Dröjde din senaste SAP-rättighetsrevision i veckor? Och Excel-filer och oändliga e-postmeddelanden förlängde processen ytterligare? Se hur du kan slutföra din SAP-åtkomstgranskning upp till fyra gånger snabbare!
I många organisationer är cyklisk granskning av behörigheter en formell skyldighet på grund av revisions-, RODO- eller SOX-krav. Men i stor skala – tusentals användare, ett dussin SAP-system och omfattande roller – leder ett manuellt tillvägagångssätt till kaos och fel.
Så såg vardagen ut för Marta, som organiserade rättighetsgranskningen i SAP, och Adam, som var redovisningschef och ansvarig för rättighetsgranskningen i sitt område. De visste båda att de behövde ett verktyg för att ta kontroll över processen. Lösningen visade sig vara smartReview-modulen i smartGRC-appen.
Steg 1: Planering av granskningen – en snabb start istället för ett maratonlopp
Varje granskning inleds med att ramverket definieras – vad det omfattar, vem som ska granska och vilka kriterier som ska beaktas. Detta steg är avgörande, eftersom misstag som görs i början kan leda till förseningar och att hela processen måste göras om.
När Marta förberedde en granskning på ett företag med flera tusen anställda och ett dussin SAP-system brukade hon tillbringa timmar med att fastställa omfattningen och utse kontrollanter. Nu, i smartReview, tar det bara några minuter att ställa in ett datum för när granskningen ska vara klar, ställa in tröskelvärden för transaktionsanvändning, kräva kommentarer vid hög risk och utesluta tekniska konton.
”Att förbereda granskningen, som brukade ta mig flera timmar, tar nu ett dussin minuter”, säger Marta.
Steg 2: Datakontroll – det är bättre att förebygga än att korrigera
När omfattningen av granskningen har fastställts är nästa steg att se till att alla uppgifter har hamnat i rätt händer. Detta är en vanlig stötesten: i den traditionella modellen uppdagades felaktiga attribueringar först när någon rapporterade att de hade fått fel sammanfattning.
Idag kan Marta omedelbart se om systemet har tilldelat verifierare på rätt sätt enligt de fastställda reglerna. Hon kan filtrera data och göra ändringar i tilldelningarna i stor skala. På så sätt elimineras fel i början, innan processen tar fart.
”Nu kan jag upptäcka och korrigera felaktiga uppdrag direkt, vilket eliminerar senare stillestånd”, tillägger Marta. – tillägger Marta.
Steg 3: Beslutsfattande – färre klick, fler beslut
Kärnan i granskningen är de beslut som fattas av kontrollanterna. Det är här kontrollanterna bestämmer vilka åtkomster som ska vara kvar och vilka som måste tas bort. I den traditionella modellen innebar detta för Adam att analysera hundratals objekt och manuellt bocka av risker – ett tråkigt och felbenäget arbete.
Nu kan Adam bara se de objekt som kräver hans uppmärksamhet. Han kan använda historiken för tidigare beslut, filtrera data och masskopiera tidigare beslut. Dessutom, om han markerar en risk för inkasso, identifierar och markerar smartReview automatiskt alla dess förekomster i användarens andra rättigheter.
Ett typiskt problem i många företag är rättigheter som lämnats till tidigare anställda. Med smartReview kan Adam nu ta bort alla åtkomster till inaktiva konton inom sitt område med ett enda klick.
”Beslutshistoriken och den automatiska taggningen av relaterade objekt minskar min arbetstid med upp till hälften”, betonar Adam. – understryker Adam.
Steg 4: Övervaka genomförandet – synlighet till slutet
Granskningen i sig är inte avslutad när ett beslut har fattats. Det är lika viktigt att se till att resultaten faktiskt implementeras i systemet. Utan effektiv övervakning finns det en risk att samma redundanta åtkomst återkommer i nästa cykel.
Tidigare var Adam tvungen att manuellt kontrollera status, vilket var tidskrävande och ledde till att överflödiga åtkomster kom tillbaka i nästa cykel. Med smartReview kan han nu se hur implementeringen av beslut från hans område fortskrider på instrumentpanelen – grönt indikerar genomförda förändringar, rött signalerar att något måste göras.
”Genom att ha en realtidsvy över statusen kan jag vara säker på att besluten faktiskt genomförs och inte bara registreras i en rapport”, avslutar Adam.
Resultat – mätbar förändring
Efter den första cykeln fanns det tydliga resultat:
- upp till 75 % kortare granskningstider för kontrollanterna.
- Betydande minskning av antalet fel tack vare automatiska tilldelningar och bulkoperationer.
- full insyn i processen – från planering till genomförande av beslut.
- Beslut av högre kvalitet genom tillgång till historik och analys av användningen av rättigheter.
- effektivare avlägsnande av överflödig åtkomst – beslut som faktiskt genomförs i systemet.
Efter implementeringen av smartReview har inte bara arbetstakten förändrats, utan även kvaliteten på hela processen. Teamen har fått mer kontroll över genomförandet av granskningen, och själva aktiviteterna har blivit mer förutsägbara och felsäkra.
Principer för en framgångsrik granskning – allmänna rekommendationer
Oavsett vilket verktyg som används bör en effektiv revision av SAP-rättigheter baseras på några universella principer:
- tydligt definierade granskningskriterier (t.ex. obligatorisk kommentar vid acceptans av risker).
- Inkludering i översynen av information om det faktiska utnyttjandet av utsläppsrätter.
- övervaka genomförandet av beslut, inte bara registrera dem.
- dokumentera den fullständiga verifieringskedjan i enlighet med efterlevnadskraven.
Detta tillvägagångssätt stöder efterlevnad av regelverk, inklusive SOX, RODO eller ISO 27001, och underlättar kontroll av arbetsfördelning (SoD).
Sammanfattning – Översyn av rättigheter som en del av säkerheten
Marthas och Adams berättelse visar att behörighetskontroll i SAP inte behöver vara en besvärlig och kaotisk process. Tack vare smartReview har den blivit en strukturerad och förutsägbar del av systemets säkerhetsstrategi. I en miljö där åtkomstkontroll är en av de viktigaste delarna av säkerheten är sådana verktyg inte längre en lyx – de är en nödvändighet.
Om granskningar bara ses som en revisionsskyldighet i ditt företag, är det värt att behandla dem som en möjlighet att reda ut åtkomsten och stärka säkerheten i hela SAP-miljön.
Och om du vill se hur processen ser ut i praktiken uppmuntrar vi dig att ta en titt på den interaktiva smartReview-demonstrationen. Du hittar demot på https://smartgrc.eu/demo/.
Källor:
Artikeln har utvecklats utifrån GRC Advisory-teamets erfarenhet av att implementera rättighetsgranskningar i SAP och kunskap som erhållits genom att utforma och implementera smartReview-modulen i smartGRC-applikationen.
