SAP GRC Access Control

Unter „Governance, Risk & Compliance“ (folgend GRC genannt) versteht man Zusammenfassung von drei wichtigen Handlungsebenen in Unternehmen. Der erste Teil „Governance“ steht für die allgemeine Unternehmensführung, die normative Festlegung von Unternehmenszielen und die strategische sowie operative Umsetzung. Man versteht unter diesem Begriff zudem die korrekten und termingerechten Strategien und Maßnahmen zur Erreichung der Ziele des Unternehmens. Der zweite Teil „Risk“ stellt das Risikomanagement im Unternehmen dar. Dies beinhaltet Taktiken und Maßnahmen um bekannten und unbekannten Risiken im Vorhinein zu begegnen und das unternehmerische Gesamtrisiko zu minimieren. Im Falle eines Risikoeintritts kann das Unternehmen dann zügig und strategisch sinnvoll agieren. „Compliance“ steht letztendlich für die Einhaltung und Umsetzung von gesetzlichen Vorgaben sowie gesellschaftlichen und unternehmenseigenen, intern Normen. Das bekannteste und naheliegende Beispiel hierfür ist SOX (Sarbanes-Oxley Act), ein amerikanisches Gesetz, dass nach den skandalösen Bilanzfälschungen einiger großer Unternehmen, die Transparenz und Nachvollziehbarkeit der unternehmerischen Handlungen stark verbessern soll.

Unternehmen sind durch gesetzliche Rahmen verpflichtet, sich mit diesen Handlungseben auseinanderzusetzen und deren Anforderungen entsprechende Prozesse zu etablieren.

Ein hypothetischer Fall kann die Notwendigkeit von GRC aufzeigen:

In einem Unternehmen wird ein Mitarbeiter zur Erfassung von Kundendaten eingestellt. Im Laufe der Zeit und seiner zufriedenstellenden Arbeitsleistung wird er befördert und ist nun dafür verantwortlich, Bestellungen zu erfassen. Da er sich auch in diesem Bereich bewährt, wird er nach einiger Zeit auf eine Stelle befördert, in der er Bestellungen genehmigen kann. Keins der vergebenen Rechte wurde in der Zwischenzeit überarbeitet, bzw. den neuen Verantwortlichkeiten entsprechend angepasst. Diese Konstellation stellt für das Unternehmen ein Risiko dar, da dieser Mitarbeiter nun nach eigenem Gusto Kunden anlegen und Bestellungen tätigen sowie autorisieren könnte, ohne dass Kontrollstrukturen eingreifen würden.

SAP GRC Access Control

Die SAP bietet branchenübergreifende und branchenspezifische Lösungen im Bereich des GRC an. Die technische Lösung für die Trennung von Funktionen und deren Überwachung ist Teil der SAP Compliant Identity Management Suite. Das SAP Access Control ist eine von drei Säulen dieser Produktgruppe, die weiteren Säulen sind SAP NetWeaver Single Sign On und das SAP Netweaver Identity Management.

SAP GRC Access Control bietet die zentrale schnelle Beseitigung von Zugriffs- und Berechtigungskonflikten, ein unternehmensweites Rollenmanagement, Management von Superuser-Berechtigungen sowie die regel- und gesetzeskonforme Berechtigungsvergabe. Dabei werden die Risiken auf Basis von aktuellen Daten bewertet und Konflikte in Bezug auf die Funktionstrennung sofort nach ihrem Entstehen erkannt, so dass zeitnah darauf zu reagiert werden kann. Ferner können potenzielle Regelverstöße bereits aufgespürt werden, bevor neue Berechtigungen vergeben werden – die Simulation erfolgt dabei stets auf Basis aktuellster Daten. Auch Integrationen mit anderen Software Systemen sind möglich über spezielle Konnektoren, die teilweise von 3rd Party Firmen erworben werden müssen. Ein Passwort-Self-Service sorgt für eine schnelle Rücksetzung von vergessenen Passwörtern und auch Rollen-Anfragen von Mitarbeitern verringern deutlich den Aufwand für die Sicherheitsadministration in Unternehmen mit gleichzeitiger Prüfung der Risiken.

Die Leistungen der ASCONSIT für SAP GRC Access Control

Die Kernkompetenz der ASCONSIT im Bereich der SAP GRC Lösungen ist die Überwachung und Funktionstrennung, die mit SAP GRC Access Control technisch umgesetzt wird. Die Leistungen der ASCONSIT für dieses Produkt umfassen dabei:

  • Grundlegende Beratungsleistungen für die Berechtigungskonzeption
  • Kompetente Beratungsleistungen für die Integration des Werkzeugs in die Kundenlandschaft
  • Erfahrene Beratung insbesondere im Zusammenspiel mit dem SAP NetWeaver Identity Management und dem SAP NetWeaver Single-Sign-On (SSO)
  • Dokumentation für Betriebskonzepte und Handbücher der bestehenden Systeme
  • Schulungen der Mitarbeiter
  • Expertensupport für bestehende Systeme in der Kundenlandschaft