Februar 2007 Autor: Jörg Siebert Echtzeit-Steuerung bei SAP-Lösungen für GRC Zugang kontrollieren Risiken minimieren Ein wichtiger Bestandteil der SAP-Lösungen für Governance, Risk und Compliance (GRC) sind die Anwendungen zur Steuerung und Kontrolle der Zugriffs- und Berechtigungssysteme: "Virsa Compliance Calibrator", "Virsa Role Expert", "Virsa Access Enforcer" und "Virsa FireFighter for SAP". Die integrierten Anwendungen überprüfen in SAP- und Nicht-SAP-Systemen in Echtzeit alle Transaktionen im Zugriffs- und Berechtigungswesen. Abhängig von ihrer Größe verfügen Unternehmen über eine gewisse Anzahl von SAP-Anwendern, denen sich entsprechend ihrer Aufgaben im SAP- Standard angelegte Rollen zuweisen lassen. Veränderte Verantwortungsbereiche, neue SAP-Funktionen oder neue kundeneigene Transaktionen sorgen jedoch meist rasch dafür, dass sich diese Rollen ändern. Verbunden mit dieser nicht unbeträchtlichen Zahl von Rollen und Prozessen gilt es, Zugriffsregeln und Berechtigungen zu evaluieren, zu testen und Probleme zu beheben. Doch das birgt Risiken. Beispielsweise ergäbe sich für einen Mitarbeiter, der bislang Lieferantenstammdaten ändern durfte und nun zudem berechtigt ist einen Zahlungslauf auszuführen, die Möglichkeit zum Betrug. Er könnte theoretisch Geld auf ein eigenes Bankkonto überweisen. Die internationale Gesetzgebung verpflichtet Unternehmen dazu, für solche Fälle Kontrollmechanismen einzurichten. Bislang sind hierfür meist Kontrollprozesse auf organisatorischer Ebene, außerhalb der SAP-Software Seite: 1 / 5
aufgesetzt. Ein externer Systemprüfer kontrolliert die Zugriffsrechte und identifiziert mit seiner Erfahrung risikobehaftete Kombinationen von Transaktionen. Der Abstand zwischen zwei Prüfungen beträgt bis zu einem Jahr für jemanden, der Schaden anrichten möchte, ein ausreichend langer Zeitraum. Die effizienteste und kostengünstige Möglichkeit, Lücken im Kontrollsystem zu ermitteln und Verstöße bei den Benutzerrechten zu verhindern, sind daher automatisierte Tests und Echtzeitüberwachung, beispielsweise hinsichtlich der Funktionstrennung. Virsa Compliance Calibrator Der Virsa Compliance Calibrator versteht sich hier als "interner, permanenter Systemprüfer". Werden im SAP-Berechtigungskonzept einem Anwender beispielsweise die Transaktionen zur "Anlage von Bestellungen" und "Rechnungsprüfung" zugeordnet, reagiert der Compliance Calibrator in Echtzeit. Er identifiziert anhand seines hinterlegten Regelwerks das Resultat zehnjähriger Auditerfahrung ein potentielles Risiko und meldet es an den hinterlegten Verantwortlichen für den Geschäftsprozess "Procure to Pay". Der Compliance Calibrator macht darüber hinaus Lösungsvorschläge. So lässt sich im Beispiel das Risiko für Missbrauch etwa durch das Vieraugenprinzip bei der Rechnungsprüfung vermindern. Unabhängig von einem solchen zusätzlichen, manuellen Prozess ist das Missbrauchsrisiko nun bekannt. Das Unternehmen kann also auch andere Varianten überdenken. Muss der Anwender tatsächlich beides dürfen, Bestellungen anlegen und Rechnungsprüfungen durchführen? Reicht es vielleicht aus, wenn nur Rechnungen über 10.000 Euro nach dem Vieraugenprinzip geprüft werden? Das Herzstück des Virsa Compliance Calibrators ist ein Regelwerk. Es umfasst rund 200 Risiken, die sich aus den Kombinationmöglichkeiten von Seite: 2 / 5
mehreren tausend SAP-Standardtransaktionen ableitet. Die Risiken sind nach Geschäftsprozessen klassifiziert, etwa Procur-to-Pay oder Order-to-Cash. Der Virsa Compliance Calibrators wurde in ABAP programmiert und lässt sich per Transportauftrag direkt in mysap ERP einspielen. So genannte Z-Transaktionen, die der Kunde seinen Wünschen entsprechend selbst erstellt hat, erkennt das Regelwerk zunächst nicht. Sie müssen hinzugefügt werden, um einen umfassenden Blick auf alle Kombinationsmöglichkeiten der Transaktionen und die damit verbundenen Risiken zu ermöglichen. Hat ein SAP-Kunde etwa für die Erfassung von Bestellungen innerhalb einer eigenen Z-Transaktion zudem die Bildschirmmaske vereinfacht, so ist diese bei Systemprüfungen ebenfalls zu berücksichtigen. Handelt es sich um eine umfassende Eigenentwicklung sollte ein externer Systemprüfer bezüglich kritischer Kombinationsmöglichkeiten von Transaktionen und der daraus resultierenden Risiken befragt werden. Derart abgesichert kann die kundenindividuelle Z-Transaktion in das automatische Regelwerk für permanente Echtzeitprüfungen hinterlegt werden. Virsa Role Expert Beim Virsa Role Expert handelt es sich um einen Profilgenerator, mit dem sich Rollen zentral erstellen und verwalten lassen. Im Gegensatz zu den IT- Berechtigungskonzepten, die in der Regel sehr technisch auf Basis von Transaktionen arbeiteten, verpackt der Virsa Role Expert diese Inhalte in einer Sprache und Oberfläche, die nicht ausschließlich von IT-Abteilungen, sondern insbesondere von den Fachbereichen verstanden wird. Seite: 3 / 5
Hinter unanschaulichen Bezeichnungen wie "MIRO" "MIGO" oder "FB03" verbergen sich Transaktionen zur Rechnungseingangs-prüfung, Wareneingang oder Beleganzeigen. Gebündelt werden diese Beispiele unter der Einzelrolle Z_INVOICE - "Rechnungsprüfung" und anschließend in der Sammelrolle Z_AP "Kreditorenmanagement". Mit diesen Bezeichnungen läßt sich das Design neuer Rollen zusammen mit dem Fachbereich dokumentieren und durch den angeschlossenen Virsa Compliance Calibrator in Echtzeit überprüfen. Ein leicht verständlicher, Webbasierter Workflow versetzt den Fachbereich in die Lage, Berechtigungsanfragen zu beurteilen und diese im System zuzuordnen. Diese Vorgehensweise fördert ein einheitliches Rollendesign auch über Systemgrenzen, eine proaktive Risikobewertung und nicht zu vergessen eine zentrale Dokumentation für den Systemprüfer. Virsa Access Enforcer Mit dem Virsa Access Enforcer werden anschließend die Rollen und Berechtigungsprofile über einen einfachen Workflow an die Anwender vergeben. Bekommt ein Sachbearbeiter aus der Debitorenbuchhaltung auch noch Aufgaben aus der Kreditorenbuchhaltung übertragen, kann er beispielsweise die Rolle "Kreditorenmanagement" und "Rechnungsprüfung" selbst beantragen. Der Antrag landet bei seinem Vorgesetzten im Fachbereich, der nach einer kurzen Risikoanalyse mit dem Virsa Compliance Calibrator die Anfrage dokumentiert, zustimmt oder ablehnt. Ein Mitarbeiter aus der IT-Abteilung muss nicht tätig werden. Die IT-Abteilung überwacht lediglich alle Anfragen auf neue Berechtigungen in einem Monitor und dokumentiert die Vorgänge für den Systemprüfer. Seite: 4 / 5
Virsa FireFighter for SAP Manchmal ist es notwendig, für einen begrenzten Zeitraum mit einem "Notfall- User" zu arbeiten. Sind beispielsweise die Kollegen der Kreditorenrechung, die Berechtigungen für das Zahlungsprogramm haben, durch Urlaub oder Krankheit verhindert, muss unter Umständen ein Sachbearbeiter der Rechnungseingangsprüfung temporär diese Arbeiten mit übernehmen. Dieser mit weitreichenden Berechtigungen ausgestattete Anwender bekommt über den Virsa FireFighter kurzfristig Zugriff auf das Zahlungsprogramm. Die Aktivitäten des "Notfall-Users" werden detailliert und langfristig bis zu mehreren Jahren aufgezeichnet. In diesem Protokoll lässt sich beispielsweise prüfen, nach welchen Selektionskriterien der Zahlungslauf erfolgt ist. Darüber hinaus unterliegt der Einsatz eines "Notfallusers" auch einer weiteren, unmittelbaren Kontrolle. Richtet beispielsweise der Sachbearbeiter aus der Rechnungseingangsprüfung für gewisse Zahlungen einen "Notfalluser" ein, so erhält der Leiter der Finanzbuchhaltung darüber Meldung. So lässt sich ein Mißbrauch von Berechtigungen bekämpfen, ohne dass die notwendige Flexibilität verloren geht. Im Zusammenspiel runden der "Virsa Compliance Calibrator", der "Virsa Role Expert", der "Virsa Access Enforcer" und der "Virsa FireFighter for SAP" die Möglichkeiten ab, Zugriffe und Berechtigungen für SAP-Lösungen zu steuern und zu kontrollieren. Seite: 5 / 5