Verbesserung der Verantwortlichkeit von Unternehmen für Zugangsrisiken

19. Oktober 2020 Von Dudley Cartwright

Von Dudley Cartwright, CEO von Soterion.

In diesem Artikel wird erläutert, was nach Ansicht von Soterion für eine wirksame Governance, Risiken und Compliance (GRC) erforderlich ist. Was verstehen wir unter effektiver GRC?

Viele Unternehmen machen den Fehler zu glauben, dass GRC oder Zugangskontrollsysteme allein die Lösung für alle ihre SAP-Sicherheitsprobleme sind. Aus diesem Grund haben viele Unternehmen eine Zugangskontrolllösung, die keinen großen Mehrwert bietet. Im Grunde genommen haben diese Unternehmen GRC, aber es ist nicht effektiv.

Bei der Messung der GRC-Effektivität Ihres Unternehmens ist es wichtig, diese in Bezug auf die Geschäftsziele des Unternehmens zu messen. Die häufigsten dieser Ziele sind:

Eine sichere SAP-Lösung
Einhaltung der Vorschriften, insbesondere der Datenschutzvorschriften
Verbesserung der Effizienz (JML-Prozess)
Stärkung der unternehmerischen Verantwortlichkeit für Risiken

Die Verbesserung der geschäftlichen Verantwortlichkeit für die Risiken des Unternehmens wird immer mehr zu einem wichtigen Unternehmensziel. Das Zugangsrisiko ist nicht nur ein Geschäftsrisiko, sondern viele Organisationen erkennen, dass die Verbesserung der geschäftlichen Verantwortlichkeit für Risiken das Risikobewusstsein der Organisation stärkt und ihr Risikomanagement effektiver macht. Dies lässt sich anhand des Prüfungsprinzips der drei Verteidigungslinien veranschaulichen.

Die erste Verteidigungslinie sind Ihre Geschäfts- oder Betriebsanwender. Die zweite Verteidigungslinie sind Ihre Risiko- und Compliance-Abteilungen, und die dritte Verteidigungslinie sind die Audit- und Assurance-Abteilungen.

Die erste Verteidigungslinie sollte die stärkste Verteidigungslinie sein. Das sind Menschen, die seit 15 bis 20 Jahren in Ihrem Unternehmen tätig sind. Sie verstehen Ihr Geschäft besser als jeder andere. Ja, es ist oft die schwächste Verteidigungslinie des Unternehmens - nicht, weil die Benutzer die Risiken oder die Prozesse nicht kennen, sondern weil das Umfeld nicht so gestaltet ist, dass diese Geschäftsbenutzer die Verantwortung übernehmen und zur Rechenschaft gezogen werden können.

Um die Akzeptanz in den Unternehmen zu fördern, müssen sie über die GRC- oder Zugangskontrolllösung hinausgehen. Sie müssen alle zugehörigen Komponenten gemeinsam betrachten und die Zusammenhänge verstehen. Um dies zu veranschaulichen, verwenden wir die sogenannte "effektive GRC-Pyramide".

An der Basis der Pyramide steht das SAP-Rollendesign. Es bildet die Grundlage für alle GRC-Aktivitäten. Wenn das Rollendesign nicht gut ist, wird die gesamte GRC-Funktionalität beeinträchtigt. Der mittlere Teil ist der Regelsatz und die GRC- oder Zugangskontrolllösung. Und an der Spitze stehen die internen Prozesse.

Die GRC-Effektivität wird daran gemessen, wie gut die Geschäftsanwender ihre Aktivitäten zur Verwaltung des Zugriffsrisikos durchführen, z. B. die Überprüfung und Genehmigung von SAP-Zugriffsänderungsanträgen, Benutzerzugriffsüberprüfungen, Regelsatzüberprüfungen und Geschäftsrollenüberprüfungen.

Es gibt in der Regel zwei Gründe, warum Organisationen Schwierigkeiten haben, die Unternehmen dazu zu bringen, die Verantwortung für Zugangsrisiken zu übernehmen. Der erste Grund ist die mangelnde Unterstützung solcher Initiativen durch die Unternehmensleitung. Ohne signifikante Unterstützung durch die Geschäftsleitung ist es sehr schwierig, die Akzeptanz und Verantwortlichkeit des Unternehmens zu erreichen. Der zweite Grund, warum Unternehmen Schwierigkeiten haben, die Verantwortung für Zugangsrisiken zu übernehmen, liegt in der Komplexität und technischen Natur der einzelnen Komponenten der Pyramide.

Um dies zu erklären, gehen wir die einzelnen Ebenen durch.

Das Rollendesign: Dies ist eine sehr technische Komponente, die aus Transaktionscodes, Berechtigungsobjekten, Feldern und Werten besteht. Dennoch sind es die Geschäftsanwender, die die in jeder Rolle enthaltene Zugriffsebene verstehen müssen, wenn sie den Zugriff überprüfen und genehmigen sollen oder wenn sie eine Überprüfung des Benutzerzugriffs durchführen.

Der Regelsatz: Auch hier handelt es sich um eine technische Komponente, die aus Risiken, Risikofunktionen, Transaktionscodes, Berechtigungsobjekten und Feldern besteht. Es handelt sich dabei jedoch um Geschäftsrisiken, die für die Geschäftsanwender verständlich sein müssen.

Die GRC-Software: GRC- oder Zugangskontrolllösungen sind im Allgemeinen sehr technischer Natur. Der Endnutzer ist jedoch ein Geschäftsanwender. Daher müssen die Ergebnisse der Risikobewertung für die Geschäftsanwender verständlich sein.

Die internen Prozesse: Dies ist zum Teil technisch bedingt, da die Konfiguration und der Arbeitsablauf eingerichtet werden müssen, aber es muss auch praktisch und mühelos für die Geschäftsanwender sein.

Von den Geschäftsanwendern wird zwar nicht erwartet, dass sie viele Funktionen ausführen, aber es ist wichtig, dass die wenigen Aufgaben, die von ihnen erwartet werden, ihnen so präsentiert werden, dass sie diese mit größtmöglicher Leichtigkeit ausführen können, und dass ihnen die Daten so präsentiert werden, dass sie sie leicht verstehen und interpretieren und eine fundierte Geschäftsentscheidung treffen können.

Zusammenfassend lässt sich sagen, dass Ihre gesamte GRC-Effektivität daran gemessen wird, wie gut Ihr Unternehmen diese Funktionen ausführt.

Wenn Sie weitere Informationen wünschen oder die GRC-Anforderungen Ihres Unternehmens besprechen möchten, schicken Sie uns eine E-Mail an [email protected].

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

Verbesserung der Verantwortlichkeit von Unternehmen für Zugangsrisiken

Um dies zu erklären, gehen wir die einzelnen Ebenen durch.

Das könnte Sie interessieren

Such[wort] eingeben

Verbesserung der Verantwortlichkeit von Unternehmen für Zugangsrisiken

Um dies zu erklären, gehen wir die einzelnen Ebenen durch.

Das könnte Sie interessieren

Ihr SAP-Rollenkonzept war nie für RISE ausgelegt: die versteckten FUE-Kosten, die die meisten Unternehmen übersehen

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Die Bedeutung der Abstimmung der SAP-Zugriffssteuerung mit der FUE-Lizenzierung

Such[wort] eingeben