SAP-Audit-Vorbereitung: Checkliste für eine erfolgreiche Prüfung

Ein SAP-Audit steht an – für viele IT-Teams ein Grund zur Nervosität. Das muss nicht sein: Mit systematischer Vorbereitung und guter Dokumentation wird die Prüfung zur Routine statt zum Stressfaktor. Dieser Artikel liefert eine praxiserprobte Checkliste für die Audit-Vorbereitung.

Audit-Typen und Prüfungsumfang

Verstehen Sie zunächst, welcher Audit-Typ ansteht: Interne Revision prüft die Einhaltung interner Richtlinien. Wirtschaftsprüfer fokussieren auf Jahresabschluss-relevante IT-Kontrollen (SOX/ITGC). ISO-27001-Auditoren bewerten das Informationssicherheits-Managementsystem. BSI-Grundschutz-Audits prüfen die Umsetzung technischer Maßnahmen. Klären Sie den Prüfungsumfang (Scope) frühzeitig mit den Auditoren – so können Sie die Vorbereitung gezielt ausrichten.

Typische Prüfungsfelder im SAP-Audit

Unabhängig vom Audit-Typ werden folgende Bereiche nahezu immer geprüft:

• Zugriffsverwaltung: Benutzer-Lifecycle (Anlage, Änderung, Sperre), Rezertifizierung, SoD-Konflikte, privilegierte Zugriffe
• Change Management: Transportwesen, Vier-Augen-Prinzip, Notfalländerungen, Dokumentation
• IT-Betrieb: Patch-Management, Backup & Recovery, Monitoring, Incident Management
• Datenschutz: Zugriff auf personenbezogene Daten, Löschkonzept, Protokollierung

Pre-Audit Self-Assessment

Führen Sie 6–8 Wochen vor dem Audit ein Self-Assessment durch: Prüfen Sie alle Kontrollen gegen die erwarteten Anforderungen. Identifizieren Sie Schwächen und beheben Sie diese vor dem Audit. Stellen Sie sicher, dass alle Nachweise verfügbar und aktuell sind. Testen Sie kritische Prozesse (z.B. Notfallbenutzer-Freischaltung, Transport-Workflow) einmal durch. Das Self-Assessment ist Ihre Chance, Findings zu vermeiden, bevor der Auditor sie findet.

Nachweise sammeln und aufbereiten

Auditoren bewerten anhand von Nachweisen (Evidence). Bereiten Sie folgende Dokumente vor: Benutzer-Listen mit Rollen und letztem Anmeldedatum (SUIM-Berichte), SoD-Analyse-Ergebnisse mit Risikobewertung und Maßnahmen, Transport-Logs mit Change-Ticket-Zuordnung, Patch-Status-Übersicht (installierte Security Notes, offene Notes mit Begründung), Backup-Protokolle und Recovery-Testberichte, Notfallbenutzer-Nutzungsprotokolle mit Controller-Bestätigung und Richtlinien-Dokumente (Berechtigungskonzept, Notfallkonzept, Patch-Policy). Präsentieren Sie Nachweise strukturiert – ein gut vorbereiteter Audit-Ordner spart allen Beteiligten Zeit.

Häufige Findings vermeiden

Die Top-5-Findings in SAP-Audits:

• Benutzer mit SAP_ALL oder äquivalenten Berechtigungen im Produktivsystem: Entfernen Sie diese vor dem Audit oder dokumentieren Sie die Begründung und kompensierende Kontrollen
• Fehlende Funktionstrennung: Dokumentieren Sie alle bekannten SoD-Konflikte mit Risikobewertung und Maßnahmen
• Entwicklerzugriff auf das Produktivsystem: Debugging-Berechtigungen und Direkteingriffe müssen dokumentiert und begründet sein
• Fehlende oder unvollständige Dokumentation: Auditoren können nur bewerten, was dokumentiert ist
• Nicht zeitnah eingespielter Security Notes: Zeigen Sie einen aktiven Patch-Prozess mit Priorisierung

Während des Audits

Benennen Sie einen Single Point of Contact für den Auditor. Beantworten Sie Fragen präzise und vollständig – aber freiwillig keine zusätzlichen Problembereiche aufdecken. Liefern Sie angeforderte Nachweise zeitnah. Dokumentieren Sie alle Gespräche und Anforderungen. Bei unklaren Fragen bitten Sie um Präzisierung statt zu spekulieren.

Fazit

Die beste Audit-Vorbereitung ist ein gut funktionierender IT-Betrieb mit sauberer Dokumentation. Wenn Sie die hier beschriebenen Punkte kontinuierlich umsetzen, wird jedes Audit zur Routine. Beginnen Sie frühzeitig mit der Vorbereitung und nutzen Sie das Self-Assessment als Qualitätscheck.

Jetzt anfragen →

Weitere Artikel

Brauchen Sie Unterstützung bei diesem Thema?

Wir helfen Ihnen bei der Umsetzung – von der Analyse bis zum Go-Live.

Jetzt anfragen

← Alle Artikel