SAP Berechtigungstrace – Einfache Übersicht über Berechtigungen
Benutzerstammdaten
Wenn Sie Referenzbenutzer verwenden möchten und Sie das Benutzermenü nutzen, sollten Sie zusätzlich dafür sorgen, dass die Anwender auch die den Referenzbenutzern zugeordneten Rollenmenüs sehen. Spielen Sie dafür die Korrekturen im SAP Hinweis 1947910 ein. Sie beinhalten zwei Schalter für das Customizing in der Tabelle SSM_CUST.
Das Berechtigungskonzept in SAP ERP ermöglicht es normalerweise nicht, Berechtigungen auf einzelne Geschäftsjahre einzugrenzen. Dies ist aber insbesondere bei Steuerprüfungen relevant. Zum 1. Januar 2002 wurde in Deutschland die elektronische Steuerprüfung gesetzlich im § 147 (6) Abgabenordnung verankert. Die Auffassung der Finanzverwaltung dazu ist im BMF-Schreiben vom 16.07.2001 (BStBl. 2001 I) »Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen« (GDPdU) niedergelegt. Die elektronische Steuerprüfung kann in Deutschland auf drei Zugriffsarten erfolgen: Unmittelbarer Zugriff: Die Finanzbehörde hat das Recht, Einsicht in die gespeicherten Daten zu nehmen (Nur-Lesezugriff) und die Hard- und Software des Steuerpflichtigen zur Prüfung der Daten einschließlich der Stammdaten und Verknüpfungen zu nutzen. Mittelbarer Zugriff: Die Finanzbehörde kann vom Steuerpflichtigen verlangen, dass er die Daten nach ihren Vorgaben maschinell auswertet, um den Nur-Lesezugriff durchführen zu können. Datenträgerüberlassung: Alternativ kann die Finanzverwaltung vom Steuerpflichtigen verlangen, dass ihr die gespeicherten Unterlagen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden.
Kundenspezifische Berechtigungen einsetzen
Die voreingestellten Berechtigungsrollen des neuen SAP-Systems für die Konsolidierung und Planung, SAP Group Reporting,sind in der folgenden Grafik dargestellt. Hierbei ist es nicht entscheidend, ob der Zugriff auf das System über den Browser (Fiori Launchpad) oder über den lokalen Zugang (SAP GUI) erfolgt. Die in der Grafik dargestellten Berechtigungsrollen zeigen lediglich die durch SAP voreingestellten technischen Spezifikationen. Allerdings können diese als Aufsatzpunkt genutzt und nach der Erstellung einer Kopie entsprechend angepasst werden.
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Eben diesen Zugriff sicher zu verwalten und zu jederzeit auskunftspflichtig zu sein, wer wann in welcher Art und Weise Zugriff auf die Daten hat, ist essentiell - nicht nur um des lieben Wirtschaftsprüfers Willen.
Mit der Kenntnis der Favoriten können Sie daher Lücken in Ihrem Berechtigungskonzept vermeiden.