Information und Bildungsarbeit von und für die SAP-Community
Business Management, MAG 15-07

Pilotprojekt für neue Compliance Suite

Wer darf was? In SAP-Systemen bestimmen die SAP-Berechtigungen, wer welche Daten zu sehen bekommt oder diese bearbeiten darf. Das Problem dabei: Je größer die Firma, desto leichter geht der Überblick über die SAP-Berechtigungen verloren, auch durch den Einsatz von zu vielen Rollen.
E-3 Magazin
2. Juli 2015
Inhalt:
2015
avatar

Das Systemhaus Ciber hat beim Übertragungsnetzbetreiber TenneT TSO ein neues SAP-Berechtigungskonzept mit eindeutigen Jobrollen eingeführt: Aus über 5000 Rollen wurden so nur noch rund 200 Jobrollen.

Das Redesign sorgt für Transparenz in den SAP-Berechtigungen, vereinfacht und harmonisiert die Prozesse zur SAP User Administration und garantiert gemeinsam mit Cibers hauseigener Ciber Compliance Suite (CCS) die kontinuierliche Einhaltung der Compliance-Richtlinien.

Ciber hat in einem weltweiten Pilotprojekt seine hauseigene Compliance Suite erfolgreich bei TenneT TSO implementiert. Ciber hat dabei die zwei Komponenten Ciber Usage Monitor und Ciber Access Control sukzessive beim deutschen Stromnetzbetreiber mit Sitz in Bayreuth eingeführt.

Phase 1: Redesign des SAP-Berechtigungskonzepts

Das umfangreiche Projekt nahm seinen Anfang 2013 mit dem Redesign des SAP-Berechtigungskonzepts. Ciber hatte sich in der Ausschreibung gegen mehrere spezialisierte Mitbewerber durchgesetzt.

Ausschlaggebend für die Wahl von Ciber waren in erster Linie die bestehenden Referenzen durch ähnliche Projekte mit hochzufriedenen Kunden. Zudem überzeugten die von Ciber vorgeschlagene, gut strukturierte Vorgehensweise bei der Durchführung des Redesign-Projekts, das erfahrene Beraterteam, die Präsentation des Projekts beim Kunden sowie das Vertrauen in Ciber als bewährter CMS-Service-Provider.

Rollen drastisch reduziert

Ein Kernanliegen des Redesigns war die Anpassung der SAP-Berechtigungen an die neue Organisation, nachdem die TenneT aus der E.ON hervorgegangen war. Die in der Folge auftretenden vielen Rollen, unzureichende Transparenz für Verantwortliche und das Fehlen von SAP-Berechtigungen erforderten neue Lösungen.

Ciber definierte daher die SAP-Berechtigungen unter Nutzung der eigenen Best-Practice-Rollen im April 2014 auf den ­ECC-, SRM-, BI- und HCM-Systemen komplett neu.

Dazu band Ciber die TenneT Key User in das Rollen-Design eng mit ein. Dank dieser Vorgehensweise kennen diese sehr genau ihre jeweiligen Rollen.

Gemeinsam wurden erstmals die Segregation-of-Duties-(SoD-)Risiken definiert, beim Design der Rollen berücksichtigt und so weit wie möglich reduziert. Die CCS von Ciber überwacht diese SoD-Risiken ständig.

Phase 2: Einsatz der Ciber Compliance Suite

Im September 2014 startete dann das logische Folgeprojekt, in dem das Heidelberger Beratungshaus zusammen mit Ciber Dänemark bei TenneT die hauseigene Ciber Compliance Suite (CCS) zur Kon­trolle der Systemnutzung und der SoD-Risiken in den ECC- und HCM-Systemen implementierte.

Schrittweise wurde zunächst das Customizing der CCS-Produkte durchgeführt, bevor der Aufbau des Ciber Usage Monitors für die Optimierung der SAP-Systemvermessung folgte.

Die letzte Projektetappe bestand in der anschließenden Implementierung des Tools Ciber Access Control, das SoD-Risiken in SAP-Berechtigungen stets direkt erkennt und TenneT eine kontinuierliche Compliance sichert.

So funktioniert Ciber Access Control

Im Access Control von Ciber ist eine SoD-Matrix hinterlegt, wobei ein SoD-Risiko immer aus der Kombination von zwei SAP-Funktionen besteht, z. B.: „F1 – Bestellungen bearbeiten“ und „F2 – Wareneingang buchen“. Im Tool sind dann die zugehörigen SAP-Transaktionen, Berechtigungsobjekte und Werte hinterlegt.

Die präventive SoD-Prüfung soll Antworten auf folgende Fragen liefern: Welche Berechtigungen werden neu eingetragen? Ergeben diese selbst ein SoD-Risiko? Besteht ein Risiko in Kombination mit bestehenden Berechtigungen beim User oder in Rollen?

Wenn Risiken vorhanden sind, erscheinen diese abhängig von den CSS-Einstellungen im SAP. Es sind nun drei Aktionen möglich: „Risiko nur als Meldung anzeigen“, „Eine Doku muss zur Genehmigung des Risikos angehängt werden“ und „Die Änderung wird blockiert, da das Risiko nicht erlaubt ist“.

Das nachgelagerte SoD-Reporting untersucht die SAP-User oder SAP-Rollen auf existierende Risiken. Dabei wird die hinterlegte SoD-Matrix gegen die SAP-User oder SAP-Rollen geprüft und Ergebnisse werden im Excel-Format angezeigt.

Risikoprüfung

Seit Februar 2015 kann sich der Stromnetzbetreiber auf eine präventive Prüfung der SoD-Risiken bei der Online-Pflege von SAP-Usern und SAP-Rollen verlassen.

Eine nachgelagerte Prüfung aller SoD-Risiken erfolgt mit der Ciber Compliance Suite ebenfalls pro Quartal.

„Wir freuen uns sehr, auch das Folgeprojekt zur Einführung unserer Compliance Suite zur Zufriedenheit unseres Kunden gemeistert zu haben.

Dass ein weltweites Pilotprojekt im Rahmen einer internationalen Zusammenarbeit so reibungslos und erfolgreich verläuft, ist sicher nicht selbstverständlich“

weiß Mario Hendrich, Projektleiter und Team Lead „Compliance Services“ bei Ciber.

Projektergebnisse

Mit der Durchführung beider Projekte wurden für die TenneT folgende Ergebnisse erzielt:

  • Vereinfachung des Prozesses zur SAP User Administration durch die Reduzierung der Rollen im TenneT-Rollen-Portal von über 5.000 auf circa 200 Jobrollen
  • Transparenz für TenneT-Rollen-Verantwortliche über Rolleninhalte und Rollenzuordnungen
  • Definition und Reduzierung der Segregation-of-Duties-(SoD-)Risiken für TenneT in den SAP-User-Berechtigungen
  • Sicherstellung einer kontinuierlichen Compliance in SAP-Berechtigungen durch das Tool Ciber Access Control
  • Optimierte Zuordnung der SAP-Lizenzen zu den SAP-Usern durch strukturierte Jobrollen und Monitoring der SAP-Nutzung über das Tool Ciber Usage Monitor
avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Alle Artikel des Autors

Schreibe einen Kommentar

Herausforderungen der Transformation meistern

Die Leiden des jungen CIO

KI muss als Teaminitiative gesehen werden

Hier anmelden
*
*
Passwort speichern
Passwort vergessen?
 

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.