Hat sich Ihre letzte SAP-Anspruchsprüfung über Wochen hingezogen? Und Excel-Dateien und endlose E-Mails haben den Prozess noch weiter in die Länge gezogen? Sehen Sie, wie Sie Ihre SAP-Zugriffsprüfung bis zu viermal schneller abschließen können!
In vielen Unternehmen ist die zyklische Überprüfung von Berechtigungen eine formale Verpflichtung aufgrund von Audit-, RODO- oder SOX-Anforderungen. In großem Maßstab – Tausende von Benutzern, ein Dutzend SAP-Systeme und umfangreiche Rollen – führt ein manueller Ansatz jedoch zu Chaos und Fehlern.
Dies war der Alltag von Marta, der Organisatorin der Anspruchsüberprüfung in SAP, und Adam, dem für die Anspruchsüberprüfung in seinem Bereich zuständigen Rechnungsführer. Sie wussten beide, dass sie ein Tool brauchten, um den Prozess in den Griff zu bekommen. Die Lösung war das smartReview-Modul in der smartGRC-App.
Phase 1: Planung der Überprüfung – ein schneller Start statt eines Marathons
Jede Überprüfung beginnt mit der Festlegung des Rahmens – was sie abdeckt, wer sie überprüft und welche Kriterien zu berücksichtigen sind. Diese Phase ist von entscheidender Bedeutung, da Fehler, die zu Beginn gemacht werden, zu Verzögerungen und der Notwendigkeit führen können, den gesamten Prozess zu wiederholen.
Bei der Vorbereitung einer Überprüfung in einem Unternehmen mit mehreren tausend Mitarbeitern und einem Dutzend SAP-Systemen musste Marta früher Stunden damit verbringen, den Umfang festzulegen und Prüfer zuzuweisen. Jetzt dauert es mit smartReview nur noch wenige Minuten, um ein Datum für den Abschluss der Überprüfung festzulegen, Schwellenwerte für die Nutzung von Transaktionen zu setzen, Kommentare bei hohem Risiko zu verlangen und technische Konten auszuschließen.
„Die Vorbereitung der Überprüfung, für die ich früher mehrere Stunden brauchte, ist jetzt in einem Dutzend Minuten erledigt“, sagt Marta.
Schritt 2: Datenüberprüfung – Vorbeugen ist besser als korrigieren
Sobald der Umfang der Überprüfung festgelegt ist, muss im nächsten Schritt sichergestellt werden, dass alle Daten in die richtigen Hände gelangt sind. Dies ist ein häufiger Stolperstein: Beim traditionellen Modell kamen falsche Zuordnungen erst dann ans Licht, wenn jemand berichtete, dass er die falsche Zusammenfassung erhalten hatte.
Heute kann Marta sofort sehen, ob das System die Prüfer gemäß den festgelegten Regeln korrekt zugewiesen hat. Sie kann die Daten filtern und Änderungen an den Zuweisungen en masse vornehmen. So werden Fehler von Anfang an vermieden, bevor der Prozess in Schwung kommt.
„Jetzt kann ich fehlerhafte Zuweisungen sofort erkennen und korrigieren, wodurch spätere Ausfallzeiten vermieden werden“. – fügt Marta hinzu.
Stufe 3: Entscheidungsfindung – weniger Klicks, mehr Entscheidungen
Das Herzstück der Überprüfung sind die Entscheidungen der Prüfer. Hier entscheiden die Prüfer, welche Zugänge bestehen bleiben und welche entfernt werden müssen. Für Adam bedeutete dies im traditionellen Modell, dass er Hunderte von Elementen analysieren und Risiken manuell abhaken musste – eine mühsame und fehleranfällige Arbeit.
Jetzt sieht Adam nur noch die Punkte, die seine Aufmerksamkeit erfordern. Er kann die Historie früherer Entscheidungen nutzen, die Daten filtern und frühere Entscheidungen in großen Mengen kopieren. Und wenn er ein Risiko zum Einzug markiert, identifiziert und markiert smartReview automatisch alle Vorkommen dieses Risikos in den anderen Ansprüchen des Benutzers.
Ein typisches Problem in vielen Unternehmen sind Berechtigungen, die ehemaligen Mitarbeitern hinterlassen werden. Mit smartReview entfernt Adam jetzt mit einem einzigen Klick alle Zugänge zu inaktiven Konten in seinem Bereich.
„Die Entscheidungshistorie und die automatische Markierung verwandter Artikel haben meine Arbeitszeit um bis zur Hälfte reduziert“, betont Adam. – unterstreicht Adam.
Schritt 4: Überwachung der Umsetzung – Sichtbarkeit bis zum Ende
Die Überprüfung selbst endet nicht, wenn eine Entscheidung getroffen wird. Genauso wichtig ist es, dafür zu sorgen, dass die Erkenntnisse tatsächlich im System umgesetzt werden. Ohne eine wirksame Überwachung besteht die Gefahr, dass im nächsten Zyklus dieselben überflüssigen Zugriffe wieder auftreten.
Zuvor musste Adam den Status manuell überprüfen, was zeitaufwändig war und dazu führte, dass im nächsten Zyklus wieder redundante Zugriffe erfolgten. Mit smartReview kann er jetzt den Fortschritt der Umsetzung von Entscheidungen aus seinem Bereich in seinem Dashboard sehen – grün bedeutet umgesetzte Änderungen, rot signalisiert die Notwendigkeit eines Eingriffs.
„Durch die Echtzeit-Ansicht der Status kann ich sicher sein, dass die Entscheidungen tatsächlich umgesetzt und nicht nur in einem Bericht festgehalten werden“, schließt Adam.
Ergebnisse – messbare Veränderung
Nach dem ersten Zyklus gab es klare Ergebnisse:
- bis zu 75% kürzere Überprüfungszeiten auf Seiten der Prüfer.
- Deutliche Reduzierung von Fehlern durch automatische Zuweisungen und Massenoperationen.
- volle Transparenz des Prozesses – von der Planung bis zur Umsetzung von Entscheidungen.
- hochwertigere Entscheidungen durch den Zugang zu Historie und Analyse der Nutzung von Ansprüchen.
- eine effektivere Beseitigung überflüssiger Zugriffe – Entscheidungen, die tatsächlich im System umgesetzt werden.
Nach der Implementierung von smartReview hat sich nicht nur das Arbeitstempo verändert, sondern auch die Qualität des gesamten Prozesses. Die Teams haben mehr Kontrolle über die Durchführung der Überprüfung gewonnen, und die Aktivitäten selbst sind vorhersehbarer und fehlerfreier geworden.
Grundsätze für eine erfolgreiche Überprüfung – allgemeine Empfehlungen
Unabhängig vom Tool sollte eine effektive SAP-Anspruchsprüfung auf einigen universellen Prinzipien beruhen:
- klar definierte Überprüfungskriterien (z.B. obligatorischer Kommentar bei der Annahme von Risiken).
- Einbeziehung von Informationen über die tatsächliche Verwendung von Zertifikaten in die Überprüfung.
- Überwachung der Umsetzung von Entscheidungen, nicht nur deren Aufzeichnung.
- die Dokumentation des vollständigen Prüfpfads in Übereinstimmung mit den Compliance-Anforderungen.
Dieser Ansatz unterstützt die Einhaltung von Vorschriften, einschließlich SOX, RODO oder ISO 27001, und erleichtert die Kontrolle der Aufgabentrennung (SoD).
Zusammenfassung – Überprüfung von Ansprüchen als Teil der Sicherheit
Die Geschichte von Martha und Adam zeigt, dass die Überprüfung von Berechtigungen in SAP kein mühsamer und chaotischer Prozess sein muss. Dank smartReview ist sie zu einem strukturierten und berechenbaren Teil der Sicherheitsstrategie des Systems geworden. In einer Umgebung, in der die Zugriffskontrolle eines der Schlüsselelemente der Sicherheit ist, sind solche Tools kein Luxus mehr – sie sind eine Notwendigkeit.
Wenn Überprüfungen in Ihrem Unternehmen nur als Audit-Verpflichtung gesehen werden, lohnt es sich, sie als Chance zu sehen, den Zugang zu sortieren und die Sicherheit der gesamten SAP-Umgebung zu stärken.
Und wenn Sie sehen möchten, wie der Prozess in der Praxis aussieht, empfehlen wir Ihnen, einen Blick auf die interaktive smartReview-Demo zu werfen. Sie finden die Demo unter https://smartgrc.eu/demo/.
Quellen:
Dieser Artikel basiert auf den Erfahrungen des GRC-Beratungsteams mit der Implementierung von Anspruchsüberprüfungen in SAP und dem Wissen, das bei der Entwicklung und Implementierung des smartReview-Moduls in der smartGRC-Anwendung gewonnen wurde.
