Denkanstöße

Verbesserung der Effektivität von SAP-Sicherheitskontrollen mit dem Continuous Controls Manager von Soterion

25. November 2024 Von Soterion

Suchen Sie nach Möglichkeiten, Ihr Zugangsrisikomanagement effektiver zu gestalten? 

Wie wäre es, wenn wir Ihnen sagen könnten, dass es eine Möglichkeit gibt, realisierte Risikoverletzungen kontinuierlich zu überwachen, so dass das Unternehmen von manuellen Kontrollen zu einem automatisierten und alarmgesteuerten Ansatz übergehen kann?  

Das Soterion-Tool für die Berichterstattung über materialisierte Risiken verändert den Ansatz für das Risikomanagement und hilft bei der Aufdeckung von Betrug, indem es SAP-Benutzer identifiziert, die widersprüchliche Funktionen für ein und dasselbe Dokument, Journal, eine Bestellung und mehr ausgeführt haben. Durch die Überwachung von Verstößen gegen das Zugriffsrisiko, die sich materialisiert haben, verlagert sich die Kontrolle von einem "Kann" zu einem "Haben", was eine größere Effektivität gewährleistet.

Bevor wir die kontinuierliche Überwachung der materiellen Risiken im Detail besprechen, ist es wichtig, die SAP-Sicherheits- und GRC-Kontrollaktivitäten des Unternehmens aus einer breiteren, ganzheitlichen Perspektive zu betrachten. Die kontinuierliche Überwachung der Kontrollen ist nur eine der entscheidenden Komponenten der SAP-Sicherheitsstrategie oder des GRC-Programms eines Unternehmens.

SAP-Sicherheitskontrollmaßnahmen zur Minderung von SAP-Zugangsrisiken

Wirksame Kontrollen sind für Unternehmen unerlässlich, um Risiken zu bewältigen, insbesondere in den Bereichen SAP-Sicherheit und Governance, Risiko und Compliance (GRC). Unternehmen sollten die Risiken des SAP-Benutzerzugriffs erkennen und verstehen, wie z. B. die Funktionstrennung (Segregation of Duty, SoD) und die schleichende Ausweitung der Berechtigungen, die zu einem übermäßigen Zugriff führen können. Um diese Risiken zu mindern, ist es wichtig, geeignete Kontrollen zu definieren und Überwachungsaktivitäten einzurichten, die sicherstellen, dass die Benutzer nur den für ihre Rolle erforderlichen Zugriff erhalten (am wenigsten privilegierter Zugriff), um unbefugte Funktionen und potenziellen Betrug zu verhindern.

In diesem Diagramm veranschaulichen wir die verschiedenen Kontrollaktivitäten, die ein Unternehmen unserer Meinung nach unbedingt in sein GRC-Programm aufnehmen sollte.

Kontinuierliche Kontrolle Überwachung und die Auswirkungen von Menschen, Verfahren, Design und Technologie

Die Wirksamkeit von Kontrollen wird durch das Zusammenspiel von Menschen, Verfahren, Technologie und Design bestimmt. Es ist von entscheidender Bedeutung, die richtigen Personen für Compliance-Aufgaben zu identifizieren, klare Prozesse zu etablieren, geeignete Technologien auszuwählen und ein robustes Design zu gewährleisten. Dieser Blog-Artikel befasst sich mit den Herausforderungen, denen sich Unternehmen bei der Definition wirksamer kontinuierlicher Kontrollen gegenübersehen, und untersucht die Überlegungen zu Menschen, Prozessen, Design und Technologie, die diese Bemühungen erleichtern.

Die Echtzeit-Überwachung ermöglicht sofortige Warnungen und gezielte Überprüfungen, wodurch die Verwaltbarkeit und Effizienz des Prozesses verbessert wird.


Menschen

Herausforderungen

  • Die Entwicklung, der Entwurf und das Testen von kontinuierlichen Kontrollen sind komplex und zeitaufwändig.
  • Wissenstransfer und Dokumentation der Kontrollen.
  • Zeitaufwändige und komplexe Interpretation und Reaktion auf die Ergebnisse des realisierten Risikos.

Überlegungen

  • Identifizierung geeigneter Software und Unternehmensressourcen zur Unterstützung der Benutzer bei der kontinuierlichen Überwachung von Kontrollen (CCM).
  • Bestimmen Sie sowohl technische als auch geschäftliche Ressourcen, um die Kontrollen und ihre Ergebnisse zu definieren, aufzubauen, zu überprüfen und zu pflegen.

Prozess

Herausforderungen

  • Laufende Bewertung der Wirksamkeit und Genauigkeit der festgelegten Kontrollen
  • Sicherstellung, dass Überprüfungen und geeignete Maßnahmen für festgestellte Risiken ergriffen werden
  • Organisationen ohne kontinuierliche Kontrollüberwachung (eine Systemdetektivkontrolle) investieren viel Zeit und Mühe in die Durchführung manueller Detektivkontrollen.
  • Datenextraktion und -speicherung: Wirksame Systemdetektivkontrollen analysieren oft große Datenmengen, was eine sorgfältige Überlegung bei der Verarbeitung und Speicherung erfordert.

Überlegungen

  • Integrieren Sie Workflow-Funktionen, um die Überprüfung und Verwaltung von Kontrollen zu rationalisieren.
  • Untersuchung von Möglichkeiten zur Automatisierung der Erkennung materieller Risiken.

Technologie

Herausforderungen

  • Ohne eine CCM-Lösung haben intern entwickelte Kontrollen möglicherweise nur begrenzte Fähigkeiten und Funktionen, was auf die Fachkenntnisse und Ressourcen des internen Teams zurückzuführen ist.
  • Überlegungen zu Implementierungszeit, Kosten und laufender Wartung.

Überlegungen

  • Bei der Entwicklung von Kontrollen sollten die Organisationen die aktuelle Systemlandschaft bewerten, um Vollständigkeit und Genauigkeit zu gewährleisten.
  • Identifizieren Sie die Anwendungen, die in den Anwendungsbereich fallen.

Gestaltung

Herausforderungen

  • SAP bietet keine Standardkontrollen für das Continuous Controls Monitoring, so dass individuelle Kontrollen mit entsprechenden Filtern und sensiblen Feldern entwickelt werden müssen. Darüber hinaus stellt die Quantifizierung von Zugriffsrisiken zur Verbesserung der Wirksamkeit der Kontrollen eine Herausforderung dar.

Überlegungen

  • Legen Sie Kontrollen für Ihre wichtigsten Risiken fest und erwägen Sie, diese Kontrollen im Laufe der Zeit zu erweitern.

Wie geht Soterion mit den Herausforderungen um, denen sich Unternehmen bei der Entwicklung einer effektiven kontinuierlichen Kontrollüberwachung gegenübersehen?


  • Soterion bietet anpassbare, vordefinierte fortlaufende Kontrollen zur Identifizierung von Risiken im Zusammenhang mit der materiellen Trennung von Pflichten
  • Die Flexibilität des Systems ermöglicht es den Kunden, es an ihre spezifischen Anforderungen anzupassen.
  • Erhebliche Verringerung des überwältigenden Umfangs der SoD-Risiken.
  • Die Notwendigkeit manueller Kontrollen entfällt.
  • Ermöglicht es Organisationen, erhebliche Ressourcen einzusparen und Kosten zu senken.
  • Leitet realisierte Risikofälle automatisch an die zuständigen Mitarbeiter weiter.
  • Erleichtert ein effizientes Fallmanagement und Folgeprozesse.
  • Kontinuierliche Überwachung der Einhaltung der allgemeinen IT-Kontrollen (ITGC).
  • Bietet eine umfassende Aufsicht.
  • Ein prüfungsfreundliches Design sorgt für reibungslose externe Audits.

Sehen Sie sich das Demo-Video zum Continuous Controls Manager von Soterion an

Die Einführung einer kontinuierlichen Überwachung der tatsächlichen Risiken kann die Wirksamkeit der Kontrollen erheblich verbessern. Tatsächliche Risiken sind solche, die tatsächlich eingetreten sind, im Gegensatz zu potenziellen oder tatsächlichen Risiken. Die Überwachung dieser Risiken in Echtzeit ermöglicht sofortige Warnungen und gezielte Überprüfungen, was den Prozess überschaubarer und effizienter macht.

Die wichtigsten Vorteile von Soterions Continuous Controls Manager:

  • Identifizierung von Risiken im Zusammenhang mit der Aufgabentrennung (SoD): Identifizierung und Behandlung von SoD-Risiken, die sich verwirklicht haben. 
  • Überwachung in Echtzeit: Kontinuierliche Kontrollüberwachung sorgt für mehr Sicherheit. 
  • Verbessertes Zugriffsrisikomanagement: Erhöhen Sie mühelos die Zugriffsverwaltungsfunktionen. 

Durch eine umfassende Prüfung der SAP-Transaktionsdaten ermöglicht die Lösung Continuous Controls Manager von Soterion den Unternehmen eine kontinuierliche Überwachung der eingetretenen Zugriffsrisiken und damit ein effektiveres Management der Zugriffsrisiken.

Schicken Sie uns eine E-Mail an [email protected], wenn Sie Fragen haben oder mehr wissen möchten. Wir helfen Ihnen gerne mit einer Demo, um zu sehen, wie wir Ihnen helfen können.

Das könnte Sie interessieren