Muster-Angebotsinformation Einsatzanalyse SAP Berechtigungs-Management & Compliance 3-Tages Proof-of-Concept Seite 1
Inhalt 1 Management Summary... 3 1.1 Technische Rahmenbedingungen... 3 1.2 Ziele der Einsatzanalyse... 3 2 Aufgabenstellung und Zielsetzung... 4 2.1 Angebotsgrundlage... 4 2.2 Beschreibung der Arbeitsschritte / Arbeitsergebnisse... 4 3 Kommerzielle Konditionen... 5 Seite 2
1 Management Summary 1.1 Technische Rahmenbedingungen SAP -Transaktionen (derzeit ca. 100.000) erlauben Mitarbeitern den Zugriff mit Änderungsmöglichkeiten auf unternehmenskritische Daten. So können z.b. Werte aus Bilanzen, Personalkosten, Auftragsvolumen, etc. direkt von einem SAP -System aufgerufen werden. Diese Zugriffe werden über sogenannte Objekte in einem SAP -System geschützt (abhängig vom SAP Release gibt es zwischen 800 1.800 Objekte). Für diese Zugriffe bzw. Objekte bedarf es eines Berechtigungskonzeptes, welches im Detail und im Vorfeld definiert wer mittels welchen Transaktionen Zugriff auf die Informationen erhält. Durch Kombinationen gibt es bis zu 1.000.000 Berechtigungs-Sätze, die in diesem Berechtigungskonzept berücksichtigt, verwaltet und gepflegt werden müssen. Das SAP Standard ERP System unterstützt ein sicheres Berechtigungskonzept nur teilweise. Einerseits bietet der SAP ERP System kein Instrument um diese Berechtigungs-Sätze effizient und einfach pflegen zu können. Anderseits dienen die von SAP vordefinierten SAP -Rollen und Profile, die Berechtigungs-Sätze einschließen, nur als Empfehlungen und lassen sich daher nicht direkt in der Praxis einsetzen. Mit der Berechtigungs- und Compliance Lösung für SAP Systeme wird der Aufbau und Design des SAP Berechtigungswesen, die Verwaltung der Berechtigungen, Rollen und User sowie die Compliance Prüfung durch spezifische Funktionen und Referenzmodelle effizient und durchgängig unterstützt. 1.2 Ziele der Einsatzanalyse Um trotz der technisch nicht trivialen Bedingungen zu einer fundierten Entscheidungsgrundlage zu kommen, bietet folgende Einsatzanalyse in Form eines 3-Tages Workshops an. Testinstallation SAP zertifizierte Zusatzlösung Berechtigung & Compliance Kurzanalyse der bestehenden Situation Aufbau exemplarischer SAP Rollen Handhabung Audit-Regelwerk und ggfs. Kurz-Analyse Kunden-SoD vs. Ref.Modell Aufbau exemplarischer Freigabe- und Antragsverfahren Im Workshop werden wichtige Aspekte wie der aktuelle Stand des Berechtigungskonzepts mit Hilfe eines System Audit im Vergleich zu Referenz-Modell analysiert. Darüber hinaus werden auch die bestehenden Prozesse im Bereich Berechtigungsverwaltung erfasst und auf Effizienz, Performance und Optimierungspotentiale bewertet. Die Ergebnisse werden in einem Bericht zusammengefasst und bereitgestellt. Seite 3
Im Anschluss an den Workshop hat der Kunden einen sehr guten Überblick bzgl. der Funktionalitäten und des Sollprozesses für ein auditsicheres Berechtigungsmanagement. Zudem werden in diesem Zusammenhang die kundenindividuellen Eigenheiten für eine mögliche Implementierung berücksichtigt. Die Ergebnisse des Workshops dienen beiden Seiten um die Entscheidung für den Einsatz der Lösung konkret beurteilen zu können. 2 Aufgabenstellung und Zielsetzung Mittels des Workshops soll eine Entscheidungsgrundlage zur Erstellung und Einführung eines neuen Berechtigungskonzeptes erstellt werden. Ziel des Workshops ist o Management-Darstellung mit den Auswertungen von Pflege/Administration, Compliance, Wachstum und Migration/Einführung o Kosten / Nutzen-Betrachtung o Audits des bestehenden Berechtigungskonzeptes (technische Compliance Verletzungen, Compliance Gefahren und Segregation of Duty-Verletzungen) o ein Vorschlag der idealen Vorgehensweise zur Erstellung eines Berechtigungskonzeptes. o Beurteilung der konkreten Situation beim Kunden o Praktische Erfahrungen mit der Berechtigungs- & Compliance-Lösung gewinnen 2.1 Angebotsgrundlage Als Werkvertrag bietet die nachfolgend genannten Arbeitsschritte an. wird zur Erbringung der genannten Dienstleistungen erfahrene Experten einsetzen, von denen eine(r) als verantwortlicher Gesprächspartner für den Kunden benannt ist. 2.2 Beschreibung der Arbeitsschritte / Arbeitsergebnisse Arbeitsschritte Ergebnis Verantwortlich 1. Vorbereitung: Für die Auswertung wird die Software auf ein beliebiges SAP -System (z.b. SolMan) mittels Transport zur Analyse von Rollen, Berechtigungsprofile und Zuordnungen der Berechtigungen zu Benutzern des N SAP -ERP- Systems installiert. o Einspielen des Transportes o Datenübernahme von Rollen, Berechtigungsprofile und Zuordnungen der Berechtigungen zu Benutzern Testversion installiert Basis für Access Control Audit 2. Audit des N SAP -ERP-Systems: Mit Hilfe des Tools werden automatisiert ausführliche Audit-Analysen auf Basis Seite 4
der zur Verfügung gestellten Daten durchgeführt. Zusätzliche findet eine manuelle Grobsichtung der Berechtigungen statt. o Automatische Erstellung der Audits in der Software, Dokumentation der Abfragen o Übersicht Mengengerüst-Analyse der Abfragen o Audit-Bericht Analyseergebnis Analyseergebnis_Details o Detaillierte Analyse der Abfragen mit Angaben der User, Profile und Rollen 3. Administration des Berechtigungssystems: Soll-Aufnahme des Prozesses zu Änderungen am Berechtigungskonzept (Pflege von Rollen) Soll-Aufnahme des Prozesses zur Benutzerverwaltung: Wie sollen Berechtigungen den Benutzern zugeordnet und welche Prozess-Schritte sind eingeschlossen (Neuantrag, Änderungs- und Löschantrag). Exemplarische Abbildung der Sollprozesse im System Freigaberegelwerk 4. Technische Evaluierung: SAP -Systemanalyse und Bestandsaufnahme zu Release und Patches. Aufnahme der System-Architektur und Release-Stand sowie Patches (Vorort- Termin) 3 Kommerzielle Konditionen Zum Pauschalpreis von 5.500,00 EUR bietet die folgenden Leistungen an. Testinstallation der Software auf Server des Kunden Kurz-Analyse Einrichten Musterprozess Abschlussbesprechung Die Leistungserbringung erfolgt durch erfahrene Seniorberater. Für Einsätze am Leistungsort innerhalb Deutschlands sind sämtliche Nebenkosten wie Reisezeiten, Reisekosten, Kilometergeld enthalten. Übernachtungskosten werden vom Kunden übernommen. Seite 5