Das Berechtigungsmanagement praxiserprobter Ansatz zur Erfüllung von Compliance-Anforderungen

Transkript

1 Das Berechtigungsmanagement praxiserprobter Ansatz zur Erfüllung von Compliance-Anforderungen Hamburg/Osnabrück/Bremen, 26./27./28. November 2013 Gerd Malert Gerd zur Brügge

2 Vorstellung FIDES Gruppe IT-Strategie IT-Due Diligence Business Intelligence Controlling IT-Projektmanagement IT-Sicherheit Datenschutz IT-Infrastruktur Insolvenzberatung Wirtschaftsprüfung IT-Audit Steuer- und Rechtsberatung Corporate Finance Rechnungs- und Personalwesen Insolvenzprüfungen Handelsrecht und Wirtschaftsrecht Gesellschaftsrecht IT-Vertragsrecht Unternehmensnachfolge Öffentliches Recht Stiftungs- und Gemeinnützigkeitsrecht 2

3 Agenda 1. Compliance-Anforderungen und grundsätzliche Strukturen von Berechtigungssystemen am Beispiel von SAP Ansatz zum Aufbau eines Berechtigungsmanagements 2. Vorgehen zum Aufbau einer Berechtigungskonzeption Hinweise und praxiserprobte Hilfsmittel zur Umsetzung 3

4 Agenda - Teil 1 Compliance-Anforderungen und grundsätzliche Strukturen von Berechtigungssystemen am Beispiel von SAP Ansatz zum Aufbau eines Berechtigungsmanagements 1. Was ist Compliance? 2. Was hat Compliance mit Berechtigungsmanagement zu tun? 3. Was ist Berechtigungsmanagement? 4. Berechtigungsstrukturen am Beispiel SAP 5. Berechtigungsmanagement Fazit 4

5 Was ist Compliance? Compliance (engl.) Befolgung/Einhaltung/Konformität (deut.) Begriffsdefinition: Compliance bzw. Regeltreue (auch Regelkonformität) ist in der betriebswirtschaftlichen Fachsprache der Begriff für die Einhaltung von Gesetzen und Richtlinien in Unternehmen, aber auch von freiwilligen Kodizes. Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen. (vgl. E. Krügler; Compliance - ein Thema mit vielen Facetten. In: Umwelt Magazin. Heft 7/8 2011, Seite 50) Womit soll ein Unternehmen compliant (= konform) sein? Hängt im Wesentlichen davon ab, in welcher Branche das Unternehmen operiert, welche Betriebsgröße es aufweist und ob es an der Börse notiert ist. Von diesen Faktoren leiten sich die einzuhaltenden Gesetze, Richtlinien, Anforderungen eines Unternehmens ab. 5

6 Compliance-Anforderungen (Beispiele) Gesetze Handelsgesetz (HGB), Aktiengesetz (AktG) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Bundesdatenschutzgesetz (BDSG) Standards/Regelwerke Qualitätsmanagement (DIN EN ISO 9000 ff.) Informationssicherheitsmanagement (ISO/IEC 27002) Interne Anforderungen/Richtlinien Internes Kontrollsystem (IKS) IT-Security-Policy Verfahrensanweisungen/Buchungsrichtlinien alles was der Erreichung der Unternehmensziele, bspw. dem Schutz von Unternehmenswerten und der Sicherheit von Prozessabläufen, dient 6

7 Schutz von Unternehmenswerten Neben monetären Vermögenswerten können auch immaterielle Güter zu den Unternehmenswerten gehören. Schützenswerte Daten: Kontaktdaten (Kunden/Lieferanten) Personaldaten Preise/Konditionen Rezepturen/Konstruktionszeichnungen/Verfahrenstechnik Unternehmenskennzahlen Schützenswerte Systeme: Customer-Relationship-Management-System (CRM) Enterprise-Resource-Planning-System (ERP) - steht im Fokus der Wirtschaftsprüfung Dokumenten-Management-System (DMS) Management-Informations-System (MIS) 7

8 Hannoversche Allgemeine vom Hannover 96 von Mitarbeiter betrogen? Hannover. Die Staatsanwaltschaft Hannover ermittelt gegen einen 48 jährigen Mitarbeiter von Hannover 96. Die Strafverfolger werfen dem Mann Betrug und Missbrauch von Dokumenten vor. Der Verdächtige soll den Klub durch gefälschte Rechnungen um Euro betrogen haben. [ ] Ende 2011 hatte der Verdächtige im Stadion einen Personalausweis gefunden. Die Staatsanwaltschaft geht davon aus, dass er mit diesem Dokument ein Konto bei einer Internetbank eröffnete. Dabei gab er den Namen auf dem Ausweis, aber seine richtige Adresse an, sagt Behördensprecher Oliver Eisenhauer. Über dieses Konto stellte er im Lauf eines Jahres immer wieder Rechnungen an den Verein. Das Geld sollte für Wartungsarbeiten an Aufzügen bei 96 überwiesen werden, die nie ausgeführt worden waren. Da das Unternehmen, in dessen Namen der 48 Jährige die Rechnungen stellte, tatsächlich existiert, schöpfte zunächst niemand Verdacht. Nach und nach erleichterte der Verdächtige auf diese Weise den Fußballklub um Euro. [ ] Quelle: Hannoversche Allgemeine, , Tobias Morchner und Christian Purbs 8

9 Sicherheit von Prozessabläufen Beispielprozess Stammdatenpflege Stammdatenpflege (Konditionen) Stammdatenpflege (Bankverbindung) Beispielprozess Bestellung Buchung Zahlung Bestellanforderung Bestellung Auftragserteilung Wareneingang Rechnungsprüfung Buchungserfassung Zahlungsvorschlag Zahlungsausgang Berechtigungen Funktion 1 Funktion 2 Funktion 3 Aus Compliancegründen ist eine Funktionstrennung sicherzustellen, so dass bestimmte Funktionen nicht von derselben Person wahrgenommen werden (z.b. Stammdatenpflege, Bestellung und Rechnungsprüfung/-freigabe, Bestellung und Buchung/Zahlung). Die Funktionstrennung dient der Vermeidung unbeabsichtigter Fehler und der Erschwerung von betrügerischen Handlungen und damit der Sicherheit von systemgestützten Prozessabläufen. 9

10 Was hat Compliance mit Berechtigungsmanagement zu tun? Berechtigungsmanagement als Schlüsselfunktion Der Zugriff auf Systeme, Prozesse, Daten und Informationen sowie die Steuerung des differenzierten Zugriffs auf diese wird über das Berechtigungsmanagement organisiert. Der Zugriff ist dabei so zu organisieren, dass nur diejenigen Anwender Zugriff erhalten, die es entsprechend ihrer Aufgabe auch sollten (Prinzip der minimalen Berechtigung). Eine geordnete Zugriffsvergabe und eine angemessene Struktur der Berechtigungen bilden den Grundstein zu einer ganzheitlichen Compliance. 10

11 Was ist Berechtigungsmanagement? Das Berechtigungsmanagement wird hier als Zusammenfassung von Benutzerzugriffsmanagement (User Access Management) Benutzerkontenmanagement (User Account Management) verstanden. Es umfasst alle Maßnahmen zur strukturierten, adäquaten und nachvollziehbaren Definition und Implementierung von Berechtigungen Zuordnung von Berechtigungen zu Benutzern/Benutzergruppen Verwaltung von Benutzer- und Berechtigungsänderungen 11

12 Anforderungen an das Berechtigungsmanagement Benutzerberechtigungen sollten durch das Management des Fachbereichs angefordert, durch die Dateneigner bewilligt und durch das Benutzerzugriffsmanagement implementiert werden. Es sollten Verfahren implementiert sein, die sicherstellen, dass Antrag, Einrichtung, Aufhebung, Änderung und Schließung von Benutzerkonten und zugehörige Benutzerberechtigungen durch das Benutzerkontenmanagement behandelt werden. Diese Verfahren sollten für sämtliche Benutzer, einschließlich Administratoren (privilegierte Benutzer), interne und externe Benutzer, für Änderungen im Tagesgeschäft und für Notfalländerungen Gültigkeit haben. Sämtliche (internen, externen, temporären) Benutzer sollten eindeutig identifizierbar und deren Compliance-relevanten Aktivitäten in IT-Systemen nachvollziehbar sein. Es sollten regelmäßig Reviews aller Benutzerkonten und entsprechender Berechtigungen durchgeführt werden, um deren Ordnungsmäßigkeit zu verifizieren. 12

13 Aufbau einer Berechtigungsstruktur am Beispiel SAP Benutzer Rollen Profile Berechtigungen Benutzer 1 Rolle 1 Profil 1 Berechtigung 1 Berechtigungsobjekte Berechtigungsobjekt 1 Felder/Werte Benutzer 2 Rolle 2 Profil 2 Berechtigung 2 Berechtigungsobjekt 2 Felder/Werte Sammelrolle 1 Profil 3 Berechtigung 3 Berechtigungsobjekt 3 Felder/Werte Beispiel Ralf Müller Rolle FiBu Debitoren Debitorenbuchhaltung Debitorenstammpflege Debitoren anlegen/ändern Rechnung buchen Mahnlauf starten Stammdaten Buchen Konten Mahnen 13

14 Komplexität der Berechtigungsstrukturen am Beispiel SAP Berechtigungsrelevante Objekte im SAP Module (rd. 70 inkl. Untermodule und Branchenlösungen) Transaktionen (rd ) Berechtigungsobjekte (rd ) SD FI Berechtigungsfelder (rd ) Tabellen (rd ) Programme/Reports (rd ) Zusätzlich möglicherweise individuelle Objekte PP QM MM PM SAP CO WF AM PS HR IS 14

15 Systematik der Berechtigungsprüfung am Beispiel SAP Viele Wege führen nach Rom Tür Schlüssel A Schlüssel B Kuchen Schlüssel C Transaktion Berechtigung Funktion 15

16 Analogie in anderen Systemen DATEV (Benutzergruppen, Gruppenrechte, Rechte auf Mandanten, Rechte auf Programme, Rechte auf einzelne Menüpunkte/Funktionen) Navision (Benutzergruppen, Objektrechte auf Tabellen und Berichte, Rechte für einzelne Funktionen; Lesen, Einfügen, Bearbeiten, Löschen und Ausführen; Profile beschreiben die Berechtigungen und besteht aus ein oder mehreren Rollen) Windows Active Directory (Gruppen, Gruppenrechte, Rechte auf Verzeichnisse/Ordner/Dateien, Vollzugriff/Ändern/Löschen/Lesen Ausführen/ Lesen/Schreiben) Großrechnersysteme (Gruppen, Gruppenrechte, Profile, Ressource-Limits, Vollzugriff/Lesen/Schreiben; Besonderheit: keine zwingende Trennung von Anwendungsebene und Betriebssystem-/Datenbankebene) 16

17 Gründe für die Einführung von (neuen) Berechtigungsstrukturen Bereinigung von risikobehafteten Berechtigungen Umsetzung von Funktionstrennungen Bereinigung von kritischen Zugriffen Behebung von Prüfungsergebnissen Neue Systemimplementierungen oder Roll-Outs Optimierung der Benutzeradministration Hoher Aufwand für die Zuweisung von adäquaten Zugriffsrechten Hoher Supportbedarf für die Benutzeradministration Viele Berechtigungsprobleme durch nicht optimal funktionierendes Rollenkonzept Betriebliche Anforderungen/Neugestaltung der Organisation Neue Berechtigungsstruktur muss Umorganisation wiedergeben Verantwortlichkeit (Daten-Owner) erfordert Transparenz 17

18 Spannungsfeld bei der Einführung von (neuen) Berechtigungsstrukturen Wirtschaftlichkeit Compliance Administrierbarkeit Funktionsfähigkeit 18

19 Ursachen und Risiken fehlender oder komplexer Berechtigungsstrukturen Ursachen Risiko Zeitdruck/Budget am Ende von Implementierungsprojekten Anhäufung von Rechten Aufweichen durch Ausnahmen im Zeitverlauf Fehlende Funktionstrennung Organisatorische Änderungen, die nicht differenziert abgebildet werden Schnelle Reaktion fehlende/ komplexe Berechtigungsstrukturen Fehlende Dokumentation Fehlende Transparenz Fehlende Kapazitäten Nicht revisionsgerecht Vertretungsregeln Gesetzlich problematisch Unzureichende Prozesse Hoher Administrationsaufwand 19

20 Berechtigungsmanagement Fazit Wesentliche Voraussetzungen für ein auch auf Dauer funktionierendes Berechtigungsmanagement ist ein strukturiertes und systematisches Vorgehen beim Aufbau und der Pflege der Berechtigungen und Benutzerkonten. Dies erfordert: Klare Anforderungs-(Berechtigungs-)definition Strukturierte Umsetzung der Anforderungsdefinition im Design und bei der Implementierung Einhaltung eines systematischen Testverfahrens Eindeutig definierte Zuordnung der Berechtigungen zu Benutzern Wirksam implementiertes Verfahren für Antrag, Einrichtung, Aufhebung, Änderung und Schließung von Benutzerkonten und Berechtigungen Dokumentation im Berechtigungskonzept regelmäßiger Review aller Benutzerkonten und entsprechender Berechtigungen 20

21 Agenda Vorgehen zum Aufbau einer Berechtigungskonzeption Hinweise und praxiserprobte Hilfsmittel zur Umsetzung 1. Phasenmodell - Vorgehensweise 2. Berechtigungsmanagement-Prozess 21

22 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Ziel und Scope des Projektes definieren Rollen und Verantwortlichkeiten definieren Prüfung Einbindung Personalvertretung und Datenschutzbeauftragter Stakeholder und deren Erwartungen identifizieren Projektorganisation aufstellen Budget-, Zeit- und Ressourcenplanung erstellen Ergebnisse Projektauftrag ist genehmigt Grobe Darstellung sämtlicher in das Berechtigungskonzept einzubeziehender Kernprozesse Kick-off Meeting mit allen Beteiligten durchgeführt Abschluss der Phase: XXX 22

23 Phasenmodell - Vorgehensweise Alternative Vorgehensweisen Phase I Phase II Phase III Phase IV Phase V Finanzbuchhaltung Einkauf Vertrieb Phasenorientiert Fachbereich Fibu Fachbereich Einkauf Fachbereich Vertrieb Fachbereich Logistik Fachbereich Controlling Phase I Phase II Phase III Phase IV Phase V Fachbereichsorientiert 23

24 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Aufnahme Prozessanforderungen Detailanalyse etwaiger bestehender Berechtigungsstrukturen Identifikation kritischer Berechtigungsstrukturen Definition der Funktionstrennung Definition Namenskonventionen Festlegung der Basis-, fachspezifischen Sonder -Berechtigungen Erstellung Konzept für Fall-Back- Szenario Definition Prozess Berechtigungsmanagement Ergebnisse Berechtigungskonzeption der einzuführenden Rollen Fall-Back-Konzept Abschluss der Phase: XXX 24

25 Typische Probleme aus der Praxis Nicht dokumentierte Eigenprogrammierungen Fehlende Möglichkeit zur Nutzungsbeschränkung bei Eigenprogrammierungen Benutzer fühlen sich in ihrer Kompetenz eingeschränkt, obwohl Berechtigungen gar nicht benötigt werden Fehlerhafte Zuordnung von Benutzern zu Bereichen Rollen aufgrund fehlender oder unklarer Organisationsstrukturen Benutzer aus Randbereichen werden nicht berücksichtigt (bspw. Betriebsarzt, Arbeitssicherheit, Werkschutz) Mangelnde Akzeptanz Testen der neuen Rollen 25

26 Phasenmodell - Vorgehensweise Template Phase Fachkonzept: Prozessbeschreibung 26

27 Phasenmodell - Vorgehensweise Template Phase Fachkonzept: Transaktionen Rolle Customer Service Rolle CS Stammdaten Rolle CS Freigabe Rolle CS Bestellungen Transaktion Bezeichnung FD03 Anzeigen Debitor (Buchhaltung) X X X FK03 Anzeigen Kreditor (Buchhaltung) X X X ME21N Bestellung anlegen X ME22N Bestellung ändern X ME23N Bestellung anzeigen X X X X ME2L Einkaufsbelege zum Lieferant X X X X ME2M Einkaufsbelege zum Material X X X X ME2N Einkaufsbelege zur Belegnummer X X X X ME51N Banfen anlegen X ME52N Banfen ändern X ME53N Banfen anzeigen X X X X MM01 Material & anlegen X MM02 Material & ändern X MM03 Material & anzeigen X X X X VA01 Kundenauftrag anlegen X VA02 Kundenauftrag ändern X VA03 Kundenauftrag anzeigen X X X VA05N Liste Aufträge X X X VA41 Kontrakt anlegen X VA42 Kontrakt ändern X VA43 Kontrakt anzeigen X X X VA45N Liste Kontrakte X X X VD01 Anlegen Debitor (Vertrieb) X VD02 Ändern Debitor (Vertrieb) X VD03 Anzeigen Debitor (Vertrieb) X X X 27

28 Phasenmodell - Vorgehensweise Templates Phase Fachkonzept: Organisationselemente Organisationselementematrix Fachbereich: Marketing+Sales Rolle Customer Service Rolle CS Stammdaten Rolle CS Freigabe Rolle CS Bestellungen Organisationselemente Buchungskreis , 0060 Einkaufsorganisation 0001 (nur Anzeige) 0001 (nur Anzeige) 0001 (nur Anzeige) 0001 (nur Anzeige) 0001, 0002, 0002 (nur Anzeige) 0002 (nur Anzeige) , 0006, 0007, (nur Anzeige) 0003 (nur Anzeige) (nur Anzeige) 0007 (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) 0006 (nur Anzeige) 0007 (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) Einkausfbelegarten alle alle alle ZN*, NB alle Verkaufsorganisation 0001, 0003 (nur Anzeige) 0001, 0003 (nur Anzeige) , 0003 (nur Anzeige) 0001, 0002, 0003, 0005 Werk alle Werke (nur Anzeige) 0101, 0121, 0131, 0134, 0135, 0139, 0143, 0145, 0146, , 0121, 0131, 0134, 0135, 0139, 0143, 0145, 0146, , 0121, 0131, 0134, 0135, 0139, 0143, 0145, 0146, 0147 (außer bei ACTVT=03, da alle Werke) alle Vorschlagswert 28

29 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Aufbau der Rolle(n) im Entwicklungssystem Erstellung Testplan Pretest durch IT Zuordnung Benutzer/Rollen Ergebnisse Rollen sind aufgebaut Erfolgreicher Pretest durch IT Benutzer sind den zu testenden Rollen zugewiesen Dokumentation Benutzer-Rollen- Zuordnung Abschluss der Phase: XXX 29

30 Phasenmodell - Vorgehensweise Templates Phase Design: Benutzer-Funktions-Organisationsmatrix Benutzer-Funktions- Organisationsmatrix Fachbereich: Marketing+Sales Rolle Customer Service Rolle CS Stammdaten Rolle CS Freigabe Rolle CS Bestellungen Benutzer Fachbereich 1 M&S X 2 M&S X 3 M&S X 4 M&S X 5 M&S X 6 M&S X 7 M&S X 8 M&S X 9 M&S X 30

31 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Schulung Testvorgehen Funktions- und Integrationstests durch Fachbereich Etwaige Fehlerbehebung durch IT Retest durch Fachbereich Test Fall-Back-Szenario Ergebnisse Schulungskonzeption Freigabe Rollen für Produktivstart Funktionsfähiges Fall-Back-Szenario Abschluss der Phase: XXX 31

32 Phasenmodell - Vorgehensweise Templates Phase Test: Testplan, Testdokumentation Sub-Process Qualitätsmanagement Date May 2013 Testtype User Acceptance Test Testphase Q03 Fiscal Year 2013 Version 1.0 ID Function description SAP Transaction Test KeyUser Date test Remarks / Errors Test KeyUser Date test Status name performed Status name performed 1 2 BER_QM2_001 Kostenstellen Einzelposten Ist KSB1 ok BER_QM2_002 Kostenrechnungsbelege Ist KSB5 ok BER_QM2_003 Reservierung anzeigen MB23 ok BER_QM2_004 Materialbelegliste MB51 ok BER_QM2_005 Lagerbestandsliste MB52 ok BER_QM2_006 Bestellung ändern ME22N ok BER_QM2_007 Bestellung anzeigen ME23N ok BER_QM2_008 Bestellanforderung ändern ME52N ok BER_QM2_009 Bestellanforderung anzeigen ME53N ok BER_QM2_010 Listanzeige Bestellanforderungen ME5A ok BER_QM2_011 Allgemeine Auswertungen (F) ME80FN ok BER_QM2_012 Nachrichtenausgabe Bestellungen ME9F ok BER_QM2_013 Warenbewegung MIGO ok BER_QM2_014 Aufruf der MIRO - Status Ändern MIR4 ok BER_QM2_015 Material & anzeigen MM03 ok BER_QM2_016 Bestandsübersicht MMBE ok BER_QM2_017 Charge ändern MSC2N ok BER_QM2_018 Anlegen Prüflos QA01 ok BER_QM2_019 Ändern Prüflos QA02 ok BER_QM2_023 Ändern QP02 ok BER_QM2_024 Kostenstellen: Ist/Soll/Abweichung S_ALR_ ok BER_QM2_025 SAP Query: Queries starten SQ00 ok BER_QM2_026 Kundenauftrag ändern VA02 nok ok BER_QM2_027 Kundenauftrag anzeigen VA03 ok BER_QM2_028 Auslieferung anzeigen VL03N ok BER_QM2_029 Benutzerspez. Versandfäll.bearbeit. VL10 ok BER_QM2_030 Nachrichten aus Auslieferungen VL71 ok BER_QM2_031 Anzeigen Kreditor (Zentral) XK03 ok BER_QM2_052 Schiffsliste pflegen ZQMSLIST01 ok BER_QM2_053 Schiffsliste anzeigen ZQMSLIST03 ok BER_QM2_054 Ersterfassung - Prüflose anlegen ZQMSR01 ok BER_QM2_055 Ersterfassung - Prüflose ändern ZQMSR02 ok BER_QM2_056 Zweiterfassung - Prüflose ändern ZQMSR03 nok Keine Berechtigung ok zum Abschliessen von Prüflosen BER_QM2_057 Schätzungen anlegen ZQMSR04 ok BER_QM2_058 Schätzungen ändern/bewerten ZQMSR05 ok BER_QM2_059 Schätzungen ändern/bewerten Kaufmann ZQMSR06 ok BER_QM2_060 Schiffszettel pflegen ZQMSZET ok

33 Phasenmodell - Vorgehensweise Templates Phase Test: Fehlerdokumentation, Freigabedokument 33

34 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Transport ins Produktivsystem Produktivsetzung der Rolle(n) - Zuweisung der neuen Rollen bei gleichzeitigem Entzug sämtlicher Alt- Berechtigungen Definition und Einführung des Prozesses Berechtigungsmanagement Ergebnisse Implementierte Berechtigungskonzeption im Produktivsystem Prozess Berechtigungsmanagement implementiert Abschluss der Phase: XXX 34

35 Benutzer/Rollen XXX_BAS_JED_0001_OVERALL XXX_FIN_DEB_0001 XXX_FIN_TAX_0001 XXX_FIN_ZAV_0001 XXX_INS_MWP_0001 XXX_INS_MWP_0001_Werk2 XXX_INS_SHW_0001 XXX_INS_SHW_0001_Werk2 XXX_IT_ADM_0001 XXX_IT_PRG_0001 XXX_LOG_ADM_0001 XXX_LOG_SAB_0001 XXX_MAG_AZU_0001 XXX_MEK_KEY_0001 XXX_MSA_CSA_0001 XXX_MSA_CSA_0001_STAMMDATEN XXX_MSA_KEY_0001 XXX_RED_ABW_0001_EDELMETALL XXX_RED_EDE_0001 XXX_RED_KEY_0001_EDELMETALLE XXX_RME_ABW_0001_PRIMAER XXX_RME_ABW_0001_RECYCLING XXX_TRM_MOM_0001 XXX_WCO_BR1_0001 Gesamtergebnis Benutzer-Rolle-Matrix (Gesamtübersicht) Phasenmodell - Vorgehensweise 35

36 Berechtigungsmanagement-Prozess Anforderung/ Verbesserung Überwachung/ Auswertung Änderung 36

37 Diskussion / Fragen?????? 37

38 Vielen Dank für Ihre Aufmerksamkeit. Gerd Malert T M F Gerd zur Brügge g.zurbruegge@fides-it-consultants.de T M F Contrescarpe 97 Am Kaiserkai Bremen Hamburg