Projektbegleitende Qualitätssicherung zur SAP-Einführung bei einem mittelständischen Unternehmen im Bereich der Industrietechnik

Um etwaige Schwachstellen, Risiken oder Verstöße gegen gesetzliche oder andere Vorschriften frühzeitig zu erkennen und beseitigen zu können, führten wir unsere Tätigkeit projektbegleitend durch. Wir haben die prüferische Begleitung in einzelne Phasen unterteilt, die sich am Projektverlauf orientieren. Für jede einzelne Projektphase haben wir bestimmte Themenschwerpunkte definiert:

1. Review Projektmanagement

Aufnahme der allgemeinen Projektregelungen und Verfahren zur Planung, Kontrolle und Steuerung des Projektbetriebs. In diesem Zusammenhang untersuchen wir, inwieweit Vorkehrungen dafür getroffen wurden, die sicherstellen, dass

• für die einzelnen Projektphasen Detail-, Ressourcen- und Terminplanungen existieren, laufend überwacht und ggf. an die tatsächlichen Projektgegebenheiten angepasst werden,
• eine effektive Berichterstattung sowie Methoden zur Projektsteuerung implementiert sind und zielgerichtet angewendet werden,
• Projekt- und Dokumentationsstandards eingehalten werden und ein Abnahmeprozess installiert ist,
• eine ordnungsgemäße Ablage von Projektdokumentationen existiert, eine Versionsführung gegeben ist und Dokumente vor unberechtigtem Zugriff geschützt sind.

2. Konzeptreview

In dieser Phase prüfen wir die wesentlichen im Projekt dokumentierten Anforderungen bezüglich der für die Rechnungslegung relevanten Geschäftsprozesse und Arbeitsabläufe anhand der Fachdesigns (Business Blueprints) und Sollprozesse auf die Erfüllung der Ordnungsmäßigkeits- und Sicherheitsanforderungen. Dabei stehen folgende Fragestellungen im Vordergrund:

• Wurden alle wesentlichen Geschäftsprozesse identifiziert, die vom Projekt betroffen sind?
• Sind die Unterlagen vollständig und Ausführungen nachvollziehbar?
• Wurden Abhängigkeiten zwischen einzelnen Prozessen und  Subprozessen berücksichtigt?
• Sind Anforderungen an wesentliche Kontrollen im Geschäftsprozess und für die IT-Anwendungen beschrieben?
• Sind Anforderungen an die zukünftige Datenstruktur und an Schnittstellen mit anderen IT-Anwendungen definiert?

3. Umsetzungsreview

Wir überprüfen in dieser Phase, ob die in der Konzeptphase definierten Anforderungen bei der Erstellung der entsprechenden Feinkonzepte vollständig und angemessen berücksichtigt worden sind. Darüber prüfen wir, ob die Ordnungsmäßigkeits- und Sicherheitsanforderungen beim Zugriffschutz, den Schnittstellen zu vor- oder nachgelagerten Systemen sowie bei der geplanten Migration von Altdaten eingehalten werden. Folgende Fragestellungen sowie Prüfungsbereiche stehen hier im Vordergrund:

• Sind die Anforderungen aus der Konzeptphase umgesetzt worden? Wenn nicht, liegen plausible Begründungen vor?
• Sind Beschreibungen in den Konzepten zur Datenmigration vollständig und nachvollziehbar und kann die Ordnungsmäßigkeit der Migration von Altdaten sichergestellt werden?
• Sind das vorgesehene Berechtigungskonzepts und die geplanten Verfahren zur Benutzerverwaltung geeignet für einen wirksamen Zugriffsschutz zur Absicherung des internen Kontrollsystems?
• Wurden Anforderungen für die Implementierung der Schnittstellen zu vor- oder nachgelagerten IT-Anwendungssystemen dokumentiert?

4. Testreview

Wie beurteilen, ob die von der Gesellschaft geplanten und umgesetzten Verfahren zur Testdurchführung (Testplanung, Testfallkatalog, Testdokumentation, Risikobeurteilung etc.) dazu geeignet sind, einen ordnungsgemäßen und sicheren Betrieb der Systeme nach dem Go-Live zu gewährleisten.

• Review des Testkonzepts hinsichtlich eines ordnungsgemäßen und nachvollziehbaren Testverfahrens, Verfahren zum Fehlermanagement, Monitoring der Testdurchführung, ordnungsgemäße Freigabe/Testabnahme durch Testverantwortliche und Fachbereiche,
• Überprüfung der Testfallerstellung hinsichtlich Vollständigkeit und Nachvollziehbarkeit (Review ob die wesentlichen Funktionalitäten des zukünftigen IT-Systems im Testplan enthalten sind),
• Prüfung der Testdokumentation im Hinblick auf Nachvollziehbarkeit der Testdurchführung und –ergebnisse,
• Beurteilung der  geplanten Verfahren zur ordnungsgemäßen Freigabe des Gesamtsystems vor Inbetriebnahme des Systems.

5. Review Datenmigration und Go-Live

Die Prüfung im Rahmen der letzten Phase umfasst die Beurteilung der Ordnungsmäßigkeit und Sicherheit nach der Einführung und Inbetriebnahme des Systems. Mit der Qualitätssicherung werden in dieser Phase folgende Ziele verfolgt:

• Sicherstellung der Vollständigkeit, Richtigkeit und Nachvollziehbarkeit der Datenübernahme,
• Wirksames Monitoring und sachgerechte Bewertung von Problemen nach der Inbetriebnahme,
• Gewährleistung der Systemsicherheit im Hinblick auf einen restriktiven Zugriff auf die für die Rechnungslegung oder Systemintegrität relevanten SAP-Funktionen.