Examination of documents

SAP GRC & SOD/SOX Management

1

Einführung

Die moderne Risikolandschaft befindet sich in ständiger Veränderung und Weiterentwicklung.

Dies betrifft nicht nur Unternehmen, Einzelpersonen oder Gruppen, manchmal können ganze Länder plötzlich einem Compliance-Angriff gegenüberstehen. Das ist eine Seite, auf der Compliance Bedrohungen ausgesetzt ist.

Und da sich Cloud-Lösungen und intelligente Technologien ständig weiterentwickeln, werden Cyberkriminalität, Datenschutzverletzungen und Betrug zu einer immer komplexeren Bedrohung.

In diesem aktuellen Umfeld erhöhter Risiken und Unsicherheiten müssen Unternehmen jedes mögliche Tool nutzen - und vereinfachen -, um Risiken vorauszusehen und anzugehen. Das Erreichen von Geschäftszielen und die Einhaltung starker Compliance- und Governance-Standards stellt eine wachsende Herausforderung für jede Organisation dar. Die besten Unternehmen stellen sich diesen Anforderungen mit einem Ansatz, bei dem der Mensch im Mittelpunkt steht, und einem kontinuierlichen Engagement für die Schulung und Unterstützung ihrer Teams - von oben nach unten -, um sich neue Technologien zu Nutze zu machen und innovative reaktionsfähige GRC-Strategien zu entwickeln.

Ohne eine funktionierende Benutzerverwaltung können Ihre Mitarbeiter nicht in Ihren SAP-Systemen arbeiten. Die Pflege von Benutzerprofilen und vergebenen Rollen kann ohne die richtige technische Unterstützung sehr zeitaufwändig sein. Die Sicherstellung von Compliance sowie eine lückenlose Dokumentation gewährleisten, dass die gesetzlichen Anforderungen erfüllt werden. Zudem sind Ihre Abteilungen und IT dadurch gut auf interne und externe Audits vorbereitet.

Wir bieten Ihnen innovative Lösungen für die Verwaltung Ihrer SAP-Benutzer. Diese erleichtern Ihnen die Verwaltung der Benutzer, entsprechender Zugriffsrechte und Genehmigungsprozesse. Der manuelle Aufwand wird minimiert und Ihre Mitarbeiter werden durch Prozessautomatisierung und einfach zu bedienende webbasierte Lösungen adäquat unterstützt.

2

Strategische Gründe für ein optimales SAP GRC und SOD/SOX MANAGEMENT

Einige der wichtigsten strategischen Gründe für Unternehmen, sich optimal auf SAP GRC Compliance und Best Practice SOD und SOX Compliance zu konzentrieren, ergeben sich aus den steigenden Kosten für laufende Audits. Die folgenden vier Punkte machen die Notwendigkeit einer guten SAP Governance deutlich:

• SOD/SOX-Auditstunden nehmen von Jahr zu Jahr zu - steigende Kosten

• Co-Sourcing-Beziehungen nehmen zu - steigende Komplexität

• Die Anzahl der Kontrollen nimmt weiter zu - steigendes Arbeitsvolumen

• Externe Auditoren verlangen bei jedem Audit immer mehr Dokumentation - steigende Anforderungen

Wie können CIOs, die komplexe SAP-Landschaften betreiben, die Effizienz ihrer SAP Governance so verbessern, dass sie ihre SOD/SOX Compliance unterstützen, sich dabei an ihr Budget halten und gleichzeitig die neuesten Vorschriften und Standards der Branche berücksichtigen? Und wie können CIOs Audit-Teams dadurch unterstützen, dass sie bei ihren Audits Zeit und Ressourcen freisetzen, so dass sie sich auf die Wertschöpfung in ihren Unternehmen konzentrieren können?

Wir sehen uns drei Strategien an:

• Nutzbarmachung von Technologie zur Verbesserung des Audit-Workflows

• Reduzierung der Anzahl von wesentlichen Kontrollen

• Rezertifizierung von Mitarbeitern für SAP-Lösungen  

Selbst die Umsetzung nur einer dieser drei Strategien führt zu besseren Ergebnissen und hilft den Audit-Teams, Kosten zu senken und den Wert ihrer Leistungen zu erhöhen.

Strategie 1: Nutzbarmachung von Technologie

Die beiden Bestandteile jeder Audit-Funktion sind ganz klar Microsoft Excel und E-Mail:

Seit Microsoft Excel 1987 auf den Markt gebracht wurde, hat sich die einfache Tabellenkalkulation zu mehr als nur einem Buchhaltungstool entwickelt. Im Laufe der Zeit hat sich die einfache Tabellenkalkulation zu einer Workflow-Basis für jeden Auditor entwickelt, was zum Teil auf deren Fähigkeit zurückzuführen ist, Daten über verschiedene Dokumente hinweg zu verknüpfen und grundlegende Arbeitsabläufe zu automatisieren. Dementsprechend erfordern moderne Audit-Projekte mehr Attribute und Details über eine Kontrolle als früher. Ob es darum geht, die Vollständigkeit und Genauigkeit von Nachweisen zu dokumentieren oder die Korrektheit eines wesentlichen Berichts zu bestätigen, die Prüfungsabläufe haben sich über das einfache Ankreuzen und Verknüpfen von Attributen hinaus entwickelt. Die moderne Tabellenkalkulation kann diesen robusten Audit-Prozess zwar bewältigen, aber es mangelt ihr dabei an Geschwindigkeit, Effizienz und Konsistenz.

Um jedoch mit der immer länger werdenden Liste von Audit-Anforderungen Schritt zu halten, haben Audit-Teams MS Excel als Fundament ihres Audit-Ansatzes akzeptiert. Dies bedeutet eine ständig wachsende Anzahl von Tabellenkalkulationen, die durch die Organisation treiben, gemeinsam genutzte Netzwerkordner oder ein Cloud-basiertes Kollaborationstool, um dabei zu helfen, die Audit-Informationen zu koordinieren und gleichzeitig die Verantwortlichkeiten der Audit-Mitarbeiter zu organisieren. Darüber hinaus werden Probleme im Zusammenhang mit der Versionskontrolle drastisch komplizierter und die Lösungen immer zeitaufwändiger.

Wie jeder Audit-Manager bestätigen kann, können die späteren Folgen, wenn ein Mitglied des Teams eine rechtzeitige Bearbeitung versäumt hat oder vergessen hat, Aktualisierungen in allen Audit-Sheets vorzunehmen, die Manager stundenlanges Aufräumen kosten. Leider wird dieser mühsame Bereinigungsprozess oft an den Kunden weitergegeben, ohne explizit aufgeführt zu werden, so dass die Auditkosten des Kunden unnötig steigen.  

Dies ist sicherlich kein effektiver Ansatz.

Warum nutzen Teams dann immer noch die Tabellenkalkulation? Die Antwort: Vertrautheit.

In Anbetracht der komplexen Natur moderner Audit-Programme haben Audit-Datenpunkte oft eine Many-to-many-Beziehung, wenn es um die Zuordnung von Risiken und Kontrollen geht. Einige Beispiele umfassen Risiken, die über mehrere Prozesse oder Geschäftseinheiten hinweg auftreten, Auditprobleme, die sich auf mehrere Kontrollen oder Prozesse auswirken, und COSO-Prinzipien, die vielen Kontrollen zugeordnet sind.

Doch es gibt eine gute Nachricht, die diesen Prozess des immer weiter zunehmenden „Tabellen-Wildwuchses“ stoppt, der Innovationen und profunden Kenntnissen über Compliance- und Berechtigungsthemen entgegenwirkt. VOQUZ Labs stellt seinen Kunden ein Tool zur Verfügung, das eine zentralisierte Compliance in SAP-Systemen sicherstellt, Compliance-Lücken permanent aufdeckt und andererseits allen Beteiligten ein ungestörtes Arbeiten in den Systemen ermöglicht. Die gute alte Excel-Tabellenkalkulation wird überflüssig und dient nur noch als Ziel für Ergebnispräsentationen. Die eigentliche Arbeit und Überprüfung findet weiterhin direkt in SAP in der setQ-Software an einer zentralen Stelle statt. Das macht die gesamte Arbeit im Berechtigungsbereich systemübergreifend transparent und erleichtert sowohl die Herstellung als auch Einhaltung von SAP Compliance. Hier werden alle Daten im Hintergrund überwacht, zusammengeführt und für Auswertungen verfügbar gemacht. Und das alles, ohne Mitarbeitern Arbeitszeit zu stehlen oder zeitraubende Zusatzprozesse zu implementieren, die den produktiven Betrieb hemmen.

Ein zentrales Berechtigungsmanagement sollte die Basis für alle Berechtigungs- und Compliance-Aufgaben in SAP darstellen. Ein treuer Wächter und ein intelligentes Werkzeug. Gerade mit solchen zentralen Management-Tools kann die steigende Flut an Kontrollen, Maßnahmen und neuen Prozessen gestoppt werden. Darauf werden wir später noch genauer eingehen.

Strategie 2: Reduzierung der Anzahl von wesentlichen Kontrollen

Unternehmen, die SAP einsetzen, sind täglich mit unzähligen Risiken konfrontiert. Audit-Teams gehen diese Risiken oft mit einem Brute-Force-Ansatz an und erstellen einfach jedes Mal eine neue Kontrolle, sobald ein neues Risiko identifiziert wird. Unbeabsichtigt wird dann jede neue Kontrolle oft als „wesentlich“ eingestuft, ohne eine echte Risikobewertung durchzuführen, was dann zu einer ständig steigenden Anzahl von Kontrollen beiträgt. Durch Verstehen der Unterschiede zwischen wesentlichen und nicht wesentlichen Kontrollen können interne Auditteams die steigende Anzahl von Kontrollen und den schleichend wachsenden Umfang wirksam bekämpfen.

Nicht wesentlich vs. wesentlich:

Nicht wesentliche Kontrolle: Eine Kontrolle gilt als nicht wesentlich, wenn die potenzielle Auswirkung auf den Jahresabschluss bei einem Fehler als nicht wesentlich angesehen wird und wenn dieser Fehler nicht zum Scheitern des gesamten Prozesses führen kann.

Wesentliche Kontrolle: Eine wesentliche Kontrolle befasst sich mit einem Risiko grundlegender falscher Angaben, einem hohen Risiko oder sowohl einem Kontrollziel als auch einer Aussage. Diese Kontrollen müssen effektiv arbeiten, um mit hinreichender Sicherheit zu gewährleisten, dass das Risiko wesentlicher Fehler verhindert oder rechtzeitig erkannt wird.

Einfach ausgedrückt: Die schnellste Methode zur Unterscheidung zwischen einer nicht wesentlichen und einer wesentlichen Kontrolle ist der Grad des Risikos, um das es geht. Minimiert die Kontrolle ein niedriges oder ein hohes Risiko?

Wie im PCAOB-Prüfungsstandard 5 (AS5) vorgeschrieben, gibt ein risikobasierter Audit-Ansatz vor, dass sich Unternehmen und ihre Auditoren auf Bereiche mit hohem Risiko konzentrieren. Als Best Practice sollten sich die Audit-Teams bemühen, mindestens einmal pro Jahr eine wiederkehrende Risikobewertung und eine Rationalisierung der Kontrollen zu planen und durchzuführen. Und jetzt kommt der wichtigste Teil und das ist die Aktualisierung der aktuellen SAP GRC-Lösung mit den Risikostufen für jede Kontrolle. Wenn dieser Prozess einfach und leicht gehalten wird, dann verringern sich die späteren Auswirkungen bei jedem Audit, was den gesamten Auditprozess im Unternehmen effizienter macht.

Zusammenfassend lässt sich sagen, dass ein spezifischer auf SAP GRC-Anwendungen basierender Ansatz von entscheidender Bedeutung ist, um eine genaue, aktuelle und anpassbare Kontrolle zu gewährleisten.

Strategie 3: Rezertifizierung von Mitarbeitern für SAP

Angesichts der vielen neuen Veränderungen in fast allen Geschäftsbereichen im Zusammenhang mit sich verändernden Geschäftsprozessen und den damit verbundenen Risiken und Kontrollen werden die Mitarbeiter zurückgelassen, wenn es darum geht, sicherzustellen, dass ihre SAP-Zertifizierung und ihre SAP-Kenntnisse für Audit-Zwecke aktualisiert werden.

Der Überblick darüber, wer an welchen Schulungen teilgenommen hat und wer die Qualifikationen besitzt, um bestimmte Funktionen in der SAP-Landschaft zu bedienen, ist der Schlüssel zur Sicherstellung einer guten Governance und Compliance.

Die beiden vorherigen strategischen Säulen spielen auch in diesem Bereich eine Rolle. Technologie ermöglicht diesen Prozess zur Verwaltung und Kontrolle der Rezertifizierung und die Abkehr von Excel-Arbeitsmappen und die Einführung aktiver Versionierung können Unternehmen Zeit und Geld sparen.

Thumbnail that links to the post below

Why SAP Digital Access is still not a viable pricing model

20.12.2021

Thumbnail that links to the post below

Noch 6 Monate bis zum Ende von DAAP - Ignorieren wird teuer!

12.7.2021

Thumbnail that links to the post below

RISE mit SAP – Freund oder Feind?

28.6.2021

3

Optimierung der Verwaltung von SAP-Berechtigungen durch zentrale Arbeitstools

Es ist an der Zeit, dringend benötigte Hauptfunktionen eines zentralen SAP-Berechtigungsmanagements zu erläutern. Da das gesamte Feld im SAP-Berechtigungsmanagement auch thematisch sehr breit ist, sollte jeder wichtige Bereich seinen eigenen Arbeitsbereich haben. So wird sichergestellt, dass keine wichtigen Punkte aus dem Blickfeld geraten.

Aber hier ein paar Beispiele, wie ein zentral gesteuertes Berechtigungsmanagement bei der SAP Compliance-Prüfung oder im alltäglichen Berechtigungswirrwarr helfen kann.

Wo liegen die größten Schmerzpunkte, wenn Sie das gesamte SAP Governance - Risk Management - Compliance, kurz SAP-GRC, betrachten?

SAP Sicherheit, SAP Rollensatz und SOD Konflikte sind die Kostentreiber und genau hier muss ein zentrales Management ansetzen. Nehmen wir die gesamte Arbeit rund um das SAP-Berechtigungskonzept. Dieses muss einmal nach kontrollierbaren SAP Compliance-Richtlinien aufgesetzt werden und dann diesen Richtlinien entsprechend implementiert werden.

Die Realität zeigt, dass es branchenübergreifend viele Tätigkeiten in SAP gibt, die sich sehr ähnlich sind und bei denen eine Basis von Rollensegmenten eine große Erleichterung in der täglichen Arbeit wäre, aber auch SAP Compliance besser einhalten oder herstellen kann.

Wenn Sie es also schaffen, solche Standardrollen, angepasst an das jeweilige Unternehmen, für Ihre tägliche Arbeit zu erstellen, erleichtern Sie sich nicht nur die tägliche Arbeit, sondern können immer auf Segmente zugreifen, die bereits auf Compliance überprüft wurden. Auch neue Berechtigungskonzepte können so viel schneller erstellt werden.

Nachdem das Konzept erstellt oder neu angelegt wurde, muss es SAP Compliance und SAP Sicherheit entsprechend verteilt werden.

Hier ist der nächste Bereich im SAP-Berechtigungsmanagement, der klar getrennte wichtige Funktionen übernehmen muss.

Beispielsweise sollten Aktualisierungen oder ein Austausch aktiver Rollen so erfolgen, dass der tägliche Arbeitsablauf im Unternehmen nicht beeinträchtigt wird. Jegliche auftretenden Konflikte müssen daher vom SAP-Berechtigungsmanagement zentral überwacht werden. Die Arbeit darf nicht behindert werden und wenn endgültig feststeht, dass die neue oder aktualisierte Rolle wirklich fehlerfrei genutzt werden kann, muss der Austausch still erfolgen. Nur so spielen die tägliche Verwendung von SAP und SAP Compliance im Berechtigungsmanagement wirklich gut zusammen.

So auch im weiteren Zyklus, wenn es Aktualisierungen oder Änderungen im Konzept gibt. Die Änderungen werden zentral vorgenommen, geprüft und dann konfliktfrei verteilt oder ausgetauscht.

Grundsätzlich werden die notwendigen SAP Compliance- und SAP Sicherheitsaktivitäten reduziert und Personalressourcen eingespart, während gleichzeitig die Compliance erhöht wird.

Insbesondere SAP GRC erfährt durch eine zentrale Kontrolle eine Transparenz, die jedes SAP Sicherheitsaudit sicher übersteht. SAP Compliance-Konflikte sollten unmittelbar erkannt werden und weisen auf Unsicherheiten oder Compliance-Verstöße hin. Solche Konflikte sind nicht immer vermeidbar. In solchen Fällen ist der Konflikt zu beschreiben und sind die Ausnahmen gegebenenfalls zu dokumentieren und transparent zu hinterlegen. Wiederum der nächste Bereich im Berechtigungsmanagement, der klar separat definiert werden sollte.

Ein weiterer Bereich mit hohen Personalkosten und großen Gefahren für SAP GRC sind die gesamten Antrags- und Genehmigungsprozesse, die oft enorme Ressourcen verschlingen und SAP Compliance-Löcher aufreißen.

Hier kann und sollte ein zentrales SAP-Berechtigungsmanagement die Prozesse so vereinfachen, dass ein „Vier-Augen-Prinzip“ nicht verletzt wird, die komplette Beantragung und Berechtigung in der Fachabteilung stattfindet und die Verteilungsprozesse vollautomatisch und SAP-konform im Hintergrund ablaufen.

Das macht ein zentrales Berechtigungsmanagement über alle SAP-Systeme hinweg zu einem unverzichtbaren SAP GRC-Tool, das den gesamten SAP GRC-Bereich zentral und transparent abdeckt.

Unser neuestes Whitepaper zu SAP-Zugriff und -Berechtigungen

Erfahre wie Du Eure SAP-GRC-Berechtigungen verwalten kannst

Tablet showing the cover page of the document

4

Lösungen für eine transparente SAP-Benutzerverwaltung

Die Manager zur Verwaltung Ihrer SAP-Benutzer-Compliance einschließlich SOD/ SOX

Hier werden einige der wichtigsten und notwendigen Funktionen detailliert vorgestellt und als Beispiele dafür aufgeführt, wie praktisch solche Funktionen SAP Compliance und SAP Sicherheit bei einzelnen Managern gewährleisten und den Aufwand minimieren sollen.

Identitätsmanagement

Identitätsmanagement automatisiert und vereinfacht die Erfassung, Kontrolle und Verwaltung von Benutzern und den damit verbundenen Zugriffsrechten und Genehmigungsprozessen. Mit dem Identitätsmanagement verwalten und dokumentieren Sie alle SAP-Systemkonten und Berechtigungen Ihrer Benutzer zentral. Es sollte ein zentrales Arbeitstool sein und sich nicht nur in den einzelnen SAP-Systemen befinden.

Beispiel: In jedem Unternehmen gibt es Ausnahmesituationen, in denen Mitarbeiter Tätigkeiten ausführen müssen, die sonst nicht zu ihren täglichen Aufgaben gehören. Hier ergeben sich Gelegenheiten, kritische Kombinationen zu nutzen, die damit zu einem SAP Sicherheitsrisiko werden. Mit einem klaren Notfallmanagement ist es möglich, diesen Gefahren entgegenzuwirken. Die Verwendung von kritischen Kombinationen kann zum unmittelbaren Verlust der Ausnahme führen, alle Aktivitäten werden unveränderbar protokolliert und die zeitliche Begrenzung ermöglicht eine automatische Rückkehr zum regulären Betrieb.

Notfallmanagement

Notfallmanagement steht für SAP Sicherheit. Umfassende Sicherheit kann jedoch nur erreicht werden, wenn sie auch in Not- und Ausnahmesituationen gewährleistet ist. Notfallmanagement gewährleistet Ihnen, dass Sie auch in diesen Situationen die Kontrolle behalten.

Beispiel: In jedem Unternehmen gibt es Ausnahmesituationen, in denen Mitarbeiter Tätigkeiten ausführen müssen, die sonst nicht zu ihren täglichen Aufgaben gehören. Hier kann es leicht zu kritischen Kombinationen kommen, die dann zu einem SAP Sicherheitsrisiko werden. Mit diesem Manager ist es möglich, diesen Gefahren konkret entgegenzuwirken. Die Verwendung von kritischen Kombinationen kann zum unmittelbaren Verlust der Ausnahme führen, alle Aktivitäten werden unveränderbar protokolliert und die zeitliche Begrenzung ermöglicht eine automatische Rückkehr zum regulären Betrieb.

Compliance Management

Compliance Management soll Sie dabei unterstützen, Compliance-Lücken in Ihrem SAP-System zu schließen und Compliance-Risiken zu minimieren. Es soll das SAP GRC-Berechtigungskonzept auf Schwachstellen, Risiken und Verstöße gegen gesetzliche und gesetzesähnliche Vorschriften analysieren.

Beispiel: Compliance Management soll visualisieren, wo und wie viele Compliance-Verstöße vorliegen. Eine Person benötigt temporär Berechtigungen, die hinsichtlich der SAP Compliance im Widerspruch zu den Berechtigungen der täglichen Arbeit stehen. Es besteht also eine Compliance-Lücke. Mit dem Compliance Manager kann hier geprüft werden, wer für die Ausnahme verantwortlich ist, können zugehörige Dokumente eingesehen werden, und wenn diese Ausnahme nicht den unternehmensspezifischen Bedingungen entspricht, können dann Gegenmaßnahmen eingeleitet werden, um die Situation zu berichtigen.

Compliance-Referenzmanagement

Compliance-Referenzmanagement wäre eine Erweiterung des Compliance Managements. Compliance-Referenzmanagement erweitert das Compliance Management um Audit-Abfragen. Diese Templates sollten einmalig in Ihre SAP-Systemlandschaft integriert werden und können später um Ihre länder-, branchen- und organisationsspezifischen Audit-Abfragen erweitert werden.

Beispiel: Ihr Unternehmen hat geprüfte Audit-Prozesse, die eingehalten werden müssen. Mit Referenzmanagement sollten die folgenden Möglichkeiten zur Verfügung stehen. Wichtige, wiederkehrende Audit-Abfragen, die internen Unternehmensprozessen entsprechen, sollten jederzeit verfügbar sein. Das bedeutet, dass sie zwar vordefiniert sind, aber auch jederzeit gezielt angepasst werden können.

Diese Audit-Abfragen sollten zentral verwaltet werden, so dass Sie in kürzester Zeit ein funktionierendes SAP-Audit-Management haben.

Risikominimierungsmanagement

Mit Risikominimierungsmanagement können unvermeidbare Audit-Konflikte zumindest minimiert werden. Risikominimierungsmanagement sollte bei der Entstehung von Audit-Konflikten automatisch kompensierende Kontrollen auf Basis zuvor definierter Regeln erstellen.

Beispiel: Wieder das Beispiel, dass es gelegentlich notwendig ist, gegen SAP Compliance und SAP Sicherheit zu verstoßen, um bestimmte Unternehmensprozesse am Laufen zu halten. Dies ist manchmal unvermeidbar und gerade in größeren Unternehmen gehen solche Aktivitäten schnell im allgemeinen Betriebsablauf unter. Solche Lücken können nun unbemerkt ausgenutzt werden. Hier sollte Risikominimierungsmanagement ansetzen und gegebenenfalls zuvor definierte Verantwortliche darüber informieren, dass gerade eine solche SAP Compliance-Verletzung stattgefunden hat. Darüber hinaus können die verantwortlichen Personen regelmäßig daran erinnert werden, ihrer Kontrollpflicht nachzukommen und SOD-Konflikten so entgegenzuwirken.

Rezertifizierungsmanagement

Rezertifizierungsmanagement sollte ein zentrales Cockpit sein, über das wiederkehrende Entscheidungen systemübergreifend überwacht, analysiert und verwaltet werden. Die Gültigkeit von Benutzern, Rollen oder Vergaben kann einfach und zentral verwaltet werden. Schön wäre es, wenn der Zugriff über SAP GUI, Web oder mobile Geräte funktioniert. Die Abteilung sollte in der Lage sein, bereits vergebene Berechtigungen für Rollen und Jobs zu validieren. Alle Folgemaßnahmen sollten übersichtlich in einem Cockpit zur Bearbeitung angezeigt werden. Frei definierbare Eskalationsprozeduren sollen für eine korrekte Bearbeitung von Entscheidungen sorgen. Und schließlich sollte permanent ein Auge auf die Gültigkeit von Sonderbenutzern wie Beratern oder Auditoren geworfen werden.

Autorisierungsprozess als Webanwendung

Der Antrag auf Berechtigungen in SAP besteht aus mindestens zwei wichtigen Säulen. Erstens die funktionalen Anforderungen, die es dem Mitarbeiter ermöglichen, in SAP zu arbeiten. Zweitens müssen diese Anforderungen so in Rollen und Berechtigungen umgesetzt werden, dass SAP Compliance und SAP Sicherheit nicht verletzt werden. Der erste Teil wird von der Geschäftsabteilung übernommen, während der zweite Teil in den Händen von Systemadministratoren liegt, die oft wenig über die Geschäftsanforderungen wissen.

Mit dem Web Manager kann Transparenz in den gesamten Antrags- und Genehmigungsprozess gebracht werden, werden die Antragsprozesse beschleunigt und schrumpft der Arbeitsaufwand immens.

Beispiel: Mit dem Web Manager sind Genehmigende definiert worden. Diese Genehmigenden sind in ihrem Berechtigungsumfang eingeschränkt, so dass sie nur genehmigen können, was in ihren Zuständigkeitsbereich fällt (z. B. ein Stationsarzt, der nur Berechtigungen an Stationsmitarbeiter für seinen Stationsbereich vergeben darf). Der Rest funktioniert nun automatisch. Im Web Manager kann der Genehmigende sehen, welche Berechtigungen die Person aktuell hat. SAP Compliance-Verstöße werden unmittelbar angezeigt, wenn es unzulässige Kombinationen gibt. Verfahren für solche Verstöße können hinterlegt sowie auch dokumentiert oder komplett ausgeschlossen werden. Dabei ist der Bereich der Systemadministration anfänglich einmal an der Definition beteiligt, danach erfolgt der reguläre Betrieb ohne deren Zutun und verbleibt hier nur noch die Aufgabe des „Trouble Shooters“ zur Wahrung der SAP Sicherheit in SAP GRC.

5

ZUSAMMENFASSUNG

SAP GRC, SAP Compliance, SAP Sicherheit und letztlich die Transparenz in SOD Konflikten sind wichtig, kosten aber viel Zeit, sind kompliziert nachzuverfolgen und führen, manuell durchgeführt, immer weniger zum erwünschten Erfolg. Genau hier setzt setQ mit seinen verschiedenen Managern an, die das Tagesgeschäft extrem vereinfachen, aber auch die genannten Punkte automatisieren und so für SAP Compliance und SAP Sicherheit sorgen.

Unser neuestes Whitepaper zu SAP-Zugriff und -Berechtigungen

Erfahre wie Du Eure SAP-GRC-Berechtigungen verwalten kannst

Tablet showing the cover page of the document
Businessman with a floating clock, calendar, chart and gears

Wir sind für Dich da!

Wir leben von zufriedenen Kunden. Deshalb sind wir für unsere aktuellen Kunden und solche, die es werden wollen, immer erreichbar. Ganz gleich, ob Du technischen Support oder Antworten auf komplexe Lizenzierungs- und Benutzerverwaltungsfragen suchst.

Sprich uns einfach an, oft genügt ein kurzer Austausch für erste Erfolgserlebnisse - und wir verhelfen gerne zum Erfolg! 

Technischer Support:

Wir helfen Dir gerne weiter. Kontaktiere unser Support-Team unter supq(at)voquzlabs.com oder ruf uns direkt unter einer der folgenden Nummern an.

Amerikanische Kunden: +19176364290
Alle anderen Regionen: +4989925191260