Wichtige Komponenten im Berechtigungskonzept
Redesign der SAP® Berechtigungen
In der Praxis stellt sich vor allem das Problem der inhaltlichen Abgrenzung: Das BMF-Schreiben bleibt hier mit der Formulierung »steuerlich relevante Daten« sehr vage. Hinzu kommt die Herausforderung, den Zugriff auf die zu prüfenden Geschäftsjahre einzuschränken.
Sie verwenden die Zentrale Benutzerverwaltung und fragen sich, warum Sie die Lizenzdaten trotzdem einzeln in den angeschlossenen Systemen auswerten müssen. Das muss nicht sein, denn eine zentrale Auswertung ist möglich! Für die Nutzung von SAP-Systemen fallen Lizenzkosten an, und Sie brauchen entsprechende SAP-Lizenzschlüssel. Die Höhe Ihrer Lizenzkosten wird im laufenden Betrieb ermittelt, abhängig von der Anzahl der Benutzer und der genutzten Funktionen der SAP-Software. Dazu dient das Vermessungsprogramm (Transaktion USMM), dessen Ergebnisse Sie an SAP übermitteln. Dabei ist nicht nur die Anzahl der Benutzer relevant, sondern auch deren Klassifizierung, die sogenannten Nutzertypen. Diese ordnen Sie dem Benutzer über die Transaktion SU01 oder die Transaktion SU10 (Registerkarte Lizenzdaten) zu. Alternativ können Sie den Benutzer auch den Nutzertyp eines Referenzbenutzers erben lassen oder ihn über eine zugeordnete Rolle klassifizieren. Dies erfolgt analog, wenn Sie die Zentrale Benutzerverwaltung (ZBV) nutzen. Bisher gab es aber keine zentrale Auswertung der Daten aller an die ZBV angeschlossenen Systeme. Dies hat sich nun geändert, und wir zeigen Ihnen, wie Sie diese Auswertung nutzen können.
Fehlgeschlagene Berechtigungsprüfungen in der Transaktion SU53 zentral einsehen
SAP-Berechtigungen sind nicht ausschließlich ein operatives Thema – sie sind auch wesentlich für Risk-Management und Compliance und stellen eines der maßgeblichen Prüfungsthemen für die interne Revision und die Wirtschaftsprüfer dar. Problematisch sind meistens die unterschiedlichen Regeln, nach denen die Risiken der SAP-Berechtigungen bewertet werden.
Nachdem die funktionale Spezifikation abgenommen worden ist, kann man mit der Umsetzung begingen: Erstellen Sie dafür zuerst Ihr kundeneigenes Berechtigungsobjekt und implementieren Sie die dafür vorgesehene Berechtigungsprüfung. Im nächsten Schritt müssen Sie die Vorschlagswerte in der Transaktion SU24 für die jeweilige kundeneigene Transaktion pflegen. Rufen Sie hierzu Ihre eigens erstellte Transaktion auf, und weisen Sie die notwendigen Berechtigungsobjekte entweder manuell über den Button Objekt zu, oder verwenden Sie den Berechtigungs- oder Systemtrace zur Vergabe der Berechtigungen (siehe Tipp 40, »Den Berechtigungstrace zur Ermittlung von Vorschlagswerten für kundeneigene Berechtigungen verwenden«). Dabei müssen Sie die im kundeneigenen Coding verwendeten Berechtigungsobjekte hinterlegen. Pro Berechtigungsobjekt können Sie Feldwerte pflegen, die als Vorschlagswerte in den jeweiligen Rollen auftauchen. Nun müssen alle betroffenen Rollen angepasst werden. Ist der Abmischmodus für die Transaktion PFCG auf Ein gestellt (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«), werden alle PFCG-Rollen, die der jeweilige Transaktion im Rollenmenü zugewiesen werden, erkannt und können über die Transaktion SUPC neu abgemischt werden. Befindet sich die kundeneigene Transaktion noch nicht in den PFCG-Rollen, wird sie an dieser Stelle ergänzt, und die jeweilige PFCG-Rolle wird neu abgemischt.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Die Funktion weist den Rollen den Abmischmodus zu, was Schritt 2c aus der Transaktion SU25 entspricht (siehe Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Dabei sollte ein entsprechender Berechtigungstest nicht vergessen werden.