SAP-Systeme sind heutzutage oft das Kernstück von IT-gestützten Geschäftsprozessen. Hierbei gilt es auch ein entsprechendes Berechtigungskonzept – also die erlaubten Zugriffe der Systeme auf unternehmensinterne Prozesse und Daten – zu definieren. SAP-Autorisierungen sind komplex, zeit- und ressourcenintensiv und erfordern besondere Aufmerksamkeit bei der (Neu-) Implementierung, Restrukturierung oder der täglichen Benutzerverwaltung. Sie sichern und unterstützen die Qualität und Sicherheit von Geschäftsprozessen und spielen eine wichtige Rolle bei der Verwaltung von Systemen, Organisationen und deren vertraulichen Daten.
Die Komplexität der SAP-Autorisierung
SAP-Berechtigungsprojekte werden häufig als reine IT-Aufgabe verstanden, doch Berechtigungsmanagement ist mehr als das. Die Umsetzung eines nachhaltigen, effizienten und ordnungsgemäßen Berechtigungskonzepts erfordert umfassendes Expertenwissen und daher ein interdisziplinäres Team aus den Bereichen Prüfung und Beratung.
Der gesamtheitliche Ansatz von KPMG stellt sicher, dass ein transparentes und flexibles Berechtigungskonzept verwirklicht wird. Unser Leistungsspektrum deckt von der Erstanalyse bis zur Implementierung alles ab und kann individuell auf die Kundensituation abgestimmt werden. Ziel ist es, alle Phasen der Umsetzung zu beschleunigen. Der gemeinsame Einsatz von Business und IT Know-how, unter Berücksichtigung der kundenindividuellen Bedürfnisse führen zum nachhaltigen Erfolg.
In dieser Phase wird das Unternehmen und die dazu relevanten IT-Systeme identifiziert, das aktuelle Berechtigungskonzept beurteilt und die Anforderun¬gen erfasst. Hierzu zählen ebenso die Identifizierung der sicherheitskritischen Geschäftsprozesse und deren Sicherheits- und Qualitätsrichtlinien. Darüber hinaus werden in dieser Phase potenzielle signifikante Risiken und Vorfälle, auch aus IT-Sicht analysiert und identifiziert. Diese Informationen dienen als Basis der Optimierung und Validierung des Berechtigungskonzeptes.
Treten bei der Evaluierung der Phase 1 Abweichungen, Unstimmigkeiten oder Probleme auf, werden mit dem Kunden gemeinsam Handlungsempfehlungen erarbeitet und ein Maßnahmenkatalog erstellt. Außerdem kann bei der Integration der Handlungsempfehlungen und Maßnahmen in ein bestehendes Berechtigungskonzept unterstützt werden.
In der Designphase werden auf Basis der Erstanalysen gemeinsam mit dem Fachbereich und der IT die detaillierten Anforderungen an das Berechtigungskonzept erhoben. Anhand dieser detaillierten Anforderungen wird dann ein Berechtigungskonzept abgeleitet. Kritische Zugriffsberechtigungen und Funktionstrennungskonflikte (SoD…Segregation of Duty) werden in dieser Phase identifiziert und dokumentiert. Resultat der Designphase ist ein detailliertes Berechtigungskonzept bestehend aus:
- Dokumentation der sicherheitskritischen Geschäftsprozesse
- Konzeptionelles transaktionsbasiertes Rollenmodell
- Definition der kritischen Zugriffsberechtigungen und von Funktionstrennungskonflikten
- Dokumentation der Design-Richtlinien für die jeweiligen Zielsysteme.
Wird das Konzept den relevanten internen und externen Kontrollstellen abgenommen kann man in die Implementierungsphase übergehen.
Um ein nachhaltiges Berechtigungskonzept zu etablieren werden folgende Aktivitäten ausgeführt:
- Definition von Rollen und Prozessen sowie deren Zuordnung zum jeweiligen Benutzerkreis (role mapping)
- Definition des Freigabe-Prozesses bei der Berechtigungsvergabe
- Schulung von Benutzern, die am Autorisierungsprozess beteiligt sind
- Einführung von Tools zur laufenden Wartung und Validierung der Autorisierung
In der Testphase wird der User Acceptance Test (UAT) vorbereitet und durchgeführt. Negative Testergebnisse werden an dieser Stelle bewertet und die vorhandene Implementierung wird dementsprechend adaptiert. Nach der Implementierung kommt es zu einer Neubewertung der Autorisierungsgegebenheiten im System und einer gemeinsam definierten Roadmap.
Als letzter Schritt liegt beim Support & Transfer das Hauptaugenmerk auf der Planung und Durchführung des Go-live und der Übergabe der Gesamtlösung an den Kunden. Diese Phase umfasst:
- Go-live-Planung
- Pre Go-live Prüfung der jeweiligen Systeme
- Technischer Go-live des neuen Berechtigungskonzeptes
- Post Go-live Support
Wir helfen Ihnen gerne
KPMG verfügt über umfangreiche Erfahrung mit SAP-Berechtigungen sowie im GRC-Bereich. Unsere Experten haben zahlreiche internationale Projekte umgesetzt und unterstützen Sie gerne bei der technischen und strategischen Implementierung von SAP Access Management-Prozessen. Als Wirtschaftsprüfungs- und Beratungsunternehmen kennen wir nicht nur die technischen Komponenten, sondern auch die regulativen und spezifischen Anforderungen an das SAP-Berechtigungswesen aus Sicht der Prüfung. Somit bieten wir unseren Kunden die gesamte Prozessbegleitung aus einer Hand.