Das SAP Berechtigungskonzept.
Das SAP Berechtigungskonzept.
Das SAP Berechtigungskonzept.
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong>.<br />
Management Circle 2009
2<br />
WILLKOMMEN.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Rolf Hagenow<br />
Senior Manager<br />
Enterprise Risk Services<br />
Deloitte & Touche GmbH<br />
Wirtschaftsprüfungsgesellschaft<br />
Franklinstraße 50<br />
60486 Frankfurt am Main<br />
Tel.: + 49 69 75695 - 6525<br />
Mobile + 49 1520 9311 676<br />
Email: rhagenowjansen@deloitte.de<br />
www.deloitte.com/de<br />
Member of<br />
Deloitte Touche Tohmatsu<br />
Stefan Gämmerler<br />
Manager<br />
Enterprise Risk Services<br />
Deloitte & Touche GmbH<br />
Wirtschaftsprüfungsgesellschaft<br />
Rosenheimer Platz 4<br />
81669 München<br />
Tel + 49 89 29036 - 8071<br />
Mobile + 49 172 8685838<br />
Email: sgaemmerler@deloitte.de<br />
www.deloitte.com/de<br />
Member of<br />
Deloitte Touche Tohmatsu
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
4<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Zeitplan Tag 1<br />
5<br />
Vormittag 09:15 - 09:40 Einleitung – AGENDA – Zeitplanung<br />
Vorstellungsrunde<br />
09:40 - 10:00 Deloitte Unternehmenspräsentation<br />
Enterprise Risk Services<br />
10:00 - 11:00 Einordnung des <strong>SAP</strong> <strong>Berechtigungskonzept</strong>s<br />
im Rahmen der IT Governance, Risk,<br />
Compliance<br />
11:00 - 11:15 Kaffeepause<br />
11:15 - 12:30 Zielsetzungen bei der Einführung eines neuen<br />
<strong>Berechtigungskonzept</strong>s<br />
12:30 - 14:00 MITTAGESSEN<br />
Nachmittag 14:00 - 15:45 Vorgehensweise bei der Einführung eines<br />
neuen <strong>Berechtigungskonzept</strong>s 1<br />
15:45 - 16:00 Kaffeepause<br />
16:00 - 16:30 Lean Role Management<br />
16:30 - 17:30 Vorgehensweise bei der Einführung eines<br />
neuen <strong>Berechtigungskonzept</strong>s 2<br />
17:30 - 18:00 Wrap-up Tag 1<br />
(Fragen u. Antworten, Ausblick Tag 2)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Zeitplan Tag 2<br />
6<br />
Vormittag 09:00 - 10:30 Praxisbericht: <strong>Das</strong> <strong>Berechtigungskonzept</strong> bei<br />
der AOK Bayern<br />
10:30 - 10:45 Kaffeepause<br />
10:45 - 11:30 Vorgehensweise bei der Einführung eines<br />
neuen <strong>Berechtigungskonzept</strong>s 2 (Fortsetzung)<br />
11:30 - 12:30 Lückenlose Compliance - <strong>SAP</strong> Sicherheit im<br />
täglichen Geschäft<br />
12:30 - 14:00 MITTAGESSEN<br />
Nachmittag 14:00 - 14:45 <strong>SAP</strong> GRC Access Control Grundlagen<br />
14:45 - 16:00 <strong>SAP</strong> GRC Access Control Demo<br />
15:45 - 16:00 Kaffeepause<br />
16:00 - 17:00 Wrap-up Tag 2 (abschließende Fragen u.<br />
Antworten)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Allgemeines<br />
7<br />
Toiletten Zeiten, Pausen Erfrischungen<br />
Telefonanrufe Mittagessen Mobiltelefone<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Vorstellungsrunde<br />
• Name<br />
• Aufgabe(n) in Ihrem Unternehmen<br />
• <strong>SAP</strong>-Kenntnisse / Erfahrung<br />
• Erwartungen an das Seminar / Ziele<br />
8<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>Das</strong> Ganze im Blick.<br />
Deloitte Unternehmenspräsentation
10<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Enterprise Risk Services<br />
Unser Services Portfolio<br />
11<br />
Financial Risk<br />
Solutions<br />
Security & Privacy<br />
Banking Security Management<br />
Insurance<br />
Corporate Treasury<br />
Energy Trading &<br />
Risk Management<br />
Quantitative<br />
Solutions<br />
* inkl. Vulnerability Management<br />
Infrastructure &<br />
Operations Security *<br />
Identity / Access<br />
Management<br />
Application Integrity<br />
Privacy & Data<br />
Protection<br />
Business Continuity<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Enterprise Risk Services<br />
Controls<br />
Assurance<br />
IT GCC Assessments<br />
CA IT<br />
IT GCC Assessments<br />
CA Processes<br />
Business Process<br />
Controls Assessments<br />
DQI Data Quality<br />
and Integrity<br />
Other Trust Services<br />
Project<br />
Risk Management<br />
Internal Audit<br />
Operational Audit<br />
Financial Audit<br />
IT Audit<br />
Fraud Prevention<br />
Contract<br />
Risk & Compliance<br />
Enterprise<br />
Risk Management<br />
Quality Assessment<br />
Services<br />
Corp. Responsibility<br />
& Sustainability<br />
Risk & Opportunity<br />
Assessments<br />
Strategy Development &<br />
Integration<br />
Integrated Management<br />
systems (HSEQR& SD)<br />
Workshops / Trainings<br />
& Internal Audit<br />
Reporting &<br />
Communication<br />
GHG Strategy & Carbon<br />
Footprinting<br />
Expert‘s opinion &<br />
ESG Due Diligence<br />
Governance &<br />
Compliance<br />
Compliance Health<br />
Check<br />
Compliance &<br />
Governance Mgt.<br />
Corporate Governance<br />
IT Governance<br />
Information Lifecycle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Enterprise Risk Services<br />
Security & Privacy Dienstleistungen<br />
12<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy<br />
Anspruchsvolle Aufgabenstellungen (1/2)<br />
13<br />
Security<br />
Management<br />
(Regularien)<br />
Infrastructure<br />
& Operations<br />
Security<br />
(inkl. Vulnerability<br />
Management)<br />
Identity /<br />
Access<br />
Management<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Um die Sicherheit der IT-Infrastruktur nachhaltig sicherzustellen, ist die Etablierung<br />
von unternehmensweiten Regelwerken und Kontrollsystemen notwendig. Dies<br />
erfordert die Implementierung von entsprechenden Management-Strukturen, die<br />
Mitarbeiter, Prozesse sowie Technologien gleichermaßen umfassen.<br />
Unternehmen fordern eine zuverlässige und sichere Anbindung der Mitarbeiter,<br />
Kunden, Lieferanten und sonstigen Geschäftspartner an die IT-Systeme. Die<br />
Umsetzung dieser Anforderungen erfolgt oftmals ad-hoc, so dass im Laufe der Zeit<br />
eine inkonsistente und undurchsichtige Gesamtarchitektur entsteht und die IT-<br />
Prozesse nicht mit den Sicherheitsabläufen im Einklang stehen.<br />
Selbst moderne IT-Infrastrukturen sind heute nicht mehr vor Angriffen und<br />
Sicherheitslücken geschützt. Virenschutzprogramme und sachkundige Mitarbeiter<br />
reichen nicht aus, um die aktuellen Herausforderungen zu meistern.<br />
Unser Vulnerability Management liefert ein umfassendes Sicherheitspaket, um diese<br />
Lücken zu schließen und das Risiko vor Angriffen und Ausfällen zu reduzieren.<br />
Zur Sicherung der Wettbewerbsfähigkeit muss ein Unternehmen flexiblen Zugriff<br />
auf die eigene IT-Infrastruktur gewährleisten. Die Mobilität der Mitarbeiter, globale<br />
Aktivitäten sowie eine zunehmend engere Zusammenarbeit mit Geschäftspartnern<br />
erfordern hier Systeme, die einen schnellen, zuverlässigen und gleichzeitg sicheren<br />
Zugriff auf die eigenen Daten und Programme erlauben.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy<br />
Anspruchsvolle Aufgabenstellungen (2/2)<br />
14<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
Privacy & Data<br />
Protection<br />
Business<br />
Continuity<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Robuste und nachhaltige Benutzer- und <strong>Berechtigungskonzept</strong>e sind ein wichtiger<br />
Baustein für eine erfolgreiche Umsetzung der vielfältigen und komplexen Anforderungen<br />
der Governance, Risk und Compliance (GRC). Zuverlässige Geschäftsprozesskontrollen<br />
und die ordnungsgemäße Funktion der Schnittstellen sind<br />
weitere wichtige Faktoren zur Herstellung einer sicheren Applikationslandschaft.<br />
In allen Unternehmen werden personenbezogene Daten, die unter besonderem<br />
Schutz (Bundesdatenschutzgesetz, EU-Datenschutzdirektive, etc.) stehen,<br />
verarbeitet und gespeichert. Multinationale Unternehmen stehen aufgrund der<br />
Inkonsistenz des int. Datenschutzrechts vor der besonderen Herausforderung,<br />
die jeweils gültigen Vorschriften zu identifizieren und effektiv umzusetzen.<br />
Für die geschäftskritischen Unternehmensprozesse ist eine funktionsfähige IT unabdingbar.<br />
Ein durchdachtes Business Continuity Management hilft Unternehmen<br />
bei der Entwicklung, Einführung und Durchführung von Vorsorgemaßnahmen, um<br />
im Falle von Störungen oder Betriebsausfällen den Schaden für das Unternehmen<br />
zu minimieren.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Security Management<br />
15<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Entwicklung einer IT-Sicherheitsstrategie<br />
– Strategieentwicklung und Überprüfung der<br />
Sicherheitsstrategie<br />
– Entwicklung und Überprüfung der Richtlinien<br />
und Standards<br />
– Gap-Analysen und Benchmarking gegen<br />
führenden Industriestandards<br />
• Entwicklung von Sicherheits-Richtlinien und -Regeln<br />
– Entwicklung von Sicherheitsregeln anhand<br />
aller führenden Standards z. B. ISO2700X, BSI Grundschutz,<br />
Bundesdatenschutz Gesetz, Payment Card Industry Data<br />
Security Standard (PCI DSS), ITIL, COBIT, etc.<br />
• Aufbau von Security KPI Management Systemen<br />
– Definition der relevanten Sicherheits-Metrik in Form<br />
von Security-Key-Performance-Indikatoren<br />
– Aufbau der Berichtsstrukturen und Einführung der Security<br />
KPIs in der IT-Organisation<br />
– Einbindung der Sicherheitsprozesse in das interne<br />
Kontrollsystem des Unternehmens<br />
• Schulung und Sensibilisierung von Mitarbeitern<br />
– Konzeption und Durchführung von Trainings- und Coaching-<br />
Programmen, Globale Roll-Outs von Sensibilisierungs-<br />
Programmen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Infrastructure & Operations Security (1/4)<br />
16<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Bewertung und Implementierung<br />
der Sicherheitsmechanismen im IT-Betrieb<br />
– Analyse und Auswertung der Wirksamkeit der<br />
eingesetzten technischen und organisatorischen<br />
Sicherheitsmechanismen<br />
• Entwicklung und Umsetzung von sicheren IT-<br />
Prozessen und skalierbaren IT-Infrastrukturen<br />
– Implementierung der Sicherheitsprozesse entsprechend<br />
der Geschäftsanforderungen und den Vorgaben des<br />
Sicherheitsmanagements<br />
– Konzeption der technischen Sicherheitsmaßnahmen für<br />
sichere Web-Anwendungen, Backoffice-Applikationen<br />
und komplexe Netzwerkinfrastrukturen.<br />
– Konzeption und Umsetzung der Netzwerksicherheit<br />
für das Unternehmensnetzwerk, Internetdienste,<br />
WLAN-Lösungen bis hin zu VPN-Lösungen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Infrastructure & Operations Security (2/4)<br />
17<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Sicherheit von Betriebssystemen, Datenbanken und<br />
Anwendungen<br />
– Konzeption und Umsetzung für die sichere Konfiguration von<br />
Anwendungen, Servern und aktiven Komponenten im<br />
Netzwerk.<br />
– Umsetzung von Anforderungen an die Übertragung und<br />
Speicherung von Daten bspw. in Datenbanken oder Mobile-<br />
Devices.<br />
• Physische Sicherheit der Rechenzentren und<br />
anderer kritischer IT-Einrichtungen<br />
– Bewertung und Überprüfung der technischen<br />
und organisatorischen Sicherheitsmaßnahmen<br />
im RZ-Betrieb.<br />
– Ausarbeitung der Risikoprofile zur Sicherheitsplanung sowie<br />
Erstellung von Maßnahmenplänen zur Einführung und den<br />
laufenden Betrieb.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Infrastructure & Operations Security (3/4)<br />
Vulnerability Management<br />
18<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Analyse der IT-Management-Prozesse zur<br />
Reduktion der Verwundbarkeiten und<br />
Angriffsrisiken<br />
– Definition und Strukturierung der Vulnerability-<br />
Management-Prozesse<br />
– Einbeziehung von CERT-Informationen, Strukturierung<br />
der Berichterstattung und Einbindung in Asset-<br />
Datenbanken<br />
• Tools-Einsatz und Dienstleister-Auswahl für den<br />
Vulnerability-Management-Prozess<br />
– Definition von Anforderungen, Auswahl<br />
geeigneter Technologien und Unterstützung<br />
bei der Implementierung<br />
– Auswahl von geeigneten Dienstleistern<br />
für Teilprozesse<br />
• Unterstützung bei der Schulung von Mitarbeitern<br />
– Secure-Coding Practices für Web-Anwendungen<br />
– Coaching für die Systemadministratoren der Netzwerke,<br />
Serversysteme und Sicherheitsmechanismen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Infrastructure & Operations Security (4/4)<br />
Vulnerability Management<br />
19<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Erhebung und Dokumentation des technischen<br />
Status der IT-Sicherheit<br />
– Externer Penetrations-Test: Mit spezifischen<br />
Scanning-Methoden werden die Schnittstellen zum<br />
Internet überprüft und getestet und mögliche Risiken<br />
bewertet, die in der Sicherheitsinfrastruktur und im<br />
Management der Netzwerk- und Serversysteme<br />
bestehen<br />
– Interner Penetrations-Test: Im internen Netzwerk<br />
und den Systemen werden mit Scanning-Methoden<br />
und Konfigurationsanalysen Schwachstellen bei der<br />
Implementierung und technischen Umsetzung der<br />
Sicherheitsanforderungen ermittelt und bewertet<br />
– Wireless & VoIP Testing: Die Analysen bewerten<br />
die Konfiguration und Sicherheitsarchitektur der<br />
WLAN-Komponenten und ermitteln mögliche<br />
Schwachstellen aus sicherheitstechnischer Sicht<br />
– Sicherheitstests von Web-Applikationen:<br />
Neben den internen und externen Penetrationstest-<br />
Methoden werden für Web-Anwendungen spezifische<br />
Sicherheitsmechanismen wie Session-Management,<br />
Input-Validierung oder<br />
Authentifizierungsmechanismen überprüft und<br />
getestet, um Schwachstellen in der Anwendungslogik<br />
zu ermitteln<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Identity / Access Management<br />
20<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Statusaufnahme<br />
– Analyse der bestehenden Prozesse und der<br />
bereits existierenden Systeme<br />
– Aufdeckung von Optimierungspotenzialen<br />
• Erarbeitung einer Strategie und einer Roadmap<br />
– Identifizierung der Business Driver und Definition<br />
der Strategie für das Identity & Access Management<br />
– Erstellung einer Roadmap für die schrittweise Einführung<br />
einer umfassenden Lösung<br />
• Entwicklung einer individuellen Lösung<br />
– Definition der benötigten Funktionalitäten und Services wie<br />
z.B. in den Bereichen Provisioning, Single-Sign-On, Identity-<br />
Integration, Federation, Role Based Access Control,<br />
Reporting, etc.<br />
– Beschreibung der Gesamtarchitektur und Definition<br />
der Prozesse und Daten Qualität<br />
• Projekt Management<br />
– Steuerung komplexer Projekte und Koordination der<br />
Technologie Partner, Integration in die bestehende Systemund<br />
Prozess-Landschaft, Abstimmung mit Compliance<br />
Stakeholdern und den Fachabteilungen<br />
– Durchführung von den Change Management Aspekten<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Application Integrity (1/2)<br />
21<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Anwendungssicherheit / Zugriffsschutz<br />
– <strong>SAP</strong> Security Health-Check für einen schnellen Überblick<br />
der Sicherheitssituation in Ihrer <strong>SAP</strong> Umgebung.<br />
– Design und Implementierung revisionssicherer<br />
<strong>Berechtigungskonzept</strong>e für alle Unternehmens-<br />
Applikationen durch eine bewährte und strukturierte<br />
Vorgehensweise.<br />
– Design und Umsetzung der notwendigen<br />
Administrationsprozesse im Benutzer- und<br />
Berechtigungswesen um die Wirksamkeit zu<br />
gewährleisten.<br />
• Prozesskontrollen<br />
– Identifikation, Design und Implementierung von<br />
Geschäftsprozesskontrollen, die im Zusammenhang mit<br />
Ihren ERP Prozessen abgebildet werden.<br />
– Analyse und Optimierung vorhandener<br />
Geschäftsprozesskontrollen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Application Integrity (2/2)<br />
22<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Funktionstrennung (Segregation of Duties)<br />
– Definition eines unternehmensweiten Regelwerks<br />
für Funktionstrennungen (SoD Matrix)<br />
– Analyse von Funktionstrennungskonflikten<br />
– Unterstützung bei der Behebung von<br />
Funktionstrennungskonflikten<br />
– Aufbau und Einführung eines unternehmens-spezifischen<br />
Konzeptes zur nachhaltigen<br />
Überwachung von SoD Konflikten<br />
• Implementierung von GRC Tools<br />
– Definition einer nachhaltigen GRC-Strategie unter Beachtung<br />
aktueller und zukünftiger Anforderungen<br />
– Unterstützung bei der Auswahl einer geeigneten<br />
GRC-Lösung<br />
– Konzeption und Einführung der GRC-Softwarelösung<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Privacy & Data Protection<br />
23<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Bestimmung der Datenschutz-Anforderungen<br />
– Analyse gesetzlicher (z.B. BDSG), branchenspezifischer (z.B.<br />
Bankgeheimnis) und geschäftlicher (z.B. Risikosituation<br />
durch Datentransfer in Nicht-EU-Staaten) Anforderungen<br />
– Audit der existierenden Datenschutz-Maßnahmen und der<br />
Vorkehrungen gegen ‚Data Leakage‘ (Vertraulichkeitsverlust<br />
sensibler Geschäftsdaten)<br />
• Planung von Datenschutz-Maßnahmen<br />
– Planung von technischen und organisatorischen Maßnahmen<br />
gemäß §9 BDSG<br />
– Planung einer umfassenden‚ Data Leakage Protection‘ (z.B.<br />
Maßnahmen für Mitarbeiter-, Kunden-, Geschäftsdaten,<br />
Onlinesysteme, Datenaustausch mit Zulieferern)<br />
• Umsetzung von Datenschutz-Maßnahmen<br />
– Implementierung von technischen und prozessualen<br />
Maßnahmen, auch in Verbindung mit IT-Sicherheit,<br />
Zugriffsmanagement und physischer Sicherheit<br />
– Schulung und Sensibilisierung von Mitarbeitern und<br />
Führungskräften<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Business Continuity (1/2)<br />
24<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Analyse bestehender Business-Continuity-<br />
Maßnahmen und Programme<br />
– Beurteilung der vom Unternehmen getroffenen<br />
Präventivmaßnahmen zur Aufrechterhaltung des<br />
Geschäftsbetriebs im Störungsfall<br />
– Risikoanalyse im Hinblick auf die Fortführung der kritischen<br />
Unternehmensprozesse im Fall von Betriebsstörungen<br />
– Durchführung von Business-Impact-Analysen im Hinblick auf<br />
unternehmenskritische Betriebsstörungen<br />
• Entwicklung von Maßnahmen zum Business<br />
Continuity Management<br />
– Entwicklung von Management-Strukturen zur nachhaltigen<br />
Durchführung eines Business-Continuity- Management-<br />
Programms<br />
– Entwicklung von Verfügbarkeits- und Wiederanlauf-verfahren<br />
zur Erreichung der unternehmensweiten Business-Continuity-<br />
Ziele (z. B. geringe Wiederanlaufzeit, tolerierbarer<br />
Datenverlust, etc.)<br />
– Entwicklung von Maßnahmen zum Krisenmanagement sowie<br />
von Notfall- und Wiederanlaufplänen zur Sicherstellung eines<br />
schnellen und ordnungsgemäßen Wiederanlaufs nach einer<br />
Betriebsstörung<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Security & Privacy Lösungen<br />
Business Continuity (1/2)<br />
25<br />
Security<br />
Management<br />
(Regularien)<br />
Business<br />
Continuity<br />
Infrastructure &<br />
Operations Security<br />
(inkl. Vulnerability Management)<br />
Sicherheit, Effizienz,<br />
Integrität.<br />
Privacy & Data<br />
Protection<br />
Security & Privacy - Services Überblick - Januar 2009<br />
Identity /<br />
Access<br />
Management<br />
Application<br />
Integrity<br />
(ERP Controls &<br />
GRC Tools)<br />
• Implementierung von Maßnahmen zum Business<br />
Continuity Management<br />
– Auswahl und Implementierung von Lösungen<br />
zum Wiederanlauf und zur Wiederherstellung<br />
– Implementierung eines Testprogramms zur regelmäßigen<br />
Überprüfung der Effektivität der Maßnahmen zum Thema<br />
Business Continuity<br />
– Durchführung von Trainings- und<br />
Awareness-Programmen<br />
• Aufrechterhaltung der Business-Continuity-<br />
Maßnahmen<br />
– Implementierung von Prozessen zur laufenden Bewertung<br />
und Optimierung des Business-Continuity-Programms<br />
– Durchführung regelmäßiger Schwachstellenanalysen<br />
zur Absicherung der erreichten Business-Continuity-Ziele<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
26<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Einordnung des <strong>Berechtigungskonzept</strong> im Rahmen der IT GRC<br />
27<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Was ist Corporate Governance?<br />
• Schlagwort des vergangenen Jahrzehnts, sowohl in Wirtschaft als auch Politik<br />
• Schlägt sich nieder in zahlreichen Kodizes, Richtlinien, Unternehmensregeln<br />
• Es gibt nicht die allgemein gültige Definition für Corporate Governance<br />
• Forschung und Praxis haben bis dato keine Einigung über die Ausgangspunkte<br />
erreicht<br />
• Es kommt auf den Blickwinkel der jeweiligen Person oder Organisation an<br />
• Praxisorientierte Sicht verwendet folgende Definition<br />
28<br />
– Corporate Governance ist der Ordnungsrahmen für die zielgetreue, verantwortungsvolle<br />
und gesetzeskonforme Leitung und kontrollierende Steuerung des Unternehmens. Im<br />
Allgemeinen befasst sich Governance mit der Festlegung, Überwachung und Kontrolle<br />
der übergeordneten, strategischen Entscheidungen und der Handlungen des Top-<br />
Managements, um diese zu erreichen. Diese Steuerung des Unternehmens wird vor<br />
allem durch die Definition von unternehmensweiten Regeln und Richtlinien, die<br />
Leistungsmessung und-überwachung sowie die Kommunikation und Publikation<br />
betriebsrelevanter Informationen erreicht (siehe Hönisch et al, Corporate Governance in<br />
Deutschland – Entwicklungen und Trends vor internationalem Hintergrund, 2005)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Elemente der Corporate Governance<br />
29<br />
• Unabhängigkeit<br />
• Haftung<br />
Anteilseigner<br />
• Schutz<br />
• Rechte<br />
• Beteiligung<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Corporate<br />
Governance<br />
• Unabhängigkeit<br />
• Haftung<br />
• Entlohnung<br />
Abschlussprüfer Überwachungsorgane<br />
Organisatorische Aspekte<br />
Top Management<br />
• Interne Kontrollen und Risikomanagement<br />
• Transparenz und Verfügbarkeit relevanter<br />
Informationen<br />
• Zuordnung von Befugnissen<br />
• Verantwortung<br />
• Unabhängigkeit<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Fakten die Sie über Corporate Governance wissen<br />
sollten<br />
• Externe und interne Corporate Governance<br />
30<br />
– Interne CG richtet sich auf Beziehungen und Zusammenwirken der Unternehmensorgane<br />
(z.B. Vorstand und Aufsichtsrat)<br />
– Externe CG umfasst rechtliche Verknüpfungen des Unternehmens mit seinem Umfeld<br />
(z.B Aktionäre, Lieferanten, Öffentlichkeit)<br />
• Modewort spielt deshalb eine so große Rolle, weil nationale und internationale<br />
Krisen (z.B. aktuelle Finanzkrise) und Zusammenbrüche von Großunternehmen<br />
zu einem massiven Vertrauensverlust und steigendem Transparenzbedarf<br />
geführt hat<br />
• Die Einführung einer guten Corporate-Governance-Struktur soll diesem<br />
Vertrauensverlust mit verstärkten Offenlegungspflichten und Einblick in die<br />
Unternehmensprozesse entgegenwirken.<br />
• Folgende Aspekte zeichnen gute Corporate Governance aus<br />
– Steigerung der Qualifikation und Unabhängigkeit von Aufsichtsrat und Abschlussprüfer<br />
– Erweiterung der Informations-und Offenlegungspflichten gegenüber dem Aufsichtsrat und<br />
der Öffentlichkeit<br />
– Klare Definierung der Anreiz- und Vergütungssysteme<br />
– Eingrenzung der Interessenkonflikte und Eigengeschäfte<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Herausforderung Corporate Governance für<br />
multinationale Unternehmen<br />
• Wachstum durch Akquisitionen<br />
31<br />
– Führt häufig zu einem Nebeneinander nicht aufeinander abgestimmter Prozesse und<br />
Systeme<br />
– Bringt unterschiedliche Unternehmenskulturen zusammen<br />
• Heterogenes Portfolio<br />
– Wettbewerbsumfeld der Geschäftsbereiche ist sehr unterschiedlich<br />
– Unterschiedliche Businessmodelle führen zu unterschiedlichen Prozess-, Kontroll- und<br />
Risikostrukturen<br />
– Komplexe konzerninterne Liefer- und Leistungsverflechtungen<br />
• Dezentrale Strukturen<br />
– Konflikt zwischen dezentraler unternehmerischer Freiheit/ Verantwortung und zentraler<br />
Standardisierung/ Kontrolle<br />
• Anhaltender Ergebnisdruck<br />
– Kommunikation von Fehlentwicklungen / Risiken erfolgt erst, wenn sie sich nicht mehr<br />
verbergen lassen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Was ist Risikomanagement?<br />
• Unternehmen müssen sich mit ihren unternehmensbezogenen Risiken<br />
auseinandersetzen<br />
• Definition Risikomanagement<br />
32<br />
– Risikomanagement ist ein Prozess und umfasst Tätigkeiten, die dazu dienen, Risiken zu<br />
identifizieren, zu dokumentieren, zu analysieren und vor allem Maßnahmen zu ergreifen,<br />
um diese Risiken zu reduzieren. <strong>Das</strong> Risikomanagement bezieht sich vor allem darauf,<br />
dass die Durchführung und die korrekte Abwicklung dieser Maßnahmen regelmäßig<br />
überwacht werden. Der Risikomanagementprozess wird entweder vom Vorstand, dem<br />
Management oder anderen Mitarbeitern initiiert und muss in der Strategiedefinition und<br />
über alle Unternehmenshierarchien hinweg etabliert werden (siehe Commitee of<br />
Sponsoring Organizations of the Tready Commission, Enterprise Risk Management.<br />
Executive Summary Framework, 2004)<br />
• Risikmanagement dient vor allem dazu, die Unternehmensziele zu erreichen<br />
• Es gibt vier verschiedene Kategorien von Zielen<br />
– Strategische Ziele<br />
– Operative Ziele<br />
– Reporting Ziele<br />
– Compliance Ziele<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Was ist Compliance?<br />
• Ein weiteres wichtiges Schlagwort ist die Compliance eines Unternehmens<br />
• Womit soll ein Betrieb compliant (=konform) sein?<br />
• Hängt im wesentlichen davon ab, in welcher Branche das Unternehmen operiert,<br />
welche Betriebsgröße es aufweist und ob es an der Börse notiert ist<br />
• Von diesen Faktoren leiten sich die einzuhaltenden Gesetze, Richtlinien,<br />
Anforderungen und Anforderungsgruppen eines Unternehmens ab<br />
• Begriffsdefiniton<br />
33<br />
– Compliance bezeichnet die Einhaltung sämtlicher Regeln und Standards, von denen ein<br />
Unternehmen betroffen ist. Dabei geht es nicht nur um interne und externe Vorgaben und<br />
Richtlinien, sondern auch um das Einhalten von freiwilligen Verpflichtungen und<br />
Vorschriften (siehe PwC, Governance, Risikomanagement und Compliance:<br />
Nachhaltigkeit und Integration untersützt durch Technologie, 2007)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Governance versus Compliance<br />
• Während Governance sich in erster Linie auf die interne Steuerung und Führung<br />
des Unternehmens konzentriert, fokussiert Compliance verstärkt auf die<br />
Einhaltung von internen Richtlinien und das Außenverhältnis des Betriebs.<br />
Es geht vor allem darum, dass sich das Unternehmen über seine externen<br />
Anforderungen und rechtlichen Vorgaben bewusst wird.<br />
34<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Einfluss der Compliance Anforderungen auf die<br />
unternehmerische Tätigkeit<br />
35<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Compliance Vorschriften im Überblick<br />
• Der angloamerikanische Zugang<br />
• Sarbannes-Oxley Act 2002<br />
36<br />
– War die amerikanische Reaktion auf Bilanzskandale wie Enron und WorldCom<br />
– Ab 2004 verpflichtend für alle Unternehmen die an der amerikanischen Börse notiert sind<br />
• Entwicklungen in Europa<br />
• 8. EU-Richtlinie<br />
– Oktober 2005 wurde die Neuverfassung der 8. EU-Richtlinie vom Rat der Finanzminister<br />
der EU verabschiedet und 2006 veröffentlicht<br />
– Ziel ist es die Wiederherstellung des Vertrauens in die Finanzberichterstattung der<br />
Unternehmen<br />
• Weitere in Deutschland gültige gesetzliche Vorschriften<br />
• BilMoG<br />
– Bilanzrechtsmodernisierungsgesetz (BilMoG) trat im Sommer 2008 in Kraft<br />
– Mit den Bestimmungen werden die Regelungen der 8. EU-Richtlinie in deutsches Recht<br />
umgesetzt<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Compliance Vorschriften im Überblick<br />
• KonTraG, § 91 AktG, § 317 HGB<br />
37<br />
– § 91 Absatz 2 des Aktiengesetzes (AktG) verpflichtet die Vorstände von börsennotierten<br />
Gesellschaften ein Risikomanagement einzurichten und zu dokumentieren. Die<br />
Einführung eines Internen Kontrollsystems ist hier nicht geregelt, gilt aber als Bestandteil<br />
des Risikomanagements<br />
– <strong>Das</strong> Gesetzt zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus<br />
dem Jahr 1988 schreibt vor, dass Abschlussprüfer das Risikofrüherkennungssystem<br />
einer Organisation verpflichtend prüfen müssen.<br />
– Diese Pflicht wird auch im deutschen HGB in § 317 vorgeschrieben<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Was ist ein Internes Kontrollsystem?<br />
• Bei einem Internen Kontrollsystem handelt es sich um sämtliche vom Aufsichtsrat<br />
und/oder der Geschäftsleitung angeordneten Vorgänge, Methoden und<br />
Kontrollmaßnahmen, die dazu dienen, einen ordnungsgemäßen Ablauf des<br />
betrieblichen Geschehens sicherzustellen. Die organisatorischen Maßnahmen<br />
der internen Kontrolle sind in die Betriebsabläufe integriert, d.h. sie erfolgen<br />
arbeitsbegleitend oder sind einer Arbeitstätigkeit unmittelbar vor- oder<br />
nachgelagert.<br />
• Die interne Kontrolle wirkt unterstützend bei:<br />
38<br />
– Der Erreichung der geschäftspolitischen Ziele durch eine wirksame und effiziente<br />
Geschäftsführung<br />
– Der Einhaltung des Geschäftsvermögens<br />
– Der Verhinderung, Verminderung und Aufdeckung von Fehlern und Unregelmäßigkeiten<br />
– Der Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung<br />
– Der zeitgerechten und verlässlichen finanziellen Berichterstattung<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Beispiele für gültige Anforderungen an<br />
Interne Kontrollen<br />
• “The Chairman of the Board of Directors shall report on (…) the internal control<br />
procedures established by the company (…)” (French Financial Security Act)<br />
• “(..) an internal revision department has to be implemented or outsourced to an<br />
adequate institution. The revision plan and mayor results have to be reported (…)<br />
at least once a year.” (Austrian Corporate Governance Code)<br />
• “(…) non-executive directors (…) should satisfy themselves on the integrity of<br />
financial information and that financial controls (…) are robust and defensible.”<br />
(Combined Code on Corporate Governance - UK)<br />
• “The management board shall have a good internal risk management and control<br />
system.” (The Dutch Corporate Governance Code)<br />
• “Mechanisms of control established to assess, mitigate or reduce the company’s<br />
main risks should also be disclosed.” (The Aldama Report - Spain)<br />
• “The board of management is responsible for an adequate risk management and<br />
control management within the company.” (German Corporate Governance<br />
Code)<br />
39<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>Das</strong> kommt auf die Unternehmen zu – Anforderungen<br />
bei der Abschlussprüfung<br />
• Stärkerer Fokus auf das interne Kontrollsystem<br />
40<br />
– Identifikation von Risikobereichen für den Jahresabschluss<br />
– Identifizieren wichtiger Kontrollen<br />
– Überprüfung, ob durch die Kontrollen die richtigen Risiken adressiert sind<br />
– Überprüfung der Kontrollen auf Funktionsfähigkeit<br />
– Prüfung der General Computer Controls<br />
• Kritische Durchsicht des Buchungsstoffes – Journal Entry Testing<br />
– Identifizieren kritischer Bereiche<br />
– Datenabzug aus dem Buchführungsystem<br />
– Durchführen von Standardtests und individuellen Tests<br />
– Übergabe von Verdachtsfällen an Revision, Management oder Aufsichtsgremien<br />
• Kritisches Hinterfragen der Einstellung des Managements zu Fraud (z.B.<br />
Management Override) sowie der eingeführten Maßnahmen zur Fraud-<br />
Prophylaxe<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Themenfelder der IT Compliance (1)<br />
• Wirksamer Schutz der IT-Systeme gegen Angriffe von innen und von außen.<br />
• Informations- sowie Dokumentationspflichten durch und mit Hilfe der IT als<br />
ausreichende Basis für die Unternehmenslenkung sowie um die gesetzlichen<br />
Berichts- und Dokumentationspflichten zu erfüllen.<br />
• Einhaltung von Sorgfaltsanforderungen, wie sie sich aus dem GmbH-Gesetz<br />
(GmbHG) und dem Aktiengesetz (AktG) ergeben (unter anderem aus den<br />
Paragrafen 43 GmbHG sowie 93 und 116 AktG).<br />
• Rechtskonformität von IT-Systemen: Betriebslizenzen müssen vorliegen. Wenn<br />
z.B Software ohne Nutzungsvereinbarung betrieben wird, verstößt man gegen<br />
das Urheberrecht, was sogar strafrechtlich relevant sein kann.<br />
41<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Themenfelder der IT Compliance (2)<br />
• Einhaltung von datenschutzrechtlichen Bestimmungen: z.B. Vorgaben zur<br />
Auftragsdatenverarbeitung oder zur Unversehrtheit und Vertraulichkeit von<br />
persönlichen Daten.<br />
• GoB, GoBS: Archivierung von Dokumenten. Während der gesetzlichen<br />
Aufbewahrungsfristen müssen z.B. "Geschäftsbriefe" gemäß den "Grundsätzen<br />
ordnungsgemäßer Buchführung" (GoB) und den "Grundsätzen<br />
ordnungsgemäßer DV-gestützter Buchführungssysteme" (GoBS) gespeichert<br />
werden.<br />
• GDPdU: Auf Anfrage des Steuerprüfers müssen die Unternehmen ihre<br />
steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen.<br />
42<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Compliance Relevante Fragestellungen für den CIO<br />
• Werden die relevanten Systeme ordnungsgemäß betrieben?<br />
• Sind ERP-Systeme ordnungsgemäß eingerichtet und können von ihnen<br />
buchhalterische Informationen verlässlich bezogen werden?<br />
• Kann die interne Revision adäquat IT-Prüfungen durchführen?<br />
• Sind eingesetzte IT-Systeme und –Prozesse nach anerkannten Rahmenwerken<br />
(z.B. CobiT, ITIL) zertifiziert?<br />
• Kann die Ordnungsmäßigkeit und Verlässlichkeit von finanzrelevanten<br />
Anwendungen bestätigt werden?<br />
• Werden Prozesskontrollen und SoD-Kontrollen in Prozessen zuverlässig<br />
unterstützt?<br />
• Werden Möglichkeiten zur automatischen Überwachung von Kontrollen genutzt?<br />
43<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
IT als integraler Governance-Bestandteil<br />
• IT Governance ist integraler Bestandteil der Corporate Governance Struktur<br />
• Diese umfaßt alle Führungs- und Organisationsstrukturen, sowie Prozesse die<br />
die Einhaltung von Strategie und Unternehmenszielen unterstützen und<br />
vorantreiben<br />
• IT-Lösungen müssen auf die Strategie ausgerichtet werden<br />
• Wichtigsten Ziele einer IT-Governance sind<br />
44<br />
– Nutzen generieren<br />
– Kosten/Nutzen-Überlegungen im IT-Bereich<br />
– Strategische Ausrichtung der IT-Lösungen<br />
– Unternehmen müssen ihre IT-Systeme und Prozesse immer im Hinblick auf die Strategie<br />
anschauen<br />
– Risikomanagement<br />
– Risiken müssen erhoben und überwacht werden z.B. Notfallkonzepte<br />
– Ressourcenmanagement<br />
– Optimale Einsetzung von knappen Ressourcen wie Mitarbeiter, Kapital und IT-Kapazitäten<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Standards und Regelwerke für die Umsetzung von<br />
IT-Governance in der Praxis<br />
• Control Objectives for Information and Related Technology (CobiT)<br />
45<br />
– Ist das international anerkannte Rahmenwerk zur IT Governance<br />
– Wurde erstmals 1994 entwickelt und wird vom IT Governance Institute laufend<br />
fortgeschrieben und liegt seit 2007 in Version 4.1 vor<br />
• ISO 17799 (seit Mitte 2007: ISO/IEC 27002:2005)<br />
– Ausgangspunkt für alle IT-Maßnahmen umfasst die Themenbereiche Datenschutz und<br />
die Sicherheit von personenbezogenen Daten, Daten des Unternehmens und seiner<br />
Geschäfsttätigkeit, Daten an denen das Unternehmen Rechte hat<br />
– 127 Kontrollziele werden beschrieben, die in zehn Bereiche unterteilt sind<br />
– Sicherheitspolitik (z.B. Benutzung des Internets)<br />
– Sicherheitsorganisation (z.B. Kontrolle der Sicherheit in Bereichen, die an Dritte ausgelagert sind)<br />
– Schutz von Vermögen (z.B. sensible Daten müssen vor Brand geschützt werden)<br />
– Personenbezogene Sicherheit (z.B. Missbräuchliche Verwendung von Daten)<br />
– Physischer Zugriffsschutz (z.B. physischer Zugriff der Serverräumlichkeiten)<br />
– Notfallkonzept und Wiederanlaufpläne (z.B. Notfallkonzept im Bereich der <strong>SAP</strong>-Systemlandschaft)<br />
– Management von Computern und Netzwerken (z.B. Regelungen für die Datensicherheit)<br />
– Logischer Systemzugriff (z.B. Sicherheit der Nutzung von mobilen Geräten)<br />
– Programmentwicklung und Systemwartung (z.B. Namenskonventionen bei Kundenprogrammen)<br />
– Compliance (z.B. regelmäßige IT-Audits stellen sicher das Gesetze nicht verletzt werden)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Standards und Regelwerke für die Umsetzung von<br />
IT-Governance in der Praxis<br />
• IT Infrastructure Library (ITIL)<br />
46<br />
– Umfasst eine Sammlung von Büchern, die eine Umsetzung eines IT-Service-<br />
Managements beschreibt<br />
– Derzeit gültige Version 3 besteht aus folgenden Kernelementen<br />
– Servicestrategie<br />
– Serviceentwurf<br />
– Serviceüberführung<br />
– Servicebetrieb<br />
– Kontinuierliche Selbstverbesserung<br />
– Im Vordergrund von ITIL steht die IT als Dienstleister<br />
– Sicherstellung von Service Levels durch die IT-Abteilung<br />
• Internal Control – Integrated Framework (COSO I)<br />
– Ist das bekannteste Rahmenwerk für die Einführung eines Internen Kontrollsystems<br />
– Abkürzung für Committee of Sponsoring Organizations of the Treadways Commission<br />
– Fünf Bestandteile sind die Erfolgskriterien für die Einführung eines Internen<br />
Kontrollsystems<br />
– Control Environment (= Kontrollumfeld)<br />
– Kultur von Integrität, Ethik, sozialer und fachlicher Kompetenz muss vorhanden sein<br />
– Begründet die Basis für alle anderen COSO I Bestandteile<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Standards und Regelwerke für die Umsetzung von<br />
IT-Governance in der Praxis<br />
• Internal Control – Integrated Framework (COSO I)<br />
47<br />
– Fünf Bestandteile sind die Erfolgskriterien für die Einführung eines Internen<br />
Kontrollsystems<br />
– Risk Assessment (= Risikobeurteilung)<br />
– Unter Risiken versteht man Ereignisse die das Unternehmen davon abhalten ihre Ziele zu erreichen<br />
– Ziele für IT sollten formuliert werden<br />
– IT-Risikomanagement einführen<br />
– Control Activities (= Kontrollaktivitäten)<br />
– Überlegungen für IT, welche Kontrollen geeignet sind, damit das Risiko des Datenverlustes verhindert werden<br />
– Information and Communication (= Information und Kommunikation)<br />
– Ständiger Informationsaustausch<br />
– IT muss Geschäftsführer, Abteilungsleiter und Mitarbeiter über laufende IT-Projekte informieren<br />
– Monitoring (= Überwachung=<br />
– Einhaltung von Kontrollmaßnahmen muss regelmäßig überprüft werden<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
CobiT als Rahmenwerk für IT Governance<br />
• Rahmenwerk untergliedert die IT-Aufgaben eines Unternehmens<br />
in Prozesse und Steuerungsvorgaben<br />
• Guter Leitfaden für den IT-Bereich, Revisoren und Management<br />
• Verknüpfung von Maßnahmen und IT-Zielen werden aufgezeigt<br />
• Steuerung der IT-Prozesse wird erläutert<br />
• 34 IT-Prozesse die in vier Bereiche unterteilt sind<br />
48<br />
– Planung und Organisation<br />
– Beschaffung und Einführung<br />
– Auslieferung und Unterstützung<br />
– Überwachung und Bewertung<br />
• Rahmenwerk beschreibt für 34 Prozesse<br />
– den Prozessablauf<br />
– wesentliche Aktivitäten und Messgrößen<br />
– Steuerungsvorgaben, Aufgaben und Zuständigkeiten<br />
• CobiT beinhaltet auch Reifegradmodell für typischen Ausprägungen eines<br />
Prozesses (0 bis 5 Reifegradstufen)<br />
– Stufe 5 „Optimized“/Stufe 0 „nicht existent“<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Der CobiT 4.1 Würfel<br />
49<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
• IT-Prozesse<br />
• 4 Domains<br />
• 34 Prozesse<br />
• 215 Kontrollziele<br />
• Informationskriterien<br />
• Effektivität (Q)<br />
• Effizienz (Q)<br />
• Zuverlässigkeit (O)<br />
• Compliance (O)<br />
• Vertraulichkeit (S)<br />
• Verfügbarkeit (S)<br />
• Integrität (S)<br />
• IT-Ressourcen<br />
• Personal<br />
• Anwendungen<br />
• Infrastruktur<br />
• Daten<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
CobiT – Ausgewählte Steuerungsvorgaben in Bezug<br />
auf das <strong>Berechtigungskonzept</strong><br />
• Sicherstellen von Systemsicherheit: <strong>Das</strong> Unternehmen muss die Sicherheit<br />
seiner IT-Systeme sicherstellen, um die Geschäftsanforderungen zu erfüllen.<br />
Hauptziel ist es dabei, Informationen und Daten vor unberechtigter Verwendung,<br />
Änderung oder Beschädigung bzw. Verlust zu schützen. Die Einführung von<br />
logischen Zugriffskontrollen ist daher notwendig: Ein Zugriff auf Systeme, Daten<br />
und Programme soll nur auf berechtigte Personen beschränkt werden. Daher<br />
müssen folgende Themen berücksichtigt werden:<br />
• Anforderungen und Richtlinien an den Datenschutz<br />
• Berechtigungen, Authentifizierung und Zugriffschutz erfordern z.B. eine Arbeitsanweisung für die Berechtigungsvergabe,<br />
die festlegt, wie Benutzerkonten angefordert, herausgegeben, suspendiert und geschlossen werden müssen<br />
• Die eindeutige Identifikation von Benutzern und Berechtigungsprofilen sollte durch laufende Änderungen der Passwörter<br />
und das Verbot von Mehrfachanmeldungen von Benutzern über interne Richtlinien gesichert werden.<br />
• Instrumente zur Überwachung und Einhaltung rechtlicher Erfordernisse, Einbruchsversuche und Berichterstattung sind<br />
notwendig<br />
• Eine regelmäßige Überprüfung der Benutzerkonten soll ermöglicht werden (z.B. soll das Management einen<br />
Kontrollprozess einführen, der sicherstellt, dass bestehende Zugriffsrechte periodisch überprüft werden).<br />
• Die Berichterstattung zu Verstößen und Sicherheitsaktivitäten sichert die Einhaltung der getroffenen Maßnahmen. (Zum<br />
Beispiel kann eine IT-Sicherheitsadministration gewährleisten, dass regelmäßige Verstöße protokolliert, gemeldet,<br />
überprüft und bei Bedarf auch eskaliert werden. )(siehe CobiT, 2007)<br />
50<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Anforderungen an das Benutzer und<br />
<strong>Berechtigungskonzept</strong> (Quelle: CObiT)<br />
Identity Management (Identitätsmanagement)<br />
• Alle (internen, externen, temporären) Benutzer und ihre Aktivitäten auf IT-<br />
Systemen sollten eindeutig identifizierbar sein.<br />
• Benutzerberechtigungen für die Systeme und Daten sollten mit festgelegten und<br />
dokumentierten Geschäftsbedürfnissen und Arbeitsplatzanforderungen<br />
übereinstimmen.<br />
• Benutzerberechtigungen werden durch das Management des Fachbereichs<br />
angefordert, durch die Systemeigner bewilligt und durch die<br />
sicherheitsverantwortliche Person implementiert.<br />
• Benutzerkennungen und Zugriffsberechtigungen werden in einer zentralen<br />
Datenbank geführt.<br />
• Kostengünstige technische und organisatorische Maßnahmen werden eingesetzt<br />
und aktuell gehalten, um die Benutzeridentifikation zu ermitteln, die<br />
Authentisierung einzurichten und Zugriffsrechte durchzusetzen.<br />
51<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Anforderungen an das Benutzer und<br />
<strong>Berechtigungskonzept</strong> (Quelle: CObiT)<br />
User Account Management (Benutzerkonten)<br />
• Sicherstellung, dass Antrag, Einrichtung, Ausstellung, Aufhebung, Änderung und<br />
Schließung von Benutzerkonten und zugehörige Benutzerberechtigungen durch<br />
die Benutzerkontenverwaltung behandelt werden.<br />
• Ein Freigabeverfahren sollte sicherstellen, dass Zugriffsberechtigungen durch<br />
Daten- oder Systemeigner bewilligt werden.<br />
• Diese Verfahren sollten für sämtliche Benutzer, einschließlich Administratoren<br />
(privilegierte Benutzer), interne und externe Benutzer, für normale und für<br />
Notfalländerungen Gültigkeit haben.<br />
• Rechte und Pflichten in Zusammenhang mit dem Zugriff auf Unternehmenssysteme<br />
und - informationen sollten vertraglich für alle Arten von Benutzer<br />
festgelegt werden.<br />
• Es sind regelmäßig Management-Reviews aller Benutzerkonten und<br />
entsprechender Berechtigungen durchzuführen.<br />
52<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>Das</strong> unternehmensweite IKS hat auf drei Ebenen<br />
Auswirkungen auf die IT:<br />
53<br />
Entity Level Controls:<br />
•<strong>Das</strong> Management legt Unternehmensziele fest und definiert Richtlinien.<br />
•Die Kontrollumgebung der IT wird durch diese Vorgaben und Richtlinien beeinflusst.<br />
Business Process<br />
Finance<br />
Executive<br />
Management<br />
Business Process<br />
Manufacturing<br />
Business Process<br />
Logistics<br />
Business Process<br />
Etc.<br />
IT Services OS/Data/<br />
Telecom/Continuity/Networks<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Application Controls:<br />
•Kontrollen auf spezifische Geschäftsaktivitäten angewandt.<br />
•Kombination von manuellen Kontrollen und automatisierten<br />
Abwendungs-Kontrollen.<br />
•Liegen hinsichtlich ihrer Festlegung und Ausführung in<br />
Verantwortung der Fachbereiche<br />
•Design und Entwicklung der Application Controls benötigt die<br />
Unterstützung der IT.<br />
IT General Controls:<br />
•Um die Geschäftsprozesse zu unterstützen, bietet die IT Services an, die üblicherweise in mehreren<br />
Geschäftsprozessen verwendet werden.<br />
•Die in allen IT-Services angewandten Controls werden als IT General Controls bezeichnet.<br />
•<strong>Das</strong> verlässliche Funktionieren dieser IT General Controls ist notwendig, damit Verlass auf die<br />
Anwendungskontrollen ist.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Kontrollen im ERP Umfeld<br />
54<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
March 2007, Best Practices “Segregation Of Duties:<br />
A Building Block For Enterprise IT Controls”<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Kontrollmöglichkeiten im Geschäftsprozess<br />
55<br />
Kontrollarten Kontrollzeitpunkt<br />
Manuell<br />
• Manuelle Freigaben<br />
• Abgleichungen<br />
• Manuelles Berichtswesen<br />
• Papier – basierte Kontrollen<br />
Automatisch<br />
• Inhärente Kontrollen (z.B.<br />
Plausibilitäts-Checks)<br />
• Zugangskontrollen<br />
• Zugriffskontrollen<br />
• Funktionstrennung („SOD“)<br />
• Konfigurierbare Kontrollen<br />
(z.B. <strong>SAP</strong> Customizing)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Präventiv<br />
• SoD Prüfung beim<br />
Vergabeprozess<br />
• Konfigurierbare Kontrollen z.B.<br />
3-way-match oder credit limit<br />
Prüfungen<br />
Detektiv (überwachend)<br />
• Kontrolle der<br />
Geschäftstransaktionen<br />
• Überwachung der<br />
Funtionstrennung<br />
• Überwachung von<br />
konfigurierbaren Kontrollen<br />
• Risikoeinschätzung<br />
• Auswertung von Stichproben<br />
Überwachungssoftware<br />
kann in verschiedenen<br />
Anwendungsbereichen<br />
eingesetzt werden:<br />
• Als ‚wichtige‘ Kontrolle<br />
um Kontrollziele zu<br />
ereichen, oder<br />
• um die Effektivität von<br />
bestehenden ‚wichtigen‘<br />
Kontrollen zu überwachen<br />
(vor- & nachgelagert)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Stammdatenkontrollen<br />
Prozesskontrollen<br />
Beispielprozess: Bestellung – Buchung - Zahlung<br />
Bestellanforderung<br />
Unternehmenskontrollen<br />
nachgelagerte<br />
Kontrollen<br />
56<br />
Angebot<br />
Angebotsprüfung<br />
Lieferanten Bestellartikel Konditionen<br />
Lieferant, Artikel<br />
freigegeben<br />
Bestellung<br />
Bestellung<br />
Auftragserteilung<br />
Konditionen<br />
eingehalten<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Bestellüberwachung<br />
Bestellungsmenge<br />
=<br />
Liefermenge<br />
Abteilung/Kostenstellen<br />
Budgetüber- / -<br />
unterschreitung<br />
Anschrift / Firma<br />
korrekt<br />
Lieferschein Rechnung Buchungsbeleg<br />
Wareneingang<br />
Wareneingang<br />
=<br />
Rechnung<br />
Warengruppe<br />
Abweichung vom<br />
Vorjahr / Budget<br />
Firmen- /<br />
Adressdaten<br />
Rechnungsprüfung<br />
Kontrolle Stammdatenänderung<br />
Buchung<br />
=<br />
Rechnung<br />
Bankverbindung<br />
Bankverbindung<br />
korrekt<br />
Buchungserfassung<br />
Lieferant<br />
Abweichung vom<br />
Vorjahr / Budget<br />
Zahlungsliste<br />
Zahlungsvorschlag<br />
Buchung =<br />
Rechnung =<br />
Zahlung<br />
Lieferant /<br />
Warengruppe<br />
Dominanz<br />
Lieferantenbewertung<br />
Zahlungsbeleg<br />
Auftragssplitting Daueraufträge Manuel. Zahlungen Fragw. Lieferanten<br />
IT Application Controls / IT General Controls<br />
Zahlungsausgang<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Funktionstrennung – Segregation of Duties<br />
• Bei der Zuständigkeits- bzw. Verantwortungsregelung ist das Prinzip der<br />
57<br />
Funktionstrennung zu beachten.<br />
• Funktionstrennungen stellen sicher, dass eine Person nicht zu viel Kontrolle über<br />
eine Geschäftsprozess erlangt<br />
• Ein wichtiger Bestandteil eines effektiven und nachhaltigen internen<br />
Kontrollsystems ist die Umsetzung und Überwachung der Funktionstrennungen<br />
• Funktionstrennung vermeidet unbeabsichtigte Fehler und erschwert beabsichtige<br />
betrügerische Handlungen<br />
• Ist eine Funktionstrennung nicht möglich bzw. wirtschaftlich nicht zumutbar, so<br />
sind weitere organisatorische Kontrollen in angemessener Form notwendig.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Control Inputs<br />
Elemente der Funktionstrennung<br />
58<br />
SOD Conflicts<br />
Control<br />
Framework<br />
RBAC<br />
Policies &<br />
Standards<br />
Financial<br />
Systems<br />
User Access<br />
Management<br />
and<br />
Provisioning<br />
Supply<br />
Chain<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Auditing<br />
Compliance Management<br />
Enforcement<br />
(Preventative)<br />
HR CRM<br />
Logging Reporting<br />
Hardware/Operating System/Network Infrastructure<br />
Monitoring<br />
(Detective)<br />
--------------------------<br />
Changes in Controls<br />
Adherence to Rules/Policies<br />
E-Learning<br />
Segregation of Duties Rules and Policies<br />
Databases<br />
Document<br />
Retention<br />
SOD capabilities<br />
and integration<br />
with Security<br />
and Access<br />
Management<br />
Financial and<br />
related<br />
systems,<br />
platforms and<br />
databases –<br />
holds data,<br />
transactions<br />
and records<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Herausforderungen bei der Funktionstrennung<br />
Die Funktionstrennung stellt einen wesentlichen Kontrollmechanismus dar, der<br />
Unternehmen vor zahlreiche Herausforderungen stellt:<br />
• Erstellung eines einheitlichen Regelwerkes (SoD Rule Set) und Identifizierung<br />
59<br />
der relevanten Funktionstrennungsrisiken<br />
• Analyse der Risiken in den Systemen und Auswertung der Ergebnisse<br />
• Bewältigung der Konflikte und Verstöße in Zusammenarbeit mit den<br />
Fachbereichen<br />
• Überwachung der Risiken im Rahmen des Regelbetriebs<br />
• Ständige Anpassung und Optimierung des Regelwerkes resultierend aus einem<br />
dynamischen Umfeld<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Der Zielkonflikt…<br />
• Vollständigkeit<br />
• Richtigkeit<br />
• Zeitgerechtheit<br />
• Vertraulicher Zugriff<br />
• Prüfbarkeit<br />
• Unveränderbarkeit<br />
• Belegbarkeit<br />
• Wirtschaftlichkeit<br />
• Administrierbarkeit<br />
• Funktionsfähigkeit<br />
60<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Anforderungen<br />
Zielkonflikt!<br />
Umsetzung<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Risiken und Kontrollen bei <strong>SAP</strong> Berechtigungen<br />
• Risiko<br />
61<br />
– Es besteht das Risiko einer fehlenden Funktionstrennung bei der Anlage/Änderung von<br />
Kundenstammdaten.<br />
• Kontrolle A<br />
– Die Berechtigung zur Anlage/Änderung und Löschung der Kundenstammdaten ist auf<br />
einen vordefinierten Mitarbeiterkreis eingeschränkt<br />
• Kontrolle B<br />
– Die Funktionen zwischen der Pflege der Kundenstammdaten und der Berechtigung für<br />
Bestellerfassung, Buchung von Warenausgang oder Gewährung von Sonderkonditionen<br />
oder generell Verbuchung von Debitorenbelegen sind im <strong>SAP</strong>-System über das<br />
<strong>Berechtigungskonzept</strong> getrennt.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Risiken und Kontrollen bei <strong>SAP</strong> Berechtigungen<br />
• Risiko<br />
62<br />
– Ein fehlendes <strong>Berechtigungskonzept</strong> führt zur fehlenden Funktionstrennung zwischen<br />
Mitarbeiterstammdaten und Durchführung der Gehaltsabrechnung. Dadurch besteht das<br />
Risiko, dass Änderungen an den Gehaltsdaten im Infotyp 0008 vorgenommen werden<br />
können, die dann im Anschluss an die entsprechenden Mitarbeiter unkontrolliert<br />
ausgezahlt werden können..<br />
• Kontrolle<br />
– Es wird eine Funktionstrennung zwischen jenen Mitarbeitern die die<br />
Mitarbeiterstammdaten anlegen/ändern können, und jenen Personen, die die<br />
Gehaltsabrechnung ausführen können, eingerichtet. Diese Funktionstrennung wird<br />
jährlich festgelegt und vom Data Owner genehmigt.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Risiken und Kontrollen bei <strong>SAP</strong> Berechtigungen<br />
• Risiko<br />
63<br />
– Mitarbeiter, die das Unternehmen verlassen oder die Kostenstelle wechseln, haben noch<br />
alle bisherigen Berechtigungen im <strong>SAP</strong>-System.<br />
• Kontrolle<br />
– Die IT-Abteilung erhält monatlich die Austrittsliste aller Mitarbeiter und eine Liste<br />
sämtlicher Kostenstellenwechsel. Auf Basis dieser Dokumente werden User durch die IT<br />
gesperrt bzw. alte Berechtigungen nach der Genehmigung durch den Fachbereich<br />
gelöscht.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Risiken und Kontrollen bei <strong>SAP</strong> Berechtigungen<br />
• Risiko<br />
64<br />
– Tätigkeiten und Anpassungen von so genannten Superusern werden nicht überwacht.<br />
Dadurch ergibt sich das Risiko, dass unautorisierte, kritische Änderungen nicht<br />
kontrolliert und nachvollzogen werden können.<br />
• Kontrolle<br />
– Grundsätzlich werden an keinen Mitarbeiter des Unternehmens Superuserrechte<br />
vergeben. Im Ausnahmefall kann ein Notfalluser entsperrt und verwendet werden.<br />
Dessen Tätigkeiten im <strong>SAP</strong>-System werden dann laufend überwacht..<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Vier Phasen der GRC Umsetzung<br />
Damit ein Unternehmen eine risikoorientierte und nachhaltig ausgerichtete<br />
Unternehmensführung erreicht und den Anforderungen der Stakeholder gerecht wird, sollte<br />
es sich an den vier Phasen der Umsetzung orientieren.<br />
65<br />
Analyse<br />
1<br />
Die wichtigsten Aspekte von Governance, Risikomanagement und Compliance fließen in<br />
diese vier Phasen ein.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Design<br />
2<br />
Gestaltung<br />
3<br />
Umsetzung<br />
4<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Analysephase<br />
• Strategische Ausrichtung beachten<br />
66<br />
– Alle externen und internen Anspruchsgruppen müssen identifiziert werden<br />
– Strategische Ausrichtung spielt bei der Auswahl eine wichtige Rolle<br />
– Folgende Stakeholder könnten wichtige Rollen spielen<br />
– Investoren, Kunden, Lieferanten, Geschäftspartner, Industrieverbände, Mitarbeiter, Gemeinden, Verwaltungen,<br />
Öffentlichkeit<br />
• Länder und Märkte spielen eine wichtige Rolle<br />
– In welchen Ländern möchte das Unternehmen tätig sein<br />
– Daraus leiten sich dann regulatorische Anforderungen an die Organisation ab<br />
– Andere Überlegungen sind Unternehmenszukäufe, Eintritt in neue Märkte, geplanter Börsengang<br />
• Bestehende Projekte berücksichtigen<br />
– Welche GRC-Programme bestehen schon im Unternehmen<br />
– Sind Programme und Projekte schon in die Prozessabläufe umgesetzt worden<br />
• Reihung nach Bedarf und Wichtigkeit<br />
– Nach Aufnahme der Anforderungen muss eine Reihung nach Wichtigkeit und Bedarf vorgenommen<br />
werden<br />
• IT-<strong>Berechtigungskonzept</strong> im Fokus<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
1 2 3 4<br />
– An oberster Stelle sollte das Projekt IT-<strong>Berechtigungskonzept</strong>ion u. Funktionstrennung stehen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Designphase<br />
• Konkretisierung der GRC-Projekte<br />
67<br />
– Ziele und Implementierungsstrategien müssen festgelegt werden<br />
– Welche GRC-Integrationen sind möglich<br />
– Welche Schlüsselpersonen übernehmen Verantwortung z.B. für das Risikomanagement<br />
und/oder für die Einhaltung von SOX-Vorschriften<br />
• Unternehmenskultur als Rahmenwerk<br />
– Unternehmensvision und –kultur bilden das Rahmenwerk<br />
– Darauf aufbauend kann eine Unternehmensführung Richtlinien festlegen und Synergien<br />
zwischen Richtlinien nutzen<br />
– Vorschriften sollten formell dokumentiert werden<br />
– Im Anschluss daran sollte eine Anpassung auf operativer Ebene stattfinden, um im<br />
Anschluss in die operativen Prozessabläufe eingebunden zu werden<br />
• Einfache Umsetzung der Maßnahmen<br />
– Strategien zur Implementierung der Vorschriften sollten geschaffen werden<br />
– Maßnahmen müssen relativ einfach und rasch umgesetzt werden<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
1 2 3 4<br />
– Maßnahmen sollten große Wirkung erreichen und dem Unternehmen Nutzen liefern<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Gestaltungsphase<br />
• Verantwortlichkeiten festlegen<br />
68<br />
– Maßnahmen die in Designphase definiert wurden, werden umgesetzt<br />
– Verantwortlichkeiten und Funktionen werden festgelegt<br />
– Kommunikationswege werden eingerichtet<br />
– Einrichtung von zentralen Instanzen, die für alle CRC-Belange zuständig sind<br />
• Informations- und Berichtswege festlegen<br />
– Folgendes sollte bedacht werden<br />
– Welche Informationen werden über welche Berichtswege übermittelt?<br />
– Wann werden diese Informationen übermittelt?<br />
– Wer wird über Ausnahmesituationen informiert<br />
– Wie sind die Eskalationsstufen definiert?<br />
– Technologische Voraussetzungen werden benötigt<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
1 2 3 4<br />
– Folgende Kriterien sind relevant: sichere Datenspeicherung für sensible Daten, einzelne<br />
Anforderungen können gruppiert werden und nach Prioritäten geordnet werden und<br />
Suchfunktionalitäten aufweisen<br />
– Welche technische Unterstützung kann für die Umsetzung der Ziele im<br />
<strong>Berechtigungskonzept</strong> möglich sein<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Umsetzung und Kontinuität<br />
• Umsetzung in operativen Prozessabläufen<br />
69<br />
– Umsetzung des GRC-Rahmenwerks, der GRC-Richtlinien und<br />
Implementierungsstrategie in die operativen Abläufe des Unternehmens<br />
– Organisatorische Richtlinien sollten unter Berücksichtigung der bestehenden Prozesse<br />
und der Aufbauorganisation implementiert werden<br />
– Kontinuierliche Überwachung ist zwingende Voraussetzung<br />
– Einrichtung eines Projektmanagements für alle GRC-Projekte<br />
• Änderungen im Umfeld beachten<br />
– Sicherstellung, dass laufende Änderungen im Umfeld und innerhalb der Organisation<br />
angepasst werden und GRC-Struktur entsprechend angepasst wird<br />
• GRC mit IT-Support umsetzen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
1 2 3 4<br />
– In enger Zusammenarbeit mit der IT-Abteilung muss nun die Auswahl der geeigneten<br />
Software getroffen werden<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
70<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Gründe für die Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
• Neue Systemimplementierung oder Roll-Outs<br />
71<br />
– Neue Niederlassungen erhalten <strong>SAP</strong><br />
• Optimierung der Benutzeradministration, da im aktuellen Konzept:<br />
– Hoher Aufwand für die Zuweisung von adäquaten Zugriffsrechten<br />
– Hoher Supportbedarf für die Benutzeradministration<br />
– Viele Berechtigungsprobleme durch nicht optimal funktionierendes Rollenkonzept<br />
• Neugestaltung der Organisation<br />
– Neues <strong>Berechtigungskonzept</strong> muss Umorganisation unterstützen<br />
• Bereinigung von risikobehafteten Berechtigungen<br />
– Umsetzung von Funktionstrennungen<br />
– Bereinigung von kritischen Zugriffen<br />
– Behebung von Prüfungs- Ergebnissen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Projektziele<br />
• Erhöhung der Informationssicherheit<br />
• Minimierung von Risiken durch unberechtigte Zugriffe<br />
72<br />
– Umsetzung von Funktionstrennungen<br />
– Schutz von kritischen Zugriffen<br />
– Behebung von Prüfungsfeststellungen<br />
• Optimierung der Benutzeradministration<br />
– Effiziente Administrationsprozesse<br />
– Kurze Lösungszeiten von Berechtigungsproblemen<br />
• <strong>Berechtigungskonzept</strong> unterstützt fachliche Anforderungen (Bsp.<br />
Umorganisation)<br />
• Transparenter Aufbau des Zugriffskonzepts<br />
• Klare Definition von Verantwortlichkeiten<br />
• Sicherstellung der Konsistenz über alle Fachbereiche<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Wesentliche Elemente eines <strong>SAP</strong> Zugriffskonzepts<br />
73<br />
<strong>Berechtigungskonzept</strong><br />
-Design entspricht den Anforderungen<br />
-Klare Verantwortlichkeiten<br />
-SOD Konflikte sind geklärt<br />
-Kritische Berechtigungen sind<br />
abgesichert<br />
-aktuelle Dokumentation<br />
Administrations-<br />
Prozesse<br />
-Definiert, genehmigt<br />
-Enthalten notwendige<br />
Kontrollpunkte<br />
-Prozesse werden durch<br />
periodische Kontrollen abgesichert<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Sicherheitsparameter<br />
-Relevante<br />
Sicherheitsparameter sind<br />
definiert und werden im<br />
System überwacht<br />
-Sicherheitskonzept ist<br />
erstellt und genehmigt<br />
Notfallkonzept<br />
-Verwendung der Notfallrechte<br />
wird durch einen Audit trail<br />
kontrolliert<br />
-Zuweisung von Notfallrechten<br />
wird dokumentiert<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Involvierte Parteien<br />
74<br />
SOX/interne Revision<br />
Aufgaben<br />
• Abstimmung der Grundlagen<br />
• Darstellung der<br />
Sicherheitsanforderungen<br />
Definition von Zielen<br />
und Kennzahlen;<br />
Sicherstellen das das<br />
Konzept alle rechtlichen<br />
und Sicherheitsanforderungen<br />
abdeckt<br />
Erfolgsfaktoren<br />
• Müssen in das Projekt involviert<br />
sein, um sicherzustellen, dass<br />
interne und externe Anforderungen<br />
eingehalten werden.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Strategy<br />
Definition<br />
Business<br />
Aufgaben:<br />
• Ansprechpartner Geschäftsprozessanalyse<br />
Erfolgsfaktoren<br />
• Einbeziehung von Prozess- und<br />
Dateneignern von dem Anfang des Projekts<br />
• Allgemeines Verständnis des neuen<br />
Konzepts, damit sichergestellt ist, dass die<br />
Rollen den Anforderungen entsprechen.<br />
Time<br />
Management<br />
Project<br />
Organization<br />
PROJEKT MANAGEMENT<br />
Entscheidungen und<br />
Vermittlung auf<br />
periodischer Basis…<br />
Definition<br />
rules and<br />
standards<br />
… um ein schlankes<br />
Konzept mit allen<br />
Vorteilen zu<br />
erzielen.<br />
Implementierung einer<br />
effektiven Organisation<br />
und Entscheidungsfindungsprozesses<br />
IT Team<br />
Aufgaben<br />
• Pflege Konzept<br />
• Helpdesk<br />
Erfolgsfaktoren<br />
• Starkes und frühes Involvieren,<br />
um Bereitschaft zu generieren,<br />
die Tools und das Konzept<br />
langfristig zu betreuen.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Einordnung des Projekts<br />
• Fachprojekt nicht IT<br />
75<br />
– <strong>Das</strong> <strong>Berechtigungskonzept</strong> schützt die Geschäftsprozesse und die Organisation<br />
– Die einzelnen Rollen und Funktionen werden basierend auf den Geschäftsprozessen und<br />
der Organisation definiert<br />
– Die typischen Revisionsanforderungen erfordern eine detaillierte Prozesskenntnis und<br />
gutes Verständnis der notwendigen Kontrollen<br />
• IT Involvierung (typische Punkte)<br />
– Umsetzung des Konzepts<br />
– Wartung und Pflege<br />
– Rollenowner für IT Rollen<br />
– Owner der prinzipiellen Systemsicherheit<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Zielkonflikte – Ein Beispiel<br />
• Die ideale Rollengestaltung liegt häufig zwischen dem absoluten Minimum und<br />
der sehr weitreichenden Berechtigung.<br />
76<br />
Aufgabenstellung: Prozess erfordert Transaktion ME21N - Bestellung anlegen<br />
Lösungsalternativen:<br />
Rolle 1<br />
ME21N – Bestellung Anlegen<br />
• Zielkonflikte:<br />
– Um eine Bestellung zu verwalten ist sicherlich mehr notwendig, als nur das Anlegen<br />
(Rolle 1 erlaubt nicht einmal Korrekturen)<br />
– Änderung und Anzeige sind innerhalb von <strong>SAP</strong> häufig verschiedene Transaktionen (Rolle<br />
2)<br />
– Zu viele Transaktionen aus dem Umfeld gefährden die Integrität des Prozesses SOD<br />
Konflikte (Rolle 3)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Rolle 2<br />
ME21N – Bestellung Anlegen<br />
ME22N – Bestellung Ändern<br />
ME23N – Bestellung Anzeigen<br />
Rolle 3<br />
XK01 – Anlegen Lieferant<br />
XK02 – Ändern Lieferant<br />
XK03 – Anzeigen Lieferant<br />
ME21N – Bestellung Anlegen<br />
ME22N – Bestellung Ändern<br />
ME23N – Bestellung Anzeigen<br />
MIGO – Wareneingang<br />
MB1B – Umbuchung<br />
MB03 – Belege Anzeigen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
77<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Standard Projekt Phasen und Implementierungs-Ansatz<br />
Überblick<br />
<strong>Das</strong> Aufsetzen eines <strong>Berechtigungskonzept</strong>s erfolgt in 6 standardisierten Projektphasen<br />
78<br />
Analyse<br />
I<br />
(Vision)<br />
Develop<br />
Strategy<br />
II<br />
(Plan)<br />
Jede Projektphase ist bezüglich des Einsatzes von "Good Practice" Methoden und Tools<br />
optimiert worden. Diese Phasen sind unter gewissen Einschränkungen modular aufgebaut,<br />
d.h. lassen sich auch einzeln betrachten.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Design<br />
III<br />
(Design)<br />
Implement<br />
and Test<br />
IV<br />
(Build)<br />
Prepare<br />
Go-Live<br />
(Deliver)<br />
V<br />
Monitor<br />
and<br />
Sustain<br />
VI<br />
´<br />
(Operate)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Analyse<br />
• Ziele<br />
79<br />
– Analyse des existierenden <strong>Berechtigungskonzept</strong>s; Identifizierung von<br />
Verbesserungspotentialen<br />
– Segregation of Duties Übersicht<br />
– Entscheidung über eine Anpassung des Konzepts oder eine Neuaufsetzung<br />
• Aktivitäten<br />
– Idengtifikation der zukünftigen Systemlandschaft und Organisationsstruktur<br />
– Ermittlung der Datengruppen mit dem höchsten Risiko<br />
– Ermittlung von kritischen Transaktionen<br />
– Untersuchung der bestehenden Rollen bezüglich der bestehenden Geschäfts- und<br />
Supportprozesse<br />
– Verwendung der Transaktionen in Rollen überprüfen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II<br />
– Untersuchung der internen und externen Anforderungen (i.e. SOX)<br />
III<br />
IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Analyse - Ergebnisse<br />
Management Letter<br />
80<br />
– Übersicht der aktuell verwendeten Transaktionen<br />
– SOD Probleme<br />
– <strong>SAP</strong> System Sicherheitseinstellungen (Parameter)<br />
– Aktueller Benutzerüberblick<br />
– Übersicht über wieder verwendbare Elemente des <strong>Berechtigungskonzept</strong>s<br />
Transaktionsverwendung<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Canbeused<br />
Is used<br />
I II<br />
SOD Matrix Konflikte<br />
III<br />
IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Beispiele aus der Analysephase<br />
• Auswertung Benutzer<br />
• Sicherheitsparameter<br />
• Auswertung eine SoD Analyse<br />
• Prozessketten<br />
81<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II<br />
III<br />
IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie<br />
• Ziele<br />
82<br />
– Definition oder Anpassung der Zielsetzung und Grundlagen des <strong>Berechtigungskonzept</strong>s<br />
(Security Strategy)<br />
– Evaluierung in wieweit Tools die berechtigungsrelevanten Prozesse unterstützen können<br />
– Etablierung von feststehenden Begriffen für die Berechtigungswelt innerhalb des<br />
Unternehmens<br />
• Aktivitäten<br />
– Definition der Entwicklungsrichtlinien<br />
– Festlegung und Anpassung der Dokumentationsstandards (Unternehmensrichtlinien)<br />
– Projektplanung, um ein strukturiertes Projekt zu ermöglichen<br />
– Definition der SOD-Matrix<br />
– Organisationsmatrix für Rollen und Verantwortlichkeiten im Projekt<br />
– Notfallkonzept<br />
– Identifikation von möglichen Tools<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie - Inhalte I II III IV V VI<br />
• Überblick über das <strong>Berechtigungskonzept</strong> und Festlegung der grundlegenden<br />
Begriffe<br />
• Erklärung der angewandten Technologie und Methodologie<br />
• Festlegen von Namenskonventionen für die einzelnen Bestandteile des Konzepts<br />
• Überblick über die gewünschten Schutzebenen<br />
83<br />
– Organisatorisch (Gesellschaft, Lokation, Einkaufsorganisation)<br />
– Prozessual (Kontengruppe, Belegarten)<br />
• Festlegung von allgemeinen Prozeduren für die Implementierung und<br />
Administration des <strong>Berechtigungskonzept</strong>s<br />
• Beschreibung des Umgangs mit speziellen Rechten, z.B. direkter Zugriff auf<br />
Tabellen und Programme etc.<br />
• Anpassung an interne und externe Richtlinien<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie - Terminologie<br />
84<br />
Organisation<br />
Mitarbeiter<br />
Functional<br />
Job<br />
Role<br />
Technical<br />
Aufgabe<br />
Role<br />
Rechte und<br />
Pflichten<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
1 : n<br />
Organisationseinschränkung<br />
<strong>SAP</strong> Terminologie<br />
Benutzer<br />
Sammelrolle<br />
1 : n<br />
Einzelrolle<br />
1 : n<br />
Transaktion<br />
1 : n<br />
Berechtigungsobjekt<br />
1 : n<br />
1 : n<br />
Definitiert in der<br />
USOBT_C Tabelle<br />
<strong>SAP</strong> Profile<br />
I II III IV V VI<br />
<strong>SAP</strong> Profile<br />
Generator<br />
Feldwerte<br />
(e.g. material type)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie - Ergebnisse I II III IV V VI<br />
85<br />
• Detaillierter Projektplan<br />
• Security Strategie für das<br />
<strong>Berechtigungskonzept</strong><br />
• Dokumentation<br />
• Pflege und Monitoring Konzept<br />
Project Plan and Activity Split<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Administration Process<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie – Beispiel Projektplan<br />
86<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie – Beispiel Namenskonvention<br />
87<br />
Namenskonvention numerisch<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
Sammelrolle YA-CCC-MODAXXX Einzelrolle ZA-CCC-MMNNN<br />
Buchstabe Beschreibung Buchstabe Beschreibung<br />
Y Indikator für Sammelrolle Z Kennzeichen für Einzelrolle<br />
A System A System<br />
P = R/3 P = R/3<br />
A = APO A = APO<br />
B = BW B = BW<br />
E = EBP E = EBP<br />
C = CRM C = CRM<br />
S = SEM S = SEM<br />
CCC Gesellschaft CCC Gesellschaft<br />
MODA Bereichskürzel, z.B. EKG Einkauf MM Modul<br />
XXX Rollen Nummer e.g. EKG022 NNN Zähler für Einzelrollen<br />
Beispiel YP-DS1-FSS049 Beispiel ZP-DS1-MM311<br />
FSS Financial Shared Services MM Materials Management<br />
FSS049 Rollen ID 311 Zähler *<br />
DS1 Gesellschaft 1 DS1 Gesellschaft 1<br />
* 1xx – Sensitive Transaktionen<br />
2xx – Stammdaten<br />
3xx to 8xx – Update Rollen<br />
9xx series – Anzeige Rollen<br />
Profil ZACCCMMNNN<br />
Oder <strong>SAP</strong> Vorschlag<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Strategie - Beispiele I II III IV V VI<br />
Namenskonvention funktional<br />
88<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design<br />
• Ziele<br />
89<br />
– Design der Aufgaben und Jobfunktionen als Grundlage für die Systemumsetzung<br />
– Entwicklung der Rollen und Zugriffsrechte basierend auf dem "need to do" Prinzip<br />
– Identifizierung und Definition der absoluten Schutzebenen des Konzepts<br />
• Aktivitäten<br />
– Analyse und Definition der Rollen innerhalb der Organisation<br />
– Analyse und Definition der Aufgaben innerhalb der Geschäftsprozesse<br />
– Definition der organisations- und prozessbasierten Schutzebenen innerhalb der<br />
einzelnen Funktionen<br />
– Gruppierung der benötigten Elemente für die einzelnen Schutzebenen für die involvierten<br />
Organisationen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design<br />
• Aktivitäten<br />
90<br />
– Identifizierung der einzelnen Prozess- und Rollenowner<br />
– Definition der Rollen und Zugriffsrechte für das Projektteam<br />
– Abstimmung mit der Revision intern/extern<br />
– Abstimmung und Sign off der Ergebnisse<br />
• Tools and Methodik<br />
– <strong>SAP</strong> GRC Access Control Suite<br />
– Lean Role Management – Analyse und Simulation<br />
– MS-Word, MS-Excel, MS-Access<br />
– Role Factory<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design – Empfehlungen (Fortsetzung)<br />
• "So weitreichend wie möglich; so eingeschränkt wie nötig"<br />
• Definition der notwendigen Schutzebenen; möglichst keine generischen<br />
Einschränkungen verwenden, wenn die Elemente kontrolliert werden<br />
• Definition der kritischen Berechtigungen und Transaktionen<br />
• Definition der Funktionstrennungen SOD<br />
• Evaluierung der Benutzerzahlen und Rollen basierend auf der<br />
Unternehmensstruktur<br />
• Grundlegende Berechtigungen für alle Benutzer definieren<br />
• Rollen und spezielle Anforderungen für externe Mitarbeiter festlegen<br />
91 <strong>Das</strong> <strong>SAP</strong> <strong>SAP</strong> Access <strong>Berechtigungskonzept</strong> Controls - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - Optionen<br />
92<br />
One layer function concept<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Two layer function/task concept<br />
I II III IV V VI<br />
One layer task concept<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - One Layer Job Function Concept<br />
• Vorteile<br />
94<br />
– Kleine Anzahl von Rollen<br />
– Zugriffsrechte genau bezogen auf die Job Funktion<br />
• Nachteile<br />
– Unflexibel gegenüber Änderungen (Anpassung der Rolle notwendig)<br />
– SOD Konflikte sind schwer zu identifizieren<br />
– Umstellungen in der Arbeitsumgebung führen zur Anpassung der Rollen<br />
– Hoher Pflegeaufwand<br />
– Wenig transparentes Konzept<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
– <strong>Das</strong> one-layer function Konzept ist sehr unflexibel und die Kontrolle und Anpassung der<br />
Benutzerrechte erfordert einen hohen Pflege und Dokumentationsaufwand.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - Two Layer Job Function/<br />
Task Concept<br />
• Vorteile<br />
96<br />
– Im Fall von Änderungen im Arbeitsablauf können in der Regel einfach Einzelrollen<br />
verschoben werden<br />
– Um einen SOD Konflikt zu entfernen, genügt es eine Einzelrolle aus der Sammelrolle zu<br />
entfernen und in eine andere Rolle einzufügen<br />
– Geringer Test-Aufwand nach dem Test der Einzelrollen können die in verschiedenen<br />
Sammelrollen verwendet werden ohne erneut getestet zu werden<br />
– Hohe Flexibilität dadurch dass vorhandene Einzelrollen schneller zu neuen Sammelrollen<br />
kombiniert werden können<br />
– Hohe Transparenz, durch die Einzelrollen als Bauteile der Sammelrollen<br />
• Nachteile<br />
– Hohe Anzahl an Einzelrollen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
– Wenn Einzelrollen in zu vielen Sammelrollen verwendet werden, ist die Anpassung von<br />
Einzelrollen schwierig, da diese eine Auswirkung auf alle Sammelrollen hat.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - One Layer Task Concept<br />
• Vorteile<br />
98<br />
– <strong>Das</strong> Konzept ist sehr flexibel gegenüber Änderungen in der Organisation<br />
– Geringer Aufwand in der Rollenpflege<br />
– Funktionale Änderungen haben minimale Auswirkungen in den Berechtigungen<br />
– SODs können auf Rollenebene vermieden werden<br />
– Kritische Funktionen können leicht isoliert und kontrolliert werden<br />
• Nachteile<br />
– Hohe Anzahl an Einzelrollen benötigt<br />
– Komplexe Benutzeradministration<br />
– Risiko der Ansammlung von Benutzerrechten existiert<br />
– Keine Standardisierung von Job Funktionen<br />
– Der Aufwand in der Rollenpflege wird zur Benutzeradministration verlagert<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - Auswirkungen<br />
Die Güte des <strong>Berechtigungskonzept</strong>s wirkt sich aus auf den Aufwand in:<br />
• Benutzer Administration<br />
99<br />
– Aufwand für die Erstellung, Pflege und Löschung von Accounts inkl. Zuweisung der<br />
Rollen und täglicher Fehlerbehebung<br />
• Rollenpflege<br />
– Aufwand um die Rollen zu pflegen, Berechtigungen erweitern, Fehlerbehebung<br />
– Aufwand um Prozess und Organisationsänderungen abzubilden<br />
• Behebung von SOD Konflikten<br />
– Aufwand durch die Veränderung der Benutzer – Rollenzuordnung<br />
– Aufwand durch die Modifikation des Rollendesigns<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - Einflussfaktoren<br />
• Die absolute Anzahl an Rollen<br />
100<br />
– Die Anzahl an Rollen die ausgewählt werden kann<br />
• Die Granularität des Business Designs der Rollen<br />
– Die Anzahl an Prozessschritten, die einer Rolle zugeordnet sind<br />
• Die Komplexität des technischen Rollendesigns<br />
– Die technische Komplexität, z.B. Abweichung vom <strong>SAP</strong> Standard<br />
• Der Grad der Lokalisierung des Rollendesigns<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
– Inwieweit sind ähnliche Job Funktionen auf verschiedene Weise Implementiert, um<br />
lokalen Anforderungen zu genügen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - Ergebnisse I II III IV V VI<br />
• Job-Funktion Dokumentation<br />
• Organisations- und Feldwerte Matrix<br />
• Dokumentation der<br />
Role-Owner-Matrix<br />
101<br />
Rollenverantwortlichen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Job-Task-Matrix<br />
Org-Value-Matrix<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Design - Hilfsmittel & Tools<br />
102<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
• Deloitte Role Factory, zur Dokumentation der Rollen und Vorabprüfung der SOD<br />
Konflikte<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
103<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Lean Role Management<br />
Methodiken und Techniken zur Verschlankung von <strong>SAP</strong>-<br />
<strong>Berechtigungskonzept</strong>en
Ursachen komplexer <strong>SAP</strong>-<strong>Berechtigungskonzept</strong>e<br />
105<br />
Zeitmangel<br />
Schnelle Reaktion<br />
Wechselnde Anforderungen<br />
Fehlende Kapazitäten<br />
Vertreterregelungen<br />
Unzureichende Prozesse<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Komplexe<br />
Rollenkonzepte<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Folgen komplexer <strong>SAP</strong>-<strong>Berechtigungskonzept</strong>e<br />
106<br />
Komplexe<br />
Rollenkonzepte<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Anhäufung von Rechten<br />
Keine Funktionstrennung<br />
Unzureichende Prozesse<br />
Fehlende Dokumentation<br />
Nicht revisionsgerecht<br />
Gesetzlich problematisch<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
LRM: Konzeption auf Ebene der Transaktionscodes<br />
107<br />
Extrakte aus Prüfungstools<br />
Vorhandene Rollensets<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Prozesskenntnisse<br />
Notwendige Transaktionscodes pro Rolle?<br />
<strong>SAP</strong>-Menübaum<br />
„Vorgehensmodelle“<br />
<strong>SAP</strong>-Standardrollen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Analyse - Typischer Soll-Ist-Vergleich (pro Benutzer)<br />
109<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
kann genutzt werden<br />
wird genutzt<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Test der Rollensets über Simulationen<br />
Während eines Clean-Ups / Re-Designs:<br />
• Test der schlanken Rollen<br />
• Simulationen der Funktionsfähigkeit<br />
Während einer Konsolidierung:<br />
• Test, ob vorhandene Rollensets aus unterschiedlichen<br />
<strong>SAP</strong>-Systemen miteinander verträglich sind<br />
110<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Vorteile von Lean Role Management<br />
• Design der Rollen erfolgt auf ein gesicherten Grundlage historischer Daten<br />
• Schränkt weder auf Tools für die Umsetzung der Rollen noch deren Prüfung ein<br />
• maximale Flexibilität – das Konzept passt sich dem Kunden an, nicht umgekehrt<br />
• „top-down“-Ansätze (Arbeitsplatzorientiert; Referenzbenutzer) und „bottom-up“-<br />
Ansätze (Baukastenprinzip; Simulationen)<br />
• drastische Minimierung des Aufwands in den betroffenen Fachabteilungen<br />
• Simulation bzw. Test eines Rollensets und der entsprechenden<br />
Benutzerzuordnung<br />
111<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Vorteile von Lean Role Management<br />
• Aussage über die Qualität des Rollensets/der Benutzerzuordnung möglich<br />
• Darstellung und Bewertung des Unterschieds von<br />
112<br />
– „Theorie“ (=Anforderungen der betroffenen Fachabteilungen) und<br />
– „Praxis“ (=tatsächlich ausgeführte Transaktionscodes)<br />
• Erstellung von (benutzerübergreifenden) Rollenvorschlägen für<br />
– Einzelrollen,<br />
– Sammelrollen<br />
• System- und Release übergreifende Zusammenfassung von Rollenkonzepten<br />
durch Konsolidierung der Eingabedateien und/oder Ergebnisdateien<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Einige (Praxis-)Szenarien für Lean Role Management<br />
• Upgrade eines <strong>SAP</strong>-Systems<br />
• Neueinführung eines <strong>SAP</strong>-Systems<br />
• Integration eines <strong>SAP</strong>-Systems<br />
• Migration eines <strong>SAP</strong>-Systems<br />
• Konsolidierung von <strong>SAP</strong>-Systemen<br />
• Clean-Up eines <strong>SAP</strong>-Rollenkonzepts<br />
• Ermittlung von Benutzerzuordnungen<br />
113<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Demo zu Lean Role Management<br />
• LRM Analyse<br />
• LRM Simulation<br />
114<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
115<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Standard Projekt Phasen und Implementierungs-Ansatz<br />
Überblick<br />
<strong>Das</strong> Aufsetzen eines <strong>Berechtigungskonzept</strong>s erfolgt in 6 standardisierten Projektphasen<br />
116<br />
Analyse<br />
I<br />
(Vision)<br />
Develop<br />
Strategy<br />
II<br />
(Plan)<br />
Jede Projektphase ist bezüglich des Einsatzes von "Good Practice" Methoden und Tools<br />
optimiert worden. Diese Phasen sind unter gewissen Einschränkungen modular aufgebaut,<br />
d.h. lassen sich auch einzeln betrachten.<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Design<br />
III<br />
(Design)<br />
Implement<br />
and Test<br />
IV<br />
(Build)<br />
Prepare<br />
Go-Live<br />
(Deliver)<br />
V<br />
Monitor<br />
and<br />
Sustain<br />
VI<br />
´<br />
(Operate)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Implementierung und Test<br />
• Ziele<br />
117<br />
– Realisierung des genehmigten <strong>Berechtigungskonzept</strong>s in den Ziel Systemen<br />
– Umfassende Tests des <strong>Berechtigungskonzept</strong>s<br />
– Abnahme der Tests<br />
• Aktivitäten<br />
– Update der Eigenentwicklungen im Berechtigungswesen (SU24)<br />
– Implementierung der Einzel- und Sammelrollen<br />
– Implementierung des Notfallkonzepts<br />
– Unit Test ,Integrationstest und Abnahmetest der Rollen<br />
– Aufsetzen Testplan<br />
– Verwendung von Testscripts und Testdaten<br />
– Vorbereitung der Testumgebung<br />
– Durchführung der Tests<br />
– Korrekturen<br />
– Dokumentation der finalen Resultate<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Implementierung und Test<br />
Templates Derived Single Roles<br />
Template<br />
Single Role (A)<br />
New Roles<br />
A, B …..<br />
Template<br />
Single Role (B)<br />
118<br />
Derived<br />
Single Role (A)<br />
Derived<br />
Single Role (A)<br />
Derived<br />
Single Role (A)<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Composite Roles<br />
Derived<br />
Single Role (A)<br />
Derived<br />
Single Role (A)<br />
Derived<br />
Single Role (A)<br />
I II III IV V VI<br />
Derived<br />
Single Role (B)<br />
Derived<br />
Single Role (B)<br />
Derived<br />
Single Role (B)<br />
Maintain non-org field values (e.g. Document Types, Movement Types)<br />
Maintain Organizational value sets (e.g. Company Code, Purchase Org.)<br />
Composite<br />
Role<br />
. . .<br />
Composite<br />
Role<br />
. . .<br />
Composite<br />
Role<br />
. . .<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Implementierung und Test<br />
• Testabnahme<br />
• Rollen und Berechtigungen<br />
• Rollendokumentation und Abnahme<br />
• Implementiertes Notfallkonzept (<strong>SAP</strong><br />
GRC FireFighter)<br />
119<br />
Deloitte Role-Factory<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Test Planning and Tracking Tools<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Go-Live Vorbereitung I II III IV V VI<br />
• Ziele<br />
120<br />
– Sicherstellen des ordnungsgemäßen GoLive des neuen <strong>Berechtigungskonzept</strong>s<br />
– Kommunikation der Fall Back Lösung (Notfallkonzept)<br />
– Aufsetzen der Supportprozesse<br />
• Aktivitäten<br />
– Einsammeln der Benutzer – Rollenzuordnung und Genehmigung dieser<br />
– Anlegen der Benutzerstammdaten in der Produktivumgebung<br />
– Zuweisung der neuen Rollen zu den Benutzern in der Produktivumgebung<br />
– Training der Berechtigungsverwalter und der Genehmiger<br />
– Aufsetzen der Genehmigungsverfahren<br />
– Aufsetzen der Support und Eskalationsprozesse<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Go-Live Vorbereitung - Ergebnisse<br />
• Mehrstufiges Notfallkonzept (i.e. <strong>SAP</strong><br />
FireFighter), für die schnelle Reaktion<br />
auf Produktionsprobleme<br />
• Geschulte Administratoren<br />
• Benutzer Rollen Dokumentation<br />
121<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Emergency Concept<br />
I II III IV V VI<br />
User to Role Matrix Emergency User Management (<strong>SAP</strong> FireFighter)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Überwachung und Pflege<br />
• Ziele<br />
122<br />
– Sicherstellen das der Einsatz von Notfallberechtigungen und –nutzern ordnungsgemäß<br />
abläuft<br />
– Sicherstellen das das Konzept eingehalten wird und nicht durch temporäre Bedarfe<br />
aufgeweicht wird.<br />
– Sicherstellen dass die Pflege in der Linienorganisation verstanden und akkurat<br />
durchgeführt wird (Übergabe)<br />
• Aktivitäten<br />
– System Überwachung<br />
– Migrationsberechtigungen<br />
– Einhaltung der Änderungsprozesse<br />
– Buchungen durch die Supportorganisation<br />
– Statistiken zur Verwendung der Benutzer und Rollen<br />
– Übergabe an den Support<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
I II III IV V VI<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Überwachung und Pflege<br />
• Compliance in Echtzeit durch Anwendung von ordnungsgemäßen Support- und<br />
Pflegeprozessen<br />
• SOD Überwachung z.B. durch Einsatz von <strong>SAP</strong> GRC Access Controls<br />
• Funktionierende Prozesse und hohe Transparenz durch neues Rollenkonzept<br />
Automatic detection of SoD violation<br />
123<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
ERP-wide SoD analysis<br />
I II III IV V VI<br />
Transaction logging<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
124<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Lückenlose Compliance –<br />
<strong>SAP</strong>® Sicherheit im täglichen Geschäft
<strong>Berechtigungskonzept</strong><br />
GoLive<br />
126<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Benutzer<br />
Rollen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>Berechtigungskonzept</strong><br />
Nach GoLive<br />
127<br />
Mitarbeiter verlassen<br />
Unternehmen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Wechsel der Abteilung<br />
Neue<br />
Rollen<br />
Neue<br />
Mitarbeiter<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>Berechtigungskonzept</strong><br />
vor Re Design<br />
• Zugriffsrechte nicht mehr transparent verteilt<br />
128<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Lückenlose Compliance - Einflussfaktoren<br />
• Nach der Implementierung des <strong>Berechtigungskonzept</strong>es müssen die damit<br />
implementierten Kontrollen aktuell bleiben<br />
• Folgende Kontrollziele sind zu erfüllen<br />
129<br />
– Zugriff zu den Applikationen ist genehmigt<br />
– Berechtigungen innerhalb der Applikationen sind genehmigt<br />
– Berechtigungen innerhalb der Applikationen erfüllt die Funktionstrennung<br />
– Berechtigungen, die die Integrität anderer Prozesse (z.B. System Change Managment )<br />
gefährden, sind kontrolliert<br />
• Die folgenden Prozesse unterstützen diese Kontrollziele<br />
– Benutzerverwaltung<br />
– Rollenverwaltung<br />
– Periodische Kontrollen<br />
• Diese Prozesse werden in der folgenden Übersicht exemplarisch veranschaulicht<br />
Benutzerverwaltung<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Gezielter Technologieeinsatz bei Kontrollen verringert das Risiko<br />
• Gewöhnlich werden Kontrollen in (un)regelmäßigen Prüfungen (Revision)<br />
überprüft – anschließend werden Verbesserungsmaßnahmen eingeleitet<br />
• Dies bedeutet einen großen Aufwand und das Risiken für gewisse Zeiträume<br />
nicht unter Kontrolle sind<br />
130<br />
Risiko<br />
Prüfung<br />
Zeit<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Prüfung<br />
Prüfung<br />
Permanente (automatische) Überwachung<br />
von Prozessen und Kontrollen<br />
Bisheriger Ansatz<br />
• Stichproben<br />
• Reaktiv<br />
• statistisch Unterlegt<br />
• Manuell<br />
Automatisierter<br />
Ansatz<br />
• Permanent<br />
• Proaktiv<br />
•Umfassend<br />
• Integriert<br />
• Prozessspezifisch<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
AGENDA<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
131<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
GRC – Governance, Risik und Compliance
GRC – Ein neuer Weg!<br />
• Die Anforderungen an die Unternehmensführung- und Kontrolle, das Risiko<br />
Management und die Einhaltung von Gesetzen und Richtlinien steigen stetig:<br />
133<br />
– Verschiedene Gesetzgebungen die für einzelne Unternehmen relevant sind<br />
– Rasante Zunahme der Kosten für die Einhaltung der Vorschriften<br />
– Erhöhte Haftung für Vorstände und Aufsichträte<br />
• Unternehmen müssen die Fähigkeit besitzen, Ihre Ziele innerhalb der<br />
verpflichtenden oder freiwillig auferlegten Grenzen zu erreichen und dabei<br />
souverän mit Hürden und Unsicherheiten umzugehen.<br />
• Mit „Governance, Risk and Compliance„ (GRC), wird ein neuer Weg<br />
eingeschlagen, diese Themenbereiche stärker zu integrierten – mit aufeinander<br />
abgestimmten Aktivitäten und Vorgehensweisen.<br />
• Der Einsatz von Technologie nimmt bei der Umsetzung dieser Vision eine<br />
Schlüsselfunktion ein<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Die Rolle der IT - Governance, Risk & Compliance<br />
• Technologie kann helfen unter Kosten-Nutzenrechnungen Kontrollmaßnahmen<br />
zu automatisieren und damit effizienter zu gestalten.<br />
• Der strategisch durchdachte Einsatz von technischen Hilfsmitteln in einem<br />
umfassenden internen Kontrollsystem schafft mehr Transparenz, die für ein<br />
funktionierendes Compliance Management von entscheidender Bedeutung ist.<br />
• Die eingesetzten IT Werkzeuge müssen für die kritischen Geschäftsprozesse<br />
und für die IT-Gesamtarchitektur des Unternehmens konzipiert sein. Nur so kann<br />
vermieden werden, dass aufwendige und technisch unterstützte Kontrollen in<br />
einem Geschäftsprozess durch manuelle und nur sporadisch erfolgte Kontrollen<br />
in anderen Prozessen ausgehebelt werden.<br />
• IT kann nicht die alleinige Lösung bieten, kann jedoch einen entscheidenden<br />
Beitrag zur Effektivität und Effizienz des unternehmensweit einzusetzenden<br />
Governance, Risk & Compliance Programms ermöglichen.<br />
134<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Integrierter GRC Ansatz<br />
Herausforderungen für die IT<br />
135<br />
• Verringerte Kosten für die Dokumentation<br />
von Kontrollen<br />
• Vermeidung von redundanten Kontrollen<br />
• Verwendung von wiederholbaren<br />
Kontrollen<br />
Erzielte Verbesserungen Zukünftige Optimierungen<br />
• Weniger Nutzung von externer Hilfe<br />
• Verbesserte Koordination und<br />
Kommunikation mit Wirtschaftsprüfern<br />
• Erste Investitionen in „Compliance Tools“<br />
zur besseren Transparenz und Übersicht<br />
• Effektivität der Kontrollen verbessert<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
• Weitere Standardisierung u.<br />
Konsolidierung der Dokumentation<br />
• Bessere Nutzung automatisierter<br />
Kontrollen in den eingesetzten IT<br />
Systemen (Bsp. <strong>SAP</strong> R/3)<br />
• Einsatz von neuer Technologie zur<br />
weiteren Automatisierung von Kontrollen<br />
• Umfassender Einsatz von Benutzer- und<br />
Funktionstrennungskontrollen<br />
• Überwachung von konfigurierbaren<br />
Kontrollen<br />
• Transaktions-Monitoring<br />
• Stammdaten-Monitoring<br />
• Übertragung der Kontrolldurchführung<br />
von der IT in die Fachbereiche<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Anforderungen an ein effektives GRC Tool<br />
Die Grundfunktionen<br />
• GRC Tools werden eingesetzt, um die 3 Schlüsselprozesse im Risikound<br />
Compliance-Management Prozess zu unterstützen, in dem<br />
wesentliche Elemente dieser Prozesse automatisiert werden.<br />
• Bewertung der<br />
Gestaltung und<br />
operativen Wirksamkeit<br />
der Kontrollen<br />
• Ergebnisidentifizierung<br />
• Szenarioplanung und<br />
Sensitivitätsanalyse<br />
136<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
• Dokumentation der Ergebnisse der Kontrollprüfung<br />
• Ergebnisidentifizierung<br />
• Dokumentierung der Prozesse,<br />
Risiken und Kontrollen für<br />
jeden Prozess<br />
• Identifikation und<br />
Dokumentation zugehöriger<br />
Grundsätze, Verfahren und<br />
Systemdokumentationen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Technologie als GRC Erfolgsfaktor<br />
Kategorisierung von GRC Lösungen (1)<br />
1. GRC Management Lösungen*<br />
Risk and Control Framework<br />
(Rahmenwerk zur Steuerung von Risiken<br />
und Kontrollen)<br />
Risk-Management Software<br />
(Risiko Management Software)<br />
<strong>Das</strong>hboarding and Reporting<br />
(Anzeige und Berichtswesen)<br />
Initiative-specific content<br />
(Initiativ-spezifische Inhalte)<br />
* Quelle: AMR Research<br />
137<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Steuerung von Risikomanagement und Compliance-<br />
Aktivitäten innerhalb und außerhalb der Geschäftgrenzen<br />
Diese Applikationen beinhalten die Möglichkeit zur Definition,<br />
Steuerung, Überwachung und Anzeige beliebiger GRC<br />
Programme.<br />
Diese Produkte ermöglichen den Unternehmen die<br />
Identifikation, Bewertung, Kategorisierung und Priorisierung<br />
von Risiken auf der Unternehmensebene sowie auf Ebene der<br />
Geschäftsprozesse.<br />
Instrumente und/oder Applikationen die dem Business die<br />
Nachverfolgung von betriebswirtschaftlichen Kennzahlen<br />
sowie Risikokennzahlen ermöglichen, indem ein einheitlicher<br />
Blick auf den GRC Status und aktueller Leistung zu<br />
vordefinierten Zeiten oder zeitnah erfolgt.<br />
Verschiedene Risiko-/ Compliance-Initiativen verfügen über<br />
vordefinierte Modelle, mit deren Hilfe sich die Steuerung der<br />
jeweiligen Initiative beschleunigen lässt (z.B. SOX Risiken &<br />
Kontrollen; IT Governance Rahmenwerke)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Technologie als GRC Erfolgsfaktor<br />
Kategorisierung von GRC Lösungen (2)<br />
2. GRC Execution*<br />
Access Controls Products<br />
(Access controls Produkte)<br />
Identity Management Products<br />
(Identitätsmanagement Produkte)<br />
Business Process Controls<br />
Products<br />
(Geschäftsprozesskontroll-Produkte)<br />
Audit Testing Tools and<br />
Applications<br />
(Audit-Testing-Tools und<br />
Anwendungen)<br />
Data Security Products<br />
(Produkte für die Datensicherheit)<br />
* Quelle: AMR Research<br />
138<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Überwachung und Einleitung von Maßnahmen zu Risiko und<br />
Compliance Themen die innerhalb des GRC Management<br />
aufgedeckt wurden<br />
Produkte zur automatisierten Überprüfung von Benutzer-/<br />
Berechtigungskontrollen (Bsp. SoD) und zur Identifikation welcher<br />
der Nutzer Zugang zu welchen Daten hat.<br />
Möglichkeit einer zentralen Verwaltung aller Identitäten im<br />
Unternehmen. Enge Verbindung mit AC Produkten möglich.<br />
Produkte, welche einen automatisierte Einhaltung der Kontrollen<br />
und / oder Compliance-Regeln für beliebige Geschäftsprozesse<br />
gewährleisten.<br />
Unabhängige Instrumente und Produkte, mit denen eigene<br />
Mitarbeiter und / oder externe Berater Geschäftstätigkeiten<br />
überwachen können sowie betrügerische Aktivitäten oder<br />
abweichende Geschäftsprozesse identifizieren können.<br />
Produkte zur Entdeckung, Klassifizierung und Durchsetzung<br />
von Kontrollen mit sensiblem Inhalt, in strukturierter und<br />
unstrukturierter Form, einschließlich der persönlich<br />
Informationen, Finanzdaten oder des geistigen Eigentums.<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Technologie als GRC Erfolgsfaktor<br />
Kategorisierung von GRC Lösungen (3)<br />
3. GRC Applications*<br />
* Quelle: AMR Research<br />
139<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Zweckbestimmte Applikationen zur Steuerung von Industrieund<br />
Prozessspezifischer Risiken und Compliance<br />
Unzählige Produkte, welche bestimmte Compliance relevante<br />
Themen behandeln (z.B. Umwelt, Sicherheit und Gesundheit;<br />
Außenhandelsbeziehungen und Zollabwicklung, Coporate Social<br />
Responsibility; Bewertung von Supply Chain Risiken oder<br />
Werkzeuge für IT Risiko Management-Aspekte)<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Fragmentierte Prozesse und Systeme erhöhen das Risiko<br />
Compliance / Risiko Office<br />
punktuelle Risikoanalyse<br />
Einkauf<br />
Lieferantenbewertung,<br />
“schwarze<br />
Listen”<br />
140<br />
Aufsichtsrat, Revision<br />
überwiegend manuelle,<br />
stichprobenhafte und<br />
fehleranfällige Kontrollen<br />
IT<br />
IT Security;<br />
Datenmißbrauch;<br />
Spionage<br />
Supply Chain Customers & Channel<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
SALARIES<br />
Geschäftsleitung<br />
unvollständige<br />
Übersicht über das<br />
Risikoprofil<br />
Finanzen<br />
komplexe, internationale<br />
Compliance-Anforderungen<br />
(bspw.Revenue recognition)<br />
Personal<br />
Arbeitsschutzund<br />
Umweltvorschriften<br />
? Verkauf<br />
Kreditrisiko<br />
Kundenbewertung<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Vertrauensgewinnung durch Transparenz mit <strong>SAP</strong> GRC<br />
141<br />
Aufsichtsrat, Revision<br />
nachprüfbare Entscheidungen<br />
Compliance / Risk Office<br />
integrierte Risikoanalyse<br />
in Echtzeit<br />
IT<br />
Sicherheit in den<br />
IT-Systemen<br />
Einkauf<br />
transparente<br />
Bewertung,<br />
Einhaltung von<br />
Embargos<br />
Supply Chain Customers & Channel<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
SALARIES<br />
Geschäftsleitung<br />
höchste Transparenz<br />
=>maximales Vertrauen<br />
Finanzen<br />
Einhaltung von Richtlinien<br />
für das<br />
Kozernberichtswesen<br />
Personal<br />
Einhaltung von<br />
Gesundheits- und<br />
Sicherheitsrichtlinien<br />
Verkauf<br />
Berücksichtigung<br />
der Kundenbonität<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> Sicht auf eine komplexe Unternehmenswelt<br />
142<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> Lösung um damit umzugehen<br />
143<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> Lösungen für den Finanzbereich<br />
144<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> Solutions for GRC<br />
145<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
• GRC als selbstverständlicher Teil<br />
eines Geschäftsprozesses<br />
• Arbeitserleichterung durch<br />
weitgehende Automatisierung der<br />
Kontrollprozesse<br />
• Unternehmensweit nutzbar durch<br />
offene Architektur<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Risk Management<br />
147<br />
Risiko Identifikation und Analyse<br />
Automatische<br />
Warnungen<br />
Risiko Monitoring<br />
Risk Response Management<br />
Strategieentwicklung<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
…<br />
Methoden und Abläufe<br />
Risikobereitschaft /<br />
Schwellwerte<br />
Risiko-Einschätzungen<br />
• Proaktive Transparenz<br />
Frühwarnsystem aus Key Risk<br />
Indikatoren<br />
• Verbesserte Steuerung der<br />
Geschäftsaktivitäten<br />
Risikoorientierte Chancenanalyse<br />
• Schnellere Identifikation von<br />
Chancen und Risiken<br />
für alle Risikotypen und auf allen<br />
Ebenen<br />
• Befähigung der Benutzer in den<br />
Fachabteilungen<br />
Risikomanagement dort, wo Risiken<br />
entstehen<br />
• Bessere<br />
Entscheidungsgrundlage<br />
zentralisiertes Risiko-Reporting<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Funktionsübersicht<br />
Schnelle Beseitigung von<br />
Funktionstrennungskonflikten<br />
(Risikofrei werden)<br />
148<br />
Risikoanalyse und<br />
-bereinigung<br />
Schnelle, effiziente<br />
und umfassende<br />
Identifizierung und<br />
Bereinigung von<br />
Funktionstrennungskonflikten<br />
UnternehmensweitesRollenmanagement<br />
SoD-konfliktfreies<br />
Rollendesign;<br />
Dokumentation<br />
und automatische<br />
Rollenanlage in<br />
den Zielsystemen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Kontinuierliches Zugriffsund<br />
Berechtigungsmanagement<br />
(Risikofrei bleiben)<br />
SoD-konfliktfreie<br />
Berechtigungsvergabe<br />
Workflowbasierte<br />
Berechtigungsprovisionierung;<br />
Sicherheit durch<br />
fortlaufende<br />
Risikokontrolle<br />
Notfallusermanagement<br />
Kontrollierter<br />
Zugriff auf kritische<br />
Berechtigungen;<br />
Umfagreiche<br />
Dokumentation<br />
und Audit Trail;<br />
Services: Risikoanalyse, Simulation, Workflow, Reporting, Audit trail, Dokumentation<br />
Plattformunabhängige Regelbasis mit über 200 Geschäftsrisiken<br />
Effiziente Unterstützung<br />
von Management<br />
und Prüfern<br />
(Kontrolle behalten)<br />
Periodische<br />
Kontrolle und<br />
Prüfung<br />
Transparenz und<br />
umfangreiches<br />
Managementreporting<br />
wie<br />
Prüfungsunterstützun<br />
g durch Audit Trails<br />
und detailliertes<br />
Berichtswesen<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Wie funktioniert die Risikoanalyse?<br />
149<br />
R<br />
e<br />
g<br />
e<br />
l<br />
w<br />
e<br />
r<br />
k<br />
Risiken<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Risikoanalyse für<br />
User „Maier“<br />
S<br />
O<br />
L<br />
L<br />
Risikoanalysefunktion<br />
Vergleich<br />
I<br />
S<br />
T<br />
ERP 2005<br />
RTA RTA RTA RTA<br />
Business Applications<br />
?? Compliance<br />
Verantwortlicher ?<br />
Risikobericht<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control<br />
Risk Analysis and Remediation Functionality<br />
150<br />
<strong>SAP</strong> GRC Access Control<br />
Risiko-Analyse, Entdeckung und Schwachstellenbeseitigung<br />
für Zugangs- und Berechtigungskontrollen<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
kritische Einzeltransaktionen<br />
oder Berechtigungsobjekte<br />
Funktion 1 Funktion 2<br />
System 1: Transaktion 1<br />
…<br />
System 1: Transaktion n<br />
System 2: Transaktion 1<br />
…<br />
System 2: Transaktion n<br />
System n: Transaktion 1<br />
…<br />
System n: Transaktion n<br />
180.000 Prüfregeln<br />
System 1: Transaktion 2<br />
…<br />
System 1: Transaktion m<br />
System 2: Transaktion 2<br />
…<br />
System 2: Transaktion m<br />
System m: Transaktion 2<br />
…<br />
System m: Transaktion m<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Risk Analysis and Remediation<br />
151<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Compliant User Provisioning<br />
klassischer Berechtigungsvergabeprozess<br />
ohne <strong>SAP</strong> GRC Access Control<br />
152<br />
Access<br />
Request<br />
Role<br />
Owner<br />
Manual<br />
Provisioning<br />
email<br />
Word, Excel etc.<br />
email<br />
Tabellen,<br />
Formulare<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
Manager<br />
Approval<br />
IT Security<br />
Workflowprozess im GRC Access Control<br />
HR event<br />
Employee<br />
hired/retired<br />
Role Expert<br />
Compliant Roles<br />
Compliance<br />
Calibrator<br />
Online Risikoanalyse<br />
Request<br />
generated<br />
Mgr<br />
approval<br />
Risk<br />
analysis<br />
Automated<br />
provisioning<br />
100% automated<br />
Path workflow—based<br />
on request type and<br />
user attributes<br />
Via e-mail<br />
Escalation<br />
workflow<br />
One-click preventive<br />
simulation<br />
Exception<br />
workflow<br />
100% automated<br />
…<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Compliant User Provisioning<br />
153<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Enterprise Role Management<br />
Zentralisiertes Rollenmanagement<br />
Heterogene Systemlandschaft<br />
Role<br />
154<br />
Role<br />
Governance Prüfbericht<br />
Management<br />
Role<br />
Role<br />
Role<br />
Risk Analysis Function<br />
Online Risikoanalyse<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
…<br />
Role Role Role Role Role Role<br />
Neue Rollen sind “compliant”<br />
• Zeit und Kostenersparnis bei der<br />
Rollenpflege<br />
• Vermeidet Funktionstrennungsrisiken<br />
und gewährleistet Compliance<br />
• Verhindert Fehler bei der Rollenpflege<br />
durch Integration mit Compliance<br />
Calibrator und Access Enforcer<br />
• Bietet Sicherheitschecks,<br />
umfangreiches Monitoring und<br />
Prüfungssicherheit<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Enterprise Role Management<br />
155<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Typische Probleme im Notfallusermanagment<br />
• Zu viele User mit <strong>SAP</strong>_ALL Berechtigungen, dadurch:<br />
Funktionstrennungskonflikte<br />
• Keine Kontrolle über Aktivitäten der User (kein<br />
Aktivitätenlog!)<br />
• <strong>SAP</strong>_ALL Zugriff auf unbestimmte Zeit<br />
• Kein Verantwortlicher für <strong>SAP</strong>_ALL Berechtigungen<br />
• Handlungsunfähigkeit von Mitarbeitern in Notfällen<br />
• Kein problemlösender, effektiver Workflow bei Notfällen<br />
156<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Superuser Privilege Management<br />
157<br />
Anmeldung am<br />
System als<br />
Standarduser<br />
für „Maier“<br />
Prozessdurchführung<br />
Start<br />
Transaktion<br />
Superuser<br />
Management<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
FireFighter ID FICO<br />
FireFighter ID MM<br />
FireFighter ID SD<br />
FireFighter ID Basis<br />
FireFighter ID …<br />
<strong>SAP</strong>_ALL<br />
User „Maier“ sind<br />
meherer<br />
FireFighter ID´s<br />
zugeordnet<br />
<strong>SAP</strong>-System<br />
Neue Session<br />
Ausführen Aktivität<br />
Log<br />
Multiple Verwendbarkeit des<br />
FireFighters (bspw. während des Tests<br />
neuer Rollen, Abschlussarbeiten,<br />
Urlaubsvertretung u.v.m.)<br />
Abmelden als<br />
FireFighter<br />
Alle FireFighter-<br />
Aktivitäten<br />
werden<br />
automatisch<br />
ausführlich<br />
protokolliert<br />
Abmeldung vom<br />
System als<br />
Standarduser<br />
„Maier“<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
<strong>SAP</strong> GRC Access Control - Superuser Privilege Management<br />
158<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Alternative GRC Lösung - SecurityWeaver<br />
159<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
DEMO: <strong>SAP</strong> GRC Access Control
AGENDA - Zusammenfassung<br />
1. Einordnung des <strong>SAP</strong>® <strong>Berechtigungskonzept</strong>s im Rahmen der IT GRC<br />
2. Zielsetzungen bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s<br />
3. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s I<br />
4. Lean Role Management<br />
5. Vorgehensweise bei der Einführung eines neuen <strong>Berechtigungskonzept</strong>s II<br />
6. Lückenlose Compliance – <strong>SAP</strong>® Sicherheit im täglichen Geschäft<br />
7. <strong>SAP</strong>® GRC Überblick und Vorstellung der <strong>SAP</strong>® GRC Access Controls Lösung<br />
161<br />
<strong>Das</strong> <strong>SAP</strong> <strong>Berechtigungskonzept</strong> - Management Circle<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft
Fragen ?
Enterprise Risk Services<br />
Vielen Dank für Ihre Aufmerksamkeit !<br />
©2009 Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft