Richtlinien und Verfahren - die Grundlage für effektives GRC
Eine häufige Herausforderung für viele Unternehmen ist die Frage, wie sie den maximalen Nutzen aus ihren GRC-Investitionen ziehen können. Viele Organisationen kämpfen mit einer unzureichenden Nutzung ihrer GRC-Lösung und einem Mangel an geschäftlicher Akzeptanz und Verantwortlichkeit. In solchen Fällen verwenden Unternehmen ihre Zugangskontrolllösung in der Regel für regelmäßige Risikobewertungen und / oder für den Prozess des Notfallzugangsmanagements (FireFighter). Das bedeutet, dass weniger als 10 % der verfügbaren Funktionen der Anwendung genutzt werden, was die Organisation einem Betrugsrisiko aussetzt, da die richtigen Kontrollen nicht vorhanden sind.
Lesen Sie den Artikel unten oder laden Sie die PDF-Datei herunter
Was Sie vom Soterion-Workshop "Grundsätze und Verfahren" erwarten können
Damit ein Unternehmen den vollen Nutzen aus seinen GRC-Investitionen ziehen kann, müssen alle Komponenten der "effektiven GRC-Pyramide" nahtlos zusammenarbeiten. Mängel in einer Schicht oder Komponente führen zu einer ineffektiven GRC-Fähigkeit.
Richtlinien und Verfahren bilden die Grundlage für alle GRC-Aktivitäten. Ohne die entsprechenden Richtlinien und Verfahren wissen die Benutzer innerhalb der Organisation nicht, welche Zugriffsrisikomanagement-Aktivitäten durchgeführt werden müssen, wie sie durchgeführt werden sollten oder wie oft sie durchgeführt werden sollten.
Durch die Definition detaillierter Richtlinien und Verfahren kann eine Organisation ein Standardverfahren für Zugriffsrisikomanagement-Aktivitäten einrichten und die Erwartungen für die Nutzung der Zugriffskontroll- und GRC-Lösung festlegen.
Andernfalls wird eine Organisation feststellen, dass die Zugangskontroll-/GRC-Lösung in erster Linie
vom IT-Team als Backend-Lösung mit minimaler Beteiligung des Unternehmens genutzt wird.
Wie wir diese Workshops durchführen
Soterion empfiehlt, Workshops mit den relevanten Entscheidungsträgern im Unternehmen zu veranstalten. In diesen Workshops wird Soterion jeden denkbaren Anwendungsfall des Zugangsrisikomanagements erläutern. Für jeden dieser Anwendungsfälle muss die Organisation entscheiden, ob er für sie relevant ist, und wenn ja, welche Maßnahmen in welcher Häufigkeit und innerhalb welcher Zeiträume durchgeführt werden müssen.
Im SAP-Zugangsantragsprozess gibt es beispielsweise viele Anwendungsfälle wie:
- Neuer SAP-Benutzer
- Transaktionscode zu SAP-Einzelrolle
- SAP-Einzelrolle zu Sammelrolle
- SAP-Benutzer - Rolle (SAP-Einzel-, Composite- oder Business-Rolle)
- Beendeter Benutzer
Nehmen wir den Anwendungsfall SAP User - Role:
Einige dieser Überlegungen sind:
- Wie ist das Verfahren für die Beantragung eines zusätzlichen SAP-Zugangs (Helpdesk / Self-Service usw.)?
- Wie viele Genehmigungsstufen sind erforderlich (Vorgesetzter / Risikoverantwortlicher / Rollenverantwortlicher)?
- Wenn die Simulation eine Risikoverletzung ergibt, unter welchen Bedingungen kann dieser Zugang noch genehmigt/zugewiesen werden?
Durch die Dokumentation der verschiedenen Anwendungsfälle und der damit verbundenen Regeln erhält die Organisation die notwendigen Leitlinien (Standardarbeitsanweisungen) für die Durchführung der Aktivitäten zur Verwaltung des Zugangsrisikos innerhalb der Organisation.
Ein weiteres Beispiel ist das Verfahren zur Überprüfung des Benutzerzugangs. Dies ist eine häufig durchgeführte Compliance-Aktivität, die von den meisten börsennotierten/öffentlichen Organisationen durchgeführt wird. Dabei überprüft ein Prüfer, häufig ein Vorgesetzter, regelmäßig die Zugriffsrechte seiner SAP-Benutzer, um sicherzustellen, dass sie für den SAP-Benutzer noch relevant/erforderlich sind. In vielen Unternehmen wird der Prozess der Benutzerzugriffsüberprüfung eher zur Beruhigung der internen/externen Revision durchgeführt, als dass er einen Mehrwert für das Unternehmen darstellt. Der Hauptgrund dafür ist, dass die Organisation keine angemessenen Richtlinien und Verfahren in Bezug auf den User Access Review-Prozess definiert hat, wie z. B. die Bedingungen, unter denen risikobehafteter Zugriff genehmigt werden sollte, ob Risk Owner Rollen, die zum Zugriffsrisiko beitragen, genehmigen müssen, der Zeitraum, in dem die Überprüfung abgeschlossen werden sollte, und die Häufigkeit der Überprüfung.
Der Nutzen für die Organisation
Die Investition in einen Workshop zu Richtlinien und Verfahren ermöglicht es einem Unternehmen, die Regeln für seine SAP-Sicherheitsprozesse zu definieren. Dies erleichtert dem SAP-Sicherheitsteam die Umsetzung von Aktivitäten zur Verwaltung des Zugriffsrisikos und die Gewährleistung der richtigen Kontrolle. Außerdem können Unternehmen so den maximalen Nutzen aus ihren GRC-Investitionen ziehen und das Betrugsrisiko verringern.
Ergebnisse, die Sie von unseren Workshops erwarten können
Ein wichtiges Ergebnis eines Soterion-Workshops zu Richtlinien und Verfahren ist die Erstellung eines umfassenden Richtlinien- und Verfahrensdokuments für den SAP-Zugangsverwaltungsprozess. Dieses Dokument kann intern von der IT-Abteilung und den Geschäftsanwendern als Leitfaden dafür verwendet werden, wie und welche Aktivitäten des SAP-Zugriffsrisikomanagements durchgeführt werden müssen. Dieses Dokument kann auch an die internen und externen Auditteams des Unternehmens weitergegeben werden.
Nächste Schritte... bereit, einen Workshop zu buchen?
Kontaktieren Sie [email protected], um zu buchen oder wenn Sie weitere Fragen haben.
