In einem SAP-System ist genau geregelt, wer Finanzdaten verändern darf.

Zumindest auf dem Papier.

Denn mit den Jahren entsteht neben dem SAP-Standard häufig eine zweite Welt:

Eigenentwicklungen.

Individuell gebaut, historisch gewachsen und oft geschäftskritisch.

Wenn Eigenentwicklungen dieselben Daten verändern wie der Standard

Viele dieser Programme greifen direkt in zentrale Geschäftsprozesse ein.

Sie können beispielsweise:

• Belege buchen
• Konten bebuchen
• Finanzdaten verändern
• Stammdaten aktualisieren

Für SAP-Standardtransaktionen gelten dabei klare Berechtigungs- und Kontrollmechanismen.

Bei Eigenentwicklungen sieht das häufig anders aus.

Nicht, weil die Absicherung technisch unmöglich wäre.

Sondern weil nie systematisch geprüft wurde, ob dieselben Regeln dort überhaupt greifen.

Das eigentliche Risiko entsteht im Verborgenen

Die Folge kann kritisch sein:

Ein Programm verändert Finanzdaten, ohne dass zuverlässig geprüft wird, ob der ausführende Benutzer dazu berechtigt ist.

Und je älter die Systemlandschaft wird, desto häufiger stellt sich eine weitere Frage:

Welche dieser Programme existieren überhaupt noch – und worauf können sie zugreifen?

Genau diese Transparenz fehlt in vielen gewachsenen SAP-Systemen.

Warum das auch für Wirtschaftsprüfer relevant ist

Das Thema betrifft nicht nur die IT.

Es betrifft ebenso:

• Governance
• Compliance
• interne Kontrollen
• Wirtschaftsprüfungen

Denn Prüfer erwarten heute, dass Kontrollmechanismen nicht nur für den SAP-Standard gelten.

Sie müssen auch für Eigenentwicklungen nachvollziehbar sein.

Genau darauf zielen Prüfungsstandards wie ISA 315 ab.

Risiken entschärfen, bevor Fragen entstehen

Die gute Nachricht:

Solche Risiken lassen sich identifizieren.

Sobald sichtbar wird,

• welche Programme Finanzdaten verändern können
• welche Berechtigungsprüfungen fehlen
• welche Eigenentwicklungen besonders kritisch sind

entsteht eine belastbare Grundlage für Governance und Risikomanagement.

Und idealerweise passiert das, bevor interne oder externe Prüfer die Fragen stellen.

Eigenentwicklungen brauchen dieselbe Kontrolle wie der Standard

Wer SAP-Systeme sicher betreiben will, sollte nicht nur die Standardtransaktionen betrachten.

Die gleiche Transparenz und Kontrolle muss auch für Eigenentwicklungen gelten.

Denn Risiken entstehen selten dort, wo jeder hinschaut.

Sondern dort, wo über Jahre niemand mehr hingeschaut hat.

Decision Intelligence für Governance und Sicherheit

Genau dafür braucht es eine Ebene zwischen Systemrealität und Entscheidung.

Eine Ebene, die sichtbar macht:

• welche Programme tatsächlich existieren
• welche Daten sie verändern können
• welche Risiken daraus entstehen

Wir nennen diese Ebene den Decision Intelligence Layer.

Unabhängig.
Read-only.
Ohne Implementierungsinteresse.
Ohne Lizenzinteresse.

Klarsicht statt Blindflug.

👉 Wissen Sie heute sicher, welche Eigenentwicklungen in Ihrem SAP-System Finanzdaten verändern können? Wenn nicht, lohnt sich ein genauer Blick – bevor der Prüfer danach fragt.