Drog din senaste SAP-auktorisationsrevision ut på tiden i flera veckor? Förlängde Excel-filer och oändliga e-postmeddelanden processen ytterligare? Se hur du kan granska SAP-åtkomst upp till fyra gånger snabbare!
I många organisationer är periodisk granskning av behörigheter en formell skyldighet relaterad till revisionskrav, GDPR eller SOX. Men i stor skala – med tusentals användare, ett dussintal SAP-system och komplexa roller – leder ett manuellt tillvägagångssätt till kaos och fel.
Så såg vardagen ut för Marta, som organiserade SAP-auktorisationsgranskningen, och Adam, chef för ekonomiavdelningen med ansvar för att verifiera auktorisationerna inom sitt område. De visste båda att de behövde ett verktyg som gjorde det möjligt för dem att ta kontroll över processen. Lösningen visade sig vara smartReview-modulen i smartGRC-applikationen.
Steg 1: Planera granskningen – en snabb start i stället för ett maratonlopp
Varje granskning börjar med att definiera omfattningen – vad den täcker, vem som ska göra verifieringen och vilka kriterier som ska beaktas. Detta steg är avgörande eftersom misstag som begås i början kan leda till förseningar och att hela processen måste upprepas.
När Marta förberedde en granskning i ett företag med flera tusen anställda och ett dussintal SAP-system brukade hon tillbringa timmar med att fastställa omfattningen och utse granskare. Nu, med smartReview, tar det bara några minuter att ange slutdatum för granskningen, tröskelvärden för transaktionsanvändning, kommentarskrav för hög risk och utesluta tekniska konton.
”Att förbereda en granskning, som tidigare tog mig flera timmar, tar nu bara några minuter”, säger Marta.
Steg 2: Datakontroll – det är bättre att förebygga än att korrigera
När omfattningen av granskningen har fastställts är nästa steg att säkerställa att alla data har tilldelats rätt personer. Detta är en vanlig stötesten: i den traditionella modellen uppdagades felaktiga tilldelningar först när någon rapporterade att de hade fått fel dataset.
I dag kan Marta omedelbart se om systemet har tilldelat verifierare på rätt sätt enligt de fastställda reglerna. Hon kan filtrera data och göra stora ändringar i tilldelningarna. På så sätt elimineras fel redan från början, innan processen tar fart.
”Nu kan jag upptäcka och korrigera felaktiga uppdrag direkt, vilket eliminerar stilleståndstiden senare”, tillägger Marta.
Steg 3: Beslutsfattande – färre klick, fler beslut
Kärnan i granskningsprocessen är de beslut som fattas av kontrollanterna. Det är här kontrollanterna beslutar vilka åtkomster som ska vara kvar och vilka som måste återkallas. I den traditionella modellen innebar detta att Adam var tvungen att analysera hundratals objekt och manuellt bocka av risker – en tråkig och felbenägen uppgift.
Nu ser Adam bara de objekt som kräver hans uppmärksamhet. Han kan använda historiken för tidigare beslut, filtrera data och kopiera tidigare fattade beslut i bulk. Om han markerar att en risk ska återkallas identifierar och markerar smartReview dessutom automatiskt alla förekomster av denna risk i användarens övriga behörigheter.
Ett vanligt problem i många företag är behörigheter som lämnats kvar till tidigare anställda. Tack vare smartReview kan Adam nu ta bort all åtkomst från inaktiva konton inom sitt område med ett enda klick.
”Beslutshistoriken och den automatiska markeringen av relaterade objekt minskar min arbetstid med upp till hälften”, säger han. Adam understryker.
Steg 4: Övervakning av genomförandet – synlighet fram till slutförandet
Granskningen i sig är inte avslutad när ett beslut har fattats. Det är lika viktigt att se till att resultaten faktiskt implementeras i systemet. Utan effektiv övervakning finns det en risk att samma redundanta åtkomst återkommer i nästa cykel.
Tidigare var Adam tvungen att kontrollera statusen manuellt, vilket var tidskrävande och ledde till att överflödiga åtkomster återkom i nästa körning. Tack vare smartReview kan han nu se hur beslutsimplementeringen fortskrider i hans område på instrumentpanelen – grönt betyder att ändringarna har implementerats, rött signalerar att det behövs åtgärder.
”Tack vare förhandsgranskningen av aktuell status kan jag vara säker på att besluten faktiskt genomförs och inte bara registreras i en rapport”, avslutar Adam.
Resultaten – mätbar förändring
Efter den första cykeln kunde man se tydliga resultat:
- Granskningstiden minskas med upp till 75 % på kontrollanternas sida.
- betydande minskning av fel tack vare automatiska tilldelningar och bulkoperationer.
- full insyn i processen – från planering till genomförande av beslut.
- Beslut av högre kvalitet tack vare tillgång till historik och analys av behörighetsanvändning – beslut som faktiskt implementeras i systemet.
- effektivare avlägsnande av överflödig åtkomst – beslut som faktiskt genomförs i systemet.
Efter implementeringen av smartReview förändrades inte bara arbetstakten, utan även kvaliteten på hela processen. Teamen fick större kontroll över granskningsprocessen, och själva aktiviteterna blev mer förutsägbara och felsäkra.
Regler för en framgångsrik granskning – allmänna rekommendationer
Oavsett vilket verktyg som används bör en effektiv revision av SAP-behörigheter baseras på ett antal universella principer:
- tydligt definierade granskningskriterier (t.ex. obligatoriska kommentarer vid acceptans av risker).
- Inkludering av information om den faktiska användningen av tillstånd i översynen.
- övervaka genomförandet av beslut, inte bara registrera dem.
- dokumentera den fullständiga verifieringskedjan i enlighet med efterlevnadskraven.
Detta tillvägagångssätt stöder efterlevnad av regelverk som SOX, GDPR och ISO 27001 och underlättar också kontrollen av åtskillnad av arbetsuppgifter (SoD).
Slutsats – en genomgång av behörigheter som säkerhetsåtgärd
Historien om Marta och Adam visar att granskningen av SAP-auktorisationer inte behöver vara en tråkig och kaotisk process. Tack vare smartReview har den blivit en organiserad och förutsägbar del av systemsäkerhetsstrategin. I en miljö där åtkomstkontroll är en av de viktigaste delarna av säkerheten är sådana verktyg inte längre en lyx – de är en nödvändighet.
Om granskningar enbart ses som ett revisionskrav i ditt företag, är det värt att se dem som en möjlighet att organisera åtkomsten och stärka säkerheten i hela SAP-miljön.
Och om du vill se hur den här processen fungerar i praktiken uppmuntrar vi dig att kolla in den interaktiva smartReview-demonstrationen. Du hittar demot på https://smartgrc.eu/en/demo/.
Referenser:
Denna artikel baseras på GRC Advisory-teamets erfarenhet av att genomföra auktorisationsgranskningar i SAP-systemet och den kunskap som erhållits vid utformning och implementering av smartReview-modulen i smartGRC-applikationen.
