Das SAP Berechtigungskonzept.

Das SAP Berechtigungskonzept. 

Management Circle 2009

2 

WILLKOMMEN. 

Das SAP Berechtigungskonzept - Management Circle 

©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft

Rolf Hagenow 

Senior Manager 

Enterprise Risk Services 

Deloitte & Touche GmbH 

Wirtschaftsprüfungsgesellschaft 

Franklinstraße 50 

60486 Frankfurt am Main 

Tel.: + 49 69 75695 - 6525 

Mobile + 49 1520 9311 676 

Email: rhagenowjansen@deloitte.de 

www.deloitte.com/de 

Member of 

Deloitte Touche Tohmatsu 

Stefan Gämmerler 

Manager 


Deloitte & Touche GmbH 

Wirtschaftsprüfungsgesellschaft 

Rosenheimer Platz 4 

81669 München 

Tel + 49 89 29036 - 8071 

Mobile + 49 172 8685838 

Email: sgaemmerler@deloitte.de 

www.deloitte.com/de 

Member of 

Deloitte Touche Tohmatsu

AGENDA 

1. Einordnung des SAP® Berechtigungskonzepts im Rahmen der IT GRC 

2. Zielsetzungen bei der Einführung eines neuen Berechtigungskonzepts 

3. Vorgehensweise bei der Einführung eines neuen Berechtigungskonzepts I 

4. Lean Role Management 

5. Vorgehensweise bei der Einführung eines neuen Berechtigungskonzepts II 

6. Lückenlose Compliance – SAP® Sicherheit im täglichen Geschäft 

7. SAP® GRC Überblick und Vorstellung der SAP® GRC Access Controls Lösung 

4 



Zeitplan Tag 1 

5 

Vormittag 09:15 - 09:40 Einleitung – AGENDA – Zeitplanung 

Vorstellungsrunde 

09:40 - 10:00 Deloitte Unternehmenspräsentation 


10:00 - 11:00 Einordnung des SAP Berechtigungskonzepts 

im Rahmen der IT Governance, Risk, 

Compliance 

11:00 - 11:15 Kaffeepause 

11:15 - 12:30 Zielsetzungen bei der Einführung eines neuen 

Berechtigungskonzepts 

12:30 - 14:00 MITTAGESSEN 

Nachmittag 14:00 - 15:45 Vorgehensweise bei der Einführung eines 

neuen Berechtigungskonzepts 1 


16:00 - 16:30 Lean Role Management 

16:30 - 17:30 Vorgehensweise bei der Einführung eines 

neuen Berechtigungskonzepts 2 

17:30 - 18:00 Wrap-up Tag 1 

(Fragen u. Antworten, Ausblick Tag 2) 



Zeitplan Tag 2 

6 

Vormittag 09:00 - 10:30 Praxisbericht: Das Berechtigungskonzept bei 

der AOK Bayern 


10:45 - 11:30 Vorgehensweise bei der Einführung eines 

neuen Berechtigungskonzepts 2 (Fortsetzung) 

11:30 - 12:30 Lückenlose Compliance - SAP Sicherheit im 

täglichen Geschäft 

12:30 - 14:00 MITTAGESSEN 

Nachmittag 14:00 - 14:45 SAP GRC Access Control Grundlagen 

14:45 - 16:00 SAP GRC Access Control Demo 


16:00 - 17:00 Wrap-up Tag 2 (abschließende Fragen u. 

Antworten) 



Allgemeines 

7 

Toiletten Zeiten, Pausen Erfrischungen 

Telefonanrufe Mittagessen Mobiltelefone 



Vorstellungsrunde 

• Name 

• Aufgabe(n) in Ihrem Unternehmen 

• SAP-Kenntnisse / Erfahrung 

• Erwartungen an das Seminar / Ziele 

8 



Das Ganze im Blick. 

Deloitte Unternehmenspräsentation

10 




Unser Services Portfolio 

11 

Financial Risk 

Solutions 

Security & Privacy 

Banking Security Management 

Insurance 

Corporate Treasury 

Energy Trading & 

Risk Management 

Quantitative 

Solutions 

* inkl. Vulnerability Management 

Infrastructure & 

Operations Security * 

Identity / Access 

Management 

Application Integrity 

Privacy & Data 

Protection 

Business Continuity 



Controls 

Assurance 

IT GCC Assessments 

CA IT 

IT GCC Assessments 

CA Processes 

Business Process 

Controls Assessments 

DQI Data Quality 

and Integrity 

Other Trust Services 

Project 


Internal Audit 

Operational Audit 

Financial Audit 

IT Audit 

Fraud Prevention 

Contract 

Risk & Compliance 

Enterprise 


Quality Assessment 

Services 

Corp. Responsibility 

& Sustainability 

Risk & Opportunity 

Assessments 

Strategy Development & 

Integration 

Integrated Management 

systems (HSEQR& SD) 

Workshops / Trainings 

& Internal Audit 

Reporting & 

Communication 

GHG Strategy & Carbon 

Footprinting 

Expert‘s opinion & 

ESG Due Diligence 

Governance & 

Compliance 

Compliance Health 

Check 

Compliance & 

Governance Mgt. 

Corporate Governance 

IT Governance 

Information Lifecycle 



Security & Privacy Dienstleistungen 

12 

Security 

Management 

(Regularien) 

Business 

Continuity 

Security & Privacy - Services Überblick - Januar 2009 


Operations Security 

(inkl. Vulnerability Management) 

Sicherheit, Effizienz, 

Integrität. 


Protection 

Identity / 

Access 

Management 

Application 

Integrity 

(ERP Controls & 

GRC Tools) 



Anspruchsvolle Aufgabenstellungen (1/2) 

13 

Security 

Management 

(Regularien) 

Infrastructure 

& Operations 

Security 

(inkl. Vulnerability 

Management) 

Identity / 

Access 

Management 


Um die Sicherheit der IT-Infrastruktur nachhaltig sicherzustellen, ist die Etablierung 

von unternehmensweiten Regelwerken und Kontrollsystemen notwendig. Dies 

erfordert die Implementierung von entsprechenden Management-Strukturen, die 

Mitarbeiter, Prozesse sowie Technologien gleichermaßen umfassen. 

Unternehmen fordern eine zuverlässige und sichere Anbindung der Mitarbeiter, 

Kunden, Lieferanten und sonstigen Geschäftspartner an die IT-Systeme. Die 

Umsetzung dieser Anforderungen erfolgt oftmals ad-hoc, so dass im Laufe der Zeit 

eine inkonsistente und undurchsichtige Gesamtarchitektur entsteht und die IT- 

Prozesse nicht mit den Sicherheitsabläufen im Einklang stehen. 

Selbst moderne IT-Infrastrukturen sind heute nicht mehr vor Angriffen und 

Sicherheitslücken geschützt. Virenschutzprogramme und sachkundige Mitarbeiter 

reichen nicht aus, um die aktuellen Herausforderungen zu meistern. 

Unser Vulnerability Management liefert ein umfassendes Sicherheitspaket, um diese 

Lücken zu schließen und das Risiko vor Angriffen und Ausfällen zu reduzieren. 

Zur Sicherung der Wettbewerbsfähigkeit muss ein Unternehmen flexiblen Zugriff 

auf die eigene IT-Infrastruktur gewährleisten. Die Mobilität der Mitarbeiter, globale 

Aktivitäten sowie eine zunehmend engere Zusammenarbeit mit Geschäftspartnern 

erfordern hier Systeme, die einen schnellen, zuverlässigen und gleichzeitg sicheren 

Zugriff auf die eigenen Daten und Programme erlauben. 



Anspruchsvolle Aufgabenstellungen (2/2) 

14 

Application 

Integrity 


GRC Tools) 


Protection 

Business 

Continuity 


Robuste und nachhaltige Benutzer- und Berechtigungskonzepte sind ein wichtiger 

Baustein für eine erfolgreiche Umsetzung der vielfältigen und komplexen Anforderungen 

der Governance, Risk und Compliance (GRC). Zuverlässige Geschäftsprozesskontrollen 

und die ordnungsgemäße Funktion der Schnittstellen sind 

weitere wichtige Faktoren zur Herstellung einer sicheren Applikationslandschaft. 

In allen Unternehmen werden personenbezogene Daten, die unter besonderem 

Schutz (Bundesdatenschutzgesetz, EU-Datenschutzdirektive, etc.) stehen, 

verarbeitet und gespeichert. Multinationale Unternehmen stehen aufgrund der 

Inkonsistenz des int. Datenschutzrechts vor der besonderen Herausforderung, 

die jeweils gültigen Vorschriften zu identifizieren und effektiv umzusetzen. 

Für die geschäftskritischen Unternehmensprozesse ist eine funktionsfähige IT unabdingbar. 

Ein durchdachtes Business Continuity Management hilft Unternehmen 

bei der Entwicklung, Einführung und Durchführung von Vorsorgemaßnahmen, um 

im Falle von Störungen oder Betriebsausfällen den Schaden für das Unternehmen 

zu minimieren. 


Security & Privacy Lösungen 

Security Management 

15 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Entwicklung einer IT-Sicherheitsstrategie 

– Strategieentwicklung und Überprüfung der 

Sicherheitsstrategie 

– Entwicklung und Überprüfung der Richtlinien 

und Standards 

– Gap-Analysen und Benchmarking gegen 

führenden Industriestandards 

• Entwicklung von Sicherheits-Richtlinien und -Regeln 

– Entwicklung von Sicherheitsregeln anhand 

aller führenden Standards z. B. ISO2700X, BSI Grundschutz, 

Bundesdatenschutz Gesetz, Payment Card Industry Data 

Security Standard (PCI DSS), ITIL, COBIT, etc. 

• Aufbau von Security KPI Management Systemen 

– Definition der relevanten Sicherheits-Metrik in Form 

von Security-Key-Performance-Indikatoren 

– Aufbau der Berichtsstrukturen und Einführung der Security 

KPIs in der IT-Organisation 

– Einbindung der Sicherheitsprozesse in das interne 

Kontrollsystem des Unternehmens 

• Schulung und Sensibilisierung von Mitarbeitern 

– Konzeption und Durchführung von Trainings- und Coaching- 

Programmen, Globale Roll-Outs von Sensibilisierungs- 

Programmen 



Infrastructure & Operations Security (1/4) 

16 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Bewertung und Implementierung 

der Sicherheitsmechanismen im IT-Betrieb 

– Analyse und Auswertung der Wirksamkeit der 

eingesetzten technischen und organisatorischen 

Sicherheitsmechanismen 

• Entwicklung und Umsetzung von sicheren IT- 

Prozessen und skalierbaren IT-Infrastrukturen 

– Implementierung der Sicherheitsprozesse entsprechend 

der Geschäftsanforderungen und den Vorgaben des 

Sicherheitsmanagements 

– Konzeption der technischen Sicherheitsmaßnahmen für 

sichere Web-Anwendungen, Backoffice-Applikationen 

und komplexe Netzwerkinfrastrukturen. 

– Konzeption und Umsetzung der Netzwerksicherheit 

für das Unternehmensnetzwerk, Internetdienste, 

WLAN-Lösungen bis hin zu VPN-Lösungen 




17 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Sicherheit von Betriebssystemen, Datenbanken und 

Anwendungen 

– Konzeption und Umsetzung für die sichere Konfiguration von 

Anwendungen, Servern und aktiven Komponenten im 

Netzwerk. 

– Umsetzung von Anforderungen an die Übertragung und 

Speicherung von Daten bspw. in Datenbanken oder Mobile- 

Devices. 

• Physische Sicherheit der Rechenzentren und 

anderer kritischer IT-Einrichtungen 

– Bewertung und Überprüfung der technischen 

und organisatorischen Sicherheitsmaßnahmen 

im RZ-Betrieb. 

– Ausarbeitung der Risikoprofile zur Sicherheitsplanung sowie 

Erstellung von Maßnahmenplänen zur Einführung und den 

laufenden Betrieb. 




Vulnerability Management 

18 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Analyse der IT-Management-Prozesse zur 

Reduktion der Verwundbarkeiten und 

Angriffsrisiken 

– Definition und Strukturierung der Vulnerability- 

Management-Prozesse 

– Einbeziehung von CERT-Informationen, Strukturierung 

der Berichterstattung und Einbindung in Asset- 

Datenbanken 

• Tools-Einsatz und Dienstleister-Auswahl für den 

Vulnerability-Management-Prozess 

– Definition von Anforderungen, Auswahl 

geeigneter Technologien und Unterstützung 

bei der Implementierung 

– Auswahl von geeigneten Dienstleistern 

für Teilprozesse 

• Unterstützung bei der Schulung von Mitarbeitern 

– Secure-Coding Practices für Web-Anwendungen 

– Coaching für die Systemadministratoren der Netzwerke, 

Serversysteme und Sicherheitsmechanismen 




Vulnerability Management 

19 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Erhebung und Dokumentation des technischen 

Status der IT-Sicherheit 

– Externer Penetrations-Test: Mit spezifischen 

Scanning-Methoden werden die Schnittstellen zum 

Internet überprüft und getestet und mögliche Risiken 

bewertet, die in der Sicherheitsinfrastruktur und im 

Management der Netzwerk- und Serversysteme 

bestehen 

– Interner Penetrations-Test: Im internen Netzwerk 

und den Systemen werden mit Scanning-Methoden 

und Konfigurationsanalysen Schwachstellen bei der 

Implementierung und technischen Umsetzung der 

Sicherheitsanforderungen ermittelt und bewertet 

– Wireless & VoIP Testing: Die Analysen bewerten 

die Konfiguration und Sicherheitsarchitektur der 

WLAN-Komponenten und ermitteln mögliche 

Schwachstellen aus sicherheitstechnischer Sicht 

– Sicherheitstests von Web-Applikationen: 

Neben den internen und externen Penetrationstest- 

Methoden werden für Web-Anwendungen spezifische 

Sicherheitsmechanismen wie Session-Management, 

Input-Validierung oder 

Authentifizierungsmechanismen überprüft und 

getestet, um Schwachstellen in der Anwendungslogik 

zu ermitteln 



Identity / Access Management 

20 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Statusaufnahme 

– Analyse der bestehenden Prozesse und der 

bereits existierenden Systeme 

– Aufdeckung von Optimierungspotenzialen 

• Erarbeitung einer Strategie und einer Roadmap 

– Identifizierung der Business Driver und Definition 

der Strategie für das Identity & Access Management 

– Erstellung einer Roadmap für die schrittweise Einführung 

einer umfassenden Lösung 

• Entwicklung einer individuellen Lösung 

– Definition der benötigten Funktionalitäten und Services wie 

z.B. in den Bereichen Provisioning, Single-Sign-On, Identity- 

Integration, Federation, Role Based Access Control, 

Reporting, etc. 

– Beschreibung der Gesamtarchitektur und Definition 

der Prozesse und Daten Qualität 

• Projekt Management 

– Steuerung komplexer Projekte und Koordination der 

Technologie Partner, Integration in die bestehende Systemund 

Prozess-Landschaft, Abstimmung mit Compliance 

Stakeholdern und den Fachabteilungen 

– Durchführung von den Change Management Aspekten 



Application Integrity (1/2) 

21 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Anwendungssicherheit / Zugriffsschutz 

– SAP Security Health-Check für einen schnellen Überblick 

der Sicherheitssituation in Ihrer SAP Umgebung. 

– Design und Implementierung revisionssicherer 

Berechtigungskonzepte für alle Unternehmens- 

Applikationen durch eine bewährte und strukturierte 

Vorgehensweise. 

– Design und Umsetzung der notwendigen 

Administrationsprozesse im Benutzer- und 

Berechtigungswesen um die Wirksamkeit zu 

gewährleisten. 

• Prozesskontrollen 

– Identifikation, Design und Implementierung von 

Geschäftsprozesskontrollen, die im Zusammenhang mit 

Ihren ERP Prozessen abgebildet werden. 

– Analyse und Optimierung vorhandener 

Geschäftsprozesskontrollen 



Application Integrity (2/2) 

22 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Funktionstrennung (Segregation of Duties) 

– Definition eines unternehmensweiten Regelwerks 

für Funktionstrennungen (SoD Matrix) 

– Analyse von Funktionstrennungskonflikten 

– Unterstützung bei der Behebung von 

Funktionstrennungskonflikten 

– Aufbau und Einführung eines unternehmens-spezifischen 

Konzeptes zur nachhaltigen 

Überwachung von SoD Konflikten 

• Implementierung von GRC Tools 

– Definition einer nachhaltigen GRC-Strategie unter Beachtung 

aktueller und zukünftiger Anforderungen 

– Unterstützung bei der Auswahl einer geeigneten 

GRC-Lösung 

– Konzeption und Einführung der GRC-Softwarelösung 



Privacy & Data Protection 

23 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Bestimmung der Datenschutz-Anforderungen 

– Analyse gesetzlicher (z.B. BDSG), branchenspezifischer (z.B. 

Bankgeheimnis) und geschäftlicher (z.B. Risikosituation 

durch Datentransfer in Nicht-EU-Staaten) Anforderungen 

– Audit der existierenden Datenschutz-Maßnahmen und der 

Vorkehrungen gegen ‚Data Leakage‘ (Vertraulichkeitsverlust 

sensibler Geschäftsdaten) 

• Planung von Datenschutz-Maßnahmen 

– Planung von technischen und organisatorischen Maßnahmen 

gemäß §9 BDSG 

– Planung einer umfassenden‚ Data Leakage Protection‘ (z.B. 

Maßnahmen für Mitarbeiter-, Kunden-, Geschäftsdaten, 

Onlinesysteme, Datenaustausch mit Zulieferern) 

• Umsetzung von Datenschutz-Maßnahmen 

– Implementierung von technischen und prozessualen 

Maßnahmen, auch in Verbindung mit IT-Sicherheit, 

Zugriffsmanagement und physischer Sicherheit 

– Schulung und Sensibilisierung von Mitarbeitern und 

Führungskräften 



Business Continuity (1/2) 

24 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Analyse bestehender Business-Continuity- 

Maßnahmen und Programme 

– Beurteilung der vom Unternehmen getroffenen 

Präventivmaßnahmen zur Aufrechterhaltung des 

Geschäftsbetriebs im Störungsfall 

– Risikoanalyse im Hinblick auf die Fortführung der kritischen 

Unternehmensprozesse im Fall von Betriebsstörungen 

– Durchführung von Business-Impact-Analysen im Hinblick auf 

unternehmenskritische Betriebsstörungen 

• Entwicklung von Maßnahmen zum Business 

Continuity Management 

– Entwicklung von Management-Strukturen zur nachhaltigen 

Durchführung eines Business-Continuity- Management- 

Programms 

– Entwicklung von Verfügbarkeits- und Wiederanlauf-verfahren 

zur Erreichung der unternehmensweiten Business-Continuity- 

Ziele (z. B. geringe Wiederanlaufzeit, tolerierbarer 

Datenverlust, etc.) 

– Entwicklung von Maßnahmen zum Krisenmanagement sowie 

von Notfall- und Wiederanlaufplänen zur Sicherstellung eines 

schnellen und ordnungsgemäßen Wiederanlaufs nach einer 

Betriebsstörung 



Business Continuity (1/2) 

25 

Security 

Management 

(Regularien) 

Business 

Continuity 





Integrität. 


Protection 


Identity / 

Access 

Management 

Application 

Integrity 


GRC Tools) 

• Implementierung von Maßnahmen zum Business 

Continuity Management 

– Auswahl und Implementierung von Lösungen 

zum Wiederanlauf und zur Wiederherstellung 

– Implementierung eines Testprogramms zur regelmäßigen 

Überprüfung der Effektivität der Maßnahmen zum Thema 

Business Continuity 

– Durchführung von Trainings- und 

Awareness-Programmen 

• Aufrechterhaltung der Business-Continuity- 

Maßnahmen 

– Implementierung von Prozessen zur laufenden Bewertung 

und Optimierung des Business-Continuity-Programms 

– Durchführung regelmäßiger Schwachstellenanalysen 

zur Absicherung der erreichten Business-Continuity-Ziele 


AGENDA 








26 



Einordnung des Berechtigungskonzept im Rahmen der IT GRC 

27 



Was ist Corporate Governance? 

• Schlagwort des vergangenen Jahrzehnts, sowohl in Wirtschaft als auch Politik 

• Schlägt sich nieder in zahlreichen Kodizes, Richtlinien, Unternehmensregeln 

• Es gibt nicht die allgemein gültige Definition für Corporate Governance 

• Forschung und Praxis haben bis dato keine Einigung über die Ausgangspunkte 

erreicht 

• Es kommt auf den Blickwinkel der jeweiligen Person oder Organisation an 

• Praxisorientierte Sicht verwendet folgende Definition 

28 

– Corporate Governance ist der Ordnungsrahmen für die zielgetreue, verantwortungsvolle 

und gesetzeskonforme Leitung und kontrollierende Steuerung des Unternehmens. Im 

Allgemeinen befasst sich Governance mit der Festlegung, Überwachung und Kontrolle 

der übergeordneten, strategischen Entscheidungen und der Handlungen des Top- 

Managements, um diese zu erreichen. Diese Steuerung des Unternehmens wird vor 

allem durch die Definition von unternehmensweiten Regeln und Richtlinien, die 

Leistungsmessung und-überwachung sowie die Kommunikation und Publikation 

betriebsrelevanter Informationen erreicht (siehe Hönisch et al, Corporate Governance in 

Deutschland – Entwicklungen und Trends vor internationalem Hintergrund, 2005) 



Elemente der Corporate Governance 

29 

• Unabhängigkeit 

• Haftung 

Anteilseigner 

• Schutz 

• Rechte 

• Beteiligung 


Corporate 

Governance 


• Haftung 

• Entlohnung 

Abschlussprüfer Überwachungsorgane 

Organisatorische Aspekte 

Top Management 

• Interne Kontrollen und Risikomanagement 

• Transparenz und Verfügbarkeit relevanter 

Informationen 

• Zuordnung von Befugnissen 

• Verantwortung 



Fakten die Sie über Corporate Governance wissen 

sollten 

• Externe und interne Corporate Governance 

30 

– Interne CG richtet sich auf Beziehungen und Zusammenwirken der Unternehmensorgane 

(z.B. Vorstand und Aufsichtsrat) 

– Externe CG umfasst rechtliche Verknüpfungen des Unternehmens mit seinem Umfeld 

(z.B Aktionäre, Lieferanten, Öffentlichkeit) 

• Modewort spielt deshalb eine so große Rolle, weil nationale und internationale 

Krisen (z.B. aktuelle Finanzkrise) und Zusammenbrüche von Großunternehmen 

zu einem massiven Vertrauensverlust und steigendem Transparenzbedarf 

geführt hat 

• Die Einführung einer guten Corporate-Governance-Struktur soll diesem 

Vertrauensverlust mit verstärkten Offenlegungspflichten und Einblick in die 

Unternehmensprozesse entgegenwirken. 

• Folgende Aspekte zeichnen gute Corporate Governance aus 

– Steigerung der Qualifikation und Unabhängigkeit von Aufsichtsrat und Abschlussprüfer 

– Erweiterung der Informations-und Offenlegungspflichten gegenüber dem Aufsichtsrat und 

der Öffentlichkeit 

– Klare Definierung der Anreiz- und Vergütungssysteme 

– Eingrenzung der Interessenkonflikte und Eigengeschäfte 



Herausforderung Corporate Governance für 

multinationale Unternehmen 

• Wachstum durch Akquisitionen 

31 

– Führt häufig zu einem Nebeneinander nicht aufeinander abgestimmter Prozesse und 

Systeme 

– Bringt unterschiedliche Unternehmenskulturen zusammen 

• Heterogenes Portfolio 

– Wettbewerbsumfeld der Geschäftsbereiche ist sehr unterschiedlich 

– Unterschiedliche Businessmodelle führen zu unterschiedlichen Prozess-, Kontroll- und 

Risikostrukturen 

– Komplexe konzerninterne Liefer- und Leistungsverflechtungen 

• Dezentrale Strukturen 

– Konflikt zwischen dezentraler unternehmerischer Freiheit/ Verantwortung und zentraler 

Standardisierung/ Kontrolle 

• Anhaltender Ergebnisdruck 

– Kommunikation von Fehlentwicklungen / Risiken erfolgt erst, wenn sie sich nicht mehr 

verbergen lassen 



Was ist Risikomanagement? 

• Unternehmen müssen sich mit ihren unternehmensbezogenen Risiken 

auseinandersetzen 

• Definition Risikomanagement 

32 

– Risikomanagement ist ein Prozess und umfasst Tätigkeiten, die dazu dienen, Risiken zu 

identifizieren, zu dokumentieren, zu analysieren und vor allem Maßnahmen zu ergreifen, 

um diese Risiken zu reduzieren. Das Risikomanagement bezieht sich vor allem darauf, 

dass die Durchführung und die korrekte Abwicklung dieser Maßnahmen regelmäßig 

überwacht werden. Der Risikomanagementprozess wird entweder vom Vorstand, dem 

Management oder anderen Mitarbeitern initiiert und muss in der Strategiedefinition und 

über alle Unternehmenshierarchien hinweg etabliert werden (siehe Commitee of 

Sponsoring Organizations of the Tready Commission, Enterprise Risk Management. 

Executive Summary Framework, 2004) 

• Risikmanagement dient vor allem dazu, die Unternehmensziele zu erreichen 

• Es gibt vier verschiedene Kategorien von Zielen 

– Strategische Ziele 

– Operative Ziele 

– Reporting Ziele 

– Compliance Ziele 



Was ist Compliance? 

• Ein weiteres wichtiges Schlagwort ist die Compliance eines Unternehmens 

• Womit soll ein Betrieb compliant (=konform) sein? 

• Hängt im wesentlichen davon ab, in welcher Branche das Unternehmen operiert, 

welche Betriebsgröße es aufweist und ob es an der Börse notiert ist 

• Von diesen Faktoren leiten sich die einzuhaltenden Gesetze, Richtlinien, 

Anforderungen und Anforderungsgruppen eines Unternehmens ab 

• Begriffsdefiniton 

33 

– Compliance bezeichnet die Einhaltung sämtlicher Regeln und Standards, von denen ein 

Unternehmen betroffen ist. Dabei geht es nicht nur um interne und externe Vorgaben und 

Richtlinien, sondern auch um das Einhalten von freiwilligen Verpflichtungen und 

Vorschriften (siehe PwC, Governance, Risikomanagement und Compliance: 

Nachhaltigkeit und Integration untersützt durch Technologie, 2007) 



Governance versus Compliance 

• Während Governance sich in erster Linie auf die interne Steuerung und Führung 

des Unternehmens konzentriert, fokussiert Compliance verstärkt auf die 

Einhaltung von internen Richtlinien und das Außenverhältnis des Betriebs. 

Es geht vor allem darum, dass sich das Unternehmen über seine externen 

Anforderungen und rechtlichen Vorgaben bewusst wird. 

34 



Einfluss der Compliance Anforderungen auf die 

unternehmerische Tätigkeit 

35 



Compliance Vorschriften im Überblick 

• Der angloamerikanische Zugang 

• Sarbannes-Oxley Act 2002 

36 

– War die amerikanische Reaktion auf Bilanzskandale wie Enron und WorldCom 

– Ab 2004 verpflichtend für alle Unternehmen die an der amerikanischen Börse notiert sind 

• Entwicklungen in Europa 

• 8. EU-Richtlinie 

– Oktober 2005 wurde die Neuverfassung der 8. EU-Richtlinie vom Rat der Finanzminister 

der EU verabschiedet und 2006 veröffentlicht 

– Ziel ist es die Wiederherstellung des Vertrauens in die Finanzberichterstattung der 

Unternehmen 

• Weitere in Deutschland gültige gesetzliche Vorschriften 

• BilMoG 

– Bilanzrechtsmodernisierungsgesetz (BilMoG) trat im Sommer 2008 in Kraft 

– Mit den Bestimmungen werden die Regelungen der 8. EU-Richtlinie in deutsches Recht 

umgesetzt 



Compliance Vorschriften im Überblick 

• KonTraG, § 91 AktG, § 317 HGB 

37 

– § 91 Absatz 2 des Aktiengesetzes (AktG) verpflichtet die Vorstände von börsennotierten 

Gesellschaften ein Risikomanagement einzurichten und zu dokumentieren. Die 

Einführung eines Internen Kontrollsystems ist hier nicht geregelt, gilt aber als Bestandteil 

des Risikomanagements 

– Das Gesetzt zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus 

dem Jahr 1988 schreibt vor, dass Abschlussprüfer das Risikofrüherkennungssystem 

einer Organisation verpflichtend prüfen müssen. 

– Diese Pflicht wird auch im deutschen HGB in § 317 vorgeschrieben 



Was ist ein Internes Kontrollsystem? 

• Bei einem Internen Kontrollsystem handelt es sich um sämtliche vom Aufsichtsrat 

und/oder der Geschäftsleitung angeordneten Vorgänge, Methoden und 

Kontrollmaßnahmen, die dazu dienen, einen ordnungsgemäßen Ablauf des 

betrieblichen Geschehens sicherzustellen. Die organisatorischen Maßnahmen 

der internen Kontrolle sind in die Betriebsabläufe integriert, d.h. sie erfolgen 

arbeitsbegleitend oder sind einer Arbeitstätigkeit unmittelbar vor- oder 

nachgelagert. 

• Die interne Kontrolle wirkt unterstützend bei: 

38 

– Der Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente 

Geschäftsführung 

– Der Einhaltung des Geschäftsvermögens 

– Der Verhinderung, Verminderung und Aufdeckung von Fehlern und Unregelmäßigkeiten 

– Der Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung 

– Der zeitgerechten und verlässlichen finanziellen Berichterstattung 



Beispiele für gültige Anforderungen an 

Interne Kontrollen 

• “The Chairman of the Board of Directors shall report on (…) the internal control 

procedures established by the company (…)” (French Financial Security Act) 

• “(..) an internal revision department has to be implemented or outsourced to an 

adequate institution. The revision plan and mayor results have to be reported (…) 

at least once a year.” (Austrian Corporate Governance Code) 

• “(…) non-executive directors (…) should satisfy themselves on the integrity of 

financial information and that financial controls (…) are robust and defensible.” 

(Combined Code on Corporate Governance - UK) 

• “The management board shall have a good internal risk management and control 

system.” (The Dutch Corporate Governance Code) 

• “Mechanisms of control established to assess, mitigate or reduce the company’s 

main risks should also be disclosed.” (The Aldama Report - Spain) 

• “The board of management is responsible for an adequate risk management and 

control management within the company.” (German Corporate Governance 

Code) 

39 



Das kommt auf die Unternehmen zu – Anforderungen 

bei der Abschlussprüfung 

• Stärkerer Fokus auf das interne Kontrollsystem 

40 

– Identifikation von Risikobereichen für den Jahresabschluss 

– Identifizieren wichtiger Kontrollen 

– Überprüfung, ob durch die Kontrollen die richtigen Risiken adressiert sind 

– Überprüfung der Kontrollen auf Funktionsfähigkeit 

– Prüfung der General Computer Controls 

• Kritische Durchsicht des Buchungsstoffes – Journal Entry Testing 

– Identifizieren kritischer Bereiche 

– Datenabzug aus dem Buchführungsystem 

– Durchführen von Standardtests und individuellen Tests 

– Übergabe von Verdachtsfällen an Revision, Management oder Aufsichtsgremien 

• Kritisches Hinterfragen der Einstellung des Managements zu Fraud (z.B. 

Management Override) sowie der eingeführten Maßnahmen zur Fraud- 

Prophylaxe 



Themenfelder der IT Compliance (1) 

• Wirksamer Schutz der IT-Systeme gegen Angriffe von innen und von außen. 

• Informations- sowie Dokumentationspflichten durch und mit Hilfe der IT als 

ausreichende Basis für die Unternehmenslenkung sowie um die gesetzlichen 

Berichts- und Dokumentationspflichten zu erfüllen. 

• Einhaltung von Sorgfaltsanforderungen, wie sie sich aus dem GmbH-Gesetz 

(GmbHG) und dem Aktiengesetz (AktG) ergeben (unter anderem aus den 

Paragrafen 43 GmbHG sowie 93 und 116 AktG). 

• Rechtskonformität von IT-Systemen: Betriebslizenzen müssen vorliegen. Wenn 

z.B Software ohne Nutzungsvereinbarung betrieben wird, verstößt man gegen 

das Urheberrecht, was sogar strafrechtlich relevant sein kann. 

41 



Themenfelder der IT Compliance (2) 

• Einhaltung von datenschutzrechtlichen Bestimmungen: z.B. Vorgaben zur 

Auftragsdatenverarbeitung oder zur Unversehrtheit und Vertraulichkeit von 

persönlichen Daten. 

• GoB, GoBS: Archivierung von Dokumenten. Während der gesetzlichen 

Aufbewahrungsfristen müssen z.B. "Geschäftsbriefe" gemäß den "Grundsätzen 

ordnungsgemäßer Buchführung" (GoB) und den "Grundsätzen 

ordnungsgemäßer DV-gestützter Buchführungssysteme" (GoBS) gespeichert 

werden. 

• GDPdU: Auf Anfrage des Steuerprüfers müssen die Unternehmen ihre 

steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen. 

42 



Compliance Relevante Fragestellungen für den CIO 

• Werden die relevanten Systeme ordnungsgemäß betrieben? 

• Sind ERP-Systeme ordnungsgemäß eingerichtet und können von ihnen 

buchhalterische Informationen verlässlich bezogen werden? 

• Kann die interne Revision adäquat IT-Prüfungen durchführen? 

• Sind eingesetzte IT-Systeme und –Prozesse nach anerkannten Rahmenwerken 

(z.B. CobiT, ITIL) zertifiziert? 

• Kann die Ordnungsmäßigkeit und Verlässlichkeit von finanzrelevanten 

Anwendungen bestätigt werden? 

• Werden Prozesskontrollen und SoD-Kontrollen in Prozessen zuverlässig 

unterstützt? 

• Werden Möglichkeiten zur automatischen Überwachung von Kontrollen genutzt? 

43 



IT als integraler Governance-Bestandteil 

• IT Governance ist integraler Bestandteil der Corporate Governance Struktur 

• Diese umfaßt alle Führungs- und Organisationsstrukturen, sowie Prozesse die 

die Einhaltung von Strategie und Unternehmenszielen unterstützen und 

vorantreiben 

• IT-Lösungen müssen auf die Strategie ausgerichtet werden 

• Wichtigsten Ziele einer IT-Governance sind 

44 

– Nutzen generieren 

– Kosten/Nutzen-Überlegungen im IT-Bereich 

– Strategische Ausrichtung der IT-Lösungen 

– Unternehmen müssen ihre IT-Systeme und Prozesse immer im Hinblick auf die Strategie 

anschauen 

– Risikomanagement 

– Risiken müssen erhoben und überwacht werden z.B. Notfallkonzepte 

– Ressourcenmanagement 

– Optimale Einsetzung von knappen Ressourcen wie Mitarbeiter, Kapital und IT-Kapazitäten 



Standards und Regelwerke für die Umsetzung von 

IT-Governance in der Praxis 

• Control Objectives for Information and Related Technology (CobiT) 

45 

– Ist das international anerkannte Rahmenwerk zur IT Governance 

– Wurde erstmals 1994 entwickelt und wird vom IT Governance Institute laufend 

fortgeschrieben und liegt seit 2007 in Version 4.1 vor 

• ISO 17799 (seit Mitte 2007: ISO/IEC 27002:2005) 

– Ausgangspunkt für alle IT-Maßnahmen umfasst die Themenbereiche Datenschutz und 

die Sicherheit von personenbezogenen Daten, Daten des Unternehmens und seiner 

Geschäfsttätigkeit, Daten an denen das Unternehmen Rechte hat 

– 127 Kontrollziele werden beschrieben, die in zehn Bereiche unterteilt sind 

– Sicherheitspolitik (z.B. Benutzung des Internets) 

– Sicherheitsorganisation (z.B. Kontrolle der Sicherheit in Bereichen, die an Dritte ausgelagert sind) 

– Schutz von Vermögen (z.B. sensible Daten müssen vor Brand geschützt werden) 

– Personenbezogene Sicherheit (z.B. Missbräuchliche Verwendung von Daten) 

– Physischer Zugriffsschutz (z.B. physischer Zugriff der Serverräumlichkeiten) 

– Notfallkonzept und Wiederanlaufpläne (z.B. Notfallkonzept im Bereich der SAP-Systemlandschaft) 

– Management von Computern und Netzwerken (z.B. Regelungen für die Datensicherheit) 

– Logischer Systemzugriff (z.B. Sicherheit der Nutzung von mobilen Geräten) 

– Programmentwicklung und Systemwartung (z.B. Namenskonventionen bei Kundenprogrammen) 

– Compliance (z.B. regelmäßige IT-Audits stellen sicher das Gesetze nicht verletzt werden) 





• IT Infrastructure Library (ITIL) 

46 

– Umfasst eine Sammlung von Büchern, die eine Umsetzung eines IT-Service- 

Managements beschreibt 

– Derzeit gültige Version 3 besteht aus folgenden Kernelementen 

– Servicestrategie 

– Serviceentwurf 

– Serviceüberführung 

– Servicebetrieb 

– Kontinuierliche Selbstverbesserung 

– Im Vordergrund von ITIL steht die IT als Dienstleister 

– Sicherstellung von Service Levels durch die IT-Abteilung 

• Internal Control – Integrated Framework (COSO I) 

– Ist das bekannteste Rahmenwerk für die Einführung eines Internen Kontrollsystems 

– Abkürzung für Committee of Sponsoring Organizations of the Treadways Commission 

– Fünf Bestandteile sind die Erfolgskriterien für die Einführung eines Internen 

Kontrollsystems 

– Control Environment (= Kontrollumfeld) 

– Kultur von Integrität, Ethik, sozialer und fachlicher Kompetenz muss vorhanden sein 

– Begründet die Basis für alle anderen COSO I Bestandteile 





• Internal Control – Integrated Framework (COSO I) 

47 

– Fünf Bestandteile sind die Erfolgskriterien für die Einführung eines Internen 

Kontrollsystems 

– Risk Assessment (= Risikobeurteilung) 

– Unter Risiken versteht man Ereignisse die das Unternehmen davon abhalten ihre Ziele zu erreichen 

– Ziele für IT sollten formuliert werden 

– IT-Risikomanagement einführen 

– Control Activities (= Kontrollaktivitäten) 

– Überlegungen für IT, welche Kontrollen geeignet sind, damit das Risiko des Datenverlustes verhindert werden 

– Information and Communication (= Information und Kommunikation) 

– Ständiger Informationsaustausch 

– IT muss Geschäftsführer, Abteilungsleiter und Mitarbeiter über laufende IT-Projekte informieren 

– Monitoring (= Überwachung= 

– Einhaltung von Kontrollmaßnahmen muss regelmäßig überprüft werden 



CobiT als Rahmenwerk für IT Governance 

• Rahmenwerk untergliedert die IT-Aufgaben eines Unternehmens 

in Prozesse und Steuerungsvorgaben 

• Guter Leitfaden für den IT-Bereich, Revisoren und Management 

• Verknüpfung von Maßnahmen und IT-Zielen werden aufgezeigt 

• Steuerung der IT-Prozesse wird erläutert 

• 34 IT-Prozesse die in vier Bereiche unterteilt sind 

48 

– Planung und Organisation 

– Beschaffung und Einführung 

– Auslieferung und Unterstützung 

– Überwachung und Bewertung 

• Rahmenwerk beschreibt für 34 Prozesse 

– den Prozessablauf 

– wesentliche Aktivitäten und Messgrößen 

– Steuerungsvorgaben, Aufgaben und Zuständigkeiten 

• CobiT beinhaltet auch Reifegradmodell für typischen Ausprägungen eines 

Prozesses (0 bis 5 Reifegradstufen) 

– Stufe 5 „Optimized“/Stufe 0 „nicht existent“ 



Der CobiT 4.1 Würfel 

49 


• IT-Prozesse 

• 4 Domains 

• 34 Prozesse 

• 215 Kontrollziele 

• Informationskriterien 

• Effektivität (Q) 

• Effizienz (Q) 

• Zuverlässigkeit (O) 

• Compliance (O) 

• Vertraulichkeit (S) 

• Verfügbarkeit (S) 

• Integrität (S) 

• IT-Ressourcen 

• Personal 

• Anwendungen 

• Infrastruktur 

• Daten 


CobiT – Ausgewählte Steuerungsvorgaben in Bezug 

auf das Berechtigungskonzept 

• Sicherstellen von Systemsicherheit: Das Unternehmen muss die Sicherheit 

seiner IT-Systeme sicherstellen, um die Geschäftsanforderungen zu erfüllen. 

Hauptziel ist es dabei, Informationen und Daten vor unberechtigter Verwendung, 

Änderung oder Beschädigung bzw. Verlust zu schützen. Die Einführung von 

logischen Zugriffskontrollen ist daher notwendig: Ein Zugriff auf Systeme, Daten 

und Programme soll nur auf berechtigte Personen beschränkt werden. Daher 

müssen folgende Themen berücksichtigt werden: 

• Anforderungen und Richtlinien an den Datenschutz 

• Berechtigungen, Authentifizierung und Zugriffschutz erfordern z.B. eine Arbeitsanweisung für die Berechtigungsvergabe, 

die festlegt, wie Benutzerkonten angefordert, herausgegeben, suspendiert und geschlossen werden müssen 

• Die eindeutige Identifikation von Benutzern und Berechtigungsprofilen sollte durch laufende Änderungen der Passwörter 

und das Verbot von Mehrfachanmeldungen von Benutzern über interne Richtlinien gesichert werden. 

• Instrumente zur Überwachung und Einhaltung rechtlicher Erfordernisse, Einbruchsversuche und Berichterstattung sind 

notwendig 

• Eine regelmäßige Überprüfung der Benutzerkonten soll ermöglicht werden (z.B. soll das Management einen 

Kontrollprozess einführen, der sicherstellt, dass bestehende Zugriffsrechte periodisch überprüft werden). 

• Die Berichterstattung zu Verstößen und Sicherheitsaktivitäten sichert die Einhaltung der getroffenen Maßnahmen. (Zum 

Beispiel kann eine IT-Sicherheitsadministration gewährleisten, dass regelmäßige Verstöße protokolliert, gemeldet, 

überprüft und bei Bedarf auch eskaliert werden. )(siehe CobiT, 2007) 

50 



Anforderungen an das Benutzer und 

Berechtigungskonzept (Quelle: CObiT) 

Identity Management (Identitätsmanagement) 

• Alle (internen, externen, temporären) Benutzer und ihre Aktivitäten auf IT- 

Systemen sollten eindeutig identifizierbar sein. 

• Benutzerberechtigungen für die Systeme und Daten sollten mit festgelegten und 

dokumentierten Geschäftsbedürfnissen und Arbeitsplatzanforderungen 

übereinstimmen. 

• Benutzerberechtigungen werden durch das Management des Fachbereichs 

angefordert, durch die Systemeigner bewilligt und durch die 

sicherheitsverantwortliche Person implementiert. 

• Benutzerkennungen und Zugriffsberechtigungen werden in einer zentralen 

Datenbank geführt. 

• Kostengünstige technische und organisatorische Maßnahmen werden eingesetzt 

und aktuell gehalten, um die Benutzeridentifikation zu ermitteln, die 

Authentisierung einzurichten und Zugriffsrechte durchzusetzen. 

51 



Anforderungen an das Benutzer und 

Berechtigungskonzept (Quelle: CObiT) 

User Account Management (Benutzerkonten) 

• Sicherstellung, dass Antrag, Einrichtung, Ausstellung, Aufhebung, Änderung und 

Schließung von Benutzerkonten und zugehörige Benutzerberechtigungen durch 

die Benutzerkontenverwaltung behandelt werden. 

• Ein Freigabeverfahren sollte sicherstellen, dass Zugriffsberechtigungen durch 

Daten- oder Systemeigner bewilligt werden. 

• Diese Verfahren sollten für sämtliche Benutzer, einschließlich Administratoren 

(privilegierte Benutzer), interne und externe Benutzer, für normale und für 

Notfalländerungen Gültigkeit haben. 

• Rechte und Pflichten in Zusammenhang mit dem Zugriff auf Unternehmenssysteme 

und - informationen sollten vertraglich für alle Arten von Benutzer 

festgelegt werden. 

• Es sind regelmäßig Management-Reviews aller Benutzerkonten und 

entsprechender Berechtigungen durchzuführen. 

52 



Das unternehmensweite IKS hat auf drei Ebenen 

Auswirkungen auf die IT: 

53 

Entity Level Controls: 

•Das Management legt Unternehmensziele fest und definiert Richtlinien. 

•Die Kontrollumgebung der IT wird durch diese Vorgaben und Richtlinien beeinflusst. 


Finance 

Executive 

Management 


Manufacturing 


Logistics 


Etc. 

IT Services OS/Data/ 

Telecom/Continuity/Networks 


Application Controls: 

•Kontrollen auf spezifische Geschäftsaktivitäten angewandt. 

•Kombination von manuellen Kontrollen und automatisierten 

Abwendungs-Kontrollen. 

•Liegen hinsichtlich ihrer Festlegung und Ausführung in 

Verantwortung der Fachbereiche 

•Design und Entwicklung der Application Controls benötigt die 

Unterstützung der IT. 

IT General Controls: 

•Um die Geschäftsprozesse zu unterstützen, bietet die IT Services an, die üblicherweise in mehreren 

Geschäftsprozessen verwendet werden. 

•Die in allen IT-Services angewandten Controls werden als IT General Controls bezeichnet. 

•Das verlässliche Funktionieren dieser IT General Controls ist notwendig, damit Verlass auf die 

Anwendungskontrollen ist. 


Kontrollen im ERP Umfeld 

54 


March 2007, Best Practices “Segregation Of Duties: 

A Building Block For Enterprise IT Controls” 


Kontrollmöglichkeiten im Geschäftsprozess 

55 

Kontrollarten Kontrollzeitpunkt 

Manuell 

• Manuelle Freigaben 

• Abgleichungen 

• Manuelles Berichtswesen 

• Papier – basierte Kontrollen 

Automatisch 

• Inhärente Kontrollen (z.B. 

Plausibilitäts-Checks) 

• Zugangskontrollen 

• Zugriffskontrollen 

• Funktionstrennung („SOD“) 

• Konfigurierbare Kontrollen 

(z.B. SAP Customizing) 


Präventiv 

• SoD Prüfung beim 

Vergabeprozess 

• Konfigurierbare Kontrollen z.B. 

3-way-match oder credit limit 

Prüfungen 

Detektiv (überwachend) 

• Kontrolle der 

Geschäftstransaktionen 

• Überwachung der 

Funtionstrennung 

• Überwachung von 

konfigurierbaren Kontrollen 

• Risikoeinschätzung 

• Auswertung von Stichproben 

Überwachungssoftware 

kann in verschiedenen 

Anwendungsbereichen 

eingesetzt werden: 

• Als ‚wichtige‘ Kontrolle 

um Kontrollziele zu 

ereichen, oder 

• um die Effektivität von 

bestehenden ‚wichtigen‘ 

Kontrollen zu überwachen 

(vor- & nachgelagert) 


Stammdatenkontrollen 

Prozesskontrollen 

Beispielprozess: Bestellung – Buchung - Zahlung 

Bestellanforderung 

Unternehmenskontrollen 

nachgelagerte 

Kontrollen 

56 

Angebot 

Angebotsprüfung 

Lieferanten Bestellartikel Konditionen 

Lieferant, Artikel 

freigegeben 

Bestellung 

Bestellung 

Auftragserteilung 

Konditionen 

eingehalten 


Bestellüberwachung 

Bestellungsmenge 

= 

Liefermenge 

Abteilung/Kostenstellen 

Budgetüber- / - 

unterschreitung 

Anschrift / Firma 

korrekt 

Lieferschein Rechnung Buchungsbeleg 

Wareneingang 

Wareneingang 

= 

Rechnung 

Warengruppe 

Abweichung vom 

Vorjahr / Budget 

Firmen- / 

Adressdaten 

Rechnungsprüfung 

Kontrolle Stammdatenänderung 

Buchung 

= 

Rechnung 

Bankverbindung 

Bankverbindung 

korrekt 

Buchungserfassung 

Lieferant 

Abweichung vom 

Vorjahr / Budget 

Zahlungsliste 

Zahlungsvorschlag 

Buchung = 

Rechnung = 

Zahlung 

Lieferant / 

Warengruppe 

Dominanz 

Lieferantenbewertung 

Zahlungsbeleg 

Auftragssplitting Daueraufträge Manuel. Zahlungen Fragw. Lieferanten 

IT Application Controls / IT General Controls 

Zahlungsausgang 


Funktionstrennung – Segregation of Duties 

• Bei der Zuständigkeits- bzw. Verantwortungsregelung ist das Prinzip der 

57 

Funktionstrennung zu beachten. 

• Funktionstrennungen stellen sicher, dass eine Person nicht zu viel Kontrolle über 

eine Geschäftsprozess erlangt 

• Ein wichtiger Bestandteil eines effektiven und nachhaltigen internen 

Kontrollsystems ist die Umsetzung und Überwachung der Funktionstrennungen 

• Funktionstrennung vermeidet unbeabsichtigte Fehler und erschwert beabsichtige 

betrügerische Handlungen 

• Ist eine Funktionstrennung nicht möglich bzw. wirtschaftlich nicht zumutbar, so 

sind weitere organisatorische Kontrollen in angemessener Form notwendig. 



Control Inputs 

Elemente der Funktionstrennung 

58 

SOD Conflicts 

Control 

Framework 

RBAC 

Policies & 

Standards 

Financial 

Systems 

User Access 

Management 

and 

Provisioning 

Supply 

Chain 


Auditing 

Compliance Management 

Enforcement 

(Preventative) 

HR CRM 

Logging Reporting 

Hardware/Operating System/Network Infrastructure 

Monitoring 

(Detective) 

-------------------------- 

Changes in Controls 

Adherence to Rules/Policies 

E-Learning 

Segregation of Duties Rules and Policies 

Databases 

Document 

Retention 

SOD capabilities 

and integration 

with Security 

and Access 

Management 

Financial and 

related 

systems, 

platforms and 

databases – 

holds data, 

transactions 

and records 


Herausforderungen bei der Funktionstrennung 

Die Funktionstrennung stellt einen wesentlichen Kontrollmechanismus dar, der 

Unternehmen vor zahlreiche Herausforderungen stellt: 

• Erstellung eines einheitlichen Regelwerkes (SoD Rule Set) und Identifizierung 

59 

der relevanten Funktionstrennungsrisiken 

• Analyse der Risiken in den Systemen und Auswertung der Ergebnisse 

• Bewältigung der Konflikte und Verstöße in Zusammenarbeit mit den 

Fachbereichen 

• Überwachung der Risiken im Rahmen des Regelbetriebs 

• Ständige Anpassung und Optimierung des Regelwerkes resultierend aus einem 

dynamischen Umfeld 



Der Zielkonflikt… 

• Vollständigkeit 

• Richtigkeit 

• Zeitgerechtheit 

• Vertraulicher Zugriff 

• Prüfbarkeit 

• Unveränderbarkeit 

• Belegbarkeit 

• Wirtschaftlichkeit 

• Administrierbarkeit 

• Funktionsfähigkeit 

60 


Anforderungen 

Zielkonflikt! 

Umsetzung 


Risiken und Kontrollen bei SAP Berechtigungen 

• Risiko 

61 

– Es besteht das Risiko einer fehlenden Funktionstrennung bei der Anlage/Änderung von 

Kundenstammdaten. 

• Kontrolle A 

– Die Berechtigung zur Anlage/Änderung und Löschung der Kundenstammdaten ist auf 

einen vordefinierten Mitarbeiterkreis eingeschränkt 

• Kontrolle B 

– Die Funktionen zwischen der Pflege der Kundenstammdaten und der Berechtigung für 

Bestellerfassung, Buchung von Warenausgang oder Gewährung von Sonderkonditionen 

oder generell Verbuchung von Debitorenbelegen sind im SAP-System über das 

Berechtigungskonzept getrennt. 




• Risiko 

62 

– Ein fehlendes Berechtigungskonzept führt zur fehlenden Funktionstrennung zwischen 

Mitarbeiterstammdaten und Durchführung der Gehaltsabrechnung. Dadurch besteht das 

Risiko, dass Änderungen an den Gehaltsdaten im Infotyp 0008 vorgenommen werden 

können, die dann im Anschluss an die entsprechenden Mitarbeiter unkontrolliert 

ausgezahlt werden können.. 

• Kontrolle 

– Es wird eine Funktionstrennung zwischen jenen Mitarbeitern die die 

Mitarbeiterstammdaten anlegen/ändern können, und jenen Personen, die die 

Gehaltsabrechnung ausführen können, eingerichtet. Diese Funktionstrennung wird 

jährlich festgelegt und vom Data Owner genehmigt. 




• Risiko 

63 

– Mitarbeiter, die das Unternehmen verlassen oder die Kostenstelle wechseln, haben noch 

alle bisherigen Berechtigungen im SAP-System. 

• Kontrolle 

– Die IT-Abteilung erhält monatlich die Austrittsliste aller Mitarbeiter und eine Liste 

sämtlicher Kostenstellenwechsel. Auf Basis dieser Dokumente werden User durch die IT 

gesperrt bzw. alte Berechtigungen nach der Genehmigung durch den Fachbereich 

gelöscht. 




• Risiko 

64 

– Tätigkeiten und Anpassungen von so genannten Superusern werden nicht überwacht. 

Dadurch ergibt sich das Risiko, dass unautorisierte, kritische Änderungen nicht 

kontrolliert und nachvollzogen werden können. 

• Kontrolle 

– Grundsätzlich werden an keinen Mitarbeiter des Unternehmens Superuserrechte 

vergeben. Im Ausnahmefall kann ein Notfalluser entsperrt und verwendet werden. 

Dessen Tätigkeiten im SAP-System werden dann laufend überwacht.. 



Vier Phasen der GRC Umsetzung 

Damit ein Unternehmen eine risikoorientierte und nachhaltig ausgerichtete 

Unternehmensführung erreicht und den Anforderungen der Stakeholder gerecht wird, sollte 

es sich an den vier Phasen der Umsetzung orientieren. 

65 

Analyse 

1 

Die wichtigsten Aspekte von Governance, Risikomanagement und Compliance fließen in 

diese vier Phasen ein. 


Design 

2 

Gestaltung 

3 

Umsetzung 

4 


Analysephase 

• Strategische Ausrichtung beachten 

66 

– Alle externen und internen Anspruchsgruppen müssen identifiziert werden 

– Strategische Ausrichtung spielt bei der Auswahl eine wichtige Rolle 

– Folgende Stakeholder könnten wichtige Rollen spielen 

– Investoren, Kunden, Lieferanten, Geschäftspartner, Industrieverbände, Mitarbeiter, Gemeinden, Verwaltungen, 

Öffentlichkeit 

• Länder und Märkte spielen eine wichtige Rolle 

– In welchen Ländern möchte das Unternehmen tätig sein 

– Daraus leiten sich dann regulatorische Anforderungen an die Organisation ab 

– Andere Überlegungen sind Unternehmenszukäufe, Eintritt in neue Märkte, geplanter Börsengang 

• Bestehende Projekte berücksichtigen 

– Welche GRC-Programme bestehen schon im Unternehmen 

– Sind Programme und Projekte schon in die Prozessabläufe umgesetzt worden 

• Reihung nach Bedarf und Wichtigkeit 

– Nach Aufnahme der Anforderungen muss eine Reihung nach Wichtigkeit und Bedarf vorgenommen 

werden 

• IT-Berechtigungskonzept im Fokus 


1 2 3 4 

– An oberster Stelle sollte das Projekt IT-Berechtigungskonzeption u. Funktionstrennung stehen 


Designphase 

• Konkretisierung der GRC-Projekte 

67 

– Ziele und Implementierungsstrategien müssen festgelegt werden 

– Welche GRC-Integrationen sind möglich 

– Welche Schlüsselpersonen übernehmen Verantwortung z.B. für das Risikomanagement 

und/oder für die Einhaltung von SOX-Vorschriften 

• Unternehmenskultur als Rahmenwerk 

– Unternehmensvision und –kultur bilden das Rahmenwerk 

– Darauf aufbauend kann eine Unternehmensführung Richtlinien festlegen und Synergien 

zwischen Richtlinien nutzen 

– Vorschriften sollten formell dokumentiert werden 

– Im Anschluss daran sollte eine Anpassung auf operativer Ebene stattfinden, um im 

Anschluss in die operativen Prozessabläufe eingebunden zu werden 

• Einfache Umsetzung der Maßnahmen 

– Strategien zur Implementierung der Vorschriften sollten geschaffen werden 

– Maßnahmen müssen relativ einfach und rasch umgesetzt werden 


1 2 3 4 

– Maßnahmen sollten große Wirkung erreichen und dem Unternehmen Nutzen liefern 


Gestaltungsphase 

• Verantwortlichkeiten festlegen 

68 

– Maßnahmen die in Designphase definiert wurden, werden umgesetzt 

– Verantwortlichkeiten und Funktionen werden festgelegt 

– Kommunikationswege werden eingerichtet 

– Einrichtung von zentralen Instanzen, die für alle CRC-Belange zuständig sind 

• Informations- und Berichtswege festlegen 

– Folgendes sollte bedacht werden 

– Welche Informationen werden über welche Berichtswege übermittelt? 

– Wann werden diese Informationen übermittelt? 

– Wer wird über Ausnahmesituationen informiert 

– Wie sind die Eskalationsstufen definiert? 

– Technologische Voraussetzungen werden benötigt 


1 2 3 4 

– Folgende Kriterien sind relevant: sichere Datenspeicherung für sensible Daten, einzelne 

Anforderungen können gruppiert werden und nach Prioritäten geordnet werden und 

Suchfunktionalitäten aufweisen 

– Welche technische Unterstützung kann für die Umsetzung der Ziele im 

Berechtigungskonzept möglich sein 


Umsetzung und Kontinuität 

• Umsetzung in operativen Prozessabläufen 

69 

– Umsetzung des GRC-Rahmenwerks, der GRC-Richtlinien und 

Implementierungsstrategie in die operativen Abläufe des Unternehmens 

– Organisatorische Richtlinien sollten unter Berücksichtigung der bestehenden Prozesse 

und der Aufbauorganisation implementiert werden 

– Kontinuierliche Überwachung ist zwingende Voraussetzung 

– Einrichtung eines Projektmanagements für alle GRC-Projekte 

• Änderungen im Umfeld beachten 

– Sicherstellung, dass laufende Änderungen im Umfeld und innerhalb der Organisation 

angepasst werden und GRC-Struktur entsprechend angepasst wird 

• GRC mit IT-Support umsetzen 


1 2 3 4 

– In enger Zusammenarbeit mit der IT-Abteilung muss nun die Auswahl der geeigneten 

Software getroffen werden 


AGENDA 








70 



Gründe für die Einführung eines neuen Berechtigungskonzepts 

• Neue Systemimplementierung oder Roll-Outs 

71 

– Neue Niederlassungen erhalten SAP 

• Optimierung der Benutzeradministration, da im aktuellen Konzept: 

– Hoher Aufwand für die Zuweisung von adäquaten Zugriffsrechten 

– Hoher Supportbedarf für die Benutzeradministration 

– Viele Berechtigungsprobleme durch nicht optimal funktionierendes Rollenkonzept 

• Neugestaltung der Organisation 

– Neues Berechtigungskonzept muss Umorganisation unterstützen 

• Bereinigung von risikobehafteten Berechtigungen 

– Umsetzung von Funktionstrennungen 

– Bereinigung von kritischen Zugriffen 

– Behebung von Prüfungs- Ergebnissen 



Projektziele 

• Erhöhung der Informationssicherheit 

• Minimierung von Risiken durch unberechtigte Zugriffe 

72 

– Umsetzung von Funktionstrennungen 

– Schutz von kritischen Zugriffen 

– Behebung von Prüfungsfeststellungen 

• Optimierung der Benutzeradministration 

– Effiziente Administrationsprozesse 

– Kurze Lösungszeiten von Berechtigungsproblemen 

• Berechtigungskonzept unterstützt fachliche Anforderungen (Bsp. 

Umorganisation) 

• Transparenter Aufbau des Zugriffskonzepts 

• Klare Definition von Verantwortlichkeiten 

• Sicherstellung der Konsistenz über alle Fachbereiche 



Wesentliche Elemente eines SAP Zugriffskonzepts 

73 

Berechtigungskonzept 

-Design entspricht den Anforderungen 

-Klare Verantwortlichkeiten 

-SOD Konflikte sind geklärt 

-Kritische Berechtigungen sind 

abgesichert 

-aktuelle Dokumentation 

Administrations- 

Prozesse 

-Definiert, genehmigt 

-Enthalten notwendige 

Kontrollpunkte 

-Prozesse werden durch 

periodische Kontrollen abgesichert 


Sicherheitsparameter 

-Relevante 

Sicherheitsparameter sind 

definiert und werden im 

System überwacht 

-Sicherheitskonzept ist 

erstellt und genehmigt 

Notfallkonzept 

-Verwendung der Notfallrechte 

wird durch einen Audit trail 

kontrolliert 

-Zuweisung von Notfallrechten 

wird dokumentiert 


Involvierte Parteien 

74 

SOX/interne Revision 

Aufgaben 

• Abstimmung der Grundlagen 

• Darstellung der 

Sicherheitsanforderungen 

Definition von Zielen 

und Kennzahlen; 

Sicherstellen das das 

Konzept alle rechtlichen 

und Sicherheitsanforderungen 

abdeckt 

Erfolgsfaktoren 

• Müssen in das Projekt involviert 

sein, um sicherzustellen, dass 

interne und externe Anforderungen 

eingehalten werden. 


Strategy 

Definition 

Business 

Aufgaben: 

• Ansprechpartner Geschäftsprozessanalyse 


• Einbeziehung von Prozess- und 

Dateneignern von dem Anfang des Projekts 

• Allgemeines Verständnis des neuen 

Konzepts, damit sichergestellt ist, dass die 

Rollen den Anforderungen entsprechen. 

Time 

Management 

Project 

Organization 

PROJEKT MANAGEMENT 

Entscheidungen und 

Vermittlung auf 

periodischer Basis… 

Definition 

rules and 

standards 

… um ein schlankes 

Konzept mit allen 

Vorteilen zu 

erzielen. 

Implementierung einer 

effektiven Organisation 

und Entscheidungsfindungsprozesses 

IT Team 

Aufgaben 

• Pflege Konzept 

• Helpdesk 


• Starkes und frühes Involvieren, 

um Bereitschaft zu generieren, 

die Tools und das Konzept 

langfristig zu betreuen. 


Einordnung des Projekts 

• Fachprojekt nicht IT 

75 

– Das Berechtigungskonzept schützt die Geschäftsprozesse und die Organisation 

– Die einzelnen Rollen und Funktionen werden basierend auf den Geschäftsprozessen und 

der Organisation definiert 

– Die typischen Revisionsanforderungen erfordern eine detaillierte Prozesskenntnis und 

gutes Verständnis der notwendigen Kontrollen 

• IT Involvierung (typische Punkte) 

– Umsetzung des Konzepts 

– Wartung und Pflege 

– Rollenowner für IT Rollen 

– Owner der prinzipiellen Systemsicherheit 



Zielkonflikte – Ein Beispiel 

• Die ideale Rollengestaltung liegt häufig zwischen dem absoluten Minimum und 

der sehr weitreichenden Berechtigung. 

76 

Aufgabenstellung: Prozess erfordert Transaktion ME21N - Bestellung anlegen 

Lösungsalternativen: 

Rolle 1 

ME21N – Bestellung Anlegen 

• Zielkonflikte: 

– Um eine Bestellung zu verwalten ist sicherlich mehr notwendig, als nur das Anlegen 

(Rolle 1 erlaubt nicht einmal Korrekturen) 

– Änderung und Anzeige sind innerhalb von SAP häufig verschiedene Transaktionen (Rolle 

2) 

– Zu viele Transaktionen aus dem Umfeld gefährden die Integrität des Prozesses SOD 

Konflikte (Rolle 3) 


Rolle 2 


ME22N – Bestellung Ändern 

ME23N – Bestellung Anzeigen 

Rolle 3 

XK01 – Anlegen Lieferant 

XK02 – Ändern Lieferant 

XK03 – Anzeigen Lieferant 


ME22N – Bestellung Ändern 

ME23N – Bestellung Anzeigen 

MIGO – Wareneingang 

MB1B – Umbuchung 

MB03 – Belege Anzeigen 


AGENDA 








77 



Standard Projekt Phasen und Implementierungs-Ansatz 

Überblick 

Das Aufsetzen eines Berechtigungskonzepts erfolgt in 6 standardisierten Projektphasen 

78 

Analyse 

I 

(Vision) 

Develop 

Strategy 

II 

(Plan) 

Jede Projektphase ist bezüglich des Einsatzes von "Good Practice" Methoden und Tools 

optimiert worden. Diese Phasen sind unter gewissen Einschränkungen modular aufgebaut, 

d.h. lassen sich auch einzeln betrachten. 


Design 

III 

(Design) 

Implement 

and Test 

IV 

(Build) 

Prepare 

Go-Live 

(Deliver) 

V 

Monitor 

and 

Sustain 

VI 

´ 

(Operate) 


Analyse 

• Ziele 

79 

– Analyse des existierenden Berechtigungskonzepts; Identifizierung von 

Verbesserungspotentialen 

– Segregation of Duties Übersicht 

– Entscheidung über eine Anpassung des Konzepts oder eine Neuaufsetzung 

• Aktivitäten 

– Idengtifikation der zukünftigen Systemlandschaft und Organisationsstruktur 

– Ermittlung der Datengruppen mit dem höchsten Risiko 

– Ermittlung von kritischen Transaktionen 

– Untersuchung der bestehenden Rollen bezüglich der bestehenden Geschäfts- und 

Supportprozesse 

– Verwendung der Transaktionen in Rollen überprüfen 


I II 

– Untersuchung der internen und externen Anforderungen (i.e. SOX) 

III 

IV V VI 


Analyse - Ergebnisse 

Management Letter 

80 

– Übersicht der aktuell verwendeten Transaktionen 

– SOD Probleme 

– SAP System Sicherheitseinstellungen (Parameter) 

– Aktueller Benutzerüberblick 

– Übersicht über wieder verwendbare Elemente des Berechtigungskonzepts 

Transaktionsverwendung 


Canbeused 

Is used 

I II 

SOD Matrix Konflikte 

III 

IV V VI 


Beispiele aus der Analysephase 

• Auswertung Benutzer 

• Sicherheitsparameter 

• Auswertung eine SoD Analyse 

• Prozessketten 

81 


I II 

III 

IV V VI 


Strategie 

• Ziele 

82 

– Definition oder Anpassung der Zielsetzung und Grundlagen des Berechtigungskonzepts 

(Security Strategy) 

– Evaluierung in wieweit Tools die berechtigungsrelevanten Prozesse unterstützen können 

– Etablierung von feststehenden Begriffen für die Berechtigungswelt innerhalb des 

Unternehmens 


– Definition der Entwicklungsrichtlinien 

– Festlegung und Anpassung der Dokumentationsstandards (Unternehmensrichtlinien) 

– Projektplanung, um ein strukturiertes Projekt zu ermöglichen 

– Definition der SOD-Matrix 

– Organisationsmatrix für Rollen und Verantwortlichkeiten im Projekt 

– Notfallkonzept 

– Identifikation von möglichen Tools 


I II III IV V VI 


Strategie - Inhalte I II III IV V VI 

• Überblick über das Berechtigungskonzept und Festlegung der grundlegenden 

Begriffe 

• Erklärung der angewandten Technologie und Methodologie 

• Festlegen von Namenskonventionen für die einzelnen Bestandteile des Konzepts 

• Überblick über die gewünschten Schutzebenen 

83 

– Organisatorisch (Gesellschaft, Lokation, Einkaufsorganisation) 

– Prozessual (Kontengruppe, Belegarten) 

• Festlegung von allgemeinen Prozeduren für die Implementierung und 

Administration des Berechtigungskonzepts 

• Beschreibung des Umgangs mit speziellen Rechten, z.B. direkter Zugriff auf 

Tabellen und Programme etc. 

• Anpassung an interne und externe Richtlinien 



Strategie - Terminologie 

84 

Organisation 

Mitarbeiter 

Functional 

Job 

Role 

Technical 

Aufgabe 

Role 

Rechte und 

Pflichten 


1 : n 

Organisationseinschränkung 

SAP Terminologie 

Benutzer 

Sammelrolle 

1 : n 

Einzelrolle 

1 : n 

Transaktion 

1 : n 

Berechtigungsobjekt 

1 : n 

1 : n 

Definitiert in der 

USOBT_C Tabelle 

SAP Profile 


SAP Profile 

Generator 

Feldwerte 

(e.g. material type) 


Strategie - Ergebnisse I II III IV V VI 

85 

• Detaillierter Projektplan 

• Security Strategie für das 


• Dokumentation 

• Pflege und Monitoring Konzept 

Project Plan and Activity Split 


Administration Process 


Strategie – Beispiel Projektplan 

86 




Strategie – Beispiel Namenskonvention 

87 

Namenskonvention numerisch 



Sammelrolle YA-CCC-MODAXXX Einzelrolle ZA-CCC-MMNNN 

Buchstabe Beschreibung Buchstabe Beschreibung 

Y Indikator für Sammelrolle Z Kennzeichen für Einzelrolle 

A System A System 

P = R/3 P = R/3 

A = APO A = APO 

B = BW B = BW 

E = EBP E = EBP 

C = CRM C = CRM 

S = SEM S = SEM 

CCC Gesellschaft CCC Gesellschaft 

MODA Bereichskürzel, z.B. EKG Einkauf MM Modul 

XXX Rollen Nummer e.g. EKG022 NNN Zähler für Einzelrollen 

Beispiel YP-DS1-FSS049 Beispiel ZP-DS1-MM311 

FSS Financial Shared Services MM Materials Management 

FSS049 Rollen ID 311 Zähler * 

DS1 Gesellschaft 1 DS1 Gesellschaft 1 

* 1xx – Sensitive Transaktionen 

2xx – Stammdaten 

3xx to 8xx – Update Rollen 

9xx series – Anzeige Rollen 

Profil ZACCCMMNNN 

Oder SAP Vorschlag 


Strategie - Beispiele I II III IV V VI 

Namenskonvention funktional 

88 



Design 

• Ziele 

89 

– Design der Aufgaben und Jobfunktionen als Grundlage für die Systemumsetzung 

– Entwicklung der Rollen und Zugriffsrechte basierend auf dem "need to do" Prinzip 

– Identifizierung und Definition der absoluten Schutzebenen des Konzepts 


– Analyse und Definition der Rollen innerhalb der Organisation 

– Analyse und Definition der Aufgaben innerhalb der Geschäftsprozesse 

– Definition der organisations- und prozessbasierten Schutzebenen innerhalb der 

einzelnen Funktionen 

– Gruppierung der benötigten Elemente für die einzelnen Schutzebenen für die involvierten 

Organisationen 




Design 


90 

– Identifizierung der einzelnen Prozess- und Rollenowner 

– Definition der Rollen und Zugriffsrechte für das Projektteam 

– Abstimmung mit der Revision intern/extern 

– Abstimmung und Sign off der Ergebnisse 

• Tools and Methodik 

– SAP GRC Access Control Suite 

– Lean Role Management – Analyse und Simulation 

– MS-Word, MS-Excel, MS-Access 

– Role Factory 




Design – Empfehlungen (Fortsetzung) 

• "So weitreichend wie möglich; so eingeschränkt wie nötig" 

• Definition der notwendigen Schutzebenen; möglichst keine generischen 

Einschränkungen verwenden, wenn die Elemente kontrolliert werden 

• Definition der kritischen Berechtigungen und Transaktionen 

• Definition der Funktionstrennungen SOD 

• Evaluierung der Benutzerzahlen und Rollen basierend auf der 

Unternehmensstruktur 

• Grundlegende Berechtigungen für alle Benutzer definieren 

• Rollen und spezielle Anforderungen für externe Mitarbeiter festlegen 

91 Das SAP SAP Access Berechtigungskonzept Controls - Management Circle 



Design - Optionen 

92 

One layer function concept 


Two layer function/task concept 


One layer task concept 


Design - One Layer Job Function Concept 

• Vorteile 

94 

– Kleine Anzahl von Rollen 

– Zugriffsrechte genau bezogen auf die Job Funktion 

• Nachteile 

– Unflexibel gegenüber Änderungen (Anpassung der Rolle notwendig) 

– SOD Konflikte sind schwer zu identifizieren 

– Umstellungen in der Arbeitsumgebung führen zur Anpassung der Rollen 

– Hoher Pflegeaufwand 

– Wenig transparentes Konzept 



– Das one-layer function Konzept ist sehr unflexibel und die Kontrolle und Anpassung der 

Benutzerrechte erfordert einen hohen Pflege und Dokumentationsaufwand. 


Design - Two Layer Job Function/ 

Task Concept 

• Vorteile 

96 

– Im Fall von Änderungen im Arbeitsablauf können in der Regel einfach Einzelrollen 

verschoben werden 

– Um einen SOD Konflikt zu entfernen, genügt es eine Einzelrolle aus der Sammelrolle zu 

entfernen und in eine andere Rolle einzufügen 

– Geringer Test-Aufwand nach dem Test der Einzelrollen können die in verschiedenen 

Sammelrollen verwendet werden ohne erneut getestet zu werden 

– Hohe Flexibilität dadurch dass vorhandene Einzelrollen schneller zu neuen Sammelrollen 

kombiniert werden können 

– Hohe Transparenz, durch die Einzelrollen als Bauteile der Sammelrollen 

• Nachteile 

– Hohe Anzahl an Einzelrollen 



– Wenn Einzelrollen in zu vielen Sammelrollen verwendet werden, ist die Anpassung von 

Einzelrollen schwierig, da diese eine Auswirkung auf alle Sammelrollen hat. 


Design - One Layer Task Concept 

• Vorteile 

98 

– Das Konzept ist sehr flexibel gegenüber Änderungen in der Organisation 

– Geringer Aufwand in der Rollenpflege 

– Funktionale Änderungen haben minimale Auswirkungen in den Berechtigungen 

– SODs können auf Rollenebene vermieden werden 

– Kritische Funktionen können leicht isoliert und kontrolliert werden 

• Nachteile 

– Hohe Anzahl an Einzelrollen benötigt 

– Komplexe Benutzeradministration 

– Risiko der Ansammlung von Benutzerrechten existiert 

– Keine Standardisierung von Job Funktionen 

– Der Aufwand in der Rollenpflege wird zur Benutzeradministration verlagert 




Design - Auswirkungen 

Die Güte des Berechtigungskonzepts wirkt sich aus auf den Aufwand in: 

• Benutzer Administration 

99 

– Aufwand für die Erstellung, Pflege und Löschung von Accounts inkl. Zuweisung der 

Rollen und täglicher Fehlerbehebung 

• Rollenpflege 

– Aufwand um die Rollen zu pflegen, Berechtigungen erweitern, Fehlerbehebung 

– Aufwand um Prozess und Organisationsänderungen abzubilden 

• Behebung von SOD Konflikten 

– Aufwand durch die Veränderung der Benutzer – Rollenzuordnung 

– Aufwand durch die Modifikation des Rollendesigns 




Design - Einflussfaktoren 

• Die absolute Anzahl an Rollen 

100 

– Die Anzahl an Rollen die ausgewählt werden kann 

• Die Granularität des Business Designs der Rollen 

– Die Anzahl an Prozessschritten, die einer Rolle zugeordnet sind 

• Die Komplexität des technischen Rollendesigns 

– Die technische Komplexität, z.B. Abweichung vom SAP Standard 

• Der Grad der Lokalisierung des Rollendesigns 



– Inwieweit sind ähnliche Job Funktionen auf verschiedene Weise Implementiert, um 

lokalen Anforderungen zu genügen 


Design - Ergebnisse I II III IV V VI 

• Job-Funktion Dokumentation 

• Organisations- und Feldwerte Matrix 

• Dokumentation der 

Role-Owner-Matrix 

101 

Rollenverantwortlichen 


Job-Task-Matrix 

Org-Value-Matrix 


Design - Hilfsmittel & Tools 

102 



• Deloitte Role Factory, zur Dokumentation der Rollen und Vorabprüfung der SOD 

Konflikte 


AGENDA 








103 



Lean Role Management 

Methodiken und Techniken zur Verschlankung von SAP- 

Berechtigungskonzepten

Ursachen komplexer SAP-Berechtigungskonzepte 

105 

Zeitmangel 

Schnelle Reaktion 

Wechselnde Anforderungen 

Fehlende Kapazitäten 

Vertreterregelungen 

Unzureichende Prozesse 


Komplexe 

Rollenkonzepte 


Folgen komplexer SAP-Berechtigungskonzepte 

106 

Komplexe 

Rollenkonzepte 


Anhäufung von Rechten 

Keine Funktionstrennung 

Unzureichende Prozesse 

Fehlende Dokumentation 

Nicht revisionsgerecht 

Gesetzlich problematisch 


LRM: Konzeption auf Ebene der Transaktionscodes 

107 

Extrakte aus Prüfungstools 

Vorhandene Rollensets 


Prozesskenntnisse 

Notwendige Transaktionscodes pro Rolle? 

SAP-Menübaum 

„Vorgehensmodelle“ 

SAP-Standardrollen 


Analyse - Typischer Soll-Ist-Vergleich (pro Benutzer) 

109 


kann genutzt werden 

wird genutzt 


Test der Rollensets über Simulationen 

Während eines Clean-Ups / Re-Designs: 

• Test der schlanken Rollen 

• Simulationen der Funktionsfähigkeit 

Während einer Konsolidierung: 

• Test, ob vorhandene Rollensets aus unterschiedlichen 

SAP-Systemen miteinander verträglich sind 

110 



Vorteile von Lean Role Management 

• Design der Rollen erfolgt auf ein gesicherten Grundlage historischer Daten 

• Schränkt weder auf Tools für die Umsetzung der Rollen noch deren Prüfung ein 

• maximale Flexibilität – das Konzept passt sich dem Kunden an, nicht umgekehrt 

• „top-down“-Ansätze (Arbeitsplatzorientiert; Referenzbenutzer) und „bottom-up“- 

Ansätze (Baukastenprinzip; Simulationen) 

• drastische Minimierung des Aufwands in den betroffenen Fachabteilungen 

• Simulation bzw. Test eines Rollensets und der entsprechenden 

Benutzerzuordnung 

111 



Vorteile von Lean Role Management 

• Aussage über die Qualität des Rollensets/der Benutzerzuordnung möglich 

• Darstellung und Bewertung des Unterschieds von 

112 

– „Theorie“ (=Anforderungen der betroffenen Fachabteilungen) und 

– „Praxis“ (=tatsächlich ausgeführte Transaktionscodes) 

• Erstellung von (benutzerübergreifenden) Rollenvorschlägen für 

– Einzelrollen, 

– Sammelrollen 

• System- und Release übergreifende Zusammenfassung von Rollenkonzepten 

durch Konsolidierung der Eingabedateien und/oder Ergebnisdateien 



Einige (Praxis-)Szenarien für Lean Role Management 

• Upgrade eines SAP-Systems 

• Neueinführung eines SAP-Systems 

• Integration eines SAP-Systems 

• Migration eines SAP-Systems 

• Konsolidierung von SAP-Systemen 

• Clean-Up eines SAP-Rollenkonzepts 

• Ermittlung von Benutzerzuordnungen 

113 



Demo zu Lean Role Management 

• LRM Analyse 

• LRM Simulation 

114 



AGENDA 








115 



Standard Projekt Phasen und Implementierungs-Ansatz 

Überblick 

Das Aufsetzen eines Berechtigungskonzepts erfolgt in 6 standardisierten Projektphasen 

116 

Analyse 

I 

(Vision) 

Develop 

Strategy 

II 

(Plan) 

Jede Projektphase ist bezüglich des Einsatzes von "Good Practice" Methoden und Tools 

optimiert worden. Diese Phasen sind unter gewissen Einschränkungen modular aufgebaut, 

d.h. lassen sich auch einzeln betrachten. 


Design 

III 

(Design) 

Implement 

and Test 

IV 

(Build) 

Prepare 

Go-Live 

(Deliver) 

V 

Monitor 

and 

Sustain 

VI 

´ 

(Operate) 


Implementierung und Test 

• Ziele 

117 

– Realisierung des genehmigten Berechtigungskonzepts in den Ziel Systemen 

– Umfassende Tests des Berechtigungskonzepts 

– Abnahme der Tests 


– Update der Eigenentwicklungen im Berechtigungswesen (SU24) 

– Implementierung der Einzel- und Sammelrollen 

– Implementierung des Notfallkonzepts 

– Unit Test ,Integrationstest und Abnahmetest der Rollen 

– Aufsetzen Testplan 

– Verwendung von Testscripts und Testdaten 

– Vorbereitung der Testumgebung 

– Durchführung der Tests 

– Korrekturen 

– Dokumentation der finalen Resultate 





Templates Derived Single Roles 

Template 

Single Role (A) 

New Roles 

A, B ….. 

Template 

Single Role (B) 

118 

Derived 


Derived 


Derived 



Composite Roles 

Derived 


Derived 


Derived 



Derived 


Derived 


Derived 


Maintain non-org field values (e.g. Document Types, Movement Types) 

Maintain Organizational value sets (e.g. Company Code, Purchase Org.) 

Composite 

Role 

. . . 

Composite 

Role 

. . . 

Composite 

Role 

. . . 



• Testabnahme 

• Rollen und Berechtigungen 

• Rollendokumentation und Abnahme 

• Implementiertes Notfallkonzept (SAP 

GRC FireFighter) 

119 

Deloitte Role-Factory 


Test Planning and Tracking Tools 



Go-Live Vorbereitung I II III IV V VI 

• Ziele 

120 

– Sicherstellen des ordnungsgemäßen GoLive des neuen Berechtigungskonzepts 

– Kommunikation der Fall Back Lösung (Notfallkonzept) 

– Aufsetzen der Supportprozesse 


– Einsammeln der Benutzer – Rollenzuordnung und Genehmigung dieser 

– Anlegen der Benutzerstammdaten in der Produktivumgebung 

– Zuweisung der neuen Rollen zu den Benutzern in der Produktivumgebung 

– Training der Berechtigungsverwalter und der Genehmiger 

– Aufsetzen der Genehmigungsverfahren 

– Aufsetzen der Support und Eskalationsprozesse 



Go-Live Vorbereitung - Ergebnisse 

• Mehrstufiges Notfallkonzept (i.e. SAP 

FireFighter), für die schnelle Reaktion 

auf Produktionsprobleme 

• Geschulte Administratoren 

• Benutzer Rollen Dokumentation 

121 


Emergency Concept 


User to Role Matrix Emergency User Management (SAP FireFighter) 


Überwachung und Pflege 

• Ziele 

122 

– Sicherstellen das der Einsatz von Notfallberechtigungen und –nutzern ordnungsgemäß 

abläuft 

– Sicherstellen das das Konzept eingehalten wird und nicht durch temporäre Bedarfe 

aufgeweicht wird. 

– Sicherstellen dass die Pflege in der Linienorganisation verstanden und akkurat 

durchgeführt wird (Übergabe) 


– System Überwachung 

– Migrationsberechtigungen 

– Einhaltung der Änderungsprozesse 

– Buchungen durch die Supportorganisation 

– Statistiken zur Verwendung der Benutzer und Rollen 

– Übergabe an den Support 




Überwachung und Pflege 

• Compliance in Echtzeit durch Anwendung von ordnungsgemäßen Support- und 

Pflegeprozessen 

• SOD Überwachung z.B. durch Einsatz von SAP GRC Access Controls 

• Funktionierende Prozesse und hohe Transparenz durch neues Rollenkonzept 

Automatic detection of SoD violation 

123 


ERP-wide SoD analysis 


Transaction logging 


AGENDA 








124 



Lückenlose Compliance – 

SAP® Sicherheit im täglichen Geschäft


GoLive 

126 


Benutzer 

Rollen 



Nach GoLive 

127 

Mitarbeiter verlassen 

Unternehmen 


Wechsel der Abteilung 

Neue 

Rollen 

Neue 

Mitarbeiter 



vor Re Design 

• Zugriffsrechte nicht mehr transparent verteilt 

128 



Lückenlose Compliance - Einflussfaktoren 

• Nach der Implementierung des Berechtigungskonzeptes müssen die damit 

implementierten Kontrollen aktuell bleiben 

• Folgende Kontrollziele sind zu erfüllen 

129 

– Zugriff zu den Applikationen ist genehmigt 

– Berechtigungen innerhalb der Applikationen sind genehmigt 

– Berechtigungen innerhalb der Applikationen erfüllt die Funktionstrennung 

– Berechtigungen, die die Integrität anderer Prozesse (z.B. System Change Managment ) 

gefährden, sind kontrolliert 

• Die folgenden Prozesse unterstützen diese Kontrollziele 

– Benutzerverwaltung 

– Rollenverwaltung 

– Periodische Kontrollen 

• Diese Prozesse werden in der folgenden Übersicht exemplarisch veranschaulicht 

Benutzerverwaltung 



Gezielter Technologieeinsatz bei Kontrollen verringert das Risiko 

• Gewöhnlich werden Kontrollen in (un)regelmäßigen Prüfungen (Revision) 

überprüft – anschließend werden Verbesserungsmaßnahmen eingeleitet 

• Dies bedeutet einen großen Aufwand und das Risiken für gewisse Zeiträume 

nicht unter Kontrolle sind 

130 

Risiko 

Prüfung 

Zeit 


Prüfung 

Prüfung 

Permanente (automatische) Überwachung 

von Prozessen und Kontrollen 

Bisheriger Ansatz 

• Stichproben 

• Reaktiv 

• statistisch Unterlegt 

• Manuell 

Automatisierter 

Ansatz 

• Permanent 

• Proaktiv 

•Umfassend 

• Integriert 

• Prozessspezifisch 


AGENDA 








131 



GRC – Governance, Risik und Compliance

GRC – Ein neuer Weg! 

• Die Anforderungen an die Unternehmensführung- und Kontrolle, das Risiko 

Management und die Einhaltung von Gesetzen und Richtlinien steigen stetig: 

133 

– Verschiedene Gesetzgebungen die für einzelne Unternehmen relevant sind 

– Rasante Zunahme der Kosten für die Einhaltung der Vorschriften 

– Erhöhte Haftung für Vorstände und Aufsichträte 

• Unternehmen müssen die Fähigkeit besitzen, Ihre Ziele innerhalb der 

verpflichtenden oder freiwillig auferlegten Grenzen zu erreichen und dabei 

souverän mit Hürden und Unsicherheiten umzugehen. 

• Mit „Governance, Risk and Compliance„ (GRC), wird ein neuer Weg 

eingeschlagen, diese Themenbereiche stärker zu integrierten – mit aufeinander 

abgestimmten Aktivitäten und Vorgehensweisen. 

• Der Einsatz von Technologie nimmt bei der Umsetzung dieser Vision eine 

Schlüsselfunktion ein 



Die Rolle der IT - Governance, Risk & Compliance 

• Technologie kann helfen unter Kosten-Nutzenrechnungen Kontrollmaßnahmen 

zu automatisieren und damit effizienter zu gestalten. 

• Der strategisch durchdachte Einsatz von technischen Hilfsmitteln in einem 

umfassenden internen Kontrollsystem schafft mehr Transparenz, die für ein 

funktionierendes Compliance Management von entscheidender Bedeutung ist. 

• Die eingesetzten IT Werkzeuge müssen für die kritischen Geschäftsprozesse 

und für die IT-Gesamtarchitektur des Unternehmens konzipiert sein. Nur so kann 

vermieden werden, dass aufwendige und technisch unterstützte Kontrollen in 

einem Geschäftsprozess durch manuelle und nur sporadisch erfolgte Kontrollen 

in anderen Prozessen ausgehebelt werden. 

• IT kann nicht die alleinige Lösung bieten, kann jedoch einen entscheidenden 

Beitrag zur Effektivität und Effizienz des unternehmensweit einzusetzenden 

Governance, Risk & Compliance Programms ermöglichen. 

134 



Integrierter GRC Ansatz 

Herausforderungen für die IT 

135 

• Verringerte Kosten für die Dokumentation 

von Kontrollen 

• Vermeidung von redundanten Kontrollen 

• Verwendung von wiederholbaren 

Kontrollen 

Erzielte Verbesserungen Zukünftige Optimierungen 

• Weniger Nutzung von externer Hilfe 

• Verbesserte Koordination und 

Kommunikation mit Wirtschaftsprüfern 

• Erste Investitionen in „Compliance Tools“ 

zur besseren Transparenz und Übersicht 

• Effektivität der Kontrollen verbessert 


• Weitere Standardisierung u. 

Konsolidierung der Dokumentation 

• Bessere Nutzung automatisierter 

Kontrollen in den eingesetzten IT 

Systemen (Bsp. SAP R/3) 

• Einsatz von neuer Technologie zur 

weiteren Automatisierung von Kontrollen 

• Umfassender Einsatz von Benutzer- und 

Funktionstrennungskontrollen 

• Überwachung von konfigurierbaren 

Kontrollen 

• Transaktions-Monitoring 

• Stammdaten-Monitoring 

• Übertragung der Kontrolldurchführung 

von der IT in die Fachbereiche 


Anforderungen an ein effektives GRC Tool 

Die Grundfunktionen 

• GRC Tools werden eingesetzt, um die 3 Schlüsselprozesse im Risikound 

Compliance-Management Prozess zu unterstützen, in dem 

wesentliche Elemente dieser Prozesse automatisiert werden. 

• Bewertung der 

Gestaltung und 

operativen Wirksamkeit 

der Kontrollen 

• Ergebnisidentifizierung 

• Szenarioplanung und 

Sensitivitätsanalyse 

136 


• Dokumentation der Ergebnisse der Kontrollprüfung 

• Ergebnisidentifizierung 

• Dokumentierung der Prozesse, 

Risiken und Kontrollen für 

jeden Prozess 

• Identifikation und 

Dokumentation zugehöriger 

Grundsätze, Verfahren und 

Systemdokumentationen 


Technologie als GRC Erfolgsfaktor 

Kategorisierung von GRC Lösungen (1) 

1. GRC Management Lösungen* 

Risk and Control Framework 

(Rahmenwerk zur Steuerung von Risiken 

und Kontrollen) 

Risk-Management Software 

(Risiko Management Software) 

Dashboarding and Reporting 

(Anzeige und Berichtswesen) 

Initiative-specific content 

(Initiativ-spezifische Inhalte) 

* Quelle: AMR Research 

137 


Steuerung von Risikomanagement und Compliance- 

Aktivitäten innerhalb und außerhalb der Geschäftgrenzen 

Diese Applikationen beinhalten die Möglichkeit zur Definition, 

Steuerung, Überwachung und Anzeige beliebiger GRC 

Programme. 

Diese Produkte ermöglichen den Unternehmen die 

Identifikation, Bewertung, Kategorisierung und Priorisierung 

von Risiken auf der Unternehmensebene sowie auf Ebene der 

Geschäftsprozesse. 

Instrumente und/oder Applikationen die dem Business die 

Nachverfolgung von betriebswirtschaftlichen Kennzahlen 

sowie Risikokennzahlen ermöglichen, indem ein einheitlicher 

Blick auf den GRC Status und aktueller Leistung zu 

vordefinierten Zeiten oder zeitnah erfolgt. 

Verschiedene Risiko-/ Compliance-Initiativen verfügen über 

vordefinierte Modelle, mit deren Hilfe sich die Steuerung der 

jeweiligen Initiative beschleunigen lässt (z.B. SOX Risiken & 

Kontrollen; IT Governance Rahmenwerke) 




2. GRC Execution* 

Access Controls Products 

(Access controls Produkte) 

Identity Management Products 

(Identitätsmanagement Produkte) 

Business Process Controls 

Products 

(Geschäftsprozesskontroll-Produkte) 

Audit Testing Tools and 

Applications 

(Audit-Testing-Tools und 

Anwendungen) 

Data Security Products 

(Produkte für die Datensicherheit) 


138 


Überwachung und Einleitung von Maßnahmen zu Risiko und 

Compliance Themen die innerhalb des GRC Management 

aufgedeckt wurden 

Produkte zur automatisierten Überprüfung von Benutzer-/ 

Berechtigungskontrollen (Bsp. SoD) und zur Identifikation welcher 

der Nutzer Zugang zu welchen Daten hat. 

Möglichkeit einer zentralen Verwaltung aller Identitäten im 

Unternehmen. Enge Verbindung mit AC Produkten möglich. 

Produkte, welche einen automatisierte Einhaltung der Kontrollen 

und / oder Compliance-Regeln für beliebige Geschäftsprozesse 

gewährleisten. 

Unabhängige Instrumente und Produkte, mit denen eigene 

Mitarbeiter und / oder externe Berater Geschäftstätigkeiten 

überwachen können sowie betrügerische Aktivitäten oder 

abweichende Geschäftsprozesse identifizieren können. 

Produkte zur Entdeckung, Klassifizierung und Durchsetzung 

von Kontrollen mit sensiblem Inhalt, in strukturierter und 

unstrukturierter Form, einschließlich der persönlich 

Informationen, Finanzdaten oder des geistigen Eigentums. 




3. GRC Applications* 


139 


Zweckbestimmte Applikationen zur Steuerung von Industrieund 

Prozessspezifischer Risiken und Compliance 

Unzählige Produkte, welche bestimmte Compliance relevante 

Themen behandeln (z.B. Umwelt, Sicherheit und Gesundheit; 

Außenhandelsbeziehungen und Zollabwicklung, Coporate Social 

Responsibility; Bewertung von Supply Chain Risiken oder 

Werkzeuge für IT Risiko Management-Aspekte) 


Fragmentierte Prozesse und Systeme erhöhen das Risiko 

Compliance / Risiko Office 

punktuelle Risikoanalyse 

Einkauf 

Lieferantenbewertung, 

“schwarze 

Listen” 

140 

Aufsichtsrat, Revision 

überwiegend manuelle, 

stichprobenhafte und 

fehleranfällige Kontrollen 

IT 

IT Security; 

Datenmißbrauch; 

Spionage 

Supply Chain Customers & Channel 


SALARIES 

Geschäftsleitung 

unvollständige 

Übersicht über das 

Risikoprofil 

Finanzen 

komplexe, internationale 

Compliance-Anforderungen 

(bspw.Revenue recognition) 

Personal 

Arbeitsschutzund 

Umweltvorschriften 

? Verkauf 

Kreditrisiko 

Kundenbewertung 


Vertrauensgewinnung durch Transparenz mit SAP GRC 

141 

Aufsichtsrat, Revision 

nachprüfbare Entscheidungen 

Compliance / Risk Office 

integrierte Risikoanalyse 

in Echtzeit 

IT 

Sicherheit in den 

IT-Systemen 

Einkauf 

transparente 

Bewertung, 

Einhaltung von 

Embargos 

Supply Chain Customers & Channel 


SALARIES 

Geschäftsleitung 

höchste Transparenz 

=>maximales Vertrauen 

Finanzen 

Einhaltung von Richtlinien 

für das 

Kozernberichtswesen 

Personal 

Einhaltung von 

Gesundheits- und 

Sicherheitsrichtlinien 

Verkauf 

Berücksichtigung 

der Kundenbonität 


SAP Sicht auf eine komplexe Unternehmenswelt 

142 



SAP Lösung um damit umzugehen 

143 



SAP Lösungen für den Finanzbereich 

144 



SAP Solutions for GRC 

145 


• GRC als selbstverständlicher Teil 

eines Geschäftsprozesses 

• Arbeitserleichterung durch 

weitgehende Automatisierung der 

Kontrollprozesse 

• Unternehmensweit nutzbar durch 

offene Architektur 


SAP GRC Risk Management 

147 

Risiko Identifikation und Analyse 

Automatische 

Warnungen 

Risiko Monitoring 

Risk Response Management 

Strategieentwicklung 


… 

Methoden und Abläufe 

Risikobereitschaft / 

Schwellwerte 

Risiko-Einschätzungen 

• Proaktive Transparenz 

Frühwarnsystem aus Key Risk 

Indikatoren 

• Verbesserte Steuerung der 

Geschäftsaktivitäten 

Risikoorientierte Chancenanalyse 

• Schnellere Identifikation von 

Chancen und Risiken 

für alle Risikotypen und auf allen 

Ebenen 

• Befähigung der Benutzer in den 

Fachabteilungen 

Risikomanagement dort, wo Risiken 

entstehen 

• Bessere 

Entscheidungsgrundlage 

zentralisiertes Risiko-Reporting 


SAP GRC Access Control - Funktionsübersicht 

Schnelle Beseitigung von 


(Risikofrei werden) 

148 

Risikoanalyse und 

-bereinigung 

Schnelle, effiziente 

und umfassende 

Identifizierung und 

Bereinigung von 


UnternehmensweitesRollenmanagement 

SoD-konfliktfreies 

Rollendesign; 

Dokumentation 

und automatische 

Rollenanlage in 

den Zielsystemen 


Kontinuierliches Zugriffsund 

Berechtigungsmanagement 

(Risikofrei bleiben) 

SoD-konfliktfreie 

Berechtigungsvergabe 

Workflowbasierte 

Berechtigungsprovisionierung; 

Sicherheit durch 

fortlaufende 

Risikokontrolle 

Notfallusermanagement 

Kontrollierter 

Zugriff auf kritische 

Berechtigungen; 

Umfagreiche 

Dokumentation 

und Audit Trail; 

Services: Risikoanalyse, Simulation, Workflow, Reporting, Audit trail, Dokumentation 

Plattformunabhängige Regelbasis mit über 200 Geschäftsrisiken 

Effiziente Unterstützung 

von Management 

und Prüfern 

(Kontrolle behalten) 

Periodische 

Kontrolle und 

Prüfung 

Transparenz und 

umfangreiches 

Managementreporting 

wie 

Prüfungsunterstützun 

g durch Audit Trails 

und detailliertes 

Berichtswesen 


Wie funktioniert die Risikoanalyse? 

149 

R 

e 

g 

e 

l 

w 

e 

r 

k 

Risiken 


Risikoanalyse für 

User „Maier“ 

S 

O 

L 

L 

Risikoanalysefunktion 

Vergleich 

I 

S 

T 

ERP 2005 

RTA RTA RTA RTA 

Business Applications 

?? Compliance 

Verantwortlicher ? 

Risikobericht 


SAP GRC Access Control 

Risk Analysis and Remediation Functionality 

150 

SAP GRC Access Control 

Risiko-Analyse, Entdeckung und Schwachstellenbeseitigung 

für Zugangs- und Berechtigungskontrollen 


kritische Einzeltransaktionen 

oder Berechtigungsobjekte 

Funktion 1 Funktion 2 

System 1: Transaktion 1 

… 

System 1: Transaktion n 


… 

System 2: Transaktion n 

System n: Transaktion 1 

… 

System n: Transaktion n 

180.000 Prüfregeln 


… 

System 1: Transaktion m 


… 

System 2: Transaktion m 

System m: Transaktion 2 

… 

System m: Transaktion m 


SAP GRC Access Control - Risk Analysis and Remediation 

151 



SAP GRC Access Control - Compliant User Provisioning 

klassischer Berechtigungsvergabeprozess 

ohne SAP GRC Access Control 

152 

Access 

Request 

Role 

Owner 

Manual 

Provisioning 

email 

Word, Excel etc. 

email 

Tabellen, 

Formulare 


Manager 

Approval 

IT Security 

Workflowprozess im GRC Access Control 

HR event 

Employee 

hired/retired 

Role Expert 

Compliant Roles 

Compliance 

Calibrator 

Online Risikoanalyse 

Request 

generated 

Mgr 

approval 

Risk 

analysis 

Automated 

provisioning 

100% automated 

Path workflow—based 

on request type and 

user attributes 

Via e-mail 

Escalation 

workflow 

One-click preventive 

simulation 

Exception 

workflow 

100% automated 

… 


SAP GRC Access Control - Compliant User Provisioning 

153 



SAP GRC Access Control - Enterprise Role Management 

Zentralisiertes Rollenmanagement 

Heterogene Systemlandschaft 

Role 

154 

Role 

Governance Prüfbericht 

Management 

Role 

Role 

Role 

Risk Analysis Function 

Online Risikoanalyse 


… 

Role Role Role Role Role Role 

Neue Rollen sind “compliant” 

• Zeit und Kostenersparnis bei der 

Rollenpflege 

• Vermeidet Funktionstrennungsrisiken 

und gewährleistet Compliance 

• Verhindert Fehler bei der Rollenpflege 

durch Integration mit Compliance 

Calibrator und Access Enforcer 

• Bietet Sicherheitschecks, 

umfangreiches Monitoring und 

Prüfungssicherheit 


SAP GRC Access Control - Enterprise Role Management 

155 



Typische Probleme im Notfallusermanagment 

• Zu viele User mit SAP_ALL Berechtigungen, dadurch: 

Funktionstrennungskonflikte 

• Keine Kontrolle über Aktivitäten der User (kein 

Aktivitätenlog!) 

• SAP_ALL Zugriff auf unbestimmte Zeit 

• Kein Verantwortlicher für SAP_ALL Berechtigungen 

• Handlungsunfähigkeit von Mitarbeitern in Notfällen 

• Kein problemlösender, effektiver Workflow bei Notfällen 

156 



SAP GRC Access Control - Superuser Privilege Management 

157 

Anmeldung am 

System als 

Standarduser 

für „Maier“ 

Prozessdurchführung 

Start 

Transaktion 

Superuser 

Management 


FireFighter ID FICO 

FireFighter ID MM 

FireFighter ID SD 

FireFighter ID Basis 

FireFighter ID … 

SAP_ALL 

User „Maier“ sind 

meherer 

FireFighter ID´s 

zugeordnet 

SAP-System 

Neue Session 

Ausführen Aktivität 

Log 

Multiple Verwendbarkeit des 

FireFighters (bspw. während des Tests 

neuer Rollen, Abschlussarbeiten, 

Urlaubsvertretung u.v.m.) 

Abmelden als 

FireFighter 

Alle FireFighter- 

Aktivitäten 

werden 

automatisch 

ausführlich 

protokolliert 

Abmeldung vom 

System als 

Standarduser 

„Maier“ 


SAP GRC Access Control - Superuser Privilege Management 

158 



Alternative GRC Lösung - SecurityWeaver 

159 



DEMO: SAP GRC Access Control

AGENDA - Zusammenfassung 








161 



Fragen ?


Vielen Dank für Ihre Aufmerksamkeit !

Das SAP Berechtigungskonzept.

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?