SAP® und Transaktionen – was die Berechtigungsprüfung so schwierig macht… Teil 2

Wir haben uns für das neue Produkt addCube SoDRisk nochmals intensiv mit einem Update der Prüfungslogik befasst. Wichtig ist für Sie als Prüfer, dass – vorausgesetzt Sie entscheiden sich für „Make“ (siehe ersten Artikel dieser Reihe) – ein gutes Verständnis über die Zusammenhänge der einzelnen Transaktionen erhalten.

Profis werden jetzt direkt zum Besten geben, dass eine nur auf Transaktionen beschränkte Sicht viel zu kurz geschossen ist – ja, Sie haben recht, aber lassen Sie uns erst einmal einfach starten, komplex wird es später in dieser Artikelreihe ohnehin. Das Thema Objekte schauen wir uns im späteren Verlauf auch noch an. Alle Analysen beziehen sich auf ein SAP-ERP-System EHP8, also dem voraussichtlich letzten Release vor S/4 HANA.

Wie viele Transaktionen sind denn eigentlich auf der Maschine – die Antwort „zu viele“ ist aus meiner Sicht zu undifferenziert.

Ergo wagen wir einen Blick in die Tabellen TSTC und TSTCT – das Tool überlasse ich Ihnen, so etwas wie SE16/H/N oder SE17 darf es gerne sein:

In der Tabelle TSTC stehen in unserem System 155.159 Transaktionen, die wir noch ein wenig vermindern können:

Bei jeder Form des Downloads und der Analyse schließen wir einen Datensatz aus, der uns immer wieder Schwierigkeiten bereitet. Die SAP hat sich einmal im Namensraum J3G* wunderbar ausgetobt und als Suffix alle möglichen Zeichen der Tastatur verwendet. Dazu zählt auch die Transaktion mit Pipe “J3G|”, die Ihnen in jedem Download die Tabellenstruktur zerschießt, sofern Sie das nicht vorher abfangen.

Um das Thema nochmals revisorisch und damit vollständig zu betrachten, schauen wir doch einmal in das Repository. In der Tabelle TADIR finden Sie einen Katalog der Repository-Objekte, also auch die Transaktionen. Vorsicht – die Tabelle ist eher groß und bevor Ihr Rechner in die Knie geht, sollten wir uns auf das Wesentliche konzentrieren. Grenzen wir einmal die Auswahl bitte wie folgt ein:

Als Ergebnis erhalten Sie:

Wir haben die Daten einmal analysiert, um ggf. Inkonsistenzen ausschließen zu können:

Ergo: An unserem Ergebnis der TSTC-Betrachtung ändert das nichts – wir gehen weiterhin von 155.158 Transaktionen (plus J3G|) aus.

Daneben schließen wir von unserer Analyse einmal die „unternehmenseigenen“ Y- und Z-Transaktionen der Testmaschine aus:

Dies ergibt einen Rest von 153.998… Also bleibt immer noch eine unvorstellbare Menge, welche wir irgendwie klassifizieren müssen. Daher soll der Versuch gestartet werden, die entsprechenden SAP-Module den Transaktionen zuzuordnen.

Zuordnung der Transaktionen in der Applikation

In meinen diversen Seminaren, zum Beispiel bei dem DIIR – Deutsches Institut für Interne Revision e.V., habe ich schon oft gezeigt, wie man für die Fachabteilungen die maximal zur Verfügung stehende Menge in den jeweiligen Modulen mittels des Object Navigator SE84 (wegen Berechtigungen nur auf einer Testmaschine!) ermittelt:

Nach Doppelklick auf Transaktion das Dropdownmenü neben dem Eingabefeld Anwendungskomponente ansteuern:

Und das entsprechende Modul auswählen – Achtung ggf. müssen Sie bei der Übernahme hinter den Datenstrang noch den * als Platzhalter setzen, damit Sie vollständige Informationen erhalten.

Grundfunktionen der Kreditorenbuchhaltung erhalten Sie beispielsweise so:

Damit können Sie jetzt die „Grundgesamtheit“ der verfügbaren Transaktionen in diesem Bereich ermitteln:

Zuordnung der Transaktionen mittels Datenanalyse

Und das Ganze schauen wir uns jetzt einmal technisch an. Die Frage stellt sich, in welcher Tiefe erhalte ich die Informationen über die Anwendungskomponenten – also in meiner Sprache über die SAP-„Teilmodule“.

Betrachten Sie mit mir die Tabelle TDEVCTADIRV (uns interessieren nur das Paket, also die „Entwicklungsklasse“, und das Komponentenkürzel). Diese laden Sie – um die Datenmenge zu begrenzen – wie folgt auf Ihr lokales Laufwerk:

Im Ergebnis erhalten Sie eine zweispaltige, relativ geschmeidige Tabelle mit 28.926 Einträgen, die wir nun an die TADIR anspielen können. Dazu benötigen wir – wie oben dargestellt – die verminderte Datenmenge der TADIR mit insgesamt 153.998 Einträgen. Das sollte alles sogar noch in MS® Excel (ggf. auch mit MS® Excel Power Pivot) machbar sein. Wir haben das gleiche Ergebnis mit MS® Excel erhalten, ich persönlich bin bei der Analyse nur mit Datenbanktools wie MS® SQL (EXPRESS) oder MS® ACCESS deutlich schneller.

Tipp: Sie wissen bestimmt, dass es die EXPRESS Version des SQL-Servers mit 10 GB kostenfrei im Netz gibt – wenn nein, dann sollten Sie einmal einen Download wagen. Ja, und die Diskussion „ich darf im Unternehmen nichts installieren“ kenne ich auch.

Aber zurück zur Analyse – wir aggregieren jetzt die Informationen aus den verschiedenen Tabellen:

Tatsächlich würden wir jetzt bei einer jeweils sauberen 1:n Beziehung der Tabellen erwarten, dass wir wiederum 153.998 Transaktionscodes nachgewiesen bekommen. Aber wieso immer im SAP-Leben – der Teufel steckt im Detail:

Ein Check auf Duplikate weist nach, dass es tatsächlich neun Pakete mit zwei Einträgen in der TDEVCTADIRV gibt. So erklärt sich die abweichende Anzahl der Datensätze – also kurz die Abfrage angepasst und wir erhalten das gewünschte Ergebnis:

Der Clou liegt darin, die Datenmenge zu beschränken und keine Duplikate der anzuzeigenden Informationen zuzulassen. Mit dieser Eingangstabelle anstelle der originalen TDEVCTADIRV erhalten wir dann auch eine „saubere“ 1:n-Verknüpfung mit 153.998 Transaktionen.

Damit Sie das nicht alles mühevoll nachbauen müssen, haben wir von unserem System (natürlich mit der Einschränkung, dass wir die unternehmenseigenen Daten nicht anzeigen können) Ihnen eine MS® Excel-Aufbereitung erstellt.

• Die MS Excel-Datei finden Sie hier (12,7 MiB)

Die einzelnen Tabellen sind in der Datei jeweils gekennzeichnet. Alle Formeln sind bewusst offen, so dass Sie bei Bedarf Ihre eigenen Analysen (inkl. der Y- und Z-Struktur) ergänzen bzw. modifizieren können.

Wie geht es weiter?

In dem nächsten Blogbeitrag werden wir Ihnen zeigen, wie sich die Transaktionen weiter klassifizieren lassen.

Teil 3 – Mengengerüst aus fachlicher Sicht (hier geht es zum Beitrag)

Teil 4 – Pflichtobjekte und Blaupausen (hier geht es zum Beitrag)

Teil 5 – „Tracen“ – den SAP-Berechtigungen auf der Spur (hier geht es zum Beitrag)

Dieser Blogartikel wurde von Mitarbeitern der addKnowledge GmbH erstellt und dient Ihrer allgemeinen Information. Alle Rechte und Pflichten diesbezüglich obliegen der addKnowledge GmbH.

SAP, SAP Logo, R/3, ABAP sind Marken oder eingetragene Marken der SAP® SE und unterliegen daher dem Copyright.