Order to Cash – SAP SD

SAP AUDIT Package for SAP SD

Version 1
Erstellt von: SAPECOMO TEAM
Erstellt am: 05 August 2015

Ressourcen:
1. SAP Performance Optimization Guide - Analyzing and Tuning SAP Systems - von Thomas
Schneider – ISBN 978-1-59229-875-4
2. Surviving an SAP Audit - von Steve Biskie - ISBN 978-1-59229-523-4
3. SAP Performance Optimization Guide - von Thomas Schneider - ISBN 978-1-59229-368-1
4. Internet -

Order-to-Cash Cycle

Risks:
Missed sale opportunities - SAP can greatly enhance the sales process by consolidating customer information
collected from a variety of sources and making it available to the sales function.

Inaccurate quotations – Customers often rely on quotations for making buying decisions.

Pricing errors – SAP contains powerful pricing options and capabilities.

Unauthorized discounts – Use of discounts not intended by management can result in lost revenue and set pricing
precedents that are difficult to change.

Processing duplicate orders – SAP can ensure that a customer order is not duplicated or has not already started as
part of a quotation; however, certain conditions apply.

Missed delivery dates – SAP can ensure that customer delivery dates can be met; however, this relies on the
diligence of sales professionals.

Late or missed billing – Failure to completely enter key information in SAP can result in late or missed billings.

Inability to reconcile customer payments to orders – SAP contains strong matching functionality; however,
ineffective cash application processes and reconciliation procedures can make it difficult to tie incomplete customer
payments to the orders for which they apply.

Insufficient customer credit but good shipped anyway – SAP checks credit at multiple points during the sales order
process.
Revenue not recognized when allowed – While this risk primarily affects the financial reporting cycle, revenue
recognition starts with the order-to-cash cycle.

Inaccurate customer activity reporting – In the age of business intelligence, management decisions around
marketing strategies, customer care, pricing, and support is dependent on the accuracy of information.

Fraudulent transactions – The Association of Certified Fraud Examiners estimates that corporations, on average, lose
7% of revenue to fraud.

Of course, each of these risk categories is broad.

1. Limiting Access to Powerful Transactions

-The ability to perform mass maintenance (XD99)
-The ability to delete customer master data (VD06)
-The ability to perform mass changes on customer credit limits (program RFDKLI50)
-The ability to unblock business partners (VD05)
-The ability to unblock sales orders with a credit block (VKM1)
-The ability to enter customer credit memos (FB75).

XD99

VD06
Report: RFDKLI50

VD05

VKM1

FB75
 2. SOD Separation of Duty - Autorisierungen
Funktionstrennung
Zielsetzung

Zur Erreichung einer ausreichenden Sicherheit, auch im Sinne eines internen Kontrollsystems zur Erfüllung der
gesetzlichen Erfordernisse, sind bestimmte Funktionstrennungen erforderlich. Bei kleinen Unternehmen ist dies
jedoch organisatorisch oft nicht realisierbar. Deshalb sind hier zur Erreichung eines ausreichenden
Sicherheitsstandards besondere - individuell konzipierte - Überprüfungen der Stammdatenänderungen erforderlich.
Bei größeren Unternehmen können diese Prüfungen jedoch nicht die durchgehende Funktionstrennung ersetzen.
Eine wirksame Trennung von Pflege der Stammdaten und Erfassung der Bewegungsdaten verhindert betrügerische
Handlungen. Der Zugriff auf die Vertriebsdaten und Funktionen ist restriktiv ausgestaltet unter Einhaltung von
Funktionstrennungsgesichtspunkten und dem 4-Augenprinzip

Anforderungen

Eindeutig festgelegte Zuständigkeiten/Berechtigungen hinsichtlich der Stammdatenverwaltung.

Funktionstrennung in angemessener Form zwischen EDV und Fachabteilung einerseits sowie zwischen
Stammdatenpflege und Buchungstätigkeit jeder Art andererseits.

Risiken

Durch ein unzureichendes internes Kontrollsystem für die Überwachung von Stammdatenänderungen können
sowohl die Ordnungsmäßigkeit als auch die Datensicherheit beeinträchtigt werden. So können z. B. bei mangelnder
Sicherheit des Zahlungsverkehrs (Stammdatenpflege) auch Vermögensschäden auftreten.

Preventing Segregation of Duties Conflicts

The Ability to: Should Not Be Combined with the Ability to:

Process sales orders Maintain pricing conditions

Process sales orders Issue free of charge deliveries
Process sales orders Process customer credit memos
 Process sales orders
Process sales orders
Create billing documents
Create billing documents
Create customer credit memos
Create customer credit memos
Create customer credit memos
Maintain pricing conditions
RISIKO
Betrügerische Handlung aufgrund
einer unzureichenden
Funktionstrennung von
Stammdatenpflege Debitoren und
Erfassung und Fakturierung von
Aufträgen
Betrügerische Handlung aufgrund
einer unzureichenden
Funktionstrennung von der
Buchung des Zahlungseingangs
und Fakturierung von Aufträgen
Changes to Business Partners
B_BUPA_ATT
B_BUPA_FDG
B_BUPA_GRP
B_BUPA_RLT
B_BUPA_BZT
B_BUPA_FDG
Changes to Customer Master Records
F_KNA1_BED
F_KNA1_APP
Post customer payments
Release blocked documents
Maintain customer master data
Post customer payments
Release blocked documents (for customer credit)
Maintain pricing conditions
Post customer payments
Post customer payments
KONTROLLE TEST / BERICHT
Es besteht eine Funktionstrennung Keine Vergabe der Transaktionen
zwischen der Pflege der VA01 (zzgl u .a. Berobj V_VKAK_
Debitorenstammdaten und der VKO akt. 01), VF01 (zzgl. Ber.obj.
Erfassung und Fakturierung von u. a. V_VBRK_FKA akt01, V_
Aufträgen VBRK_VK0 akt01) und
Transaktion FD01 (zzgl. u .a. Ber.
obj. f_KNA1_BUK akt 01) an den
obj. f_KNA1_BUK akt 01) an den
obj. f_KNA1_BUK akt 01) an den
selben Benutzerstammsatz
Analyse über Report RSUSR002
Es besteht eine Funktionstrennung Keine Vergabe der Transaktionen V
zwischen der Buchung des F01 (zzgl. Ber.obj. u .a. V_VBRK_
Zahlungeingangs und der FKA akt01, V_VBRK_VK0 akt01)
Fakturierung von Aufträgen und Transaktion F-28 (zzgl. Ber.
obj. F_BKPf_BUK akt. 01) den
selben Benutzerstammsatz
Analyse über Report RSUSR002
F_KNA1_BUK
F_KNA1_KGD
F_KNA1_AEN

Changes to Customer Credit Master Records

F_KNKK_BED
F_KNKA_KKB
F_KNKA_AEN

Maintain Payment Card Data

B_CARD_SEC
B_CCARD

Maintain Pricing Conditions

V_KONH_VKO
V_KONH_VKS
V_KONG_VWE

3. Customizing

Maintain Status Groups – is available in the IMG under FINANCIAL ACCOUNTING – ACCOUNTS
RECEIVABLE AND ACCOUNTS PAYABLE – CUSTOMER ACCOUNTS – MASTER DATA – PREPARATIONS
FOR CREATING MASTER DATA – DEFINE ACCOUNT GROUPS WITH SCREEN LAYOUT (CUSTOMERS).
Similar functionality exists for Business Partners attributes available through the IMG under: CROSS
APPLICATION COMPONETS – SAP BUSINESS PARTNER – BUSINESS PARTNER – BASIC SETTINGS –
FIELD GROUPINGS – CONFIGURE FIELD ATTRIBUTES.
Define and Assign Incompletion Procedures - defined in the IMG at: SALES AND DISTRIBUTION – BASIC
FUNCTIONS – LOG OF INCOMPLETE ITEMS.
Configure Customer Payment Tolerances – defined through the IMG using: FINANCIAL ACCOUNTING –
ACCOUNTS RECEIVABLE AND ACCOUNTS PAYABLE – BUSINESS TRANSACTIONS – INCOMING
PAYMENTS – MANUAL INCOMING PAYMENTS – CLEARING DIFFERENCES.
Configure minimum Pricing Rules
The SAP condition type PMIN establishes minimum pricing levels. To configure a minimum price, use
menu path LOGISTICS – SALES AND DISTRIBUTION – MASTER DATA – CONDITIONS – SELECT USING
CONDITION TYPE – CREATE, or enter Transaction VK11. Select condition type PMIN, and click on “Key
Combination”.

Establish Dual Control over Sensitive Fields

Establish dual control by defining sensitive fields in the IMG using FINANCIAL ACCOUNTING –
ACCOUNTS RECEIVABLE AND ACCOUNTS PAYABLE – CUSTOMER ACCOUNTS – MASTER DATA –
PREPARATIONS FOR CREATING CUSTOMER MASTER DATA – DEFINE SENSITIVE FIELDS FOR DUAL
CONTROL (CUSTOMERS).

Configure Credit Checking to Minimize Business Risk

-Credit management
-Procedures and analyses for assigning credit limits
-Credit checking procedures.
Defining Credit Checking by Sales Document
Transaction OVAK-Credit Limit Check by Sales Document illustrates an example where credit checking has
been enabled for document type AGIS.
Defining Automatic Credit Control – Transaction OVA8.
Establishing Document Flow Control
-For Delivery - shows where this is configured for each delivery type and sales document type relationship
– transaction VTLA (delivery types to sales documents);
-For Billing – shows where similar controls can be established for billing documents – transaction VTFA
(billing types to sales documents).

Enhance Controls over Returns and Credits – Transaction VOV8.

To enhance control over customer credits, navigate the IMG to SALES AND DISTRIBUTION – BILLING –
BILLING DOCUMENTS – DEFINE BLOCKING REASON FOR BILLING.

Define Appropriate Dunning Procedures

Dunning is configured in SAP through the IMG at: FINANCIAL ACCOUNTING – ACCOUNTS RECEIVABLE
AND ACCOUNTS PAYABLE – BUSINESS TRANSACTIONS – DUNNING – DUNNING PROCEDURE.

Other Configuration Tips:

-Alternate Payment Currencies
-Duplicate Business Partners.

Additional Procedures and Considerations:

-Implement Order Entry Completeness and Timeliness Procedure;
-Provide Order Confirmations;
-Eliminate Duplicates from the Material Master and Customer Master;
-Establish Procedures for Verifying Pricing Conditions:
-Periodically Verify Pricing Conditions
-Sample Sales Orders and Verify Correct Pricing Calculation.
RISIKO
Mahnverfahren sind unzureichend
ausgestaltet, Mahnstufen im System
stimmen nicht mit
Konzernvorgaben überein.
Mahnläufe werden in
unregelmäßigen Abständen
durchgeführt
Ausgewiesene Forderungen zum
Bilanzstichtag haben keinen
Bestand.
Mängel im Kreditlimitprozess
führen dazu, dass Geschäfte
getätigt werden, bei denen
Forderungen uneinbringlich werden
können
Eingepflegte Kreditlimite werden
nicht eingehalten (Offene Posten
übersteigen das eingepflegte
Kreditlimit ohne Genehmigung)
Kreditlimite sind nicht vollständig
gepflegt
KONTROLLE
Die im System hinterlegten
Mahnverfahren stimmen mit den
Konzernvorgaben überein und sind
wirksam ausgestaltet. Die
Zuordnung der Mahnverfahren ist
korrekt.
Es wird laufend überprüft, ob
regelmäßige, zeitnahe Mahnläufe
durchgeführt werden.
Die Debitorenumsätze werden auf
ihre Werthaltigkeit und Plausibilität
durch das Management kontrolliert
Funktionierendes
Kreditmanagement, alle Debitoren
haben ein genehmigtes,
angemessenes Kreditlimit
zugeordnet
Eingepflegte Kreditlimite sind
genehmigt und werden eingehalten
Kreditlimitdaten sind vollständig
gepflegt und genehmigt
TEST / BERICHT
Analyse der im System hinterlegten
Mahnverfahren im Customizing
Transaktion OBl6, Zuordnung der
Mahnverfahren über Tabelle KNB5
Mahnhistorie Transaktion F150
Managementreview des Reports
RFDUML00
Report für Debitoren – Umsätze
Die Debitorenumsatzliste zeigt die
Umsätze in „Hauswährung –
Hauswährung“ oder in einer von
Ihnen zu bestimmenden Währung
Analyse der Tabelle KNKK,
Transaktion FDK43
Report RFDKLI40
(Ausschöpfungsgrad),
Analyse bei welchen Debitoren
die Offenen Posten das eingepflegte
Kreditlimit übersteigt
Report RFDKLI40 – Kreditübersicht.
Zweck: Um einen Überblick über
die Debitorenstammdaten zu
bekommen, die für das
Kreditmanagement eines Debitors
benötigt werden, kann ein
Kreditdatenverzeichnis erzeugt
werden
Report RFDKLI40
Haupt- und Nebenbücher stimmen
nicht überein
Erforderliche Wertberechtigungen
werden nicht durchgeführt
Ein erforderlicher Ausweis nach
Forderungen Inland / Ausland /
Verbundene erfolgt nicht
(Abstimmkonten sind falsch
definiert)
Die unterschiedlichen Sichten der
Debitorenstammdaten sind nicht
konsistent gepflegt (Vertriebssicht /
Buchhaltungssicht)
Unautorisierte Pflege von Debitoren
Stammdaten
Falscher Ausweis im Hauptbuch
Einmalkunden werden missbrauch
verwendet
Unautorisierte Änderungen an
Debitoren gefährden die Integrität
der Stammdaten.
Regelmäßige Abstimmung von
Haupt- und Nebenbücher
Analyse der Altersstruktur und
Wertberechtigungen der Offenen
Posten
Überprüfung der Abstimmkonten
auf korrekte Definition.
Überprüfung der vollständigen und
konsistenten Pflege der
Stammdatensichten
Überprüfung wer wann welche
Debitoren angelegt hat (in
Stichproben)
Überprüfung, ob alle Debitoren ein
richtiges Abstimmkonto zugewiesen
haben, Überprüfung der
inhaltlichen Richtigkeit in
Stichproben
Überprüfung der angelegten cpd
Konten, dass nur Vorgänge mit
geringen Beträgen erfasst werden
Überprüfung der Änderungen an
Debitorenstammdaten. Änderungen
an Stammdaten werden korrekt
aufgezeichnet.
Transaktion SAPF190
Report RFDOPR10 und
Transaktionen F.10 / FS10N zur
Anzeige der Wertberechtigungen
Report RFDOPR10 Analyse
Debitoren nach Saldo offener
Posten
Report RFDSLD00 (Selektion auf
Abstimmkonten Debitoren über
freie Abgrenzung)
Report für Anzeige von Salden
Report RFDKAG00
(Selektionsparameter: nicht
angelegt in Buchhaltung, nicht
angelegt im Vertrieb)
Report für Stammdatenabgleich der
Debitoren
Debitorenstammsätze werden in der
Finanzbuchhaltung und im Vertrieb
angelegt und gepflegt. Dies kann
dazu führen, dass Debitorenkonten
z.B. in der Finanzbuchhaltung und
nicht im Vertrieb angelegt sind.
Report RFDKVZ00 (freie
Abgrenzung angelegt von Angelegt
am)
Report zum Debitorenverzeichnis
dient zur Anzeige und Ausdrucken
derjenigen Debitorenstammdaten,
die im Bereich der
Finanzbuchhaltung benötigt
werden. Es kann somit zur
Information und für Zwecke der
„Dokumentation“ verwendet werden
Databrowser SE16, Tabelle KNB1,
Selektion auf dem Feld
Abstimmkonto
Report RFDKVZ00 Selektion CpD
Konten. Saldenanzeige der Konten
FD10N
Änderungsreport RFDABL00
Einstellungen zum Änderungsreport
in der Tabelle T077D
Report für Änderungsanzeige
Debitoren
Mit diesem Report haben Sie die
Möglichkeit die Änderungen bei
 Debitorenstammdaten
kontenübergreifend anzuzeigen.
Selektionsmöglichkeiten bestehen
über den Debitor, über den
Änderungdatum, den Namen des
Änderers und die Feldgruppe.
Zusätzlich kann gewählt werden ob
die Änderungen zu den
allgemeinen Daten, den
Buchungskreisdaten bzw. Den
Vertriebsbereichsdaten angezeigt
werden. Innerhalb der
Datenbereichen kann auch der
Organisationsform abgegrenzt
werden.
Vier Sortierungsmöglichkeiten
stehen zur Verfügung:
- Sortierung nach der
Änderungszeit
- Sortierung nach der
Kontonummer
- Sortierung nach dem
Namen des Änderers
- Sortierung nach dem
Feldnamen

4. REPORTS – SAP REPORT HIGHLIGHTS

1. Reports Identifying Changed Data:
-Pricing Condition Changes – RV16ACHD menu path LOGISTICS – SALES AND DISTRIBUTIONS
– MASTER DATA – CONDITIONS – SELECT USING CONDITION TYPE – DISPLAY or through
Transaction VK13 menu path ENVIRONMENT – CHANGES – CHANGE REPORT.

-Customer Changes – RFDABL00 menu path LOGISTICS – SALES AND DISTRIBUTION –

MASTER DATA - BUSINESS PARTNER – CUSTOMER – DISPLAY CHANGES or accessed
Transaction OV51 or S_ALR_87012182.
 -Customer Credit Changes – RFDKLIAB menu path ACCOUNTS RECEIVABLE – CREDIT
MANAGEMENT – CREDIT MANAGEMENT INFO SYSTEM or through Transaction
S_ALR_87012215.

2. Review One-Time Customer Usage –RFDKVZ00.

3. Incomplete Information or Processing
4. Missing Customer Data – RFDKAG00 (Transaction F.2D).

5. Missing Credit Data – RFDKLI10 (or Transaction F.32).

6. Incomplete Sales Orders – RVAUFERR (or Transaction V.00).

7. Outstanding Invoices – SDBILLDL (or Transaction VF04).

8. Outstanding Goods Shipment:

-Backorders: Program RVAUFRUE, Transaction V.15;

-Outbound Deliveries to be Posted: Transaction VL06, program WS_DELVERY_MONITOR.

You can also view sales order wordlists by shipping point, and select a delivery creation date in the past to
view old, outstanding orders Transaction VL04, program RV50SBT1.

9. Billings Awaiting Posting to the General Ledger - Transaction VF03, or program SAPMV60A.
10. Customers Exceeding Credit Limits – use Credit Overview screen, program RFDKLI40.

11. Potential Issues – Fraud Control - Invoice Number Allocated Twice (Transaction S_ALR_87012341).