IT-Revision: Als externes Prüfungstool für IT-Auditarbeiten …

… stellt Ihnen der CT-Assist als Add-On zur Software-Technologie der SAP SE ein signifikantes Unterstützungspotential für den IT-Bereich zur Verfügung.

Analyse von ABAP-Coding ohne Änderung im Sourcecoding

Wenn Sie den CT-Assist für Revisionszwecke einsetzen, werden keine Veränderungen an ABAP-Programmen vorgenommen, dies wird durch das SAP-Berechtigungskonzept gesteuert. Der CT-Assist bietet Ihnen als system-unabhängiges externes Softwaretool umfangreiche zusätzliche Prüfungsoptionen und Dokumentationen.

Anwendungsbereiche für die IT-Revision

1. Unterstützung des CT-Assist innerhalb der Prüfungsphasen
1.1 Die turnusmäßige Prüfung im IT-Bereich …
1.2. Die Prüfungsarbeiten …
1.3. Die Prüfungsergebnisse …

2. Beispiele für die Anwendungsunterstützung durch den CT-Assist …
2.1 Analyse des statischen ABAP® Codings und der verwendeten Tabellen …
2.2 Analyse der dynamischen Vorgänge zum Zeitpunkt der Programmausführung …
2.3 Kritische Analyse des IT-Workflows …
2.4 Unterstützung von Programmrevision, Programmprüfung, Ordnungsmäßigkeit, Authority, mehr …
2.5 Weitere Prüfungsfelder, mehr …

3. Der Einsatz zertifizierter Software = Applikationssicherheit für Ihr Unternehmen…


1. Unterstützung des CT-Assist innerhalb der Prüfungsphasen

Der CT-Assist wird als externes Prüfungstool eingesetzt z.B. für die Prüfungsaufgaben:

– Analyse von ABAP® Programmen
– Prüfung kritischer Codingstellen
– Coding-Transparenz durch Visualisierung
– Revision der Dokumentation
– Anwendung der Programmierrichtlinien
– Kontrolle von Projektunterlagen
– Revisionsergebnisse an der jeweiligen ABAP-Condingstelle dokumentieren
– …

Systemprüfungen durch ABAP-Prüfprogramme ?

Ein wichtiges Kriterium zur Qualitätsbeurteilung von Audit-Tools für die Programmprüfung ist Umfang, Qualität und Detailierungsgrad innerhalb der Analyse und Dokumentation von ABAP-Programmen. Zusätzlich stellt sich im Rahmen einer Systemprüfung die Frage, in welcher Programmsprache die Prüfungssoftware realisiert wurde (IKS-Prinzipien).

Der CT-Assist wurde als  C++ Programm (und nicht als ABAP Programm) realisiert und kann damit auch die untere Detailierungsebene des Codings der zu prüfenden ABAP-Programme autonom analysieren.

1.1. Die turnusmäßige Prüfung im IT-Bereich …

Im Rahmen einer turnusmäßigen Revision im IT-Bereich sollte die systematische Bearbeitung eines vorgegebenen Prüfungsrasters erfolgen, um z.B. das “Internal Control” auf Funktionalität, Effektivität, Plausibilität und Applikationssicherheit im IT-Bereich zu kontrollieren.

Die dabei festgestellten kritischen Stellen im IT-Workflow oder innerhalb der IT-Objekte (Programme, Tabellen, Dokumentation, Programmergebnisse usw.) sind anschließend je nach Relevanz auf Detailebene einer weiteren Schwerpunktprüfung zu unterziehen.

1.2. Die Prüfungsarbeiten …

Zu den Prüfungsarbeiten auf Detailebene gehören z.B.: Die Analyse von ABAP® Programmen, Kontrolle von Projektunterlagen, Revision der Dokumentationen im Prüfungszeitraum, Nachvollziehen der tatsächlich prozessierten Daten während des Programmeinsatzes, Art und Umfang von Tabelleninhalten innerhalb der Zeitachse, Prüfung der AuthorityRisikobeurteilung, …

1.3. Die Prüfungsergebnisse …

Die im Revisionsbericht dargestellten Prüfungsergebnisse sollten geeignet sein, kostengünstig die beanstandeten Programm-Objekte am Ursprungsort zu korrigieren.

Wie können Beanstandungen der Revision dem Ursprungsort konkret zugeordnet werden?
Ihre Beanstandungen können Sie z.B. direkt dem betreffenden ABAP-Coding über Online-Formulare als Bookmark zuordnen, dies ermöglicht später eine effektive Realisierung der Programmkorrekturen.

Der CT-Assist stellt mehr als 40 Online-Formulare zur Dokumentation unterschiedlicher Ereignisse zur Verfügung. Diese Formulare/Checklisten können Sie Ihren hausinternen Richtlinien entsprechend anpassen.

Die Online-Formulare sind nach Abschluss der Prüfungsarbeiten bei den anschließend durchzuführenden Programm- oder Workflow-Änderungen vom IT-Bereich als Basisinformation und zur Programmdokumentation zu nutzen. Wir zeigen Ihnen nachfolgend einige Anwendungsbereiche des CT-Assist in der Revisionspraxis.


2. Beispiele für die Anwendungsunterstützung durch den CT-Assist …

2.1. Analyse des statischen ABAP Codings und der verwendeten Tabellen

Die Kontrolle der Integrität der im IT-Bereich zu bearbeitenden Daten hat innerhalb der Programmprüfung einen hohen Stellenwert. Neben der Analyse des statischen ABAP Codings, der beteiligten Tabellendaten, Art und Zeitpunkt des Programmeinsatzes, Interaktionen mit anderen Komponenten zur Laufzeit usw. ist zusätzlich unbedingt eine Analyse der dynamischen Ereignisse und Prozeduren erforderlich.

Checkliste für kritische Codingstellen
Der CT-Assist generiert durch maschinelle Analysen des ABAP Codings, verbunden mit der Suche nach kritischen Codingstellen, zu den gefundenen relevanten Coding-Prüfpunkten, eine situationsbezogene Checkliste.

Prüfungsfragen für kritische Codingstellen
Die zu den jeweiligen Fundtreffern ausgewiesene Checkliste unterstützt die nachfolgenden systematischen Prüfungsarbeiten durch Fragen/Hinweise/Reaktionen zu der Problematik der jeweiligen Codingstelle.

Checkliste mit mehr als 60 Prüfpunkten
In der Auslieferungsversion des CT-Assist stehen mehr als 60 Prüfpunkte als Vorschlag für die weiteren Prüfungsarbeiten zur Verfügung. Sie können Ihre hausinternen Regeln oder Prüfungsschwerpunkte in diese Detailanalyse einbringen.

2.2 Analyse der dynamischen Vorgänge zum Zeitpunkt der Programmausführung

Dynamische ABAP® Befehle … 
Konkret betrifft dies die Analyse von dynamischen Vorgängen zum Zeitpunkt der Programmausführung. Die Wirkung von variablen ABAP Befehlen zum prozessierten Zeitpunkt ist zu ermitteln. Hier steht der endgültige Programm- und Befehlsablauf erst zum Zeitpunkt der Befehlsausführung fest.

Tabelleninhalt zur Progammlaufzeit … 
Es ist grundsätzlich festzustellen, dass von den prozessierten ABAP Programmen (Transaktion, Report, …) allgemein in großem Umfang Steuerungstabellen verwendet werden, deren ständige Verwaltung dem jeweiligen Fachbereich zugeordnet ist.

Welcher Tabelleninhalt zu welchem Zeitpunkt von welchem Programm wie verwendet wurde, ist eine der wesentlichen Prüfungsaufgaben.

Revision bei dynamischer Programmausführung
Die Kontrolle der dynamischen Einflussfaktoren kann erfolgen z.B. durch die Prüfung der konkreten Programmergebnisse (z.B. durch systematische Testfälle) oder durch Aufzeichnung der Ergebnisse auf Befehlsebene.

Welches ABAP Programm welche Ergebnisse wann produziert hat und auf welche Weise durch welche Befehle diese Ergebnisse entstanden sind, kann mit vertretbarem wirtschaftlichen Aufwand nur durch Trace-Aufzeichnungen ermittelt werden.

Trace-Aufzeichnungen
Zusätzlich zum CT-Assist stehen zur Analyse dynamischer Einflussfaktoren 2 gesonderte Add-Ons zur Verfügung (nicht im Lieferumfang des CT-Assist enthalten):

  • Dynamische Aufzeichnung mit dem CT-Debug & Trace_Modul
    Der CT-Assist stellt solche Trace-Aufzeichnungen nicht zur Verfügung. Für diesen Prüfungsbereich empfehlen wir Ihnen das kostenpflichtige Add-On “CT-Debug & Trace_Modul”. Dieses von uns angebotene Add-On ist in der Lage, in schneller Folge die prozessierten Befehle und den Inhalt der beteiligten Variablen autonom aufzuzeichnen.
    Nach Abschluss eines automatischen Trace-Ablaufes stehen Ihnen umfangreiche Trace-Informationen zur Verfügung, diesen Informationspool können Sie durch die mitgelieferten Auswertungsroutinen analysieren.Sie sehen z.B. welcher Variableninhalt zu welchem Zeitpunkt in welchen Variablen von welchen Befehlen wie bearbeitet wurde (manuelles Debugging war gestern …).
    Weitere Infos …
  • Visuelle Darstellung von Traceaufzeichnung mit dem CT-Test & Optimizer
    Mit einem weiteren Add-On (“CT-Test & Optimizer”) können Sie die aufgezeichneten Prozess-Informationen aus dem Informationspool der Traceaktionen graphisch z.B. als CALL-Graph darstellen, um so einen schnellen Überblick über die aktuell prozessierten Programmteile und deren Häufigkeit zu erhalten.
    Auch ein Vergleich der Graphen aus der statischen Analyse des Codings (= CT-Assist) mit dem Ergebnis des Traceablaufes (= CT-Test & Optimizer) ist aufschlussreich. Interessant dabei sind z.B. die statische Programmstruktur und der reale Programmablauf, die nicht prozessierten Programmbereiche, die Optimierung der häufig verwendeten Codingteile, die Prozessdokumentation zur Klärung einer Fehlersituation, usw.. Weitere Infos …


2.3 Kritische Analyse des IT-Workflows

Die von dem CT-Assist generierten Online-Formulare können IT-Ablaufbeschreibungen, Planungsdaten oder auch konkrete Arbeitsergebnisse des jeweils aktuellen IT-Workflows enthalten. Zu der Workflow-Planung zählt z.B. die visuelle Darstellung des Workflow-Ablaufes mit In/Output-Definition sowie der relevanten Bearbeitungsschritte. Die dokumentierten Arbeitsergebnisse je Workflow-Step dienen z.B. der Information für die nachfolgenden Steps.

Die IT-Revision kann aufgrund der implementierten Online-Formulare für die jeweiligen konkreten IT-Workprozesse sowohl die Einhaltung der vorgegebenen Bearbeitungsketten formell und substanziell prüfen als auch die korrekte Bearbeitung der Work-Steps bewerten.

Durch den Einsatz von Online-Formularen kann der jeweils aktuelle Arbeitsprozess transparent gehalten werden. Zusätzlich wird der zu einem späteren Zeitpunkt erforderliche Prüfungsaufwand der IT-Revision signifikant reduziert.

Die vom CT-Assist zur Verfügung gestellten Muster-Formulare (Templates) können kundenindividuell modifiziert sowie weitere Templates erzeugt werden. Die Analyse und Auswertung dieser Online-Formulare kann über gesonderte Menüfunktionen des CT-Assist erfolgen  (‘Doku-Administration’, ‘Info-Objekte auswerten’, …)

2.4. Unterstützung von Programmrevision, Programmprüfung, Ordnungsmäßigkeit, Authority

Im Rahmen der Programmrevision können z.B. die im ABAP Coding verwendeten benutzerorientierten Schnittstellen einen Schwerpunkt bilden. Hier ist durch die Filterung der relevanten ABAP-Schlüsselworte (z.B. PARAMETERS, SELECT-OPTIONS, INITIALIZATION, MESSAGE, …) zu ermitteln, ob eine geeignete Kommunikation/Steuerung zwischen Benutzer und dem ABAP-Programm ermöglicht wird.

Der Prüfungsschwerpunkt ist z.B. die Usability (Fehlermeldungen/Hinweise mit verständlichen Begriffen, eindeutige Anweisungen/Alternativen,…) oder ob ergonomische Layout-Schwächen ersichtlich sind.

Sie können z.B. im CT-Assist Ihre hausinternen Prüfungsfragen zum Thema “Schnittstellenprüfung – Benutzerunterstützung” als Checkliste vorgeben (incl. regulare Expression) und damit durch den CT-Assist Ihre kundeneigenen Y/Z-Programme kontrollieren. Die Ergebnisse werden je Suchtreffer und den dazugehörigen Dokumentationsanweisungen zur Einzelbearbeitung generiert.

Web-Dynpro, digitale Signatur, Directory-Services …
Auch diese nicht direkt durch den CT-Assist unterstützten Kontrollen dieser Programmelemente sind im Rahmen einer Revision zu berücksichtigen. Neben Virenscannern (HTML-Coding) sind auch zahlreiche externen Schnittstellen (digitale Signaturen, Directory-Services, …) zu nennen.

Das ABAP Coding dieser Programmelemente ist indirekt zu prüfen und die entsprechenden Übergabeparameter oder Schnittstellen zu untersuchen. Die Prüfungsergebnisse können in Online-Formularen dokumentiert und direkt als Bookmark dem ABAP Coding hinzugefügt werden.

2.5 Weitere Prüfungsfelder

Durch zahlreiche ergänzende Anwendungsmöglichkeiten kann der CT-Assist Sie bei der Durchführung von weiteren Prüfungsaufgaben unterstützen:

Revision der Dokumentation und Programmanalysen
Änderungen von ABAP Programmen oder innerhalb externer Projektdokumente können über den CT-Assist dokumentiert und historisiert auf der Zeitachse abgebildet werden. Für jeden Zeitpunkt innerhalb der Entwicklungszeit oder nach der erstmaligen produktiven Freigabe des ABAP Programms ist somit eine dem realen Programmstand entsprechende Dokumentation verfügbar.
Die von dem CT-Assist bereits in der Vergangenheit erstellte Programmdokumentation enthält neben dem jeweils gültigen Coding eine umfangreiche Sammlung von Analysedaten. Diese Daten können revisionstechnisch aufbereitet und ausgewertet werden. Durch konstante Auswertungs-Profile je Generierung ist zudem eine Vergleichbarkeit der einzelnen Dokumentationsversionen gegeben.

Kontrolle der Projektunterlagen (Historie, Verwaltung, Administration, …)
Neben der Programm-Dokumentation sind auch die verketteten, ergänzenden Dokumente (z.B. Change-Request, Maintenance-Arbeiten, Klärung von unplausiblen Programmergebnissen, …) in den Prüfungsauftrag einzubeziehen. Durch einige der im CT-Assist enthaltenen Menüfunktionen (z.B. Doku-Administration) werden diese Revisionsarbeiten unterstützt.

Ein Beispiel:
Sämtliche Dokumentationsobjekte eines ABAP-Programms stehen als Inhaltsverzeichnis durch die Funktion ‘Doku-Adminstration’ zur Verfügung. Durch Doppelklick auf eine Zeile positionieren Sie zu dem ausgewählten Dokumentations-Objekt.  Dieses Objekt  kann weitere Doku-Objekte als Attachment zur Verfügung stellen.

Dokumentationsobjekte eines ABAP-Programms


Prüfung auf Einhaltung der hausinternen IT-Rules
Die für die Programmentwicklung zu beachtenden hausinternen Verfahren/Regeln/Hinweise/Help-Informationen  können bis auf Detailebene (= ABAP Befehle) vorgegeben werden. Diese strikten Vorgaben bzw. Help-Informationen  können im CT-Assist für jeden IT-Arbeitsplatz pro ABAP-Befehl abgebildet werden.

Doppelklicknavigation für die IT-Revision
Die Prüfung auf Einhaltung dieser Normen kann die IT-Revision effektiv durchführen, weil diese Informationen via Doppelklick direkt im CT-Assist zur Verfügung stehen.

Screenshot:
Hier sehen Sie, wie direkt aus dem ABAP-Coding z.B. das Dokument ‘DNR1’ aufgerufen wird und von ‘DNR1’  durch Mausklick die jeweiligen  IT-Rules angezeigt werden.

IT-Rules für die Verwendnung des Doku-Formulars (DNR1)

3. Der Einsatz zertifizierter Software = Applikationssicherheit für Ihr Unternehmen…

Die Applikationssicherheit in Ihrem Unternehmen wird unterstützt durch die Zertifizierung des CT-AddOn vom Hersteller der ERP-Software. Damit wird die ordnungsgemäße Verwendung von Schnittstellen, die ablaufrelevanten AddOn-Funktionen und die einwandfreie systemtechnische Implementierung bestätigt.

Sie erhalten ein AddOn-Produkt mit geprüfter Systemintegration innerhalb Ihrer ERP-Umgebung. Zertifizierte Softwareprodukte erhöhen signifikant Ihre IT-Sicherheit.

Die Softwarelösung CT-Assist wurde am 28.03.2011 von der SAP SE zertifiziert, mehr …