Verfahren für das Audit von SAP-Umgebungen gibt es einige. Manche werten kaufmännische Daten und Systemparameter aus, andere durchleuchten, wie gut das SAP-Berechtigungssystem konfiguriert ist.
SAP-Anwender sind Risiken ausgesetzt, wenn sie Systemparameter falsch einstellen, beispielsweise im Anmeldesystem. Diese Parameter regeln das Anmeldeverhalten der Benutzer, für das es in den meisten Unternehmen eine systemübergreifende Vorgabe gibt. Ebenfalls über Parameter lässt sich die Tabellenprotokollierung festlegen. Sie ist für alle Tabellen vorgeschrieben, in denen rechnungslegungsrelevante Inhalte vorhanden sind (Stamm- und Bewegungsdaten sowie Customizing-Einstellungen). Werden diese Einstellungen nicht ordnungsgemäß gepflegt, sind wichtige Daten eventuell nicht ausreichend geschützt.
Weitere Sicherheitslücken sind die unzureichende Absicherung der Betriebssystem-, Datenbank- und Netzwerkebene. Unter Umständen können Nutzer über einen direkten Zugriff auf die Datenbank Informationen manipulieren. Einen Zugang zur SAP-Software brauchen sie dafür nicht. Verfügen Unbefugte über Datenbankzugriffsrechte, bleibt das SAP-Berechtigungskonzept wirkungslos.
Gefahrenpotenzial bergen außerdem falsch vergebene Berechtigungen. Fehler können bei der Definition des Berechtigungskonzepts auftreten, aber auch dann, wenn der Systemverwalter mehrere Nutzerberechtigungen kombiniert. ERP-Verwalter kombinieren beispielweise dann SAP-Berechtigungen, wenn ein Mitarbeiter mehrere Aufgabenbereiche abdecken muss. Zudem kann ein Benutzer für einen gesamten Prozess verantwortlich sein und hierzu Zugang zu mehreren ERP-Modulen benötigen, was ebenfalls kombinierte Berechtigungen erfordert.
Mitunter erhalten SAP-Anwender aber auch irrtümlich Berechtigungen, die für ihren Arbeitsbereich nicht erforderlich sind. Da im ERP-System ständig neue Benutzer hinzukommen, gelöscht werden oder Mitarbeiter die Abteilung wechseln, ändern sich die Berechtigungen ebenfalls. Pannen bei der Berechtigungsvergabe können Benutzern Zugriff auf sensible Daten verschaffen oder ihnen sogar die Möglichkeit einräumen, zu ändern oder zu löschen.
Ein Risiko besteht auch dann, wenn durch fehlerhafte Berichtigungsvergabe Funktionstrennungen umgangen werden können. Beispielsweise darf keine einzelne Person die Möglichkeit haben, Kreditorenstammdaten anzulegen, Rechnungen zu buchen und den Zahlungslauf zu starten.
