Echtzeit-Steuerung bei SAP-Lösungen für GRC Zugang kontrollieren Risiken minimieren

Ähnliche Dokumente
wikima4 mesaforte firefighter for SAP Applications

Muster-Angebotsinformation

it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH

Neue Wege im Berechtigungswesen: Einführung von SAP Identity Management bei der BARMER GEK

Lean Data Management für SAP mit Excel und Workflows. Webinar Q&A. 20. November 2014

Unkalkulierbares Risiko? Wie die Berücksichtigung v. Risk-Scores im Berechtigungsmanagement neue Möglichkeiten eröffnet. Niels von der Hude

Integrieren Sie Excel und SAP ohne Programmierung. Webinar Q&A. 29. Januar 2015

Elektronische Lieferantenakte

Sicherheit auch für SAP

SAP Access Control: Sicheres Zugriffs- und Berechtigungsmanagement

Risikoaggregation und simulation im IT- gestützten Risikomanagementprozess»

M a t e r i a l - w i r t s c h a f t Beispiel 1. Ausgabe /

Prüfplan SAP. März 2011 Uli Flake, Jochen Konrad-Klein,

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

Auf einen Blick. Teil I Das Unternehmen SAP. 14 Materialwirtschaft Vertrieb 229

Risikomanagement und CheckAud for SAP Systems

WHITEPAPER Sanktionslistenprüfung Mit der richtigen Software auf der sicheren Seite. Rechtskonforme Compliance was ist zu beachten?

FLF-Testmanager ã k. Kraft. Testprogramm für Banken- und Leasingapplikationen FINANZIERUNG LEASING FACTORING

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite

Konzernsteuerungssysteme Revision IKS - Compliance

Digitale Archivierung für SAP mit DocuWare realisieren

GRC TOOLBOX PRO Vorstellung & News

von Roger Jaquet, Business ControllingPartner AG Zürich, 3. September 2015

Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!

Platzverwaltung sofort auf Knopfdruck.

Compliance Report 2016

Governance, Risk & Compliance Management as a Service

EAC Extended Access Control

Digitale Immobilienakte

WindowsPro Windows, Virtualisierung und Cloud für Profis

Benutzerdefinierte Housekeepinglisten in SAP BW //

Klassifikations- und Dokumentationsmodell des IKS

AUTHORIZATION MANAGER

CONTROLPANEL ACCOUNTVERWALTUNG. Inhalt. Accountverwaltung controlpanel.wu.ac.at

SoDRisk. Die Software-Lösung für die Identifizierung kritischer Einzelberechtigungen und Berechtigungskombinationen in Ihrem SAP -System:

BMD NTCS STAPEL FÜR AUTOMATISCHE WEBUPDATES

Zukunftsaufgabe Geschäftsprozessmanagement. Wolfgang Reismann, IBM, IT-Architect

SAPFIN. SAP ERP Financials Überblick GLIEDERUNG DES KURSES. Version der Schulung: 15 Dauer der Schulung: 2 Tage

Inhaltsverzeichnis. Vorwort 7 Widmung 8

FAQ. Was kosten einzelne zusätzliche Konten für Offices der Betreiber, gestaffelt mit 100GB, 250GB oder 1TB?

SAP BusinessObjects Solutions for Governance, Risk and Compliance

FAQ CashComm zu PROFFIX

STARTER-KIT IKS IN DER PERSONALWIRTSCHAFT

EFFIZIENTES KONTROLLSYSTEM ALS INTEGRIERTER BESTANDTEIL DER CORPORATE GOVERNANCE. 7. November 2017 SWISS GRC DAY Daniel Fuchs, Leiter Risk Control

SAP CHANGE MANAGEMENT IM BUSINESS KONTEXT

Testing Reality. Real users. Real devices. Real time.

KRITISCHE EREIGNISSE & BESCHWERDEN ERFASSEN UND ANALYSIEREN

INTERNE KONTROLLE IN DER ÖFFENTLICHEN VERWALTUNG

Rechnungen bezahlen und Kosten sparen

SaaS leben am Beispiel der

PROMOS SUPPORTPROZESS

Schnittstellen zwischen Perinorm und anderen Anwendungen: Was sind die Anforderungen, was gibt es bereits und was ist derzeit geplant?

Compliant Identity Management bei Daimler

Bedienungsanleitung Gebührendaten

Bestellanforderung Fallbeispiel IT-Ausstattung

AC010. Geschäftsprozesse im Finanzwesen GLIEDERUNG DES KURSES. Version der Schulung: 15 Dauer der Schulung: 5 Tage

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Signavio Process Intelligence. Gewinnen Sie wegweisende Einblicke in Ihre Prozesse

Mobile ERP Business Suite

2.16 Trusted-RFC-Verbindungen

2012 Quest Software Inc. All rights reserved.

Technical Note 0409 ewon

Perinorm Anwendertreffen Workshop 4: Schnittstellenanforderungen in andere Systeme definieren

für die SAP Variantenkonfiguration

für die SAP Variantenkonfiguration

Herzlich willkommen: #ITTage16 Geschäftsprozesse klar und effizient darstellen. Ihr Trainer: Dr. Serge Schiltz

Gemeinderisiken 2017

1... Einleitung Betriebswirtschaftliche Grundlagen von Financial Supply Chain Management SAP Dispute Management...

Produktdatenblatt WIAM ICE

BUSINESS IN THE FAST LANE TESTWORKBENCH - TWB. Überblick

Geschäftsprozesse transparent und effizient gestalten

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Informatiksicherheitsverordnung

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Hēa die Vernetzte Praxissteuerung. Praxissteuerung.

SharePoint 2007 als unternehmensweite Collaboration-Plattform Marc Werner-Nietz

agree21doksharing für Administratoren

Berechtigungsdatenbank Die Lösung für die Governance- Themen Ihrer IT-Architektur

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Schnelleinstieg ins SAP Controlling. Martin Munzel Andreas Unkelbach

Governance, Risk & Compliance für den Mittelstand

BTS die professionelle Seminarverwaltung

PayPal-Konten abrufen

< E X P L A I N E D >

UpToNet Workflow Workflow-Designer und WebClient Anwendung

Access Rights Management. Only much Smarter.

COI-BusinessFlow Personalakte. Business White Paper

Persönliche Einladung Finanz Roundtable Umgang mit Finanz und IT Risiken. 21. Juni 2016 Zunfthaus zur Saffran, Zürich

protecting companies from the inside out

SAP Fraud Management und SAP Audit Management Die sichere Unterstützung für Compliance und Revision

G+H SoftwareSolutions Oktober Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung

TÜV NORD CERT GmbH DIN EN ISO 9001:2015 und Risikomanagement Anforderungen und Umsetzung

WinValue MarktWerte Gebrauchtwagen einfach bequem bewerten

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

MOBILES OBJEKTMANAGEMENT MIT DER ERP-SOFTWARE HAUFE WOWINEX

Transkript:

Februar 2007 Autor: Jörg Siebert Echtzeit-Steuerung bei SAP-Lösungen für GRC Zugang kontrollieren Risiken minimieren Ein wichtiger Bestandteil der SAP-Lösungen für Governance, Risk und Compliance (GRC) sind die Anwendungen zur Steuerung und Kontrolle der Zugriffs- und Berechtigungssysteme: "Virsa Compliance Calibrator", "Virsa Role Expert", "Virsa Access Enforcer" und "Virsa FireFighter for SAP". Die integrierten Anwendungen überprüfen in SAP- und Nicht-SAP-Systemen in Echtzeit alle Transaktionen im Zugriffs- und Berechtigungswesen. Abhängig von ihrer Größe verfügen Unternehmen über eine gewisse Anzahl von SAP-Anwendern, denen sich entsprechend ihrer Aufgaben im SAP- Standard angelegte Rollen zuweisen lassen. Veränderte Verantwortungsbereiche, neue SAP-Funktionen oder neue kundeneigene Transaktionen sorgen jedoch meist rasch dafür, dass sich diese Rollen ändern. Verbunden mit dieser nicht unbeträchtlichen Zahl von Rollen und Prozessen gilt es, Zugriffsregeln und Berechtigungen zu evaluieren, zu testen und Probleme zu beheben. Doch das birgt Risiken. Beispielsweise ergäbe sich für einen Mitarbeiter, der bislang Lieferantenstammdaten ändern durfte und nun zudem berechtigt ist einen Zahlungslauf auszuführen, die Möglichkeit zum Betrug. Er könnte theoretisch Geld auf ein eigenes Bankkonto überweisen. Die internationale Gesetzgebung verpflichtet Unternehmen dazu, für solche Fälle Kontrollmechanismen einzurichten. Bislang sind hierfür meist Kontrollprozesse auf organisatorischer Ebene, außerhalb der SAP-Software Seite: 1 / 5

aufgesetzt. Ein externer Systemprüfer kontrolliert die Zugriffsrechte und identifiziert mit seiner Erfahrung risikobehaftete Kombinationen von Transaktionen. Der Abstand zwischen zwei Prüfungen beträgt bis zu einem Jahr für jemanden, der Schaden anrichten möchte, ein ausreichend langer Zeitraum. Die effizienteste und kostengünstige Möglichkeit, Lücken im Kontrollsystem zu ermitteln und Verstöße bei den Benutzerrechten zu verhindern, sind daher automatisierte Tests und Echtzeitüberwachung, beispielsweise hinsichtlich der Funktionstrennung. Virsa Compliance Calibrator Der Virsa Compliance Calibrator versteht sich hier als "interner, permanenter Systemprüfer". Werden im SAP-Berechtigungskonzept einem Anwender beispielsweise die Transaktionen zur "Anlage von Bestellungen" und "Rechnungsprüfung" zugeordnet, reagiert der Compliance Calibrator in Echtzeit. Er identifiziert anhand seines hinterlegten Regelwerks das Resultat zehnjähriger Auditerfahrung ein potentielles Risiko und meldet es an den hinterlegten Verantwortlichen für den Geschäftsprozess "Procure to Pay". Der Compliance Calibrator macht darüber hinaus Lösungsvorschläge. So lässt sich im Beispiel das Risiko für Missbrauch etwa durch das Vieraugenprinzip bei der Rechnungsprüfung vermindern. Unabhängig von einem solchen zusätzlichen, manuellen Prozess ist das Missbrauchsrisiko nun bekannt. Das Unternehmen kann also auch andere Varianten überdenken. Muss der Anwender tatsächlich beides dürfen, Bestellungen anlegen und Rechnungsprüfungen durchführen? Reicht es vielleicht aus, wenn nur Rechnungen über 10.000 Euro nach dem Vieraugenprinzip geprüft werden? Das Herzstück des Virsa Compliance Calibrators ist ein Regelwerk. Es umfasst rund 200 Risiken, die sich aus den Kombinationmöglichkeiten von Seite: 2 / 5

mehreren tausend SAP-Standardtransaktionen ableitet. Die Risiken sind nach Geschäftsprozessen klassifiziert, etwa Procur-to-Pay oder Order-to-Cash. Der Virsa Compliance Calibrators wurde in ABAP programmiert und lässt sich per Transportauftrag direkt in mysap ERP einspielen. So genannte Z-Transaktionen, die der Kunde seinen Wünschen entsprechend selbst erstellt hat, erkennt das Regelwerk zunächst nicht. Sie müssen hinzugefügt werden, um einen umfassenden Blick auf alle Kombinationsmöglichkeiten der Transaktionen und die damit verbundenen Risiken zu ermöglichen. Hat ein SAP-Kunde etwa für die Erfassung von Bestellungen innerhalb einer eigenen Z-Transaktion zudem die Bildschirmmaske vereinfacht, so ist diese bei Systemprüfungen ebenfalls zu berücksichtigen. Handelt es sich um eine umfassende Eigenentwicklung sollte ein externer Systemprüfer bezüglich kritischer Kombinationsmöglichkeiten von Transaktionen und der daraus resultierenden Risiken befragt werden. Derart abgesichert kann die kundenindividuelle Z-Transaktion in das automatische Regelwerk für permanente Echtzeitprüfungen hinterlegt werden. Virsa Role Expert Beim Virsa Role Expert handelt es sich um einen Profilgenerator, mit dem sich Rollen zentral erstellen und verwalten lassen. Im Gegensatz zu den IT- Berechtigungskonzepten, die in der Regel sehr technisch auf Basis von Transaktionen arbeiteten, verpackt der Virsa Role Expert diese Inhalte in einer Sprache und Oberfläche, die nicht ausschließlich von IT-Abteilungen, sondern insbesondere von den Fachbereichen verstanden wird. Seite: 3 / 5

Hinter unanschaulichen Bezeichnungen wie "MIRO" "MIGO" oder "FB03" verbergen sich Transaktionen zur Rechnungseingangs-prüfung, Wareneingang oder Beleganzeigen. Gebündelt werden diese Beispiele unter der Einzelrolle Z_INVOICE - "Rechnungsprüfung" und anschließend in der Sammelrolle Z_AP "Kreditorenmanagement". Mit diesen Bezeichnungen läßt sich das Design neuer Rollen zusammen mit dem Fachbereich dokumentieren und durch den angeschlossenen Virsa Compliance Calibrator in Echtzeit überprüfen. Ein leicht verständlicher, Webbasierter Workflow versetzt den Fachbereich in die Lage, Berechtigungsanfragen zu beurteilen und diese im System zuzuordnen. Diese Vorgehensweise fördert ein einheitliches Rollendesign auch über Systemgrenzen, eine proaktive Risikobewertung und nicht zu vergessen eine zentrale Dokumentation für den Systemprüfer. Virsa Access Enforcer Mit dem Virsa Access Enforcer werden anschließend die Rollen und Berechtigungsprofile über einen einfachen Workflow an die Anwender vergeben. Bekommt ein Sachbearbeiter aus der Debitorenbuchhaltung auch noch Aufgaben aus der Kreditorenbuchhaltung übertragen, kann er beispielsweise die Rolle "Kreditorenmanagement" und "Rechnungsprüfung" selbst beantragen. Der Antrag landet bei seinem Vorgesetzten im Fachbereich, der nach einer kurzen Risikoanalyse mit dem Virsa Compliance Calibrator die Anfrage dokumentiert, zustimmt oder ablehnt. Ein Mitarbeiter aus der IT-Abteilung muss nicht tätig werden. Die IT-Abteilung überwacht lediglich alle Anfragen auf neue Berechtigungen in einem Monitor und dokumentiert die Vorgänge für den Systemprüfer. Seite: 4 / 5

Virsa FireFighter for SAP Manchmal ist es notwendig, für einen begrenzten Zeitraum mit einem "Notfall- User" zu arbeiten. Sind beispielsweise die Kollegen der Kreditorenrechung, die Berechtigungen für das Zahlungsprogramm haben, durch Urlaub oder Krankheit verhindert, muss unter Umständen ein Sachbearbeiter der Rechnungseingangsprüfung temporär diese Arbeiten mit übernehmen. Dieser mit weitreichenden Berechtigungen ausgestattete Anwender bekommt über den Virsa FireFighter kurzfristig Zugriff auf das Zahlungsprogramm. Die Aktivitäten des "Notfall-Users" werden detailliert und langfristig bis zu mehreren Jahren aufgezeichnet. In diesem Protokoll lässt sich beispielsweise prüfen, nach welchen Selektionskriterien der Zahlungslauf erfolgt ist. Darüber hinaus unterliegt der Einsatz eines "Notfallusers" auch einer weiteren, unmittelbaren Kontrolle. Richtet beispielsweise der Sachbearbeiter aus der Rechnungseingangsprüfung für gewisse Zahlungen einen "Notfalluser" ein, so erhält der Leiter der Finanzbuchhaltung darüber Meldung. So lässt sich ein Mißbrauch von Berechtigungen bekämpfen, ohne dass die notwendige Flexibilität verloren geht. Im Zusammenspiel runden der "Virsa Compliance Calibrator", der "Virsa Role Expert", der "Virsa Access Enforcer" und der "Virsa FireFighter for SAP" die Möglichkeiten ab, Zugriffe und Berechtigungen für SAP-Lösungen zu steuern und zu kontrollieren. Seite: 5 / 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback