Bonn � Boston
Alexander Barta, Barbara Giller, Aslan Milla
SAP® GRC Access Control
1141.book Seite 3 Donnerstag, 31. Juli 2008 3:31 15
Auf einen Blick
1 Einleitung ................................................................ 17
2 Marktentwicklungen und gesetzliche Rahmenbedingungen .............................................. 23
3 Einführung in Governance, Risikomanagement und Compliance ...................................................... 69
4 Integration von GRC-Initiativen durch SAP-Lösungen für GRC ........................................... 125
5 SAP-Berechtigungskonzept und Funktionstrennung ................................................. 143
6 Risikoanalyse und Re-Design mit SAP GRC Access Control ......................................... 211
7 Benutzer- und Rollenmanagement mit SAP GRC Access Control ......................................... 303
8 Abschluss der Fallstudie ......................................... 383
9 Ausblick .................................................................. 387
A Periodische Hintergrundjobs .................................. 391
B Übersicht über deutsch-englische Begriffe ............ 395
C Literaturverzeichnis ................................................ 399
D Die Autoren ............................................................. 403
1141.book Seite 5 Donnerstag, 31. Juli 2008 3:31 15
7
Inhalt
Vorwort ........................................................................................ 13
1.1 Inhaltliche Abgrenzung ............................................... 171.2 Zielgruppen ................................................................ 191.3 Arbeiten mit diesem Buch .......................................... 201.4 Danksagung ................................................................ 22
2.1 Begriffsdefinition und -abgrenzung ............................. 242.1.1 Corporate Governance, Risikomanagement
und Compliance (GRC) ................................... 242.1.2 Isolierte vs. integrierte Betrachtung
von GRC ........................................................ 282.2 Steigender Handlungsbedarf für Unternehmen ........... 33
2.2.1 Bilanz- und Wirtschaftsskandale in den USA und Europa ............................................ 33
2.2.2 Wirtschaftskriminalitätsstudie von PwC – verdrängen Firmen das Risiko? ....................... 38
2.3 Die Fallstudie ............................................................. 462.4 Compliance-Vorschriften und ihre Auswirkungen ........ 50
2.4.1 Der angloamerikanische Zugang – Sarbanes-Oxley 2002 ..................................... 50
2.4.2 Entwicklungen in Europa: Die 8. EU-Richtlinie 552.4.3 Weitere gesetzliche Vorschriften in
Deutschland, Österreich und der Schweiz ...... 582.4.4 Implementierungsaufwand und laufende
Kosten ........................................................... 632.4.5 Resultierende Konsequenzen für
Unternehmen – Fallbeispiel ............................ 652.5 Nutzen und Nachhaltigkeit eines ganzheitlichen
GRC-Managements ..................................................... 66
1 Einleitung ................................................................. 17
2 Marktentwicklungen und gesetzliche Rahmenbedingungen ............................................... 23
1141.book Seite 7 Donnerstag, 31. Juli 2008 3:31 15
Inhalt
8
3.1 Governance als Basis .................................................. 693.1.1 Was man über Corporate Governance
wissen muss .................................................. 703.1.2 Europäische Corporate-Governance-
Kodizes ......................................................... 763.1.3 IT Governance ............................................... 813.1.4 COSO I als Rahmenwerk für Governance ....... 883.1.5 Fortführung der Fallstudie ............................. 91
3.2 Risikomanagement für das Erreichen der Ziele ........... 933.2.1 Ein praxisorientierter Zugang zum
Risikomanagement ........................................ 943.2.2 COSO II – das Enterprise-Risk-
Management-Modell (ERM) .......................... 973.2.3 Darstellung des Risikomanagementprozesses
in der Fallstudie ............................................. 1003.2.4 Beispiele für Risiken und Kontrollen beim
Berechtigungskonzept ................................... 1063.3 Compliance – Umgang mit Regeln und Standards ....... 109
3.3.1 Compliance – mehr als nur Regeleinhaltung! ........................................... 109
3.3.2 Governance und Risikomanagement als Basis für Compliance-Ziele ..................................... 111
3.3.3 Fortführung der Fallstudie ............................. 1133.4 Vorstellung und Anwendung des Self-Assessment-
Fragebogens .............................................................. 1143.5 Integration von GRC .................................................. 117
3.5.1 Arten der Integration .................................... 1183.5.2 Beschreibung des integrierten GRC in
der Fallstudie ................................................ 119
4.1 Übersicht über die SAP-Lösungen für GRC ................. 1254.1.1 GRC Foundation ............................................ 1284.1.2 SAP GRC Risk Management ........................... 1284.1.3 SAP GRC Process Control .............................. 1294.1.4 SAP GRC Global Trade Services (GTS) ............ 130
3 Einführung in Governance, Risikomanagement und Compliance ........................................................ 69
4 Integration von GRC-Initiativen durch SAP-Lösungen für GRC ............................................. 125
1141.book Seite 8 Donnerstag, 31. Juli 2008 3:31 15
Inhalt
9
4.1.5 SAP Environment, Health & Safety ................. 1314.1.6 Fallstudie zu den SAP-Lösungen für GRC ........ 131
4.2 Übersicht über SAP GRC Access Control ..................... 1324.3 Das SAP GRC Access Control-Implementierungs-
projekt ....................................................................... 1374.4 Technische Installation von SAP GRC Access
Control ....................................................................... 141
5.1 Berechtigungen und ihre Bedeutung für das Interne Kontrollsystem ............................................... 1435.1.1 Relevanz und Auswirkungen eines
funktionierenden Berechtigungskonzepts ....... 1445.1.2 Analyse von Ist-Status und Information
Processing Objectives .................................... 1475.1.3 Best-Practice-Prozess der Berechtigungs-
pflege ............................................................ 1505.2 Aufbau und Funktionsweise des
SAP-Berechtigungskonzepts ........................................ 1575.2.1 Aufbau von Userprofilen und Rollen ............... 1575.2.2 Rollen, Benutzerstamm und Profilgenerator ... 1715.2.3 Superuser und andere kritische Profile ........... 1755.2.4 Relevante SAP Reports und Tabellen,
Prüfungsmethoden und Prüftools ................... 1805.3 Die Funktionstrennung aus Prüfersicht ........................ 189
5.3.1 Warum benötigt ein Unternehmen effektive Funktionstrennung? ......................... 190
5.3.2 SoD-Regeln aus IT-Sicht ................................. 1915.3.3 SoD-Regeln aus Geschäftsbereichssicht .......... 1985.3.4 Praxisbeispiele ............................................... 207
6.1 Anforderungen an SAP GRC Access Control ................ 2116.2 Risk Analysis and Remediation .................................... 213
6.2.1 Initiale Konfiguration von Risk Analysis and Remediation ............................................ 215
6.2.2 Funktionsumfang von Risk Analysis and Remediation ............................................ 218
5 SAP-Berechtigungskonzept und Funktions-trennung ................................................................... 143
6 Risikoanalyse und Re-Design mit SAP GRC Access Control .......................................................... 211
1141.book Seite 9 Donnerstag, 31. Juli 2008 3:31 15
Inhalt
10
6.2.3 Aufbau der Prüfregeln in Risk Analysis and Remediation ........................................... 222
6.2.4 Anpassen und Erweitern der Abfragen ........... 2296.2.5 Durchführung und Beurteilung der
Risikoanalysen ............................................... 2656.2.6 Kompensierende Kontrollen und
automatische Alarmmeldungen ..................... 2786.2.7 Risk Terminator ............................................. 289
6.3 Superuser Privilege Management ............................... 2906.3.1 Funktionsweise und Setup von Superuser
Privilege Management ................................... 2916.3.2 Fortführung der Fallstudie ............................. 297
7.1 Häufige Schwächen im Benutzer- und Rollen-management .............................................................. 304
7.2 Unterstützung durch SAP GRC Access Control ............ 3067.3 Compliant User Provisioning ...................................... 307
7.3.1 Post-Installationsmaßnahmen für CUP ........... 3097.3.2 Funktionsumfang von Compliant User
Provisioning .................................................. 3127.3.3 Konfigurationsschritte von CUP ..................... 338
7.4 Enterprise Role Management ..................................... 3507.4.1 Post-Installationsmaßnahmen für ERM .......... 3527.4.2 Funktionsumfang von Enterprise Role
Management ................................................. 3527.4.3 Konfiguration des Rollenerstellungsprozesses
in ERM .......................................................... 367
8.1 Was der Crashkurs-Konzern gelernt hat ..................... 3838.2 Wie es jetzt weitergeht … .......................................... 386
9.1 Rechtliche Entwicklungen .......................................... 3879.2 Entwicklung der SAP GRC-Lösungen .......................... 388
9.2.1 Ausblick für SAP GRC Access Control ............ 3899.2.2 Ausblick für das GRC-Produktportfolio .......... 389
7 Benutzer- und Rollenmanagement mit SAP GRC Access Control .......................................... 303
8 Abschluss der Fallstudie .......................................... 383
9 Ausblick .................................................................... 387
1141.book Seite 10 Donnerstag, 31. Juli 2008 3:31 15
Inhalt
11
A Periodische Hintergrundjobs ................................................. 391B Übersicht über deutsch-englische Begriffe ............................. 395C Literaturverzeichnis ............................................................... 399D Die Autoren .......................................................................... 403
Index ............................................................................................ 405
Anhang
1141.book Seite 11 Donnerstag, 31. Juli 2008 3:31 15
13
Vorwort
Nach der boomenden Wirtschaft in den 90ern kam mit den Bilanz-skandalen um die Jahrtausendwende das große Erwachen. Auf ein-mal entstanden zahlreiche neue Gesetze und Vorschriften zur Ver-meidung von Bilanzfälschung und zum Schutz der Investoren. Einigedieser Anforderungen führten vor allem am amerikanischen Marktzu einem kaum abschätzbaren Kostenvolumen und formalistischenPrüfmethoden für die Unternehmen.
In Europa wurde ein nachhaltigerer Ansatz als Reaktion auf die inter-nationalen und europäischen Bilanzskandale angestrebt: So wurden2006 zwei bedeutende Richtlinien – die Änderungsrichtlinie und dieAbschlussprüferrichtlinie – in Kraft gesetzt. Die EU-Mitgliedsländermüssen diese Bestimmungen bereits Mitte 2008 in nationales Rechtumgesetzt haben. In Österreich wurden diese Anforderungen mitdem Unternehmensrechts-Änderungsgesetz URÄG 2008 eingeführt,in Deutschland soll das Bilanzrechtsmodernisierungsgesetz BilMoGdie EU-Vorgaben in deutsches Recht transferieren.
Die zwei EU-Richtlinien fokussieren unter anderem auf Themen wieCorporate Governance, Risikomanagement, Internes Kontrollsystemund Compliance. Ziele sind eine verbesserte Unternehmensbericht-erstattung und eine konsequente Überwachung der Organisationsab-läufe.
Einen wesentlichen Aspekt wird dabei ein funktionierendes Berech-tigungskonzept in Ihrem ERP-System einnehmen. Denn ohne ent-sprechend eingerichtete und verwaltete Zugriffsrechte auf Unterneh-mensdaten bzw. die Einhaltung von Funktionstrennung können dieZuverlässigkeit der betrieblichen Abläufe und die Richtigkeit undVollständigkeit der internen und externen Berichterstattung nicht si-chergestellt werden.
Diese Richtlinien werden folglich nicht nur Vorstandsmitglieder, Ge-schäftsführer, Aufsichtsräte und Wirtschaftsprüfer wesentlich beein-flussen, sondern auch interne Revisoren und IT-Mitarbeiter beschäf-tigen.
1141.book Seite 13 Donnerstag, 31. Juli 2008 3:31 15
14
Vorwort
Im Unterschied zu US-amerikanischen Gesetzesvorschriften versuchtder europäische Ansatz, weniger sanktionsorientiert die Unterneh-men und ihre Führungs- und Aufsichtsorgane zunächst zu überzeu-gen, vor allem ihren Rechnungslegungsprozess und andere interneAbläufe transparent zu machen. Das Umdenken muss unternehmens-intern erfolgen – der Nutzen eines intakten Risikomanagements odereiner funktionsfähigen Corporate Governance kann nicht durch ex-terne Prüfer oder Berater allein vermittelt werden.
Der Umgang mit diesen Anforderungen seitens der Unternehmen istsehr unterschiedlich: Denken Sie an einen Vorstand, der sich halb-herzig diesen Vorgaben widmet – wieder einmal ein Gesetz oder eineRichtlinie, die es einzuhalten gilt. Die unternehmensinterne Umset-zung der Anforderungen wird erst einmal eine Hierarchiestufe hin-unterdelegiert. Meist wird versucht, im Rahmen eines befristetenProjekts die Vorgaben zu erfüllen – ein Jahr später ist der tiefere Blickfür Corporate Governance und Co. auch schon wieder verschwun-den.
In einem anderen Unternehmen hingegen entschließt sich die Ge-schäftsleitung, die Vorgaben an ein funktionierendes Risikomanage-ment und Internes Kontrollsystem als potenziellen Nutzen für dieOrganisation zu sehen. Sie lässt wesentliche Geschäftsabläufe, z. B.im IT-Bereich, erheben und die Mitarbeiter kritische Prozessaktivitä-ten und Kontrollhandlungen optimieren. Auf diese Weise werdenviele Redundanzen, ineffiziente Strukturen und Abläufe im Unter-nehmen offengelegt und können anschließend verbessert werden.
Hier geht es um nachhaltige Optimierung – denn auch wenn Vor-schriften im Bereich Governance, Risikomanagement und Compli-ance selten ohne umfangreichen Arbeitsaufwand auskommen, ist eswichtig, diese Vorgaben als Chance für das eigene Unternehmen zuerkennen.
Das Berechtigungskonzept eines Unternehmens nimmt auch hiereine ganz besondere Rolle ein: Geschickt eingeführt und auf diewichtigsten Aspekte fokussiert, liefert ein solches Konzept seinenBeitrag zu einer nachhaltigen Verbesserung der Abläufe und Pro-zesse.
Es liegt an Ihnen, diese neuen Vorschriften als Chance und nicht alsnotwendiges Übel zu sehen. Es liegt an Ihnen, Ihr firmeneigenes Be-
1141.book Seite 14 Donnerstag, 31. Juli 2008 3:31 15
15
Vorwort
rechtigungskonzept selbstkritisch zu hinterfragen und auf die neuenAnforderungen auszurichten. Und es liegt an Ihnen, diese Aufgabejetzt anzugehen!
Wir hoffen, dass dieses Buch Sie bei Ihrem ehrgeizigen Vorhaben un-terstützen wird und Ihnen einen tieferen Einblick in aktuelle Heraus-forderungen, Best-Practice-Methoden und SAP GRC Access Controlliefert.
Dr. Aslan MillaPricewaterhouseCoopers ÖsterreichPräsident des Instituts Österreichischer Wirtschaftsprüfer
1141.book Seite 15 Donnerstag, 31. Juli 2008 3:31 15
17
Welche Bedeutung haben Governance, Risk und Compliance heutzutage für Unternehmen und insbesondere ihre IT-Sys-teme? Welche Anforderungen werden in diesem Zusammen-hang an ein Berechtigungskonzept gestellt, und wie lässt sich dies mithilfe von SAP GRC Access Control umsetzen? Dies sind die Fragen, die in diesem Buch beantwortet werden. In der Einleitung lesen Sie, an wen sich dieses Buch richtet und wie es strukturiert ist.
1 Einleitung
Wir haben uns in der Vorbereitungsphase zu diesem Buch langeüberlegt, wie wir das Thema Access Control mit SAP möglichst über-sichtlich darstellen, aber dennoch die technischen Grundlagen unddas rechtliche Hintergrundwissen dazu einbinden können. Das warschwieriger, als zuerst gedacht, und wir haben lange über die inhalt-liche Abgrenzung und die Gewichtung der verschiedenen Themendiskutiert. Schließlich werden hier viele verschiedene und komplexeThemen angesprochen. Warum dieses Buch letztlich genau so zu-stande gekommen ist, wie es Ihnen nun vorliegt, und wie Sie damitarbeiten können, möchten wir in diesem Kapitel erläutern.
1.1 Inhaltliche Abgrenzung
Was ist GRC?Der Themenkomplex Governance, Risk und Compliance (GRC) ist äu-ßerst kompliziert und vielschichtig. Er setzt sich aus einem Wirrwarrvon Richtlinien, Gesetzen, Gesetzesinterpretationen und Prüfungs-standards zusammen, die in verschiedenen Ländern und von diver-sen Organisationen erstellt und weiterentwickelt wurden. DieseRegelungen sind oftmals in einer selbst für Eingeweihte schwer ver-ständlichen Sprache verfasst. Letztlich stellt sich auch die Frage, wel-che Regelungen für welche Zielgruppen gültig und verpflichtendsind. Wir haben versucht, dieses Begriffsknäuel zu entwirren und diewichtigsten Grundprinzipien des Themenkreises GRC möglichst ver-
1141.book Seite 17 Donnerstag, 31. Juli 2008 3:31 15
18
Einleitung1
ständlich und mit Beispielen unterlegt aufzuzeigen. Ziel dieses Bu-ches ist es jedoch nicht, einen vollständigen Überblick dazu zu geben.Damit hätten wir die geplante Seitenzahl des Buches gesprengt. ImLiteraturverzeichnis finden Sie jedoch weiterführende Literatur zudiesem Thema.
SAP-Berech-tigungskonzept
Ein aus den GRC-Initiativen abgeleitetes Thema ist die Prüfung undOptimierung von SAP-Berechtigungskonzepten. Auch dieses Themawäre für sich bereits buchfüllend. Da ein gutes Verständnis eine we-sentliche Voraussetzung für die erfolgreiche Nutzung von SAP AccessControl ist, haben wir auch hier eine Übersicht über die wesentlichenPrinzipien in das Buch aufgenommen. Da ein Buch auch ein Endehaben sollte, mussten wir uns auch hier auf wesentliche Punktebeschränken.
SAP GRC AccessControl
Wie sich GRC-Initiativen in das SAP-Berechtigungskonzept überlei-ten und wie mit SAP GRC Access Control die daraus resultierenden An-forderungen und Best-Practice-Prozesse an das Rollen- und Benutzer-management erfüllt werden können, ist der dritte Schwerpunktunseres Buches. Hier haben wir versucht, den verbleibenden Platzfür eine fundierte Beschreibung der wesentlichen Zusammenhängeund Wirkungsweisen der Access-Control-Anwendungen zu verwen-den. Wir haben die wichtigsten Aspekte und Schritte für die Imple-mentierung der Anwendungen vorgestellt und auch häufige Stolper-steine aufgezeigt.
Wir haben unsere Ausführungen mit der Darstellung von Zusam-menhängen, wichtigen Konzepten sowie Prozessen und Abläufen un-terlegt. Darüber hinaus haben wir Abbildungen aus SAP ERP-Syste-men und den Access-Control-Anwendungen verwendet, um das»Look and Feel« und die wesentlichen Customizing-Einstellungen zuzeigen.
Dieses Buch basiert auf dem aktuellen Releasestand SAP GRC AccessControl 5.3, der sich zurzeit im Ramp-Up befindet. Deshalb sind klei-nere Änderungen an der Programmoberfläche möglich.
Die Fallstudie Um die vorgestellten Konzepte zu verdeutlichen, haben wir diese mitBeispielen untermauert, die sich in der Summe zu einer umfassendenFallstudie ergänzen, die die dargestellten Inhalte illustrieren soll. DasBeispielunternehmen – der Crashkurs-Konzern – begleitet uns imVerlauf des gesamten Buches.
1141.book Seite 18 Donnerstag, 31. Juli 2008 3:31 15
19
Zielgruppen 1.2
Wir haben versucht, unsere Ausführungen branchen- und länderneu-tral zu halten, um sie für einen möglichst großen Kreis von Interes-senten anwendbar zu machen.
1.2 Zielgruppen
An wen richtet sich dieses Buch?
Folgende Zielgruppen sollten mit diesem Buch wertvolle Hinweisezum Thema Access Control mit SAP GRC erhalten:
Leiter und Mitarbeiter von Compliance-Abteilungen, IT-Governance-Abteilungen und internen Revisionen erhalten einen fundierten Über-blick über den Aufbau der SAP-Berechtigungsstrukturen. Darüber hi-naus wird dargestellt, wie die Funktionsweise der Access-Control-Anwendungen geplante GRC-Initiativen unterstützen kann.
SAP-Manager und Mitarbeiter aus SAP-Abteilungen bekommen eineumfassende Übersicht über die wesentlichen rechtlichen GRC-Grundsätze, darüber, wie sich diese im Prüfungsansatz bei Berech-tigungsprüfungen niederschlagen, sowie über daraus abgeleiteteBest-Practice-Prozesse. Weiterhin werden die Funktionalitäten derAccess-Control-Anwendungen dargestellt und die mögliche Unter-stützungsleistung, die Access Control für den Rollen- und Benutzer-administrationsprozess liefern kann.
Projektleiter, Teammitglieder und Berater von GRC-Implementie-rungsprojekten erhalten hilfreiche Hinweise zur Projektplanungsowie zu wesentlichen Customizing-Schritten von Access Control.
IT-Prüfer bekommen wertvolle Hinweise über die Funktionalität vonAccess Control und können daraus wiederum Rückschlüsse für ihrePrüfungshandlungen ziehen.
Studenten und andere Interessierte bekommen einen fundierten Über-blick über den Zusammenhang zwischen GRC-Initiativen und SAP-Berechtigungskonzepten sowie über wesentliche Aspekte, Zusam-menhänge und die Wirkungsweise von SAP GRC Access Control.
1141.book Seite 19 Donnerstag, 31. Juli 2008 3:31 15
20
Einleitung1
1.3 Arbeiten mit diesem Buch
Wir haben das Buch so aufgebaut, dass kein Vorwissen im BereichGRC, SAP-Berechtigungen oder Access Control notwendig ist. Wirführen Sie Stück für Stück in diese Bereiche ein.
Sie können die einzelnen Kapitel des Buches in beliebiger Reihen-folge durcharbeiten. Da sich jedoch insbesondere unsere Fallstudievon Kapitel zu Kapitel fortsetzt und dadurch das Verständnis verbes-sert werden soll, würden wir empfehlen, das Buch in der Reihenfolgeder Kapitelanordnung zu lesen.
Struktur desBuches
Wir haben die Kapitel und unsere Ausführungen so angeordnet, wiewir grundsätzlich bei Implementierungen von SAP GRC Access Con-trol vorgehen. Die Vertiefungen in die GRC-Grundlagen und SAP-Be-rechtigungsprinzipien werden im Rahmen des Projekts oftmals inForm von Grundlagentrainings und Coaching-Unterstützungen wei-tergeben. Dadurch hoffen wir, dass Sie auch einen guten Überblicküber die Struktur, Ausmaße und Dauer entsprechender Implementie-rungen und Spin-Off-Projekte erhalten.
GesetzlicheRahmen-
bedingungen
In Kapitel 2, »Marktentwicklungen und gesetzliche Rahmenbedin-gungen«, erläutern wir die wesentlichen Marktentwicklungen,gesetzlichen Rahmenbedingungen sowie Bedeutung und Grundlagenvon GRC. Dabei diskutieren wir einige der wichtigsten Bilanzskan-dale der letzten Jahre und deren Auswirkungen, stellen aktuelleErgebnisse von Studien vor und versuchen, Begriffe wie CorporateGovernance, Internes Kontrollsystem, Sarbanes-Oxley Act und die 8. EU-Richtlinie näher zu erläutern.
Grundlagenvon GRC
In Kapitel 3, »Einführung in Governance, Risikomanagement undCompliance«, werden wir Ihnen Rahmenwerke und Konzepte vor-stellen, die die Durchführung von GRC-Projekten unterstützen.Dabei erklären wir allgemeine Abläufe Schritt für Schritt und gebenIhnen auch die Möglichkeit, den Status Ihres eigenen Unternehmensselbst zu analysieren. Wir zeigen Ihnen die grundlegenden Struktu-ren einer effektiven Governance auf, stellen die Corporate-Gover-nance-Kodizes für Österreich, Deutschland und die Schweiz vor, zei-gen die wesentlichen Aspekte von IT-Best-Practice-Rahmenwerkenwie CobiT und ITIL und ebenso Rahmenwerke für Interne Kontroll-systeme und Risikomanagementsysteme, COSO I bzw. COSO II, auf.
1141.book Seite 20 Donnerstag, 31. Juli 2008 3:31 15
21
Arbeiten mit diesem Buch 1.3
Die SAP-Lösungen für GRC
In Kapitel 4, »Integration von GRC-Initiativen durch SAP-Lösungenfür GRC«, beschäftigen wir uns mit den wichtigsten Bestandteilen derSAP GRC-Lösungen und stellen sie in Verbindung mit den allgemei-nen GRC-Initiativen. Wir zeigen auf, dass die Prüfung von System-berechtigungen über Bordmittel zumeist nicht zielführend ist, undgeben erste Einblicke in den Aufbau von SAP GRC Access Controlund über den Ablauf von Implementierungsprojekten.
Das SAP-Berech-tigungskonzept
Im Laufe von Kapitel 5, »SAP-Berechtigungskonzept und Funktions-trennung«, führen wir Sie in die wesentlichen Prinzipien des SAP-Be-rechtigungskonzepts und von kritischen Funktionstrennungen und kri-tischen Berechtigungen ein. Wir zeigen die Verbindung zu den GRC-Initiativen auf und sprechen Prüfungsthemen wie Superuserberech-tigungen, Data-Owner-Konzept und typische Schwächen im Benutzer-und Rollenmanagement an.
Analyse des Ist-Zustands
In Kapitel 6, »Risikoanalyse und Re-Design mit SAP GRC Access Con-trol«, stellen wir die SAP GRC Access Control-Anwendungen RiskAnalysis and Remediation (RAR) und Superuser Privilege Management(SPM) im Detail vor. Wir zeigen dabei unter anderem auf, wie Sie mitRAR Berechtigungen auf der Ebene von Benutzern oder Rollen aufkritische Funktionstrennungsverletzungen oder kritische Berech-tigungen prüfen können, wie die festgestellten Risiken beseitigt wer-den können und wie Sie mit SPM eine Lösung für die Superuser-Pro-blematik erhalten.
Aufsetzen des Rollen- und Benutzer-managements
In Kapitel 7, »Benutzer- und Rollenmanagement mit SAP GRC AccessControl«, werden dann die verbleibenden zwei SAP GRC Access Con-trol-Anwendungen – Compliant User Provisioning (CUP) und Enter-prise Role Management (ERM) – vorgestellt. Hier werden wir darstel-len, wie Sie effiziente Rollen- und Benutzermanagementprozessedurch die Verwendung von CUP und ERM langfristig sicherstellenkönnen.
In diesem Buch finden Sie mehrere Orientierungshilfen, die Sie beimZugriff auf die Informationen unterstützen. Die folgenden Symbolehelfen Ihnen, sich schneller zu orientieren:
� Hinweis: Dieses Symbol steht an Stellen, die spezielle Empfehlun-gen enthalten, die Ihnen die Arbeit erleichtern können oder aufFallstricke hinweisen.
1141.book Seite 21 Donnerstag, 31. Juli 2008 3:31 15
22
Einleitung1
� Definition: Dieses Symbol kennzeichnet zentrale Begriffe und Fak-ten, die Sie sich merken sollten.
� Beispiel: Unter diesem Symbol finden Sie Szenarien und Beispieleaus der Praxis.
1.4 Danksagung
Bei der Erstellung dieses Buches waren wir nicht gänzlich auf uns al-lein gestellt. Wir möchten uns an dieser Stelle bei allen Kollegenrecht herzlich bedanken. Folgende Personen haben uns mit ihremFachwissen in verschiedenen Diskussionen zur Seite gestanden:
Carsten Trebuth, Johannes Liffers und Siegfried Filla von Pricewater-houseCoopers Deutschland, Antoine Wüthrich, Bastian Maylaenderund Bernd Schnabl von PricewaterhouseCoopers Schweiz, MatthewBennett und Scott Enerson von PricewaterhouseCoopers USA sowieMarkus Ramoser und Raoul Vogel von PricewaterhouseCoopers Ös-terreich. Danke für kritisches Feedback und laufende Motivation!
Bei der Recherche und der Erstellung der Abbildungen waren unsfolgende Kollegen von PricewaterhouseCoopers Österreich behilf-lich: Michael Franz, Tatjana Heiszenberger und Martin Jandl.
Zudem danken wir Alexander Redlein von der Technischen Univer-sität Wien, der uns vor allem bei den Praxisbeispielen mit kritischenAnmerkungen unterstützte.
Darüber hinaus möchten wir uns noch herzlich bei Gerald Zeiner vonSAP Österreich für seine Unterstützung und bei unserem Lektorats-team bei SAP PRESS, allen voran Frau Eva Tripp, für die gute Betreu-ung bedanken.
Zuletzt wollen wir auch unsere Familien und Freunde nicht verges-sen, die die Entwicklung des Buchprojektes »hautnah und live« mit-erlebt haben. Danke für eure Geduld und Unterstützung!
Alexander BartaBarbara GillerDr. Aslan Milla
1141.book Seite 22 Donnerstag, 31. Juli 2008 3:31 15
211
Bevor Sie Ihr Berechtigungswesen reorganisieren, gilt es zunächst, den Ist-Zustand der SAP-Berechtigungen festzustel-len. Wie SAP GRC Access Control dazu eingesetzt wird, lesen Sie in diesem Kapitel. Wie mit den Risiken zu verfahren ist, die Sie bei dieser Bestandsaufnahme aufdecken, ist außerdem Thema dieses Kapitels.
6 Risikoanalyse und Re-Design mit SAP GRC Access Control
In den vorangegangenen Kapiteln haben wir Sie in das ThemengebietGovernance, Risikomanagement und Compliance (GRC) eingeführtund dabei insbesondere die Relevanz der Benutzerberechtigungenund des Benutzer- und Rollenmanagements aufgezeigt.
In diesem und dem nachfolgenden Kapitel wollen wir Ihnen zeigen,wie Sie die Benutzer- und Rollenmanagementanforderungen durchden Einsatz von SAP GRC Access Control erreichen.
In diesem Zusammenhang wird auch unsere Fallstudie fortgeführt:Unser Beispielkonzern hat sich zur langfristigen Sicherstellung derZiele seiner GRC-Initiativen dafür entschieden, SAP GRC Access Con-trol einzusetzen. In diesem Kapitel wird die Software im Unterneh-men implementiert.
6.1 Anforderungen an SAP GRC Access Control
Wir werden nun nochmals die wichtigsten Schlussfolgerungen ausunseren bisherigen Ausführungen zusammenfassen und aufzeigen,wie diese in einem Implementierungsprojekt aufgearbeitet werden.
Die folgenden wesentlichen Best-Practice-Standards für den Bereichder Systemberechtigungen sind auch für den Crashkurs-Konzern re-levant:
1141.book Seite 211 Donnerstag, 31. Juli 2008 3:31 15
212
Risikoanalyse und Re-Design mit SAP GRC Access Control6
Best Practice fürBerechtigungen
1. Änderungen in den Benutzerstammsätzen von unternehmenskri-tischen Systemen (Neuanlage/Änderung bestehender User) müs-sen freigegeben und dokumentiert werden.
2. Der Freigabe von Änderungen an Benutzerstammsätzen, Rollenund Profilen sollte ein sauber definiertes Data-Ownership-Konzeptzugrunde liegen.
3. Der Aufbau von Rollen und Profilen sowie deren Vergabe an Be-nutzer sollten die Prinzipien der minimalen Vergabe von Berechti-gungen wie auch das Prinzip der Trennung kritischer Funktionen be-rücksichtigen.
4. Der Zustand der bestehenden Berechtigungen in den Systemensollte regelmäßig auf bestehende Risiken geprüft, die Ergebnissedarüber sollten berichtet und entsprechende Konsequenzen abge-leitet werden.
Erinnern Sie sich an eine unserer wesentlichen Botschaften zu Sys-temberechtigungen:
In der Diskussion rund um das Erreichen all dieser Anforderungentreffen zwangsläufig zwei zum Teil sehr konträre Sichtweisen aufein-ander. Wie auch Abbildung 6.1 verdeutlicht, handelt es sich dabeium die Compliance-Sicht des Prüfers und die betriebswirtschaftlichgeprägte Sicht des Praktikers in den Fachabteilungen.
Compliance-Sichtgegen Praktiker-
Sicht
Für den Prüfer wie die Leiterin der internen Revision für den Crash-kurs-Konzern, Paula Prüfer, sind Berechtigungen ein wichtiges Mittelzur Erreichung von Kontrollsicherheit über systemgestützte Ge-schäftsprozesse, der Praktiker, wie es der IT-Governance-Verant-wortliche Claus Cobit noch immer ist, sieht Berechtigungen jedocheher aus dem Blickwinkel eines möglichst effizienten Arbeitsablaufs.Das Berechtigungskonzept steht somit im Spannungsfeld dieser zweiSichtweisen. Aus unserer Erfahrung können sich dabei scheinbar un-überbrückbare Differenzen bei der Diskussion von Prüfungsfeststel-lungen im Bereich der Berechtigungen ergeben. Übliche – fast immerwiderlegbare – Einwände in diesen Diskussionen haben wir für Sie
Bedeutung des Berechtigungskonzepts
Ein aus Compliance-Sicht sauberes Berechtigungskonzept wirkt präventivRisiken entgegen und unterstützt nachhaltig die Wirksamkeit internerKontrollkonzepte.
1141.book Seite 212 Donnerstag, 31. Juli 2008 3:31 15
213
Risk Analysis and Remediation 6.2
zusammengestellt. Diese Einwände werden für fast jedes denkbareRisiko und jede kritische Berechtigung verwendet:
� Das Risiko wird doch durch das SAP-Customizing abgedeckt, dakann nichts passieren …
� Mit dieser Transaktion kommt man gar nicht zu der kritischenFunktion …
� Wo ist bei dieser Funktion das Risiko? Das ist ja gar nicht kritisch …
� Meine Mitarbeiter verwenden das ganz sicher nicht …
� Wir kontrollieren so viel, da kann nichts durchrutschen …
Auch wenn man viele Einwände durch Diskussion und genaue Erklä-rungen der jeweiligen Risiken ausräumen kann: Es besteht die Ge-fahr, in eine ineffiziente Pattstellung zu gelangen.
Die Anwendungen Risk Analysis and Remediation (RAR) und SuperuserPrivilege Management (SPM) versuchen, das oben beschriebene Span-nungsfeld durch einen sowohl für Praktiker als auch Prüfer verständ-lichen, effizienten und tragbaren Prüfungsansatz weitgehend aufzu-lösen. Wie das funktioniert, wollen wir nun näher beleuchten.
6.2 Risk Analysis and Remediation
Risk Analysis and Remediation (RAR) ist das zentrale Modul von SAPGRC Access Control. Hier werden die Prüfungsregeln erzeugt, und eswird verwaltet, wie andere Module von Access Control im Rahmender Risikoanalyse auf RAR zugreifen.
Abbildung 6.1 Das Berechtigungskonzept zwischen den Fronten
Compliance-Sicht des Prüfers
Prinzip der minimalen Berechtigungsvergabe
strenge Trennung kritischer Aktivitäten
Berechtigungen sind Mittel zur Erreichung von Prüfsicherheit
Kontrollsicherheit hat höchste Priorität
betriebswirtschaftlicheSicht des Praktikers
Abläufe sind so effizient wiemöglich
Strukturen innerhalb einerOrganisation sind schlank
Berechtigungen unterstützenden effizienten Ablauf
Kosteneffizienz hat diehöchste Priorität
konzept
Berechtigungs-
1141.book Seite 213 Donnerstag, 31. Juli 2008 3:31 15
214
Risikoanalyse und Re-Design mit SAP GRC Access Control6
In diesem Buch beziehen wir uns, wenn nicht anders angegeben, aufRAR-Release 5.3, das auf dem SAP NetWeaver Application Server ba-siert. Vor allem was den Aufbau von Prüfregeln betrifft, sind die In-halte aber auch auf die ABAP-Variante anwendbar.
Einstieg in RAR Der Einstieg in RAR erfolgt mittels der User Management Engine(UME) des Benutzers entweder über das Launch Pad oder über dendirekten Link <anwendungsserver>:<portnummer>/webdynpro/dispat-cher/sap.com/grc~ccappcomp/Compliance Calibrator. Die Einstiegs-maske über den direkten Link sehen Sie in Abbildung 6.2. Im RAR-Modul können leider über diesen Einstieg – im Gegensatz zu Compli-ant User Provisioning (CUP) und Enterprise Role Management (ERM) –keine Spracheinstellungen geändert werden. Für RAR müssen Siedazu die Spracheinstellungen über UME ändern.
Fünf Bereichevon RAR
Abbildung 6.3 zeigt die Bildschirmmaske von RAR, die direkt nachdem Einloggen erscheint. Wie Sie sehen, ist RAR über Registerkartenin fünf Bereiche aufgeteilt, in die, abhängig von den Berechtigungendes UME-Benutzers, navigiert werden kann:
� Auskunft – aus diesem Register können Management- und Prü-fungsberichte gestartet werden.
� Regelarchitekt – in diesem Register erfolgt die Konfiguration derPrüfregeln.
� Kompensierung – in diesem Menü wird die Funktionalität derkompensierenden Kontrollen gepflegt.
Abbildung 6.2 Direkter Einstieg in RAR
1141.book Seite 214 Donnerstag, 31. Juli 2008 3:31 15
215
Risk Analysis and Remediation 6.2
� Alarmmonitor – über dieses Menü werden automatisch gene-rierte Warnmeldungen konfiguriert.
� Konfiguration – in diesem Register finden sich allgemeine Kon-figurationseinstellungen abseits der Prüfregeln wieder.
Über die im Startmenü angezeigte Managementansicht können gra-fische Übersichten über verschiedene Aspekte der in RAR vorgenom-menen Prüfungen ausgewertet werden, durch das Klicken auf dieGrafiken ist ein weiterer Drilldown möglich. Auf die Management-ansicht kommen wir nochmals in Abschnitt 6.2.2, »Funktionsumfangvon Risk Analysis and Remediation«, zurück.
6.2.1 Initiale Konfiguration von Risk Analysis and Remediation
Nach der Installation der verschiedenen Access-Control-Komponen-ten müssen einige initiale Konfigurationsmaßnahmen in RAR durch-geführt werden. Diese dienen dazu, RAR mit wichtigen Informatio-nen und Details für die weitere Arbeit zu versorgen. Wie auch dieInstallation der Access-Control-Komponenten sind sie in Guidesgenau beschrieben, wir möchten daher an dieser Stelle nur einenÜberblick geben.
Abbildung 6.3 Startansicht der RAR-Anwendung
1141.book Seite 215 Donnerstag, 31. Juli 2008 3:31 15
216
Risikoanalyse und Re-Design mit SAP GRC Access Control6
Führen Sie folgende initialen Konfigurationsmaßnahmen durch:
1. Verbinden Sie RAR mit den zu prüfenden Systemen über Anlageder Systemkonnektoren im Konfigurationsmenü von RAR, sieheauch Abbildung 6.4. Der Verbindungstyp bei SAP-Systemen istdabei zumeist Adaptive RFC. Sie können nur Systeme auswählen,die Sie zuvor im Rahmen der technischen Installation über JavaConnectors angebunden haben.
2. Geben Sie im Konfigurationsmenü von RAR im UnterpunktStammbenutzerquelle Ihr Referenzsystem für Benutzerstammda-ten an (siehe Abbildung 6.5). Der etwas sperrige Begriff Stammbe-
nutzerquelle ist in der englischen Originalbezeichnung vielleichtleichter verständlich – dort heißt er Master User Source.
Abbildung 6.4 Konnektoren für zu prüfende Systeme anlegen
Abbildung 6.5 Definition des Referenzsystems für Benutzerstammsätze
1141.book Seite 216 Donnerstag, 31. Juli 2008 3:31 15
217
Risk Analysis and Remediation 6.2
3. Laden Sie statische Texte (im Wesentlichen die Bezeichnungen fürSAP-Transaktionen) aus jedem der zu prüfenden SAP ERP-Systemein RAR ein. Für den Extrakt wird ein entsprechendes ABAP-Pro-gramm zur Verfügung gestellt. Der Upload nach RAR wird überdas Konfigurationsmenü unter dem Menüpunkt Objekte hochla-
den, Untermenüpunkt Textobjekte, durchgeführt.
4. Laden Sie den Stand der in Ihren SAP ERP-Systemen gepflegtenSAP-Berechtigungsobjekte (siehe Transaktion SU24) in RAR fürjedes zu prüfende SAP-System ein. Auch dazu wird ein entspre-chendes ABAP-Programm zur Verfügung gestellt. Der Upload er-folgt dabei ebenfalls unter dem Menüpunkt Objekte hochladen,aber im Untermenüpunkt Berechtigungen.
5. Laden Sie die mit ausgelieferten Standardprüfregeln über das Kon-figurationsmenü in RAR.
6. Planen Sie erste und regelmäßige und inkrementelle Hintergrund-jobs für die Synchronisation der Benutzer, Rollen und Profile, derRisikoanalysen und der Managementberichte ein.
Wir empfehlen Ihnen, die Schritte 5 und 6 erst nach erfolgter Anpas-sung der Standardprüfregeln durchzuführen. Beachten Sie dazu auchunsere Ausführungen in den nächsten Abschnitten.
Pre- und Post-Installations-Check beim Crashkurs-Konzern
Nach erfolgtem Projekt-Kick-Off und der Coaching- und Voranalyse-phase mit Paula Prüfer und Claus Cobit erfolgt der Pre-Installations-Check durch die Berater und die SAP-Basis-Administration. Dabeiwird anhand der Installation Guides und neuester OSS-Meldungen derSAP geprüft, ob die notwendigen technischen Voraussetzungen inder für Access Control vorgesehenen SAP NetWeaver ApplicationServer-Plattform gegeben sind.
Danach werden die technische Implementierung und der initialeSetup der Komponenten der Access-Control-Anwendung durch dieMitarbeiter der SAP-Basis-Administration mit Unterstützung der Be-rater durchgeführt. Dabei werden wie geplant eine Testumgebung
Hinweis zu den initialen Konfigurationsmaßnahmen
Diese Maßnahmen sollten Sie zusammen mit Mitarbeitern Ihrer SAP-Basis-Administration durchführen. Achten Sie auf jeden Fall darauf, dieangegebene Schrittabfolge einzuhalten.
1141.book Seite 217 Donnerstag, 31. Juli 2008 3:31 15
218
Risikoanalyse und Re-Design mit SAP GRC Access Control6
mit Anschluss an das SAP ERP-Testsystem und eine Produktivumge-bung mit Anschluss an das SAP ERP-Produktivsystem eingerichtet.
6.2.2 Funktionsumfang von Risk Analysis and Remediation
Es werden derzeit zwei Varianten von RAR und den anderen Access-Control-Anwendungen verwendet, eine ABAP-basierte und eine SAPNetWeaver Application Server-basierte Variante. Da beide Variantenzurzeit noch immer eingesetzt werden, dies zum Teil sogar parallel,wollen wir Ihnen kurz die Gemeinsamkeiten und Unterschiede derbeiden Varianten, soweit es das RAR-Modul betrifft, vorstellen.
ABAP-basierte Variante
RAR in derABAP-Variante
Die ABAP-basierte Version, besser bekannt unter Compliance Calibra-tor 4.0, läuft direkt auf dem zu prüfenden SAP ERP-System und ist,wie Abbildung 6.6 zeigt, über das SAP-Menü oder die Transaktion/VIRSA/ZVRAT aufrufbar. Historisch gesehen, ist die ABAP-Versiondie ältere Variante.
Fünf Bereiche vonRAR in der
ABAP-Variante
Grundsätzlich unterteilen sich der Compliance Calibrator 4.0 wieauch die neuere SAP NetWeaver Application Server-Variante in fünfgleiche Funktionsbereiche, die über das zentrale Menü erreicht wer-den können, siehe dazu auch Abbildung 6.7. Sie finden eine Repor-ting-Funktion, die High-Level-Berichte für das Management bietet(siehe Button Managementberichte), die Risikoanalyse, die direktaus dem zentralen Menü heraus gestartet werden kann, und den Re-gelarchitekten (siehe Button Regelarchitekt), mit dem die zu prüfen-den Abfragen verwaltet werden, vor.
Abbildung 6.6 Einstieg in den Compliance Calibrator über das SAP-Menü
1141.book Seite 218 Donnerstag, 31. Juli 2008 3:31 15
219
Risk Analysis and Remediation 6.2
Darüber hinaus gibt es auch hier Verzweigungen zur Anlage vonkompensierenden Kontrollen (Button Kompensierung) sowie zur Ein-richtung von automatischen Alarmmeldungen (Button Alarme).
Weitere Informationen zum Aufbau der Prüfregeln und der Verwal-tung von kompensierenden Kontrollen und Alarmmeldungen erhal-ten Sie in den nachfolgenden Abschnitten.
Abbildung 6.7 Zentrales Menü des Compliance Calibrators 4.0
Kompensierende Kontrolle
Der Begriff kompensierende Kontrolle stammt aus dem Umfeld des Sarba-nes-Oxley Acts. Im Englischen Mitigating Control genannt, wird er in derdeutschen Literatur teilweise auch als mitigierende Kontrolle bezeichnet.Damit sind Kontrollen in den Unternehmen gemeint, die bekannte Kon-trollschwächen zwar nicht gänzlich abstellen, aber das dadurch entste-hende Risiko zumindest minimieren sollen.
Ein Beispiel dafür ist die stichprobenartige Kontrolle von durchgeführtenStammdatenänderungen, die durch einen Vorgesetzten auf Basis einesSAP-Standardberichts nachträglich durchgeführt wird, da sehr viele Mitar-beiter sowohl buchen als auch Stammdaten ändern können. Das Risiko un-befugter Änderungen der Stammdaten besteht weiterhin, es wird jedochüber die bestehende Kontrolle bis zu einem gewissen Grad minimiert.
1141.book Seite 219 Donnerstag, 31. Juli 2008 3:31 15
220
Risikoanalyse und Re-Design mit SAP GRC Access Control6
SAP NetWeaver Application Server-basierte Variante
RAR in derSAP NetWeaver
Application Server-Variante
RAR in der SAP NetWeaver Application Server-Variante stellt dieWeiterentwicklung der ABAP-Version dar. In den Grundfunktionali-täten, insbesondere der Art und Weise des Aufbaus der Prüfregeln,gibt es zur ABAP-Variante keine großen Unterschiede. Die fünf we-sentlichen Funktionsbereiche haben wir bereits vorgestellt, sieheauch Abbildung 6.3.
Aktueller Statusder vorhandenen
Risiken
Die Reporting-Funktionalität für High-Level-Berichte an das Manage-ment findet sich im Register Auskunft, Menüpunkt Management-
ansicht. Ein Beispiel für das Management-Reporting auf der Ebeneder Risikoverletzungen sehen Sie in Abbildung 6.3. Informationenüber den aktuellen Stand der Analysen können dabei für verschie-dene Zeitpunkte und über verschiedene Systeme auf der Basis von Ri-siko, Benutzer und Rollen durchgeführt und grafisch aufgearbeitetwerden. Diese Berichte sollen dem groben Überblick dienen.
Unter dem Auswahlfeld Gesamtanzahl der Verletzungen ist dieSumme der festgestellten Verstöße gegen die aufgestellten Prüfre-geln je gewählter Basis zu verstehen. Diese kann auf Basis verschie-dener Ansätze ermittelt werden.
Hinweis zur Managementansicht
Die Anzahl der Verletzungen sollte auf Basis des Risikos analysiert werden.Dies führt dazu, dass bei »Treffern« ein User nur einmal pro verletzterFunktionstrennung gezählt wird. Bei Verwendung von Berechtigung alsBasis wird bei »Treffern« jedoch nicht einmal pro User und Risiko, sondernpro Kombination von kritischen Transaktionen und Objekten gezählt. Hatein User also verschiedene kritische Kombinationen von Berechtigungen,werden diese entsprechend mehrfach gezählt. Abbildung 6.8 zeigt sehrdeutlich, dass nur durch Änderung der Basis für unser Beispiel plötzlich dieZahl der »Treffer« im Vergleich zu Abbildung 6.3 stark erhöht wurde.
Abbildung 6.8 Anzahl der Verletzungen mit Basis-Berechtigung
1141.book Seite 220 Donnerstag, 31. Juli 2008 3:31 15
221
Risk Analysis and Remediation 6.2
Eine andere interessante High-Level-Berichtsmöglichkeit ist in Abbil-dung 6.9 dargestellt – über das Untermenü Vergleiche können Siedie Entwicklung auf den Ebenen Benutzer, Rollen und Profile für einspezifisches oder alle geprüfte Systeme über einen zu wählendenZeitverlauf darstellen. Verwenden Sie auch hier bei Gesamtanzahl
der Verletzungen als Basis das Risiko.
Ebenfalls im Register Auskunft findet sich unter einem eigenenMenüpunkt die Risikoanalyse, wie Abbildung 6.10 zeigt. Wie auchin der ABAP-Variante kann die Analyse auf Ebene von Benutzern,Rollen oder HR-Objekten für einen oder mehrere Prozesse und Risi-ken durchgeführt werden.
Risikoanalyse auf verschiedenen Ebenen
Üblicherweise wird (insbesondere im Rahmen von internen Revisio-nen oder IT-Revisionen) auf Ebene der Benutzer geprüft, um die vor-handenen Risiken aufzuzeigen, die ein Benutzer durch Anhäufungvon Berechtigungen über die Vergabe einer oder einer Kombinationvieler verschiedener Rollen erhalten hat. Die Analysen werden dabeioftmals getrennt pro Risiko ausgewertet, um einerseits die Reportsübersichtlich zu halten und andererseits die Verteilung an entspre-chende Stellen im Unternehmen zu erleichtern. Im Rahmen des Re-Designs des Berechtigungskonzepts wird auch die Analyse auf Ebeneder Rollen zweckdienlich sein. Die Berichte der Risikoanalyse wer-den wir etwas später ausführlich besprechen.
Abbildung 6.9 Vergleichende Managementberichte
1141.book Seite 221 Donnerstag, 31. Juli 2008 3:31 15
222
Risikoanalyse und Re-Design mit SAP GRC Access Control6
Einsatz von RAR auf Basis des SAP NetWeaver Application Servers ist die empfohlene Variante
Vorteil beiverteilten
SAP-Landschaften
Üblicherweise wird RAR gemeinsam und integriert mit den anderenTeilmodulen von Access Control in der SAP NetWeaver ApplicationServer-Variante eingesetzt. Dies hat insbesondere bei verteilten SAP-Landschaften den Vorteil, dass von einer zentralen Stelle übersicht-lich auf die Abfragen aller angedockten Systeme zugegriffen und ineiner gemeinsamen Datenbank verwaltet werden kann. Es kann je-doch zweckmäßig sein, die ABAP-Variante zusätzlich auf den zu prü-fenden SAP-Systemen einzusetzen.
Die Komponenten der RAR-ABAP-Variante stehen nach der techni-schen Implementierung der Real Time Agents auf den SAP ERP-Syste-men automatisch zur Verfügung.
Auch unser Crashkurs-Konzern wird die SAP NetWeaver ApplicationServer-Variante der Access-Control-Anwendungen nutzen.
6.2.3 Aufbau der Prüfregeln in Risk Analysis and Remediation
Wie bereits erwähnt, werden die der Risikoanalyse zugrunde liegen-den Prüfregeln im Register Regelarchitekt erstellt, mit Access Con-
Abbildung 6.10 Einstieg in die Risikoanalyse in der SAP NetWeaver Application Server-Variante
1141.book Seite 222 Donnerstag, 31. Juli 2008 3:31 15
223
Risk Analysis and Remediation 6.2
trol ausgelieferte Standardregeln werden hochgeladen, gegebenen-falls modifiziert und die Regeln insgesamt verwaltet. Dies erfolgtdabei über die in Abbildung 6.11 dargestellten Menüpunkte.
In der Abbildung erkennen Sie dabei Begriffe wie Geschäftsprozess,Regelsatz, Risiko oder Funktion. Hans Huber, Paula Prüfer und ClausCobit sehen uns als Berater etwas verwirrt an. Wie passen diese Be-griffe zusammen? Das und die Bedeutung weiterer zentraler Begriffewollen wir nun, ausgehend von Abbildung 6.12, erläutern.
Abbildung 6.11 Menüpunkte im Regelarchitekten
Abbildung 6.12 Begriffe und Zusammenhänge in RAR
Berechtigung (Permission) Objekt,
z.B. F_BKPF_BUK
Berechtigung (Permission) Objekt, z.B. F_BKPF_KOA
Berechtigung(Permission) Objekt,
z.B. F_LFA1_BUK
Berechtigung (Permission) Objekt,
z.B. F_LFA1_BEK
Risiko (Risk)z.B. ID Y
Risiko (Risk)z.B. ID ZZ01
UnbegrenzteZahl von Risiken
Funktion(Function)z.B. ID X
Funktion(Function)
z.B. ID AP99
Max. 5 Funk-tionen in
einem Risiko
Aktion (Action)Transaktion, z.B.
Buchung mit Ausgleich
Aktion (Action)Transaktion,
z.B. Kreditor anlegen
Unbegrenzte Zahlvon Transaktionen
Geschäftsprozess(Business Process)
z.B. ID F100
Unbegrenzte Zahl von Geschäftsprozessen
Risiko =Kombination von
kritischen Aufgaben
Funktion =Aufgaben-bereich
Regelsatz (RuleSet)z.B. GLOBAL
Aktion (Action)Transaktion, z.B.
Kreditor ausgleichen
1141.book Seite 223 Donnerstag, 31. Juli 2008 3:31 15
224
Risikoanalyse und Re-Design mit SAP GRC Access Control6
Regelsatz und Geschäftsprozess
Ordnungskrite-rium für Regeln
Sowohl Regelsatz (Rule Set) als auch Geschäftsprozess (Business Process)dienen in RAR als Ordnungskriterium für die Vielzahl der bereits imStandard vorhandenen sowie für selbst entwickelte Prüfregeln. SeitRelease Access Control 5.3 wird auch der Begriff Regelwerk an Stellevon Regelsatz verwendet. Wir werden für unsere weiteren Ausfüh-rungen beim bereits gekannten Begriff Regelsatz bleiben, in einigenAbbildungen wird jedoch der neue Begriff verwendet. Funktionenund Risiken werden darunter gruppiert und erhöhen somit die Über-sichtlichkeit und erleichtern auch die Suche nach bestimmten Regelnund Risiken.
Es wird üblicherweise nur ein Standardregelsatz verwendet (»GLO-BAL«), über die mit der Software ausgelieferten Standardregelsätzewerden auch entsprechend vordefinierte Geschäftsprozesse bereitge-stellt. Sie können zusätzlich beliebig viele Regelsätze und Geschäfts-prozesse definieren, achten Sie jedoch darauf, dass diese den Abläu-fen Ihres Unternehmens auch entsprechen.
Unser Crashkurs-Konzern wird zunächst nur den globalen Regelsatzverwenden.
Funktion, Aktion und Berechtigung
Funktion alsSammlung von
Berechtigungen
Unter einer Funktion (Function) versteht man in RAR eine Sammlungverschiedener Systemberechtigungen, die man für die Ausübungeines zusammenhängenden Aufgabenbereiches in einem oder meh-reren Systemen benötigt. Diese Systemberechtigungen sind dabei inAktionen (Action) und Berechtigungen (Permission) unterteilt.
In einer SAP-Systemumgebung sind dabei unter Aktion eine SAP-Transaktion und unter Berechtigung die entsprechenden Berechti-
Hinweis zu Regelsatz und Geschäftsprozess
Unsere Erfahrung zeigt, dass man mit den bereits angelegten Geschäfts-prozessen und dem Standardregelsatz sehr gut auskommt. Es sollte nur inAusnahmefällen notwendig sein, neue Regelsätze oder Geschäftsprozesseanzulegen.
Sie können Geschäftsprozesse und Regelsätze nur löschen, wenn diesenicht mit Funktionen oder Risiken verbunden sind. Das sollte jedoch nurselten notwendig sein.
1141.book Seite 224 Donnerstag, 31. Juli 2008 3:31 15
225
Risk Analysis and Remediation 6.2
gungsobjekte und Feldwerte zu verstehen. Da in RAR jedoch auchBerechtigungen anderer Anwendungen (wie z. B. Oracle eBusinessSuite) geprüft werden können, hat man sich dazu entschlossen, neu-trale Begriffe zu verwenden.
Nehmen wir zur Verdeutlichung ein Beispiel wie die Funktion GL01– Hauptbuchkonten bebuchen – für ein SAP-System, siehe auch Ab-bildung 6.13. Sie ist bereits im Standardregelsatz für SAP-Systemevorhanden und enthält auf der Registerkarte Aktion eine Sammlungvon SAP-Transaktionen, die grundsätzlich für das Bebuchen vonHauptbuchkonten im SAP-System herangezogen werden können.Dabei müssen Sie jeweils auch das zu prüfende System (SAP-/Nicht-SAP-System) angeben.
Sie können einzelne Transaktionen dabei auch deaktivieren, diesewerden dann nicht durch RAR geprüft. Ist eine Transaktion deakti-viert worden, erscheint eine ausgegraute Glühbirne im Feld Status.In unserem Beispiel sind alle im View sichtbaren Transaktionen ak-tiv.
Abbildung 6.14 zeigt für unser Beispiel die unter den Transaktionenzugeordneten entsprechenden SAP-Berechtigungsobjekte und Feld-ausprägungen auf der Registerkarte Berechtigung. Auch auf dieserEbene können die vordefinierten Feldinhalte geändert oder Teile derAbfragen deaktiviert werden.
Abbildung 6.13 Aufbau einer Funktion auf der Ebene »Aktion«
1141.book Seite 225 Donnerstag, 31. Juli 2008 3:31 15
405
Index
8. EU-Richtlinie 20, 55
A
ABAP 218Abfallbegleitschein 131Abfallschlüssel 131Abfragen
anpassen 229erweitern 229
Ablaufdatum 348für Kontrollen 279
Ablaufzeitermittlung 280abteilungsfremde Rollen 305Abteilungswechsel 304Access Control Launch Pad 134, 307,
350Access Enforcer � Compliant User
Provisioning (CUR)Adaptive RFC 216Aktion
angeben 247anpassen 241definieren 374Suchfunktion 247zusätzliche anlegen 250
Aktivierungsadministrator 192Alarmbenachrichtigung 289Alarmgenerierung
Hintergrundjob 288Alarmmeldung 289Alarmmonitor 215Alarmüberwachung
Einstieg 287Alert generieren 287Analyseart 380Analysephase 120Analyseumfang 245Änderungshistorie 365Anlagenklasse 206Anlagevermögen 204, 205Ansprechpartner für Anwendungen 346Ansprechpartner für Funktionsbereiche
346Antragsart 316
Antragsbearbeitung 307Antragsformular 318, 344Antragshistorie 334Anzahl der Verletzungen 220Anzeigeberechtigung 306Application Approver � Ansprech-
partner für Anwendungenapplikationsübergreifende Anwendun-
gen 232Arbeitsbelastung 131ATLAS � Automatisiertes Tarif- und
Lokales Zoll-AbwicklungssystemAttribut deaktivieren 345Attributgruppe 373
definieren 373Audit Committee 56Aushilfen 304Auskunft 214, 351Auswertung USOBX_C 202automatische Alarmmeldung anlegen
286automatische Berechtigungsprüfung 164automatische Kontrolle 102, 129automatischer Provisionierungstyp 342Automatisiertes Tarif- und Lokales Zoll-
Abwicklungssystem (ATLAS) 130
B
Batchrisikoanalyse 266Belegzugriff 161Bentzerfestwert 349Benutzeradministration 192Benutzeränderungsprozess 304Benutzerantrag verwalten 331Benutzerberechtigungen anlegen 307Benutzerdatenquelle definieren 310,
311benutzerdefinierte Attribute 357benutzerdefiniertes Feld 345, 372Benutzerdetails auslesen 311Benutzerfestwert 349Benutzergruppe SUPER 178Benutzerkonto
ändern 316
1141.book Seite 405 Donnerstag, 31. Juli 2008 3:31 15
406
Index
Benutzerkonto (Forts.)einrichten 316löschen 317sperren/entsperren 317
Benutzermanagement 18, 58, 211, 303, 304
Benutzerstamm 171Benutzerstammsatz 159, 174, 175, 216Benutzersynchronisation 266Berater 304Berechtigung 164
aktivieren 243ändern 169Änderungen 154anpassen 241Best Practices 211definieren 357erstmalige Berechtigungsvergabe 151Ist-Zustand 211Löschung 155manuelle Definition 251Sammlung 224
Berechtigungsadministrator 192, 272Berechtigungsdaten 357Berechtigungsfelder 164Berechtigungsgruppe 284Berechtigungskonzept 18, 134, 144, 190
Aufgaben 144Bedeutung 212Spezialfälle 156
Berechtigungsobjekt 132, 158, 159, 243, 358, 359F_BKPF_BED 161F_BKPF_BEK 161F_BKPF_BES 161F_BKPF_BLA 161F_BKPF_BUK 161, 170, 243F_BKPF_BUP 161F_BKPF_GSB 161, 244F_BKPF_KOA 161, 243S_TABU_DIS 166, 167
Berechtigungspflege 192Berechtigungsprüfung 132Berichte
AGR_AGRS 174AGR_DEFINE 174AGR_USERS 174
Berichte (Forts.)RSSCD100_PFCG 174RSUSR002 133, 171, 193RSUSR050 174RSUSR070 174
Berichtsarten 267Berichtsformate 269Bestandsaufnahme 211Bestätigungsdatum 348Bestellfreigabe 202Betriebssystem 310Bilanzrechtsmodernisierungsgesetz 58Boykottlisten � SanktionslistenBuchung 198Business Application Programming Inter-
face (BAPI) 343Business Process 224
C
Central User Administration (CUA) 343Change Management 303Change-Log-Auswertung 295CobiT 20, 83Compliance 28, 109Compliance Calibrator 4.0 218Compliance Calibrator � Risk Analysis
and Remediation (RAR)Compliant User Provisioning (CUP) 21,
135, 137, 306, 307Administrator 308Aufgaben 308Berichte 308Funktionsumfang 312Konfiguration 309, 338Standalone-Lösung 310
Compliant User Provisioning (CUR) 136Condition Group � AttributgruppeConfiguration Guide 362Corporate Governance 20, 24, 25, 69Corporate Governance Kodex 76COSO I 20, 88COSO II 20Cross System 245Customer Approver Determinator (CAD)
340
1141.book Seite 406 Donnerstag, 31. Juli 2008 3:31 15
407
Index
D
Data Owner 21, 106, 151, 208, 272, 304, 305, 307, 313, 350zuordnen 296
Daten für die Rollenberechtigung sichern 375
Dateneigner-Konzept � Data OwnerDatensicherheitskonzept 305Debitorenanlage 204Default-Wert � BenutzerfestwertDesignphase 121Detail 271Determinator
benutzerdefiniert 340Detour Workflow � Umleitungs-
workflowDeutscher Corporate Governance Kodex
77
E
Eigenentwicklungen 255Einkauf 201
Transaktionen 202Einkaufsprozess 190Einzelsystem 245elektronisches Ambulanzbuch 131E-Mail-Erinnerung 340, 342Embargoprüfung 130Enron 34Enterprise Role Management (ERM) 21,
135, 136, 137, 214, 306, 307, 347, 350, 364Administrator-Rolle 352Funktionen 352
Enterprise-Risk-Management-Modell 97Entwicklung 356Entzug von Berechtigungen 304Environment, Health & Safety 127Eskalation
Konfiguration 323Executive Summary 270externe Benutzer 304externe Prüfer 156
F
Fallstudie 46, 65Feldausprägung 358FI/CO
Transaktionen 206Finanzen 232FireFighter 136, 291FireFighter-Benutzer 300Format
Detailbericht 271Kurzfassung 270Managementzusammenfassung 270Zusammenfassung 271
Formularunterstützungfehlende 304
Freigabeverfahren 304, 312Funktion
ändern 247anlegen 244anpassen 241GL01 242suchen 248
Funktionsbereich 356, 372Funktionstest
dokumentieren 363durchführen 363
Funktionstrennung 133, 189, 190, 226, 304Geschäftsbereichssicht 198IT-Sicht 191, 197Profilgenerators 197Risiko 234
G
Gefahrgutklassifikation 131Gefahrstoff 131gegabelter Workflow 328Genehmiger 378
ändern 378zuordnen 341
Genehmigungsantrag 315, 316, 320, 332anlegen 332Konfiguration 346suchen 333
Genehmigungsprozess 312Genehmigungsvertretung 334
1141.book Seite 407 Donnerstag, 31. Juli 2008 3:31 15
408
Index
Genehmigungsworkflow 141, 309, 353Geschäftsbereich
ändern 281anlegen 281
Geschäftsprozess 129, 224, 371anlegen 233anpassen 231
Gestaltungsphase 122Governance, Risk und Compliance (GRC)
17, 30GRC Foundation 127GRC-Elemente
Arten der Integration 118GTS � SAP GRC Global Trade Services
(GTS)Güterklassifizierung 130
H
Hauptbuch 206Hintergrundjob 265, 324HR Trigger 349Human Resources (HR) 232
I
Implementierung 137Durchführung der Risikoanalyse 139Freigabestrategie 139Konzeptionierung Workflow 139Phase Bleibe sauber 139Phase Werde sauber 137Re-Design 139Voranalyse- und Trainingsphase 137Ziellandschaft 139Zwei-System-Landschaft 139
inaktive User 182Information Processing Objectives 147,
149Initiator 315, 320, 338
Konfiguration 321Installation Guides 141Instandhaltung 232interne Revision 156, 212Internes Kontrollsystem (IKS) 20, 37,
191, 304ISO/IEC 27002
2005 85IT Governance 81
IT Infrastructure Library (ITIL) 20, 86IT-Support 157
J
Java Connector 216Java-Stack 142JD Edwards 310
K
Karenzierung 156Kassa 207Kennwort-Self-Service 317Key Risk Indicators (KRI) 128kompensierende Kontrolle 135, 219,
278, 325, 339anlegen 278, 281
Kompensierung 214komplexen Selektionskriterien 166Konfiguration 351konforme Benutzererstellung �
Compliant User Provisioning (CUP)Konnektor
anlegen 368definieren 310zuordnen 369
Kontenpflege 207Konto löschen 313KonTraG 59Kontrollmanagement 129Kreditor
Transaktionen 199Kreditoren-Stammdatenpflege 198Kriterium ändern 378kritische Berechtigung 21kritische Funktionstrennung 21kritische Profile 256, 265
ändern 258anlegen 258
kritische Rolle 256, 265anlegen 256auswählen 257suchen 257
kritische Standardprofile 169kritische Transaktionen 285Kundenstammdaten 203Kurzbezeichnung 372
1141.book Seite 408 Donnerstag, 31. Juli 2008 3:31 15
409
Index
L
laufende Genehmigung 331Launch Pad � Access Control Launch PadLDAP-Zuordnung 349Lehrlinge 304Logfiles analysieren 287logische Systeme 246
M
Management of Internal Controls (MIC) 267
Management Summary 270Managementansicht 220Managementbericht 266Managementkontrollen 102manuelle Kontrollen 102Massenpflege 264
in ERM 364Maßnahmenkatalog 129Materialwirtschaft 232Methodik
Konfiguration 374Mitarbeiter des Sicherheitsteams 346Mitarbeiterfunktionen anlegen 280Mitigating Control 219, 278
N
nachträgliches Clearing 287Namenskonvention 160, 165, 245
definieren 378NCTS � New Computerized Transit
System (NCTS)NetWeaver Visual Administrator 289New Computerized Transit System
(NCTS) 130Notfalleinsatz 299
O
Objektdetails 252Objektklasse 160, 359obligatorische Risikoanalyse 314, 325Oracle 310Order to Cash 232Organisationsebene 359
Organisationsregel 258, 260, 265ändern 261anlegen 262suchen 261
organisatorische Wertzuordnung 380Organizational Value Mapping �
organisatorische WertzuordnungOSS-Hinweis 141Österreichischer Arbeitskreis für
Corporate Governance 79Österreichischer Corporate Governance
Kodex 79
P
paralleler Workflow 328Parmalat 35Passwörter für FireFighter-Benutzer 296PeopleSoft 310Personalabrechnung 232Personalabteilung 314Pfad 315, 326, 328, 338
verwalten 326Phase »werde sauber« 137Point of Contact � Ansprechpartner für
FunktionsbereichePost-Installations-Check 217Post-Konfigurationsmaßnahmen 309Power-User 290Präferenzabwicklung 130
Ausfuhrerstattung 130Zollpräferenz 130
Pre- und Post-Implementierungs-aktivität 141
Pre-Installations-Check 217Procure to Pay 232Produktion 356Profil 159, 167
A_ALL 169Einzelprofil 168generiertes Profil 168S_A.DEVELOP 179S_A.SYSTEM 179Sammelprofil 168Standardprofile 169
Profiladministrator 197Profilgenerator 169, 171, 172, 197, 290,
353, 359, 382Profilname 356
1141.book Seite 409 Donnerstag, 31. Juli 2008 3:31 15
410
Index
Profilsynchronisation 266Projekte/Releases 372Provisionierung 338Prozess definieren 376Prozess der Berechtigungspflege 150Prüfergebnis 259Prüfregel 134
anpassen 256aufbauen 222
Prüftool 180Prüfungsmethode 180
R
Rahmenbedingungen für Betrug 42RAR � Risk Analysis and Remediation
(RAR)Reaffirm Period � AblaufdatumReal Time Agent (RTA) 136, 141, 222Real Time Agents (RTA) 136rechtliche Rahmenbedingung 23Re-Design-Maßnahmen 276Regel 226
aktualisieren 228, 254generieren 230Textfiles hochladen 229
Regelarchitekt 214, 218, 222, 264, 289Regelgenerierung
Hintergrundjob 254Regelkriterium 129Regelsatz 224
angeben 238Regelverletzung 220Regelwerk � RegelsatzRemote Function Call (RFC) 291, 294Report 180Request Type � AntragsartRisiken und Benutzer zuweisen 283Risiken und Kontrollen beim Berech-
tigungskonzept 106Risiko 211, 226
ändern 239anlegen 236anpassen 231Bewertung 234Risikoanalyse 95Risikoidentifikation 95Risikosteuerung 95Risikoüberwachung 96
Risiko (Forts.)suchen 239
Risikoanalyse 218, 221, 332, 339, 361Benutzerebene 267, 268beurteilen 265durchführen 265Ebene der Organisationsregel 274Ergebnis 362HR-Objekte 267MIC 267Organisationsebene 267, 273Rollenebene 267, 273
Risikoanalyse und -eliminierung 135Risikograd 277Risikogruppen 128Risikomanagement 26, 128Risikomanagementsystem 20Risikoniveau 236Risikotyp 237Risikoverantwortlicher 289Risk Analysis and Remediation (RAR) 21,
135, 137, 213, 339Funktionen 218Konfiguration 215
Risk Terminator 136, 140, 289, 360Role Expert � Enterprise Role Manage-
ment (ERM)Role Management 350Role Relationship to Users and Groups
365Rolle 157, 165, 171, 319
AEADMIN 309ändern 363Änderungshistorie 366anlegen 353, 355anzeigen 173Beschreibung 356genehmigen 362, 374generieren 362, 374kopieren 364READMIN 352Risikoanalyse 361, 370suchen 363Transaktion definieren 357Verwaltung 347Vorlage 320
Rollenableitung sichern 375Rollenanalyse initiieren 374Rollenänderungsprozess 304
1141.book Seite 410 Donnerstag, 31. Juli 2008 3:31 15
411
Index
Rollenattributanlegen 372definieren 371
Rollenauswahl 319Einschränkungen 348
Rollendefinition sichern 375Rollendetails anlegen 347Rolleneigner 314Rollenerstellungsprozess 377Rollengenerierung 370Rollengenerierung mit Verletzungen
380Rollengestalter 381Rollenmanagement 18, 58, 211, 303Rollenname 356, 379Rollenstatus 356Rollensuche 364Rollensynchronisation 266Rollentyp 356Rollenvergleich 366Rollenzuordnung 342, 349RTA � Real Time Agents (RTA)Rule Architect � RegelarchitektRule Set 224
S
Sammelrolle 171Sanktionslisten 130SAP Adapter 290SAP Advanced Planner and Optimizer
(APO) 232SAP Compliance Management 130SAP Customer Relationship Management
(CRM) 130, 232SAP Customs Management 130SAP EC-CS 232SAP Enterprise Buyer 232SAP ERP MM 130SAP ERP SD 130SAP GRC Global Trade Services 127SAP GRC Global Trade Services (GTS)
127SAP GRC Process Control 127SAP GRC � SAP-Lösungen für Gover-
nance, Risk und ComplianceSAP GRC Risk Management 127SAP Internet Graphic Server 142SAP NetWeaver 126
SAP NetWeaver Application Server 142, 217, 220, 291, 309, 339, 352
SAP NetWeaver BI 128, 364SAP Service Marketplace 141SAP Supplier Relationship Management
(SRM) 130, 232SAP System Landscape Directory 142SAP Test- und Entwicklungsumgebungen
314SAP_ALL 153, 169, 209, 256, 283, 290,
297, 301SAP_NEW 169, 256SAP-Basis 232SAP-Basisadministration 304, 309SAP-Benutzer zuordnen 296SAP-Berechtigungskonzept 157SAP-Branchenlösungen 232SAP-Lösungen für Governance, Risk und
Compliance 125Sapstar 178Sarbanes-Oxley Act 20, 50, 125, 279Schadensdatenbank 129Schritt
definieren 375zuordnen 375
Security Lead � Mitarbeiter desSegregation of Duties (SoD) � Funktions-
trennungSelf-Assessment-Fragebogen 114sensible Felder (Debitoren) 284sensible Felder (Kreditoren) 286Service Level 336, 350
Diagrammansicht 337Sicherheitsdatenblatt 131Sicherheitsteams 346Single System 245SMTP-Server 323Spezifikationsdatenbank 131SPM � Superuser Privilege Management
(SPM)Spracheinstellung 214Stammbenutzerquelle 216Standard Workflow 309Standard-Determinator 322, 340
No Stage 323Standardinitiator 320Standard-Konfiguration importieren 352Standard-Konfiguration von CUP impor-
tieren 310
1141.book Seite 411 Donnerstag, 31. Juli 2008 3:31 15
412
Index
Standardprüfregel anpassen 264Standardrisiko Excel 234Standardrollen 349Standard-Rollenprovisionierungstyp
342Stoffdossier 131Stoffmengenverwaltung 131Stufe 315, 321, 326, 338Stufendetails, Konfiguration 322SUIM 133Summary 271Superuser 64, 169, 175, 181
Entwickleruser 179SAP* 177SAP_ALL 176SAP_NEW 178
Superuser Privilege Management (SPM) 21, 135, 137, 213, 290benutzerbasiert 292rollenbasiert 293
Superuserberechtigung 21Superuser-Berechtigungsverwaltung 135Supportkontakt hinterlegen 350Swiss Code of Best Practices 80SWX-Richtlinie 61Synchronisation 368
Aktivitätswert 369Feld 369Objekt 369Organisationswert 369stufenweise 267Transaktion 369vollständige 266
Systemkonnektor 216Systemlandschaft 356
anlegen 369Konfiguration 367
systemübergreifendes System 245
T
TabelleBKPF 187BSEG 187USOBT 183USOBX 183, 184USOBX_C 200UST10S 167
Tabellenpflege 185
technische Installation 141Teilvorgang 356Testresultat sichern 375Tone at the top 72Trainees 304Transaction Usage 365Transaktion 132, 158
/n/virsa/zrtcnfg 290/VIRSA/ZVRAT 218F110 200PFCG 289, 353, 359SA38 133SPRO 284SU01 289, 293SU03 165, 194SU10 289
Transaktionsberechtigung 158Transaktionszugriff 194
U
Überwacher 289Überwachung 105UME � User Management Engine (UME)UME-Benutzer 307, 350Umleitungsworkflow 327Umsetzung und Kontinuität 122Umsetzung von Governance 71unternehmenskritische Daten 305Unternehmensrollenverwaltung � Enter-
prise Role Management (ERM)URÄG 60User Data Source � BenutzerdatenquelleUser Management Engine (UME) 142,
309, 352Userprofil 157
V
Verkaufsorganisation 255Verlinkung ERM/CUP 381Verlinkung ERM/RAR 381Vertrieb 203
Transaktionen 203Vier-Augen-Prinzip 284
pflegen 285Virsa Access Enforcer � Compliant User
Provisioning (CUP)Vorlagebenutzer 319
1141.book Seite 412 Donnerstag, 31. Juli 2008 3:31 15
413
Index
Vorratsprozess 204Transaktionen 205
W
Wirtschaftskriminalitätsstudie 38Wirtschaftsskandale 33Workflow
erstellen 329gegabelt 328parallel 329
Workflow-spezifische Konfiguration 338Workflow-Typ 326, 362Workflow-Verkürzung 328
X
XML-Datei 309, 352
Z
Zentrales Benutzerverwaltungssystem (ZBV) 343
Zugriffsrecht 207Zusatzregel 262
anlegen 263verwenden 263
1141.book Seite 413 Donnerstag, 31. Juli 2008 3:31 15
Top Related