FALLSTUDIER
Periodisk översyn av SAP-rättigheter
Inledning
Att genomföra periodiska rättighetsgranskningar av IT-system blir en allt vanligare kontrollmekanism i miljöer där stora ERP-system ligger till grund för verksamheten. Detta drivs ofta av en önskan att implementera god praxis, eller är resultatet av att implementera en rekommendation efter en genomförd revision av finansiella rapporter. Att säkra affärsprocesser genom väl utformade och tilldelade användarrättigheter är en viktig förebyggande kontroll som minskar risken för redundanta åtkomster. Det är också en bra förstärkning av företagets interna kontrollsystem. Det är värt att fundera över varför det fortfarande är så få företag som i praktiken effektivt implementerar denna kontroll och baserar sin hantering av risken för redundanta behörigheter på den. Syftet med denna fallstudie är att beskriva den praktiska erfarenhet som skapats efter att ha implementerat verktyget och en sådan process i en global amerikansk-europeisk detaljhandelsorganisation.
Utmaning
Företagsledningen, som följde en rekommendation från den finansiella revisorn om att en periodisk granskning av rättigheter borde införas, utsåg IT-direktören till ansvarig för att stödja processen för granskning av rättigheter från verktygssidan, eftersom det redan från början stod klart att omfattningen av affärsverksamheten inte tillät att denna process genomfördes manuellt, utan användning av systemstöd. Revisionsdirektören beslutade också att bidra till övningen från sitt perspektiv och utarbetade därför en lista över viktiga antaganden och risker på detta område för att vägleda den fortsatta utformningen och genomförandet av processen för granskning av rättigheter. Företagsledningen hade inte utarbetat någon detaljerad idé för genomförandet av denna övning, och det fanns inga förfaranden eller policyer för att fastställa hur en sådan process skulle genomföras. Redan från början stod det klart att det inte var någon idé att börja om från början – företaget vände sig till marknaden för att hitta färdiga metoder och en teknisk lösning för att på kort tid ta itu med följande utmaningar:
- Distribuerade data: Information om rättigheter lagrades i två ERP-system med totalt över 1.000 användare
- Internationell räckvidd: Användarna arbetade i ERP-systemet i flera länder inom och utanför Europa och använde engelska i den dagliga kommunikationen
- Många deltagare: Cirka 100 företagskontrollanter var involverade i processen för granskning av rättigheter
- Tidspress/begränsad tid för implementering: Företaget hade bara 3 veckor på sig att genomföra hela processen för granskning av rättigheter och cirka 7 veckor på sig att förbereda och lansera hela processen
- Otydliga beskrivningar av användarroller: Rollerna beskrivs på ett tekniskt språk, utan särskilda verksamhetsbeskrivningar, vilket skulle vara obegripligt för kontrollanter utan teknisk kunskap
- Högt antal SOD-risker: Totalt 1518 risker för övertilldelning av rättigheter (SoD – Segregation of duties) identifierades i dialoganvändarnas rättigheter
För att sammanfatta dessa utmaningar i efterhand behövdes en lösning som skulle stödja organisationen både tekniskt och organisatoriskt, och allt detta skulle vara igång på mindre än tre månader. Som om listan med utmaningar var för kort och uppgiften för lätt identifierade revisionsdirektören dessutom följande risker och krav för den process som skulle uppfyllas vid den allra första granskningen av ERP-användarrättigheter:
- Fullständighet: Processen måste hantera alla risker för redundanta privilegier på hög nivå och kritisk och känslig användaråtkomst ur ett affärsperspektiv (masterdata, bankkonton, betalningar etc.) och IT-perspektiv (teknisk åtkomst – redigering av tabeller, körning av program etc.).
- Noggrannhet: Varje aktiv dialoganvändare (kan blockeras på grund av felaktigt lösenord, men måste vara giltig) som har min. 1 medelhög eller hög risk måste finnas med i redogörelsen. Alla hans/hennes behörigheter som genererar risker ska ingå i redogörelsen. SAP ECC ERP- och SAP HR-systemen ska beaktas först. Under de följande åren kommer även domänsystem, ett dedikerat försäljningssystem, en inköpsportal etc. att inkluderas.
- Transparens: När granskningen har slutförts måste administratören kunna ta fram ett uttalande där fullständigheten i listan över användare och risker kan påvisas för att säkerställa att de ovan nämnda kraven har uppfyllts.
- Aktualitet: Granskningens framsteg (t.ex. procentandel) är synligt under granskningen. Granskare som inte vidtar åtgärder får meddelanden – det är viktigt att granskningen slutförs i rätt tid. När tidsfristen har löpt ut ska granskningsadministratören slutföra och rapportera alla affärsrättigheter som inte har accepterats för återkallande.
- Användbarhet: Företagsanvändaren – kontrollanten – har en överblick över beskrivningen av och nivån på den aktuella risken och kan se om transaktioner som är relaterade till risken har använts eller endast finns tillgängliga i behörigheterna. Granskningen måste vara lätt att utföra, en kontrollant får inte lägga mer än 3-4 timmar på att analysera sina användares rättigheter. Information om transaktioner som utlöses av användare med deras affärsbeskrivning ska på begäran vara tillgänglig för kontrollanten. I efterföljande granskningar ska information inkluderas om beslut som fattats i den föregående granskningen.
- Uppföljning av affärsbeslut: IT-teamet har cirka 1 månad på sig efter granskningen att genomföra beslutet, genomförandet av beslutet (riskminimering) är en viktigare process än själva granskningsbeslutet – statusen för genomförandet av affärsbeslutet måste övervakas
- Hantering av granskningar: Under en granskning kan det hända att den ursprungliga granskaren inte är på kontoret eller är tjänstledig – i en sådan situation bör granskningsadministratören under granskningens gång kunna byta granskare, t.ex. genom att kunna definiera en delegering eller delegera till en annan person i organisationen
