BLOG

Audyt dostępów w SAP – klucz do bezpieczeństwa i zgodności

Dlaczego autoryzacje są tak ważna?

W SAP każdy dostęp zaczyna się od autoryzacji: użytkownik → rola → uprawnienia → transakcje/aplikacje/obiekty autoryzacyjne. To ona decyduje, kto może tworzyć dokument, zmieniać dane, zatwierdzać płatność czy otwierać okres księgowy. Jeśli system autoryzacji jest zaprojektowany i utrzymywany prawidłowo, SAP działa bezpiecznie, efektywnie i zgodnie z regulacjami.
Jeśli jednak brakuje spójnej koncepcji lub kontroli – powstają luki bezpieczeństwa, które mogą prowadzić do nadużyć, błędów lub niezgodności z wymogami audytowymi.

Struktura autoryzacji w SAP jest wielowarstwowa i ograniczana na poziomie aplikacji, transakcji, obiektów i wartości pól. Zależy to oczywiście od przebiegu procesów i koncepcji biznesowych,  a nawet sposobu pracy zespołów. Ma to skutki praktyczne: bez spójnych zasad i stałej kontroli łatwo o nadmiarowe dostępy, duplikaty ról i konflikty SoD, które trudno wykryć „na oko”.

Bezpieczeństwo a porządek w rolach

Dobrze zaprojektowane role wzmacniają kontrolę finansową, ograniczają nadużycia i błędy, a jednocześnie przyspieszają audyty. Porządek w uprawnieniach to też mniejsze koszty: mniej drogich licencji „na wszelki wypadek”, łatwiejsze migracje (np. do S/4HANA) i sprawniejsze aktualizacje. Audyt uprawnień i dostępów użytkowników weryfikuje, czy użytkownicy mają dokładnie takie uprawnienia, jakie są im faktycznie potrzebne do realizacji obowiązków służbowych. Celem audytu jest zapewnienie zgodności z zasadami bezpieczeństwa, przepisami prawa oraz wewnętrzną polityką firmy.

W ramach audytu analizuje się m.in.:

•       Zgodność ról z polityką bezpieczeństwa oraz zasadą minimalnych uprawnień (least privilege) – czy użytkownik ma tylko te uprawnienia, które są niezbędne do jego pracy.

•       Występowanie konfliktów Segregation of Duties (SoD) – np. przypadki, gdy jedna osoba może zarówno utworzyć dostawcę, jak i zatwierdzić płatność.

•       Nadmiarowe, nieużywane lub przestarzałe uprawnienia – np. role przypisane dawno temu, które nie są już potrzebne lub nie były używane przez dłuższy czas.

•       Procesy zarządzania cyklem życia użytkownika (Joiner–Mover–Leaver) – czy dostęp jest nadawany nowym pracownikom w sposób kontrolowany, aktualizowany przy zmianie stanowiska i odbierany po odejściu z firmy.

•       Przygotowanie do kontroli wewnętrznych i zewnętrznych – np. zgodność z wymogami audytów ITGC, SOX, RODO czy ISO 27001 oraz kompletność dokumentacji akceptacji dostępów.

•       Dostępy awaryjne (Firefighter / Emergency Access) – czy są prawidłowo rozliczane i monitorowane po ich użyciu.

•       Użytkowników technicznych i systemowych – czy mają właściwy zakres uprawnień oraz czy ich działania są odpowiednio logowane i nadzorowane.

Ryzyka wynikające z niekontrolowanych dostępów

Zbyt szerokie lub źle przypisane uprawnienia mogą prowadzić do:

  • Nadużyć finansowych – np. pracownik z dostępem do systemu księgowego może zatwierdzać własne faktury, tworzyć fikcyjnych kontrahentów lub samodzielnie inicjować i autoryzować przelewy.
  • Wycieku danych – np. administratorzy z nieograniczonymi uprawnieniami kopiują bazy klientów na zewnętrzne nośniki lub do prywatnych chmur, co może skutkować utratą poufnych informacji i utratą zaufania klientów.
  • Błędów operacyjnych – np. użytkownik posiadający dostęp do konfiguracji systemu produkcyjnego przypadkowo usuwa lub modyfikuje krytyczne dane, powodując przestoje lub błędne działanie procesów biznesowych
  • Kosztów i sankcji wynikających z niezgodności – np. brak kontroli nad uprawnieniami skutkuje naruszeniem wymagań regulacyjnych (RODO/GDPR, SOX, ISO 27001), co może prowadzić do kar finansowych, utraty certyfikacji lub reputacji organizacji.
  • Niepotrzebnych wydatków na licencje – np. użytkownicy posiadają dostęp do modułów i aplikacji, z których nigdy nie korzystają, przez co firma płaci za niewykorzystywane licencje lub zbyt wysokie kategorie licencyjne.
  • Trudności w audycie i kontroli wewnętrznej – np. brak przejrzystości w nadanych uprawnieniach utrudnia identyfikację odpowiedzialnych osób, analizę logów i weryfikację zgodności z polityką bezpieczeństwa.
  • Utraty integralności systemu – np. niewłaściwie przypisane uprawnienia techniczne umożliwiają obejście mechanizmów kontroli, co może doprowadzić do nieautoryzowanych zmian konfiguracji lub danych.

Audyt a zgodność z regulacjami

Kontrola dostępów w SAP pozwala spełnić wymogi prawne i branżowe, takie jak RODO, SOX czy JSOX. Daje pewność, że dane osobowe są chronione, a procesy finansowe – wiarygodne i zgodne z wymogami audytorów zewnętrznych.

Checklista audytora

Podczas audytu analizowane są m.in. aspekty dotyczące:

  • Polityki nadawania i odbierania dostępów, obejmujące zgodność z koncepcją autoryzacji, obowiązkami biznesowymi oraz zasadą least privilege (nadawania minimalnych niezbędnych uprawnień).
  • Regularne recertyfikacje ról i użytkowników, realizowane cyklicznie (np. kwartalnie lub półrocznie) w celu potwierdzenia zasadności posiadanych dostępów.
  • Dokumentacja zmian w systemie oraz zgodność z procesem zarządzania dostępami (Access Management Lifecycle), w tym ścieżki akceptacji i rejestracja decyzji.
  • Kontrola dostępu awaryjnego (Firefighter / Privileged Access Management) – nadzór nad nadawaniem, wykorzystaniem i rozliczaniem tymczasowych uprawnień administracyjnych.
  • Identyfikacja i obsługa nieaktywnych kont oraz ról nadanych ponad potrzebę, w tym automatyczne wykrywanie użytkowników bez logowań przez dłuższy okres.
  • Konflikty Segregation of Duties (SoD) – ich identyfikacja, uzasadnienie (mitigacje) oraz wdrożenie mechanizmów kompensacyjnych, np. podwójnej autoryzacji lub dodatkowych kontroli biznesowych.
  • Dopasowanie typów i zakresów licencji do faktycznego wykorzystania systemu (m.in. w kontekście SAP FUE/PUPM lub Named User Licenses).
  • Poprawność obsługi scenariuszy dostępu pośredniego (indirect access / digital access), w tym użytkowników integracyjnych i systemowych.
  • Monitorowanie i logowanie działań wrażliwych, a także cykliczne przeglądy raportów SoD i dostępów do transakcji krytycznych.
  • Zgodność autoryzacji z wymaganiami regulacyjnymi (m.in. RODO/GDPR, SOX, J-SOX, ICFR, KRI), uwzględniająca ochronę danych osobowych oraz kontrolę dostępu do informacji poufnych.
  • Regularne audyty wewnętrzne i zewnętrzne (np. ITGC, ISO 27001), weryfikujące zgodność procesów i skuteczność wdrożonych kontroli.
  • Nadzór nad kontami technicznymi i integracyjnymi, w tym kontrola sposobu ich użycia i przypisanych uprawnień.
  • Raportowanie i analiza trendów ryzyk dostępowych, umożliwiające identyfikację obszarów wymagających poprawy lub dodatkowych zabezpieczeń.

Rola narzędzi GRC

Manualny audyt w złożonym systemie SAP jest trudny i czasochłonny. Dlatego stosuje się narzędzia klasy GRC, takie jak:

SAP GRC Access Control – to dojrzałe rozwiązanie SAP służące do zarządzania uprawnieniami i ryzykiem rozdziału obowiązków (SoD) w środowiskach on-premise. System umożliwia kompleksowe nadawanie uprawnień, utrzymywanie matrycy SoD, obsługę procesów prowizji użytkowników (Access Request Management), a także analizę ryzyk dostępowych. W scenariuszu tzw. „bridge” możliwe jest również połączenie systemu on-prem z aplikacjami chmurowymi, zapewniając spójne zarządzanie dostępami w środowiskach hybrydowych. SAP Access Control jest najczęściej wybieranym rozwiązaniem w dużych organizacjach, które korzystają z systemów SAP ERP lub SAP S/4HANA w modelu lokalnym. Dzięki nim możliwe jest automatyczne wykrywanie ryzyk, stały monitoring i szybkie przygotowanie raportów dla audytorów. Narzędzia te wspierają audyty, dostarczając danych w czasie rzeczywistym, ograniczając pracę manualną oraz umożliwiając prezentację dowodów zgodności w przejrzystej formie.

SAP IAG (Identity Access Governance) – to nowe rozwiązanie SAP stworzone z myślą o zarządzaniu dostępami w środowiskach chmurowych, takich jak SAP Concur, SAP SuccessFactors, SAP Ariba czy SAP S/4HANA Cloud. System ten zapewnia centralne zarządzanie cyklem życia użytkownika, analizę ryzyk SoD oraz procesy zatwierdzania dostępu w architekturze opartej na chmurze. IAG jest naturalnym uzupełnieniem lub następcą Access Control w organizacjach, które migrują do chmury SAP i potrzebują natywnej integracji z aplikacjami SaaS, zachowując jednocześnie zgodność z politykami bezpieczeństwa i audytu.

SmartGRC
To alternatywne rozwiązanie do nadawania dostępów, zarządzaniem bazą ryzyk SoD, monitorowaniem użycia szerokich i administracyjnych kont oraz wsparciem przeglądów okresowych uprawnień. Narzędzie można zainstalować zarówno on-premise, jak i korzystać z niego w modelu subskrypcji cloud. SmartGRC integruje się natywnie z SAP S/4HANA, a z pozostałymi systemami – w tym spoza ekosystemu SAP – może się łączyć poprzez web service lub za pomocą wymiany plików XML, z każdym systemem, który potrafi wyeksportować dane o uprawnieniach z bazy danych. Dzięki temu umożliwia centralne zarządzanie ryzykiem dostępu w złożonych środowiskach IT obejmujących różne technologie. SmartGRC wyróżnia się krótkim czasem wdrożenia, intuicyjnym interfejsem i elastycznością w dostosowaniu do potrzeb organizacji.

Systemy klasy GRC mają takie funkcje:

Funkcja detekcyjna – Systemy GRC, takie jak SAP GRC Access Control, umożliwiają wykrywanie istniejących ryzyk i nieprawidłowości w systemie uprawnień. Analizy mogą obejmować:

  • Identyfikację konfliktów SoD (Segregation of Duties) – np. użytkownik, który ma jednocześnie możliwość utworzenia dostawcy i uruchomienia płatności (F110). Taki konflikt oznacza potencjalne ryzyko nadużycia finansowego.
  • Wykrywanie dostępu do transakcji krytycznych – np. użytkownik posiadający dostęp do SU01 (zarządzanie użytkownikami) lub OB52 (zmiana okresów księgowych), mimo że nie należy do działu IT czy księgowości.
  • Analizę nieaktywnych lub przestarzałych kont użytkowników – np. konta, które nie były używane przez 90 dni, a nadal mają przypisane aktywne role.
  • Wykrywanie nadmiarowych ról i uprawnień – np. użytkownik w dziale zakupów posiada role również z obszaru sprzedaży lub produkcji, które nie są potrzebne do jego obowiązków.
  • Identyfikację tzw. emergency access (Firefighter ID), które nie zostały prawidłowo rozliczone po użyciu (brak logu lub raportu z sesji).

Funkcja prewencyjna – systemy GRC pełnią również funkcję zapobiegania powstawaniu nowych ryzyk, zanim trafią one do produkcyjnego systemu SAP. W tym zakresie SAP GRC Access Control oferuje m.in.:

  • Blokowanie nadawania ról zawierających konflikty SoD – np. podczas składania wniosku o nową rolę, system automatycznie wykrywa, że użytkownik posiada już uprawnienia do księgowania faktur i nie może otrzymać dostępu do uruchomienia płatności, ponieważ te dwa dostępy tworzą konflikt rozdziału obowiązku.
  • Workflow akceptacyjny przy wnioskach o dostęp (Access Request Management) – każdy wniosek o rolę musi zostać zatwierdzony przez przełożonego oraz właściciela roli, co zapewnia kontrolę biznesową i zgodność z zasadami rozdziału obowiązków.
  • Recertyfikację ról i użytkowników (Access Review / User Access Review) – okresowe kampanie przeglądów uprawnień pozwalają menedżerom potwierdzić zasadność posiadanych dostępów, np. co pół roku.
  • Kontrolę już na etapie tworzenia ról – wbudowany moduł Role Management analizuje projektowane role pod kątem potencjalnych konfliktów SoD, jeszcze zanim zostaną wdrożone.
  • Zarządzanie dostępami awaryjnymi (Emergency Access Management) – nadanie tymczasowego dostępu do krytycznych transakcji jest rejestrowane, może być zatwierdzane a po zakończeniu pracy generowany jest raport z wykonanych działań, co ogranicza ryzyko nadużyć

W efekcie narzędzia GRC pełnią rolę filtra bezpieczeństwa – z jednej strony zapewniają natychmiastową detekcję naruszeń, z drugiej pomagają im zapobiegać, ograniczając liczbę potencjalnych błędów i nadużyć jeszcze przed ich wystąpieniem.

 

Podsumowanie

Audyt dostępów w SAP to proces ciągły, który powinien łączyć polityki bezpieczeństwa z automatyzacją i regularnymi przeglądami.

Skuteczna kontrola opiera się na dwóch filarach:

  • kontrole detekcyjne – raporty, alerty, analiza logów,
  • kontrole prewencyjne – zasada minimalnych uprawnień, reguły SoD, automatyczne blokady.

Takie podejście zapewnia bezpieczeństwo danych, zgodność z regulacjami i pełną gotowość audytową organizacji.

PRODUKTY SmartGRC

Chcesz wiedzieć więcej? Skontaktuj się z nami.

Wypełnij poniższy formularz. Zwykle odpowiadamy w ciągu dwóch godzin.