FALLSTUDIEN

Regelmäßige Überprüfung der SAP-Ansprüche

Implementierung von SAP-Ansprüchen zur regelmäßigen Überprüfung und Entscheidung in der Praxis. Eine Fallstudie über die Implementierung von smartGRC in einem Einzelhandelsunternehmen.

Einführung

Die regelmäßige Überprüfung der Berechtigungen von IT-Systemen ist ein immer häufiger anzutreffender Kontrollmechanismus in Umgebungen, in denen große ERP-Systeme den Betrieb unterstützen. Dies geschieht oft aus dem Wunsch heraus, bewährte Praktiken zu implementieren, oder ist das Ergebnis der Umsetzung einer Empfehlung im Anschluss an eine abgeschlossene Prüfung des Jahresabschlusses. Die Absicherung von Geschäftsprozessen durch gut aufgebaute und zugewiesene Benutzerrechte ist eine wichtige präventive Kontrolle, die das Risiko redundanter Zugriffe verringert. Sie ist auch eine gute Verstärkung des internen Kontrollsystems des Unternehmens. Es lohnt sich, darüber nachzudenken, warum immer noch so wenige Unternehmen in der Praxis diese Kontrolle effektiv umsetzen und ihr Management des Risikos redundanter Berechtigungen darauf stützen. Der Zweck dieser Fallstudie ist es, die praktischen Erfahrungen nach der Implementierung des Tools und eines solchen Prozesses in einem globalen US-amerikanisch-europäischen Einzelhandelsunternehmen zu beschreiben.

Herausforderung

Auf die Empfehlung des Wirtschaftsprüfers hin, eine regelmäßige Überprüfung der Ansprüche einzuführen, beauftragte die Unternehmensleitung den IT-Direktor mit der tooltechnischen Unterstützung des Anspruchsüberprüfungsprozesses, da von Anfang an klar war, dass dieser Prozess aufgrund des Umfangs der Geschäftsvorgänge nicht manuell und ohne Systemunterstützung durchgeführt werden konnte. Der Prüfungsdirektor beschloss ebenfalls, aus seiner Sicht zu der Übung beizutragen und erstellte daher eine Liste der wichtigsten Annahmen und Risiken in diesem Bereich, um die weitere Gestaltung und Umsetzung des Prozesses zur Überprüfung der Ansprüche zu leiten. Das Management des Unternehmens hatte kein detailliertes Konzept für die Umsetzung dieser Übung entwickelt, und es gab keine Verfahren oder Richtlinien, um festzulegen, wie ein solcher Prozess umgesetzt werden sollte. Es war von Anfang an klar, dass es keinen Sinn hatte, den Prozess von Grund auf neu zu erfinden. Das Unternehmen suchte auf dem Markt nach fertigen Verfahren und einer technischen Lösung, um die folgenden Herausforderungen kurzfristig zu bewältigen:

  • Verteilte Daten: Anspruchsinformationen wurden in zwei ERP-Systemen mit insgesamt über 1.000 Benutzern gespeichert
  • Internationale Reichweite: Die Benutzer arbeiteten im ERP-System in mehreren Ländern innerhalb und außerhalb Europas und benutzten Englisch für die tägliche Kommunikation.
  • Zahlreiche Teilnehmer: Ungefähr 100 Wirtschaftsprüfer waren an der Überprüfung der Ansprüche beteiligt.
  • Zeitdruck / begrenzte Zeit für die Umsetzung: Das Unternehmen hatte nur 3 Wochen Zeit, um den gesamten Prozess der Anspruchsüberprüfung durchzuführen und etwa 7 Wochen, um den gesamten Prozess vorzubereiten und zu starten
  • Unklare Beschreibungen von Benutzerrollen: Rollen, die in technischer Sprache beschrieben werden, ohne dedizierte geschäftliche Beschreibungen, die für Prüfer ohne technisches Wissen unverständlich wären
  • Hohe Anzahl von SOD-Risiken: In den Rechten von Dialogbenutzern wurden insgesamt 1518 Risiken einer Überallokation von Rechten (SoD – Segregation of duties) identifiziert

Um diese Herausforderungen im Nachhinein zusammenzufassen: Es wurde eine Lösung benötigt, die das Unternehmen sowohl technisch als auch organisatorisch unterstützen würde, und das Ganze sollte in weniger als drei Monaten einsatzbereit sein. Und als ob diese Liste der Herausforderungen zu kurz und die Aufgabe zu einfach wäre, identifizierte der Audit-Direktor zusätzlich die folgenden Risiken und Anforderungen für den Prozess, die bei der allerersten Überprüfung der ERP-Benutzerrechte erfüllt werden sollten:

  • Vollständigkeit: Der Prozess muss alle Risiken hochgradig redundanter Privilegien und kritischer und sensibler Benutzerzugriffe aus geschäftlicher Sicht (Stammdaten, Bankkonten, Zahlungen usw.) und aus IT-Sicht (technischer Zugriff – Bearbeitung von Tabellen, Ausführung von Programmen usw.) abdecken.
  • Genauigkeit: Jeder aktive Dialogbenutzer (kann aufgrund eines falschen Kennworts gesperrt werden, muss aber gültig sein), der mind. 1 mittleres oder hohes Risiko hat, muss in der Erklärung aufgeführt sein. Alle seine Berechtigungen, die Risiken erzeugen, müssen in die Aufstellung aufgenommen werden. Die Systeme SAP ECC ERP und SAP HR sind als erstes zu berücksichtigen. In den Folgejahren werden auch Domänensysteme, ein spezielles Verkaufssystem, ein Einkaufsportal usw. einbezogen.
  • Transparenz: Nach Abschluss der Überprüfung muss der Administrator in der Lage sein, eine Erklärung vorzulegen, in der die Vollständigkeit der Liste der Benutzer und Risiken nachgewiesen werden kann, um sicherzustellen, dass die oben genannten Anforderungen erfüllt wurden.
  • Rechtzeitigkeit: Der Fortschritt (z.B. Prozentsatz) der Überprüfung ist während der Überprüfung sichtbar. Prüfer, die keine Maßnahmen ergreifen, erhalten Benachrichtigungen – die Rechtzeitigkeit des Abschlusses der Überprüfung ist ein wichtiger Aspekt. Der Überprüfungsverwalter muss nach Ablauf der Frist alle Geschäftsansprüche, die nicht zum Widerruf angenommen wurden, abschließen und melden
  • Benutzerfreundlichkeit: Der Geschäftsanwender – der Prüfer – hat einen Überblick über die Beschreibung und die Höhe des betreffenden Risikos und kann sehen, ob Transaktionen im Zusammenhang mit dem Risiko verwendet wurden oder nur in den Ansprüchen verfügbar sind. Die Überprüfung muss leicht durchführbar sein, ein Prüfer darf nicht mehr als 3-4h mit der Analyse der Berechtigungen seiner Benutzer verbringen. Die Informationen über die von den Nutzern ausgelösten Transaktionen mit ihrer Geschäftsbeschreibung müssen dem Prüfer auf Anfrage zur Verfügung gestellt werden. Bei späteren Überprüfungen sind Informationen über die bei der vorherigen Überprüfung getroffenen Entscheidungen einzubeziehen.
  • Follow-up für Geschäftsentscheidungen: Das IT-Team hat ca. 1 Monat nach der Überprüfung Zeit, die Entscheidung umzusetzen. Die Umsetzung der Entscheidung (De-Risking) ist ein wichtigerer Prozess als die Entscheidung der Prüfer selbst – der Status des Fortschritts bei der Umsetzung der Geschäftsentscheidungen muss überwacht werden.
  • Verwaltung der Überprüfung: Während einer Überprüfung kann es vorkommen, dass der ursprüngliche Überprüfer nicht im Büro oder im Urlaub ist – in einer solchen Situation sollte der Überprüfungsadministrator in der Lage sein, den Überprüfer während der Überprüfung zu wechseln, z. B. indem er eine Delegation festlegen oder an eine andere Person in der Organisation delegieren kann

Möchten Sie sehen, wie unser Team eine solche Herausforderung gemeistert hat? Hinterlassen Sie uns Ihre Daten und wir senden Ihnen einen vollständigen Fallbericht zu.