SAP R/3 stellt ein integriertes, komplexes an die Anforderungen der Anwender anpassbares System dar. Risiken bestehen insbesondere durch die

• fehlende Beherrschung der sachgerechten Einrichtung der Parameter und damit Verstoß gegen Ordnungsmäßigkeits- und Sicherheitserfordernisse
• nicht angemessene Ausrichtung des Berechtigungskonzepts an den Erfordernissen der zu unterstützenden Prozesse (was eine effektive Abbildung des Internen Kontrollsystems im SAP System wesentlich erschwert bzw. gewonnene Effizienzgewinne durch den Einsatz von SAP wieder zunichte macht)
• fehlende Beherrschung der notwendigen Kontrollmaßnahmen (z.B. zur Sicherung der Konsistenz der Daten, Sicherung der  Vollständigkeit des Buchungsstoffes)
• unzulässige Nutzung des Systems (Dolose Handlungen)

Nachfolgend sind exemplarisch Beispiele für die im Rahmen des Quick-Checks durchzuführenden Arbeiten dargestellt:

sachgerechte Einrichtung

• Sind die automatischen Kontenfindungen konsistent hinterlegt?
• Sind die notwendigen Protokollierungen vor dem Hintergrund von Betriebsprüfungen eingeschaltet?
• Sind die Buchungskreise vor dem einfachen Löschen geschützt?
• Sind die CpD-Konten ausreichend gegen Missbrauch geschützt?
  

notwendige Kontrollmaßnahmen

• Werden die technischen Abstimmmöglichkeiten zwischen Hauptbuch und Debitoren und Kreditoren angemessen genutzt,  um Dateninkonsistenzen unverzüglich zu erkennen?
• Werden die technischen Abstimmmöglichkeiten zwischen Hauptbuch und Materialwirtschaft angemessen genutzt, um Dateninkonsistenzen unverzüglich zu erkennen?
• Werden die Schnittstellen (Batch-Input-Mappen) zur Sicherung der vollständigen und zeitgerechten Buchung angemessen überwacht?

Dolose Handlungen

• Werden CpD-Konten angemessen genutzt?
• Sind Inplausibiltäten in den Belegen (z.B. unplausibler Beleg-/Erfassungsdatum)?
• Weisen die Bankverbindungen der Kreditoren Auffälligkeiten auf (z.B. Mitarbeiterkonten)?
• Wurden Bankverbindungen unberechtigt geändert?
  Sind in den zahlungswirksamen Belegen kritische Vorgänge (Benford Law Analyse)?
• Ist die elektronische Zahlungsabwicklung (inkl. Zahlungsverkehrsprogramm, z.B. Mulitcash) sicher konfiguriert?