Pasted Graphic 1 Authority Management Consulting


Pasted Graphic Herausforderung in der Praxis


Die Zahl der Rechte, Rollen und Sammelrollen von SAP-Anwendern kann schnell die Grenze des Überschaubaren überschreiten. Damit das Unternehmenseigene Sicherheitskonzept bis auf die unterste Ebene jeder einzelnen SAP-Berechtigung umgesetzt wird, bieten sich andere Wege als die konventionelle händische Prüfung an, wie verschiedene Projekte mittels unserem Berechtigungstool AMS zeigen.

Mit dem Konzept der Rollenverwaltung bietet SAP die Möglichkeit, jedem Mitarbeiter analog zu seinen Aufgaben bestimmte Rechte zuzuweisen. Diese - in nicht wenigen Fällen äußerst umfangreiche - Sammlung von Zugriffsrechten auf bestimmte Objekte ist zwar zentral in einem Profil abgelegt, als Gesamtheit aller Rechte aber höchst intransparent und nur schwer im Detail zu überprüfen. Wenn man nun bedenkt, dass nahezu jede Veränderung im Unternehmen auch eine Änderung von Berechtigungen nach sich zieht (Personalwechsel, neue Aufgabenverteilung, Umstrukturierung von Abläufen usw.), wird deutlich, dass es sich lohnt, das rollenbasierte Konzept mit zusätzlichen Maßnahmen prüfen zu können.

Pasted Graphic Logische Annahmen brauchen auch sichere Überprüfungen


Die zentrale Frage aus der Sicht der Internen Revision ist dabei: Kann man sicher sein, dass das Sicherheitskonzept auch bis auf die unterste Ebene eingehalten wird, also bis in das Detail jeder einzelnen Berechtigung, im Rahmen der Rechte, Profile und Sammelprofile stimmt? Hat also die Annahme, dass die Rolle eines Anwenders richtig definiert worden ist, auch eine reale Entsprechung? Echte Sicherheit, wie sie von der Internen Revision verlangt wird, kann es nur geben, wenn jede einzelne Berechtigung auf ihr sicherheitsrelevantes „Konfliktpotenzial“ geprüft worden ist. Wenn man bedenkt, dass es für jeden Anwender eine Vielzahl von einzelnen Berechtigungen gibt, bis zu 100 Berechtigungen für einen Anwender sind keine Seltenheit, wird schnell klar, dass es sich lohnt, diese Prüfungen in irgendeiner Form zu vereinfachen, zu automatisieren, um die Berechtigungen gezielt im Rahmen der Internen Revision zu prüfen oder ganz allgemein im Rahmen der Administration von SAP.

Pasted Graphic Das Unwissen des Managements


Die Praxis zeigt, das viele Unternehmen oft gar nicht wissen, wie stark ihr Sicherheitskonzept bereits verwässert ist. Selbst detailliert ausgearbeitete Sicherheitskonzepte entsprechen im Allgemeinen nach zwei bis drei Jahren nicht mehr der Realität. Oft schleichen sich Fehler ein, die einfach weiter kopiert werden.

AMS wird heute von Verwaltungsgesellschaften als auch Industrie und Finanzdienstleistern eingesetzt. Was die Interne Revision für ihre Prüfungen nutzt, hilft der IT bereits im Vorfeld, das Sicherheitskonzept auf eine stabile Basis zu stellen. Dabei wird AMS oft in Dienstleistungen eingebettet, die rund um das Sicherheitskonzept von SAP angesiedelt sind. Die Integration von AMS in die bereits vorhandenen betrieblichen Abläufe machen AMS insgesamt zu einem eigenständigen Werkzeug, das meist flankierend zu den Beratungsleistungen eingesetzt wird.

Pasted Graphic Summary


Mit einem Instrument wie dem oben beschriebenen AMS für SAP R/3 erhalten Unternehmen sowohl für ihre Interne Revision als auch IT-Abteilungen ein einfach zu handhabendes Tool, um kritische SAP-Berechtigungen zu überprüfen. Im Rahmen nachhaltiger Berechtigungs- und Sicherheitskonzepte wird damit die Umsetzung der organisatorischen Logik unternehmenseigener Konzepte überwacht und echte Sicherheit bei den Berechtigungen hergestellt