Für die Prüfung der Durchführung von Kontrollen im Benutzerautorisierungs- oder Änderungsmanagementprozess über einen definierten Prüfungszeitraum werden i.d.R. Stichproben, abhängig von der Anzahl der Änderungen im zu prüfenden Zeitraum (Grundgesamtheit) ausgewählt und für die die Einhaltung der Kontrollen überprüft. Kontrollen im Änderungsmanagementprozess sind i.d.R. die Beantragung, der Test und die Freigabe von Programmänderungen vor Übernahme in die Produktion unter Beachtung der Funktionstrennung. Kontrollen im Benutzerautorisierungprozess sind i.d.R. die Beantragung, Freigabe und Einrichtung von Benutzern und Berechtigungen unter Beachtung der Funktionstrennung zwischen IT und Fachbereich.

Die nachfolgende Anleitung soll veranschaulichen, wie Sie die Grundgesamtheit im SAP System durch Aufruf der Tabellen im SAP-System ermitteln und für die Erstellung einer Stichprobe exportieren.

 

Schritt 1

Transaktion SE16 aufrufen und nach Tabelle E070 suchen. Als Einschränkung die Daten des Prüfzeitraums unter „Datum“ eingeben. Relevant sind Programm- und Customizing-Änderungen im Prüfungszeitraum (Typ W und K) mit dem Status Freigegeben (R).

sap1

 

Schritt 2 (optional)

Nachfolgend wird der optionale Export der Tabelle TPALOG erläutert, um alle Informationen zu einem Transport zu erhalten.

Die Transaktion SE16 aufrufen und nach der Tabelle TPALOG suchen. Dort den Zeitstempel 20140101000000 bis 20141231235959 unter „Timestamp“ eingeben.
Über die Funktion SVERWEIS können die Tabellen TPALOG und E070 über die Transportnummer miteinander verknüpft werden, um eine vollständige Datensicht zu erhalten.

sap2

Schritt 3

Die Transaktion SA38 aufrufen und nach dem Report RSUSR100 suchen. Das Datum unter „von Datum“ und „bis Datum“ auf den Prüfzeitraum einschränken. Wichtig ist es, darauf zu achten, dass die Selektionsbedingungen für den Benutzerstatus richtig gesetzt sind. Es besteht z.B. die Möglichkeit nur Dialogbenutzer oder nicht gesperrte Benutzer anzeigen zu lassen. Diese Gruppen können auch in MS Excel über die Filterfunktion selektiert werden. Daher empfehlen wir die Liste ohne alle Einschränkungen aus dem SAP zu selektieren, um die Daten möglichst vollständig zu extrahieren und uneingeschränkt auswerten zu können.

sap3

Die Ergebnisse werden mit der Tastenkombination „Shift+F8“ oder über die Menüleiste in eine unkonvertierte Textdatei exportiert und nachfolgend in Excel formatiert und aufbereitet.


Wichtig ist dabei, dass jede Änderung an einem Benutzerkonto aufgezeichnet wird. Das bedeutet, dass bei der Zuweisung von mehreren Berechtigungen, dem Zurücksetzen des Passworts etc. jeweils ein Eintrag in der Tabelle erzeugt wird. Um für eine Stichprobenauswahl Mehrfachselektionen einer Änderung zu verhindern, empfiehlt es sich, über Duplikate über das Datum und den Benutzernamen vor Auswahl der Stichprobe zu entfernen.