Hat sich Ihre letzte SAP-Berechtigungsprüfung über Wochen hingezogen? Haben Excel-Dateien und endlose E-Mails den Prozess noch weiter in die Länge gezogen? Sehen Sie, wie Sie SAP-Zugriffe bis zu viermal schneller überprüfen können !
In vielen Unternehmen ist die regelmäßige Überprüfung von Berechtigungen eine formale Verpflichtung im Zusammenhang mit Audit-Anforderungen, GDPR oder SOX. In einem großen Unternehmen – mit Tausenden von Benutzern, einem Dutzend SAP-Systemen und komplexen Rollen – führt ein manueller Ansatz jedoch zu Chaos und Fehlern.
Das war die tägliche Routine von Marta, der Organisatorin der SAP-Genehmigungsprüfung, und Adam, dem Leiter der Buchhaltungsabteilung, der für die Überprüfung der Genehmigungen in seinem Bereich zuständig ist. Beide wussten, dass sie ein Tool brauchten, mit dem sie die Kontrolle über diesen Prozess übernehmen konnten. Die Lösung war das smartReview-Modul in der smartGRC-Anwendung.
Schritt 1: Planung der Überprüfung – ein Schnellstart statt eines Marathons
Jede Überprüfung beginnt mit der Festlegung des Umfangs – was sie umfasst, wer die Überprüfung durchführen wird und welche Kriterien berücksichtigt werden. Diese Phase ist entscheidend, denn Fehler, die zu Beginn gemacht werden, können zu Verzögerungen führen und dazu, dass der gesamte Prozess wiederholt werden muss.
Bei der Vorbereitung einer Überprüfung in einem Unternehmen mit mehreren tausend Mitarbeitern und einem Dutzend SAP-Systemen musste Marta früher Stunden damit verbringen, den Umfang festzulegen und Prüfer zuzuweisen. Mit smartReview braucht sie jetzt nur noch wenige Minuten, um das Enddatum der Prüfung, die Schwellenwerte für die Transaktionsnutzung, die Anforderungen für Kommentare bei hohem Risiko und den Ausschluss technischer Konten festzulegen.
„Die Erstellung einer Rezension, für die ich früher mehrere Stunden brauchte, dauert jetzt nur noch ein paar Minuten“, sagt Marta.
Schritt 2: Datenüberprüfung – Vorbeugen ist besser als korrigieren
Sobald der Umfang der Überprüfung festgelegt ist, muss im nächsten Schritt sichergestellt werden, dass alle Daten den richtigen Personen zugewiesen wurden. Dies ist ein häufiger Stolperstein: Im traditionellen Modell kamen falsche Zuweisungen erst dann ans Licht, wenn jemand meldete, dass er den falschen Datensatz erhalten hatte.
Heute kann Marta sofort sehen, ob das System die Gutachter gemäß den festgelegten Regeln korrekt zugewiesen hat. Sie kann Daten filtern und Massenänderungen an Zuweisungen vornehmen. So werden Fehler von Anfang an vermieden, bevor der Prozess an Fahrt gewinnt.
„Jetzt kann ich falsche Zuweisungen sofort erkennen und korrigieren, was spätere Ausfallzeiten verhindert“, fügt Marta hinzu.
Schritt 3: Entscheidungsfindung – weniger Klicks, mehr Entscheidungen
Der Kern des Überprüfungsprozesses sind die Entscheidungen der Prüfer. Hier entscheiden die Prüfer, welche Zugänge bestehen bleiben und welche widerrufen werden müssen. Im traditionellen Modell bedeutete dies, dass Adam Hunderte von Elementen analysieren und Risiken manuell abhaken musste – eine mühsame und fehleranfällige Aufgabe.
Jetzt sieht Adam nur noch die Elemente, die seine Aufmerksamkeit erfordern. Er kann die Historie früherer Entscheidungen nutzen, Daten filtern und früher getroffene Entscheidungen in großen Mengen kopieren. Und wenn er ein Risiko als zu widerrufen markiert, identifiziert und markiert smartReview automatisch alle Vorkommen in den anderen Berechtigungen des Benutzers.
Ein häufiges Problem in vielen Unternehmen sind Berechtigungen, die ehemaligen Mitarbeitern hinterlassen wurden. Dank smartReview kann Adam jetzt mit einem einzigen Klick alle Berechtigungen von inaktiven Konten in seinem Bereich entfernen.
„Die Entscheidungshistorie und die automatische Markierung zusammengehöriger Artikel reduzieren meine Arbeitszeit um bis zur Hälfte“, sagt er. Adam unterstreicht.
Phase 4: Überwachung der Umsetzung – Sichtbarkeit bis zum Abschluss
Die Überprüfung selbst endet nicht, wenn eine Entscheidung getroffen wird. Genauso wichtig ist es, dafür zu sorgen, dass die Erkenntnisse tatsächlich im System umgesetzt werden. Ohne eine wirksame Überwachung besteht die Gefahr, dass im nächsten Zyklus dieselben überflüssigen Zugriffe wieder auftreten.
Zuvor musste Adam den Status manuell überprüfen, was zeitaufwändig war und dazu führte, dass beim nächsten Durchlauf redundante Zugriffe zurückkehrten. Dank smartReview kann er nun den Fortschritt der Entscheidungsumsetzung in seinem Bereich in seinem Dashboard sehen – grün bedeutet, dass die Änderungen umgesetzt wurden, rot signalisiert, dass ein Eingriff erforderlich ist.
„Dank der aktuellen Statusvorschau kann ich sicher sein, dass Entscheidungen tatsächlich umgesetzt und nicht nur in einem Bericht festgehalten werden“, schließt Adam.
Die Ergebnisse – messbare Veränderung
Nach dem ersten Zyklus waren deutliche Ergebnisse sichtbar:
- Die Überprüfungszeit wurde auf Seiten der Prüfer um bis zu 75% reduziert.
- Deutliche Reduzierung der Fehlerquote dank automatischer Zuweisungen und Massenoperationen.
- volle Transparenz des Prozesses – von der Planung bis zur Umsetzung der Entscheidung.
- Qualitativ hochwertigere Entscheidungen dank des Zugriffs auf die Historie und die Analyse der Autorisierungsnutzung – Entscheidungen, die tatsächlich im System umgesetzt werden.
- eine effektivere Beseitigung überflüssiger Zugriffe – Entscheidungen, die tatsächlich im System umgesetzt werden.
Nach der Einführung von smartReview änderte sich nicht nur das Arbeitstempo, sondern auch die Qualität des gesamten Prozesses. Die Teams gewannen mehr Kontrolle über den Überprüfungsprozess, und die Aktivitäten selbst wurden berechenbarer und fehlerresistenter.
Regeln für eine erfolgreiche Überprüfung – allgemeine Empfehlungen
Unabhängig vom verwendeten Tool sollte eine effektive SAP-Berechtigungsprüfung auf mehreren universellen Prinzipien beruhen:
- klar definierte Überprüfungskriterien (z. B. obligatorische Kommentare bei der Annahme von Risiken).
- Aufnahme von Informationen über die tatsächliche Verwendung von Genehmigungen in die Überprüfung.
- Überwachung der Umsetzung von Entscheidungen, nicht nur deren Aufzeichnung.
- die Dokumentation des vollständigen Prüfpfads in Übereinstimmung mit den Compliance-Anforderungen.
Dieser Ansatz unterstützt die Einhaltung von Vorschriften wie SOX, GDPR und ISO 27001 und erleichtert auch die Kontrolle der Aufgabentrennung (SoD).
Schlussfolgerung – ein Überblick über Autorisierungen als Sicherheitsmaßnahme
Die Geschichte von Marta und Adam zeigt, dass die Überprüfung von SAP-Berechtigungen kein langwieriger und chaotischer Prozess sein muss. Dank smartReview ist er zu einem organisierten und vorhersehbaren Teil der Systemsicherheitsstrategie geworden. In einer Umgebung, in der die Zugriffskontrolle eines der Schlüsselelemente der Sicherheit ist, sind solche Tools kein Luxus mehr – sie sind eine Notwendigkeit.
Wenn Überprüfungen in Ihrem Unternehmen lediglich als Audit-Anforderung angesehen werden, lohnt es sich, sie als Chance zu sehen, den Zugriff zu organisieren und die Sicherheit der gesamten SAP-Umgebung zu stärken.
Und wenn Sie sehen möchten, wie dieser Prozess in der Praxis funktioniert, empfehlen wir Ihnen, die interaktive smartReview-Demo anzusehen. Sie finden die Demo unter https://smartgrc.eu/en/demo/.
Referenzen:
Dieser Artikel basiert auf den Erfahrungen des GRC Advisory-Teams bei der Durchführung von Berechtigungsprüfungen im SAP-System und den Erkenntnissen, die bei der Entwicklung und Implementierung des smartReview-Moduls in der smartGRC-Anwendung gewonnen wurden.
