Ein wichtiger Bestandteil der SAP Lösungen für Governance, Risk und Compliance ( GRC ) sind die Anwendungen zur Steuerung und Kontrolle der Zugriffs- und Berechtigungssysteme: "Virsa Compliance Calibrator", "Virsa Role Expert", "Virsa Access Enforcer" und "Virsa FireFighter for SAP". Die integrierten Anwendungen überprüfen in SAP- und Nicht-SAP-Systemen in Echtzeit alle Transaktionen im Zugriffs- und Berechtigungs-wesen. Abhängig von ihrer Größe verfügen Unternehmen über eine gewisse Anzahl von SAP-Anwendern, denen sich entsprechend ihrer Aufgaben im SAP-Standard angelegte Rollen zuweisen lassen. Verän-derte Verantwortungsbereiche, neue SAP-Funktionen oder neue kundeneigene Transaktionen sorgen jedoch meist rasch dafür, dass sich diese Rollen ändern. Verbunden mit dieser nicht unbeträchtlichen Zahl von Rollen und Prozessen gilt es, Zugriffsregeln und Berechtigungen zu evaluieren, zu testen und Probleme zu beheben. Doch das birgt Risiken. Beispielsweise ergäbe sich für einen Mitarbeiter, der bislang Lieferantenstammdaten ändern durfte und nun zudem berechtigt ist einen Zahlungslauf auszuführen, die Möglichkeit zum Betrug. Er könnte theoretisch Geld auf ein eigenes Bankkonto überweisen. Die internationale Gesetzgebung verpflichtet Unternehmen dazu, für solche Fälle Kontrollmechanismen einzurichten. Bislang sind hierfür meist Kontrollprozesse auf organisatorischer Ebene, außerhalb der SAP-Software aufgesetzt. Ein externer Systemprüfer kontrolliert die Zugriffsrechte und identifiziert mit seiner Erfahrung risikobehaftete Kombinationen von Transaktionen. Der Abstand zwischen zwei Prüfungen beträgt bis zu einem Jahr – für jemanden, der Schaden anrichten möchte, ein ausreichend langer Zeitraum. Die effizienteste und kostengünstige Möglichkeit, Lücken im Kontrollsystem zu ermitteln und Verstöße bei den Benutzerrechten zu verhindern, sind daher automatisierte Tests und Echtzeitüberwachung, beispielsweise hinsichtlich der Funktionstrennung.

Virsa Compliance Calibrator

Der Virsa Compliance Calibrator versteht sich hier als "interner, permanenter Systemprüfer". Werden im SAP-Berechtigungskonzept einem Anwender beispielsweise die Transaktionen zur "Anlage von Bestellungen" und "Rechnungsprüfung" zugeordnet, reagiert der Compliance Calibrator in Echtzeit. Er identifiziert anhand seines hinterlegten Regelwerks – das Resultat zehnjähriger Auditerfahrung – ein potentielles Risiko und meldet es an den hinterlegten Verantwortlichen für den Geschäftsprozess "Procure to Pay". Der Compliance Calibrator macht darüber hinaus Lösungsvorschläge. So lässt sich im Beispiel das Risiko für Missbrauch etwa durch das Vieraugenprinzip bei der Rechnungsprüfung vermindern. Unabhängig von einem solchen zusätzlichen, manuellen Prozess ist das Missbrauchsrisiko nun bekannt. Das Unternehmen kann also auch andere Varianten überdenken. Muss der Anwender tatsächlich beides dürfen, Bestellungen anlegen und Rechnungsprüfungen durchführen? Reicht es vielleicht aus, wenn nur Rechnungen über 10.000 Euro nach dem Vieraugenprinzip geprüft werden? Das Herzstück des Virsa Compliance Calibrators ist ein Regelwerk. Es umfasst rund 200 Risiken, die sich aus den Kombinationmöglichkeiten von mehreren tausend SAP-Standardtransaktionen ableitet. Die Risiken sind nach Geschäftsprozessen klassifiziert, etwa Procur-to-Pay oder Order-to-Cash. Der Virsa Compliance Calibrators wurde in ABAP programmiert und lässt sich per Transportauftrag direkt in mySAP ERP einspielen. So genannte Z-Transaktionen, die der Kunde seinen Wünschen entsprechend selbst erstellt hat, erkennt das Regelwerk zunächst nicht. Sie müssen hinzugefügt werden, um einen umfassenden Blick auf alle Kombinationsmöglichkeiten der Transaktionen und die damit verbundenen Risiken zu ermöglichen. Hat ein SAP-Kunde etwa für die Erfassung von Bestellungen innerhalb einer eigenen Z-Transaktion zudem die Bildschirmmaske vereinfacht, so ist diese bei Systemprüfungen ebenfalls zu berücksichtigen.Handelt es sich um eine umfassende Eigenentwicklung sollte ein externer Systemprüfer bezüglich kritischer Kombinationsmöglichkeiten von Transaktionen und der daraus resultierenden Risiken befragt werden. Derart abgesichert kann die kundenindividuelle Z-Transaktion in das automatische Regelwerk für permanente Echtzeitprüfungen hinterlegt werden.

* Virsa Role Expert
* Virsa Access Enforcer
* Virsa FireFighter

Ausführliche Informationen´[ jetzt herunterladen ]