Fallstudie - Einzelhandel

Kunde

  • Polens führender Produzent von Schweinefleisch, der auch seine eigenen Fleisch- und Wurstwaren vertreibt
  • Es hat mehr als ein Dutzend Standorte und mehr als 500 SAP-Anwender.
  • An der WSE notiertes Unternehmen.

Herausforderung

  • Verbesserung der Sicherheit von Geschäftsprozessen durch Identifizierung der Risiken redundanter Berechtigungen und deren Beseitigung in den SAP-Benutzerberechtigungen.
  • Integrieren Sie neue Berechtigungen in das SAP-System auf eine Art und Weise, die den besten Sicherheitspraktiken entspricht, frei von Risiken der Aufgabentrennung und redundanten kritischen Zugriffen.
  • Abstimmung der Befugnisse mit den Verantwortlichkeiten der Mitarbeiter in jeder Position.
  • Umstrukturierung der Rechte von IT-Administratoren und Beratern, die aus technischer Sicht einen umfassenden Zugang zur Systemunterstützung benötigen, während sie aus Sicht des Geschäftsbetriebs nur begrenzten Zugang haben sollten.

Ein realisierter Ansatz

  • Dies begann mit einer Diagnose des aktuellen Status der SAP-Benutzerrechte - es wurde eine Risikoanalyse durchgeführt sowie eine Analyse der Nutzung von Benutzertransaktionen mithilfe des implementierten smartGRC-Tools.
  • Es wurden mögliche Richtungen für die Reparatur ermittelt und nach eingehender Analyse wurde beschlossen, dass die günstigste Lösung darin bestand, die Rollen von Grund auf neu zu bauen. Es wurden Regeln für die Konstruktion neuer Rollen festgelegt.
  • Es wurde ein Rollenkatalog für die Bereiche Finanzen und Controlling mit etwa 180 neuen Rollen entwickelt. Der Katalog der neuen Rollen wurde mit wichtigen Nutzern und Unternehmensvertretern diskutiert. Alle Vorschläge wurden analysiert, wobei ein wichtiges Kriterium war, dass die neuen Rollen frei von Risiken der Aufgabentrennung sein sollten.
  • Es wurden neue Rollen für IT-Berater und Administratoren eingerichtet, die die zuvor zugewiesenen breiten Profile und Berechtigungen mit redundanten Geschäftszugängen ersetzen.
  • Es wurde ein Verfahren für den Zugang in Notfällen entwickelt.
  • Für die am Empowerment beteiligten Personen wurden eine Reihe von kurzen Schulungen und Übungen im System durchgeführt.

Wirkung

  • Der Umfang der Benutzerrechte wurde an die tatsächlich ausgeführten Aufgaben im SAP-System angepasst.
  • Die implementierten Rollen haben es ermöglicht, Berechtigungen mit viel größerer Freiheit und Flexibilität zu verwalten und gleichzeitig das Sicherheitsniveau der Operationen zu erhöhen.
  • Die Gesamtzahl der Risiken im Zusammenhang mit der Aufgabentrennung für die Benutzer in den Bereichen Finanzen und Controlling wurde um 69% reduziert.
  • Einige der Risiken im Finanzbereich wurden vollständig beseitigt, und in mehreren Fällen lag die Reduzierung bei über 90%.
  • Die Anzahl der Risiken im IT-Bereich wurde um 67% reduziert.
  • Durch die Umgestaltung der Rollen in den Bereichen Finanzen, Controlling und IT wurden mehr als 1.200 Risiken beseitigt.

Referenzen