Governance, Risk und Compliance mit SAP · 2018-03-26 · SAP GRC Access Control bietet eine umfassende Funktionalität, um sicherzustellen, dass die einzelne n Anwender innerhalb

Bonn � Boston

Sabine Schöler, Olaf Zink

Governance, Risk und Compliance mit SAP®

1140.book Seite 3 Sonntag, 8. Juni 2008 3:16 15

Auf einen Blick

1 Übersicht über die SAP-Lösungen für Governance, Risk und Compliance ......................... 15

2 SAP GRC Process Control ....................................... 27

3 SAP GRC Access Control ........................................ 105

4 SAP GRC Risk Management ................................... 207

5 SAP GRC Global Trade Services – ein Überblick ..... 265

6 SAP Environment, Health & Safety – ein Überblick .......................................................... 285

7 Ausblick und Produktroadmap ............................... 297


7

Inhalt

Einleitung ................................................................................ 11

1 Übersicht über die SAP-Lösungen für Governance, Risk und Compliance ........................... 15

1.1 Das Beispielunternehmen ....................................... 151.2 Motivation und Zielsetzung des GRC-Projekts ......... 17

2 SAP GRC Process Control ......................................... 27

2.1 Ziele von SAP GRC Process Control ......................... 282.2 SAP GRC Process Control – Anwendung ................. 30

2.2.1 Organisationsaufbau ................................... 352.2.2 Prozesse auf Organisationsebene

zuordnen .................................................... 392.2.3 Personen zu Rollen zuordnen ..................... 432.2.4 Umfrage erstellen und planen ..................... 472.2.5 Kontrolldesign-Beurteilung durchführen ..... 532.2.6 Automatische Tests .................................... 562.2.7 Analyse-Dashboard und Berichte ................ 63

2.3 SAP GRC Process Control – Systemkonfiguration ..... 692.3.1 Rollen bearbeiten ....................................... 712.3.2 Workflow ................................................... 742.3.3 Strukturaufbau ........................................... 852.3.4 Automatisches Testen und Überwachen ..... 932.3.5 Reporting ................................................... 96

3 SAP GRC Access Control ......................................... 105

3.1 Überblick über SAP GRC Access Control ................. 1053.1.1 Access Risk Analysis and Remediation ........ 1063.1.2 Enterprise Role Management

(Virsa Role Expert) ...................................... 1063.1.3 Compliant User Provisioning

(Virsa Access Enforcer) ................................ 1073.1.4 Superuser Privilege Management

(Virsa FireFighter) ....................................... 108


Inhalt

8

3.1.5 Zusammenfassung ....................................... 1083.2 Initiale Analyse und Bereinigung der

Berechtigungsprofile ................................................ 1103.2.1 Identifizierung des Risikos ........................... 1103.2.2 Bereinigung der Berechtigungsprofile .......... 1153.2.3 Vorbereiten von Audits ............................... 1193.2.4 Regelarchitekt ............................................. 119

3.3 Rollendefinition und Rollenmanagement ................. 1213.3.1 Rollendefinition .......................................... 1223.3.2 Zuordnung von Transaktionen und

Berechtigungen zur Rolle ............................ 1233.3.3 Durchführung der Risikoanalyse .................. 1243.3.4 Aktivitäten zur Risikovermeidung ............... 1253.3.5 Rollenableitung ........................................... 1263.3.6 Genehmigung der Rolle ............................... 1273.3.7 Generierung der Rolle ................................. 1293.3.8 Massenpflege .............................................. 129

3.4 Konforme Benutzererstellung .................................. 1303.4.1 Self-Service-Berechtigungszugriff

anfordern ................................................... 1313.4.2 Zuordnen von Rollen ................................... 1323.4.3 Durchführung der Risikoanalyse und

Antragsgenehmigung .................................. 1333.4.4 Enterprise Application Systems .................... 1353.4.5 Speicherung der Antragshistorie .................. 135

3.5 Superuser-Berechtigungsverwaltung ........................ 1353.6 SAP GRC Access Control – Anwendung und

Konfiguration ......................................................... 1403.6.1 Anwendung und Konfiguration von

Risk Analysis and Remediation .................... 1403.6.2 Überblick über die Konfiguration des

Anwendungsbereichs Enterprise Role Management (Virsa Role Expert) ................. 170

3.6.3 Konfiguration des Anwendungsbereichs Compliant User Provisioning ....................... 184

3.6.4 Konfiguration des Anwendungsbereichs Superuser Privilege Management ............... 197

3.6.5 Überblick über die Softwarearchitektur ...... 2033.6.6 Technische How-to Guides .......................... 206


Inhalt

9

4 SAP GRC Risk Management ..................................... 207

4.1 Ziele von SAP GRC Risk Management ..................... 2084.2 Geschäftsprozesse im Risikomanagement ................ 209

4.2.1 Risikoplanung – unternehmensweiter Risikosteuerungsansatz ............................... 210

4.2.2 Risikoidentifikation und -analyse ................ 2114.2.3 Risikomaßnahmen ...................................... 2124.2.4 Risiko-Monitoring ...................................... 213

4.3 Benutzerrollen ........................................................ 2144.4 SAP GRC Risk Management – Anwendung .............. 216

4.4.1 Risikomanagementmenü ............................ 2164.4.2 Organisationseinheit ................................... 2184.4.3 Aktivitäten und Risikokataloge ................... 2224.4.4 Risiko- und Aktivitätendokumentation ....... 2254.4.5 Risikoanalyse mit und ohne Maßnahme ...... 2334.4.6 Risiko-Monitoring ...................................... 236

4.5 SAP GRC Risk Management – System-konfiguration .......................................................... 2394.5.1 Transportverbindung einrichten .................. 2404.5.2 Einstiegsknoten anlegen ............................. 2424.5.3 POWL konfigurieren ................................... 2444.5.4 Schadensereignisdatenbank ........................ 2534.5.5 Workflowaktivierung .................................. 256

5 SAP GRC Global Trade Services – ein Überblick ...... 265

5.1 Ziele von SAP GRC Global Trade Services ................ 2655.2 SAP Compliance Management

(gesetzliche Kontrolle) ............................................ 2665.2.1 Prüfung der Sanktionslisten ........................ 2675.2.2 Import-/Exportkontrolle ............................. 270

5.3 SAP Customs Management (Zollmanagement) ........ 2735.4 Ausschöpfen von monetären Vergünstigungen

und Einschränkung von monetären Risiken ............. 2775.4.1 Trade Preference Management

(Präferenzkalkulation) ................................. 2785.4.2 Restitution Management (Einfuhr- und

Ausfuhrerstattung) ..................................... 2805.4.3 Trade Finance Services

(Dokumentengeschäftsabwicklung) ............. 282


Inhalt

10

6 SAP Environment, Health & Safety – ein Überblick ........................................................... 285

6.1 Ziele von SAP Environment, Health & Safety ............ 2856.2 Chemikaliensicherheit ............................................. 2866.3 Umwelt-, Gesundheits- und Arbeitsschutz ............... 2896.4 Einhaltung von produktbezogenen Umwelt-

schutzauflagen ........................................................ 2926.5 Compliance- und Emissionsmanagement ................ 293

7 Ausblick und Produktroadmap ................................ 297

7.1 Überblick 2008 und 2009 ........................................ 2977.1.1 SAP Ramp-Up – der Markteinführungs-

prozess für SAP-Lösungen ........................... 2977.1.2 SAP-Lösungen für Governance, Risk und

Compliance – Status und Roadmap ............. 2997.2 Strategischer Ausblick nach der Integration

mit Business Objects in SAP .................................... 3017.2.1 Business Performance Optimization

Applications ................................................ 3027.2.2 Business Intelligence Platform ..................... 303

Die Autoren ............................................................................. 305

Index ........................................................................................ 307


105

Doppelte Sicherheit schadet nicht. – Deux sûretés valent mieux qu’une. (Cahier)

3 SAP GRC Access Control

SAP GRC Access Control bietet eine umfassende Funktionalität, umsicherzustellen, dass die einzelnen Anwender innerhalb eines Unter-nehmens nur die Berechtigungen erhalten, die für ihre tägliche Arbeiterforderlich sind. Alle damit einhergehenden Risiken werden aufge-deckt und die getroffenen Maßnahmen zur Risikovermeidung verwal-tet. Dieses Kapitel beschreibt im Detail die wesentlichen Anwen-dungsszenarien. Anschließend werden umfassend die Berichtsmög-lichkeiten und die Konfigurationsschritte dargestellt.

3.1 Überblick über SAP GRC Access Control

Wie kann schrittweise eine lückenlose Compliance hinsichtlich dernotwendigen Gewaltentrennung in einem Unternehmen erreichtwerden? Wie kann Missbrauch von Benutzerrechten entdeckt undzukünftig vermieden werden? Wie kann man sicher Verstößengegen die Funktionstrennung auf die Spur kommen? Der Einsatz vonSAP GRC Access Control ist die Antwort auf diese Fragen und damitdie Lösung für die Zugriffs- und Berechtigungssteuerung in einemUnternehmen. SAP GRC Access Control umfasst folgende vierAnwendungsbereiche:

� Risk Analysis and RemediationRisikoanalyse und -eliminierung (Virsa Compliance Calibrator)

� Enterprise Role ManagementUnternehmensrollenverwaltung (Virsa Role Expert)

� Compliant User ProvisioningKonforme Benutzererstellung (Virsa Access Enforcer)

� Superuser Privilege ManagementSuperuser-Berechtigungsverwaltung (Virsa FireFighter)


106

SAP GRC Access Control 3

3.1.1 Access Risk Analysis and Remediation

Analyse der Datender Anwender

Im Anwendungsbereich Access Risk Analysis and Remediation wirdin Echtzeit die Einhaltung von Vorgaben, die die Funktionstrennungim Unternehmen betreffen, unterstützt. Es soll verhindert werden,dass Sicherheitskontrollen verletzt werden. Dabei werden zunächstdie Berechtigungsvergaben in den angeschlossenen ERP-Systemengelesen und anschließend analysiert. Die Risiken werden bewertet,die Ursache wird aufgedeckt und damit den Anwendern ermöglicht,das Problem zu lösen.

Einhaltung vonFunktionstrennun-

gen

Bei der Bewertung der ausgelesenen Berechtigungsvergaben wirdein Regelwerk von Funktionstrennungen zugrunde gelegt. So wirdes z.B. als hohes Risiko gewertet, wenn ein und derselbe Mitarbeitereinen Lieferantenstammsatz anlegen, eine Bestellung auslösen undnach Rechnungseingang die Zahlung anstoßen kann. Durch dieseumfassende Berechtigung hat der Mitarbeiter die Möglichkeit, einenfiktiven Lieferanten zu erfinden und mithilfe von regulärenGeschäftsbuchungen Firmengelder auf ein Konto zu überweisen.Dadurch wird es einem Mitarbeiter mit krimineller Energie sehrleicht gemacht, die Firma zu betrügen.

Unternehmens-weites Manage-

ment von Risiken

Mithilfe von SAP GRC Access Control können unternehmensweit dieVerletzungen von Funktionstrennungen entdeckt, bewertet undbehoben werden. Dabei können neben SAP ERP-Systemen auchAnwendungen von Oracle, PeopleSoft, JD Edwards und Hyperionuntersucht werden.

3.1.2 Enterprise Role Management (Virsa Role Expert)

SAP GRC Access Control unterstützt Sie bereits beim Design der Rol-len im Unternehmen. Der standardisierten und zentralisierten Design-phase der Rollen folgen die Test- und die Wartungsphase. Rollen fürfolgende Geschäftsprozesse in SAP werden durch SAP GRC AccessControl abgedeckt:

� Human Resources

� Procure to Pay

� Order to Cash

� Finance (General Accounting, Project Systems, Fixed Assets)

� Basis, Security and System Administration


107

Überblick über SAP GRC Access Control 3.1

� Materials Management

� Advanced Planning and Optimization

� Supplier Relationship Management

� Customer Relationship Management

Definition von auditierbaren Rollen

Mithilfe von SAP GRC Access Control haben Sie die Möglichkeit, dieVerantwortung für die Rollendefinition den Geschäftsbereichenzuzuordnen. Die Rollenverantwortlichen legen dann fest, welcheTätigkeiten und Einschränkungen für die Rolle gültig sind. Die Rol-lenverantwortlichen sind somit dann auch in der Pflicht, die Geneh-migungsprozesse für eine Rolle anzustoßen und mithilfe von SAPGRC Access Control die Historie bei Rollenänderungen abzulegen.Als weitere Hilfsmöglichkeit können die Rollenverantwortlichen sichanzeigen lassen, in welchen Rollen eine bestimmte Transaktion (z.B.Anstoßen des Zahlungslaufs) zugeordnet wurde. Darüber hinaussind Vergleiche zwischen unterschiedlichen Rollen möglich.

3.1.3 Compliant User Provisioning (Virsa Access Enforcer)

Wie sich Stellen und Verantwortlichkeiten im Unternehmen ändern,so muss auch die damit einhergehende Änderung von Systemberech-tigungen organisiert werden. Es werden neue Mitarbeiter einge-stellt, andere verlassen das Unternehmen. Es werden Verantwor-tungsbereiche neu definiert oder anders verteilt. SAP GRC AccessControl unterstützt Sie mit dem Funktionsbereich Compliant UserProvisioning (Virsa Access Enforcer) dabei, den Ablauf der Berechti-gungsvergabe und -änderung zu erleichtern und gleichzeitig eineVerletzung von möglichen Funktionstrennungen zu verhindern.

Automatischer Workflow zur Genehmigung

Falls sich eine Stelle ändert und dadurch auch umfangreichere Sys-temzugriffe notwendig sind, stellt der Mitarbeiter diese Anforde-rung selbst, indem er durch SAP Access Control das notwendige Pro-fil beantragt. Die Beantragung löst einen Workflow aus, mit dessenHilfe dem Manager des Mitarbeiters dieser Änderungsantrag zurGenehmigung vorgelegt wird.

Integration mit SAP ERP HCM

Darüber hinaus besteht die Möglichkeit, über eine Schnittstelle (HRReal Time Agent) SAP Access Control mit SAP ERP HCM zu verbin-den. Änderungen im Mitarbeiterstammsatz werden in der SAP-Anwendung HCM (Human Capital Management) durch so genannteInfotypen verwaltet. Durch sie ist zu erkennen, ob ein Mitarbeiter


108


die Firma verlässt, die Firma betritt oder ob sein Stellenprofil sichändert. Ebenso ist in dem Mitarbeiterstammsatz der zuständigeManager verzeichnet. Durch die Schnittstelle können diese HR-bezo-genen Informationen an SAP Access Control weitergegeben undautomatisch die von der Mitarbeiteränderung betroffenen Managerbenachrichtigt werden. Die Benachrichtigung erfolgt in Form vonAktionen, die den Managern oder den Mitarbeitern selbst zugeord-net werden. Über den Einsatzbereich der Aktionen erfahren Sie imweiteren Verlauf dieses Kapitels mehr.

Nach der Beantragung der erforderlichen Berechtigungsänderungwird die mögliche Auswirkung simuliert. Es wird geprüft, ob aufge-stellte Regeln der Funktionstrennung verletzt würden, falls derAntrag genehmigt wird.

Durch SAP Access Control wird der Anwender in die Lage versetzt,selbst – ohne sich im Detail mit den technischen Feinheiten ausein-anderzusetzen – die erforderlichen Berechtigungsprofile zu beantra-gen. Der Manager des Mitarbeiters kann die Genehmigung erteilen,nachdem er durch eine Simulation das Risiko der Änderung beurteilthat. Damit ist die IT-Abteilung entlastet und muss nicht länger kom-plexe technische Details der Berechtigungsprofile mit den Verant-wortlichen der Geschäftseinheiten erörtern.

3.1.4 Superuser Privilege Management (Virsa FireFighter)

Berechtigungsver-gabe im Notfall

In Notfällen besteht durch GRC Access Control die Möglichkeit, End-benutzern mehr Berechtigungen zuzuweisen, als sie im Normalfallbei ihrer täglichen Arbeit benötigen. Dies geschieht durch die Vorbe-reitung einer Feuerwehr-Benutzerkennung, die im Notfall zeitlichbegrenzt dem Benutzer zugeordnet wird.

Alle Tätigkeiten, die der Benutzer unter der Benutzerkennung des»Superusers« durchführt, werden aufgezeichnet und im Nachganggenau überwacht und ausgewertet.

3.1.5 Zusammenfassung

Risk Analysis andRemediation

Abbildung 3.1 gibt einen Überblick über SAP Access Control. DerAnwendungsbereich Risk Analysis and Remediation kommt zum Tra-gen, wenn erstmalig nach Implementierung von SAP GRC AccessControl die existierende Berechtigungsvergabe analysiert wird. Auch


109

Überblick über SAP GRC Access Control 3.1

periodische Prüfungen der Funktionstrennung werden mithilfe desAnwendungsbereichs Risk Analysis and Remediation durchgeführt.

Abbildung 3.1 Übersicht SAP GRC Access Control

Um auf tägliche Änderungsanforderungen an Berechtigungen sicherund risikoarm reagieren zu können, kommen die weiteren Anwen-dungsbereiche von SAP GRC Access Control zum Einsatz.

Enterprise Role Management

Mithilfe von Enterprise Role Management (Virsa Role Expert) wirdbereits beim Design der Rollen darauf geachtet, dass die notwendigeFunktionstrennung eingehalten wird.

Compliant User Provisioning

Werden zusätzliche Berechtigungsprofile zu einem Benutzerprofilangefordert, besteht die Gefahr, dass der einzelne Benutzer durchdiese Zusatzvergabe von Berechtigungen aus Sicht der Funktions-trennung zu umfangreiche Berechtigungen enthält. Durch CompliantUser Provisioning (Virsa Access Enforcer) tritt diese Situation niemalsein, da vor der endgültigen Genehmigung die Änderung auf mögli-che Risiken geprüft wird.

Superuser Privi-lege Management

In Ausnahmefällen ist es erforderlich, dass Anwender Notfallrepara-turen durchführen müssen. Dieser Ausnahmefall wird mithilfe desAnwendungsbereichs Superuser Privilege Management (Virsa Fire-Fighter) abgebildet.

SAP GRC Access Control

Initiale Analyse und Bereinigung der Berechtigungsprofile

Bewältigung der Anforderungen an Berechtigungen im Tagesgeschäft

Durchführung periodischer Audits

� Enterprise Role Management (Role Expert) � Design

� Compliant User Provisioning (Access Enforcer) � Änderung

� Superuser Privilege Management (Fire Fighter) � Ausnahme

� Risk Analysis and Remediation (Compliance Calibrator)

� Risk Analysis and Remediation (Compliance Calibrator)

Einhaltung der festgelegten Regeln für Funktionstrennung


110


SAP GRC Access Control liefert einen umfassenden, unternehmens-übergreifenden Satz von Zugriffskontrollen, der eine unternehmens-weite und abgestimmte Rollendefinition ermöglicht und eine kor-rekte Durchführung und Überwachung der Funktionstrennungerlaubt. Darüber hinaus stellt SAP GRC Access Control ein unterneh-mensweites Management hinsichtlich der Rollendefinition, der Rol-lenbereitstellung und Funktionen für privilegierte »Superuser« zurVerfügung.

3.2 Initiale Analyse und Bereinigung der Berechtigungsprofile

Nach der erfolgreichen Implementierung von SAP GRC Access Con-trol bei der Firma EWP analysieren wir zunächst die Berechtigungs-vergaben in den Anwendungen und IT-Systemen. Die Zielsetzungist, mögliche Fehler in der Berechtigungsvergabe und daraus resul-tierende Gefahren für das Unternehmen aufzudecken.

3.2.1 Identifizierung des Risikos

Ausgangspunkt für die Bestandsaufnahme ist der Managementüber-blick über die Berechtigungszuordnungen, die gegen die Regeln derFunktionstrennung verstoßen (SoD – Segregation of Duties). Funkti-onstrennung bedeutet, dass Funktionen in einem Unternehmen aufmehrere Mitarbeiter verteilt werden. Über den Funktionspfad Aus-

kunft � Managementansicht � Risikoverletzungen erhalten Sie dieAnalyseergebnisse. Die Analyseergebnisse in Abbildung 3.2 zeigen,dass 59 Benutzer analysiert wurden. Das Ergebnis dieser Analysesind 233 Fälle, bei denen die Regeln der Funktionstrennung verletztwurden.

Management-übersicht

Die Managementübersicht gibt auch Auskunft darüber, wie sich dieidentifizierten Risiken auf die verschiedenen Geschäftsprozesse ver-teilen. So sind z.B. im Prozess Zahlung vorbereiten – Procure toPay – 67 Risiken identifiziert wurden.

Durch einen Doppelklick auf die Unterschrift der Säule PR (Procureto Pay) im rechten unteren Bildteil erhalten Sie die Liste der Risiken,die für den Geschäftsprozess Zahlung vorbereiten identifiziertworden sind.


111

Initiale Analyse und Bereinigung der Berechtigungsprofile 3.2

Abbildung 3.2 Managementübersicht der identifizierten Risiken

Die Zahlen in der rechten Spalte (siehe Abbildung 3.3) geben an, wieoft die jeweiligen Risiken gefunden worden sind. In diesem Fall sinddie Risiken bei jeweils einem Anwender identifiziert worden.

Abbildung 3.3 Übersicht der Risiken für den Geschäftsprozess »Zahlung vorbereiten«

Zur weiteren Analyse ist jedoch von Interesse, was sich genau hinterden Risiken verbirgt. Das Risiko P003 gibt an, dass der Anwender fik-tive Lieferantenrechnungen anlegen und auch dafür die Zahlung frei-


112


geben kann. Mit Doppelklick auf die Risikokennung P003 öffnet sichdas Fenster Risikoinformation (siehe Abbildung 3.4).

Kritische Funk-tionskombination

Die Risikoinformation gibt Auskunft darüber, welche kritische Kom-bination an Funktionen der Anwender ausführen kann. In dem auf-geführten Fall sind dies AP01 (Zahlungen Kreditorenbuchhal-

tung) und AP02 (Bearbeiten von Lieferantenrechnungen). Damitwird die Regel der Funktionstrennung verletzt, da ein Anwender nureine Geschäftsfunktion ausüben sollte.

Abbildung 3.4 Risikoinformation

Auf Basis der Risikoinformation können Sie auf betriebswirtschaftli-cher Ebene die Funktionskonflikte ablesen. Es ist für die Analysenicht erforderlich, dass die technischen Details des Berechtigungs-konzepts bekannt sind.

Katalog vonFunktionen

SAP GRC Access Control verfügt über einen Katalog von Funktionen,der die Gesamtheit der Geschäftsprozesse eines Unternehmensabbildet. Über die Funktionen werden Transaktionen und Berechti-gungsobjekte gebündelt. Die Bündelung erfolgt so, dass bei derZuordnung einer Funktion zu einem Anwender die Regeln der Funk-tionstrennung eingehalten werden.

Falls Sie überprüfen möchten, welche Transaktionen der FunktionBearbeiten von Lieferantenrechnungen zugeordnet sind, klickenSie mit einem doppelt auf die Funktion AP02 (Bearbeiten von Liefe-

rantenrechnungen).

Für die gewählte Funktion AP01 sind 37 Transaktionen zugeordnet(siehe Abbildung 3.5). Hinter diesen Transaktionen sind entspre-chende Berechtigungsobjekte hinterlegt (siehe Abbildung 3.6).


113


Durch Auswahl der Registerkarte Berechtigung gelangen Sie in dieListe der Berechtigungsobjekte.

Abbildung 3.5 Funktionsinformation – Liste der Transaktionen

Abbildung 3.6 Funktionsinformation – Liste der Berechtigungsobjekte

RisikoregelnMit SAP Access Control wird ein Katalog von Risiken, Funktionenund den dazugehörigen Transaktionen und Berechtigungsobjektenausgeliefert. Mögliche Kombinationen von Berechtigungsobjektenund Transaktionen zwischen zwei Funktionen ergeben die Liste der


114


Risikoregeln (siehe Abbildung 3.7). Mit GRC Access Control werdenüber 100.000 Risikoregeln zur Verfügung gestellt, die bei Nichtbe-achtung zu einer Verletzung der Funktionstrennung führen unddamit ein Risiko für die Unternehmen darstellen.

Abbildung 3.7 Architektur der Risikoregeln

Regelarchitekt Mithilfe des Regelarchitekten können Sie im Rahmen der Implemen-tierung die Liste der Risikoregeln erweitern.

Geschäfts-applikationen von

Drittanbietern

Grundsätzlich haben Sie die Möglichkeit, auch ERP-Systeme an GRCSAP Access Control anzubinden, die nicht von SAP sind. Die in SAPGRC Access Control integrierte Datenbasis für Funktionen undRegeln ist dafür ausgerichtet, auch Berechtigungen aus Geschäfts-applikationen zu lesen und zu bewerten, die von Oracle, PeopleSoft,JD Edwards EnterpriseOne oder Hyperion vertrieben werden. Darü-ber hinaus können Sie auch Eigenanwendungen (Legacy-Systeme) anSAP GRC Access Control anbinden. Durch diesen Ansatz ist es mög-lich, unternehmensweit die Einhaltung der erforderlichen Funkti-onstrennungen zu überprüfen und zu verbessern, auch wenn einUnternehmen Geschäftsapplikationen von Drittanbietern betreibt.

Geschäftsfunktion 1

Transaktion 1 + Berechtigung 1


Transaktion n + Berechtigung n

Geschäftsrisiko 1

Geschäftsfunktion 2



Transaktion n + Berechtigung n

Risikoregel 1

Risikoregel 2

Risikoregel n

….

…. ….

Mögliche Kombinationen der Transaktionen und Berechtigungen der Geschäftsfunktionen 1 + 2 bilden die Liste der Risikoregeln


115


3.2.2 Bereinigung der Berechtigungsprofile

Nachdem die Gesamtliste der Verletzungen der Funktionstrennun-gen zur Verfügung gestellt wurde, müssen Sie im Einzelfall prüfen,wie Sie mit dieser Verletzung umgehen.

Gemäß dem identifizierten Risiko P003 hat der Buchhalter AlanGragg so weit reichende Systemberechtigungen, dass er fiktive Liefe-rantenrechnungen anlegen und auch später dafür die Zahlung freige-ben könnte (siehe Abbildung 3.8).

Abbildung 3.8 Benutzeranalyse auf Berechtigungsebene

Über den Menüpfad Auskunft � Risikoanalyse � Benutzerebene

können Sie den Detailbericht zur Benutzeranalyse aufrufen. Selektie-


307

Index

A

Abfallentsorgung 289Abfrage 32Abfragesicherheit 246abgelaufene Benutzer ausschließen

163Abonnement 263Abzeichnung 65, 85, 99Abzeichnungsmonitor 33Abzeichnungsprozess 31Access Risk Analysis and Remedia-

tion 105, 106Administrationsprogramme 69, 101Administrator 156, 185

definieren 157Administratorenrechte 156Advanced Planning and Optimization

107, 120Aggregation 97Akkreditiv 282, 283Aktionsregeln 148Aktivität 222, 225Aktivitätenkatalog 216, 222Aktivitätsgruppen 222Aktivitätskategorien 222aktueller Risikostatus 216Alarmmeldung 145, 160Alarmüberwachung 141, 160Alert Monitoring 141Analyse mit Maßnahme 233Analyse ohne Maßnahme 230Analysearbeitsplatz 30, 33, 61, 64, 65Analyseart 58, 59Analytics Dashboard 33, 61Anforderungen der Sektion 404 des

Sarbanes-Oxley Acts 28anmeldepflichtige Transporte 288Antragsformular 131Antragsgenehmigung 133Antragshistorie 135Arbeitseingang 30, 53, 55Arbeitsmedizin 290Arbeitsschutz 289, 290Arbeitsschutzdaten 291Arbeitsvorratstyp 245

Arbeitsvorratstyp-Repository 244, 245

Assertions 31Attribute 69, 72Attributgruppe

anlegen 178anzeigen 177einrichten 177

Audit 119, 135, 138Audit Reports 141, 148Audit und Analyse 34auditierbare Rollen 107Audit-Nachweis 269Auditvorbereitung 119Aufgabennummer 262aufgabenspezifisches Customizing 76,

258Ausfuhrerstattung 277, 281, 282Ausfuhrlizenz 281Ausführungsperiodizität 60Auskunft 140, 141Ausnahmebehandlung 29Außenhandelsvorschriften 265Auswahlverfahren 51Ausweichempfänger 82Auswertungsverzögerung 102Authentifizierung

Konfiguration 188Authentifizierungssystem 188automatische Kontrolle 58, 60automatische Kontrollregeln 61automatische Kontrollüberwachung

56automatische Tests 56, 60, 61, 93automatische Transportverbindung

71automatisches Workflow-Customi-

zing 74, 257automatisierte Kontrolltests 29

B

Bearbeiten von Lieferantenrechnun-gen 112

Bearbeiter zuordnen 258


308

Index

Behebungsmaßnahme 29, 56Benachrichtigung 251, 261, 264

Konfiguration 193Benutzeranalyse 115, 142, 143Benutzerdatenquelle

festlegen 188benutzerdefinierte Felder 69, 90Benutzerkennung 137, 202Benutzerkennung für den Notfall

198, 202Benutzerpflege 199Benutzerrollen 214Benutzersynchronisation 164Benutzerzugriff 34, 36Berechtigungsebene 115Berechtigungskonzept 112Berechtigungsobjekt 112Berechtigungsprofil 110

bereinigen 115Berechtigungsvergabe im Notfall 108bereichsübergreifende Prozesse 208Berichte und Analysen 30Berichtspuffer 97Berichtstyp 99Berichtszentrum 34, 63, 66Betriebsanlagen 294Beurteilung 53, 54Beurteilung und Test 69, 90Beurteilungsverantwortlicher 215,

226Bewertung, Überwachung 34Bewertungseinrichtung 31, 56Bewertungsergebnisse 33, 63Boykottlisten 267Buchungskreis 121Business Add-In 90, 97Business Configuration-Sets 70Business Intelligence Platform 301Business Objects 297Business Performance Optimization

Applications 301

C

Case Management 83CFO Cockpit 297CFO-Portfolio 297Chemikaliensicherheit 286COBIT-Framework 29, 61

Compliance 17Compliance Calibrator 96Compliance for Products 293Compliance und Emissionsmanage-

ment 286Compliance-Management 266Compliance-Test 33, 58, 60Compliant User Provisioning 105,

107, 109Integration 158Konfiguration 184

Consolidation 120Control Design Assessment 49Control Monitoring 33Customizing für automatische Tests

32, 60Customs Management 266

D

Dashboard 209, 216, 218Data Integration and Data Quality 301DataSources 99Datenextraktor 170Delegation 34Detailinformation 141Dimensionspflege 254Document Risk 225Dokumentation 288Dokumentationsanforderungen 203Dokumente 36Dokumentengeschäftsabwicklung

282Dokumentenklasse 100Dreipunktanalyse 247Drittanbieter 114, 135, 169Druckberichte 98

E

eigene Aufgaben 33, 63eigene Prozesse 30eigene Startseite 63eigene Workflow-Aufgaben 30Ein-/Ausfuhrgenehmigung 272Einfuhr- und Ausfuhrerstattung 280Eingangs-Web-Service 95eingebettetes Risikomanagement 208


309

Index

Einhaltung von produktbezogenen Umweltschutzauflagen 286

einheitliche Plattform 208Einplanung 58, 60Einplanungsfunktion 85Einplanungshäufigkeit 74Einstiegsknoten 242Einstiegsknoten anlegen 243Eintrittswahrscheinlichkeit 230E-Mail 261E-Mail-Server

einrichten 190Embargo 272Embargoprüfungen 267Emissionen 294Emissionsmanagement 293Emissionszertifikate 295Enterprise Application System 135Enterprise Query, Reporting und Ana-

lysis 301Enterprise Role Management 105,

106, 121, 126Initial Setup 170Konfiguration 170

Entitätsebenenkontrollen 30, 36Entity-Level Control Assessment 50ereignisbasierte Überwachung 69,

101Ereigniskopplung aktivieren 76Ereignis-Queue-Administration 76Ereignisstartverknüpfung 79Ereigniszustellung 79Eskalationen 82Eskalationsverfahren 212Etikettenverwaltungsfunktion 288Etikettierung 288Excel-Template 224Expertenmodus 71, 86, 88Extraktor 204

F

Fälle 69Fehlerbehebungsmaßnahmen 33, 63fehlerhafter Workflow 77Feldgruppe 99Feuerwehr-Benutzerkennung �

Berechtigungsvergabe im Notfall

Finance 106, 120Financial Performance Management

301Financials 119FireFighter � Virsa FireFighterFirefight-ID 202Fixed Assets 106, 119Fragenbibliothek 31, 47, 48Fragenkategorien 47Funktion

anlegen 151Funktionsbereich

auswählen 123Funktionsinformation

Liste der Berechtigungsobjekte 113Liste der Transaktionen 113

Funktionstrennung 105, 106, 110

G

Gefahrgutprüfung 289Gefahrstoffe 288Gefahrstoffverwaltung 286Genehmigung

Dokumentation 128Genehmigungsantrag 128, 129, 133Genehmigungskriterien

einrichten 182suchen 181

Genehmigungsprozess 133General Accounting 106, 119Generierung einer Rolle 178Gesamtbeurteilung 97Geschäftsbereich

definieren 157Geschäftsprozess

anlegen 152suchen 153

Geschäftsprozessverantwortlicher 208

gesetzliche Kontrolle 266gesperrte Benutzer ausschließen 163gesperrte Geschäftspartner 268Gesundheitsschutz 289globale Heatmap 29Governance Management 17Governance, Risk and Compliance 15,

301


310

Index

GRC Applications Integration Docu-mentation 171

GRC-Reifegradmodell 22Greenlight 204

H

Häufigkeitszeiträume 73Hintergrundjob 77, 78, 203, 258Hintergrundjob-Dämon 167Hintergrund-Spooldatei 168HR Real Time Agent 107HR-System 188, 189HTTP 99, 102HTTP-Verbindung 96Human Capital Management 119Human Resources 106, 120Hyperion 106, 114, 120, 169, 204

I

IBM Tivoli 186Identifizierung der wirksamsten Kon-

trollen 28Identifizierung des Risikos 110Identity-Management-System 205Import-/Exportkontrolle 267, 270Inbox 53Index 84, 96Informer 140initiale Systemdaten 171initialer Daten-Upload 40, 224Instandhaltung 292Instandhaltungs- und Wartungsmaß-

nahmen 292interne Kontrollen 53internes Kontrollsystem 29, 42

J

J2EE-Datenbank 205Java-Stack 203JD Edwards 106, 114, 120, 135, 169,

204Jobmonitor 33

K

Kategorie 261Kategorien definieren 246Kennwort

setzen 202Key-Performance-Indikatoren 213Key-Risk-Indikatoren 209kollaborative Risikomanagementsze-

narien 228Kommunikationsschnittstelle SAPcon-

nect 83kompensierende Kontrollen 148, 166

anlegen 158Überwacher suchen 159

kompensierte BenutzerListe 160

kompensierte Risiken 163Kompensierung 141, 155

Konfiguration 189Kompensierungsüberwacher 155Konfigurationskontrolle 56konforme Benutzererstellung 105,

130Konformität 33, 63Konformitätsdiagramm 240Konformitätsstruktur 30Konnektor 70, 93, 150, 172, 173

anlegen 173Konfiguration 185

Konten 31kontinuierliche Transparenz 210Kontrollautomatisierung 51Kontrollbeurteilungen 66Kontrolldesign 48, 49, 50, 53Kontrolldesign-Beurteilung 92, 93Kontrolldokumentation 28Kontrollenbibliothek 146, 147, 155Kontrollüberwachung 33, 63Kontrollverantwortlicher 46, 54, 55,

64Kontrollwirksamkeit 56Kontrollziele 54Kontrollziele und -risiken 31Konzept der zeitabhängigen Definition

37Kopplung deaktivieren 80Korrekturmaßnahmen 29Kosteneinsparpotenziale 62


311

Index

Kreditorenrechnung erfassen 124Kreditorenstamm

löschen 122Kreditorenstammdatenpflege 137Kreditorenstammsatz 125

ändern 122anlegen 122sperren 122

kritische Funktionskombination 112kritische Rollen und Profile 148kritisches Profil 155

L

Laufzeitumgebung 257Laufzeitumgebung pflegen 74LDAP-System 188, 189Legacy-System 114, 169Leistungssteigerung 80Leistungsverbesserung 76Leiter Interne Kontrollen 37, 44, 46,

53, 64, 68, 88Lieferantenrechnung 155Lieferantenstammsatz 124

pflegen 126Lightweight Directory Access Protocol

(LDAP) 186Liste der Kontrollen 156Lizenz 270logischer Port 96lokale Ebene 41, 42lokale Stammdaten 38

M

Managementansicht 141, 142Managementkontrollen 30, 36, 50,

91Managementübersicht 111Mandant 241, 260manuell getestete Kontrollen 31manuelle Testpläne 32manuelle Tests 56, 60Massenpflege 129Maßnahmenart 251Maßnahmenreaktion 250Maßnahmenübersicht 238

Maßnahmenverantwortlicher 215, 234, 235

Master Data Services 301Materials Management 107MDUG 38, 70, 88Microsoft Active Directory 186Mitigate the risk 116Mitigation 155Monitoring-Control-Test 58, 60My Home 216

N

Nachfolger 34, 81Nachhaltigkeitsberichte 294Namenskonventionen

Details 183einrichten 182konfigurieren 182

NetWeaver Business Client 101neuer Zeitraum 85Novell E-Directory 186Nummernkreis 84, 86, 101, 256Nummernkreisintervalle 240NWBC-Einstellungen 69

O

oberste Organisationseinheit 242Objektverantwortlicher 98Offline-Risikoanalyse 165Oracle 106, 114, 120, 135, 169, 204Oracle-Konnektoren 186Order to Cash 106, 119, 120Organisationen 30, 35Organisationseinheit 35, 218Organisationshierarchie 37, 87, 88,

89, 184bearbeiten 36

Organisationsregel 121, 155, 165organisationsspezifische Kontrollen

41Organisationsstruktur 35Organisationsverantwortlicher 64,

219, 243Organisationswertzuordnung 183


312

Index

P

PeopleSoft 106, 114, 120, 135, 169, 204

Performanceleistung 84, 96Performanceprobleme 98Personal Object Worklist 82personalisieren 68Personalisierungsmerkmale 244Personen zu Rollen zuordnen 46persönlicher Arbeitsvorrat 82Plan 50, 51, 52Planaktivität 50Planer 32, 60POWL konfigurieren 244Präferenzabwicklung 278Präferenzkalkulation 278Print Reports 217Priorisierung von Folgemaßnahmen

209privilegierte Benutzer � Superuserproaktive Prozesse 208proaktive Transparenz 233proaktive Überwachung 213Problem 55Problembericht 91Problemstatus 67Problemübersicht 65Procure to Pay 106, 110, 119, 120produktbezogene Umweltschutzaufla-

gen 292Produktklassifizierung 270, 271Produktroadmap 297Produktsicherheit 286Produkttarifierung 274Project System 106, 119Protokollerstellung 203Prozesse 39Prüfer 46Prüfung erforderlich 91

Q

qRFC-Monitor 80qualitative Schadenshöhe 235quantitative Risikoanalyse 230Query-Abfragen 32, 60

R

Ramp-Up-Prozess 298Rating 54Reaktionsart 251, 252Reaktionsartenkombinationen 252Reaktionsmaßnahmen 225Real Time Agent 203Reason Code 136Regel 32, 56, 94Regelarchitekt 114, 119, 121, 124,

140, 149, 153Prozesse im Oracle-System 120Prozesse im SAP-System 119Prozesse in Hyperion 120Prozesse in JD Edwards 120Prozesse in Peoplesoft 120

Regeldefinition 56, 58Regelgenerierung 151Regelgruppen 94Regelkonfiguration 32Regelkriterien 32, 57, 58, 59Regelkriterium 58Regeln für automatische Tests 32Regelparameter 57, 58, 59Regelsammlung 146, 150Regelsatz 154

anlegen 154suchen 154

Regelskript 32Remote Function Call 201Remove access from the user 117Report Center 216, 217, 236Restitution Management 280Restrisiko 235Revisor 215Risiko 222, 225

Änderungshistorie 169anlegen 152

Risiko anerkennen 228Risiko- und Aktivitätenkataloge 222Risiko validieren 228Risikoabhängigkeiten 208Risikoanalyse 141, 147, 211, 225,

230, 233, 246durchführen 124, 133Leistungstuning 164Standardbenutzertyp 162Standardberichtstyp 162


313

Index

Standardregelsatz 163Standardrisiksostufe 162starten 125Voreinstellungen 163zusätzliche Optionen 166

Risikoanalyse mit Maßnahme 233Risikoanalyse ohne Maßnahmenop-

tion 230Risikoanalyse und -eliminierung 105Risikobehebung 116Risikobereitschaft 209Risikodokumentation 226, 227, 229Risikogruppe 223Risikohierarchie 223Risikoidentifizierung 208, 211Risikoinformation 112, 168Risikokatalog 211, 216Risikokategorie 223Risikokompensierung 133Risikomanager 214, 217, 218, 220Risikomaßnahmen 210, 212, 237Risikomaßnahmenstrategie 251Risiko-Monitoring 210, 213, 236Risikoneigung 211Risikoneubewertung 251Risikoplanung 209, 211Risikopriorität 230, 250Risikoprioritätenmatrix 250, 251Risikoprioritätskennung 250Risikoprofil 208, 209Risikoreaktionen 210, 212, 251Risikoreaktionsmaßnahmen 237Risikoregel 113, 114

Architektur 114Risikoschwelle 220Risikosituation 236Risikostatus 231risikosteuernde Maßnahme 233, 235Risikostufe 230, 248Risikostufenkennung 248Risikostufenmatrix 249Risikovalidierer 215, 226Risikoverantwortlicher 215, 226, 228Risikoverletzungen 143Risikovermeidung 125, 210Risk Analysis and Remediation 140Risk Assessment 216, 217, 225Risk Management 17Risk Structure 216, 217

Rolle 34, 36, 71, 118, 214, 216, 218Administrator 197anlegen 122Aufgaben 34, 36, 43bearbeiten 71Berechtigungen 34Controller 198für Teilvorgang 44genehmigen 127, 178generieren 129kritische 154Notfallbenutzer 198Verantwortlicher 197zuordnen 34, 46, 132, 200

Rollenableitung 126Rollenanalyse 144Rollenattribut 174

bentzerdefinierte Felder 176einrichten 174Funktionsbereich 176Geschäftsprozess 175Projekt/Release 177Teilvorgang 175

rollenbasierte Dashboards 213Rollendefinition 121, 122, 179

Methodik 178Rollendetails 132Rollenebene 44Rollenkatalog 132Rollenkennung 71Rollenkonzept 118Rollenmanagement 121Rollentyp 82Rule Architect 124, 140

S

Sanktionslisten 267Sanktionslistenprüfung 268SAP Business Information Ware-

house 99SAP Corporate Services 292SAP Customer Relationship Manage-

ment 107, 120SAP Customs Management 273SAP Development Network 206SAP Enterprise Asset Management

292


314

Index

SAP Environment, Health & Safety 26, 285

SAP Environmental Compliance 293SAP ERP Financials 295SAP ERP Human Capital Manage-

ment 107, 119, 292SAP GRC Access Control 24, 96, 105

Anwendung 140Konfiguration 140

SAP GRC Global Trade Services 26, 265

SAP GRC Process Control 25SAP GRC Risk Management 25

Konfiguration 239SAP NetWeaver 204SAP NetWeaver Business Intelligence

205SAP NetWeaver Identity Manage-

ment 205SAP Product Lifecycle Management

295SAP Supplier Relationship Manage-

ment 107, 120SAP Supply Chain Management 295SAP System Landscape Directory (SLD)

187SAP User Management Engine (UME)

188, 189, 204SAP_ALL 135SAP-Konnektor 186SAP-Standardberichte 32, 60SAP-Standard-Workflow-Funktionali-

tät 29Sarbanes-Oxley Act 43Schadenereignisse 213Schadensereignisdatenbank 253Schadenshöhe 230Schadensstufe 220, 242Schnittstelle 205Schwachstelle 55, 56, 63, 65, 99Schwachstellenbeseitigung 55Schwachstellenverantwortliche 56Schwellenwerte 243Security Report 141, 149Segementtabellenliste 254Segmentdimensionen 253Segmenttabelle 253, 255Segmenttabellenoperationen 255Segregation of Duties � Funktions-

trennung

Sektion 302Sarbanes-Oxley Act 29

Selbsteinschätzungen 31, 49Selektion 261Self Assessment 49Self-Service-Berechtigungszugriff

anfordern 131sequenzielle Abarbeitung der Ereig-

nisse 79Serverleistung 101Shared Objects Memory 89Shared Services Provider 35, 36, 41Sicherheitsdatenblätter 288Sicherheitskonfiguration 195Siebel 169signifikante Abweichung 58signifikante Mängel 55Sign-Off 31, 36, 37, 50, 85, 99Simulation 117

auf Benutzerebene 118Skript 57, 58Skriptkategorie 57Skripttyp 57SLD-Konnektor 187SMTP-Server 190Softwarearchitektur 204Spezifikationsdatenbank 286Stammdateninformation 205Standardabfragen

definieren 245Standardaufgaben 74, 258Standardauswertungsberichte 34Standardunternehmenskennung set-

zen 243Standardvalidierer 256Start der Verbraucher 79Struktur einrichten 86Struktur und Einrichtung 34Strukturaufbau 69Stufenkonfiguration 191Sun Microsystems SunOne 186Superuser 138

Bericht 139Superuser Privilege Management

105, 108, 109, 119, 135, 136, 197Superuser-Privilege-Management-Rol-

len 199Survey-Bibliothek 31, 47, 49Systemadministration 106, 120


315

Index

Systemlandschaft 173anlegen 174definieren 172

Systemleistung 68, 89Systemparameter auf Organisations-

ebene 32, 36Systemtyp 57, 93Systemverbindungen 169

T

Tabellenänderung aufzeichnen 70Tarifierung 275technische How-to Guides 206Teilvorgang 36, 39

Financial Reporting 175General Ledger 175zu Organisation zuordnen 42zuordnen 39

Teilvorgangsdesign 49Terminierung 33, 58, 60Testautomatisierung 51Toleranzwerte 58Trade Finance Services 282Trade Preference Management 278Transaktion 112

zuordnen 123transparente Informationen 209Transparenz 208Transportauftrag 95

U

überfällige Beurteilungen 240Überwachung 33, 63

von Aktivitäten 209von Kontrollen 56

Überwachungseinplaner 33Umfrage 31, 47, 48, 50, 52, 261Umfragekategorie 48Umwelt-, Gesundheits- und Arbeits-

schutz 285, 286Umweltschutz 289Umweltschutzauflagen 292Universal Description, Discovery, and

Integration 95

unternehemensinterne Sanktionslisten 269

Unternehmensrollenverwaltung 105Unternehmensstrategie 208unternehmensweit gültige Stammda-

ten 37unternehmensweite Risikoidentifizie-

rung 209unterstützte Sprachen 85URL-Links 36Ursache zurückverfolgen 237Ursprungsnachweis 280

V

Validierung 93, 255Validierungskennzeichen 254Verantwortliche für die Kontrolle 45Verbindungsleerlauf 165Vergleiche 145Vertreter 35Vieraugenprinzip 139Virsa Access Enforcer 105, 107Virsa Compliance Calibrator 105Virsa FireFighter 74, 105, 108, 135,

138Virsa Role Expert 106, 170Visualisierung und Reporting 301vollständige Übersicht 208Vorfall dokumentieren 232Vorgangshäufigkeit 51

W

Wahrscheinlichkeitsstufen 248Wahrscheinlichkeitsstufenmatrix 248Wareneinfuhr 265Warnmeldung 209Warnmeldungen auslösen 231Webdienst-Workerthreads 164Webservice 102, 205Work Inbox 228Workflow 74, 101, 133, 167

Genehmigungskriterien 181Workflowaktivierung 257Workflow-Aufgabe 53, 55


316

Index

Workflow-Funktionen 216, 228, 256, 260

Workflow-Initiatoranlegen 190

Workflow-Muster 74, 258Workflow-Pfad

anlegen 195Details 196einrichten 196

Workflow-Stufenanlegen 191

Wurzelorganisationseinheit 243

Z

Zahlung vorbereiten 110Zeitrahmen 247Zeitüberschreitung 165zentrale Benutzerverwaltung 187,

205zentrale Berechtigungsvergabe 187zentrale Vorgangshierarchie 31

zentraler Prozesskatalog 36zentrales Frühwarnsystem 233zentralisiertes Risiko-Reporting 213Zertifizierung 33Zielattribute 244Zollabfertigung 265Zolldokumente 276Zollmanagement 266, 273Zollpräferenz 277Zollwertermittlung 275Zugangskontrolle für privilegierte

Benutzer 197Zugriffsberechtigung

Einschränkung 117Entzug 117Reduzierung des Risikos 116

Zuordnung der Kontrollregel 32, 60Zuordnung von Regeln zu ausgewähl-

ten Kontrollen 32Zuordnungsmethode 40, 42

kopieren 41ohne Kontrollen 41Referenz 41


Documents

Governance, Risk und Compliance mit SAP · 2018-03-26 · SAP GRC Access Control bietet eine umfassende Funktionalität, um sicherzustellen, dass die einzelne n Anwender innerhalb