Warum Kontrollen auf Organisationsebene für ein effektives Zugriffsrisikomanagement wichtig sind.

Was sind Kontrollen auf organisatorischer Ebene?

SAP-Benutzer können bei der Ausführung bestimmter Funktionen oder Aktivitäten in SAP eingeschränkt werden, indem man die Transaktionscodes (oder Fiori-Anwendungen) begrenzt, auf die sie Zugriff haben. Dies kann als die primäre Kontrolle betrachtet werden.

Jedem Transaktionscode sind SAP-Berechtigungsobjekte und -felder zugeordnet. Der Zweck dieser Berechtigungsobjekte und -felder besteht darin, SAP-Benutzer, die den Transaktionscode ausführen können, darauf zu beschränken, diesen Transaktionscode nur für bestimmte Organisationsebenen auszuführen, z. B. Buchungskreise, Werke, Einkaufsorganisationen, Verkaufsorganisationen usw. Diese Funktionalität wurde von SAP entwickelt, um eine sehr granulare Kontrolle auf der Organisationsebene zu ermöglichen und kann als sekundäre Kontrollebene betrachtet werden.

---

Warum sind SAP-Organisationsebenen-Kontrollen wichtig?

Ohne eine angemessene Kontrolle auf Organisationsebene haben SAP-Benutzer die Möglichkeit, bestimmte Funktionen für Buchungskreise, Werke usw. auszuführen, zu denen sie nicht gehören.

Unzureichende Kontrollen auf Organisationsebene können zu betrügerischen Aktivitäten führen, wahrscheinlicher sind jedoch Fehlbuchungen in falschen Buchungskreisen, Betrieben usw.

Fehlerhafte Buchungen können sich negativ auf die Unternehmensberichterstattung und die damit verbundene Entscheidungsfindung auswirken und die Kosten für die Stornierung dieser Transaktionen/Buchungen erhöhen.

Die Bedeutung der Kontrolle auf Organisationsebene hat mit dem Inkrafttreten der Datenschutzbestimmungen zugenommen. In der Vergangenheit waren viele Unternehmen bei der Gewährung des Anzeigezugriffs liberaler, indem sie SAP-Benutzern viele Anzeigetransaktionscodes gewährten, oft mit minimalen Einschränkungen auf Organisationsebene, d. h. SAP-Benutzer können Daten für alle Buchungskreise, Werke usw. einsehen. Für Unternehmen, die in Ländern vertreten sind, in denen Datenschutzbestimmungen gelten, ist es erforderlich, dass Daten, die mit diesen Bürgern in Verbindung stehen, in angemessener Weise für SAP-Benutzer aus anderen Ländern und Regionen gesperrt werden. Diese Einschränkung wird durch die Implementierung einer wirksamen Kontrolle auf Organisationsebene erreicht. 

---

Warum sind Kontrollen auf Organisationsebene schwieriger zu implementieren?

Wie bereits erwähnt, hat jeder Transaktionscode zugehörige SAP-Berechtigungsobjekte und -felder. Diese "zugehörigen" SAP-Berechtigungsobjekte und -felder werden durch die Anweisung "Berechtigungsprüfung" im ABAP-Programm bestimmt, d.h. bei der Ausführung eines Transaktionscodes prüft das ABAP-Programm, ob dem SAP-Benutzer die in der Anweisung "Berechtigungsprüfung" definierten SAP-Berechtigungsobjekte und -felder (in seinem SAP-Benutzerpuffer) zugewiesen sind.

Transaktionscodes sind mit einer unterschiedlichen Anzahl von SAP-Berechtigungsobjekten verbunden. Wenn ein Transaktionscode keine "zugehörigen" Berechtigungsobjekte hat, ist es nicht möglich, ihn auf Organisationsebene einzuschränken. Wenn ein SAP-Benutzer über diesen Transaktionscode verfügt, kann er ihn ohne Einschränkungen ausführen. Die überwiegende Mehrheit der SAP-Standard-Transaktionscodes hat jedoch mindestens ein zugehöriges SAP-Berechtigungsobjekt (one to many relationship). Die Berechtigungsfelder, die mit dem SAP-Berechtigungsobjekt verknüpft sind, sind dann das, was kontrolliert werden kann.

Wenn einem SAP-Benutzer der Transaktionscode FB01 zugeordnet ist und eines der "zugehörigen" SAP-Berechtigungsobjekte F_BKPF_BUK die SAP-Berechtigungsobjektfelder ACTVT (Aktivität) und BUKRS (Buchungskreis) enthält, ist es möglich, einen SAP-Benutzer darauf zu beschränken, Belege nur auf bestimmte Buchungskreise zu buchen.

Transaktionscode	SAP-Berechtigungsobjekt	SAP-Berechtigungsobjekt abgelegt
FB01	F_BKPF_BUK	Tätigkeit und Buchungskreis

Transaktionscode	SAP-Berechtigungsobjekt	SAP-Berechtigungsobjekt abgelegt
FB01	F_BKPF_BUK	Tätigkeit und Buchungskreis
FV50	F_BKPF_BUK	Tätigkeit und Buchungskreis

Die Berechtigungen eines SAP-Benutzers werden in seinem SAP-Berechtigungs-Benutzerpuffer zusammengeführt, und es gibt keinen Verweis oder eine Verknüpfung zwischen den für die einzelnen SAP-Berechtigungsobjektfelder definierten Werten und dem Transaktionscode. Mit anderen Worten, wenn die Werte in den Rollen des SAP-Benutzers wie unten beschrieben definiert sind:

Transaktionscode	SAP-Berechtigungsobjekt	SAP-Berechtigungsobjekt abgelegt
FB01	F_BKPF_BUK	01 (Anlegen) und 1000 (Buchungskreis)
FV50	F_BKPF_BUK	03 (Anzeige) und 2000 (Buchungskreis)

Dieser SAP-Benutzer kann bei Verwendung des Transaktionscodes FV50 für den Buchungskreis 1000 anlegen (01). Obwohl mit SAP-Berechtigungsobjekten und -feldern eine unglaublich granulare Kontrolle möglich ist, gibt es Einschränkungen, da verschiedene Transaktionscodes dieselben SAP-Berechtigungsobjekte verwenden.

Eine weitere Herausforderung ist die schiere Menge der Daten. Einem typischen SAP-Benutzer können über 100 Transaktionscodes zugewiesen werden, und jeder dieser Codes ist mit 2 oder 3 SAP-Berechtigungsobjekten verknüpft. SAP-Benutzern werden Tausende von Instanzen von SAP-Berechtigungsobjekten zugewiesen, was die Ermittlung von Mängeln sehr schwierig macht.

---

Warum wird den Kontrollen auf Organisationsebene weniger Bedeutung beigemessen?

Einer der Hauptgründe, warum den Kontrollen auf Organisationsebene weniger Bedeutung beigemessen wird, liegt darin, dass die Organisation nicht weiß, wie schlimm die Situation ist. Die Berichterstattung über Kontrollmängel auf Organisationsebene ist äußerst schwierig. Die Prüfung kann SAP-Benutzer hervorheben, die Belege in Buchungskreise gebucht haben, für die sie nicht zuständig sind, aber selten wird bei der Prüfung hervorgehoben, welche SAP-Benutzer die Fähigkeit haben, in Buchungskreise zu buchen, für die sie nicht zuständig sind. Dies liegt zum Teil daran, dass viele Zugangskontrolllösungen nicht in der Lage sind, über Kontrollmängel auf Organisationsebene zu berichten. Die Zugriffskontrolllösung ist in der Lage, eine Analyse auf der Ebene der SAP-Berechtigungsobjektfelder vorzunehmen, aber der Regelsatz ist für diese Art der Prüfung nicht geeignet, oder sie ist nicht in der Lage, den SAP-Benutzer mit einer Gruppe auf Organisationsebene zu verknüpfen.  

---

Wie lassen sich wirksame Kontrollen auf Organisationsebene durchführen?

Leider ist die Behebung von Kontrollmängeln auf Organisationsebene eine Herausforderung. Da SAP-Benutzer SAP-Berechtigungsobjekte von so vielen Transaktionscodes erben, kann die Durchführung von Rollensanierungs- oder Bereinigungsprojekten zeitaufwändig und mühsam sein, insbesondere wenn das Unternehmen über ein veraltetes oder ungeeignetes Rollendesign verfügt. Die Realität sieht so aus, dass die Beseitigung von Kontrollmängeln auf Organisationsebene eine komplette Neugestaltung der Rollen erfordern kann.

Der Ausgangspunkt ist jedoch, den Zustand der organisatorischen Kontrollen in Ihrer Organisation zu verstehen. Oder anders ausgedrückt, der Grad der Unzulänglichkeit dieser Kontrolle. Sobald dies bekannt ist, weiß die Organisation, welche Optionen ihr zur Verfügung stehen (Rollenbereinigung vs. Rollenneugestaltung), und kann entscheiden, ob sich die Kosten für ein solches Projekt lohnen.

Wenn eine Organisation ein S/4-Transformationsprojekt in Angriff nimmt, ist dies eine gute Gelegenheit, um sicherzustellen, dass das neue Rollendesign die Kontrolle auf Organisationsebene angemessen berücksichtigt.

---

Soterion unterstützt Sie bei der Verwaltung Ihrer Kontrollen auf Organisationsebene

Die Soterion-Berichtsfunktion für Zugriffsrisiken hebt nicht nur SAP-Benutzer und -Rollen hervor, die gegen die Funktionstrennung verstoßen, sondern auch jene SAP-Benutzer, die die Fähigkeit haben, Funktionen für Organisationsebenen auszuführen, für die sie nicht zuständig sind.

Wenden Sie sich noch heute an uns, um eine Soterion-Risikobewertung für den Zugang Ihrer Organisationsebene zu erhalten.