Die versteckten Vorteile der Anpassung des SAP-Zugriffsrisikoregelsatzes in Ihrem Unternehmen
Soterion hat kürzlich eine Studie durchgeführt, um herauszufinden, wie viele Unternehmen ihre SAP-Zugriffsrisikoregelsätze angepasst haben.
Wir waren überrascht, dass mehr als die Hälfte der von uns befragten Unternehmen ihre Regelsätze nicht angepasst haben und den Standardregelsatz des Herstellers verwenden. Interessanterweise ist die Anpassung des Regelsatzes für das SAP-Zugriffsrisiko eine gängige Empfehlung vieler der Big-4-Prüfungsgesellschaften.
SAP-Zugangsrisikoregelsätze enthalten in der Regel Risiken für die folgenden Kategorien:
- Trennung der Zuständigkeiten (SOD)
- Kritische Vorgänge
- Data Privacy
Es gibt eine Reihe von Vorteilen bei der Anpassung dieser Regelsätze - und ja, einige davon sind offensichtlich. Aber für viele Unternehmen sind die Vorteile der Anpassung ihrer SAP-Regelsätze für Zugriffsrisiken nicht sofort ersichtlich.
Im Folgenden finden Sie einige Gründe für die Anpassung Ihrer SAP-Zugangsrisikoregelsätze, die Sie vielleicht schon kennen (und einige, die Sie vielleicht noch nicht in Betracht gezogen haben).
Vorteil 1: Verringerung der Kosten und des Aufwands für das Management irrelevanter Risiken
Der Standard-Regelsatz wurde für alle Branchen definiert, und es ist wahrscheinlich, dass nicht alle dieser Regeln auf Ihr Unternehmen zutreffen. Jedes Zugriffsrisiko im Regelsatz erfordert einen gewissen Aufwand (der Kosten verursacht), um es zu verwalten. Indem Sie Risiken entfernen, die nicht auf Ihr Unternehmen anwendbar sind, reduzieren Sie den Aufwand und die Kosten für die Verwaltung dieser Risiken.
Vorteil 2: Bessere Abdeckung all Ihrer Prozesse
Die Out-of-the-Box-Regelsätze decken in der Regel die wichtigsten Geschäftsprozesse wie Procure to Pay, Order to Cash, Finance, Materials Management und Hire to Retire ab. Aber einige der nicht so häufigen Geschäftsprozesse wie IS Health, Medien, Versicherungen und Global Trade Services sind in vielen der Standard-Regelsätze nicht enthalten. Wenn Sie diese Risiken in den Regelsatz aufnehmen, hat Ihr Unternehmen eine bessere Abdeckung aller Prozesse.
Das häufigste Szenario bei der Aktualisierung des Regelsatzes ist das Hinzufügen von benutzerdefinierten Funktionen. Da die Standardregelsätze keine benutzerdefinierten Transaktionen (Z tcodes) enthalten, ist es wichtig, diese zum Regelsatz hinzuzufügen. Wenn das Unternehmen beispielsweise eine benutzerdefinierte Version von VA01 (z. B. ZVA01) erstellt hat, die eine ähnliche Funktion wie VA01 erfüllt und es den Benutzern ermöglicht, Kundenaufträge zu erstellen, sollte diese zum Regelsatz hinzugefügt werden.
Vorteil 3: Stärkere Beteiligung des Unternehmens an GRC-Aktivitäten
Wie oben beschrieben, sind bei der Verwendung eines Standardregelsatzes viele der Risiken für Ihr Unternehmen nicht relevant. Häufig verlieren die Geschäftsanwender das Vertrauen in GRC-Aktivitäten, weil sie mit dem Risiko, das sie überwachen sollen, nicht einverstanden sind.
Für Unternehmen, die Schwierigkeiten haben, die notwendige Akzeptanz und Beteiligung ihrer Geschäftsanwender an GRC-Aktivitäten zu erreichen, bietet die Anpassung von Regelsätzen erhebliche Vorteile, um diese Herausforderung auf verschiedene Weise zu bewältigen:
Überwachung relevanter und anwendbarer Risiken: Die Überwachung von Risiken, an die das Unternehmen glaubt, wird ihre Beteiligung und ihr Engagement fördern. Dadurch wird das Risikobewusstsein der Organisation gestärkt.
Verständnis für die Auswirkungen auf das Unternehmen schaffen: Eine große Herausforderung für viele Unternehmen besteht darin, dass die Geschäftsanwender die SOD-Zugangsrisiken nicht verstehen, was dazu führt, dass Maßnahmen ergriffen werden, ohne die Konsequenzen oder Auswirkungen auf das Unternehmen zu verstehen. Regelwerksprojekte basieren in der Regel auf Workshops, in denen Geschäftsanwender und Fachberater jedes Risiko diskutieren. Dies ist eine nützliche Übung, bei der jedes SOD-Risiko im Detail erklärt wird und wie Betrug mit der widersprüchlichen Kombination von Zugriffsmöglichkeiten begangen werden kann. Sobald die Geschäftsanwender das SOD-Risiko verstehen, können sie die Auswirkungen auf das Unternehmen besser einschätzen und somit eine fundiertere Entscheidung darüber treffen, ob die Benutzer diesen Zugang erhalten sollen oder nicht.
Festlegung einer Standardarbeitsanweisung (SOP): Da es unwahrscheinlich ist, dass die Organisation ohne Risikoverletzungen arbeiten kann, wird es eine Reihe von Endnutzern geben, die Zugangsrisiken haben. Wenn ein Benutzer zusätzliche Zugriffsrechte beantragt, die im Widerspruch zu den bereits bestehenden Zugriffsrechten stehen, ist unklar, ob diese genehmigt werden können. Infolgedessen bleiben diese Art von Anträgen oft mehrere Tage lang im Posteingang des Überprüfers liegen.
Es ist wichtig, eine Richtlinie für die Risikostufen zu definieren, d. h. welche Regel gilt für eine Simulation für jede Risikostufe? Ein Teil der Regelsatzanpassung besteht darin, diese Regeln zu definieren (SOP).
Ein Beispiel hierfür ist:
- Wenn Risiko = Kritisch - Zugang kann nicht gewährt werden
- Wenn das Risiko hoch ist, kann der Zugang gewährt werden, jedoch mit abschwächender Kontrolle.
- Wenn Risiko = Mittel - Zugang kann ohne abschwächende Kontrolle gewährt werden
Durch die Definition dieser Art von Richtlinien sind Ihre Geschäftsanwender in der Lage, schneller zu entscheiden, ob der beantragte zusätzliche Zugang genehmigt werden kann. Dadurch verkürzt sich die Zeit, in der SAP-Zugriffsänderungsanträge im Posteingang eines Managers auf ihre Genehmigung warten, was letztlich die Ausfallzeiten des Unternehmens (Endbenutzer, die auf den beantragten Zugriff warten) reduziert.
Ganz gleich, ob Sie Unterstützung bei der Anpassung Ihres Standard-SAP-Regelsatzes für Zugriffsrisiken benötigen oder Ratschläge, wo Sie anfangen sollen, das SAP-Expertenteam von Soterion kann Sie bei Ihren individuellen Anforderungen unterstützen und Ihnen helfen, eine effektivere GRC zu implementieren. Mailen Sie uns unter [email protected] um anzufangen
