Wie erledigt man die S/4HANA-Transformation so, dass sie revisionssicher ist? Reicht es, wenn man sich an SAP Activate hält — oder sollte man doch besser eine projektbegleitende Prüfung nach IDW PS 850 einplanen?
Die Wirtschaftsprüfer Christina Köhler und Heiko Jacob (beide Deloitte) erläutern in ihrem Gastbeitrag, worauf Prüfer und IT-Revisoren bei S/4HANA-Umstellungen achten, um sicherzustellen, dass Daten vollständig migriert wurden und Prozesse weiterhin ordnungsgemäß funktionieren. Ferner gehen sie auf Chancen bei der Nutzung von Process Mining ein.
Verlässlichkeit bei der S/4HANA-Umstellung
Die Umstellung auf SAP S/4HANA muss bis 2027, mit Verlängerung spätestens 2030 erfolgt sein. Das gilt nicht nur für eigentliche Umstellung von ECC auf SAP S/4HANA, auch Prozesse, Kontrollen und Daten müssen bis dahin migriert werden. Dabei muss sichergestellt sein, dass die Verlässlichkeit der Rechnungslegung gewährt bleibt. Wir erläutern, wie eine projektbegleitende Prüfung helfen kann, Risiken im Blick zu behalten und die Transformation zum Erfolg zu führen.
Im deutschsprachigen Raum basiert die projektbegleitende Prüfung beim Einsatz von Informationstechnologie in der Regel auf dem IDW-Prüfungsstandard „Projektbegleitende Prüfung bei Einsatz von Informationstechnologie [IDW PS 850 n.F. (01.2022)]“. Die agile, projektbegleitende Prüfung ermöglicht es einem Prüfer, schnellzeitig auf potenzielle Risiken im Prozess hinzuweisen, Gegenmaßnahmen einzuleiten und somit die Ordnungsmäßigkeit in Bezug auf die Finanzberichterstattung sicherzustellen.
Die dort beschriebenen Phasen und Prüfaktivitäten sollen die Verlässlichkeit des internen Kontrollsystems (IKS) während der Transformation nach SAP S/4HANA sicherstellen – inklusive der Frage, ob die Daten vollständig und korrekt migriert wurden. Die acht Phasen des IDW PS 950 sind im Folgenden dargestellt:
Dabei laufen die Phasen nicht unbedingt linear ab, sondern parallel und durchaus mehrfach: so gibt es für die Datenmigration regelmäßige Testzyklen und das Projektmanagement wird über alle Projektphasen hinweg regelmäßig überarbeitet und aktualisiert.
SAP Activate zur projektbegleitenden Prüfung?
Die SAP-Activate Methode wiederum, die von vielen Unternehmen verwendet wird, bietet einen Leitfaden für die Implementierung von SAP S/4HANA. SAP Activate deckt die gesamte Projektlaufzeit der SAP S/4HANA Einführung ab, vom „Kennenlernen“ der SAP S/4HANA Lösung in der Discovery Phase und dem initialen Festlegen des Funktionsumfangs bis hin zum Go-Live und dem operativen Geschäftsbetrieb. Anders gesagt: Sowohl SAP Activate als auch die Verwendung des IDW 850 n.F. können gleichermaßen verwendet werden. Die acht Phasen des IDW 850 n.F. können sogar gut auf die sechs Projektphasen von SAP Activate projiziert werden:
Die 8 Phasen des IDW 850 n.F. gliedern sich in die folgenden Betrachtungsbereiche auf, die entsprechend geprüft und bewertet werden:
Beurteilung des Projektmanagements
Über alle Projektphasen hinweg findet eine Beurteilung des Projektmanagements durch den Jahresabschlussprüfer statt. Das Ziel ist es kontinuierlich zu bewerten, ob der Kunde
- das Projekt angemessen und phasenorientiert steuert und abwickelt,
- ein entsprechendes Projektcontrolling vorgesehen hat
- eine sachgerechte Einbindung des Managements (Verantwortlichkeiten, Kompetenzen) und der Projektbeteiligten (Projektleiter- und -team) umgesetzt hat,
- die projektbezogenen Kommunikations- und Dokumentationsverfahren eingehalten und die dabei anzuwendenden Werkzeuge (z.B. Projektmanagementprogramme) eingesetzt hat,
- ein angemessenes, temporäres IKS definiert und implementiert hat, um einen sicheren, verlässlichen und funktionierenden Systembetrieb zum Go-Live in SAP S/4HANA sicherzustellen.
Prüfung in Planungs- und Definitionsphase
In der Planungsphase wird die Projektorganisation und -planung geprüft und bewertet. Die Prüfungsschwerpunkte liegen hierbei insbesondere auf der Angemessenheit in Bezug auf die Definition von Rollen und Verantwortlichkeiten im Projekt, der Überwachung und Dokumentation definierter Meilensteine, der Einbeziehung und Bewertung von Projektrisiken sowie dem Umgang mit den Risiken als auch der geplanten Archivierung der Altdaten.
Zudem bewertet der projektbegleitende Prüfer das Pflichtenheft, ob
- die definierten Anforderungen aus den einzelnen Fachbereichen bzw. der Geschäftsprozessanalyse berücksichtigt worden sind,
- die notwendigen Kontrollen, organisatorischen Sicherungsmaßnahmen und Abstimmungsmöglichkeiten vorgesehen sind,
- eine ordnungsgemäße Verfahrensdokumentation vorgesehen ist, welche die Nachvollzieh- barkeit des Buchführungsverfahrens sicherstellt, und
- die Beachtung der gesetzlichen Anforderungen gegeben ist.
Prüfung in Analysephase
Die Aktivitäten in der Analysephase umfassen die Auswahl und Beschaffung der zu implementieren- den Software. Der projektbegleitende Prüfer bewertet hierbei insbesondere
- die Vorgehensweise für die Auswahlentscheidung
- die Beachtung von Ordnungsmäßigkeits-, Sicherheits- und Kontrollanforderungen
- die Einhaltung der Verantwortlichkeiten und Kompetenzen und
- die Einhaltung der Berichts- und Dokumentationsanweisungen.
Prüfung in Design-, Customizing- und Testphase
Die Design-, Customizing- und Testphase beinhaltet die Aufnahme und Prüfung
- der Konzepte (bspw. Schnittstellenkonzept, Berechtigungskonzept und Parametrisierungs- bzw. Customizingkonzept) zur Anpassung der Geschäftsprozesse und des IT-Kontrollsystems &
- der Testszenarien und -ergebnisse durch die beteiligten Fachbereiche.
Die Konzepte zur Anpassung der Geschäftsprozesse sollten angemessene Regelungen vorsehen, alle relevanten Stakeholder einbinden und das Interne Kontrollsystem des Kunden berücksichtigen.
In der Testphase ist die Nachvollziehbarkeit der Konzeption und Testfälle und deren Ergebnisse von wesentlicher Bedeutung für die Prüfung. Zudem wird bspw. bewertet, ob eine Teststrategie erstellt wurde, ob die Teststrategie alle relevanten Testszenarien abdeckt und ob alle Zuständigkeiten und Testfortschritte nachvollziehbar hinterlegt wurden. Während der Testdurchführung identifizierte Fehler sollten vom Tester behoben und dies ausführlich dokumentiert werden. Abschließend sollte die Umsetzungs- und Testphase vom Management als Basis für die Go-Live-Entscheidung abgenommen werden.
Prüfung der Datenmigrationsphase
In der Datenmigrationsphase findet die Prüfung der Datenselektion, -aufbereitung, -migration und – validierung statt. Prüfungsschwerpunkte sind in der Regel die Aufnahme und Beurteilung von definierten Konzepten, bspw. dem Migrationskonzept, sowie den Prozessen zur Datenmigration – ein- schließlich der Datenbereinigung und genutzter Tools. Ein besonderes Augenmerkt liegt auf der Nachvollziehbarkeit, fachlichen Richtigkeit und technischen Funktionsfähigkeit der Datenmigration. Die Validierung wird durch den Einsatz diverser Tools erleichtert. Beispielsweise können Daten aus dem Altsystem extrahiert und mit dem Zielsystem abgeglichen werden. Abweichungen können auf Feldebene dargestellt und darüber hinaus in einem Dashboard für das Management aggregiert und visualisiert werden.
Prüfung der Produktivsetzungsphase
In der Produktivsetzungsphase erfolgt die Aufnahme und Prüfung der Kriterien für das Go-Live, die finalen Testfälle in SAP S/4HANA, bei Bedarf die Dekommissionierung des Altsystems und die Projektabnahme durch das Management.
Um hinreichende Prüfsicherheit zu gewinnen, hat der projektbegleitende Prüfer zu beurteilen, ob
- die Voraussetzungen für eine Produktivsetzung vorliegen,
- die notwendigen Anpassungen des IT-Kontrollsystems (unter Berücksichtigung von bspw. Organisationsrichtlinien) durchgeführt wurden,
- eine Abnahmeerklärung vorliegt die bestätigt, dass aus Sicht der Fachbereiche die fachlichen, gesetzlichen & Sicherheitsanforderungen erfüllt sind,
- geeignete Qualitätssicherungsmaßnahmen getroffen und Tests durchgeführt worden sind.
Nutzung von Process Mining Tools für die Prüfung
Durch Process Mining Tools können Unternehmen Risiken während der Transformation entgegenwirken und die Unternehmensprozesse langfristig optimieren.
Prozesse und Kontrollen sollten schon während der Transformation implementiert werden. So können während der Laufzeit des Projektes Risiken, welche die Transformation potenziell erschweren, adressiert oder sogar verhindert werden.
Beispiele für solche Risiken sind:
- Nichteinhaltung gesetzlicher Regelungen
- Ungenaue Abschlüsse, die zu einem Vertrauensverlust der Stakeholder führen
- Fristendruck
- Mangel an Ressourcen
- Komplexe Strukturen und Prozesse sowie neue Systemfunktionalitäten im Zielsystem
- Kein ordnungsgemäßer Systembetrieb
- Einhaltung von Datenschutzanforderungen
Zusätzlich unterstützen Process Mining Tools die Zusammenarbeit mit dem Wirtschaftsprüfer, da Prozesse besser visualisiert und koordiniert werden können, wie hier exemplarisch dargestellt:
Mithilfe des Tools kann so nicht nur die Interaktion zwischen Prüfer und geprüftem Unternehmen abgebildet werden, ebenso können Prüfungsrisiken während der Transformation und die damit verbundenen Kontrollen dargestellt werden und die erforderlichen Dokumente pro Prüfungsphase abgestimmt werden.
Fazit der Wirtschaftsprüfer
Für eine erfolgreiche Transformation von SAP ECC zu SAP S/4HANA ist eine projektbegleitende Prüfung nach IDW PS 850 also nicht nur hilfreich, es kann auch der Grundstein für eine Überarbeitung und Verschlankung der Prozesse gelegt werden, und mögliche Risiken können schon während der Projektphase identifiziert und mitigiert werden.
Heiko Jacob (Partner Risk Advisory | Deloitte GmbH WpG) ist Leiter der „IT & Specialized Assurance“ Abteilung und verfügt über mehr als 20 Jahre Erfahrung im Bereich der IT-Revision und IT-Beratung, sowohl in der Industrie als auch bei Finanzdienstleistern.
Christina Köhler ( Senior Manager Risk Advisory | Deloitte GmbH WpG) ist Mitglied der „IT & Specialized Assurance“ Abteilung und verfügt über mehr als 5 Jahre Erfahrung im Bereich der IT-Revision und IT-Beratung, sowohl in der Industrie als auch bei Finanzdienstleistern.