Das richtige Maß – ausgewogene Kontrollen in SAP

Erstellt von Dr. Carsten Schinschel | |  BTadvice 2019-Q2

Organisationen versprechen sich von der Einführung unternehmensweiter SAP-Systeme Kosteneinsparungen, ein effizienteres Management des Anlage- und Umlaufvermögens sowie eine verbesserte Darstellung und Aussagekraft der Unternehmensdaten. Diese Ziele werden durch die Optimierung und Automatisierung der Geschäftsprozesse erreicht, wohingegen die Entwicklung und Integration von passenden Kontrollen leider häufig ebenso komplex wie der sprichwörtliche Gordische Knoten erscheinen. Unzureichende Kontrollen erhöhen die Verwundbarkeit einer Organisation – ein zu dichtes Kontrollnetz begrenzt den Handlungsspielraum.

SAP Kontrollen – die Herausforderungen

Neben den bekannten Risiken bei ERP-Systemen bestehen auch neue Risiken durch die Verwendung von SAP HANA. Dies ist keine Weiterentwicklung von SAP ERP, sondern HANA ist die nächste Stufe eines ERP-Systems. Diese HANA-Systeme bestehen im Gegensatz zu einem SAP ERP-System hauptsächlich aus Webanwendungen, die in den vorherigen Versionen eher als optional betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden werden. Das Thema „Berechtigungen“ wird bei vielen SAP-Einführungen oder Umstellungen lediglich als Nebensächlichkeit gesehen. Dabei ist es ein wichtiges Thema und sollte mit der nötigen Sorgfalt bedacht werden.

Somit bedingt die Migration auf SAP HANA häufig eine Optimierung oder sogar eine anteilige Neugestaltung des aktuellen Rollenkonzepts. Eine 1:1-Umstellung von der alten auf die neue Lösung ist deshalb nicht möglich. Aus unserer Erfahrung erschweren im Wesentlichen die folgenden sechs Hürden das Erreichen einer ausgewogenen Balance zwischen den Risiken und den Kontrollen.

Unkenntnis des Status quo – Durch die Komplexität der SAP HANA-Systeme und der Mangel an Standard-Reports zur Beleuchtung der Risikosituation, sind viele Unternehmen möglicherweise unbewusst einer Anzahl von Risiken ausgesetzt.

Lücken im Kontrollsystem – Auditoren konstatieren wiederholt Mängel, jedoch ohne praktische Handlungsempfehlungen anbieten zu können.

Funktionstrennung immer noch eine große Herausforderung – Durch eine Ansammlung von sensitiven Rechten bei einer Person (Segregation of Duties, SoD Konflikte) können erforderliche Geschäftsprozesskontrollen einfach aushebelt werden.

Nutzung des Potenzials automatisierter Kontrollen – Viele Unternehmen haben vorwiegend manuelle Kontrollen eingeführt, da der erste Aufwand für das Design und die Umsetzung relativ gering ist. Der spätere Personalaufwand sowie die Fehleranfälligkeit manueller Kontrollen im laufenden Betrieb werden jedoch häufig unterschätzt. Durch die Einführung automatisierter Kontrollen wie z. B. SAP GRC Process Control wäre bei vielen Unternehmen ein hohes Potenzial zur Effizienz- und Qualitätssteigerungen vorhanden.

Management von „Super Usern“ – Die Kontrolle und Verwaltung von „Super Usern“ für die Anwendungs- und Systembetreuung sowie die Zugriffsrechte von externen Dienstleistern stellen für Unternehmen immer noch eine Herausforderung dar.

Datenbank- und Infrastrukturkontrollen – Bei der Betrachtung von SAP-Komponenten werden häufig die Kontrollen zur Datenbank- und Infrastruktursicherheit vernachlässigt.

Die Auswirkungen schwacher Kontrollen in SAP

Vertrauliche Daten – In SAP werden schützenswerte und vertrauliche Daten, z. B. Kunden-, Lieferanten-, Personal-, Entwicklungs- oder Finanzdaten, verarbeitet. Ohne adäquate Kontrollen setzen Sie Ihr Unternehmen dem Risiko aus, dass Unbefugte Zugriff auf diese Daten erhalten und gegebenenfalls an Dritte weitergeben.

Prozessintegrität – Durch mangelnde Kontrollen in den Geschäftsprozessen kann deren Integrität beeinflusst werden. Das kann unter anderem zu einer Begünstigung von Betrugsvorfällen im Beschaffungswesen oder zu einer verfälschten Aussagekraft der Daten des Berichtswesens führen.

Compliance-Anforderungen – Die sich stetig verschärfenden internen und externen Vorschriften zwingen Unternehmen dazu, die Zuverlässigkeit und Wirksamkeit ihrer wichtigen SAP-Kontrollen zu überwachen und nachzuweisen. Dort, wo manuelle oder kostenintensive Kontrollen implementiert worden sind, können sie schnell zu einer Erhöhung der Geschäftsaufwände und zur Überbelastung der Fachbereiche führen.

Reputation – Das Aufrechterhalten einer guten Reputation ist am Markt entscheidend. Das öffentliche Bekanntwerden von Kontrollverletzungen kann zu einer erheblichen Beschädigung der Marke, zu Absatzeinbußen und zu Einbrüchen des Kurswerts führen.

Die Vorgehensweise für ausgewogene Kontrollen in SAP

Der Ansatz zur Gestaltung einer effizienten und zuverlässigen Kontrolllandschaft berücksichtigt die drei wesentlichen Ebenen: die Kontrollen zur Anwendungssicherheit, die Datenbanken- und Infrastrukturkontrollen sowie die Geschäftsprozesskontrollen. Das Zusammenspiel dieser Kontrollen wird durch ein grundlegendes Kontrollrahmenwerk abgestimmt und gesteuert, da die Komplexität und die Abhängigkeiten der SAP-Kontroll-Komponenten untereinander häufig unterschätzt werden und ein Fokussieren auf lediglich einen einzelnen Kontrollbereich nicht zu einer umfassenden Kontrollsicherheit führen kann. Auf Basis von System- und Geschäftsprozessanalysen erfolgen das Design und die Implementierung von intelligenten Kontrollen innerhalb der SAP-Umgebung.

Fazit – Mit dem SAP HANA-Rollenkonzept auf Datenbankebene kommt ein neuer Arbeitsbereich auf Berechtigungsspezialisten zu. Je früher damit begonnen wird, umso mehr Know-how kann im Laufe der Umstellung aufgebaut werden. Es lohnt sich, sich mit Berechtigungen frühzeitig auseinanderzusetzen. Oft genügen geringfügige Änderungen bestehender Rollen, um die volle Funktionalität unter SAP HANA wieder zu gewährleisten. Man vermeidet so unerwarteten Aufwand während und/oder am Ende eines Projektes.
 

Zurück