4 Minuten Lesezeit 11 März 2022
Geschäftskollegen besprechen ein Projekt im Büro

Wie man sein SAP-Berechtigungskonzept auf S/4HANA vorbereitet

Autoren
Heiko Gminder

Partner, Leiter Technology Risk Consulting, Leiter SAP Competence Center für GRC & Security, EY Consulting GmbH | Deutschland, Schweiz, Österreich

Hilft den Risikofunktionen in Unternehmen bessere Entscheidungen zu treffen. Lebt mit seiner Frau und zwei Töchtern in der Nähe von Stuttgart und hat einen grünen Daumen.

David Sütterlin

Partner, Head of Risk Consulting | EY Switzerland

Passionate Risk Professional and SAP Consultant. Guides EY clients in building, redesigning and implementing risk functions to support greater trust and better decisions.

4 Minuten Lesezeit 11 März 2022

Welche Faktoren bei SAP-Berechtigungen beachtet werden sollten, damit die S/4HANA-Transformation gelingt

Überblick
  • Die Migration auf S/4HANA wirkt sich auch auf das Berechtigungskonzept aus.
  • Damit es nicht zu unerwarteten Schwierigkeiten kommt, sind bestimmte Faktoren zu beachten und Vorbereitungen zu treffen.
  • Die Identifikation von Bereichen, die schon vor der S/4HANA-Transformation adressiert werden können, entschärft den Transformationsprozess und macht ihn sicherer.

Momentan planen viele Unternehmen die Umstellung ihrer SAP-Systeme auf S/4HANA. Dieser Prozess ist mit Herausforderungen und Fragen verbunden, die sich mit entsprechender Vorbereitung gut bewältigen lassen. Auch für das Berechtigungskonzept gilt es, Bereiche, in denen Änderungen erforderlich sind, zu identifizieren und zu bewerten, um notwendige Entscheidungen und Maßnahmen vorbereiten zu können.

Die drei nachfolgend aufgeführten Schritte sollen helfen, die Auswirkungen der S/4HANA-Umstellung auf das bestehende SAP-Berechtigungskonzept zu beurteilen. Sie liefern konkrete Anhaltspunkte für die entsprechenden Maßnahmen oder benötigten Investitionen. Eine solide Vorbereitung mindert das Risiko unangenehmer Überraschungen während des Transformationsprojekts.

1. Schritt: Überprüfung der Governance des SAP-Berechtigungsmanagements

Es gilt zu prüfen und zu beurteilen, wie der Zugriff auf SAP und andere Anwendungen gemanagt wird. Gibt es Empfehlungen aus der internen oder externen Revision, die noch nicht umgesetzt wurden? Besteht die Möglichkeit, Prozesse im Berechtigungsmanagement zu standardisieren, zu automatisieren und zu harmonisieren? Sind relevante Kontrollen definiert und implementiert, um unbefugten Zugriff zu verhindern und das Risiko abzuwehren, dass Vorschriften zur Funktionstrennung (Segregation of Duties, kurz SoD) umgangen werden? Sind alle relevanten organisatorischen Rollen und Verantwortlichkeiten ausreichend geklärt, um sicherzustellen, dass die richtigen Personen in die Genehmigung und Prüfung der Berechtigungen eingebunden sind? Sind Änderungen an den Geschäftsprozessen beabsichtigt, die eine Aktualisierung der SoD-Vorschriften erfordern würden?

Die Überprüfung und Aktualisierung der Governance des SAP-Berechtigungsmanagements wird dazu beitragen, vorbereitet und immer einen Schritt voraus zu sein – anstatt lediglich zu reagieren und im schlimmsten Fall von Prüfungsfeststellungen überrascht zu werden.

Neue Sicherheitsaspekte müssen berücksichtigt werden, wenn die HANA-Datenbank eingeführt oder SAP-Anwendungen in die Cloud migriert werden. Durch den Anstieg der Komplexität sollten Organisationen darauf vorbereitet sein, dass Prüfer bei wesentlichen Anwendungsänderungen und potenziellen neuen Risiken ganz genau hinschauen. Die Überprüfung und Aktualisierung der Governance des SAP-Berechtigungsmanagements und des entsprechenden Rahmenkonzepts wird dazu beitragen, vorbereitet und immer einen Schritt voraus zu sein – anstatt lediglich zu reagieren und im schlimmsten Fall von Prüfungsfeststellungen überrascht zu werden.

2. Schritt: S/4HANA-Readiness-Check des Rollenkonzepts

Zudem ergibt sich die Möglichkeit in einem frühen Stadium des Transformationsprojekts das SAP-Rollenkonzept zu beurteilen, um Klarheit über erforderliche Änderungen und sinnvolle Clean-up-Aktivitäten zu gewinnen. Dazu gehört auch die Analyse, welche Anpassungen an der übergeordneten SAP-Rollenarchitektur vorgenommen werden müssen, beispielsweise um Fiori-Apps oder den HANA-Datenbankzugriff zu unterstützen. Welche Rollenänderungen sind erforderlich, um neue oder deaktivierte Transaktionscodes und Berechtigungsobjekte gemäß der SAP Simplification List zu berücksichtigen? Wie wird in Zukunft mit selbst entwickelten Programmen und Transaktionscodes umgegangen?

Ein Clean-up ungenutzter Berechtigungen senkt den Aufwand für die Überarbeitung des Rollenkonzepts für S/4HANA.

Auf dem Markt gibt es unterschiedliche technische Lösungen, die für die Durchführung eines solchen Readiness-Checks genutzt werden können. Diese Lösungen analysieren Benutzer wie auch Rollen und weisen auf erforderliche Änderungen und Risiken von fehlenden Berechtigungen in S/4HANA hin. Idealerweise analysieren sie außerdem Benutzer, Rollen und Berechtigungen, die nicht genutzt werden und gelöscht oder entfernt werden können. Ein Clean-up ungenutzter Berechtigungen senkt den Aufwand für die Überarbeitung des Rollenkonzepts für S/4HANA.

3. Schritt: Roadmap und wesentliche Entscheidungen

Ergebnisse und Erkenntnisse aus den vorstehend erläuterten Aktivitäten müssen abschließend zusammengefasst und in eine Roadmap beziehungsweise einen Umsetzungsplan überführt werden. Dieser sollte alle erforderlichen Aktivitäten abdecken, die vor Beginn der Transformation durchgeführt werden können, und die Themen, die Teil des S/4HANA-Transformationsprojekts sein sollen. Zudem sollten im Plan die Vor- und Nachteile möglicher Optionen und Methoden für die Umsetzung beurteilt und erforderliche Managemententscheidungen vorbereitet werden. Ein weiterer Bestandteil ist die Planung der benötigten internen und externen Ressourcen und Investitionen, zum Beispiel in unterstützende Technologie. Der Umsetzungsplan ist Teil der übergeordneten S/4HANA-Transformation und muss daher mit allen relevanten Stakeholdern und dem Management abgestimmt werden.

Verschiedene Aspekte einer anstehenden S/4HANA-Transformation haben Einfluss auf das SAP-Berechtigungsmanagement. Erfahrungen zeigen, dass es zu unangenehmen Überraschungen und Kosten durch Ineffizienzen, Doppelarbeiten oder Kapazitätsengpässen kommen kann, wenn Unternehmen diese Aspekte nicht frühzeitig berücksichtigen.

EY hat bereits verschiedene Kunden dabei unterstützt, ihr SAP-Berechtigungskonzept auf S/4HANA vorzubereiten und anzupassen. Wir nutzen dabei einen bewährten Ansatz, der an Ihr Transformationsprojekt und die Besonderheiten Ihres Unternehmens angepasst werden kann. Unterstützt wird er durch Tools und technische Hilfsmittel, die Ihr Team sowohl für die S/4HANA-Transformation als auch für die anschließende Wartung des Berechtigungskonzepts befähigen. 

Fazit

Bei einer anstehenden S/4HANA-Transformation werden sich unterschiedliche Aspekte auf das SAP-Berechtigungskonzept eines Unternehmens auswirken. Die Erfahrung von EY zeigt, dass unangenehme Überraschungen und unerwartete Kosten infolge von Ineffizienzen, Doppelarbeiten oder Kapazitätsproblemen drohen, wenn diese Aspekte nicht frühzeitig beachtet werden.

EY hat bereits verschiedene Kunden dabei unterstützt, ihr SAP-Berechtigungskonzept auf S/4HANA vorzubereiten und anzupassen. Wir nutzen dabei einen bewährten Ansatz, der an Ihr Transformationsprojekt und die Besonderheiten Ihres Unternehmens angepasst werden kann. Unterstützt wird er durch Tools und technische Hilfsmittel, die Ihr Team sowohl für die S/4HANA-Transformation als auch für die anschließende Wartung des Berechtigungskonzeptes befähigen. 

Über diesen Artikel

Autoren
Heiko Gminder

Partner, Leiter Technology Risk Consulting, Leiter SAP Competence Center für GRC & Security, EY Consulting GmbH | Deutschland, Schweiz, Österreich

Hilft den Risikofunktionen in Unternehmen bessere Entscheidungen zu treffen. Lebt mit seiner Frau und zwei Töchtern in der Nähe von Stuttgart und hat einen grünen Daumen.

David Sütterlin

Partner, Head of Risk Consulting | EY Switzerland

Passionate Risk Professional and SAP Consultant. Guides EY clients in building, redesigning and implementing risk functions to support greater trust and better decisions.