So gelingen mit minimalem Zeitaufwand umfassende Fach- und Rahmenberechtigungskonzepte für SAP ERP und S/4HANA

| @securityblog

SAST Blog: So gelingen mit minimalem Zeitaufwand umfassende Rahmen- und Fachberechtigungskonzepte für SAP ERP und S/4HANAAls SAP-Anwender sind Unternehmen verpflichtet Regelungen und Verfahrensweisen in Dokumenten zu beschreiben, die den aktuellen Stand im System abbilden und den allgemeinen Compliance Richtlinien entsprechen. Die Fach- und Rahmenberechtigungskonzepte gehören zu diesen wichtigen Dokumentationen, sowohl für die internen Anforderungen als auch für die jährliche Kontrolle von externen Wirtschaftsprüfern. Mit einer guten Dokumentationsvorlage gelangen Sie deutlich schneller ans Ziel.

 

Rahmenberechtigungskonzepte, die die allgemeinen Regelungen der Benutzer- und Berechtigungsverwaltung beschreiben, kann man auch als „Grundgesetz der Benutzer- und Berechtigungsverwaltung“ ansehen. Ohne ein Gesetz gibt es keine definierten Regeln, an die sich Bürger halten müssen. Es würde regelrecht Anarchie herrschen.

Vermeiden Sie diesen Zustand in Ihrer Systemlandschaft in dem Sie im Rahmenberechtigungskonzept so ein „Grundgesetz für die Benutzer- und Berechtigungsverwaltung“ schaffen. 

Wichtige Inhalte für Rahmenberechtigungskonzepte

  • Beschreibung der System- und Rollenarchitektur
  • Namenskonventionen von Einzel- und Sammelrollen, Benutzerstämme, Benutzergruppen für Frontend und Backend-Systeme
  • Verantwortlichkeiten in der Benutzer- und Berechtigungsverwaltung
  • Beschreibung von Daten- und Rollenverantwortlichkeiten
  • Vieraugenprinzip in der Benutzer- und Berechtigungsverwaltung
  • Transportwege und Testverfahrensweisen
  • Umgang mit kritischen Berechtigungen und Querschnittsfunktionen
  • Monitoring-Prozess für Funktionstrennungsrisiken und kritische Berechtigungen
  • Systemparamater für den Anmelde- und Kennwortschutz (LOGIN / AUTH)
  • Umgang mit SAP-Standardbenutzer (z.B. SAP*, DDIC, EARLYWATCH, WF-BATCH, etc.)
  • Notfallbenutzerverfahren
  • Genehmigungsverfahren im Benutzer- und Rollenantragsprozess

Gleiches gilt für die einzelnen Fachbereiche. Wenn Sie SAP-Anwendungen für die Abwicklung des Rechnungswesens und Controlling (FI/CO) verwenden, müssen Sie bestimmte Compliance Anforderungen einhalten. Ohne Dokumentation existieren keine definierten Regelungen und hierdurch keine Vorgaben für eine ordnungsgemäße Berechtigungsvergabe. Die unvermeidbare Konsequenz ist ein Wildwuchs in den Berechtigungsvergaben und Kontrollverlust.

Gerade im Controlling und Finanzwesen sollten Berechtigungen sehr restriktiv nach dem „Need to know Prinzip“ vergeben werden. Andernfalls drohen Manipulation in der internen Rechnungslegung, was am Ende zu einer verfälschten Bilanz und GuV Rechnung führen kann, ebenso Unterschlagung mit den Folgen finanzieller Schäden für Ihr Unternehmen. Dies sind nur mögliche Beispiele für Negativ-Szenarien.

Eine Dokumentation verschafft auch hier Abhilfe, da Zugriffsregelungen genau beschrieben und die Berechtigungsvergabe hiernach gesteuert werden kann.

Wichtige Inhalte und Grundlagen der Fachberechtigungskonzepte FI/CO

  • Beschreibung der verwendeten Prozesse im FI/CO
  • Auflistung relevanter Organisationsebenen, wie z.B. Buchungskreise oder Kostenrechnungskreis mit Beschreibung
  • Auflistung von Kostenstellen, Innenaufträgen oder Profit Center
  • Arbeitsplatzdefinitionen (Business Roles)
  • Auflistung von Sammel-, Einzel- und Sonderrollen (Rollenkatalog)
  • Beschreibung von Daten-, Rollen- und Personalverantwortlichen
  • Berechtigungsgruppen für Tabellen und Eigenentwicklungen
  • Umgang mit bestimmten kritischen Funktionen (z.B. Buchungsperiode öffnen / schließen, laufende Einstellungen oder Stammdatenpflege)
  • Technische Benutzer im FI/CO
  • Umgang mit Funktionstrennungsrisiken
  • Prozesskontrollen
  • Monitoring- und Kontrollprozess zur Einhaltung des Compliance Standards

Der Zeitaufwand für das Schaffen von Dokumentationen, welche Ihren Anforderungen sowie denen der Wirtschaftsprüfer gerecht werden, ist in der Regel sehr hoch. Mit den SAST-Dokumentationsvorlagen, die bereits viele Empfehlungen beinhalten, kommen Sie jedoch deutlich schneller ans Ziel, da Sie sie nur noch an Ihre individuellen Anforderungen anpassen müssen. Der Zeitaufwand verkürzt sich dadurch zumeist um 80-90% im Vergleich zum Aufwand ohne Dokumentenvorlage. So können Sie Ihre kostbare Zeit anderweitig wertschöpfend einsetzen.

Gerne stellen wir Ihnen unser praxiserprobtes Rahmenberechtigungskonzept sowie die für Ihr Finanzwesen benötigten Fachberechtigungskonzepte SAP Controlling, SAP Finance und SAP FI Asset Management als Vorlagen zur Verfügung.

Weitere Konzepte in unserem Angebot sind:

  • Fachberechtigungskonzept Sales & Distribution (SAP-SD)
  • Fachberechtigungskonzept Materials Management (SAP-MM)
  • Fachberechtigungskonzept Human Capital Management (SAP-HCM)
  • Fachberechtigungskonzept Plant Management (SAP-PM)
  • Fachberechtigungskonzept Production Planning and Control (SAP-PP)
  • Fachberechtigungskonzept Project Systems (SAP-PS)

Diese umfassenden Dokumente, die in auch in Englischer Sprache erhältlich sind, helfen Ihnen dabei den Soll-Zustand zu dokumentieren, so dass Sie stets die Möglichkeit haben, die festgelegten Regelungen mit dem Ist-Zustand im System abzugleichen und anschließend im System anzupassen.

Informieren Sie sich vorab auf unserer SAST SOLUTIONS Website und wenn wir Ihr Interesse geweckt haben, schreiben Sie uns an, das SAST-Team berät Sie gerne.

Steffen Maltig (SAST SOLUTIONS))
Steffen Maltig (Head of SAP Consulting, SAST SOLUTIONS)

 

Das könnte Sie auch interessieren:

Wie Sie die richtigen Vorgaben für ein Rahmenberechtigungskonzept Ihrer SAP HANA-Datenbank erstellen

SAP S/4HANA-Berechtigungen und die Qual der Wahl: Brownfield oder Greenfield