GRC – Berechtigungen und Compliance Management für SAP

Allgemeines zu Berechtigungen

Die Prüfung der Rollen und Berechtigungen werden viele Berechtigungskonflikte (SoD) und Risikotransaktionen (cA) zu Tage bringen. Aus meiner Erfahrung ist das bei “gewachsenen” Berechtigungen und Rollen meistens der Fall.

Um die vielen SoD-Konflikte – und auch den Pflegeaufwand – in den Griff zu bekommen, den Richtlinien und der Compliance innerhalb des Unternehmens gegenüber dem CIO, Compliance Officer, o.ä. bzw. Externen Prüfern zu entsprechen, führt meist kein Weg an einer Umstrukturierung des SAP Berechtigungswesens vorbei.

Probleme eines bestehenden Berechtigungskonzeptes

Gründe:

  • “wildwuchs” bei gewachsenen Rollen und Berechtigungen
  • Redundante Transaktionen und Berechtigungen in den Rollen
  • Vergabe der Berechtigungen über sog. Referenzbeutzer
  • Berechtigungen sind nicht in Arbeitsplätzen, sondern zB Prozessrollen, abgebildet
  • Kein “need2know” Prinzip
  • Viele Non-Compliance Berechtigungen und critical Transactions
  • Hoher Pflegeaufwand der Berechtigungen durch Berechtigungsadministrator

(zB Entzug/Aufnahme von Transaktionen, Darstellen von Prozessänderungen)

Der Ansatz des Taskrollenkonzeptes

Vorteile:

  • Eine Transaktion ist in einer Aufgaben-/Taskrolle
  • keine redundanten Berechtigungen in den Taskrollen
  • Vergabe der Berechtigungen über abgeleitetes Taskrollen in die Arbeitsplätze
  • need2know – d.h. nur benötigte Transaktionen (Taskrollen) in den Arbeitsplätzen
  • Erzeugung complianter Arbeitsplätze durch AP-Splitting
  • Geringer Pflegeaufwand der Berechtigungen (zB Entzug/Aufnahme einer Transaktion)
  • Weniger Manpower bei der Berechtigungsvergabe zB bei Prozessänderungen etc.