Sie benötigen einen Flash Player, um diesen Film sehen zu können.

IT-Revision: Risiken im Berechtigungskonzept

Ausgangslage: Im Rahmen des von der Geschäftsleitung verabschiedeten Prüfungsplans der Konzernrevision eines Mandanten war die Überprüfung der Berechtigungskonzeption in den produktiven ERP-Systemen vorgesehen.


Da es sich bei den zu prüfenden Systemen um eine komplexe, heterogene und auf mehrere, weltweite Standorte verteilte Systemlandschaft handelte, griff der Mandant zur Durchführung der Prüfungshandlungen auf die IT-Revisionsspezialisten aus unserem Netzwerk zurück.

Prüfungsauftrag:

Prüfungsauftrag war die Beurteilung der drei zentralen ERP-Systeme in Deutschland und im internationalen Ausland hinsichtlich der allgemeinen Systemsicherheit, der Ausgestaltung der Verfahren zur Einrichtung, Änderung und Löschung von Benutzern sowie des Berechtigungsumfangs der Systembenutzer unter Funktionstrennungsaspekten.

Die Systeme und Verfahren sollten unter Ordnungsmäßigkeits-, Sicherheits- und Wirtschaftlichkeitsgesichtspunkten untersucht und dabei Maßnahmen zur Risikovermeidung und Optimierungsmöglichkeiten identifiziert werden.

Beschreibung:

In Zusammenarbeit mit unserem Mandanten haben wir zunächst die zu untersuchenden Bereiche festgelegt und notwendige Einschränkungen definiert. Hierzu gehörten unter anderem:

  • Sicherheitsrelevante Parameter sowie System- und Mandanteneinstellungen
  • Rollenkonzeption in einzelnen Modulen wie Finanz- und Rechnungswesen, Controlling, Materialwirtschaft und Vertrieb
  • Kritische Berechtigungsobjekte, -kombinationen, Profile und Systembenutzer
  • Notfallbenutzerkonzeption
  • Berechtigungsvergabeverfahren in der IT und in den Fachbereichen
  • Regelbetriebsaufgaben zur Überwachung und Wartung der ERP-Systeme

Nach der Aufnahme und Beurteilung der Verfahren und Berechtigungskonzeptionen in den Fach- und IT-Bereichen haben wir eine Untersuchung der produktiven Systeme durchgeführt, um die Sicherheit anhand der rechtlichen Rahmenbedingungen sowie allgemein anerkannter Best-Practice-Grundsätzen zu beurteilen. Hierbei wurden neben den Konzernrichtlinien insbesondere die folgenden Standards berücksichtigt:

  • COSO zur Beurteilung der Ausgestaltung der Funktionstrennung in den Fachbereichen
  • COBIT zur Beurteilung der Kontrollen in den IT-Verfahren
  • ISO 27001 zur Beurteilung der sicherheitsrelevanten Einstellungen und Verfahren

Bei unserer Systemanalyse kamen IT-gestützte Hilfsmittel (Tools) zum Einsatz, die die automatisierte Auswertung großer Datenmengen in kurzer Zeit ermöglichen.

Im Rahmen der Prüfung wurden verschiedene, unter Risikoaspekten zum Teil bedeutende, Schwachstellen identifiziert, die durch das Management zeitnah abzustellen sind.

Wir haben für jede einzelne dieser Schwachstellen Maßnahmen zur Behebung vorgeschlagen und mit den verantwortlichen IT-Bereichen abgestimmt.

Ergebnis:

Im Sinne des Prüfungsauftrags wurden erfolgreich sicherheitsrelevante Schwachstellen und deren Ursachen identifiziert. Insbesondere betraf dies die fehlende Einschränkung des Berechtigungsumfangs auf Ebene der Fachbereiche, zu umfassende Rechte der IT- und Projektmitarbeiter in allen Modulen, die mangelhafte Dokumentation der Berechtigungskonzeption sowie Mängel in der Sicherheitskonfiguration, zum Teil mit Auswirkungen auf das Gesamtsystem.

Unsere Prüfungsergebnisse können als Leitfaden für das Management und als Mittel der Fortschritts- und Erfolgskontrolle genutzt werden. Besonders hilfreich war in dieser Prüfung der Einsatz IT-gestützter Tools zur Auswertung der Systeme mit bis zu 6.000 Systembenutzern.