Let's Talk Data Security

Die effektive SAP GRC-Pyramide

Geschrieben von EPI-USE | Jun 14, 2023 9:32:33 AM

SAP Access Risk: Ein Geschäftsrisiko für Unternehmen 

SAP Access Risk Management ist ein entscheidender Faktor, der für das langfristige Überleben von Unternehmen von großer Bedeutung ist. Es geht hierbei um das Management von SAP Zugriffsrechten, die für die Unternehmen eine potenzielle Gefahr darstellen können. Unternehmen müssen sicherstellen, dass die IT-Teams in der Lage sind, die erforderlichen Lösungen und Prozesse zu implementieren, um ein angemessenes Maß an unternehmerischer Verantwortung und Verantwortlichkeit für die SAP Access Risks zu erhalten. 

 

Viele Unternehmen machen den Fehler zu glauben, dass die alleinige Implementierung einer Zugriffskontrolllösung (SAP GRC) der Königsweg ist, um alle Probleme mit dem SAP Zugriffssrisiko zu lösen. Ein effektives SAP Zugriffsrisikomanagement erfordert eine ganzheitlichere Sichtweise, die anhand unserer "effektiven GRC-Pyramide" erläutert werden kann. Es ist wichtig, die Wechselbeziehung zwischen den verschiedenen Komponenten der effektiven GRC-Pyramide zu verstehen. Mängel in jeder einzelnen Komponente wirken sich negativ auf die gesamte GRC-Fähigkeit des Unternehmens aus. 

Policies und Procedures

Policies und Procedures bilden die Grundlage für alle SAP GRC Aktivitäten. Ohne geeignete Policies und Procedures wissen die SAP Benutzer innerhalb der Organisation nicht, welche Aktivitäten des SAP Zugriffsrisikomanagements durchgeführt werden müssen. Auch die Frage nach dem Prozess der Durchführung sowie der Häufigkeit bleibt bestehen.

Durch die Definition detaillierter Policies und Procedures kann ein Unternehmen ein Standardverfahren für die Verwaltung von SAP Zugriffsrisiken einrichten und die Erwartungen an die Verwendung der SAP Zugriffskontroll- und SAP GRC-Lösung festlegen. 

SAP Rollendesign

Das SAP Rollendesign besteht aus zwei Komponenten, je nachdem, wie der SAP Zugang für die SAP Benutzer bereitgestellt werden soll. Die SAP Einzelrollen können entweder direkt den SAP Benutzern zugewiesen werden oder wenn das Unternehmen es vorzieht, seine SAP Jobrollen zu standardisieren, dann werden die SAP Einzelrollen den SAP Benutzern über eine SAP Sammelrolle oder eine SAP Jobrolle zugewiesen. 

  • SAP Single Role – Das SAP Rollendesign bildet die Grundlage für eine effektive SAP Governance, Risk and Compliance (SAP GRC). Mängel im SAP Rollendesign beeinträchtigen die Effektivität der SAP GRC-Fähigkeit des Unternehmens, was zu einem erheblichen Aufwand bei der Behebung/Minderung und Überprüfung des Benutzerzugriffs führt. 
  • Composite / Business Role – Die SAP Einzelrollen werden einem Datencontainer (SAP-Composite oder SAP Jobrolle) zugewiesen, wenn die Organisation ihre Arbeitsfunktionen standardisieren möchte. Wenn die SAP Composite oder SAP Jobrollen nicht korrekt definiert sind, erhalten die Benutzer einen viel umfassenderen Zugriff, als sie für die Erfüllung ihrer Aufgaben benötigen. Diese übermäßige Zuweisung kann das Unternehmen einem Betrugsrisiko aussetzen. 

SAP GRC Software

Die SAP GRC-Lösung muss für die Sicherheitsadministratoren benutzerfreundlich sein, um sicherzustellen, dass die SAP-Autorisierungslösung einen angemessenen Zugang ermöglicht. Die SAP GRC-Lösung muss auch unternehmensfreundlich sein (d. h. die technische GRC-Sprache muss in eine Sprache umgewandelt werden, die die Geschäftsanwender verstehen können), um die Akzeptanz und die Verantwortlichkeit des Unternehmens zu verbessern. 

Rule Set 

Es ist von entscheidender Bedeutung, dass der Regelsatz der Organisation Risiken enthält, die für die Organisation relevant und angemessen sind. Unzulänglichkeiten im Regelwerk führen dazu, dass das Unternehmen relevante/kritische SAP Risiken nicht überwacht, was zu Betrug führen kann. Ebenso wichtig ist es, dass das Regelwerk keine Risiken enthält, die für das Unternehmen nicht relevant sind, so dass kein erheblicher Aufwand für die Überwachung von Risiken betrieben wird die nicht relevant oder anwendbar ist. 

 

SAP Business Users

Damit ein Unternehmen den größtmöglichen Nutzen aus seinen SAP GRC-Investitionen ziehen kann, ist es entscheidend, dass das erforderliche Maß an geschäftlicher Beteiligung und Verantwortlichkeit für das SAP Zugriffsrisiko gegeben ist. Effektives SAP GRC wird daran gemessen, wie gut die Geschäftsanwender des Unternehmens ihre Aktivitäten zur Verwaltung des SAP Zugriffsrisikos durchführen. Die zugrundeliegenden Komponenten (Richtlinien und Verfahren, SAP Rollendesign, SAP Regelwerk, SAP GRC-Software) müssen sicherstellen, dass die Geschäftsanwender ihre Aufgaben effektiv und effizient ausführen können. 

 

Zu diesen Compliance-Aufgaben gehören Prozesse wie: 

  • SAP Access Change Request 
  • User Access Reviews 
  • Business Role Reviews 
  • Mitigating Control Reviews 
  • Rule Set Reviews 
  • Elevated Rights Reviews 

Wenn eine der zugrundeliegenden Komponenten der Pyramide Mängel aufweist, werden diese Compliance-Aufgaben mühsam, ressourcenintensiv und kostspielig. Dies wird die SAP GRC-Fähigkeit des Unternehmens insgesamt beeinträchtigen, da es schwierig sein wird, die Zustimmung der Unternehmen zu erhalten. 

Fazit

Insgesamt ist ein effektives SAP Access Risk Management von großer Bedeutung, um das Risiko von Betrug und andere potenzielle Gefahren zu minimieren. Unternehmen sollten sicherstellen, dass sie die richtigen Lösungen und Prozesse implementieren, um ein angemessenes Maß an unternehmerischer Verantwortung und Verantwortlichkeit für SAP Access Risks zu erhalten. Nur so können Unternehmen bessere Entscheidungen treffen und ein effektives SAP Access Risk Management betreiben.