Continuous Audit – agil, strategisch, analytisch und kostengünstig

IIA-Blog_Continuous_Auditing-Teil_2

Im ersten Teil des Blog-Artikels haben wir uns mit den theoretischen Zusammenhängen befasst. Jetzt wird es richtig handwerklich, manchmal auch ein wenig technisch, dann haben wir aber den Anspruch, dass Sie das alles sofort nachvollziehen und nachbauen können. Um es klar zu sagen: Ohne unsere Mitarbeit…

Lassen Sie sich doch einfach einmal darauf ein – getreu dem Motto: „Holen Sie direkt zwei Flaschen Rotwein aus dem Keller zum Entspannen, eine reicht vielleicht nicht…“ Sie werden aber sehen, dass trotz der technischen Kost, die Zusammenhänge einfach zu verstehen sind. Die Umsetzung ist dann eher etwas für die Techniker in Ihrem Team.

1 Einleitung

„Die Interne Revision steigert den Erfolg der Organisation, indem sie das Leitungs- und Überwachungsorgan und das Management mit der Bereitstellung objektiver Prüfungssicherheit und Beratung unterstützt.“1

Wenn man diesen Anspruch aus dem aktuellen Entwurf der kommenden IIA-Standards zu Ende denkt, heißt das für unseren Berufsstand nichts anderes als eine Unterstützung des Managements mit marktgängigen Analysemethoden. Im ersten Teil des Artikels haben wir die theoretischen Grundlagen betrachtet. Nun tauchen wir richtig tief in die Praxis ein – wir geben Ihnen unser Know-how in die Hand, damit Sie einen optimalen Start haben. Das schöne ist, es kostet kaum etwas außer Zeit…

Jetzt müssen Sie nur noch in Ihre Kindheit zurück und das SAP-System und Ihren PC als eine Art Legobaukasten verstehen. Und dann kann das Spiel mit den farbigen grünen, blauen und gelben Klötzen losgehen. Aber wie im ersten Teil auch – ein wenig Historie und Theorie muss sein.

1.1 Datenanalytik in der Entwicklung anhand von SAP

Wenn Sie sich damit beschäftigen, welche Möglichkeiten zur Automatisierung in den diversen betriebswirtschaftlichen Tools (auch außerhalb dieses SAP-Beispiels) bestehen, gab es vor dem Jahr 2000 darauf meistens Aufforderungen zum Download von Daten. Anschließend wurden diese mit unterschiedlichen Werkzeugen (MS® Excel, MS® Access, ACL (heute Galvanize), Idea) mehr oder weniger revisionsnah weiterverarbeitet, um Ergebnisse in der Analyse zu erzielen.
In vielen Seminaren haben wir gezeigt, dass es in SAP vielfältige Möglichkeiten gibt, sich anders (nativ direkt auf der Maschine) zu verhalten.

  • ABAP-Programme durch die IT schreiben lassen mit klaren Vorgaben

Mit Unterstützung der IT hat Hans-Willi Jackmuth bereits in den 90er Jahren in einer Bank einen automatisierten Tabellenabzug umgesetzt. Meist fehlt allerdings in den Unternehmen die operative Unterstützung der IT oder Sie müssen als Interne Revision ein gutes Durchhaltevermögen haben. Die wenigsten von uns werden ABAP programmieren können.

  • Standardtools „on Board“

Benutzung der Downloadfunktionalitäten, die eine ähnliche Methodik wie den Quick Viewer (Transaktion SQVI) oder SAP Queries (Transaktion SQ00 ff.) einsetzen, und die Ergebnisse per lokalem Programm auswerten.

  • Minimalumfang: Varianten definieren

Sehr schnell kann man aber auf allen SAP-Maschinen die eigenen Anforderungen der Daten definieren und diese in sogenannten Varianten ablegen. Man übergibt der Maschine also die benötigten „Default“-Analysewerte (Buchungskreis, Belegart, etc.), welche Daten man lokal weiterverarbeiten will. Darauf legt man die Einstellungen in einer Variante für die nächste Prüfung ab.

  • Komfortabel mit Jobketten und IT-Unterstützung

Wenn man dies jetzt noch um die Komponente „Liebe IT, kannst Du mir die Daten dieses Programmes jeden Monat mit der Voreinstellung Variante A downloaden und in mein Revisionsverzeichnis legen“ anreichert, war man auch schon im letzten Jahrtausend problemlos in der Lage, einen kontinuierlichen Prozess im Sinne eines „Continuous Audit“ aufzusetzen.

  • Luxusvariante

Ebenso können Sie (gegen gutes Geld) Tools nutzen, die meist „Exporter“ heißen und professionelle Schnittstellen der jeweiligen Hersteller sind. Im Prinzip sind diese Tools aber auch nichts anderes als eine Automatisierung manueller Downloads über ein Werkzeug, nehmen aber durch vorgefertigte Abfragen und Strukturen den Prüfer:innen vielleicht an der ein oder anderen Stelle die technologische Denkarbeit ab.

1.2 Reflektion auf den ersten Teil des Blogs

Und wenn Sie an den letzten Blogartikel hinsichtlich Ausreißer und Strategie zurückdenken:

  • Ja, wir haben uns in einer Bank Ende der 1990er Jahre Ausreißer beispielsweise von Konditionen angesehen oder als alternatives Beispiel formal die Füllung gewisser regulatorischer Felder überprüft.
  • Ebenso haben wir Ableitungen für die Prüfungsthemen aufgrund der operativen Daten getroffen. Wenn sich im Kreditgeschäft eine Produktart glücklicherweise überproportional entwickelte, konnten wir diesen Fakt schnell erkennen. Ziemlich agil würde man heute sagen.

Die Strategie dahinter war immer, nicht nur die Ausreißer (im Extremfall bis hin zu Fraud) zu finden, sondern durch die Nutzung von Daten auch das Richtige zu prüfen und so Mehrwerte zu erzeugen, weil wir „das Management mit der Bereitstellung objektiver Prüfungssicherheit und Beratung unterstützen wollten“1The Institute of Internal Auditors: Globale Standards für die Interne Revision – Entwurf 2023 zur öffentlichen Konsultation, https://www.theiia.org/globalassets/site/standards/ippf/public-comment-draft/iia-global-internal-audit-standards-public-comment-draft-german.pdf, S.10..

2 Automatisierung des Datenanalyseprozesses der Internen Revision

2.1 Kleine Automatisierungshelfer ohne Programmierkenntnisse

Hand aufs Herz – sind Sie tiefer Kenner von MS® Excel? Verfügen Sie über solide Excel-Analyse-Kenntnisse?

In den Seminaren kommen dort oft Antworten wie „Wir machen BigData – ich hatte letzte Woche rd. 800 Datensätze in Excel zur Analyse“ bis hin zu „Von PowerQuery in MS® Excel habe ich noch nie etwas gehört“.

Als Anmerkung: Wenn Sie auch noch nichts davon gehört haben – PowerQuery ist seit 2013 nativ in Excel „Daten>Daten abrufen und transformieren>Power Query-Editor starten“ verfügbar und ein verdammt leistungsstarkes Analyseinstrument – wir haben dazu einige Blogartikel zu SVERWEIS oder Transformation veröffentlicht.

Und wenn Sie noch nie VBA in MS® Excel programmiert haben, kann man selbst das relativ leicht erlernen. Schauen Sie einmal, was sich unter dem Knopf „Ansicht>Makros“ in Excel so alles verbirgt. Man kann alle Aktionen aufzeichnen.

Funktioniert wie eine mobile Kamera in der Social Media Welt: Aufzeichnung starten, Aktionen durchführen, Aufzeichnung beenden. Wenn das Ergebnis gut aussieht, produktiv stellen, wenn nicht: Makro löschen. Damit kann man komplexeste Aktionen wiederkehrend ausführen und auch schrittweise entwickeln.

Wenn Sie sich jetzt noch zukunftsorientiert aufstellen wollen, geht das sogar mit Microsoft „Power Automate Desktop“ in einer modernen Form mit ähnlichen Recording-Funktionalitäten. Sie können alle (!) Aktionen, d.h. jeden Mausklick, auf Ihrem Desktop automatisieren. Glauben Sie nicht? Testen Sie es aus!

Lego-Baukasten-Strategie ist gefragt – spielen Sie ein wenig damit herum, egal welche Farbe (grün wie Excel oder blau wie Power Automate) Ihre Tools besitzen, weil erstens „Power Automate Desktop“ ab Windows 11 sowieso auf jedem PC vorinstalliert ist und zweitens die zu erzielenden Effekte richtig klasse sind. Beweisen wir Ihnen weiter unten im Abschnitt „Umsetzung durch die verschiedenen Tools“. Und ist dabei noch deutlich einfacher zu erlernen als VBA.

2.2 Bot oder nicht Bot – das ist die Frage!

Und jetzt müssen wir nur noch die Frage klären, wo fängt Bot eigentlich an? Und was ist RPA in der Internen Revision? Es bedarf natürlich klarer Compliance-Vorgaben, aber das hat ja M.Sc. Martin Wagener in seinem Blog-Artikel schon ausführlich dargestellt. Gilt dann nicht nur für die Fachabteilung, sondern auch für unsere Revisionsarbeit.

Wenn wir uns eine Definition eines der führenden Hersteller anschauen, liest sich das locker, aber eigentlich ist das im Prinzip nichts Neues:

“Robotic Process Automation (RPA) ist eine Softwaretechnologie, mit der jeder ganz einfach digitale Aufgaben automatisieren kann.

Mit RPA erstellen Software-Nutzer Software-Roboter oder „Bots“, die lernen, nachahmen und dann regelbasierte Geschäftsprozesse ausführen können. Mit RPA-Automatisierung können Benutzer Bots erstellen, indem sie menschliche digitale Aktionen beobachten. Zeigen Sie Ihren Bots, was sie tun sollen, und lassen Sie sie dann die Arbeit machen. Robotic Process Automation Software-Bots können mit jeder Anwendung oder jedem System auf die gleiche Weise interagieren wie Menschen – mit dem Unterschied, dass RPA-Bots rund um die Uhr, nonstop, viel schneller und mit 100%iger Zuverlässigkeit und Präzision arbeiten können.” 2https://www.automationanywhere.com/rpa/robotic-process-automation, Abruf vom 13.03.2023, eigene Übersetzung

Excel VBA kann digitalisieren, kann regelbasierte Geschäftsprozesse überwachen – einziger Unterschied besteht darin, die Überwachung auf jeder Anwendung und jedem System durchzuführen. Zusätzlich dazu kommt noch die Bedienerfreundlichkeit. Inhaltlich ist es aber eigentlich nichts Neues.

GUI-Skripte in SAP können digitalisieren, können regelbasierte Geschäftsprozesse überwachen. Die Anwendung ist ähnlich wie Excel nur in SAP möglich. Aber seit wann gibt es GUI-Scripting schon? Ein klares Einführungsdatum haben wir nicht gefunden, aber in der GUI 6.10 waren die Möglichkeiten bereits da. GUI 6.10 wurde knapp vor der Jahrtausendwende veröffentlicht. Bei intensiver Anwendung ist auch dieses Vorgehen sehr Bot-nah. Das bedeutet: Eigentlich konnten wir in der Internen Revision schon im Jahr 2000 mit „quasi“ Bots unterwegs sein.

Und wenn die Bots dann gearbeitet haben, bekommt man heutzutage alle Daten in Power BI mit einem einfachen Klick auf den Button „aktualisieren“ noch in einer „C-Level“-gerechten Form: Bilder, Grafiken mit 180 verschiedenen Visuals und das alles auf einer oder mehrere Seiten. Und: In jeder gewünschten Form bunt.

3 Geschwindigkeitspotenziale durch RPA

Unsere Kunden diskutieren gerne mit uns, wie wir SAP-Audits durchführen und was Sie daraus schnell für sich ableiten können. Für uns ist es Alltag, Daten, die aus unterschiedlichen Systemen kommen, zu visualisieren und zu analysieren. Wir sind schon frühzeitig von Excel-Grafiken auf Power BI umgeschwenkt und haben nach ersten Torten und Balken die echte Funktionsvielfalt genutzt, um Zusammenhänge darzustellen. Unternehmensfahrzeuge auf Power-Point-Slides fahren lassen – geht sogar in einer Vorstandssitzung, wenn die Daten aus dem GPS-System (im konkreten Fall rd. 100 Mio. Datensätze) ausreichen. Schön und gut im konkreten Fall für eine Sonderprüfung, aber das im Revisionsalltag?

3.1 Continuous Auditing Einführung in die tägliche Praxis integriert

Wir werden kurzfristig damit beginnen, ein Energieunternehmen zu unterstützen. Und wenn Sie sich die Prüfungsziele anschauen, ist dieses gut geeignet, neben dem Audit ein paar mittelfristige Analysen zu entwickeln und auch für diesen Artikel Ableitungen zu treffen. Worum geht es?

Wir „unterstützen die Revisionsprüfung „Rechnungswesen“ (Rechnungslegung außerhalb automatisierten Abrechnungsmanagements, Zahlungsverkehr, Rechnungsprüfung, IKS, IT-Berechtigungen) bei der Durchführung und führen selbstständig eine SAP-Datenanalyse des Prozesses durch.

Auf Basis der Prüfungsergebnisse erarbeiten wir danach wiederkehrende SAP-Analysen für eine automatisierte Continuous Auditing Abfrage inkl. einer Übertragung in Power BI und Schulung.“3Ausriss aus unseren Originalvertragsunterlagen.

Um es klar zu sagen: Das ist vom Umfang her ein eher kleines Projekt, aber mit den Auswirkungen der Einführung von ersten „Continuous Auditing“-Prozessen durch die Hintertür.

Und das könnte ebenfalls ein Weg für Ihr Unternehmen sein, um ein Thema einerseits aktuell zu prüfen (bis hin zu einem „normalen“ Revisionsbericht), andererseits das gewonnene Know-how mittelfristig zu konservieren. Aus den Daten kann man Ableitungen für die Prüfungsstrategie treffen, aber auch künftig schneller Ausreißer sehen.

3.2 Überblick: Das Zielszenario

Wir haben mit verschiedenen Kunden Prozesse mit einem Low-Budget-Ansatz digitalisiert und in der Internen Revision die ersten Roboter gebaut. Und Digitalisierung kann manchmal einfach sein, fernab von großen Schnittstellen, langen Meetings mit der IT, teuren Softwaretools, etc.

Abhängig von Ihrer Lizenzgestaltung mit Microsoft im Unternehmen reden wir ggf. über 10 USD pro Arbeitsplatz für „Power Automate Desktop“ (Stand 03.2023) plus ihrer Energie, die grünen und blauen Legoklötzchen richtig zusammen zu stöpseln.

Ablauf des automatisierten Downloads aus SAP – Eigene Darstellung

Welches Know-how benötigen Sie für diesen Ansatz? Da wir uns im Beispiel auf SAP konzentrieren, ein paar SAP-typische Fragestellungen:

  • Macht es Sinn wiederkehrende Analysen aufzubauen, wenn wir doch auf SAP S/4 HANA in Zukunft umstellen?
  • Macht es Sinn ohne Zusatzprodukte zur Extraktion der Daten zu arbeiten?

Wir glauben ja, wenn Sie flexibel (oder agil?) und dynamisch unterwegs sein wollen und ohnehin Ihre spezielle Situation im Unternehmen analysieren müssen (zum Beispiel eigenentwickelte Tabellen). Aus unserer Erfahrung gibt es tausend Gründe mit dem Vorgehen nicht zu starten – weil bald Weihnachten ist, weil der Vorstand sich noch nicht geäußert hat, weil wir nächstes Jahr eine Fusion erwarten, weil HANA vielleicht doch schneller kommt, etc.

Botschaft ist: Es ist nie der richtige Zeitpunkt – also fangen Sie am besten heute noch an – mit den Tests für Continuous Auditing bei minimalen Kosten.

Das Thema HANA (als Datenbank oder als S/4) ist dabei aus unserer Sicht auch noch sehr einfach zu beschreiben: Es kommen zwar neue Tabellen wie eine zentrale Rechnungswesen-Tabelle ACDOCA, aber auch dort wird man Altbekanntes (wie eine BKPF- oder BSEG-Tabelle) eine Ebene tiefer entdecken können.

Und das grundsätzliche Verständnis der Zusammenhänge von Tabellen ändert sich nicht dadurch, dass die einzelnen Tabellen mehr Informationen in deutlich mehr Spalten tragen. Die Möglichkeiten der modernen Datenbanktechnologie schreien zwar danach (wegen der extrem kurzen Laufzeiten) alles auf der HANA-Datenbank in SAP direkt durchzuführen – aber die Daten werden Sie zum Nachweis der Prüfungshandlungen und damit als Arbeitskopie trotzdem irgendwo ablegen müssen.

Also reichen solide Kenntnisse in der SAP-Welt aus (man sollte für eine Prüfung des Rechnungswesens beispielsweise Lieferanten-, Kunden-, Sachkonten lokalisieren und entsprechende Strukturen, wie diese beispielsweise ein Audit Information System (AIS) bietet, anwenden können). In der neuen HANA-Welt kommt dann beispielsweise der zentrale Geschäftspartner hinzu.

Daneben sollte das SAP GUI-Scripting bekannt sein. Grundlegendes erklären wir in Kapitel 5.

Beim Vorgehensmodell reichen rudimentäre Excel-Kenntnisse aus.

Für „Power Automate Desktop“ benötigen Sie Kenntnisse, wie Sie Excel und SAP ansteuern. Die Entscheidungen, die Sie treffen müssen, welche Methode Sie anwenden wollen, haben wir für uns und damit für Sie schon einmal aufbereitet und erklären Ihnen schrittweise die Steps. Zur Einarbeitung können Sie natürlich auch auf die Microsoft-Videos zurückgreifen:

„Viele (…) Unternehmen verwenden SAP, um ihre Finanz-, Lieferketten-, Produktions- und Personalprozesse zu verwalten. Sie suchen nach Möglichkeiten, ihre häufigsten, alltäglichen und regelbasierten Aufgaben zu automatisieren.

Genau aus diesem Grund konzentrieren wir uns in diesem Playbook auf SAP-GUI-Automatisierungsmuster und Best Practices mit Microsoft Power Automate, Power Automate Desktop und Desktop-Flows.“4Microsoft: Einführung in SAP GUI-basierte RPA in Power Automate Desktop, https://learn.microsoft.com/de-de/power-automate/guidance/rpa-sap-playbook/introduction, Abruf am 13.05.2023

Ein Grundverständnis der Visualisierung in Power BI ist sicherlich auch von Nöten, Visualisierung sollte eh in der heutigen Welt eine Kernkompetenz der Internen Revision sein – kann man aber im Selbststudium mit in ein bis zwei Tagen Aufwand erlernen. Microsoft macht übrigens Werbung dafür unter „Dashboard in a Day“. Dort können Sie unabhängig, ob Sie eine Schulung buchen wollen, die Kursunterlagen und Daten dazu in der jeweils aktuellen Form kostenlos herunterladen. Dass es eine lokale Version von Power BI kostenlos bei Microsoft gibt, dürfte ja mittlerweile bekannt sein.

4 Mögliche Inhalte einer derartigen CA-Struktur

Sie benötigen eine Idee von dem, was Sie sehen wollen (Datenquellen). Relativ simpel ist die Abbildung von Mengengerüsten für die Prüfungsplanung:

  • Wie viele neue Kreditoren haben wir eigentlich in der letzten Periode auf unserem System?
  • Anzahl der CpD-Buchungen?
  • Auffällige Kreditoren (wie immer Sie auffällig definieren – regional, Volumen, schnelle Erstbuchung nach Eröffnung, etc.)?
  • Ergänzung um externe Daten – Kreditoren mit CPI-Ranking nach Transparency International? (siehe hierzu auch Kapitel 6)

Ebenso einfach ist die Frage zu klären, ob es beispielsweise Auffälligkeiten auf dem System gibt. Wir haben bei einem Kunden die Firma „Kim Jong-Un“ im Datenbestand gefunden, als wir die Kreditoren gegen CPI abgeglichen haben. Stimmt tatsächlich, waren aber Testdaten.

  • Die gröbsten Ausreißer in den Bankdaten sollten wir auch erkennen können – wenn Kontonummern ohne Sinn und Verstand geändert werden (vielleicht ist ja der Hintergrund nur: „Das Geld ist ja nicht weg, es ist nur woanders…nämlich beim Mitarbeiter“).
  • Vielleicht eine neue Abfrage und das mit möglichst wenig Aufwand (Three-Way-match im Einkaufsprozess oder eine spezielle Analyse auf „unseren eigenentwickelten“ Daten/-Strukturen)?

Wir haben uns mittlerweile Standardmuster zugelegt, die wir in einem derartigen Projekt mitbringen, lernen aber immer wieder, dass die Art der Prüfungsdurchführung meist so individuell wie Ihre Unternehmensstrategie ist. Aber genau das prüfen Sie ja auch bisher in Ihren operativen Prüfungen – also müssen Sie zusätzlich „nur“ noch die Automatisierungskomponenten installieren.

Denken Sie darüber nach, was Sie abbilden wollen – welche Transaktion oder welchen Report mit welchen Voreinstellungen – und los geht’s.

5 Umsetzung durch die verschiedenen Tools

5.1 Mit SAP-GUI-Scripting zum automatisiertem Download

Setzen Sie zuerst Ihre Ideen konventionell in SAP um. Nutzen Sie die geliebten Data Browser SE16 ff. zum Download von Daten? Oder nur vorgefertigte ABAP-Reports (Beispiel: S_ALR_87012077 – Kreditoren-Informationssystem)?

Legen Sie sich Varianten an, um solche Dinge wie Belegdatum oder Buchungskreise schon komfortabel wiederverwendbar einstellen zu können.

Beginnen wir mit einem GUI-Skript-Recorder in SAP. Mehr grundsätzliches dazu finden Sie in der Hilfe von SAP. Den Roboter nutzt u.E. nur kaum jemand in der Internen Revision, eigentlich schade.

Einstiegspunkt in den Skriptrecorder – Screenshot SAP

Der Recorder ist einfach zu bedienen (letztes Icon rechts in der GUI), erfordert keine Programmierkenntnisse und hilft effizienter zu werden.

Um einem Herzinfarkt der Auditleitung oder Ihres CISOs vorzubeugen: Es können nur Transaktionen ausgeführt werden, für die der angemeldete User im Dialogbetrieb berechtigt ist.

Wie funktioniert das Tool: Ablageort des Skriptes bestimmen (z.B. Desktop), roten Knopf drücken und Aufzeichnung starten, Aufzeichnung beenden und nächste Woche die gleichen Handgriffe sparen, weil die Abläufe das vbs-Skript für mich persönlich erledigt (einfach Doppelklick auf die vbs-Datei). Funktioniert wie der Excel-Makro-Recorder – nur in SAP.

5.2 Excel zum dynamisieren des Roboters

Jetzt wird es allerdings ein wenig technischer:

Um alles einfacher bedienen zu können, müssen wir nun in die Niederungen des SAP-GUI- Skriptes und manches ein wenig dynamisieren. Nehmen wir einmal an, dass Sie auf Ihrem Dashboard alle Buchungskreise vernünftig beschriftet haben wollen. Die Information „BUKRS 1000“ ist für Sie vielleicht in der Internen Revision lesbar, aber besser wäre es, wenn man das C-Level-tauglich mit „1000 – addresults GmbH“ in Power BI anzeigen kann.

Also einen kurzen Blick in die Standardtabelle T001 (Buchungskreise) mit der Transaktion SE16 (welchen Buchstaben Sie auch immer dahinter nutzen, ob SE16N oder SE16H ist vollkommen egal). Diese Handgriffe führen Sie mit dem GUI-Skript aus und öffnen einmal das erzeugte Skript mit einem Editor – geht sogar mit dem Windows „Notepad“.

Dort finden Sie die beiden Stellen Tabelle für den Buchungskreis und Transaktionscode ganz einfach. Diese ersetzen wir jetzt durch Variablen für „Power Automate Desktop“– beispielsweise SE16 durch $TCODE und T001 durch $OBJECT. Auf diese Weise können wir demnächst per Skript eine beliebige Information an die betreffende Stelle einfügen.

Also ersetzen wir vielleicht beim nächsten Durchlauf $TCODE durch SE16H und $OBJECT durch T077S.

Beispiel: In der vbs-Aufzeichnung des GUI-Skriptes ersetzte Stellen

Doch wo geben wir diese Informationen ein? Ganz simpel in Excel, was von unserem Roboter durchgearbeitet wird, für alle leicht veränderbar und innerhalb der Arbeitspapiere gut nachweisbar ist.

Einen kleinen Schönheitsfehler gibt es: Sie werden bei weiteren zu übergebenden Filtern – also es soll auch noch der Buchungszeitraum mit Datumswerten eingeschränkt werden können – weitere Skripte benötigen. Wir dürfen Sie aber beruhigen – wir kommen aktuell mit drei Skripten und einer Excel-Datei aus. Die Excel-Datei beinhaltet folgende Informationen:

  • Parameter: grundsätzliche Informationen, die von Power Automate verarbeitet werden
  • Jeweils ein Arbeitsblatt für Customizing-, Stamm-, und Bewegungsdaten
    • Innerhalb der Arbeitsblätter werden die Tabellen- oder Reportnamen definiert, die entsprechenden Varianten und ggf. – wenn notwendig – zusätzliche Selektionsbedingungen, die neben der Variante angewandt werden sollen.
    • Die Bewegungsdaten stellen Daten dar, die monatlich fortgeschrieben werden und anders als die Customizing- und Stammdaten zeitlich abgrenzbar sind. Aus diesem Grund werden diese periodenweise heruntergeladen. Jeder Ladevorgang wird dabei innerhalb der Excel dokumentiert.
Beispieldatensätze monatlicher Download von Einkaufsdaten

Die gesamte Technologie läuft auf den Einsatz von Power Automate Desktop hinaus. Mit dieser Methodik holen wir uns dann Schritt für Schritt die Excel-Informationen.

Und wieso nutzen wir dafür heutzutage noch Excel?

Gute Frage, denn Excel ist nicht unbedingt die hipste Anwendung, die aktuell zur Verfügung steht. Aber wir können sehr leicht zwei Ziele erreichen:

  • Wenn Ihnen nächste Woche danach ist, tragen Sie im Excel einfach Ergänzungen ein: eine SE16(..) oder eine SA38 (Reporting ansteuern geht natürlich genau auf dem gleichen Weg) oder eine x-beliebige Transaktion (S_ALR_68001400 – Berechtigungen als Beispiel). Wichtig ist, dass Sie die jeweilige Variante unterbringen können. Sie könnten natürlich auch für jede Transaktion ein Skript einzeln ablegen, bläht aber das Modell nur auf.

Im ersten Moment klingt es kompliziert, aber nach den ersten Gehversuchen merken Sie schnell, dass es wahnsinnig gut geht und durch die Verwendung von Excel auch keine weitere neue Applikation für Sie oder Ihre Kolleg:innen dazu kommt. Sie können auch „fachfremde“, nicht SAP-nahe Mitarbeiter:innen ruhig an die Excel lassen. Inklusive Konzeption und erheblichem Testen mit anderen Strukturen haben wir keine drei Tage für den Prototypen gebraucht (auch wenn es bei Microsoft wegen der diversen Varianten einiges zu lesen und vor allen Dingen Videos zu sehen gibt).

  • Auch praktisch: Wir können Dinge, wie die Länge der Downloads oder auch simple Zeitangaben in der Excel-Datei protokollieren. Ehrlicherweise ist das aber bei uns erst über das Konzept zum Thema Bewegungsdaten entstanden – wir laden nämlich immer nur die letzte definierte Periode (also Tag/Monat/Quartal) lokal in den Zielordner, der genauso heißt wie die entsprechende Abfrage. Die bereits downgeloadeten Daten kennt das Excel per Formel, daher weiß der Roboter auch, dass er diese nicht nochmals downloaden muss.
Anweisungen und Protokollierungen des Roboters in Excel

5.3 Lauf Roboter, lauf! Programmierung des von Power Automate Desktop

Nun geht es an den Bot. Dieser hat folgende Aufgaben:

  • Mit SAP-System verbinden
  • Excel-Datei vorbereiten
  • Excel-Datei einlesen
  • Pfade lesen und „Mini-Logfiles“ erzeugen
  • Die o.g. unterschiedlichen Skripte schrittweise durcharbeiten
  • Jeweils die richtigen Transaktionen und Varianten aufrufen
  • In SAP die entsprechenden Downloads erzeugen
  • Excel schließen
  • SAP schließen.

Danach müssen Sie nur noch Power BI öffnen. Weil wir die Daten in einer fest definierten Ordnerstruktur ablegen (das können wir Ihnen nur so empfehlen – bei unseren Kunden meist auf einem SharePoint Online), können Sie jetzt Power BI per Knopfdruck aktualisieren.

Dazu machen wir uns für Bewegungsdaten eine Power Query/Power BI Funktionalität zu Nutze: Power Query bietet die Möglichkeit komplette Ordner einzulesen. Wenn Sie also weitere Dateien mit gleicher Struktur in den gleichen Ordner schreiben, erkennt es das Tool, importiert die neuen Daten zusätzlich und packt einen Dateinamen zum Nachweis hinzu.

Diesen Import-Click nach Power BI haben wir aktuell noch nicht automatisiert, aber nur weil an dieser Stelle ein Break hilfreich ist, um die korrekte Funktionsweise zu überwachen. Wenn keiner im SAP-System die Spaltenanzahl der Tabellen verändert, kann es auch keine Probleme geben. Bei neuen Spalten müssen Sie Ihre Varianten anpassen, und daher: Im Zeitalter von HANA-Umstellungen weiß man ja nie…

Als Basis dient uns „Power Automate Desktop“. Warum kein anderes Produkt? Simpel, wir und unsere Kunden setzen stark auf Microsoft 365. Das gibt uns bei den Lizenzen einen Vorteil hinsichtlich der Kosten. Natürlich wäre auch eine Umsetzung in Automation Anywhere, UIPath oder, oder, oder machbar.

Ein großer Vorteil dieser Tools ist die riesige Community: Im Web finden sich viele Videos, tolle weitere Blogbeiträge oder Anleitungen, wie man dieses oder jenes umsetzt. Wir müssen nur den Transfer zur Internen Revision leisten. Beispiel für einen super Start gefällig?
Das RPA-Playbook von Microsoft.

5.4 Der Ablauf des Bots in der Praxis

Umgesetzt in Power Automate Desktop sieht der Ablauf wie folgt aus:

Umsetzung in Power Automate Desktop

Jede einzelne Zeile können Sie mit „Drag-and-Drop“ aus der Bibliothek von Power Automate Desktop ziehen. Die Idee dahinter ist, Ihnen in der Endanwendung das Leben so einfach wie möglich zu machen. Zusätzlich müssen Sie kein klassisches Coding schreiben, sondern können in Fenstern relativ leicht Eingaben treffen. Soweit möglich sind die Daten schon vorbefüllt, wenn Sie den nächsten Schritt anwählen.

In dem oben dargestellten Abschnitt findet die Gesamtsteuerung des Downloadvorganges statt. Einzelne Komponenten (wie die SAP-Anmeldung) haben wir in kurze weitere Abschnitte (Subflows genannt) ausgelagert, um die Übersichtlichkeit zu erhöhen.

Um bei der Ausführung einzelner Exceldaten (s.o.) separieren zu können, haben wir über ein PopUp-Fenster eine Auswahlbox eingeblendet, mit der man die Zugriffe auf die unterschiedlichen Abschnitte = Excel-Sheets steuern kann. Nur mal schnell die „Stammdaten“ nachladen oder doch das gesamte CA ausführen? Braucht man nicht unbedingt, ist aber komfortabel.

Danach meldet sich das Skript bei SAP an – bei unserem Testsystem mit hart hinterlegtem Passwort (Sicherheit?) – aber auch alle weiteren Varianten sind denkbar: Manuelle Eingabe oder Single-Sign-On. Der Abschnitt Preparation holt sich dann Informationen u.a. aus dem Excel, wie der Pfad der Input- und Outputfolder, Username, aber auch aktuelles Startdatum und dokumentiert das wieder in der Excel.

In den blau unterlegten drei Processing-Schritten (wenn im Auswahlfeld („Selected“) tatsächlich angewählt wurde) findet der eigentliche Prozess statt. Hier wird der Zugriff auf das entsprechende Excelblatt, das Ausführen der Skripte in SAP und die Protokollfunktion gesteuert:

  • Blatt suchen und auswählen (Beispiel Stammdaten)
  • Holen des via SAP-GUI-Scripting erstellten Skripts (Beispiel Stammdaten.txt)
  • Variablen im Skript ersetzen aus Excel (mache aus $TCODE neu SE16, aus $OBJECT neu T001 und trage für die Variante CA_ Stammdaten_01 ein)
  • Skript mit Downloadprozess (von Transaktion mit Variable bis zu Datei lokal in Outputfolder sichern) ausführen.

Power Automate Desktop ist dabei deutlich komfortabler zu bedienen, als zum Beispiel der Makro-Rekorder in Excel. Neben der Möglichkeit die eigenen Schritte aufzuzeichnen, sind viele fertige Teilschritte im Sinne eines Baukastens verfügbar. Natürlich braucht auch das Einarbeitung, entspricht aber nicht dem Aufwand für eine klassische Programmiersprache – soll ja auch demnächst mit Windows11 der letzte Windows-User anwenden können.

5.5 Programmieren mittels Power Automate Desktop

Das Ergebnis eines der Prozessschritte beschreibt Power Automate so:

Beispiel eines Prozessschritts

Im Detail sieht die Eingabemaske (Sie müssen nichts von Hand schreiben) wie folgt aus:

Details eines Prozessschritts

Versuchen wir diese etwas kryptische Maske in Worte zu übersetzen:

  • Der zu analysierende Text (ist das vbs-Skript aus der SAP-GUI, dass man beispielsweise mit $TCODE modifiziert hat) befindet sich in der Variable %vbScriptInput%.
  • Der zu suchende Text ist die Stelle, wo $TCODE im definierten Skript steht (entspricht in MS Office der Funktion „Suchen-Ersetzen“).
  • Ersetze diese Stellen mit den Inhalten der Variable %InputTCODE% (die Daten haben Sie vorher aus dem Excel gelesen, in der Zelle steht beispielsweise SE16) und füge noch davor ein /N ein.
    • Mit /N wird das SAP-System, falls eine Transaktion bereits ausgeführt wurde, auf die Einstiegsmaske zurückgesetzt, um die nächste Transaktion auszuführen und „frisch“ zu starten.

Ergebnis: Im Skript vbScriptInput ist die Variable $TCODE mit /NSE16 für die nächste Aktion gefüllt.

Sie können sich die Variableninhalte jederzeit anzeigen lassen – das hilft enorm, falls einmal ein Fehler passiert. Dazu müssen Sie die Ausführung nur an einer bestimmten Stelle anhalten (oder der Fehler hält die Codeausführung an) und können dann im Fenster die Inhalte nachverfolgen.

Variablenfüllung im ablaufenden Code

Im Fenster sehen Sie die beiden letzten von 35 Variablen und dort den Beginn der modifizierten Variable vbScriptInput, also des bereits modifizierten Skriptes und den Outputpfad.

Das grundsätzliche Vorgehen sollte inklusive aller Details klar geworden sein. Sie haben sicherlich eigene Ideen, die Sie beim Nachbau umsetzen wollen. Feel free – das soll nur ein Vorschlag sein.

5.6 WeDit – Audit goes Microsoft 365

In unserer Software WeDit, die die tägliche Revisionsarbeit und Microsoft 365 zusammenbringt, sind wir in der Lage, derartige Automatismen und Dashboards einzublenden. Und natürlich von Prüfungsankündigung bis zu Berichten und Follow-Ups alles mit derartigen Bots zu automatisieren. Mehr Informationen zu WeDit gibt es hier.

WeDit - Revisionsmanagement via Teams und Microsoft 365

Power Automate Desktop ist ja bereits verfügbar und wird ständig weiterentwickelt. Ein Blick lohnt sich also (übrigens auch aus IT-Revisionssicht, da wir mit diesem Programm wunderbare IDVs/EUCs produzieren können, aber das ist eher ein eigenes Prüfungsthema).

Digitalisierung heißt auch für den Enduser sich von der Maschine viele Handgriffe abnehmen zu lassen. Und Excel-Makros finden unseres Erachtens demnächst nur noch hier statt – Sie können aber auch E-Mails sortieren lassen, die letzte PowerPoint auf den SharePoint schieben und gleichzeitig in pdf konvertieren lassen und, und, und… Umsetzbare Ideen sind ohne Ende da.

6 Continuous Audit – Strategie und Ausreißer finden

6.1 Wohin könnte Ihre Reise gehen?

Die Dashboards sollten so gut aussehen, dass diese direkt der Geschäftsleitung präsentiert werden können. Das vorgestellte Modell hat aus unserer Sicht diverse Vorteile – und hier zitieren wir einmal eine Abschlussfolie aus einem Projekt heraus:

  • Einrichtung relativ unproblematisch, im Prinzip keine Unterstützung von IT notwendig (Low-Code-Gedanke).
  • Berechtigungen unkritisch, da mit den Revisionsberechtigungen übereinstimmend. Somit Security-Anforderungen gut zu erfüllen.
  • Vorher manuell rd. 6-7 Stunden Downloads. Laufzeit aller Skripte (ca. 80 Tabellen mit Datensätzen der Bewegungsdaten im zweistelligen Mio. Bereich) ca. 20 Minuten bei einmaligem Auslösen einer Schaltfläche.
  • Nach Einarbeitung leichte Pflege der Extraktionssheets, wenn man in der Variantentechnologie in SAP geschult ist.
  • Komplett individuelle Anforderungen in den Dashboards umgesetzt (Einbindung kundenindividueller Y- und Z-Strukturen).

UND: CEO und CFO waren im Meeting von den Ideen der Internen Revision begeistert und können sich diese Ergebnisse auch für weitere Usecases vorstellen. Mehrwertfrage dürfte damit geklärt sein.

6.2 Power BI Desktop – lohnt sich der Aufwand?

Und wenn Sie die Power BI-Technologie noch nicht kennen: Alles dynamisch und interaktiv mit entsprechenden Querverbindungen und Drilldowns. Klicken soll Spaß machen und (Revisions-)Ergebnisse bringen.

Zum Abschluss ein stark anonymisiertes Power BI Dashboard, um ein mögliches Ergebnis auch einmal zu zeigen:

Anonymisiertes Dashboard in Power BI Desktop

Das ist eines von jeweils ca. 10 Dashboards in fünf getrennten Dateien (Kreditoren, Debitoren, Finanzwesen, Materialwirtschaft, Security), was entweder dem Gedanken Prüfungsstrategie oder Ausreißer verfolgt.

Wir haben einmal genau dieses Beispiel ausgewählt, weil es einige Elemente beinhaltet:

  • Daten aus SAP (Kreditoren/Geschäftspartner-Daten)
  • Daten von Transparency International mittels Excel-Import in Power BI (ja, Sie müssen diese Daten jedes Jahr erneut anpassen).
  • Visualisierung der Geo-Daten auf einer grafischen Oberfläche – klickbar in Power BI
  • Ranking-Liste mit Firmensitz in Deutschland, aber Zahlung an ausländische Bank
  • Zusätzliche Erkenntnisse: es gab tatsächlich in diesem System Kreditoren, die keine ISO-Länderkennung haben (Beispiel F anstelle von FR). Damit sind alle operativen Länderauswertungen im FI/CO-Reporting in diesem Unternehmen bis zur Korrektur falsch.
  • Zusätzlich können sofort neue Kreditoren mit einer Bankverbindung in Russland oder in einer Steueroase identifiziert werden.

7 Fazit

Wenn Sie darüber nachdenken, die Revisionsarbeit stärker zu automatisieren, kann dies ein Weg sein, ohne teure Schnittstellen zu bedienen (oder bedienen zu lassen). Die vorgestellten Methoden benötigen Einarbeitung und solide SAP-Kenntnisse, aber alles im Allem hält sich der Aufwand in Grenzen.

Wenn Sie intern (wegen Tests und zusätzlicher Recherche) etwa 20 Tage planen und auch bereit sind, Power Automate Desktop und Power BI zu nutzen, werden Sie einen erheblichen Mehrwert durch die Technologiekonzepte bemerken. Wir hoffen Ihnen mit der Darstellung alle Möglichkeiten in die Hand gegeben zu haben, dies direkt umzusetzen.

Literaturverzeichnis

Automation Anywhere. Robotic Process Automation (RPA) – Automation software that anyone can use for any business process. Available at: https://www.automationanywhere.com/rpa/robotic-process-automation

Microsoft. 2023. Einführung in SAP GUI-basierte RPA in Power Automate Desktop. Available at: https://learn.microsoft.com/de-de/power-automate/guidance/rpa-sap-playbook/introduction

The Institute of Internal Auditors. 2023. Globale Standards für die Interne Revision – Entwurf 2023 zur öffentlichen Konsultation. Available at IIA: https://www.theiia.org/globalassets/site/standards/ippf/public-comment-draft/iia-global-internal-audit-standards-public-comment-draft-german.pdf

Über die Autor:innen

linkedin
Inhaltbars