Das SAP-FUE-Eigentumsproblem
Soterion hat mehr als 80 Unternehmen bei Initiativen zur Optimierung der FUE-Zuweisungen unterstützt und dabei die tatsächlichen Nutzeraktivitäten analysiert, um sicherzustellen, dass die SAP-Rollenkonzepte den tatsächlichen Geschäftsanforderungen entsprechen und nicht auf historischen Zugriffszuweisungen basieren. Bei all diesen Projekten hat sich ein einheitliches Muster herauskristallisiert. Auch wenn das Full-User-Equivalent-Modell (FUE) für viele Unternehmen noch relativ neu ist und Zeit benötigt, um sich zu etablieren, ist die größte Herausforderung selten technischer Natur. Vielmehr geht es darum, klare Zuständigkeiten und Verantwortlichkeiten für den FUE-Verbrauch sowie die dafür erforderlichen Prozesse festzulegen, um diesen effektiv zu verwalten.
Die Verantwortung für den FUE-Verbrauch fällt oft zwischen die organisatorischen Grenzen. Die IT-Abteilung betrachtet die Zugriffsverwaltung möglicherweise als Aufgabe des Geschäftsbereichs, während Geschäftsbereiche wie Vertrieb, Produktionsplanung und Lagerhaltung in der Regel eher auf operative Ergebnisse als auf den Lizenzverbrauch fokussiert sind. Die Finanzabteilung hingegen ist für den Vertrag verantwortlich und trägt die Kosten für die Lizenzen, ist jedoch in der Regel nicht in die täglichen Zugriffsentscheidungen eingebunden, die letztendlich diese Kosten verursachen. Das Ergebnis ist, dass kein einzelner Bereich sowohl die Rechenschaftspflicht als auch den Einfluss besitzt, der für ein effektives Management des FUE-Verbrauchs erforderlich ist.
Die Folge ist, dass der FUE-Verbrauch oft eher reaktiv als proaktiv verwaltet wird. Täglich werden Zugriffsentscheidungen getroffen, Benutzer eingerichtet, Rollen geändert und zusätzliche Zugriffsrechte gewährt, doch die Auswirkungen dieser Entscheidungen auf die Lizenzierung werden zum Zeitpunkt ihrer Entscheidung selten berücksichtigt. Im Laufe der Zeit kann dies zu unnötigem FUE-Verbrauch, vermeidbaren Lizenzkosten und einer wachsenden Diskrepanz zwischen den tatsächlichen Geschäftsanforderungen und der SAP-Rollengestaltung führen, die diese eigentlich unterstützen soll.



Das ist kein neues Problem – aber durch die FUE-Methode lässt es sich schwerer ignorieren
Die Frage der Zuständigkeit war schon immer die Achillesferse des SAP-Zugriffsrisikomanagements. Zugriffsrisiken sind Geschäftsrisiken, daher sollten die Geschäftsanwender die Verantwortung dafür tragen, doch sie verfügen selten über den nötigen Überblick oder den Anreiz, sich aktiv einzubringen. Aufgrund des technischen Charakters von SAP-Berechtigungen wird das Problem an die IT-Abteilung weitergereicht, der jedoch das geschäftliche Mandat fehlt, dies durchzusetzen. Und wenn das SAP-Zugriffsrisikomanagement versagt, war die Folge in der Vergangenheit meist ein Prüfungsbefund: unangenehm, aber verkraftbar.
Das FUE-Management ist anders. Fehler führen nicht zu einem Prüfungsbefund oder einem Kontrollmangel, sondern verursachen direkte finanzielle Kosten für das Unternehmen. Unserer Erfahrung nach ist das Risiko eines unnötigen FUE-Verbrauchs weitaus unmittelbarer und weitaus wahrscheinlicher, als viele der Risiken, für deren Management Organisationen erhebliche Zeit und Ressourcen aufwenden. Dies macht es schwierig, die Verantwortung für die FUE aufzuschieben, und noch schwieriger, sie zu ignorieren. Deshalb sollten Organisationen sorgfältig abwägen, wo die Rechenschaftspflicht für den FUE-Verbrauch liegt.


Geteilte Verantwortung – aber mit einem klaren Verantwortlichen
Da SAP-Berechtigungen technische, betriebliche und finanzielle Bereiche überschreiten, kann keine einzelne Funktion die FUE-Governance allein übernehmen. Eine geteilte Verantwortung ohne klare Führungskraft führt jedoch häufig dazu, dass niemand die Führung übernimmt. Die Verantwortung sollte wie folgt aufgeteilt werden:
Die IT-Abteilungist für die technische Gestaltung der SAP-Rollen verantwortlich und sollte einenverfolgen. Das bedeutet, dass bei der Gestaltung der Rollen sowohl die geschäftlichen Anforderungen als auch die Auswirkungen auf die FUE berücksichtigt werden, um sicherzustellen, dass den Benutzern Zugriffsrechte zugewiesen werden, die es ihnen ermöglichen, ihre Aufgaben zu erfüllen, und gleichzeitig unnötiger Lizenzverbrauch vermieden wird. Wenn die Rollengestaltung effektiv durchgeführt wird, kann das Unternehmen den Benutzern mit der Gewissheit Zugriffsrechte zuweisen, dass diese sowohl angemessen als auch kosteneffizient sind.
Auch Anwender aus Nicht-Finanzbereichenmüssen ihren Beitrag leisten. Sie müssen sich der finanziellen Auswirkungen bewusst sein, die entstehen, wenn Zugriffsrechte übermäßig vergeben werden – also über das hinaus, was die Nutzer tatsächlich benötigen. Führungskräfte sollten das FUE-Risiko genauso behandeln wie Personal- oder Reisekosten: als echten Kostenfaktor, für den eine Rechenschaftspflicht besteht.
Die Finanzabteilung solltedie übergeordnete FUE-Verantwortungsinstanz sein. Die Finanzabteilung verfügt über die geschäftliche Autorität, die der IT- und der Fachabteilung jeweils einzeln fehlt. Die Finanzabteilung als FUE-Verantwortungsinstanz zu benennen bedeutet, jemandem die nötige Durchsetzungskraft zu übertragen, um Richtlinien festzulegen,die Risikotoleranz zu definieren und zu entscheiden, wann zusätzliche FUE-Kapazitäten erforderlich sind. Nicht als Genehmiger jedes einzelnen Zugriffsantrags – das wäre unpraktisch –, sondern als die Funktion, die die Regeln festlegt und die Grenzen setzt. Wenn die Finanzabteilung echte Verantwortung übernimmt, werden Dinge in der Regel auch umgesetzt.
Damit die Steuerung des FUE-Verbrauchs wirksam ist, müssen Organisationen die Punkte identifizieren, an denen Zugriffsentscheidungen den FUE-Verbrauch beeinflussen, und sicherstellen, dass diese in ihren Richtlinien und Verfahren berücksichtigt werden. Die Zuweisung von Verantwortlichkeiten ist notwendig, aber nicht ausreichend. Ohne unterstützende Richtlinien, Prozesse und Kontrollen, die das Verhalten lenken, bleibt die Verantwortung für den FUE-Verbrauch nur eine reine Formsache.


Der Mechanismus, der dafür sorgt, dass es funktioniert
Die Zuweisung von Zugriffsrechten ist notwendig, reicht jedoch nicht aus. Damit Führungskräfte und Zugriffsberechtigte wirtschaftlich verantwortungsvolle Entscheidungen zum Zugriff treffen können, müssen sie in der Lage sein, die wirtschaftlichen Konsequenzen dieser Entscheidungen zu verstehen. In der Vergangenheit konzentrierten sich die Workflows zur Genehmigung von Zugriffsrechten fast ausschließlich auf Sicherheits- und Compliance-Aspekte wie die Aufgabentrennung und das Zugriffsrisiko. In einem FUE-basierten Lizenzmodell sollten die Genehmigenden jedoch auch Einblick in die lizenzrechtlichen Auswirkungen einer vorgeschlagenen Zugriffsänderung erhalten.


Das Gespräch, das geführt werden muss
Im Zuge der Umstellung von Unternehmen auf SAP Cloud ERP stoßen wir immer wieder auf IT-Teams, denen nicht bekannt ist, wie viele FUEs ihr Unternehmen vertraglich vereinbart hat. Diese Diskrepanz stellt eine erhebliche Herausforderung für die Governance dar. Wenn von der IT erwartet wird, SAP-Rollen so zu konzipieren und zu verwalten, dass sie mit den FUE-Ansprüchen des Unternehmens im Einklang stehen, muss sie Einblick in das Lizenzmodell, die Nutzungsziele und die geschäftlichen Ziele erhalten. Ein effektives FUE-Management ist nicht möglich, wenn wichtige Stakeholder nur einen unvollständigen Überblick über die Gesamtsituation haben.
Der FUE-Verbrauch ist letztlich eine finanzielle Kennzahl, wird jedoch durch Tausende von Zugriffsentscheidungen bestimmt, die jedes Jahr im gesamten Unternehmen getroffen werden. Um ihn effektiv zu steuern, müssen die Bereiche Finanzen, IT, SAP-Sicherheit und das operative Geschäft an einem gemeinsamen Governance-Prozess mitwirken – und zwar nicht nur bei Vertragsverhandlungen oder jährlichen Vertragsverlängerungen, sondern auch im Rahmen der laufenden Aktivitäten zum Zugriffsmanagement und zur Rollengestaltung.
Wenn Ihr Unternehmen die Frage, wer für den FUE-Verbrauch verantwortlich ist, nicht eindeutig beantworten kann, dann ist in der Praxis niemand dafür verantwortlich. Und wenn die Verantwortlichkeiten unklar sind, steigt der Verbrauch in der Regel so lange an, bis er sich in den monatlichen Lizenzzahlen niederschlägt.


Sind Sie sich nicht sicher, wer in Ihrer Organisation für FUE zuständig ist?
Soterion arbeitet mit IT-, Finanz- und Geschäftsverantwortlichen zusammen, um eine klare FUE-Steuerung zu etablieren – angefangen bei der Erfassung Ihrer aktuellen Verbrauchsdaten bis hin zur Integration der FUE-Transparenz in die täglichen Zugriffsworkflows. Kontaktieren Sie uns, um das Gespräch zu beginnen.