Enabling & Accelerating Identity, Access & Governance ... · 7 Belegbasierte SAP-Nutzungsanalyse...

PwC AG WPG

BelegbasierteSAP-NutzungsanalyseVon „hätte tun können“ Zu „hat getan“DSAG Jahreskongress 2016

Enabling & Accelerating Identity, Access & Governance Management

1September 2016Belegbasierte SAP-Nutzungsanalyse

PwC AG WPG

Vorstellung der Referenten


MCoS

Karl UlberPwC WP AG

* MBA Risk & Fraud Management* Manager im Bereich Identity, Access & Governance Management* Schwerpunkt SA/SOD Regelwerke

Anja BrunnerRobert Bosch GmbH

* MBA * Senior Expert im Bereich“Accounting Center Standardization“* Schwerpunkt SAP Compliance

Ekaterina PetukhovaPwC WP AG

* MSC* Consultant im BereichIdentity, Access & Governance Management* Schwerpunkt Datenanalysen

PwC AG WPG

Einführung

Die im Folgenden vorgestellte belegbasierte SAP Nutzungsanalyse folgt aus konkreten Problemen der Wirtschaft* sowie aus rechtlichen

Anforderungen**.

Ausgehend von der konkreten Herausforderung bei unseren Mandanten, nicht nur zu prüfen wer über sensitive Funktionen verfügt, sondern ebenso

zu prüfen, ob diese sensitiven Funktionen tatsächlich genutzt wurden, ist die Idee entstanden, dieser Anforderung unter Verwendung der in SAP

vorhandenen Log- und Protokolldateien nachzukommen.

Ausgehend von einer Darstellung der Bedarfsauslöser werden wir die fachliche Lösung deren technische Umsetzung sowie den

Projektablauf am Beispiel eines Projektes bei der Robert Bosch GmbH erläutern.

* ca. 57% der Unternehmen sind von Wirtschaftskriminalität (z.B. Diebstahl vertraulicher Daten, Manipulation von Konto- und Finanzdaten) betroffen

** Forderung des Minimalprinzips bei der Berechtigungsvergabe im Rahmen des IKS gemäß GoBD u.w.


PwC AG WPG

Über Bosch und den bisherigen Status Quo

Umsatz von 70,6 Milliarden Euro im Geschäftsjahr 2015

Weltweit rund 375 000 Mitarbeiter (Stand: 31.12.2015)

Robert Bosch Gruppe besteht aus rund 440 Tochter- sowie

Regionalgesellschaften in rund 60 Ländern

4 Unternehmensbereiche: Mobility Solutions, Industrial Technology, Consumer Goods,

Energy and Building Technology

IKS Kontrollen werden tool-gestützt geprüft (Nutzungsanalyse

mit MCoS). MCoS bisher nicht umfassend aufgrund Logik und

Performance Probleme im Einsatz

IKS umfasst verschiedene Berechtigungskontrollen (z.B.

Potenzialanalyse sowie Nutzungsanalysen)


PwC AG WPG

Warum Nutzungsanalyse?

1


PwC AG WPG

Warum Nutzungsanalyse?Bedarfsauslöser

01

02

03

04

Verstoß Minimalprinzipbei Berechtigungsvergabe

Gewollte Funktions-trennungskonflikte

IntransparenteGeschäftsprozesse

Hierarchisch gewachsenesFunktionstrennungs-Regelwerk

01

02

03

04

Fehlende Transparenz über Tätigkeitender Mitarbeiter führen zu Über-Berechtigungen

Fehlende Ressourcen führen zunicht vermeidbarenFunktionstrennungskonflikten

Komplexe Systemlandschaften führen zuintrasparenten Prozessen

Wechselnde Risiko-Anforderungenführen zu einer unzureichendenUmsetzung


PwC AG WPG

Warum Nutzungsanalyse?Nutzen

Identifizierung von Rollen, die nicht dem Tätigkeitsprofil des Mitarbeiters entsprechen.

Entfernungüberflüssiger

Rollen-zuordnungen

Gezielte Kompensation

von SoD-Konflikten

Identifikationvon Prozess-

abweichungen

Optimierung und Flexibilisierungdes Funktions-

trennungs-Regelwerks

Identifizierung von Belegen, welche unter Anwendung von

Funktionstrennungs-konflikten erzeugt wurden.

Erstellung einer klaren Prozesslandschaft, welche

Funktion für welche Gesellschaft pro System in

einem bestimmten Zeitraum ausgeführt wurde.

Review & Benchmarking des Risiko-Katalogs gegen Best-

Practice Regelwerken vergleichbarer Unternehmen.

Flexible Anpassung der systemseitigen Abfragen.


PwC AG WPG

Wie funktioniert die Nutzungsanalyse?

2


PwC AG WPG

Wie funktioniert die Nutzungsanalyse?Technische Umsetzung

SoD-Nutzungsanalyse

SA-Nutzungsanalyse

ZentraleInstanz

SAP-Quelle 1

Berichte

SAP-Quelle …

ListformateListformate GrafikenGrafiken Unsere beiden Programme zur Unterstützung der Nutzungsanalyse für Einzelfunktionen (SA) und Funktionstrennungen (SoD) werden jeweils auf den Zielsystemen und ggf. auf einem Zentralsystem eingespielt.

Die Algorithmen zur Analyse der SoD-und SA-Regeln können per Flatfileseingespielt oder direkt in den Programmen erfasst werden.

Nun werden die Daten in den Zielsystemen auf Benutzer mit Einzelfunktionen ausgewertet und die Ergebnisse in der Zentralen Instanz zu Informationen für Benutzer mit Funktionstrennungsverletzungen kombiniert.

Die Datenergebnisse beider Analysen können dann mit Reporting-Tools oder klassischen Anzeigefunktionen in SAP zur Verfügung gestellt werden.


PwC AG WPG

Wie lief das Projekt ab?

3


PwC AG WPG

Wie lief das Projekt ab?Projektschritte

• Review des bestehenden Risiko-Kataloges• Konkretisierung der Risikobeschreibung (z.B.

Bankdatenänderungen)

• Identifikation Log- & Protokollierungstabellen• Definition Filtertypen zur Ergebnisabgrenzung• Umsetzung Abfragelogik in Tool (ABAP)

• Prüfung auf abweichende Filterwerte• Lokalisierung systemspezifischer Filterwerte

• Datenauswertung mit Filtern (z.B. Zeitraum…)• Ergebnisverteilung gemäß Zuständigkeit• Überwachung der Analyse

Risikodefinition

Abfragelogik

Lokalisierung

Datendistribution


PwC AG WPG

Showcase

4


PwC AG WPG

ShowcaseEbenen der Auswertungen

Mit Hilfe der Nutzungsanalyse können sowohl sensitive Einzelfunktionen sowie Funktionstrennungskonflikte in Bezug auf deren Nutzung analysiert werden.

Ein Funktionstrennungskonflikt setzt sich dabei aus zwei Einzelfunktionen zusammen.

In Abhängigkeit der zu analysierenden Einzelfunktionen ist es mitunter sinnvoll sogenannte Varianten für Einzelfunktionen zu definieren. Dies ist z.B. notwendig, wenn zwischen der Anlage und der Änderung eines betriebwirtschaftlichen Objektes in der Analyse unterschieden werden soll und sich die relevanten Informationen jeweils in unterschiedlichen Tabellen befinden (z.B. wird die Anlage eines Hauptbuchbeleges in der BKPF gespeichert während dessen Änderungen in der CDHDR erfasst wird).

Auf Ebene des Ergebnis-Präsentation kann dabei flexibel ausgewählt werden, ob die Ergebnisse pro Variante oder konsolidiert auf Einzel-Funktionsebene angezeigt werden sollen.

1 : 2

1 : n

Funktions-trennungs-konflikt

Einzelfunktionen

Einzelfunktion-variante


PwC AG WPG

ShowcaseFunktionstrennungskonflikt

Funktions-trennungs-konflikt

Einzel-funktion

Einzel-Funktions-variante

Debitor pflegen & Vertriebsaufträge pflegen

IAGM_SOD_1

Debitor pflegen

IAGM_SA_1

Bankverbindung anlegen

Vertriebsaufträge pflegen

IAGM_SA_2

Bankverbindung ändern

Gutschrifts-anforderungen

anlegen

Gutschrifts-anforderungen

ändern


PwC AG WPG

Zusammenfassung

5


PwC AG WPG

ZusammenfassungProjektergebnisse

Optimierung Tool Performance bei hohen Datenvolumen04

Erhöhung Compliance Niveau01Einsparungspotenziale bei

Kontrolldurchführung durch Tooleinsatz02

Identifizierung von Prozess-Verstößen & gezielten SoD-

Umschiffungen03

Verbesserte Kompabilität zu verschiedenen SAP Umgebungen05

Reduzierung Administrationsaufwand06

MCoS


NutzungsanalyseAnsprechpartner

© 2016 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft.Alle Rechte vorbehalten. „PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers

Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIList eine rechtlich selbstständige Gesellschaft.

Karl UlberPwCKäthe-Kollwitz-Str. 2104109 LeipzigTel.: +49 341 9856 257email: [email protected]

Ekaterina PetukhovaPwCKapelle-Ufer 419117 BerlinTel.: +49 30 2636 1301email: [email protected]

Anja BrunnerRobert Bosch GmbHSiemensstraße 33A71254 DitzingenTel.: +49 711-8111-1724email: [email protected]

Enabling & Accelerating Identity, Access & Governance ... · 7 Belegbasierte SAP-Nutzungsanalyse...

Documents

Transcript of Enabling & Accelerating Identity, Access & Governance ... · 7 Belegbasierte SAP-Nutzungsanalyse...