonarten definierenSaisonblöcke: Energiedaten-Management → Grundeinstellungen→ Saisonblock → Saisonblöcke definierenTagesarten: Energiedaten-Management → Grundeinstellungen →Tagesarten definierenTagesblöcke: Energiedaten-Management → Grundeinstellungen →Tagesblöcke definierenTageszeitarten: Energiedaten-Management → Grundeinstellungen→ Tageszeitblock → Tageszeitarten definierenTageszeitblöcke: Energiedaten-Management → Grundein-stellungen → Tageszeitblock → Tageszeitblöcke definieren

3. ProfilverwaltungCustomizing über:

Nummernkreise für Profile: Energiedaten-Management → Profil-verwaltung → Nummernkreise für Profile definierenNummernkreise für Herkunftssystem: Energiedaten-Management→ Grundeinstellungen → Nummernkreise für HerkunftssystemdefinierenRollen für Profilzuordnung: Energiedaten-Management → Profil-verwaltung → Rollen für Profilzuordnung definierenAnzeige von Profilwerten: Energiedaten-Management → Profil-verwaltung → Anzeigefunktion → Anzeige des Status von Profil-werten definieren

4. Synthetische Profile

Customizing über:

Tagesprofil: Energiedaten-Management → Profilverwaltung →Profilkopf anlegen (EEDM06)CATT: /ISIDEX/EEDM06_C001_U01Prog. REEDMPROFILEIMP01Dynamisierungsprofil: wie zuvor; Dynamisierungsfaktoren überTransaktion EEDMFACTORCALCSynthetisches Profil: wie zuvor; CATT:/ISIDEX/EEDM06_C002_U01Profile beziehen sich auf definierte Profilarten

Tab. 1: Kurzdarstellung ausgesuchter SAP®-Building-Block-Konfigurationsleitfäden

PRev_03_2006.qxp 27.09.2006 11:33 Seite 20

Neue Berechtigungen

Mit IDEX-GE können sensible Daten aufgrund eines erweiterten Berechtigungskonzeptes geschützt werden(siehe auch Tabelle AUTHX). Es setzt allerdings hierbei die Abbildung des Zwei-Vertrags-Modells (2VM) imIS-U voraus. Das erweiterte Berechtigungskonzept basiert auf zusätzlichen Berechtigungsprüfungen innerhalbder Funktionsaufrufe und auf Begrenzungen in der Navigation. Es bezieht sich w.o.e. insbesondere aufMitarbeiter, die kritische Vertriebsaufgaben wahrnehmen und dabei durch die Kenntnisnahme sensibler Datenggf. einen Wettbewerbsvorteil erlangen. Hierzu wird die Berechtigungsrolle SAP®_ISU_IDEX_VERTRIEBausgeliefert. In dieser Berechtigungsrolle werden neue und alte Berechtigungsobjekte adäquat zusammenge-fasst.


Berechtigung-Objekt

BezeichnungSteuerungs-feld

FeldbezeichnungReferenz-domäne/-tabelle

E_EDM_PRF2Berechtigungsobjekt für dieBearbeitung von EDM-Profilen -IDEX

ISU_PRFACT Aktionen, die auf EDM-Profileausgeführt werden

D:E_EDMPROFACTION_ID

ISU_PRFTYP Profilart D:PROFTYPE[EPROFTYPE]

E_NBSERVIC Berechtigungsobjekt fürZählpunktservice ISU_ACTIVT Aktivität bezüglich

Berechtigungen in IS-UD:E_ACTIVITY /D:E_MODE

BEGRU Berechtigungsgruppe D:BEGRU

E_NBSERVI2 Berechtigungsobjekt für Zähl-punktservice - IDEX

ISU_ACTIVT Aktivität bezüglichBerechtigungen in IS-U

D:E_ACTIVITY /D:E_MODE

ISU_SERVIC Serviceart D:SERVCAT[TECDE]

ISU_SERVID ServiceanbieterSERVICE_PROV[ESERVPROV]

E_INV_ETHI Berechtigungsobjekt AggregierteBuchung Vkto. Serv.anb. - IDEX ACTVT Aktivität

D:ACTIV_AUTHTACT

E_INSTLN2 Berechtigungsobjekt zurVersorgungsanlage



ISU_SERVIC Serviceart D:SERVCAT[TECDE]

E_MR_DOC2 Ber.objekt zu Ablesebelege undAbleseaufträgen bez. Buchung

ISU_MR_ACT Aktivitäten bezüglich Ablesung D:ACTIONMR

BUKRS Buchungskreis T001

E_POD2 Berechtigungsobjekt für dieZählpunkttransaktion ISU_POD_TB Tabreiter Zählpunkt D:E_POD_TAB

PRev_03_2006.qxp 27.09.2006 11:33 Seite 21

Folgende beispielhafte Anpassungen wurden in denBerechtigungsprüfungen vorgenommen:• E_INSTLN2: Es werden nur die Anlagen ange-

zeigt, für die eine Berechtigung für die Serviceart‚Lieferung' existiert.

• E_POD2: Es werden nur die Zählpunktdatenangezeigt, für die eine Berechtigung existiert.

• E_NBSERVI2: Es werden nur die nicht-abre-chenbaren Services angezeigt, für die eineBerechtigung für die Serviceart und für denServiceanbieter existiert.

• E_MR_DOC2: Es werden nur Ableseergebnis-se angezeigt, für die eine Berechtigung existiert.

• E_EDM_PRF2: Es werden nur Profilwerteangezeigt, für die eine Berechtigung existiertoder für die gültige Anlagen, Verträge, Vertrags-konten und Geschäftspartner gefunden werdenkönnen.

• Datenumfeldanzeige: Es werden nur die Datenin der Umfeldanzeige angezeigt, für die eineBerechtigung existiert. Dies gilt für dasDatenumfeld aller relevanter IS-U-Stammdaten.

• Kundenübersicht: Es werden nur die Verträgeund Druckbelege angezeigt, für die eineBerechtigungseingrenzung existiert.

• Anschlussobjektübersicht: Es werden nur dieVerträge angezeigt, für die eine Berechtigungs-eingrenzung existiert.

• Tree-Anzeige verschiedener Transaktionen:Es werden nur die Daten in der Hierarchie ange-zeigt, für die eine Berechtigung vorliegt (dies giltu.a. für das CIC [Navigation] und für die Trans-aktionen zur Anzeige von Zählpunkten undAbrechnungsbelegen).

• Anzeige von Ableseergebnissen: Es werdennur die Ableseaufträge / -ergebnisse für dieZeiträume angezeigt, in denen die Zählpunktevom eigenen Lieferanten versorgt werden oderwurden.

• Anzeige von Druck- und Fakturierungs-belegen: Es gelten die Berechtigungsprüfungendes Vertragskontos. Zusätzlich werden Berechti-gungsprüfungen für die Anzeige von Beleg-positionen durchgeführt.

Trotz des Reduzierens auf den "Kritischen Ver-triebsmitarbeiter", der typische Vertriebs- und Han-delsaktivitäten wahrnimmt, stellen die IDEX-GE-Implementationsaktivitäten einen nicht unerhebli-chen Arbeitsaufwand dar, der nicht nur das Custo-mizing betrifft, sondern auch das IS-U-Change-management tangiert. Mit den weiteren IDEX-GE-Releases steuern Implementationen auf die Adminis-tration zu, die kaum über eigene / kundenspezifischeIndividualanpassungen aufzubauen sind.

Fazit

Mitarbeiter mit allgemeinen Aufgaben wie CallCenter- und Backoffice-Aktivitäten o.ä. sind aus derBetrachtung ausgenommen, da sie lt. SAP® keinenexplizit betriebswirtschaftlichen Vorteil aus derEinsicht in potentiell diskriminierende Daten errei-chen können. Entsprechend ist der als kritisch einzu-stufende Datencluster von SAP® definiert.Trotzdem kann diese Eingrenzung auf ausschließlichvertriebliche Aktivitäten ein Problem darstellen."Shared Services" müssen mit organisatorischen


Berechtigung-Objekt

BezeichnungSteuerungs-feld

FeldbezeichnungReferenz-domäne/-tabelle

E_SERVPROF Berechtigungsobjekt zumServiceanbieter




E_SWTDOC Berechtigungsobjekt zumWechselbeleg




SWTVIEW WechselsichtD:EIDESWTVIEW[EIDESWTVIEWS]

Tab. 2: Beispiele wichtiger Berechtigungsobjekte im Bereich IDEX-GE

PRev_03_2006.qxp 27.09.2006 11:33 Seite 22

Regelungen erfasst werden, da sie z.T. als Nahtstellezwischen Erzeugung, Netz, Handel und Vertrieb z.B.über Reporting-Strukturen Informationen bündelnund übergreifend zur Verfügung stellen (siehe auchCRM und BI / BW). Daher ist diese Begrenzungwahrscheinlich auch der stärkste Kritikpunkt amIDEX-GE, da sie doch zu einseitig Einschnitte inOrganisations- und Informationsflüsse fordert undso dem Unternehmen zu viel Freiheit im Unterlassenvon Informationsflussregelungen und entsprechen-den Systemanpassungen lässt.

Eine SAP®-Lösung, die organisatorische Vorgängehomogenisiert und so zu einem standardisierten undstringenten Arbeitsablauf zwischen den Marktteil-nehmern sorgt, ist mehr als sinnvoll, meines Er-achtens erhält die Berechtigungsseite jedoch nichtgenügend Aufmerksamkeit. Die Beschränkung aufden "Kritischen Vertriebsmitarbeiter" kommt docheinem Ignorieren der Unternehmensorganisationund dort vorhandener Abläufe gleich.

Jedoch ist es die Aufgabe des eigenen Unternehmens,für angemessene Informationszugangssicherheit zusorgen. So ist die SAP®-Lösung IDEX-GE auchnicht als "Rundum-Sorglos-Paket" zu werten, son-dern vielmehr als aufwandreduzierende Ergänzungder eigenen Bemühungen um eine gesetzeskonformeUmsetzung der Unbundling-Forderungen, einer pro-zessoptimierten Abarbeitung von Kundenaktionenund der damit verbundenen Datenaustauschprozesse.

Ausgesuchte Literatur:

Beyer/Fischer/Jäck u.a. SAP® Berechtigungswe-sen - Design und Realisie-rung von Berechtigungs-konzepten für SAP® R/3und SAP® EnterprisePortal, SAP® Press / Ga-lileo Press, Bonn, 2003;

Hans-Christian Gerig IDEX-GE ErweiterungenNetznutzungsbearbeitung,SAP® AG, DSAG12/2004;

Hans-Christian Gerig IDEX-GE Vorkonfigura-tion, SAP® AG, DSAG12/2004;

Ingo Haug IDEX-GE Unbundling,SAP® AG, DSAG12/2004;

Christian Orlowski IDEX-GE ErweiterungenMehr- und Mindermen-genabrechnung, SAP®AG, DSAG 12/2004;

Christian Orlowski IDEX-GE ErweiterungenLieferantenwechsel, SAP®

AG, DSAG 12/2004;

Thomas Tiede SAP® R/3 Ordnungsmä-ßigkeit und Prüfung desSAP®-Systems (OPSAP),Ottokar-Schreiber-Verlag,Hamburg, www.osv-ham-burg.de;

SAP® AG Building-Block-Konfi-gurationsleitfäden IS-U/IDEX;

Christoph Wildensee Ausgesuchte Berechti-gungsobjekte des SAP®R/3 - Systems als Prü-fungsansatz für die IV-Re-vision - Eine Übersicht -Teil 1 bis 3 für Basis, FI &CO; Das SAP® R/3 IS-U-Berechtigungskonzept -Versorgungswirtschaft -Ein Prüfungsansatz für dieInterne Revision; Rege-lungsbedarf über die Be-rechtigungsdefinition und -vergabe hinaus, ReVisionIII/2001ff, Ottokar-Schrei-ber-Verlag, Hamburg,www.osv-hamburg.de; ✜


Eine SAP®-Lösung, die organisatori-sche Vorgänge homogenisiert und so zueinem standardisierten und stringen-

ten Arbeitsablauf zwischen den Markt-teilnehmern sorgt, ist mehr als sinn-

voll...

PRev_03_2006.qxp 27.09.2006 11:33 Seite 23

Haben Sie Ihre Felder gut bestellt? BW-Berechti-gungsobjekte auf Feldebene als Schlüssel zum detail-lierten Sicherheitskonzept.

Was Sie hier erwartet

Dieser Artikel erläutert das SAP® BW-Berech-tigungskonzept auf Feldebene und zeigt ersteSchritte zur Realisierung auf. Im Folgenden wirddiese Art der Berechtigung in ihrer Grundfunk-tionalität vorgestellt und an einem Beispiel verdeut-licht.

Ausblick

In weiteren Artikeln, die in den nächsten Ausgabendieser Fachzeitschrift erscheinen, werden IhnenSchritt für Schritt vertiefende Kenntnisse des mitSAP® BW zur Verfügung stehenden Instrumenta-riums vermittelt. Größeren Einblick in wichtige Teil-aspekte verschafft ihnen die Möglichkeit, dieRevisionsqualität ihres BW-Systems durch konkretePrüfungsansätze maßgeblich zu erhöhen.

Berechtigungskonzeption von SAP® BWauf Feldebene

Das Berechtigungskonzept auf Feldebene stellt dieunterste Berechtigungsebene und damit die höchsteSelektionsstufe des Systems dar. Dieses bedeutet,dass jeder Anwender innerhalb von SAP® in seinerZugriffsberechtigung individuell beschränkt werdenkann.

Feldebene

Die Feldebene ist der Ort, an dem sich die zurDatenaufnahme fähigen Kopien einzelner Daten-felder (InfoObjects) befinden, die die kleinsteEinheit des jeweiligen Datenspeichers (InfoCubebzw. ODS-Object) darstellen. Hier entscheidet sichdie Frage, welches InfoObject geschützt werden sollbzw. wird.

Berechtigungsvergabe

Wird ein InfoObject auf der Feldebene als berechti-gungsrelevant definiert, so kann in der Berechti-gungsverwaltung einzelnen Mitarbeitern bzw.Gruppen eine Zugriffsberechtigung auf ausgewählteInformationen zugeordnet werden.

Praktische Umsetzung

Bisher können auf der Grundlage der vorherigenArtikel in PRev Daten nur bis zur InfoCube-Ebenegeschützt werden. Wird ein weitergehender Schutzvor Einsichtnahme als notwendig erkannt, kommteine weitergehende Berechtigungsvergabe zumEinsatz. Anhand des folgenden Beispieles wird dieZugriffsbeschränkung über das InfoObject<<Sparte>> (0D_DIV) des IDES-Systems ausdem Bereich SAP® Demo → Vertrieb dargestellt. DerTest erfolgt mit der abgeänderten Kopie der Query0D_SD_DEMO_Q0001 in der InfoArea SAP®Demo → SAP® Demo Vertrieb → SAP® DemoCube →Umsatzerlös (SAP® Demo).


Claus-Dieter LillichIBS Schreiber GmbH

SAP® BusinessInformation WarehouseChancen und Risiken - Teil III: “Berechtigungen - Ein weites Feld”

PRev_03_2006.qxp 27.09.2006 11:33 Seite 24

Abgeänderte Kopie

Ergebnisliste der Uneingeschränkten Query

Beispiel:

Ein Vertriebsleiter, der eine Query ausführt, soll nurdie Ergebnisse der Sparten sehen, für die er verant-wortlich ist.

Die folgende Darstellung zeigt auf, welche Schrittebei der Definition der Zugriffsberechtigung auf einInfoObject zu befolgen sind:

1. Sicherheitsdefinition für ein InfoObject (Sicher-heit auf Feldebene)

Die spezifischen Anforderungen des Unternehmensentscheiden darüber, welche InfoObjects für dieSicherheit relevant sind. Die Festlegung "berechti-gungsrelevant" für ein InfoObject wird im RegisterBusiness Explorer in der InfoObject-Definition vor-genommen. Kennzeichnen Sie das InfoObject

<<Sparte>> als berechtigungsrelevant. Diesgeschieht mit Hilfe der Administrator Workbench(Transaktion RSA1), indem Sie Modellierung →InfoObjects wählen und das entsprechende Objektändern. Beachten Sie hierbei, dass die Anwenderinnerhalb von SAP® BW u.a. Queries ausführen, umdie Grundlage für strategische Entscheidungen zuliefern. Demgemäß ist zu beachten, dass dieseMitarbeiter in der Regel Zugang zu mehr Datenbenötigen, als dieses in SAP® R/3 der Fall wäre.Eine zu starke Einschränkung würde evtl. nichtbrauchbare bzw. in ihrer Aussage unzutreffendeDaten zur Folge haben.

InfoObject ändern

2. Anlage eines spezifischen Reporting-Berech-tigungsobjektes

Da seitens der SAP® keine entsprechenden Objekteangeboten werden, müssen Sie für zu schützendeInfoObjects eigene Reporting-Berechtigungsobjekteanlegen. Dies geschieht über den Menübaum SAP®Business Information Warehouse → Business Explorer →Berechtigungen → Reporting-Berechtigungsobjekte wählenbzw. den Transaktionscode RSSM aufrufen. Für dieAnlage eines Reporting-Berechtigungsobjekts<<ZD_DIV>> wählen Sie aus einer Liste derberechtigungsrelevanten InfoObjects diejenigen aus,die für dieses spezielle Berechtigungsobjekt relevantsein sollen. Diese erstellten Berechtigungsobjektewerden in der Objektklasse RSR (BusinessInformation Warehouse-Reporting) abgelegt. Eineschnelle Übersicht, welche Berechtigungsobjektewelche InfoObjects enthalten können Sie über dieTransaktion SE16 in der Tabelle TOBJ mit derEinschränkung "RSR" im Feld OCLSS bekommen.


PRev_03_2006.qxp 27.09.2006 11:33 Seite 25

Berechtigungsobjekt anlegen

Berechtigungsrelevante(s) Feld(er) auswählen (max. 10)

3. Verknüpfung des Reporting-Berechtigungsob-jektes mit einem InfoProvider

InfoProvider ist ein Begriff für alle Arten von SAP®Datenspeichern (physische und logische Speicher).Wählen Sie Prüfung für InfoProvider → Ändern. Sieerhalten eine Liste der InfoCubes, welche die in demBerechtigungsobjekt zuvor ausgewählten InfoOb-jects enthält. Sie haben nun im Änderungsmodus dieMöglichkeit, einzelne InfoCubes aus der Berechti-gungsprüfung herauszunehmen, indem Sie dieMarkierung entfernen.

Die Verknüpfung Ihres Reporting-Berechtigungs-objekts mit einem InfoProvider hat zur Folge, dassAnwender, die zuvor Queries auf den InfoProviderausführen konnten, dieses nach der Verknüpfungohne eine entsprechende Berechtigung nicht mehrkönnen. Durch die Verknüpfung wird eine Prüfungseitens des Reporting-Berechtigungsobjektes initi-iert, sobald eine Query angefordert wird.

Prüfung für InfoProvider → Ändern

Übersicht und Zuordnung (Spalte 1) der berechtigungsrelevanten InfoProvider

4. Zuordnung des neuen Berechtigungsobjektes zueiner Rolle

Nachdem Sie ein neues Reporting-Berechtigungsob-jekt angelegt und mit den entsprechenden InfoPro-vidern verknüpft haben, benötigen die Anwender ihrerFunktion entsprechend Zugang zu dem neu geschaffe-nen Reporting-Berechtigungsobjekt. Fügen Sie IhrObjekt mit den entsprechenden Parametern manuell ineine Rolle ein bzw. erfassen Sie eine neue Rolle.


PRev_03_2006.qxp 27.09.2006 11:33 Seite 26

5. Anpassung der Queries

Fügen Sie den durch die vorgenommene Änderungbetroffenen Queries eine neue Variable hinzu, indemSie die Variable <<Sparte>> aus der Liste derMerkmale in die Query-Definition übernehmen.Verwenden Sie die veränderte Version des Queries0D_SD_DEMO_Q0001, indem Sie über den Pfadder InfoArea SAP® Demo → SAP® Demo Vertrieb →SAP® DemoCube gehen. Über die Hinzufügung vonVariablen wird die Filterfunktion einer Query gesteu-ert. So erhält jeder Mitarbeiter nur die ihm zugeord-neten Informationen.

Berechtigungsmeldung bei nicht geänderter Query bzw. fehlender Berechtigung

Queryanpassung

Eingabeaufforderung der Variable Sparte

Ergebnis bei korrekter Eingabe der berechtigten Werte

Wer sein Feld gut bestellt…

kann durch die Einführung einer auf Feldebenebasierenden Berechtigungshierarchie eine sehr kom-plexe und der Situation angepasste Sicherheitsarchi-tektur aufbauen, in der nur Daten zu denAnwendern gelangen, die die entsprechendenInformationen im Rahmen ihrer Tätigkeit auchbenötigen. Im Nebeneffekt erhält das Unternehmeneine übersichtliche Anzahl von InfoProvidern, daDatenspeicher für einzelne Anwender bzw.Gruppen nicht mehr erstellt und gewartet werdenmüssen. Dieses bedeutet einen Gewinn anRessourcen durch Optimierung der Prozesse. Wersich der Mühe unterzieht

…erhält reiche Ernte. ✜✜

So erhält jeder Mitarbeiter nur die ihmzugeordneten Informationen.


PRev_03_2006.qxp 27.09.2006 11:33 Seite 27


IT-Revision


die Qualitätsanforderungen an Datenschutz und Sicherheit steigen immer weiter an. Die fortschreitendeVernetzung und Automatisierung von Prozessen ist noch lange nicht am Ende. Immer schneller werdenimmer mehr Daten und vor allem auch personenbezogene Informationen verarbeitet.

Zwar machen BDSG und andere relevanten Datenschutzgesetze, wie z. B. das TKG oder TDDSG (wobei dieletzteren beiden durch das neue Telemediengesetz ab März 2007 abgelöst werden, aber dazu lesen Sie in dernächsten Ausgabe mehr), klare Vorgaben, die jedoch für Auditzwecke nicht geeignet sind.

Möglichkeiten für Audits im Datenschutzbereich diesbezüglich, Standards und deren Anwendbarkeit undUnterstützung für die Revision werden von Prof. Dr. Reinhard Voßbein erläutert.

An einem Beispiel der Prüfung einer "Wide Area Network-Infrastruktur" als ausgelagerte Dienstleistung zeigtDipl.-Betriebswirt Axel Hirsch auf, welche Probleme und Besonderheiten eine solche Prüfung mit sich bringtund wie eine strukturierte Vorgehensweise für eine solche Prüfung aussehen kann.

Dass Prüfungen und Prüfobjekte nicht immer eine eindeutige Aussage über die Sicherheit oder Qualität brin-gen, wird Ihnen im Beitrag "Prüfen durch alle Schichten" aufgezeigt, der ein wenig das Blickfeld für das"Drumherum" weiten soll, damit viele, oft unberücksichtigte Aspekte und Punkte, zumindest erwähnt werdenund ggf. als Restrisiko definiert werden können.

Ihr

Michael Foth

PRev_03_2006.qxp 27.09.2006 11:33 Seite 28


1 Datenschutzaudits als Revisionsaufgabe

Datenschutzaudits sind als Kernaufgabe der internenRevision mittlerweile zum Tagesgeschäft geworden.Viele Unternehmen haben dem Umstand, dass derDatenschutzbeauftragte eine Vielzahl von Revisions-aufgaben in seinem spezifischen Bereich wahrzuneh-men hat, dadurch Rechnung getragen, dass derDatenschutzbeauftragte in seiner HauptfunktionMitglied der Revisionsabteilung ist. Diese Form derInstitutionalisierung des Datenschutzes bei einergleichzeitigen Verbindung zum Bereich Revision hatsich offensichtlich in einem so starken Maß bewährt,dass oft sogar der Leiter der Revision zum Daten-schutzbeauftragten berufen wurde.

Auch wenn der Datenschutzbeauftragte nicht Mit-glied der internen Revision ist, hat es sich bewährt,Revisionsprojekte im Rahmen des DatenschutzesMitarbeitern der Revision zu übertragen. WennDatenschutz und Revision in Personalunion wahrge-nommen werden, stellt sich die Frage der Kompe-tenz des Revisors im Hinblick auf sein Datenschutz-wissen nicht. Wenn jedoch eine Funktionstrennungvorliegt, ist es denkbar, dass der Revisor ein Defizitim Datenschutzwissen aufweist, was dann bei derWahrnehmung einer Revisionsaufgabe im Daten-schutz das Problem des Findens einer geeignetenVorgabe für die Prüfung im Sinne einer "Messlatte"entstehen lässt. Zwar bietet das Gesetz (BDSG undandere relevante Datenschutzgesetze, wie z. B. dasTKG oder TDDSG) eine klare Vorgabe, an der dieOrdnungsmäßigkeit der Umsetzung der Daten-schutzgesetze im Unternehmen gemessen werden

kann. Andererseits zeichnet sich das Gesetz jedochspeziell für Auditzwecke durch eine zu geringe Präzi-sierung aus, um ohne weiteres als Prüfgrundlageübernommen werden zu können.

Auf dieses Problem wurde bereits im Rahmen derREVISION unter dem Aspekt eingegangen, dassdie Gesetzesformulierungen zur Erstellung vonPrüflisten genutzt werden könnten.

2 Das BDSG und das (nicht erlassene)Auditgesetz

Das BDSG unterstützt im Prinzip die professionelleAuditierung des Datenschutzes bei Datenverarbei-tungssystemen und Daten verarbeitenden Stellen. Essagt hierzu:

Datenschutzaudit § 9 a BDSG2

"Zur Verbesserung des Datenschutzes und derDatensicherheit können Anbieter von Datenver-arbeitungssystemen und -programmen und datenver-arbeitende Stellen ihr Datenschutzkonzept sowieihre technischen Einrichtungen durch unabhängigeund zugelassene Gutachter prüfen und bewerten las-sen sowie das Ergebnis der Prüfung veröffentlichen.Die näheren Anforderungen an die Prüfung undBewertung, das Verfahren sowie die Auswahl undZulassung der Gutachter werden durch besonderesGesetz geregelt."

Insbesondere der zweite Satz des zitierten Paragrafenstellt fest, dass noch ein besonderes Gesetz, ein so

Prof. Dr. Reinhard VossbeinUIMCert

Prüfstandards für Daten-schutzaudits - Unterstüt-zung der Revisionsarbeit

PRev_03_2006.qxp 27.09.2006 11:33 Seite 29

genanntes Auditgesetz, erlassen werden soll. DiesesGesetz ist bisher in seiner Erarbeitung undVerabschiedung politisch variierenden Konstella-tionen mit unterschiedlichen Interessen amDatenschutz zum Opfer gefallen. Dies ist zumindestfür die Revisoren bedauerlich, da sie durch ein hinrei-chend präzises Auditgesetz deutliche Vorgaben fürdie Durchführung von Prüfvorhaben erhalten hät-ten. Wann die unterschiedlichen politischenInteressenlagen es möglich machen werden, dasProjekt "Datenschutzauditgesetz" wieder in Angriffzu nehmen, ist noch unklar. Aus diesem Grundscheint es sinnvoll, sich mit dem Gedanken an einehinreichend präzise Prüfgrundlage zu beschäftigen.Da es sich beim Datenschutz um eine gesetzlicheVerpflichtung der Unternehmen handelt, die ebensozu erfüllen ist wie andere gesetzliche Verpflichtungenaus dem Bereich des Rechnungswesens, erscheint essinnvoll, eine gedankliche Anleihe in diesem Sektorzu machen, um das Prüfproblem für die Revisorenoperational und effizient zu lösen.

3 Auditobjekte und ihre Grundlagen

Das Gesetz stellt im Prinzip fest, welche Audit-objekte Gegenstand einer Prüfung zumindest nachdem Willen des Gesetzgebers sein sollten. Es handeltsich hierbei um• Datenverarbeitungssysteme und -programme

sowie• Daten verarbeitende Stellen.

Aus Gründen der Klarheit und der präziseren Vor-gabemöglichkeiten für Revisoren - unter anderemauch unter Berücksichtigung der in der Zwischenzeitveröffentlichten Prüfungsstandards des IDW fürandere Gebiete - sollen die oben genannten zweiPunkte noch ergänzt werden um• einfache und komplexe Verfahren der Datenver-

arbeitung personenbezogener Daten.

Diese Auditobjekte sollen im Folgenden genauerdefiniert werden.

Auditierungsobjekte (Definition und begriffli-che Abgrenzung)- Verantwortliche/Daten verarbeitende Stellen

Daten verarbeitende Stellen sind öffentliche odernicht öffentliche Stellen/Institutionen, die per-sonenbezogene Daten unter Einsatz von Daten-

verarbeitungsanlagen verarbeiten. Um das Audi-tierungsproblem besser behandeln zu können,sei darauf hingewiesen, dass Institutionen übereine oder mehrere Daten verarbeitende Stellenverfügen können. Faktisch bedeutet das, dassinnerhalb einer Institution komplexe Prozessesowie einzelne Stellen durch Bestimmung ihrerSchnittstellen mit anderen Prozessen und/oderStellen abgegrenzt werden können, um so einemAudit unterzogen zu werden, das nicht diegesamte Institution mit sämtlichen in ihr enthal-tenen hochkomplexen Prozessen und/oderStellen umfasst, sondern sogenannte Scopesdefiniert.

- ProdukteProdukte sollen definiert werden als Erzeugnisseauf dem Softwaresektor, die geeignet sind, eineautomatisierte Abwicklung von Abläufen oderTeilabläufen vorzunehmen oder zu unterstützen.Sie sind daher nahezu generell gleichzusetzen mitProgrammen, die die gleiche Funktion haben.Typische Produkte sind z. B. elektronischeArchivierungssysteme, Personaldatenverarbei-tungssysteme, Lohn- und Gehaltsabrechnungs-systeme, Kundendatenverarbeitungssystemeoder ähnliche.

- Verfahren/ProzesseDer Begriff des Verfahrens ist nicht hinreichendklar determiniert. Es soll daher von folgenderDefinition ausgegangen werden: Als Verfahrengelten minimal solche Prozesse, die ohne auto-matisierte Teilprozesse, also ohne den Einsatzvon Produkten/Programmen ablaufen. ImRegelfall wird aber ein komplexes Verfahren (s.u.) unter Einsatz von Produkten/Programmenablaufen und hierbei in Kombination mitOrganisationsregeln Prozesse oder Teilprozessebeinhalten, die in einer Institution entsprechendden Aufgaben dieser Institution abzuwickelnsind. Als typisch "reine" Verfahren auf demDatenschutzsektor können z. B. solche derVernichtung von Datenträgern genannt werden.Bei Verfahren dieser Art kann im Regelfall derAnteil der EDV-Stützung als vernachlässigungs-würdig angesehen werden.

- Komplexe Verfahren/Prozesse unter Einschlussvon ProduktenProdukte in Kombination mit Verfahren hinge-gen sind gering-, mittel- oder hochkomplexeProzesse, die zwangsläufig eine Kombination


PRev_03_2006.qxp 27.09.2006 11:33 Seite 30

von Produkten/Programmen und organisatori-schen Abläufen beinhalten, und die nicht sinn-voll zu trennen sind.

Die Einsatzumgebung muss bei der Auditierung mitGegenstand der Betrachtung sein. Die Rechtferti-gung hierzu ergibt sich aus dem BDSG durch diePräambel des Anhangs zum § 9. Hier wird gefordert,dass die Institution die entsprechenden organisatori-schen Maßnahmen zu treffen hat, um die in derAnlage nachfolgend aufgeführten Kontrollmaßnah-men sicherzustellen. Eine weitere Rechtfertigungergibt sich aus den in verschiedenen Landesdaten-schutzgesetzen enthaltenen Vorschriften zu einersog. Vorabkontrolle.

4 Vorhandene Standards

Es gibt mittlerweile eine Anzahl von Standards aufdem Datenschutzsektor, die eine unterschiedlicheAusrichtung haben. Abgesehen von technischenStandards - hier sind die Common Criteria vonbesonderer Bedeutung und weltweiter Geltung - sinddie Standards• quid• GoodPrivacy sowie• Audit-Verordnung des Landes Schleswig-Hol-

stein DSAVO SHals bedeutungsvoll zu nennen.

Quid ist ein Standard, der insbesondere auf dieAuditierung "Daten verarbeitender Stellen" ausge-richtet ist. Seine Eignung für Verfahren ist nurbegrenzt, für Produkte im Wesentlichen nicht gege-ben. Obwohl quid eine hohe Qualität aufweist, konn-te eine Marktdurchdringung und Marktgeltung bis-her nicht erreicht werden.

Das schweizerische Gütesiegel GoodPrivacy basiertauf dem BS 7799 und ist von seiner Konzeptionebenfalls auf Daten verarbeitende Stellen ausgerich-tet. Insbesondere ist es darüber hinaus möglich,durch Abwandlungen und eine stärkere Anlehnungan den BS 7799 auch eine Prüfung von Software-entwicklungsumgebungen wahrnehmen/durchfüh-ren zu können. Hingegen sind Produktaudits auchmit diesem Standard im Prinzip nicht durchführbar.Inwieweit inzwischen eine Anpassung an den BS7799 ablösenden Standard ISO 27001 vorgenommenwurde, ist nicht bekannt.

Die Audit-Verordnung des Landes Schleswig-Holstein DSAVO SH ist von ihrer Konzeption herschwerpunktmäßig auf Produkte ausgerichtet.Nähere Informationen hierzu können von derHomepage des ULD gewonnen werden. DieserStandard ist sehr präzise, wobei eine Übertragungder in dem Standard festgelegten Prüfmodalitätenauf andere Anwendungen als die eigentlich vorgese-henen - Prüfung von Produkten mit dem Einsatz inden Behördeninstitutionen des Landes Schleswig-Holstein - durchaus möglich ist. Hier würde danndieser Standard als Prüfgrundlage dienen, ohne dassnotwendigerweise eine Gütesiegelung durch dasULD erfolgen muss. Im Prinzip hat das ULD auchPrüfgrundlagen für die Auditierung "Daten verar-beitender Stellen" entwickelt, die jedoch von derKonzeption her auf Behörden ausgerichtet sind unddaher in ihrer Übertragungsfähigkeit auf andereInstitutionen möglicherweise nicht voll gegebensind.

5 UIMCert Prüfstandards

Aus den Erkenntnissen zu den oben genanntenPrüfstandards lässt sich ableiten, dass die unter-schiedlichen genannten Auditobjekte differierendeStandards erfordern. Dies ist auch in den IDWPrüfstandards in ähnlicher Form vorzufinden, die -wenn auch auf einem anderen Gebiet - ebenfalls eineAusrichtung unterschiedlicher Art im Hinblick aufdie Prüfobjekte aufweisen. Es liegt daher nahe,Prüfstandards für die Datenschutzauditierung so zuentwickeln, dass sie in ihrer Zielrichtung auf dieoben genannten Prüfobjekte ausgerichtet sind. Einesolche Ausrichtung weist die Prüfstandard-Reihe derUIMCert auf, wobei die Prüfstandards auf folgendePrüfobjekte ausgelegt sind:• Prüfstandard PS 101: Standard für die Audi-

tierung von Daten verarbeitenden/verantwortli-chen Stellen

• Prüfstandard PS 102: Standard für die Audi-tierung von Produkten (Programme, Anwen-dungssysteme)

• Prüfstandard PS 103: Standard für die Audi-tierung von Verfahren (einfache bis komplexe)

Die UIMCert Prüfstandards stellen sog. proprietärePrüfstandards dar. Dieser Typ von Standards ist imPrinzip durchaus verbreitet und soll sicherstellen,dass Wertungen und/oder Gütesiegel nur nach ein-


PRev_03_2006.qxp 27.09.2006 11:33 Seite 31

deutig nachvollziehbaren und objektiven Prinzipienvergeben werden.

Die UIMCert Prüfstandards sind in ihrem Aufbauund der Form der Darstellung an der Methode derIDW Standards ausgerichtet und geben der internenRevision die Möglichkeit, sich bei Datenschutzaudi-tierungen in einem "gewohnten Umfeld" zu bewe-gen. Im Folgenden sollen anhand von Beispielendiese Standards ausführlicher dargestellt werden, umes dem Revisor zu ermöglichen zu prüfen, inwieweitsie ihm bei seiner Arbeit eine Hilfe sein können.

Die folgenden drei Beispiele sollen einen Überblicküber die Struktur, die inhaltlichen Aussagen und überdie Gesamtheit der Standardreihe geben.

Die Abb. 1 gibt einen Überblick über die Konzeption der Reihe.

Die Abbildung zeigt, dass zwischen den einzelnenStandards Beziehungen bestehen, die Prüfobjektejedoch deutlich differieren.

Die Abb. 2 gibt einen kompletten Überblick überden Aufbau des Prüfstandards PS 103 und vermit-telt, welche Gebiete in ihm abgearbeitet werden undwelche Tiefe hierbei vorgegeben wird.

Der folgende Auszug ist ein Beispiel für die Formu-lierungen der Standards dieser Reihe

"Datenschutzkonzept (Kapitel 2.1.2 des Standards PS 101)Alle grundlegenden Datenschutzziele und davon abgeleitetenRichtlinien, Regelungen und Maßnahmen sind in einem orga-nisationsweit gültigen und verbindlichen Datenschutzkonzeptschriftlich zu fixieren. Dieses Dokument sollte sowohlAngaben zur definierten DS-Policy als auch die konkreteBeschreibung des Datenschutz-Managementsystems enthalten.Zu letzterem gehören insbesondere aufbauund ablauforgani-satorische Parameter der Datenschutzorganisation. DieFestlegung der relevanten Datenschutzmaßnahmen ist zurUmsetzung der DS-Policy und der Datenschutzziele von denFachverantwortlichen zu erarbeiten und von der Geschäfts-leitung zu verabschieden. Damit einher geht eine Anweisung


PRev_03_2006.qxp 27.09.2006 11:34 Seite 32

zur Umsetzung an die verantwortlichen Mitarbeiter.Arbeitsanweisungen sind von diesen Maßnahmen abzuleiten,zu dokumentieren und den Mitarbeitern zu kommunizieren.Dabei sind auch Zielvereinbarungen festzulegen, die dieVorgaben für die Mitarbeiter konkretisieren, um eineSensibilisierung und datenschutzkonforme Verhaltensweiseund Geschäftstätigkeit sicherzustellen. Kontrollen desDatenschutzkonzepts sind sowohl in regelmäßig definiertenAbständen gemäß eines definierten Kontrollverfahrens durch-zuführen als auch fallweise bei bedarfsmäßigen Modifikatio-nen vorzunehmen zur Wahrung der Aktualität undAngemessenheit. Der Verantwortliche für den Datenschutz inder Organisation ist zuständig für die Berichterstellung daten-schutzrelevanter Fragestellungen und den Fortschritt derImplementierung des DSMS an die Geschäftsleitung zwecksInformation und Sensibilisierung. Diese Berichte können demDatenschutzkonzept als Anlage beigefügt werden, zumindestsind jedoch Verweise auf die entsprechenden Dokumente,inkl. ihres Ablageortes in das Datenschutzkonzept einzubrin-gen. Der Prüfer muss die Berücksichtigung aller Aspektebezüglich der Dokumentation und Umsetzung untersuchenund seine Ergebnisse nachvollziehbar dokumentieren. Nichtumgesetzte Inhalte sind zu hinterfragen und begründend zuerläutern (z. B. ob eine Umsetzung aufgrund fehlenderRelevanz nicht gegeben ist)."

Die Abb. 3 gibt einen auszugsweisen Überblick überden Aufbau des Prüfstandards PS 101 und vermit-telt, welche Gebiete in ihm abgearbeitet werden, undwelche Tiefe hierbei vorgegeben wird.

Der Text des Standards gibt klare Vorgaben für das,was in der Institution vorhanden sein muss und auf

Grund dieses Vorhandenseins Gegenstand derPrüfung ist. Hierbei wurde in einigen Punkten ausstilistischen Gründen und im Hinblick auf die zu lei-stende Arbeit der Institution selbst darauf verzichtet,jede der dargestellten Anforderungen mit einemexpliziten Prüfhinweis zu versehen. Dieser, dann amEnde des betreffenden Absatzes vorzufindendePrüfhinweis, bezieht sich logischerweise auf dengesamten vorstehenden Text.

6 Prüfstandards und Tooleinsatz

Es ist plausibel, dass ein Tooleinsatz umso effizienterist, je stärker ein Prüfgebiet standardisiert ist. Somit istdie Nutzung eines Standards bei der Prüfung nicht nureine Voraussetzung für eine effiziente und klar struk-turierte Prüfung durch Vorgaben des Standards ansich, sondern auch eine wichtige Bedingung einerMöglichkeit, die Revisionsaufgabe toolgestützt zulösen. Jedes Tool setzt voraus, dass eine klar formulier-te Norm oder Vorgabe die Möglichkeit bietet, durchAbstraktion eine strukturierte Prüfgrundlage zu schaf-fen. Prüflisten sind als Vorstufe zu Tools anzusehen.Aus dem obigen Text können durch Umformulierungder Aussagen leicht entsprechende Checklisten ge-wonnen werden. Die primitive Form einer Checklistekann dann in ein Tool eingebracht werden, das Analy-se, Berichterstattung und Bewertung der Feststellun-gen unterstützt. Im Regelfalle wird ein Prüftool diegleiche Struktur aufweisen wie der ihm zu Grunde lie-gende Standard. Hiermit würden die in Abb. 2 und 3genannten Inhalte des Standards Strukturkomponen-ten eines auf ihm aufbauenden Prüftools bilden.

7 Fazit

Um Prüfungen effizient, nachvollziehbar und in ihrenFeststellungen unangreifbar durchführen zu können,sollte die interne Revision sich - sofern nur eben vor-handen - an Normen und/oder Standards orientieren.Diese dienen insbesondere der Rechtfertigung derPrüfobjekte und ihrer Komponenten insofern, alsunter Umständen vor Inangriffnahme des betreffen-den Prüfprozesses die Vorgaben des Standards in derInstitution diskutiert werden können, um im Vorfeldeine Einigung über die der Prüfung zu Grunde liegen-den Bewertungsmaßstäbe zu erreichen. Diese Mög-lichkeit sollte jeder Revisor nutzen, der sich mit Daten-schutz-Ordnungsmässigkeitsprüfungen auseinanderzusetzen hat. ✜


PRev_03_2006.qxp 27.09.2006 11:34 Seite 33

Die Deutsche WertpapierService Bank (dwpbank)bietet in ihrer Funktion als führende Transaktions-bank System- und Prozessdienstleistungen rund umWertpapiere (inkl. Fonds und Derivate) im Whole-sale- und Retailgeschäft an. Ihre Idee ist es, sich aus-schließlich auf die professionelle und standardisierteAbwicklung von auslagerungsfähigen Prozessen zukonzentrieren.

Betriebswirtschaftlich ausgerichtet folgt sie dabeikonsequent dem Industriegedanken einer "moder-nen Bankfabrik" mit geringer Fertigungstiefe undKonzentration auf das Kerngeschäft. In Folge des-sen hat sie, neben anderen Dienstleistungen, denBetrieb ihres Wide Area Network (WAN) ausgela-gert. Er ist Teil eines mit einem IT-Dienstleisterabgeschlossenen Leistungspaketes und beinhaltet dieBereitstellung und den Betrieb einer standortüber-greifenden Netzinfrastruktur.

Aufsichtsrechtliche Regelungen verlangen, dass (hierverkürzt wiedergegeben) die Auslagerung vonwesentlichen Bereichen des Bankgeschäftes wederdie Ordnungsmäßigkeit dieser Geschäfte oderDienstleistungen noch die Steuerungs- oder Kon-trollmöglichkeiten der Geschäftsleitung beeinträchti-gen darf. Vor diesem Hintergrund und der Gegeben-heit, dass der beauftragte IT-Dienstleister nach deut-schem Aufsichtsrecht nicht über eine operativ ange-messene IT-Revision verfügt, nimmt die dwpbankeigene Prüfungen beim Dienstleister vor. Der nach-folgende Artikel beschreibt die dabei gemachten

Erfahrungen und gibt dem Prüfer in einer ArtCheckliste Prüfungsschwerpunkte an die Hand.

1 Gesetzliche Grundlagen

Die im Rahmen einer Auslagerung zu beachtendenwichtigsten gesetzlichen Vorgaben seien hier derVollständigkeit halber nochmals erwähnt:

1.1 § 25a Abs. 2 KWG

Die Auslagerung von Bereichen auf ein anderesUnternehmen, die für die Durchführung der Bank-geschäfte oder Finanzdienstleistungen wesentlichsind, darf weder die Ordnungsmäßigkeit dieser Ge-schäfte oder Dienstleistungen noch die Steuerungs-oder Kontrollmöglichkeiten der Geschäftsleitungnoch die Prüfungsrechte und Kontrollmöglichkeitender Bundesanstalt für Finanzdienstleistungsaufsicht(BaFin) beeinträchtigen. Das auslagernde Institut hatsich insbesondere die erforderlichenWeisungsbefugnisse vertraglich zu sichern und dieausgelagerten Bereiche in seine internen Kontroll-verfahren einzubeziehen. Das Institut hat dieAbsicht der Auslagerung sowie ihren Vollzug derBaFin und der Deutschen Bundesbank unverzüglichanzuzeigen.

1.2 MaRisk AT 9

Die teilweise oder vollständige Auslagerung vonAktivitäten und Prozessen darf nur unter der


Dipl.-Betriebswirt Axel Hirsch, CISADeutsche WertpapierService Bank

Prüfung einer “Wide AreaNetwork”-Infrastrukturam Beispiel einer ausgela-gerten Dienstleistung

PRev_03_2006.qxp 27.09.2006 11:34 Seite 34

Maßgabe der im § 25a Abs. 2 KWG niedergelegtenGrundsätze sowie der Einhaltung diesbezüglicherlassener Regelungen erfolgen.

1.3 Rundschreiben 11/2001 des BaFin zurAuslagerung von Bereichen auf ein ande-res Unternehmen gemäß § 25a Abs. 2KWG.

Kapitel V Nr. 3 "Anforderungen an zulässige Aus-lagerungen" verlangt hier u.a. folgendes:

"Das Institut hat das Auslagerungsunternehmen mitder erforderlichen Sorgfalt auszuwählen, es angemes-sen in seine Aufgabe einzuweisen und zu überwa-chen" sowie "Die Leistungserbringung des Aus-lagerungsunternehmens ist laufend zu überwachenund zu beurteilen, so dass notwendige Korrektur-maßnahmen sofort ergriffen werden können.

Es ist institutsintern für jede Auslagerung eine ver-antwortliche Stelle zu definieren, die für die Überwa-chung und Steuerung der jeweiligen Auslagerungs-maßnahme zuständig ist."

Da unser Dienstleister über keine nach deutschemAufsichtsrecht operativ angemessene IT-Revisionverfügt, wurde vertraglich vereinbart, dass die IT-Revision der dwpbank diese Funktion wahrnimmtund die Ordnungsmäßigkeit, Sicherheit und Wirt-schaftlichkeit der ausgelagerten Dienstleistungenprüft.

Hierfür wurde durch uns ein mehrjährigerPrüfungsplan entwickelt, der am Anfang eines jedenJahres spezifiziert wird. Ebenfalls zu Beginn einesjeden Jahres werden die Prüfungsthemen und dieZeiträume der stattfindenden Prüfungen demDienstleister kommuniziert mit dem Ziel, die benö-tigten Ressourcen rechtzeitig für die Prüfungen dis-ponieren zu können.

Im Rahmen des Auslagerungs-Vertragsverhältnisseswurden mit dem Dienstleister außerdem verfahrens-technische Fragestellungen wie zeitlicher Vorlauf derPrüfungsankündigung, Eröffnungsgespräch, Fragenzum Ablauf der Prüfung, Feststellungen und derenEinstufungskriterien, Berichtsentwurf, Berichts-besprechung, Schlussbesprechung sowie die Nach-verfolgung und Ausräumung von Mängeln festgelegt.

2 Prüfungsschwerpunkte

Die von der dwpbank eingekaufte Dienstleistung"WAN-Services" umfasst die Bereitstellung und denBetrieb der standortübergreifenden Netzinfrastruk-tur. Das Prüfungsvorgehen, sozusagen der "roteFaden", orientierte sich an den vereinbarten ServiceLevel Agreements und umfasste folgende Schwer-punkte:• Ordnungsmäßigkeit der Dokumentation des

WAN• Administration und Betrieb des WAN• Change- und Störungsmanagement• Physische und logische Sicherheit

Der Prüfungsplanung lag übergeordnet die Systema-tik des COBIT-Frameworks zugrunde. Die Prü-fungsschwerpunkte orientierten sich in ihrer Strukturan den mit dem IT-Dienstleister gelebten Prozessen.Die relevanten COBIT-Kontrollziele wurden durchweitere, in der Regel technisch orientierte, Prüfungs-fragen ergänzt.

Im nachfolgenden Text werden neben der Be-schreibung von Sachverhalten dem Prüfer Check-listen für die Praxis an die Hand gegeben.

3 Ordnungsmäßigkeit der Dokumentationdes Wide Area Network

Zur Wertpapierabwicklung kommen in der dwpbankkomplexe und weitgehend integrierte Informations-und Kommunikationssysteme zum Einsatz.

Die rechtlichen Grundlagen für das Erstellen einerDokumentation der für die Wertpapierabwicklungsowie Rechnungslegung angewandten Verfahren er-geben sich z. B. aus den §§ 238 ff. des Handelsgesetz-buches (HGB), in denen u. a. Grundsätze für dieFührung von Handelsbüchern definiert sind.

Die inhaltlichen Vorgaben für die Verfahrensdoku-mentation wurden zuletzt 1995 in den Grundsätzenordnungsmäßiger DV-gestützter Buchführungs-systeme (GoBS) festgelegt. In Folge dessen müssenaus der Verfahrensdokumentation für einen sachver-ständigen Dritten in angemessener Zeit und ohneKenntnis der Programmiersprache der Inhalt sowieAufbau und Ablauf des Verfahrens vollständigersichtlich und nachvollziehbar sein. Die GoBS ver-


PRev_03_2006.qxp 27.09.2006 11:34 Seite 35

lassen jedoch nicht einen bestimmten, relativ hochangesiedelten, Abstraktionsgrad, wodurch man alsPrüfer nicht selten in eine Diskussion kommt, wasnoch als ausreichende Qualität anzusehen ist.

Neben den formalen Aspekten besteht jedoch einunabdingbares materielles Interesse an einer gutenDokumentation, denn:• Die Systeme werden immer komplexer.• Die Innovationsabstände werden immer kürzer.• Die Personalfluktuation nimmt in einigen

Bereichen ständig zu.• Die Abhängigkeit von Kopfmonopolen sollte

reduziert werden.• Der Trend zur Auslagerung nimmt zu und damit

die Pflicht zur Kontrolle und Steuerung desDienstleisters.

• Die Basis für Planung, Steuerung und Kontrolledes IT-Einsatzes sowie für die Notfallvorsorgeliefert eine aktuelle Dokumentation der vorhan-denen IT-Systeme.

Durch den vermehrten Einsatz von gekaufterSoftware ist ein großer Teil der Dokumentation vondem Systemlieferanten bzw. -hersteller zur Ver-fügung zu stellen. Dabei sind die Standardhand-bücher allerdings oft nicht ausreichend, so dass dieLieferung einer im Sinne der GoBS vollständigenVerfahrensbeschreibung bereits mit Abschluß desKaufvertrages vom Hersteller unbedingt vertraglichzu vereinbaren bzw. vom Dienstleister zu erstellenist.

4 Dokumentation der WAN-NNetzstruktur

Die dwpbank praktiziert eine Multi-Provider-Strate-gie. Dies erfordert eine klare Festlegung, Abgren-zung und Dokumentation der Verantwortlichkeiten.

Bezüglich einer zu prüfenden WAN-Netzstrukturmuß somit explizit erkennbar sein, welche aktivenund passiven Netzkomponenten in die Verantwor-tung des IT-Dienstleisters fallen. Sind an demProzess mehrere Dienstleister beteiligt, müssen dieÜbergabepunkte der Verantwortung eindeutig defi-niert sein.

Häufig, jedoch auf den ersten Blick nicht zu erken-nen, bedient sich der Dienstleister weiterer Sub-unternehmer. Hier ist darauf zu achten, dass der

Dienstleister vertraglich verpflichtet wird, zwischenihm und dem Subunternehmer die gleichen Ver-pflichtungen wie zwischen der dwpbank und demDienstleister zu vereinbaren. Eine Weiterverlagerungist außerdem gegenüber dem auslagernden Unter-nehmen anzuzeigen. Gleichzeitig sind ausreichendeInformationen über den Subunternehmer zur Ver-fügung zu stellen, damit eine umfassende Beur-teilung dessen Leistungsfähigkeit möglich ist.

Eine ordnungsgemäße Netzdokumentation mussfolgende Fragen beantworten können:• Welche Bandbreiten kommen zum Einsatz?• Welche Protokolle "gehen" über die Leitungen?• Sind die Verantwortungsbereiche des IT-Dienst-

leisters klar abgegrenzt?• Sind die Übergabepunkte zu anderen IT-Dienst-

leistern eindeutig ersichtlich?• Sind angemessene Backup-Leitungen vorhan-

den?• Sind die Netzübergänge dokumentiert?• Sind die Netzübergänge (durch Firewallsysteme)

abgesichert?• Sind die Positionen der Router und Switches

erkennbar?

5 Administration und Betrieb des WAN

In unserem Haus bedient sich der IT-Dienstleisterfür die Bereitstellung und den Betrieb der passivenNetzkomponenten (Leitungen) eines weiterenDienstleisters (= Subunternehmer). Die aktivenNetzwerkkomponenten jedoch administriert erselbst.

Nachfolgende Fragen sollten hier beantwortet wer-den:• Sind für den Betrieb der WAN-Strecken Service

Level Agreements (SLA´s) vereinbart?• Sind die SLA´s angemessen (z.B. im Hinblick auf

Dauer des überwachten Betriebes oder derReaktionszeiten im Falle einer Störung)?

• Sind für die Administration und den Betriebder aktiven und passiven Netzkomponentenaktuelle und dokumentierte Anweisungen vor-handen?

• Sind diese Anweisungen umgesetzt?• Wie erfolgt die Überwachung der aktiven und

passiven Netzkomponenten?• Mit welchem Tool erfolgt die Überwachung?


PRev_03_2006.qxp 27.09.2006 11:34 Seite 36

• Ist die personelle und technische Ausstattung fürdie Überwachung ausreichend?

6 Change- und Störungsmanagement

Das Ziel der hier zu etablierenden Prozesse solltesein, strukturierte und wiederholbare Prozesse zuentwickeln, die genutzt werden können, um Ände-rungen in der IT-Umgebung zu verwalten, damit diedamit verbundenen Services nur minimalenStörungen ausgesetzt werden.

Der Prüfer muß sich hier ein Bild machen, inwieweitangemessene Prozesse definiert sind, damit mit demIT-Dienstleister Änderungen initiiert, dokumentiert,genehmigt, durchgeführt und nachgehalten werdenkönnen.

In der dwpbank ist hierfür ein sogenanntes "Lage-zentrum" geschaffen worden. Dies dient als zentralerAnsprechpartner, zentrale Meldestelle sowie zentra-ler Verteiler von Informationen zum Status aller inder dwpbank produktiv eingesetzten DV-Systeme.Ein aktives Eingreifen des Lagezentrums erfolgtdann, wenn das aufgetretene Problem nicht in einemkurzfristigen Zeitraum lösbar ist. Das Lagezentrumsorgt bei Bedarf für die Bildung eines Experten-teams mit Beteiligung der betroffenen Leiter derOrganisationseinheiten, Providern sowie Vertreternaus der Anwendungsentwicklung und den Fach-bereichen.

Der Prüfer sollte klären, ob nachfolgende Prozessegeregelt sind:• Wie wird kontrolliert, dass die zugesicherten

Leistungen und Standards eingehalten werden?Zum Beispiel:- Wartungszustand der Systeme u. Anwen-

dungen- Performance- Verfügbarkeit- Qualitätsniveau- Vereinbarte Sicherheitsstandards- Proaktives Kapazitätsmanagement

• Wie wird auf Systemausfälle reagiert?• Existiert ein Problemmanagementprozess zwi-

schen den Providern und der dwpbank?• Werden Fehler u. Störfälle in Kategorien nach

Art, Schwere und Dringlichkeit eingeteilt?• Welche Tools kommen zum Einsatz?

• Sind Reaktionsszeiten und Eskalationsstufenfestgelegt?

• Erfolgt ein geregelter Kommunikationsprozesszwischen den Providern und der dwpbank?

• Über welche Medien erfolgt die Kommuni-kation?

• Werden alle offenen und geschlossenen Pro-bleme dokumentiert?

7 Physische und logische Sicherheit

Ein Netz besteht aus aktiver und passiver Netztech-nik. Als passive Netztechnik wird in erster Linie diestrukturierte Verkabelung verstanden. Hierzu gehö-ren Patch-Felder (über Steckfelder konfigurierbareKabelverteiler), Schutzschränke, Anschlussdosen amArbeitsplatz sowie die Leitungsverbindungen.

Zur aktiven Netztechnik gehören beispielsweiseHubs, Bridges, Switches und Router, wobei inmodernen Netzen fast nur noch Switches zumEinsatz kommen.

Der Schwerpunkt der Prüfung liegt hier auf derSicherheit der zum Einsatz kommenden Router undSwitches sowie der Leitungen.

7.1 Prüfungsschwerpunkt "aktiveNetzwerkkomponenten"

Router und Switches bilden die Basis und dasRückgrat der IT-Infrastruktur. Sie müssen deshalbvor unerlaubten Zugriffen und Manipulationengeschützt werden.

Der Prüfer sollte nachfolgende Fragen klären:• Gibt es eine mit dem IT-Dienstleister abgestim-

mte Sicherheitsrichtlinie, die auch Regelungenzur sicheren Konfiguration von Routern undSwitches enthält?

• Erfolgt die Administration über ein eigenesNetz?

• Wenn nein, werden dann nur Protokolle benutzt(bspw. ssh), die eine gesicherte Authentisierungund verschlüsselte Übertragung unterstützen?

• Welches Tool wird für die Administration derRouter und Switches eingesetzt?

• Ist sicher gestellt, dass zeitnah Security Patchesbzw. Betriebssystem-Updates eingespielt wer-den?


PRev_03_2006.qxp 27.09.2006 11:34 Seite 37

• Wie erfolgt das Monitoring der Router undSwitches?

• Werden, sofern vorhanden, voreingestellte Be-nutzerkonten ("normale" Benutzer- sowie Ad-minkonten) geändert?

• Sofern vorhanden: Sind normale Benutzer-konten und deren Rechte dokumentiert?

• Ist sicher gestellt, dass alle Standardpasswörtergeändert werden?

• Ist sicher gestellt, dass Passwörter nicht imKlartext in den Konfigurationsdateien gespei-chert werden?

• Ist sicher gestellt, dass beim Login auf denGeräten die Login-Nachricht keine Informatio-nen enthält, die einem potentiellen Angreifer vonNutzen sein können (Stichwort: Login-Banner)?

• Werden Protokollierungsfunktionen genutzt?• Wenn ja, sind der Umfang der Protokollierung

und die Kriterien für deren Auswertung doku-mentiert?

• Ist sicher gestellt, dass alle nicht genutzten Portsdeaktiviert sind?

• Werden von den Konfigurationsdateien (sowohlDefault-Konfiguration als auch die Konfigu-ration für den Produktionseinsatz) Sicherungs-kopien erstellt?

• Ist sicher gestellt, dass unnötige Netzdienstedeaktiviert werden?

• Sind die Access-Control-Listen der Border-Router so konfiguriert, dass an den externenSchnittstellen Pakete blockiert werden, derenAbsender-IP im internen Netz liegt?

• Sind die Access-Control-Listen der Border-Router so konfiguriert, dass an den internenSchnittstellen Pakete blockiert werden, derenAbsender-IP nicht im internen Netz liegt?

• Wenn ja, findet hier eine Protokollierung undgegebenenfalls eine Alarmierung statt?

Prüfungsfragen speziell für Switches:• Wird bei Switches flächendeckend ein MAC-

Locking eingesetzt?• Wird das Spanning Tree Protocol eingesetzt?• Wenn ja, sollte eine Deaktivierung auf allen

Endgeräte-Ports erfolgen.

• Wird das Trunking Protocol eingesetzt?• Wenn ja, sollte eine Deaktivierung auf allen

Endgeräte-Ports erfolgen.

7.2 Prüfungsschwerpunkt "passiveNetzkomponenten"

Hier sollten folgende Fragen beantwortet werden:• Welche Sicherheitsmassnahmen wurden getrof-

fen (z.B. Verschlüsselung, Ausfallsicherheit)?• Welche Massnahmen kommen im Störungsfall

zur Anwendung?• Ist die Bandbreite der Leitungen sowie der

Backup-Leitungen angemessen?• Welche Servicegrade wurden vereinbart?• Sind diese angemessen, besonders im Hinblick

auf Konformität bezüglich der Mandanten zuge-sagten Service Levels?

• Wie werden die Leitungen überwacht (Moni-toring)?

Es empfiehlt sich außerdem, eine Vor-Ort-Besich-tigung der Technikräume bzw. des Rechenzentrumsdurchzuführen, um eine erste Einschätzung bezüg-lich der baulichen Gegebenheiten, Sicherheitsvor-kehrungen, Brandschutzmaßnahmen usw. zu treffen.

8 Lessons learned

Mit Prüfungen im Rahmen von § 25a Abs. 2 KWG"direkt vor Ort", also beim "Insourcer", betraten wirsowie unser Dienstleister "Neuland". Wir beganneneinen Lernprozess, der bis dato noch nicht abge-schlossen ist.

Die Prüfung der WAN-Infrastruktur als ausgelagerteDienstleistung war diesbezüglich unsere erste Prü-fung. Wir machten dabei die nachfolgenden Er-fahrungen, die wir stichpunktartig wiedergeben:• Service Level Agreements waren nicht immer

durchgehend vorhanden.• Nicht alle operativen Sachverhalte waren geregelt.• Die Verträge mit dem Dienstleister waren (teil-

weise) noch nicht rechtskräftig unterzeichnet.• Die Steuerung und Kontrolle der ausgelagerten

Bereiche war verbesserungsbedürftig.• Die Aufgaben, Verantwortlichkeiten und Kon-

trollen zur Überwachung und Steuerung der aus-gelagerten Leistungen waren noch nicht vollum-fänglich geregelt.

Welche Sicherheitsmassnahmen wur-den getroffen (z.B. Verschlüsselung,

Ausfallsicherheit)?


PRev_03_2006.qxp 27.09.2006 11:34 Seite 38

• Spezialwissen beim Dienstleister war entgegenden Erwartungen nicht immer verfügbar.

• Es traten an verschiedenen Stellen Meinungsver-schiedenheiten auf, ob die vom auslagerndenUnternehmen angeforderte Leistung in Scope istoder nicht.

• Zusatzaufträge beim Dienstleister, die nichtdurch Vertrag abgedeckt sind, kosten viel Geld.

• Prüfungen gestalten sich langwierig und sind mithohem Abstimmungsaufwand verbunden.

• Ein Bewusstsein für die Belange der IT-Revisionsowie deren Prüfungstätigkeit muss sich beim

Dienstleister erst etablieren.• Für beide Parteien (Out- und Insourcer) ist es ein

langwieriger Lernprozess.• Das Erkennen von Mängeln und deren Aus-

räumung führte letztendlich zu einer qualitativenVerbesserung der Prozesse beim Dienstleistersowie in der dwpbank.

• Sorgfältig vorbereitete Prüfungen beim Dienst-leister im Rahmen von § 25a Abs. 2 KWG kön-nen helfen, die Qualität der eingekauften Dienst-leistung zu verbessern.

✜


FKCI Fachkonferenz "CIO"

Sicherheit, Effizienz und Prüfbarkeitdes IT-Betriebs

Ort: Hotel Hafen Hamburg, HamburgTermin: 07.12.-08.12.2006Zielgruppe: CIOs, RZ-Leiter, Leiter IT-Revision

Anlass und Zielsetzung:

KonTraG, Sarbanes Oxley Act (SOA), Deutscher Corporate Governance Kodex (DCGK) und die dar-aus resultierenden Anforderungen an Geschäftsleitung und Abschlussprüfer haben unmittelbareund mittelbare Auswirkungen auch auf den IT-Betrieb, der das gesamte Unternehmen integraldurchdringt. Die u.a. aus diesen Forderungen abgeleiteten Normen und Prüfungsstandards aner-kannter Institutionen zur Einrichtung und nachhaltigen Etablierung eines ordnungsgemäßen,sicheren und wirtschaftlich zu betreibenden IT-Betriebs sind schier unübersehbar geworden.

Diese Konferenz

- stellt IT-Entscheidern und -Prüfern diese Vorgaben zur Diskussion,- bewertet und relativiert sie,- grenzt sie gegeneinander ab, - informiert über Möglichkeiten und Grenzen dieser Vorgaben und

legt damit die Entscheidungsgrundlagen für die effiziente und effektive Implementierung,Zertifizierung und Vereinheitlichung der wesentlichen organisatorischen und technischenRegelungen und Abläufe im eigenen und "outgesource-ten" IT-Betrieb.

Fordern Sie gerne die ausführliche (kostenfreie) Agenda an:

IBS Schreiber GmbH • Friedrich-Ebert-Damm 145 • 22047 HamburgFON:+49 (0) 40 - 69 69 85-15 • FAX: + 49 (0) 40 - 69 69 85-31

eMail: [email protected] • www.ibs-hamburg.com

PRev_03_2006.qxp 27.09.2006 11:34 Seite 39

Die Prüfungen der Revision im IT-Bereich werdennach den eindeutigen Strukturen und Vorgehens-weisen der Prüfungsplanung vorgenommen.

So werden im Rahmen der Prüfungsplanung diePrüfobjekte klar definiert. Dieser Ansatz ist richtigund die Vorgehensweise sieht es auch so vor. Jedochist in den meisten Fällen die Bewertung des Ergeb-nisses der Prüfung beim genauen Hinsehen nichtganz richtig. Mit der Aussage zu einer durchgeführ-ten Prüfung über den Stand der Sicherheit des Prüf-objektes werden viele Aspekte, die auf diese Bewer-tung Einfluss nehmen können, gar nicht berücksich-tigt.

Wird zum Beispiel das Berechtigungskonzept einesSAP-HR-Systems geprüft, und liefert das Ergebniseine gute Aussage über das Berechtigungskonzept,lässt sich daraus noch nicht eine qualitative Aussageüber die Sicherheit der HR-Daten ableiten.

In diesem Beitrag sollen für den Ansatz von Prüfun-gen Aspekte aufgezeigt werden, die zumindest in derPrüfungsplanung und in der Berichtserstattung eineBerücksichtigung aller Schichten vornimmt. Somitkann eine realistische Einschätzung der Gesamt-qualität der Prüfung und vor allem die Hinweise aufnicht geprüfte Bereiche erfolgen und die Definitionund die Hinweise auf das Restrisiko berücksichtigen.

Ein Prüfobjekt

Als Beispiel soll die Berechtigungsprüfung einesSAP-HR-Systems dienen. Der Prüfungsumfang ist in

der Regel schnell und eindeutig formuliert und dieVorgehensweise meistens klar.

Die Aussage des Prüfungsergebnisses kann sichjedoch nur auf die Benutzerverwaltung und derenRechte innerhalb der Anwendung SAP beziehen.Eine Aussage über Sicherheit oder gar Möglichkeitender Manipulation des Datenbestandes des HR-Bereiches ist damit nur zum Teil möglich.

Die Kommunikation

Bereits bei der Prüfungsplanung müssen daher allemöglichen Nebenquellen der Beeinflussung, Um-gehung oder Risiken, die das Prüfobjekt betreffen,definiert und in die Prüfung einbezogen werden oderim Bericht als bekannt, aber nicht geprüft, erwähntwerden, damit diese Risiken sichtbar sind und ggf. zueinem späteren Zeitpunkt berücksichtigt werdenkönnen oder das Restrisiko definiert werden kann.

Ein SAP-HR-System besteht in der Regel aus einemAnwendungsserver (mit dem eigentlichen SAP-System), einem Datenbank-Server (mit den HR-Daten) und Anwendern, die diese Daten über dieAnwendung nutzen.

Dipl.-Ing. Michael FothIBS Schreiber GmbH

Prüfung durch alleSchichten

Es geht um alles "drumherum", wo esnoch Möglichkeiten gibt, die die

Sicherheit der HR-Daten einschränkenoder umgehen lassen.


PRev_03_2006.qxp 27.09.2006 11:34 Seite 40

Hinzu kommt bei klassischen Systemen, dass esneben dem Produktiv-System auch das Testsystemund das Entwicklungssystem gibt. Die hier gemach-ten Betrachtungen gelten für alle drei Systeme glei-chermaßen.

Betrachtet wird hier nicht die Prüfung des Berechti-gungskonzeptes, denn das wird als eigentlichesPrüfobjekt in diesem Beispiel vorausgesetzt. Es gehtum alles "drumherum", wo es noch Möglichkeitengibt, die die Sicherheit der HR-Daten einschränkenoder umgehen lassen.

Definition von Schichten

Wenn strukturiert alle Bereiche erfasst werden sollen,müssen strukturierte Schichten-Modelle angewendetwerden. Die meisten denken dabei an das OSI-7-Schichten-Modell, das hier nur zum Teil anwendbarist. In der Darstellung wird dieses aber mit aufge-


PRev_03_2006.qxp 27.09.2006 11:35 Seite 41

führt, um eine Abbildung zu den Schichten der Revi-sions-Prüfung darzustellen.

Die eigentliche Prüfung des Berechtigungs-Konzep-tes im SAP-HR ist Prüfung nur auf der Applika-tions-Ebene (max. Schicht 6 und 7 im OSI-7-Schichten-Modell).

Das SAP-System kommuniziert über seine Berechti-gungsstrukturen mit einer Datenbank. Innerhalb derDatenbank gibt es keine Berechtigungsstrukturmehr. Das SAP-System kommuniziert mit einem ein-zigen User vom SAP-System zur Datenbank. AlleEinschränkungen und Rechte zum Anwender hinwerden durch das SAP-System geregelt. Daher mussder Sicherheit und der Prüfung der Kommunikationzwischen dem SAP-System und der Datenbank vielAufmerksamkeit gewidmet werden. Denn wenn eindirekter Zugriff auf die Datenbank erlangt werdenkann, wird das gesamte Berechtigungskonzept desSAP-Systems umgangen.

Die Betriebssysteme

Beide Systeme, das SAP-System und das Datenbank-System, befinden sich auf Maschinen mit einem Be-triebssystem (in der Regel UNIX, Linux oderWindows).

Auch hier ergeben sich schnell Angriffspunkte, überdie Zugang zum Betriebssystem und von dort dannmit administrativen Rechten sehr schnell der Gesamt-Zugriff auf die Datenbank erlangt werden kann. Undsomit würde auch hier wieder das gesamte Berechti-gungskonzept des SAP-Systems umgangen werden.

Das Herausfinden von Schwachstellen und Lückenbei Betriebssystemen setzt heute kein Spezialisten-wissen mehr voraus. Systeme, die dann nicht aktuellgepatched oder gepflegt sind, lassen sich einfacherobern und bieten somit Hintertüren, die langeunerkannt bleiben.

Das hat auch mit dem Betrieb der Systeme zu tun.Dazu aber etwas später mehr.

Und weiter unten …

Unter den Betriebssystemen, was kommt da? DieHardware ist zwar in den meisten Fällen unkritisch,

da der Zugang zu ihr in abgesicherten Räumen plat-ziert ist. Doch von der Hardware gibt es eine Verbin-dung zum Netzwerk, über das mit den Anwendernkommuniziert wird.

Die Anwender erreichen das SAP-Anwendungs-system mit einer Kommunikations-Struktur (in derRegel mit dem Protokoll TCP/IP) über ein mehroder weniger großes Netzwerk. In diesem Netzwerkbefinden sich so genannte aktive Komponenten. Dassind Router, Hubs, Switche, Gateways, usw. Auchdiese Systeme bieten Möglichkeiten für Angriffe undvor allem für das Mitlesen oder Umleiten vonNetzwerk-Verkehr.

Dieses heute auszunutzen bedarf ebenfalls wenigFachwissen. Mit einfachen Tools kann man bereitsdiese Funktionen nutzen. So besteht die Möglichkeitggf. den Netzwerkverkehr zwischen einem Anwen-der und dem SAP-System abzuhören und an dessenLogin-Daten zu gelangen.

Noch kritischer ist es, wenn die Kommunikationzwischen dem SAP-System und dem Datenbank-System belauscht werden kann. Denn damit kämeman an die Login-Daten, die einen Vollzugriff direktauf die Datenbank schaffen würden.

Es sei hier aber auch gesagt, dass sich durch entspre-chende Konfigurationsmöglichkeiten (die nicht inden SAP-Standard-Installationen berücksichtigt wer-den) einige dieser unberechtigten Zugriffsmöglich-keiten einschränken oder verhindern lassen.

Vielfältige Möglichkeiten

Es seien hier nur einige technische Schichten aufge-zeigt, die bei einer Prüfung für eine Aussage überDatensicherheit zu berücksichtigen sind.


PRev_03_2006.qxp 27.09.2006 11:35 Seite 42

Aber auch die technischen Möglichkeiten und Vor-gänge werden vom größten Problem beeinflusst,dem Menschen.

Daher ist es unabdingbar, diese bisher horizontalbetrachteten Schichten um vertikale Betrachtungenzu ergänzen.

Mensch und Betrieb

Der gesamte Betrieb dieser Systeme wird durchMenschen wahrgenommen. Menschen lassen sichnicht durch ein Software-Update oder einen Hard-ware-Tausch optimieren, es werden aber Verfahrenbenötigt, die auch prüfbar und messbar sind.

Der Betrieb der Systeme muß klar definiert unddokumentiert sein als Sollvorgabe für eine Prüfung.

Dieses trifft nicht nur für den Betrieb des SAP-Sys-tems zu, sondern auch für den Betrieb des Betriebs-systems, der Hardware, der Überwachung derSysteme, des Release-Managements (also Updatesund Patches) und der Netzwerk-Systeme, da diese oftnicht alle in einer Hand oder Gruppe liegen.

Organisatorische Maßnahmen und Regelungen fürdie Administration auch auf den unteren Schichtenmüssen nachvollziehbar und prüfbar sein. Nur derEinsatz automatischer Mechanismen reicht nicht aus,sondern kann nur ein Hilfsmittel sein.

Know How als Prüfobjekt

Doch um all diese Themen auch im organisatori-schen Bereich zu definieren und die sicherheitskriti-schen Aspekte zu berücksichtigen, muß bei denBetreibern das entsprechende Know-How vorausge-setzt werden. Know-How lässt sich in dem hierbenötigten Umfang nicht nur durch "Learning-by-Doing" erreichen.

Skill, Skill-Planung, Skill-Aufbau und Know-Howsind daher wichtige Bestandteile, um eine Gesamt-Beurteilung der Sicherheit auch für dieses Prüfobjekt

der SAP-HR-Daten abgeben zu können. Denn nur,wenn man weiß, was man tut, kann man die entspre-chende Qualität eines geforderten Sicherheitsstan-dards auch erreichen.

Und die Mitarbeiter …

Und auch die Mitarbeiter, also die Anwender, sindBestandteil der Gesamtsicherheit der HR-Daten.Dass natürlich die Verwendung von Passwörtern undLogin-Daten sicher zu verwahren und anzuwendensind, sollte jedem klar sein. Doch regelmäßigeKontrollen intern in Unternehmen haben gezeigt,dass es bei bis zu 15% der Arbeitsplätze möglich ist,in bis zu 5 Minuten sich am System mit denKennungen des Mitarbeiters anzumelden.

Die Verwahrorte und Login-Daten sind leider immernoch oft schnell am Arbeitsplatz auffindbar.

Aber auch das sogenannte "Social-Hacking" nutzteinfach die Gutgläubigkeit des Menschen aus undman gelangt so in bis zu 60% der Fälle an die Login-Daten der Mitarbeiter.

Hier kann nur eine regelmäßige Mitarbeiter-Sensi-bilisierung greifen, die nicht nur für die Sicherheitder HR-Daten, wie in unserem Beispiel, greift, son-dern zur Gesamt-Unternehmens-Sicherheit beiträgt.

Fazit

Für Revisionen im IT-Umfeld sind immer alleSchichten zu betrachten, auch wenn nur einzelneObjekte daraus der Prüfung unterzogen werden.

Es ist ein gewaltiger Unterschied, ob ein Prüfauftraglautet• "Prüfen des Berechtigungskonzeptes der SAP-

HR-Daten" oder• "Prüfen der Sicherheit der SAP-HR-Daten".

Beim zweiten Punkt befindet man sich zwangsläufigim gesamten Prozess-Ablauf, in dem es aus allenSchichten möglich ist, egal ob legal oder illegal,Zugriff auf sensible Daten zu bekommen.

Dabei ist es in diesem Falle nahezu unmöglich alleSchichten zu prüfen. Es sollten jedoch alle SchichtenBerücksichtigung finden und erwähnt werden. ✜

Die Verwahrorte und Login-Daten sindleider immer noch oft schnell am

Arbeitsplatz auffindbar.


PRev_03_2006.qxp 27.09.2006 11:35 Seite 43

Prüfung des Korrektur- undTransportwesens von SAP® LandschaftenInhalte u.a.:R/3®-Systemlandschaften• Mögliche R/3®-Systemlandschaften• Test- und Freigabeverfahren

Transportwege• Organisation und Schutz der

Transportwege• Automatische und manuelle Transporte

Rollentrennung beim Transportprozess• Entwicklung, Qualitätssicherung,

Administration• Funktionstrennung

Das Transport Management System (TMS)

Kontrolle der Importvorgänge

Seminarcode: R3KT

12.10.-13.10.06

Anmeldung und Auskünfte:

IBS Schreiber GmbHFrau Christina RobrockTEL: +49 40 69 69 85-15FAX: +49 40 69 69 85-31Friedrich-Ebert-Damm 145

22047 Hamburg

[email protected]

Revisionsworkshop “BusinessInformation Warehouse - BW”von SAP® SystemenInhalte u.a.:Einführung• Architektur von Data Warehouse

Systemen• Einordnung in das Gesamtkonzept• Funktionalität SAP® BW

Datenbeschaffung prüfrelevanter Daten• Stammdaten• Bewegungsdaten

Datenmodellierung und Datenaufbereitung

Reporting und Analyse• Erarbeitung von Musterlösungen

Sicherheitsrisiken BW• Datenschutz• Datensicherheit• Berechtigungskonzeption

Seminarcode: R3BW

12.10.-13.10.06



22047 Hamburg

[email protected]

Workshop zur Berechtigungs-prüfung des Moduls HR vonSAP®Inhalte u.a.:Spezifikation der Berechtigungskonzeptionfür die Personalwirtschaft - HR• Komplexität und Quantitäten• Verwendungsnachweis• Fehlerquellen - Fehleranalyse

Strukturelle Berechtigungen• Konzeption - Einsatz• Prüfen kritischer Berechtigungen und

kritischer Kombinationen

Prüfung und Dokumentation• Abbildung der Prüfungstätigkeit• Auswertungsmöglichkeiten mit

SAP® Standardreports und Tabellen

Seminarcode: R3HB

16.10.-17.10.06



22047 Hamburg

[email protected]

Gesamtsicherheit durch alleSchichten von SAP® SystemenInhalte u.a.:Die Client/Server-Umgebung unterSAP®

Die Protokollierung von NT/UNIX, Oracleund SAP®

Beeinflussung der Ebenen untereinander(Schnittstellen) in hierachischerBetrachtung• WindowsNT/UNIX und SAP®• Sicherung der Client-Stationen

Risikomanagement und Sicherheitstrategien

Checklisten und ihre praktische Umsetzung

Seminarcode: R3BD

18.10.-20.10.06



22047 Hamburg

[email protected]


+++ SEMINARE +++

Revisionsführerschein für SAP®

SystemeInhalte u.a.:Einführung:• SAP® Architektur/Leistung• Komponenten/Teilkomponenten

Die SAP®-Benutzeroberfläche• Vergl. zum Windows-Standard• Matchcode und Modi

Transaktionscodes• Aufrufen von Anwendungen• Historienliste

Individuelle Benutzereinstellungen• Benutzerfestwerte• Das Benutzermenü

Reports• Standardreports in den Modulen• Selektionskriterien

Seminarcode: R3GB

02.11.-03.11.06



22047 Hamburg

[email protected]

Werkzeugkasten für diePrüfung von SAP®Inhalte u.a.:Tipps und Tricks zu Tabellen und Reports

Aufbau des Data Dictionary• Domänen, Datenelemente, Felder• Analysen von Tabelleneigenschaften,

Prüftabellen

Traces• SQL-Trace - Finden von Tabellen• SAP® System-Trace - Analyse von

Zugriffsberechtigungen

QuickViews

ABAP-Programmierung• Prüfereigene Programme mit ABAP• Analysen von ABAP-Programmen

Erstellen eigener Reportingbäume

Seminarcode: R3WK

23.10.-25.10.06



22047 Hamburg

[email protected]

PRev_03_2006.qxp 27.09.2006 11:35 Seite 44


+++ SEMINARE +++

Electronic Banking ausRevisionssichtInhalte u.a.:Techniken im eBanking

HBCI - eBanking

Kryptografische Verfahren beim Einsatz inBanken

Funktion und Qualität von Zertifizierungs-verkehr im Internet

Internet als Kapitalmarkt

Internet als Informationsmarkt

Seminarcode: BKEB

12.10.-13.10.06



22047 Hamburg

[email protected]

EXCEL für RevisorenInhalte u.a.:Handling von Tabellen, Blättern undMappen

Einlesen von Prüfdaten

Selektionen / Stichprobennahmen

Schichten von Datenbeständen(ABC-Analyse)

Funktionen zur Aufbereitung und Analysevon Daten

Formatierung und Darstellung

Verknüpfen von EXCEL-Tabellen und vergleichende Auswertungen

Automatisierungsmöglichkeiten von sichwiederholenden Prüfabfragen

Individuelle Anpassung

Seminarcode: CDXR

23.10.-25.10.06



22047 Hamburg

[email protected]

Prüfen des VertriebsInhalte u.a.:Einführung• Definition und Strategie von Marketing

und Vertrieb• Gesetzliche Randbedingungen und

Vertragsbedingungen

Risiken im Vertriebsprozess und Prüfungder Risikosteuerung• Risikopotential und -ranking• IT-Werkzeuge zur Prüfung von

Umsätzen, Debitoren u.a.m.

Kommunikationsfluss• Richtlinien/Ethik-Werk für den Vertrieb• Die Kundenakte

Fallbeispiele im Zusammenhang

Seminarcode: GMSD

25.10.-27.10.06



22047 Hamburg

[email protected]

Windows® 2000 für RevisorenInhalte u.a.:Aufbau und Struktur des Betriebssystems:• Leistungsmerkmale• Eigenschaften der Serverversionen• Kompatibilität

NTFS 5• Verschlüsselung• Prüfungsansätze

Security• Anmeldesicherheit• Restriktion für Benutzer

Berechtigungskonzept• Einführung in ADS• Gruppen und deren Verschachtelung• Freigaberechte contra NTFS-Rechte

Seminarcode: DSW2

06.11.-08.11.06



22047 Hamburg

[email protected]

ACCESS für RevisorenInhalte u.a.:Arbeit mit Tabellen/Datenbanken

Einlesen von Prüfdaten in ACCESS

Erstellen von Feldstatistiken

Schichten von Datenbeständen(ABC-Analyse)

Analyse der extrahierten Daten

Verknüpfen von ACCESS-Tabellen und ver-gleichbare Auswertungen

SQL-Abfragen

Zusammenfassung am Beispiel einer kom-pletten interaktiven Prüfung vonDatenbeständen inkl. grafischerAuswertung

Automatisierungsmöglichkeiten von sichwiederholenden Prüfabfragen

Seminarcode: CDAR

06.11.-08.11.06



22047 Hamburg

[email protected]

Prüfen des EinkaufInhalte u.a.:Einführung• Gefährdungspotenzial des Einkaufs• Der Prozess des Einkaufs

Risiken im Beschaffungsprozess undRisikosteuerung• Risikopotential + -ranking• Risiko-Steuerungsmaßnahmen

Kommunikationsfluss• Richtlinien/Verfahrensanweisungen für

den Einkauf• Der Kommunikationsweg von der

Anforderung bis zur Liefreung undAbnahme und Rückkopplung

Fallbeispiele im Zusammenhang

Seminarcode: GMEI

08.11.-10.11.06



22047 Hamburg

[email protected]

PRev_03_2006.qxp 27.09.2006 11:36 Seite 45

Prof. Dr. Ulli Guckelsberger und Prof. Dr. Stefan Kronberger

Grundzüge der VolkswirtschaftslehreLehr- und Übungsbuch

4. aktualisierte Auflage 2006Kiehl Verlag,428 S., ISBN 3 470 47854 624,80 €

Dieses Lehr- und Übungsbuch bereitet den Stoff derVolkswirtschaftslehre speziell für Studenten anBerufsakademien, Fachhochschulen und Universi-täten mit betriebswirtschaftlicher Ausrichtung auf.Es vermittelt grundlegende Einsichten in volkswirt-schaftliche Tatbestände und Zusammenhänge. Zielist es dabei, das volkswirtschaftliche Verständnis derBetriebswirte als Grundlage unternehmerischenDenkens zu schärfen.

Das Buch basiert in weiten Teilen auf Vorlesungen,die die Autoren an der Fachhochschule Ludwigs-hafen anbieten und deckt die traditionelle Mikro-und Makroökonomie ab. Ergänzt wird die Dar-stellung durch ein Kapitel zur Dogmengeschichte.

Die 4. Auflage wurde gründlich überarbeitet und derÜbungsteil erweitert.

Aus dem Inhalt:Volkswirtschaftliche Grundbegriffe, Wirtschaftsord-nung, Volkswirtschaftliche Gesamtrechnung, Zah-lungsbilanz, Neoklassische Unternehmens- und Haus-haltstheorie, Preistheorie, Wettbewerbstheorie, Makro-ökonomische Ansätze, Außenwirtschaft, Grundzügeder Dogmengeschichte, Übungsteil, Lösungen.

Hans-Dietrich Koch u.a.

Der betriebliche Datenschutz-beauftragteAufgaben - Voraussetzungen - Anforderungen

6. vollständig überarbeitete und erweiterte Aufl. 2006Datakontext-Fachverlag,552 S., ISBN 3-89577-364-649,00 €

Die 6. überarbeitete Auflage berücksichtigt die Ver-änderungen im Datenschutzrecht (so z. B. Strei-

chung des TDSV und Erweiterung des TDDSG),sowie inzwischen erschienene Kommentierungenund Rechtsprechung.

Grundlegend erweitert wurden z. B. die KapitelBeschreibung der Vorabkontrolle, die Datenüber-mittlung im Ausland und die Anwendung der DV-Programme, die Schulungsverpflichtung des Daten-schutzbeauftragten und die technischen und organi-satorischen Maßnahmen gemäß § 9 BDSG. Neu hin-zugekommen ist ein Kapitel über die Zusam-menarbeit zwischen DSB und Revision. Auch dieumfangreichen Arbeitshilfen in den Anlagen wurdenüberarbeitet, aktualisiert und erweitert.

Neben der thematisch umfassenden Beschreibungder Aufgaben, Voraussetzungen und der Anfor-derungen erfolgt auch die inhaltliche Aufbereitungdatenschutzrechtlicher Zusammenhänge für Anwen-der/innen, die auf der Grundlage des BDSG gesetz-liche Datenschutzbestimmungen in die Organisationder "verantwortlichen Stelle" umsetzen sollen. Dieübersichtliche und verständliche Abhandlung dieserkomplizierten Materie, die in Verbindung mit vielfäl-tigen Arbeitshilfen und Materialien eine bis ins Detailführende Ausarbeitung des Themas darstellt, wurdein der 6. Auflage vor dem Hintergrund des geltendenDatenschutzrechts sowie der neueren Recht-sprechung vollständig überarbeitet und erweitert.

Langjährig tätige betriebliche Datenschutzbeauf-tragte beschreiben bewährte Vorgehensweisen zurpraxisnahen Umsetzung der gesetzlichen Erforder-nisse für die betriebliche Datenverarbeitung in einunternehmensbezogenes Datenschutz- und Sicher-heitsmanagement. Dabei muss erwähnt werden, dassdie Kenntnisse der Autoren auch aus unterschiedlichgeprägten Tätigkeitsbereichen stammen, nämlich ausProduktion und Vertrieb, Datenverarbeitungsorgani-sation und Programmierung, Revision, Rechtsab-teilung und Betriebsrat, jeweils in verantwortlicherFunktion. Ihre praktische Erfahrung als Daten-schutzbeauftragte wurde sowohl in haupt- bzw.nebenamtlicher Tätigkeit erworben.

Sowohl dem am Beginn seiner Tätigkeit stehendenDatenschutzbeauftragten als auch "mitten imBerufsleben" stehenden Datenschutzpraktikern wirdbeispielhaft und überschaubar eine praxisbezogeneZusammenfassung gesetzlicher und betriebsorgani-


+++ BUCHHINWEISE +++

PRev_03_2006.qxp 27.09.2006 11:36 Seite 46

satorischer Erfordernisse sowie bewährte Vor-gehensweisen zur Realisierung des Datenschutzes andie Hand gegeben. Einschlägige technische undorganisatorische Maßnahmen zur Abwendung vonGefährdungen der Datenverarbeitung, die in ihrerGesamtheit den Datenschutz in verantwortlichenStellen ausmachen, sind auch auf Details eingehendund verständlich - "von der Praxis für die Praxis" -abgehandelt.

Nicht die Kommentierung des Bundesdatenschutz-gesetzes, sondern die praxisnahe Ergänzung vorhan-dener Literatur, ist charakteristisch für das gelungeneWerk. Die Fülle von Verweisen auf einschlägigeLiteratur und Kommentierungen ermöglichen esdem Leser, auf vertiefende Lektüre zu den Themenzurückzugreifen. Dieses Fachbuch wurde ursprüng-lich für betriebliche Datenschutzbeauftragte entwik-kelt. Da die Aufgaben der Datenschutzbeauftragtenin nicht öffentlichen und öffentlichen Stellen vielfachdeckungsgleich sind, eignet sich dieses Werk sowohlfür privat-wirtschaftliche wie auch für öffentlicheStellen.

Das Buch ist ein Ratgeber für Datenschutzbeauf-tragte, Unternehmensleiter und Leiter von Behör-den, für Personalchefs und Betriebs-/Personalräte.Es ermöglicht einen umfassenden Überblick überdas Berufs- und Funktionsbild von Datenschutz-beauftragten und auch über technische und organisa-torische Erfordernisse des Datenschutzes bei ver-antwortlichen Stellen. Das Werk präsentiert sich alspraktisches Handbuch für den Datenschutz beidatenverarbeitenden Stellen. In den bisherigenAuflagen hat es sich als "Klassiker" in der Praxisbewährt.

Peter Gola

Datenschutz im Callcenter

2. überarb. und erweiterte Auflage 2006Datakontext-Fachverlag,184 S., ISBN 3-89577-411-129,00 €

Was Call Center und deren Auftraggeber aus Wirt-schaft und Verwaltung datenschutzrechtlich zubeachten haben, wie Datenschutz effektiv umgesetztund praktiziert werden kann, hierüber informiert die

zweite überarbeitete Auflage des Ratgebers von Pe-ter Gola. Aufgezeigt werden die bei den Tätigkeitenvon Call Centern bestehenden Datenschutzpro-bleme und die in der Praxis oftmals festzustellendenDefizite beim Umgang mit personenbezogenenDaten sowohl der Kunden als auch der Beschäftig-ten der Call Center.

Ausführlich behandelt werden die Problemfelder:• Heimliches Mithören• Aufzeichnen von Gesprächen • Telemarketing• Erfassung der Kommunikationsdaten • Testanrufe (Mystery Calls) • Grenzen der Kommunikationskontrolle • Kundendatenschutz • Call Center Outsourcing • Mitbestimmung

Daneben geht das Fachbuch auf die sich aus demBDSG ergebenden organisatorischen Anforderun-gen an Call Center ein. Das ausführliche Stichwort-register und Literaturverzeichnis sowie die verständ-liche Sprache des erfahrenen Autors erleichtern denUmgang mit diesem für Call Center überlebenswich-tigen Thema.

Dietmar Franke

Vertrauensvolle Zusammenarbeit mitdem Betriebsrat

2. überarbeitete Auflage 2006Datakontext-Fachverlag,208 S., ISBN 3-89577-399-936,00 €

Im Frühjahr 2006 werden die Betriebsräte neu ge-wählt. Gleichviel, ob dabei personell "alles beimalten" bleibt oder neue Mitglieder in die Gremieneinziehen, in beiden Fällen bietet sich denBetriebspartnern eine Chance, die nur alle vier Jahrewiederkehrt. Die Chance nämlich, gewachseneVorurteile, gegenseitiges Misstrauen oder gar offeneKonfrontation in die Vergangenheit zu verweisenund die Zusammenarbeit auf eine Grundlage zu stel-len, wie sie das Betriebsverfassungsgesetz in § 2 Ivorgibt. Danach arbeiten Arbeitgeber und Betriebs-rat vertrauensvoll zum Wohl der Arbeitnehmer unddes Betriebs zusammen. Das ist weder frommer



PRev_03_2006.qxp 27.09.2006 11:36 Seite 47

Wunsch noch unverbindlicher Appell sondern ver-pflichtendes Gebot.

Wie es in die Praxis umgesetzt werden kann, zeigt die2. Auflage des Buches "Vertrauensvolle Zusammen-arbeit mit dem Betriebsrat". Die Neuauflage zeigtkonkrete Handlungsanleitungen auf, die sowohl demArbeitgeber als auch dem Betriebsrat als Richtschnurdienen, eingefahrene Gleise zu verlassen und rigideRechtspositionen im Interesse der Arbeitnehmer unddes Betriebs zu "entschärfen".

Die Notwendigkeit hierzu beweisen gerade neuesteEntscheidungen des Bundesarbeitsgerichts, die inder Vorauflage noch nicht berücksichtigt werdenkonnten. Damit die in dem Buch ausgesprochenenEmpfehlungen zwischen den Betriebspartnern ver-bindlichen Charakter annehmen, werden dieseabschließend in einer als Textmuster angelegtenBetriebsvereinbarung verankert. Denn so wie jedeOrganisation sich eine Verfassung oder Satzung gibt,sollte auch ein Betrieb die Grundsätze derZusammenarbeit zwischen seinen Repräsentanten ineinem "betrieblichen Grundgesetz" schriftlichregeln.

Fragen1. Welche mitbestimmungspflichtigen Angelegen-

heiten sind in den letzten vier Jahren unerledigtgeblieben oder "im Sand verlaufen" - undwarum?

2. Wie oft und aus welchem Anlass haben Sie dieEinigungsstelle bzw. das Arbeitsgericht angeru-fen?

3. Sehen Sie für die kommende Amtszeit des Be-triebsrats Verbesserungspotenziale in der Zu-sammenarbeit?

4. Beabsichtigen Sie nach der Wahl auf denBetriebsrat zuzugehen, um auf Verbesserungenin der Zusammenarbeit hinzuwirken?

5. Halten Sie es für erforderlich, den Betriebsratauch in solche Maßnahmen einzubinden, für diedas Gesetz kein Beteiligungsrecht vorsieht?

6. Sollten am besten solche Mitarbeiter in denBetriebsrat gewählt werden, auf die wegenSitzungen, Schulungen etc. am ehesten amArbeitsplatz verzichtet werden kann?

7. Halten Sie es für angebracht, mit dem Betriebsratfür Schulungen etc. ein Jahresbudget zu verein-baren?

8. Binden Sie den Betriebsrat von sich aus ein oderlassen Sie ihn auf sich zukommen?

Hrsg. Deutsches Institut für Interne Revision e.V.

Revision des Finanzwesens

3. völlig neu bearbeitete und wesentlich erweiterteAuflage 2006, Erich Schmidt Verlag,100 S., ISBN 3 503 05969 522,80 €

Das Finanzwesen ist ein wichtiger Bereich in jedemUnternehmen, mit Aufgaben die immer komplexerund dynamischer werden. Die Integration derFinanz- und Kapitalmärkte verstärkt sich, grenzüber-schreitende Kapitalanlagen bzw. -aufnahmen gewin-nen an Bedeutung, innovative Finanzierungsformenentstehen. Die effektive und zukunftsweisendeÜberwachung des Finanzwesens stellt die Verant-wortlichen täglich vor eine schwierige Aufgabe. Fürdie Arbeit der Internen Revision eröffnet sich damitein ebenso wichtiges wie anspruchsvolles Prüfungs-gebiet. Denn es sind gerade Mängel im Finanzwesen,die vielfach zu Schieflagen von Unternehmen füh-ren. Das neue Buch des Arbeitskreises "Revision desFinanz- und Rechnungswesens" vom renommiertenDeutschen Institut für Interne Revision (IIR) zeigtanschaulich, wie die Prüfung des Finanzwesenserfolgreich zu bewältigen ist. Die nunmehr bereitsdritte Auflage berücksichtigt die zentralen aktuellenorganisatorischen, rechtlichen und technischenEntwicklungen der letzten Jahre.

Das Buch vermittelt, wie • Maßnahmen der Mittelbeschaffung und -rück-

zahlung• Gestaltungen der Zahlungs-, Informations-,

Kontroll- sowie • Sicherheitsbeziehungen zwischen Unternehmen

und Kapitalgebern

unter den Gesichtpunkten der Sicherheit, Ordnungs-mäßigkeit und Wirtschaftlichkeit auf allen Ebenenwirkungsvoll und zukunftsgerichtet zu prüfen sind.

Dabei führt der Leitfaden mit kommentierten Prü-fungsfragen sowie der Darstellung wichtiger Inhalte,Verantwortlichkeiten und essentieller Aufgabensystematisch durch die schwierige Prüfungsarbeit.



PRev_03_2006.qxp 27.09.2006 11:36 Seite 48

Ronald Gleich und Karsten Oehler

Corporate Governance umsetzen

Auflage 2006, Schäffer-Poeschel Verlag,300 S., ISBN 3-7910-2276-859,95 €

Eine Reihe von Unternehmenskrisen hat das Vertrau-en des Kapitalmarkts, von Stakeholdern, sowie Share-holdern erschüttert und die Diskussion über Corpo-rate Governance intensiviert. Regulatorische Maßnah-men wie z. B. der Sarbanes-Oxley-Act, die neuenEigenkapitalregelungen durch Basel II oder derDeutsche Corporate Governance Kodex sollen dasCorporate Governance-System transparent sowienachvollziehbar gestalten und das Vertrauen in dieLeitung und Überwachung börsennotierter Unterneh-men wieder herstellen. Diese Maßnahmen haben weit-reichende Auswirkungen auf alle Unternehmensberei-che. Vor diesem Hintergrund ist es die Zielsetzung die-ses anwendungsorientierten Werkes, die zentrale Be-deutung des Controlling im Aufbau neuer corporategovernance-orientierter Managementstrukturen aufzu-zeigen. Die Kernthemen befassen sich dabei mit demRisikomanagement als unverzichtbarem Teil des Per-formance Measurement Systems, dem Aufbau einesinternen Sicherungssystems, der Fundierung der Pla-nung und des Forecasting, dem Einsatz fundierter IT-Werkzeuge sowie der notwendigen Zusammenarbeitzwischen Controlling und Interner Revision. Umset-zungs- und Anwendungsempfehlungen sowie Fallbei-spiele und Erfahrungsberichte aus der Praxis unterstüt-zen den Anwendungsbezug. Damit bietet dieses WerkHilfestellung bei der effizienten Anpassung bzw. beimAufbau der Geschäftsprozesse und IT-Systeme an cor-porate governance-orientierte Managementstrukturen.

Norbert Pfitzer / Peter Oser / Christian Orth

Reform des Aktien,- Bilanz- undAufsichtsrechts

2., aktualisierte und erweiterte Auflage 2006,Schäffer-Poeschel Verlag,297 S., ISBN 3-7910-2498-139,95 €

Die deutsche Rechnungslegungspraxis ist in den letz-ten Jahren mit einer Vielzahl von Reformgesetzen

konfrontiert worden, die zu tiefgreifenden Ver-änderungen in der Bilanzierungs- und Prüfungs-praxis geführt haben. Hintergrund der Vielzahlneuer Gesetze und Gesetzesvorhaben ist zum einendie Zielsetzung des Gesetzgebers, durch dieSchaffung von Rahmenbedingungen den Finanz-platz Deutschland zu stärken. Darüber hinaus ist dienationale Gesetzesgebung zunehmend durch inter-nationale Einflüsse sowie europäische Vorgabengeprägt.

Dieses Werk befasst sich mit den verabschiedetenund geplanten Reformgesetzen, zu denen z. B. dasBilanzrechtsformgesetz (BilReG), das Bilanz-kontrollgesetz (BilKoG), das Abschlussprüferauf-sichtsgesetz (APAG), das Anlegerschutzverbesse-rungsgesetz (AnSVG) und das Gesetz zur Unterneh-mensintegrität und Modernisierung des An-fechtungsrechts (UMAG) gehören.

In der 2. Auflage erfolgte eine Überarbeitung desWerkes und die Aufnahme der zwischenzeitlich neuerlassenen Gesetze wie beispielsweise das Kapitalan-leger-Musterverfahrensgesetz (KapMuG), das Vor-standsvergütungs-Offenlegungsgesetz (VorstOG)und das Wertpapier-Prospektgesetz (WpPG). Fernerfanden die EU-Transparenzrichtlinie und die 8. EU-Richtlinie sowie die sich daraus ergebenen Um-setzungserfordernisse für das deutsche RechtBerücksichtigung.

Zielsetzung ist es, einen Überblick über die aktuelleinternationale und nationale Rechtsentwicklung imAktien-, Bilanz- und Aufsichtsrecht zu geben.Darüber hinaus werden die mit den Gesetzen ver-bundenen offenen Anwendungs- und Auslegungs-fragen aufgezeigt und Umsetzungshilfen sowie -empfehlungen erteilt. Damit wird es Entscheidungs-trägern ermöglicht, eine normkonforme Umsetzungder gesetzlichen Anforderungen vorzunehmen unddie erforderlichen unternehmerischen Maßnahmenzu ergreifen. ✜


Hintergrund der Vielzahl neuer Gesetzeund Gesetzesvorhaben ist zum einen dieZielsetzung des Gesetzgebers, durch dieSchaffung von Rahmenbedingungen den

Finanzplatz Deutschland zu stärken...


PRev_03_2006.qxp 27.09.2006 11:36 Seite 49

ABO-Bestellung für PRevEin Abo von Revisionspraxis beinhaltet folgende Verlagsdienstleistungen:

• Zusendung von PRev• IBS-Prüfmanual (Beilage in PRev I-III)• Jahrbuch Interne Revision (Beilage in PRev IV)• Zugriffsfreigabe auf umfassende Informationen unter

www.revision-hamburg.de mit allen jeweils erschienenenBeiträgen und Zusatzinformationen, abrufbar und selektierbar

• Zusendung vertiefender Hinweise und Unterlagen zuBeiträgen auf Anfrage

Das Jahresabonnement gilt für 4 Folgeausgaben ab Abo-Bestellung und verlängert sich jeweilsum ein Jahr (d.h. um zusätzlich 4 Ausgabefolgen), wenn nicht gekündigt wird. Kündigung ist mitAblauf des jeweiligen Jahresabo-Termins mindestens einen Monat vorher möglich.

PRev erscheint quartalsweise (jeweils Februar/Mai/August/November)

Kosten für ein Jahresabonnement: € 47,00 (inkl. 7% MwSt).

Bestell-FaxTel. +49 40 69 69 85-14 • Fax +49 40 69 69 85-31

Oder bestellen Sie online unter www.revision-hamburg.de

Hiermit bestelle ich das Journal Revisionspraxis im Jahresabonnement zum nächstmöglichenZeitpunkt. Ein Jahresabonnement (4 Ausgaben) kostet € 47,00 inkl. 7% MwSt. Die Abo-Gebühren zahle ich

❑ nach Rechnungsstellung durch den Verlag.❑ per Bankeinzug. Bitte belasten Sie fällige Beiträge:

Falls ich nicht spätestens 1 Monat vor dem jeweiligen Beginn meines Jahresabonnementskündige, verlängert sich das Abonnement automatisch um ein weiteres Jahr.

Konto-Nr.: _________________________

Bank:_____________________________

Name: ____________________________

Firma: ____________________________

Abteilung: _________________________

Straße: ___________________________

Ort, Datum: _______________________

BLZ:______________________________

Kontoinhaber: ______________________

Vorname: _________________________

Telefon: ___________________________

eMail: ____________________________

PLZ/Ort: __________________________

Unterschrift: _______________________


PRev_03_2006.qxp 27.09.2006 11:36 Seite 50

Documents

PRev 03 2006 - Christoph · PDF fileInterne Revision Prüfen in SAP