Waarom zijn General IT Controls (GITC) belangrijk?
General IT Controls (GITC) vormen de basis voor een betrouwbare IT-omgeving en zijn essentieel voor een effectieve audit. Ze zorgen ervoor dat SAP-systemen correct functioneren, gegevensintegriteit gewaarborgd blijft en ongeautoriseerde toegang en wijzigingen worden voorkomen.
Belangrijke componenten van GITC in SAP
Bij iedere IT-audit voor de jaarrekeningcontrole zijn er drie hoofdgebieden:: Access Management, Autorisatiebeheer en Change Management.
Access Management
Een goed beheer van gebruikers en hun toegang tot SAP is cruciaal. Onbeheerde accounts en ongeautoriseerde toegang kunnen leiden tot gegevenslekken of fraude.
SAP biedt verschillende tools en rapportages om toegang te beheren en te auditen. Transacties (t-codes) als SU01 en SU10 worden gebruikt voor gebruikersbeheer. Voor een overzicht van gebruikers en hun autorisaties wordt SUIM gebruikt. Daarmee kun je de gebruikerslijst opvragen. Daarnaast kunnen tabellen zoals AGR_USERS en AGR_1251 via SE16N geëxporteerd worden naar Excel.
Stappen om gebruikers(rollen) te exporteren:
- Open transactie SUIM.
- Ga naar "Users by Complex Selection Criteria".
- Voer relevante filters in (bijv. specifieke gebruikersgroep).
- Klik op uitvoer en exporteer de resultaten naar Excel of CSV.
Daarnaast zijn er standaard SAP-gebruikers zoals SAP* en DDIC, die vaak brede rechten hebben en in een audit beoordeeld moeten worden. SAP* is een standaard superuser-account met uitgebreide systeemrechten (en een default wachtwoord), terwijl DDIC wordt gebruikt voor systeembeheer en updates. Beide accounts moeten streng worden gecontroleerd om ongeautoriseerd gebruik te voorkomen. SAP zelf raadt zelfs aan om deze gebruikers te deactiveren en een eigen Superuser aan te maken.
Autorisatiebeheer
SAP maakt gebruik van een autorisatiemodel dat bepaalt welke gebruikers welke transacties en data mogen inzien en wijzigen. Dit model is vaak complex en vereist periodieke controles.
Een auditor kan met SUIM en AGR_* tabellen onderzoeken welke autorisaties gebruikers hebben.
In het overzicht hieronder vind je een aantal belangrijke transacties voor gebruikersbeheer en autorisaties. Per rol of gebruiker kan worden ingesteld of ze deze transactie kunnen uitvoeren.
| Functie | SAP Transactie | Beschrijving |
|---|---|---|
| Gebruikersbeheer | SU01, SU10 | Beheer van gebruikersaccounts |
| Rollen en autorisaties | PFCG | Aanmaken en beheren van rollen |
| Autorisatieprofielen | SU02 | Onderhoud van autorisatieprofielen |
| Autorisatie-objecten | SU03 | Onderhoud van autorisatie-objecten |
Daarnaast zijn er standaardrollen zoals SAP_ALL en SAP_NEW, die onbeperkte toegang geven en in productiesystemen zoveel mogelijk vermeden moeten worden.
Zowel deze standaardrollen als toegang tot de T-codes, kun je ophalen via SUIM.
Daarnaast kunnen er ook rollen zelf worden aangemaakt. Of dit tijdens een periode gebeurd is, kun je wederom achterhalen met SUIM:
- Open transactie SUIM.
- Ga naar "Roles by Complex Selection Criteria".
- Voer filters in zoals aanmaakdatum of aangemaakt door een specifieke gebruiker.
- Klik op uitvoer om een overzicht te krijgen van recent aangemaakte rollen.
- Exporteer de lijst indien nodig naar Excel voor verdere analyse.
Change Management
Wijzigingen in een SAP-systeem moeten zorgvuldig worden beheerd om ongecontroleerde wijzigingen en fouten in productieomgevingen te voorkomen. Dit gebeurt doorgaans via transportbeheer en formele wijzigingsverzoeken.
| Change Management Aspect | SAP Transactie | Hoe te exporteren? |
|---|---|---|
| Transportbeheer | SE09, SE10 | Exporteren via SAP GUI |
| Wijzigingslogs | SCU3 | Export naar Excel of CSV |
| Tabelstructuur wijzigingen | SE11 | Loggegevens bekijken en exporteren |
Hoe kun je achterhalen wie wat heeft gewijzigd in SE09 en SE10?
- Open transactie SE09 of SE10.
- Voer een datumperiode in en selecteer de relevante transporten.
- Controleer de transportdetails en de verantwoordelijke gebruiker.
- Exporteer de transportgeschiedenis indien nodig naar Excel.
Hoe kun je zien wanneer en door wie een tabel of structuur is gewijzigd in SE11?
- Open transactie SE11.
- Voer de naam van de tabel of structuur in en klik op "Display".
- Klik op "Technical Settings" of "Utilities" → "Table History".
- Controleer de wijzigingslogs en de verantwoordelijke gebruiker.
Conclusie
Goed, dat was een korte introductie in de GITC voor SAP. Het maakt daarbij overigens niet heel veel uit over de organisatie SAP S/4HANA of SAP ECC gebruikt; alle bovenstaande informatie zou moeten gelden voor beide systemen.
