SAP GRC Access Control - EDV-BUCHVERSAND

17

Welche Bedeutung haben Governance, Risk und Compliance heutzutage für Unternehmen und insbesondere ihre IT-Sys-teme? Welche Anforderungen werden in diesem Zusammen-hang an ein Berechtigungskonzept gestellt, und wie lässt sich dies mithilfe von SAP GRC Access Control umsetzen? Dies sind die Fragen, die in diesem Buch beantwortet werden. In der Einleitung lesen Sie, an wen sich dieses Buch richtet und wie es strukturiert ist.

1 Einleitung

Wir haben uns in der Vorbereitungsphase zu diesem Buch langeüberlegt, wie wir das Thema Access Control mit SAP möglichst über-sichtlich darstellen, aber dennoch die technischen Grundlagen unddas rechtliche Hintergrundwissen dazu einbinden können. Das warschwieriger, als zuerst gedacht, und wir haben lange über die inhalt-liche Abgrenzung und die Gewichtung der verschiedenen Themendiskutiert. Schließlich werden hier viele verschiedene und komplexeThemen angesprochen. Warum dieses Buch letztlich genau so zu-stande gekommen ist, wie es Ihnen nun vorliegt, und wie Sie damitarbeiten können, möchten wir in diesem Kapitel erläutern.

1.1 Inhaltliche Abgrenzung

Was ist GRC?Der Themenkomplex Governance, Risk und Compliance (GRC) ist äu-ßerst kompliziert und vielschichtig. Er setzt sich aus einem Wirrwarrvon Richtlinien, Gesetzen, Gesetzesinterpretationen und Prüfungs-standards zusammen, die in verschiedenen Ländern und von diver-sen Organisationen erstellt und weiterentwickelt wurden. DieseRegelungen sind oftmals in einer selbst für Eingeweihte schwer ver-ständlichen Sprache verfasst. Letztlich stellt sich auch die Frage, wel-che Regelungen für welche Zielgruppen gültig und verpflichtendsind. Wir haben versucht, dieses Begriffsknäuel zu entwirren und diewichtigsten Grundprinzipien des Themenkreises GRC möglichst ver-

1141.book Seite 17 Donnerstag, 31. Juli 2008 3:31 15

18

Einleitung1

ständlich und mit Beispielen unterlegt aufzuzeigen. Ziel dieses Bu-ches ist es jedoch nicht, einen vollständigen Überblick dazu zu geben.Damit hätten wir die geplante Seitenzahl des Buches gesprengt. ImLiteraturverzeichnis finden Sie jedoch weiterführende Literatur zudiesem Thema.

SAP-Berech-tigungskonzept

Ein aus den GRC-Initiativen abgeleitetes Thema ist die Prüfung undOptimierung von SAP-Berechtigungskonzepten. Auch dieses Themawäre für sich bereits buchfüllend. Da ein gutes Verständnis eine we-sentliche Voraussetzung für die erfolgreiche Nutzung von SAP AccessControl ist, haben wir auch hier eine Übersicht über die wesentlichenPrinzipien in das Buch aufgenommen. Da ein Buch auch ein Endehaben sollte, mussten wir uns auch hier auf wesentliche Punktebeschränken.

SAP GRC AccessControl

Wie sich GRC-Initiativen in das SAP-Berechtigungskonzept überlei-ten und wie mit SAP GRC Access Control die daraus resultierenden An-forderungen und Best-Practice-Prozesse an das Rollen- und Benutzer-management erfüllt werden können, ist der dritte Schwerpunktunseres Buches. Hier haben wir versucht, den verbleibenden Platzfür eine fundierte Beschreibung der wesentlichen Zusammenhängeund Wirkungsweisen der Access-Control-Anwendungen zu verwen-den. Wir haben die wichtigsten Aspekte und Schritte für die Imple-mentierung der Anwendungen vorgestellt und auch häufige Stolper-steine aufgezeigt.

Wir haben unsere Ausführungen mit der Darstellung von Zusam-menhängen, wichtigen Konzepten sowie Prozessen und Abläufen un-terlegt. Darüber hinaus haben wir Abbildungen aus SAP ERP-Syste-men und den Access-Control-Anwendungen verwendet, um das»Look and Feel« und die wesentlichen Customizing-Einstellungen zuzeigen.

Dieses Buch basiert auf dem aktuellen Releasestand SAP GRC AccessControl 5.3, der sich zurzeit im Ramp-Up befindet. Deshalb sind klei-nere Änderungen an der Programmoberfläche möglich.

Die Fallstudie Um die vorgestellten Konzepte zu verdeutlichen, haben wir diese mitBeispielen untermauert, die sich in der Summe zu einer umfassendenFallstudie ergänzen, die die dargestellten Inhalte illustrieren soll. DasBeispielunternehmen – der Crashkurs-Konzern – begleitet uns imVerlauf des gesamten Buches.


19

Zielgruppen 1.2

Wir haben versucht, unsere Ausführungen branchen- und länderneu-tral zu halten, um sie für einen möglichst großen Kreis von Interes-senten anwendbar zu machen.

1.2 Zielgruppen

An wen richtet sich dieses Buch?

Folgende Zielgruppen sollten mit diesem Buch wertvolle Hinweisezum Thema Access Control mit SAP GRC erhalten:

Leiter und Mitarbeiter von Compliance-Abteilungen, IT-Governance-Abteilungen und internen Revisionen erhalten einen fundierten Über-blick über den Aufbau der SAP-Berechtigungsstrukturen. Darüber hi-naus wird dargestellt, wie die Funktionsweise der Access-Control-Anwendungen geplante GRC-Initiativen unterstützen kann.

SAP-Manager und Mitarbeiter aus SAP-Abteilungen bekommen eineumfassende Übersicht über die wesentlichen rechtlichen GRC-Grundsätze, darüber, wie sich diese im Prüfungsansatz bei Berech-tigungsprüfungen niederschlagen, sowie über daraus abgeleiteteBest-Practice-Prozesse. Weiterhin werden die Funktionalitäten derAccess-Control-Anwendungen dargestellt und die mögliche Unter-stützungsleistung, die Access Control für den Rollen- und Benutzer-administrationsprozess liefern kann.

Projektleiter, Teammitglieder und Berater von GRC-Implementie-rungsprojekten erhalten hilfreiche Hinweise zur Projektplanungsowie zu wesentlichen Customizing-Schritten von Access Control.

IT-Prüfer bekommen wertvolle Hinweise über die Funktionalität vonAccess Control und können daraus wiederum Rückschlüsse für ihrePrüfungshandlungen ziehen.

Studenten und andere Interessierte bekommen einen fundierten Über-blick über den Zusammenhang zwischen GRC-Initiativen und SAP-Berechtigungskonzepten sowie über wesentliche Aspekte, Zusam-menhänge und die Wirkungsweise von SAP GRC Access Control.


20

Einleitung1

1.3 Arbeiten mit diesem Buch

Wir haben das Buch so aufgebaut, dass kein Vorwissen im BereichGRC, SAP-Berechtigungen oder Access Control notwendig ist. Wirführen Sie Stück für Stück in diese Bereiche ein.

Sie können die einzelnen Kapitel des Buches in beliebiger Reihen-folge durcharbeiten. Da sich jedoch insbesondere unsere Fallstudievon Kapitel zu Kapitel fortsetzt und dadurch das Verständnis verbes-sert werden soll, würden wir empfehlen, das Buch in der Reihenfolgeder Kapitelanordnung zu lesen.

Struktur desBuches

Wir haben die Kapitel und unsere Ausführungen so angeordnet, wiewir grundsätzlich bei Implementierungen von SAP GRC Access Con-trol vorgehen. Die Vertiefungen in die GRC-Grundlagen und SAP-Be-rechtigungsprinzipien werden im Rahmen des Projekts oftmals inForm von Grundlagentrainings und Coaching-Unterstützungen wei-tergeben. Dadurch hoffen wir, dass Sie auch einen guten Überblicküber die Struktur, Ausmaße und Dauer entsprechender Implementie-rungen und Spin-Off-Projekte erhalten.

GesetzlicheRahmen-

bedingungen

In Kapitel 2, »Marktentwicklungen und gesetzliche Rahmenbedin-gungen«, erläutern wir die wesentlichen Marktentwicklungen,gesetzlichen Rahmenbedingungen sowie Bedeutung und Grundlagenvon GRC. Dabei diskutieren wir einige der wichtigsten Bilanzskan-dale der letzten Jahre und deren Auswirkungen, stellen aktuelleErgebnisse von Studien vor und versuchen, Begriffe wie CorporateGovernance, Internes Kontrollsystem, Sarbanes-Oxley Act und die 8. EU-Richtlinie näher zu erläutern.

Grundlagenvon GRC

In Kapitel 3, »Einführung in Governance, Risikomanagement undCompliance«, werden wir Ihnen Rahmenwerke und Konzepte vor-stellen, die die Durchführung von GRC-Projekten unterstützen.Dabei erklären wir allgemeine Abläufe Schritt für Schritt und gebenIhnen auch die Möglichkeit, den Status Ihres eigenen Unternehmensselbst zu analysieren. Wir zeigen Ihnen die grundlegenden Struktu-ren einer effektiven Governance auf, stellen die Corporate-Gover-nance-Kodizes für Österreich, Deutschland und die Schweiz vor, zei-gen die wesentlichen Aspekte von IT-Best-Practice-Rahmenwerkenwie CobiT und ITIL und ebenso Rahmenwerke für Interne Kontroll-systeme und Risikomanagementsysteme, COSO I bzw. COSO II, auf.


21

Arbeiten mit diesem Buch 1.3

Die SAP-Lösungen für GRC

In Kapitel 4, »Integration von GRC-Initiativen durch SAP-Lösungenfür GRC«, beschäftigen wir uns mit den wichtigsten Bestandteilen derSAP GRC-Lösungen und stellen sie in Verbindung mit den allgemei-nen GRC-Initiativen. Wir zeigen auf, dass die Prüfung von System-berechtigungen über Bordmittel zumeist nicht zielführend ist, undgeben erste Einblicke in den Aufbau von SAP GRC Access Controlund über den Ablauf von Implementierungsprojekten.

Das SAP-Berech-tigungskonzept

Im Laufe von Kapitel 5, »SAP-Berechtigungskonzept und Funktions-trennung«, führen wir Sie in die wesentlichen Prinzipien des SAP-Be-rechtigungskonzepts und von kritischen Funktionstrennungen und kri-tischen Berechtigungen ein. Wir zeigen die Verbindung zu den GRC-Initiativen auf und sprechen Prüfungsthemen wie Superuserberech-tigungen, Data-Owner-Konzept und typische Schwächen im Benutzer-und Rollenmanagement an.

Analyse des Ist-Zustands

In Kapitel 6, »Risikoanalyse und Re-Design mit SAP GRC Access Con-trol«, stellen wir die SAP GRC Access Control-Anwendungen RiskAnalysis and Remediation (RAR) und Superuser Privilege Management(SPM) im Detail vor. Wir zeigen dabei unter anderem auf, wie Sie mitRAR Berechtigungen auf der Ebene von Benutzern oder Rollen aufkritische Funktionstrennungsverletzungen oder kritische Berech-tigungen prüfen können, wie die festgestellten Risiken beseitigt wer-den können und wie Sie mit SPM eine Lösung für die Superuser-Pro-blematik erhalten.

Aufsetzen des Rollen- und Benutzer-managements

In Kapitel 7, »Benutzer- und Rollenmanagement mit SAP GRC AccessControl«, werden dann die verbleibenden zwei SAP GRC Access Con-trol-Anwendungen – Compliant User Provisioning (CUP) und Enter-prise Role Management (ERM) – vorgestellt. Hier werden wir darstel-len, wie Sie effiziente Rollen- und Benutzermanagementprozessedurch die Verwendung von CUP und ERM langfristig sicherstellenkönnen.

In diesem Buch finden Sie mehrere Orientierungshilfen, die Sie beimZugriff auf die Informationen unterstützen. Die folgenden Symbolehelfen Ihnen, sich schneller zu orientieren:

� Hinweis: Dieses Symbol steht an Stellen, die spezielle Empfehlun-gen enthalten, die Ihnen die Arbeit erleichtern können oder aufFallstricke hinweisen.


22

Einleitung1

� Definition: Dieses Symbol kennzeichnet zentrale Begriffe und Fak-ten, die Sie sich merken sollten.

� Beispiel: Unter diesem Symbol finden Sie Szenarien und Beispieleaus der Praxis.

1.4 Danksagung

Bei der Erstellung dieses Buches waren wir nicht gänzlich auf uns al-lein gestellt. Wir möchten uns an dieser Stelle bei allen Kollegenrecht herzlich bedanken. Folgende Personen haben uns mit ihremFachwissen in verschiedenen Diskussionen zur Seite gestanden:

Carsten Trebuth, Johannes Liffers und Siegfried Filla von Pricewater-houseCoopers Deutschland, Antoine Wüthrich, Bastian Maylaenderund Bernd Schnabl von PricewaterhouseCoopers Schweiz, MatthewBennett und Scott Enerson von PricewaterhouseCoopers USA sowieMarkus Ramoser und Raoul Vogel von PricewaterhouseCoopers Ös-terreich. Danke für kritisches Feedback und laufende Motivation!

Bei der Recherche und der Erstellung der Abbildungen waren unsfolgende Kollegen von PricewaterhouseCoopers Österreich behilf-lich: Michael Franz, Tatjana Heiszenberger und Martin Jandl.

Zudem danken wir Alexander Redlein von der Technischen Univer-sität Wien, der uns vor allem bei den Praxisbeispielen mit kritischenAnmerkungen unterstützte.

Darüber hinaus möchten wir uns noch herzlich bei Gerald Zeiner vonSAP Österreich für seine Unterstützung und bei unserem Lektorats-team bei SAP PRESS, allen voran Frau Eva Tripp, für die gute Betreu-ung bedanken.

Zuletzt wollen wir auch unsere Familien und Freunde nicht verges-sen, die die Entwicklung des Buchprojektes »hautnah und live« mit-erlebt haben. Danke für eure Geduld und Unterstützung!

Alexander BartaBarbara GillerDr. Aslan Milla


211

Bevor Sie Ihr Berechtigungswesen reorganisieren, gilt es zunächst, den Ist-Zustand der SAP-Berechtigungen festzustel-len. Wie SAP GRC Access Control dazu eingesetzt wird, lesen Sie in diesem Kapitel. Wie mit den Risiken zu verfahren ist, die Sie bei dieser Bestandsaufnahme aufdecken, ist außerdem Thema dieses Kapitels.

6 Risikoanalyse und Re-Design mit SAP GRC Access Control

In den vorangegangenen Kapiteln haben wir Sie in das ThemengebietGovernance, Risikomanagement und Compliance (GRC) eingeführtund dabei insbesondere die Relevanz der Benutzerberechtigungenund des Benutzer- und Rollenmanagements aufgezeigt.

In diesem und dem nachfolgenden Kapitel wollen wir Ihnen zeigen,wie Sie die Benutzer- und Rollenmanagementanforderungen durchden Einsatz von SAP GRC Access Control erreichen.

In diesem Zusammenhang wird auch unsere Fallstudie fortgeführt:Unser Beispielkonzern hat sich zur langfristigen Sicherstellung derZiele seiner GRC-Initiativen dafür entschieden, SAP GRC Access Con-trol einzusetzen. In diesem Kapitel wird die Software im Unterneh-men implementiert.

6.1 Anforderungen an SAP GRC Access Control

Wir werden nun nochmals die wichtigsten Schlussfolgerungen ausunseren bisherigen Ausführungen zusammenfassen und aufzeigen,wie diese in einem Implementierungsprojekt aufgearbeitet werden.

Die folgenden wesentlichen Best-Practice-Standards für den Bereichder Systemberechtigungen sind auch für den Crashkurs-Konzern re-levant:


212

Risikoanalyse und Re-Design mit SAP GRC Access Control6

Best Practice fürBerechtigungen

1. Änderungen in den Benutzerstammsätzen von unternehmenskri-tischen Systemen (Neuanlage/Änderung bestehender User) müs-sen freigegeben und dokumentiert werden.

2. Der Freigabe von Änderungen an Benutzerstammsätzen, Rollenund Profilen sollte ein sauber definiertes Data-Ownership-Konzeptzugrunde liegen.

3. Der Aufbau von Rollen und Profilen sowie deren Vergabe an Be-nutzer sollten die Prinzipien der minimalen Vergabe von Berechti-gungen wie auch das Prinzip der Trennung kritischer Funktionen be-rücksichtigen.

4. Der Zustand der bestehenden Berechtigungen in den Systemensollte regelmäßig auf bestehende Risiken geprüft, die Ergebnissedarüber sollten berichtet und entsprechende Konsequenzen abge-leitet werden.

Erinnern Sie sich an eine unserer wesentlichen Botschaften zu Sys-temberechtigungen:

In der Diskussion rund um das Erreichen all dieser Anforderungentreffen zwangsläufig zwei zum Teil sehr konträre Sichtweisen aufein-ander. Wie auch Abbildung 6.1 verdeutlicht, handelt es sich dabeium die Compliance-Sicht des Prüfers und die betriebswirtschaftlichgeprägte Sicht des Praktikers in den Fachabteilungen.

Compliance-Sichtgegen Praktiker-

Sicht

Für den Prüfer wie die Leiterin der internen Revision für den Crash-kurs-Konzern, Paula Prüfer, sind Berechtigungen ein wichtiges Mittelzur Erreichung von Kontrollsicherheit über systemgestützte Ge-schäftsprozesse, der Praktiker, wie es der IT-Governance-Verant-wortliche Claus Cobit noch immer ist, sieht Berechtigungen jedocheher aus dem Blickwinkel eines möglichst effizienten Arbeitsablaufs.Das Berechtigungskonzept steht somit im Spannungsfeld dieser zweiSichtweisen. Aus unserer Erfahrung können sich dabei scheinbar un-überbrückbare Differenzen bei der Diskussion von Prüfungsfeststel-lungen im Bereich der Berechtigungen ergeben. Übliche – fast immerwiderlegbare – Einwände in diesen Diskussionen haben wir für Sie

Bedeutung des Berechtigungskonzepts

Ein aus Compliance-Sicht sauberes Berechtigungskonzept wirkt präventivRisiken entgegen und unterstützt nachhaltig die Wirksamkeit internerKontrollkonzepte.


213

Risk Analysis and Remediation 6.2

zusammengestellt. Diese Einwände werden für fast jedes denkbareRisiko und jede kritische Berechtigung verwendet:

� Das Risiko wird doch durch das SAP-Customizing abgedeckt, dakann nichts passieren …

� Mit dieser Transaktion kommt man gar nicht zu der kritischenFunktion …

� Wo ist bei dieser Funktion das Risiko? Das ist ja gar nicht kritisch …

� Meine Mitarbeiter verwenden das ganz sicher nicht …

� Wir kontrollieren so viel, da kann nichts durchrutschen …

Auch wenn man viele Einwände durch Diskussion und genaue Erklä-rungen der jeweiligen Risiken ausräumen kann: Es besteht die Ge-fahr, in eine ineffiziente Pattstellung zu gelangen.

Die Anwendungen Risk Analysis and Remediation (RAR) und SuperuserPrivilege Management (SPM) versuchen, das oben beschriebene Span-nungsfeld durch einen sowohl für Praktiker als auch Prüfer verständ-lichen, effizienten und tragbaren Prüfungsansatz weitgehend aufzu-lösen. Wie das funktioniert, wollen wir nun näher beleuchten.

6.2 Risk Analysis and Remediation

Risk Analysis and Remediation (RAR) ist das zentrale Modul von SAPGRC Access Control. Hier werden die Prüfungsregeln erzeugt, und eswird verwaltet, wie andere Module von Access Control im Rahmender Risikoanalyse auf RAR zugreifen.

Abbildung 6.1 Das Berechtigungskonzept zwischen den Fronten

Compliance-Sicht des Prüfers

Prinzip der minimalen Berechtigungsvergabe

strenge Trennung kritischer Aktivitäten

Berechtigungen sind Mittel zur Erreichung von Prüfsicherheit

Kontrollsicherheit hat höchste Priorität

betriebswirtschaftlicheSicht des Praktikers

Abläufe sind so effizient wiemöglich

Strukturen innerhalb einerOrganisation sind schlank

Berechtigungen unterstützenden effizienten Ablauf

Kosteneffizienz hat diehöchste Priorität

konzept

Berechtigungs-


214


In diesem Buch beziehen wir uns, wenn nicht anders angegeben, aufRAR-Release 5.3, das auf dem SAP NetWeaver Application Server ba-siert. Vor allem was den Aufbau von Prüfregeln betrifft, sind die In-halte aber auch auf die ABAP-Variante anwendbar.

Einstieg in RAR Der Einstieg in RAR erfolgt mittels der User Management Engine(UME) des Benutzers entweder über das Launch Pad oder über dendirekten Link <anwendungsserver>:<portnummer>/webdynpro/dispat-cher/sap.com/grc~ccappcomp/Compliance Calibrator. Die Einstiegs-maske über den direkten Link sehen Sie in Abbildung 6.2. Im RAR-Modul können leider über diesen Einstieg – im Gegensatz zu Compli-ant User Provisioning (CUP) und Enterprise Role Management (ERM) –keine Spracheinstellungen geändert werden. Für RAR müssen Siedazu die Spracheinstellungen über UME ändern.

Fünf Bereichevon RAR

Abbildung 6.3 zeigt die Bildschirmmaske von RAR, die direkt nachdem Einloggen erscheint. Wie Sie sehen, ist RAR über Registerkartenin fünf Bereiche aufgeteilt, in die, abhängig von den Berechtigungendes UME-Benutzers, navigiert werden kann:

� Auskunft – aus diesem Register können Management- und Prü-fungsberichte gestartet werden.

� Regelarchitekt – in diesem Register erfolgt die Konfiguration derPrüfregeln.

� Kompensierung – in diesem Menü wird die Funktionalität derkompensierenden Kontrollen gepflegt.

Abbildung 6.2 Direkter Einstieg in RAR


215


� Alarmmonitor – über dieses Menü werden automatisch gene-rierte Warnmeldungen konfiguriert.

� Konfiguration – in diesem Register finden sich allgemeine Kon-figurationseinstellungen abseits der Prüfregeln wieder.

Über die im Startmenü angezeigte Managementansicht können gra-fische Übersichten über verschiedene Aspekte der in RAR vorgenom-menen Prüfungen ausgewertet werden, durch das Klicken auf dieGrafiken ist ein weiterer Drilldown möglich. Auf die Management-ansicht kommen wir nochmals in Abschnitt 6.2.2, »Funktionsumfangvon Risk Analysis and Remediation«, zurück.

6.2.1 Initiale Konfiguration von Risk Analysis and Remediation

Nach der Installation der verschiedenen Access-Control-Komponen-ten müssen einige initiale Konfigurationsmaßnahmen in RAR durch-geführt werden. Diese dienen dazu, RAR mit wichtigen Informatio-nen und Details für die weitere Arbeit zu versorgen. Wie auch dieInstallation der Access-Control-Komponenten sind sie in Guidesgenau beschrieben, wir möchten daher an dieser Stelle nur einenÜberblick geben.

Abbildung 6.3 Startansicht der RAR-Anwendung


216


Führen Sie folgende initialen Konfigurationsmaßnahmen durch:

1. Verbinden Sie RAR mit den zu prüfenden Systemen über Anlageder Systemkonnektoren im Konfigurationsmenü von RAR, sieheauch Abbildung 6.4. Der Verbindungstyp bei SAP-Systemen istdabei zumeist Adaptive RFC. Sie können nur Systeme auswählen,die Sie zuvor im Rahmen der technischen Installation über JavaConnectors angebunden haben.

2. Geben Sie im Konfigurationsmenü von RAR im UnterpunktStammbenutzerquelle Ihr Referenzsystem für Benutzerstammda-ten an (siehe Abbildung 6.5). Der etwas sperrige Begriff Stammbe-

nutzerquelle ist in der englischen Originalbezeichnung vielleichtleichter verständlich – dort heißt er Master User Source.

Abbildung 6.4 Konnektoren für zu prüfende Systeme anlegen

Abbildung 6.5 Definition des Referenzsystems für Benutzerstammsätze


217


3. Laden Sie statische Texte (im Wesentlichen die Bezeichnungen fürSAP-Transaktionen) aus jedem der zu prüfenden SAP ERP-Systemein RAR ein. Für den Extrakt wird ein entsprechendes ABAP-Pro-gramm zur Verfügung gestellt. Der Upload nach RAR wird überdas Konfigurationsmenü unter dem Menüpunkt Objekte hochla-

den, Untermenüpunkt Textobjekte, durchgeführt.

4. Laden Sie den Stand der in Ihren SAP ERP-Systemen gepflegtenSAP-Berechtigungsobjekte (siehe Transaktion SU24) in RAR fürjedes zu prüfende SAP-System ein. Auch dazu wird ein entspre-chendes ABAP-Programm zur Verfügung gestellt. Der Upload er-folgt dabei ebenfalls unter dem Menüpunkt Objekte hochladen,aber im Untermenüpunkt Berechtigungen.

5. Laden Sie die mit ausgelieferten Standardprüfregeln über das Kon-figurationsmenü in RAR.

6. Planen Sie erste und regelmäßige und inkrementelle Hintergrund-jobs für die Synchronisation der Benutzer, Rollen und Profile, derRisikoanalysen und der Managementberichte ein.

Wir empfehlen Ihnen, die Schritte 5 und 6 erst nach erfolgter Anpas-sung der Standardprüfregeln durchzuführen. Beachten Sie dazu auchunsere Ausführungen in den nächsten Abschnitten.

Pre- und Post-Installations-Check beim Crashkurs-Konzern

Nach erfolgtem Projekt-Kick-Off und der Coaching- und Voranalyse-phase mit Paula Prüfer und Claus Cobit erfolgt der Pre-Installations-Check durch die Berater und die SAP-Basis-Administration. Dabeiwird anhand der Installation Guides und neuester OSS-Meldungen derSAP geprüft, ob die notwendigen technischen Voraussetzungen inder für Access Control vorgesehenen SAP NetWeaver ApplicationServer-Plattform gegeben sind.

Danach werden die technische Implementierung und der initialeSetup der Komponenten der Access-Control-Anwendung durch dieMitarbeiter der SAP-Basis-Administration mit Unterstützung der Be-rater durchgeführt. Dabei werden wie geplant eine Testumgebung

Hinweis zu den initialen Konfigurationsmaßnahmen

Diese Maßnahmen sollten Sie zusammen mit Mitarbeitern Ihrer SAP-Basis-Administration durchführen. Achten Sie auf jeden Fall darauf, dieangegebene Schrittabfolge einzuhalten.


218


mit Anschluss an das SAP ERP-Testsystem und eine Produktivumge-bung mit Anschluss an das SAP ERP-Produktivsystem eingerichtet.

6.2.2 Funktionsumfang von Risk Analysis and Remediation

Es werden derzeit zwei Varianten von RAR und den anderen Access-Control-Anwendungen verwendet, eine ABAP-basierte und eine SAPNetWeaver Application Server-basierte Variante. Da beide Variantenzurzeit noch immer eingesetzt werden, dies zum Teil sogar parallel,wollen wir Ihnen kurz die Gemeinsamkeiten und Unterschiede derbeiden Varianten, soweit es das RAR-Modul betrifft, vorstellen.

ABAP-basierte Variante

RAR in derABAP-Variante

Die ABAP-basierte Version, besser bekannt unter Compliance Calibra-tor 4.0, läuft direkt auf dem zu prüfenden SAP ERP-System und ist,wie Abbildung 6.6 zeigt, über das SAP-Menü oder die Transaktion/VIRSA/ZVRAT aufrufbar. Historisch gesehen, ist die ABAP-Versiondie ältere Variante.

Fünf Bereiche vonRAR in der

ABAP-Variante

Grundsätzlich unterteilen sich der Compliance Calibrator 4.0 wieauch die neuere SAP NetWeaver Application Server-Variante in fünfgleiche Funktionsbereiche, die über das zentrale Menü erreicht wer-den können, siehe dazu auch Abbildung 6.7. Sie finden eine Repor-ting-Funktion, die High-Level-Berichte für das Management bietet(siehe Button Managementberichte), die Risikoanalyse, die direktaus dem zentralen Menü heraus gestartet werden kann, und den Re-gelarchitekten (siehe Button Regelarchitekt), mit dem die zu prüfen-den Abfragen verwaltet werden, vor.

Abbildung 6.6 Einstieg in den Compliance Calibrator über das SAP-Menü


219


Darüber hinaus gibt es auch hier Verzweigungen zur Anlage vonkompensierenden Kontrollen (Button Kompensierung) sowie zur Ein-richtung von automatischen Alarmmeldungen (Button Alarme).

Weitere Informationen zum Aufbau der Prüfregeln und der Verwal-tung von kompensierenden Kontrollen und Alarmmeldungen erhal-ten Sie in den nachfolgenden Abschnitten.

Abbildung 6.7 Zentrales Menü des Compliance Calibrators 4.0

Kompensierende Kontrolle

Der Begriff kompensierende Kontrolle stammt aus dem Umfeld des Sarba-nes-Oxley Acts. Im Englischen Mitigating Control genannt, wird er in derdeutschen Literatur teilweise auch als mitigierende Kontrolle bezeichnet.Damit sind Kontrollen in den Unternehmen gemeint, die bekannte Kon-trollschwächen zwar nicht gänzlich abstellen, aber das dadurch entste-hende Risiko zumindest minimieren sollen.

Ein Beispiel dafür ist die stichprobenartige Kontrolle von durchgeführtenStammdatenänderungen, die durch einen Vorgesetzten auf Basis einesSAP-Standardberichts nachträglich durchgeführt wird, da sehr viele Mitar-beiter sowohl buchen als auch Stammdaten ändern können. Das Risiko un-befugter Änderungen der Stammdaten besteht weiterhin, es wird jedochüber die bestehende Kontrolle bis zu einem gewissen Grad minimiert.


220


SAP NetWeaver Application Server-basierte Variante

RAR in derSAP NetWeaver

Application Server-Variante

RAR in der SAP NetWeaver Application Server-Variante stellt dieWeiterentwicklung der ABAP-Version dar. In den Grundfunktionali-täten, insbesondere der Art und Weise des Aufbaus der Prüfregeln,gibt es zur ABAP-Variante keine großen Unterschiede. Die fünf we-sentlichen Funktionsbereiche haben wir bereits vorgestellt, sieheauch Abbildung 6.3.

Aktueller Statusder vorhandenen

Risiken

Die Reporting-Funktionalität für High-Level-Berichte an das Manage-ment findet sich im Register Auskunft, Menüpunkt Management-

ansicht. Ein Beispiel für das Management-Reporting auf der Ebeneder Risikoverletzungen sehen Sie in Abbildung 6.3. Informationenüber den aktuellen Stand der Analysen können dabei für verschie-dene Zeitpunkte und über verschiedene Systeme auf der Basis von Ri-siko, Benutzer und Rollen durchgeführt und grafisch aufgearbeitetwerden. Diese Berichte sollen dem groben Überblick dienen.

Unter dem Auswahlfeld Gesamtanzahl der Verletzungen ist dieSumme der festgestellten Verstöße gegen die aufgestellten Prüfre-geln je gewählter Basis zu verstehen. Diese kann auf Basis verschie-dener Ansätze ermittelt werden.

Hinweis zur Managementansicht

Die Anzahl der Verletzungen sollte auf Basis des Risikos analysiert werden.Dies führt dazu, dass bei »Treffern« ein User nur einmal pro verletzterFunktionstrennung gezählt wird. Bei Verwendung von Berechtigung alsBasis wird bei »Treffern« jedoch nicht einmal pro User und Risiko, sondernpro Kombination von kritischen Transaktionen und Objekten gezählt. Hatein User also verschiedene kritische Kombinationen von Berechtigungen,werden diese entsprechend mehrfach gezählt. Abbildung 6.8 zeigt sehrdeutlich, dass nur durch Änderung der Basis für unser Beispiel plötzlich dieZahl der »Treffer« im Vergleich zu Abbildung 6.3 stark erhöht wurde.

Abbildung 6.8 Anzahl der Verletzungen mit Basis-Berechtigung


221


Eine andere interessante High-Level-Berichtsmöglichkeit ist in Abbil-dung 6.9 dargestellt – über das Untermenü Vergleiche können Siedie Entwicklung auf den Ebenen Benutzer, Rollen und Profile für einspezifisches oder alle geprüfte Systeme über einen zu wählendenZeitverlauf darstellen. Verwenden Sie auch hier bei Gesamtanzahl

der Verletzungen als Basis das Risiko.

Ebenfalls im Register Auskunft findet sich unter einem eigenenMenüpunkt die Risikoanalyse, wie Abbildung 6.10 zeigt. Wie auchin der ABAP-Variante kann die Analyse auf Ebene von Benutzern,Rollen oder HR-Objekten für einen oder mehrere Prozesse und Risi-ken durchgeführt werden.

Risikoanalyse auf verschiedenen Ebenen

Üblicherweise wird (insbesondere im Rahmen von internen Revisio-nen oder IT-Revisionen) auf Ebene der Benutzer geprüft, um die vor-handenen Risiken aufzuzeigen, die ein Benutzer durch Anhäufungvon Berechtigungen über die Vergabe einer oder einer Kombinationvieler verschiedener Rollen erhalten hat. Die Analysen werden dabeioftmals getrennt pro Risiko ausgewertet, um einerseits die Reportsübersichtlich zu halten und andererseits die Verteilung an entspre-chende Stellen im Unternehmen zu erleichtern. Im Rahmen des Re-Designs des Berechtigungskonzepts wird auch die Analyse auf Ebeneder Rollen zweckdienlich sein. Die Berichte der Risikoanalyse wer-den wir etwas später ausführlich besprechen.

Abbildung 6.9 Vergleichende Managementberichte


222


Einsatz von RAR auf Basis des SAP NetWeaver Application Servers ist die empfohlene Variante

Vorteil beiverteilten

SAP-Landschaften

Üblicherweise wird RAR gemeinsam und integriert mit den anderenTeilmodulen von Access Control in der SAP NetWeaver ApplicationServer-Variante eingesetzt. Dies hat insbesondere bei verteilten SAP-Landschaften den Vorteil, dass von einer zentralen Stelle übersicht-lich auf die Abfragen aller angedockten Systeme zugegriffen und ineiner gemeinsamen Datenbank verwaltet werden kann. Es kann je-doch zweckmäßig sein, die ABAP-Variante zusätzlich auf den zu prü-fenden SAP-Systemen einzusetzen.

Die Komponenten der RAR-ABAP-Variante stehen nach der techni-schen Implementierung der Real Time Agents auf den SAP ERP-Syste-men automatisch zur Verfügung.

Auch unser Crashkurs-Konzern wird die SAP NetWeaver ApplicationServer-Variante der Access-Control-Anwendungen nutzen.

6.2.3 Aufbau der Prüfregeln in Risk Analysis and Remediation

Wie bereits erwähnt, werden die der Risikoanalyse zugrunde liegen-den Prüfregeln im Register Regelarchitekt erstellt, mit Access Con-

Abbildung 6.10 Einstieg in die Risikoanalyse in der SAP NetWeaver Application Server-Variante


223


trol ausgelieferte Standardregeln werden hochgeladen, gegebenen-falls modifiziert und die Regeln insgesamt verwaltet. Dies erfolgtdabei über die in Abbildung 6.11 dargestellten Menüpunkte.

In der Abbildung erkennen Sie dabei Begriffe wie Geschäftsprozess,Regelsatz, Risiko oder Funktion. Hans Huber, Paula Prüfer und ClausCobit sehen uns als Berater etwas verwirrt an. Wie passen diese Be-griffe zusammen? Das und die Bedeutung weiterer zentraler Begriffewollen wir nun, ausgehend von Abbildung 6.12, erläutern.

Abbildung 6.11 Menüpunkte im Regelarchitekten

Abbildung 6.12 Begriffe und Zusammenhänge in RAR

Berechtigung (Permission) Objekt,

z.B. F_BKPF_BUK

Berechtigung (Permission) Objekt, z.B. F_BKPF_KOA

Berechtigung(Permission) Objekt,

z.B. F_LFA1_BUK

Berechtigung (Permission) Objekt,

z.B. F_LFA1_BEK

Risiko (Risk)z.B. ID Y

Risiko (Risk)z.B. ID ZZ01

UnbegrenzteZahl von Risiken

Funktion(Function)z.B. ID X

Funktion(Function)

z.B. ID AP99

Max. 5 Funk-tionen in

einem Risiko

Aktion (Action)Transaktion, z.B.

Buchung mit Ausgleich

Aktion (Action)Transaktion,

z.B. Kreditor anlegen

Unbegrenzte Zahlvon Transaktionen

Geschäftsprozess(Business Process)

z.B. ID F100

Unbegrenzte Zahl von Geschäftsprozessen

Risiko =Kombination von

kritischen Aufgaben

Funktion =Aufgaben-bereich

Regelsatz (RuleSet)z.B. GLOBAL

Aktion (Action)Transaktion, z.B.

Kreditor ausgleichen


224


Regelsatz und Geschäftsprozess

Ordnungskrite-rium für Regeln

Sowohl Regelsatz (Rule Set) als auch Geschäftsprozess (Business Process)dienen in RAR als Ordnungskriterium für die Vielzahl der bereits imStandard vorhandenen sowie für selbst entwickelte Prüfregeln. SeitRelease Access Control 5.3 wird auch der Begriff Regelwerk an Stellevon Regelsatz verwendet. Wir werden für unsere weiteren Ausfüh-rungen beim bereits gekannten Begriff Regelsatz bleiben, in einigenAbbildungen wird jedoch der neue Begriff verwendet. Funktionenund Risiken werden darunter gruppiert und erhöhen somit die Über-sichtlichkeit und erleichtern auch die Suche nach bestimmten Regelnund Risiken.

Es wird üblicherweise nur ein Standardregelsatz verwendet (»GLO-BAL«), über die mit der Software ausgelieferten Standardregelsätzewerden auch entsprechend vordefinierte Geschäftsprozesse bereitge-stellt. Sie können zusätzlich beliebig viele Regelsätze und Geschäfts-prozesse definieren, achten Sie jedoch darauf, dass diese den Abläu-fen Ihres Unternehmens auch entsprechen.

Unser Crashkurs-Konzern wird zunächst nur den globalen Regelsatzverwenden.

Funktion, Aktion und Berechtigung

Funktion alsSammlung von

Berechtigungen

Unter einer Funktion (Function) versteht man in RAR eine Sammlungverschiedener Systemberechtigungen, die man für die Ausübungeines zusammenhängenden Aufgabenbereiches in einem oder meh-reren Systemen benötigt. Diese Systemberechtigungen sind dabei inAktionen (Action) und Berechtigungen (Permission) unterteilt.

In einer SAP-Systemumgebung sind dabei unter Aktion eine SAP-Transaktion und unter Berechtigung die entsprechenden Berechti-

Hinweis zu Regelsatz und Geschäftsprozess

Unsere Erfahrung zeigt, dass man mit den bereits angelegten Geschäfts-prozessen und dem Standardregelsatz sehr gut auskommt. Es sollte nur inAusnahmefällen notwendig sein, neue Regelsätze oder Geschäftsprozesseanzulegen.

Sie können Geschäftsprozesse und Regelsätze nur löschen, wenn diesenicht mit Funktionen oder Risiken verbunden sind. Das sollte jedoch nurselten notwendig sein.


225


gungsobjekte und Feldwerte zu verstehen. Da in RAR jedoch auchBerechtigungen anderer Anwendungen (wie z. B. Oracle eBusinessSuite) geprüft werden können, hat man sich dazu entschlossen, neu-trale Begriffe zu verwenden.

Nehmen wir zur Verdeutlichung ein Beispiel wie die Funktion GL01– Hauptbuchkonten bebuchen – für ein SAP-System, siehe auch Ab-bildung 6.13. Sie ist bereits im Standardregelsatz für SAP-Systemevorhanden und enthält auf der Registerkarte Aktion eine Sammlungvon SAP-Transaktionen, die grundsätzlich für das Bebuchen vonHauptbuchkonten im SAP-System herangezogen werden können.Dabei müssen Sie jeweils auch das zu prüfende System (SAP-/Nicht-SAP-System) angeben.

Sie können einzelne Transaktionen dabei auch deaktivieren, diesewerden dann nicht durch RAR geprüft. Ist eine Transaktion deakti-viert worden, erscheint eine ausgegraute Glühbirne im Feld Status.In unserem Beispiel sind alle im View sichtbaren Transaktionen ak-tiv.

Abbildung 6.14 zeigt für unser Beispiel die unter den Transaktionenzugeordneten entsprechenden SAP-Berechtigungsobjekte und Feld-ausprägungen auf der Registerkarte Berechtigung. Auch auf dieserEbene können die vordefinierten Feldinhalte geändert oder Teile derAbfragen deaktiviert werden.

Abbildung 6.13 Aufbau einer Funktion auf der Ebene »Aktion«


405

Index

8. EU-Richtlinie 20, 55

A

ABAP 218Abfallbegleitschein 131Abfallschlüssel 131Abfragen

anpassen 229erweitern 229

Ablaufdatum 348für Kontrollen 279

Ablaufzeitermittlung 280abteilungsfremde Rollen 305Abteilungswechsel 304Access Control Launch Pad 134, 307,

350Access Enforcer � Compliant User

Provisioning (CUR)Adaptive RFC 216Aktion

angeben 247anpassen 241definieren 374Suchfunktion 247zusätzliche anlegen 250

Aktivierungsadministrator 192Alarmbenachrichtigung 289Alarmgenerierung

Hintergrundjob 288Alarmmeldung 289Alarmmonitor 215Alarmüberwachung

Einstieg 287Alert generieren 287Analyseart 380Analysephase 120Analyseumfang 245Änderungshistorie 365Anlagenklasse 206Anlagevermögen 204, 205Ansprechpartner für Anwendungen 346Ansprechpartner für Funktionsbereiche

346Antragsart 316

Antragsbearbeitung 307Antragsformular 318, 344Antragshistorie 334Anzahl der Verletzungen 220Anzeigeberechtigung 306Application Approver � Ansprech-

partner für Anwendungenapplikationsübergreifende Anwendun-

gen 232Arbeitsbelastung 131ATLAS � Automatisiertes Tarif- und

Lokales Zoll-AbwicklungssystemAttribut deaktivieren 345Attributgruppe 373

definieren 373Audit Committee 56Aushilfen 304Auskunft 214, 351Auswertung USOBX_C 202automatische Alarmmeldung anlegen

286automatische Berechtigungsprüfung 164automatische Kontrolle 102, 129automatischer Provisionierungstyp 342Automatisiertes Tarif- und Lokales Zoll-

Abwicklungssystem (ATLAS) 130

B

Batchrisikoanalyse 266Belegzugriff 161Bentzerfestwert 349Benutzeradministration 192Benutzeränderungsprozess 304Benutzerantrag verwalten 331Benutzerberechtigungen anlegen 307Benutzerdatenquelle definieren 310,

311benutzerdefinierte Attribute 357benutzerdefiniertes Feld 345, 372Benutzerdetails auslesen 311Benutzerfestwert 349Benutzergruppe SUPER 178Benutzerkonto

ändern 316


406

Index

Benutzerkonto (Forts.)einrichten 316löschen 317sperren/entsperren 317

Benutzermanagement 18, 58, 211, 303, 304

Benutzerstamm 171Benutzerstammsatz 159, 174, 175, 216Benutzersynchronisation 266Berater 304Berechtigung 164

aktivieren 243ändern 169Änderungen 154anpassen 241Best Practices 211definieren 357erstmalige Berechtigungsvergabe 151Ist-Zustand 211Löschung 155manuelle Definition 251Sammlung 224

Berechtigungsadministrator 192, 272Berechtigungsdaten 357Berechtigungsfelder 164Berechtigungsgruppe 284Berechtigungskonzept 18, 134, 144, 190

Aufgaben 144Bedeutung 212Spezialfälle 156

Berechtigungsobjekt 132, 158, 159, 243, 358, 359F_BKPF_BED 161F_BKPF_BEK 161F_BKPF_BES 161F_BKPF_BLA 161F_BKPF_BUK 161, 170, 243F_BKPF_BUP 161F_BKPF_GSB 161, 244F_BKPF_KOA 161, 243S_TABU_DIS 166, 167

Berechtigungspflege 192Berechtigungsprüfung 132Berichte

AGR_AGRS 174AGR_DEFINE 174AGR_USERS 174

Berichte (Forts.)RSSCD100_PFCG 174RSUSR002 133, 171, 193RSUSR050 174RSUSR070 174

Berichtsarten 267Berichtsformate 269Bestandsaufnahme 211Bestätigungsdatum 348Bestellfreigabe 202Betriebssystem 310Bilanzrechtsmodernisierungsgesetz 58Boykottlisten � SanktionslistenBuchung 198Business Application Programming Inter-

face (BAPI) 343Business Process 224

C

Central User Administration (CUA) 343Change Management 303Change-Log-Auswertung 295CobiT 20, 83Compliance 28, 109Compliance Calibrator 4.0 218Compliance Calibrator � Risk Analysis

and Remediation (RAR)Compliant User Provisioning (CUP) 21,

135, 137, 306, 307Administrator 308Aufgaben 308Berichte 308Funktionsumfang 312Konfiguration 309, 338Standalone-Lösung 310

Compliant User Provisioning (CUR) 136Condition Group � AttributgruppeConfiguration Guide 362Corporate Governance 20, 24, 25, 69Corporate Governance Kodex 76COSO I 20, 88COSO II 20Cross System 245Customer Approver Determinator (CAD)

340


407

Index

D

Data Owner 21, 106, 151, 208, 272, 304, 305, 307, 313, 350zuordnen 296

Daten für die Rollenberechtigung sichern 375

Dateneigner-Konzept � Data OwnerDatensicherheitskonzept 305Debitorenanlage 204Default-Wert � BenutzerfestwertDesignphase 121Detail 271Determinator

benutzerdefiniert 340Detour Workflow � Umleitungs-

workflowDeutscher Corporate Governance Kodex

77

E

Eigenentwicklungen 255Einkauf 201

Transaktionen 202Einkaufsprozess 190Einzelsystem 245elektronisches Ambulanzbuch 131E-Mail-Erinnerung 340, 342Embargoprüfung 130Enron 34Enterprise Role Management (ERM) 21,

135, 136, 137, 214, 306, 307, 347, 350, 364Administrator-Rolle 352Funktionen 352

Enterprise-Risk-Management-Modell 97Entwicklung 356Entzug von Berechtigungen 304Environment, Health & Safety 127Eskalation

Konfiguration 323Executive Summary 270externe Benutzer 304externe Prüfer 156

F

Fallstudie 46, 65Feldausprägung 358FI/CO

Transaktionen 206Finanzen 232FireFighter 136, 291FireFighter-Benutzer 300Format

Detailbericht 271Kurzfassung 270Managementzusammenfassung 270Zusammenfassung 271

Formularunterstützungfehlende 304

Freigabeverfahren 304, 312Funktion

ändern 247anlegen 244anpassen 241GL01 242suchen 248

Funktionsbereich 356, 372Funktionstest

dokumentieren 363durchführen 363

Funktionstrennung 133, 189, 190, 226, 304Geschäftsbereichssicht 198IT-Sicht 191, 197Profilgenerators 197Risiko 234

G

Gefahrgutklassifikation 131Gefahrstoff 131gegabelter Workflow 328Genehmiger 378

ändern 378zuordnen 341

Genehmigungsantrag 315, 316, 320, 332anlegen 332Konfiguration 346suchen 333

Genehmigungsprozess 312Genehmigungsvertretung 334


408

Index

Genehmigungsworkflow 141, 309, 353Geschäftsbereich

ändern 281anlegen 281

Geschäftsprozess 129, 224, 371anlegen 233anpassen 231

Gestaltungsphase 122Governance, Risk und Compliance (GRC)

17, 30GRC Foundation 127GRC-Elemente

Arten der Integration 118GTS � SAP GRC Global Trade Services

(GTS)Güterklassifizierung 130

H

Hauptbuch 206Hintergrundjob 265, 324HR Trigger 349Human Resources (HR) 232

I

Implementierung 137Durchführung der Risikoanalyse 139Freigabestrategie 139Konzeptionierung Workflow 139Phase Bleibe sauber 139Phase Werde sauber 137Re-Design 139Voranalyse- und Trainingsphase 137Ziellandschaft 139Zwei-System-Landschaft 139

inaktive User 182Information Processing Objectives 147,

149Initiator 315, 320, 338

Konfiguration 321Installation Guides 141Instandhaltung 232interne Revision 156, 212Internes Kontrollsystem (IKS) 20, 37,

191, 304ISO/IEC 27002

2005 85IT Governance 81

IT Infrastructure Library (ITIL) 20, 86IT-Support 157

J

Java Connector 216Java-Stack 142JD Edwards 310

K

Karenzierung 156Kassa 207Kennwort-Self-Service 317Key Risk Indicators (KRI) 128kompensierende Kontrolle 135, 219,

278, 325, 339anlegen 278, 281

Kompensierung 214komplexen Selektionskriterien 166Konfiguration 351konforme Benutzererstellung �

Compliant User Provisioning (CUP)Konnektor

anlegen 368definieren 310zuordnen 369

Kontenpflege 207Konto löschen 313KonTraG 59Kontrollmanagement 129Kreditor

Transaktionen 199Kreditoren-Stammdatenpflege 198Kriterium ändern 378kritische Berechtigung 21kritische Funktionstrennung 21kritische Profile 256, 265

ändern 258anlegen 258

kritische Rolle 256, 265anlegen 256auswählen 257suchen 257

kritische Standardprofile 169kritische Transaktionen 285Kundenstammdaten 203Kurzbezeichnung 372


409

Index

L

laufende Genehmigung 331Launch Pad � Access Control Launch PadLDAP-Zuordnung 349Lehrlinge 304Logfiles analysieren 287logische Systeme 246

M

Management of Internal Controls (MIC) 267

Management Summary 270Managementansicht 220Managementbericht 266Managementkontrollen 102manuelle Kontrollen 102Massenpflege 264

in ERM 364Maßnahmenkatalog 129Materialwirtschaft 232Methodik

Konfiguration 374Mitarbeiter des Sicherheitsteams 346Mitarbeiterfunktionen anlegen 280Mitigating Control 219, 278

N

nachträgliches Clearing 287Namenskonvention 160, 165, 245

definieren 378NCTS � New Computerized Transit

System (NCTS)NetWeaver Visual Administrator 289New Computerized Transit System

(NCTS) 130Notfalleinsatz 299

O

Objektdetails 252Objektklasse 160, 359obligatorische Risikoanalyse 314, 325Oracle 310Order to Cash 232Organisationsebene 359

Organisationsregel 258, 260, 265ändern 261anlegen 262suchen 261

organisatorische Wertzuordnung 380Organizational Value Mapping �

organisatorische WertzuordnungOSS-Hinweis 141Österreichischer Arbeitskreis für

Corporate Governance 79Österreichischer Corporate Governance

Kodex 79

P

paralleler Workflow 328Parmalat 35Passwörter für FireFighter-Benutzer 296PeopleSoft 310Personalabrechnung 232Personalabteilung 314Pfad 315, 326, 328, 338

verwalten 326Phase »werde sauber« 137Point of Contact � Ansprechpartner für

FunktionsbereichePost-Installations-Check 217Post-Konfigurationsmaßnahmen 309Power-User 290Präferenzabwicklung 130

Ausfuhrerstattung 130Zollpräferenz 130

Pre- und Post-Implementierungs-aktivität 141

Pre-Installations-Check 217Procure to Pay 232Produktion 356Profil 159, 167

A_ALL 169Einzelprofil 168generiertes Profil 168S_A.DEVELOP 179S_A.SYSTEM 179Sammelprofil 168Standardprofile 169

Profiladministrator 197Profilgenerator 169, 171, 172, 197, 290,

353, 359, 382Profilname 356


410

Index

Profilsynchronisation 266Projekte/Releases 372Provisionierung 338Prozess definieren 376Prozess der Berechtigungspflege 150Prüfergebnis 259Prüfregel 134

anpassen 256aufbauen 222

Prüftool 180Prüfungsmethode 180

R

Rahmenbedingungen für Betrug 42RAR � Risk Analysis and Remediation

(RAR)Reaffirm Period � AblaufdatumReal Time Agent (RTA) 136, 141, 222Real Time Agents (RTA) 136rechtliche Rahmenbedingung 23Re-Design-Maßnahmen 276Regel 226

aktualisieren 228, 254generieren 230Textfiles hochladen 229

Regelarchitekt 214, 218, 222, 264, 289Regelgenerierung

Hintergrundjob 254Regelkriterium 129Regelsatz 224

angeben 238Regelverletzung 220Regelwerk � RegelsatzRemote Function Call (RFC) 291, 294Report 180Request Type � AntragsartRisiken und Benutzer zuweisen 283Risiken und Kontrollen beim Berech-

tigungskonzept 106Risiko 211, 226

ändern 239anlegen 236anpassen 231Bewertung 234Risikoanalyse 95Risikoidentifikation 95Risikosteuerung 95Risikoüberwachung 96

Risiko (Forts.)suchen 239

Risikoanalyse 218, 221, 332, 339, 361Benutzerebene 267, 268beurteilen 265durchführen 265Ebene der Organisationsregel 274Ergebnis 362HR-Objekte 267MIC 267Organisationsebene 267, 273Rollenebene 267, 273

Risikoanalyse und -eliminierung 135Risikograd 277Risikogruppen 128Risikomanagement 26, 128Risikomanagementsystem 20Risikoniveau 236Risikotyp 237Risikoverantwortlicher 289Risk Analysis and Remediation (RAR) 21,

135, 137, 213, 339Funktionen 218Konfiguration 215

Risk Terminator 136, 140, 289, 360Role Expert � Enterprise Role Manage-

ment (ERM)Role Management 350Role Relationship to Users and Groups

365Rolle 157, 165, 171, 319

AEADMIN 309ändern 363Änderungshistorie 366anlegen 353, 355anzeigen 173Beschreibung 356genehmigen 362, 374generieren 362, 374kopieren 364READMIN 352Risikoanalyse 361, 370suchen 363Transaktion definieren 357Verwaltung 347Vorlage 320

Rollenableitung sichern 375Rollenanalyse initiieren 374Rollenänderungsprozess 304


411

Index

Rollenattributanlegen 372definieren 371

Rollenauswahl 319Einschränkungen 348

Rollendefinition sichern 375Rollendetails anlegen 347Rolleneigner 314Rollenerstellungsprozess 377Rollengenerierung 370Rollengenerierung mit Verletzungen

380Rollengestalter 381Rollenmanagement 18, 58, 211, 303Rollenname 356, 379Rollenstatus 356Rollensuche 364Rollensynchronisation 266Rollentyp 356Rollenvergleich 366Rollenzuordnung 342, 349RTA � Real Time Agents (RTA)Rule Architect � RegelarchitektRule Set 224

S

Sammelrolle 171Sanktionslisten 130SAP Adapter 290SAP Advanced Planner and Optimizer

(APO) 232SAP Compliance Management 130SAP Customer Relationship Management

(CRM) 130, 232SAP Customs Management 130SAP EC-CS 232SAP Enterprise Buyer 232SAP ERP MM 130SAP ERP SD 130SAP GRC Global Trade Services 127SAP GRC Global Trade Services (GTS)

127SAP GRC Process Control 127SAP GRC � SAP-Lösungen für Gover-

nance, Risk und ComplianceSAP GRC Risk Management 127SAP Internet Graphic Server 142SAP NetWeaver 126

SAP NetWeaver Application Server 142, 217, 220, 291, 309, 339, 352

SAP NetWeaver BI 128, 364SAP Service Marketplace 141SAP Supplier Relationship Management

(SRM) 130, 232SAP System Landscape Directory 142SAP Test- und Entwicklungsumgebungen

314SAP_ALL 153, 169, 209, 256, 283, 290,

297, 301SAP_NEW 169, 256SAP-Basis 232SAP-Basisadministration 304, 309SAP-Benutzer zuordnen 296SAP-Berechtigungskonzept 157SAP-Branchenlösungen 232SAP-Lösungen für Governance, Risk und

Compliance 125Sapstar 178Sarbanes-Oxley Act 20, 50, 125, 279Schadensdatenbank 129Schritt

definieren 375zuordnen 375

Security Lead � Mitarbeiter desSegregation of Duties (SoD) � Funktions-

trennungSelf-Assessment-Fragebogen 114sensible Felder (Debitoren) 284sensible Felder (Kreditoren) 286Service Level 336, 350

Diagrammansicht 337Sicherheitsdatenblatt 131Sicherheitsteams 346Single System 245SMTP-Server 323Spezifikationsdatenbank 131SPM � Superuser Privilege Management

(SPM)Spracheinstellung 214Stammbenutzerquelle 216Standard Workflow 309Standard-Determinator 322, 340

No Stage 323Standardinitiator 320Standard-Konfiguration importieren 352Standard-Konfiguration von CUP impor-

tieren 310


412

Index

Standardprüfregel anpassen 264Standardrisiko Excel 234Standardrollen 349Standard-Rollenprovisionierungstyp

342Stoffdossier 131Stoffmengenverwaltung 131Stufe 315, 321, 326, 338Stufendetails, Konfiguration 322SUIM 133Summary 271Superuser 64, 169, 175, 181

Entwickleruser 179SAP* 177SAP_ALL 176SAP_NEW 178

Superuser Privilege Management (SPM) 21, 135, 137, 213, 290benutzerbasiert 292rollenbasiert 293

Superuserberechtigung 21Superuser-Berechtigungsverwaltung 135Supportkontakt hinterlegen 350Swiss Code of Best Practices 80SWX-Richtlinie 61Synchronisation 368

Aktivitätswert 369Feld 369Objekt 369Organisationswert 369stufenweise 267Transaktion 369vollständige 266

Systemkonnektor 216Systemlandschaft 356

anlegen 369Konfiguration 367

systemübergreifendes System 245

T

TabelleBKPF 187BSEG 187USOBT 183USOBX 183, 184USOBX_C 200UST10S 167

Tabellenpflege 185

technische Installation 141Teilvorgang 356Testresultat sichern 375Tone at the top 72Trainees 304Transaction Usage 365Transaktion 132, 158

/n/virsa/zrtcnfg 290/VIRSA/ZVRAT 218F110 200PFCG 289, 353, 359SA38 133SPRO 284SU01 289, 293SU03 165, 194SU10 289

Transaktionsberechtigung 158Transaktionszugriff 194

U

Überwacher 289Überwachung 105UME � User Management Engine (UME)UME-Benutzer 307, 350Umleitungsworkflow 327Umsetzung und Kontinuität 122Umsetzung von Governance 71unternehmenskritische Daten 305Unternehmensrollenverwaltung � Enter-

prise Role Management (ERM)URÄG 60User Data Source � BenutzerdatenquelleUser Management Engine (UME) 142,

309, 352Userprofil 157

V

Verkaufsorganisation 255Verlinkung ERM/CUP 381Verlinkung ERM/RAR 381Vertrieb 203

Transaktionen 203Vier-Augen-Prinzip 284

pflegen 285Virsa Access Enforcer � Compliant User

Provisioning (CUP)Vorlagebenutzer 319


413

Index

Vorratsprozess 204Transaktionen 205

W

Wirtschaftskriminalitätsstudie 38Wirtschaftsskandale 33Workflow

erstellen 329gegabelt 328parallel 329

Workflow-spezifische Konfiguration 338Workflow-Typ 326, 362Workflow-Verkürzung 328

X

XML-Datei 309, 352

Z

Zentrales Benutzerverwaltungssystem (ZBV) 343

Zugriffsrecht 207Zusatzregel 262

anlegen 263verwenden 263


SAP GRC Access Control - EDV-BUCHVERSAND

Documents

Transcript of SAP GRC Access Control - EDV-BUCHVERSAND