Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Bonn � Boston
Sabine Schöler, Olaf Zink
Governance, Risk und Compliance mit SAP®
1140.book Seite 3 Sonntag, 8. Juni 2008 3:16 15
Auf einen Blick
1 Übersicht über die SAP-Lösungen für Governance, Risk und Compliance ......................... 15
2 SAP GRC Process Control ....................................... 27
3 SAP GRC Access Control ........................................ 105
4 SAP GRC Risk Management ................................... 207
5 SAP GRC Global Trade Services – ein Überblick ..... 265
6 SAP Environment, Health & Safety – ein Überblick .......................................................... 285
7 Ausblick und Produktroadmap ............................... 297
1140.book Seite 5 Sonntag, 8. Juni 2008 3:16 15
7
Inhalt
Einleitung ................................................................................ 11
1 Übersicht über die SAP-Lösungen für Governance, Risk und Compliance ........................... 15
1.1 Das Beispielunternehmen ....................................... 151.2 Motivation und Zielsetzung des GRC-Projekts ......... 17
2 SAP GRC Process Control ......................................... 27
2.1 Ziele von SAP GRC Process Control ......................... 282.2 SAP GRC Process Control – Anwendung ................. 30
2.2.1 Organisationsaufbau ................................... 352.2.2 Prozesse auf Organisationsebene
zuordnen .................................................... 392.2.3 Personen zu Rollen zuordnen ..................... 432.2.4 Umfrage erstellen und planen ..................... 472.2.5 Kontrolldesign-Beurteilung durchführen ..... 532.2.6 Automatische Tests .................................... 562.2.7 Analyse-Dashboard und Berichte ................ 63
2.3 SAP GRC Process Control – Systemkonfiguration ..... 692.3.1 Rollen bearbeiten ....................................... 712.3.2 Workflow ................................................... 742.3.3 Strukturaufbau ........................................... 852.3.4 Automatisches Testen und Überwachen ..... 932.3.5 Reporting ................................................... 96
3 SAP GRC Access Control ......................................... 105
3.1 Überblick über SAP GRC Access Control ................. 1053.1.1 Access Risk Analysis and Remediation ........ 1063.1.2 Enterprise Role Management
(Virsa Role Expert) ...................................... 1063.1.3 Compliant User Provisioning
(Virsa Access Enforcer) ................................ 1073.1.4 Superuser Privilege Management
(Virsa FireFighter) ....................................... 108
1140.book Seite 7 Sonntag, 8. Juni 2008 3:16 15
Inhalt
8
3.1.5 Zusammenfassung ....................................... 1083.2 Initiale Analyse und Bereinigung der
Berechtigungsprofile ................................................ 1103.2.1 Identifizierung des Risikos ........................... 1103.2.2 Bereinigung der Berechtigungsprofile .......... 1153.2.3 Vorbereiten von Audits ............................... 1193.2.4 Regelarchitekt ............................................. 119
3.3 Rollendefinition und Rollenmanagement ................. 1213.3.1 Rollendefinition .......................................... 1223.3.2 Zuordnung von Transaktionen und
Berechtigungen zur Rolle ............................ 1233.3.3 Durchführung der Risikoanalyse .................. 1243.3.4 Aktivitäten zur Risikovermeidung ............... 1253.3.5 Rollenableitung ........................................... 1263.3.6 Genehmigung der Rolle ............................... 1273.3.7 Generierung der Rolle ................................. 1293.3.8 Massenpflege .............................................. 129
3.4 Konforme Benutzererstellung .................................. 1303.4.1 Self-Service-Berechtigungszugriff
anfordern ................................................... 1313.4.2 Zuordnen von Rollen ................................... 1323.4.3 Durchführung der Risikoanalyse und
Antragsgenehmigung .................................. 1333.4.4 Enterprise Application Systems .................... 1353.4.5 Speicherung der Antragshistorie .................. 135
3.5 Superuser-Berechtigungsverwaltung ........................ 1353.6 SAP GRC Access Control – Anwendung und
Konfiguration ......................................................... 1403.6.1 Anwendung und Konfiguration von
Risk Analysis and Remediation .................... 1403.6.2 Überblick über die Konfiguration des
Anwendungsbereichs Enterprise Role Management (Virsa Role Expert) ................. 170
3.6.3 Konfiguration des Anwendungsbereichs Compliant User Provisioning ....................... 184
3.6.4 Konfiguration des Anwendungsbereichs Superuser Privilege Management ............... 197
3.6.5 Überblick über die Softwarearchitektur ...... 2033.6.6 Technische How-to Guides .......................... 206
1140.book Seite 8 Sonntag, 8. Juni 2008 3:16 15
Inhalt
9
4 SAP GRC Risk Management ..................................... 207
4.1 Ziele von SAP GRC Risk Management ..................... 2084.2 Geschäftsprozesse im Risikomanagement ................ 209
4.2.1 Risikoplanung – unternehmensweiter Risikosteuerungsansatz ............................... 210
4.2.2 Risikoidentifikation und -analyse ................ 2114.2.3 Risikomaßnahmen ...................................... 2124.2.4 Risiko-Monitoring ...................................... 213
4.3 Benutzerrollen ........................................................ 2144.4 SAP GRC Risk Management – Anwendung .............. 216
4.4.1 Risikomanagementmenü ............................ 2164.4.2 Organisationseinheit ................................... 2184.4.3 Aktivitäten und Risikokataloge ................... 2224.4.4 Risiko- und Aktivitätendokumentation ....... 2254.4.5 Risikoanalyse mit und ohne Maßnahme ...... 2334.4.6 Risiko-Monitoring ...................................... 236
4.5 SAP GRC Risk Management – System-konfiguration .......................................................... 2394.5.1 Transportverbindung einrichten .................. 2404.5.2 Einstiegsknoten anlegen ............................. 2424.5.3 POWL konfigurieren ................................... 2444.5.4 Schadensereignisdatenbank ........................ 2534.5.5 Workflowaktivierung .................................. 256
5 SAP GRC Global Trade Services – ein Überblick ...... 265
5.1 Ziele von SAP GRC Global Trade Services ................ 2655.2 SAP Compliance Management
(gesetzliche Kontrolle) ............................................ 2665.2.1 Prüfung der Sanktionslisten ........................ 2675.2.2 Import-/Exportkontrolle ............................. 270
5.3 SAP Customs Management (Zollmanagement) ........ 2735.4 Ausschöpfen von monetären Vergünstigungen
und Einschränkung von monetären Risiken ............. 2775.4.1 Trade Preference Management
(Präferenzkalkulation) ................................. 2785.4.2 Restitution Management (Einfuhr- und
Ausfuhrerstattung) ..................................... 2805.4.3 Trade Finance Services
(Dokumentengeschäftsabwicklung) ............. 282
1140.book Seite 9 Sonntag, 8. Juni 2008 3:16 15
Inhalt
10
6 SAP Environment, Health & Safety – ein Überblick ........................................................... 285
6.1 Ziele von SAP Environment, Health & Safety ............ 2856.2 Chemikaliensicherheit ............................................. 2866.3 Umwelt-, Gesundheits- und Arbeitsschutz ............... 2896.4 Einhaltung von produktbezogenen Umwelt-
schutzauflagen ........................................................ 2926.5 Compliance- und Emissionsmanagement ................ 293
7 Ausblick und Produktroadmap ................................ 297
7.1 Überblick 2008 und 2009 ........................................ 2977.1.1 SAP Ramp-Up – der Markteinführungs-
prozess für SAP-Lösungen ........................... 2977.1.2 SAP-Lösungen für Governance, Risk und
Compliance – Status und Roadmap ............. 2997.2 Strategischer Ausblick nach der Integration
mit Business Objects in SAP .................................... 3017.2.1 Business Performance Optimization
Applications ................................................ 3027.2.2 Business Intelligence Platform ..................... 303
Die Autoren ............................................................................. 305
Index ........................................................................................ 307
1140.book Seite 10 Sonntag, 8. Juni 2008 3:16 15
105
Doppelte Sicherheit schadet nicht. – Deux sûretés valent mieux qu’une. (Cahier)
3 SAP GRC Access Control
SAP GRC Access Control bietet eine umfassende Funktionalität, umsicherzustellen, dass die einzelnen Anwender innerhalb eines Unter-nehmens nur die Berechtigungen erhalten, die für ihre tägliche Arbeiterforderlich sind. Alle damit einhergehenden Risiken werden aufge-deckt und die getroffenen Maßnahmen zur Risikovermeidung verwal-tet. Dieses Kapitel beschreibt im Detail die wesentlichen Anwen-dungsszenarien. Anschließend werden umfassend die Berichtsmög-lichkeiten und die Konfigurationsschritte dargestellt.
3.1 Überblick über SAP GRC Access Control
Wie kann schrittweise eine lückenlose Compliance hinsichtlich dernotwendigen Gewaltentrennung in einem Unternehmen erreichtwerden? Wie kann Missbrauch von Benutzerrechten entdeckt undzukünftig vermieden werden? Wie kann man sicher Verstößengegen die Funktionstrennung auf die Spur kommen? Der Einsatz vonSAP GRC Access Control ist die Antwort auf diese Fragen und damitdie Lösung für die Zugriffs- und Berechtigungssteuerung in einemUnternehmen. SAP GRC Access Control umfasst folgende vierAnwendungsbereiche:
� Risk Analysis and RemediationRisikoanalyse und -eliminierung (Virsa Compliance Calibrator)
� Enterprise Role ManagementUnternehmensrollenverwaltung (Virsa Role Expert)
� Compliant User ProvisioningKonforme Benutzererstellung (Virsa Access Enforcer)
� Superuser Privilege ManagementSuperuser-Berechtigungsverwaltung (Virsa FireFighter)
1140.book Seite 105 Sonntag, 8. Juni 2008 3:16 15
106
SAP GRC Access Control 3
3.1.1 Access Risk Analysis and Remediation
Analyse der Datender Anwender
Im Anwendungsbereich Access Risk Analysis and Remediation wirdin Echtzeit die Einhaltung von Vorgaben, die die Funktionstrennungim Unternehmen betreffen, unterstützt. Es soll verhindert werden,dass Sicherheitskontrollen verletzt werden. Dabei werden zunächstdie Berechtigungsvergaben in den angeschlossenen ERP-Systemengelesen und anschließend analysiert. Die Risiken werden bewertet,die Ursache wird aufgedeckt und damit den Anwendern ermöglicht,das Problem zu lösen.
Einhaltung vonFunktionstrennun-
gen
Bei der Bewertung der ausgelesenen Berechtigungsvergaben wirdein Regelwerk von Funktionstrennungen zugrunde gelegt. So wirdes z.B. als hohes Risiko gewertet, wenn ein und derselbe Mitarbeitereinen Lieferantenstammsatz anlegen, eine Bestellung auslösen undnach Rechnungseingang die Zahlung anstoßen kann. Durch dieseumfassende Berechtigung hat der Mitarbeiter die Möglichkeit, einenfiktiven Lieferanten zu erfinden und mithilfe von regulärenGeschäftsbuchungen Firmengelder auf ein Konto zu überweisen.Dadurch wird es einem Mitarbeiter mit krimineller Energie sehrleicht gemacht, die Firma zu betrügen.
Unternehmens-weites Manage-
ment von Risiken
Mithilfe von SAP GRC Access Control können unternehmensweit dieVerletzungen von Funktionstrennungen entdeckt, bewertet undbehoben werden. Dabei können neben SAP ERP-Systemen auchAnwendungen von Oracle, PeopleSoft, JD Edwards und Hyperionuntersucht werden.
3.1.2 Enterprise Role Management (Virsa Role Expert)
SAP GRC Access Control unterstützt Sie bereits beim Design der Rol-len im Unternehmen. Der standardisierten und zentralisierten Design-phase der Rollen folgen die Test- und die Wartungsphase. Rollen fürfolgende Geschäftsprozesse in SAP werden durch SAP GRC AccessControl abgedeckt:
� Human Resources
� Procure to Pay
� Order to Cash
� Finance (General Accounting, Project Systems, Fixed Assets)
� Basis, Security and System Administration
1140.book Seite 106 Sonntag, 8. Juni 2008 3:16 15
107
Überblick über SAP GRC Access Control 3.1
� Materials Management
� Advanced Planning and Optimization
� Supplier Relationship Management
� Customer Relationship Management
Definition von auditierbaren Rollen
Mithilfe von SAP GRC Access Control haben Sie die Möglichkeit, dieVerantwortung für die Rollendefinition den Geschäftsbereichenzuzuordnen. Die Rollenverantwortlichen legen dann fest, welcheTätigkeiten und Einschränkungen für die Rolle gültig sind. Die Rol-lenverantwortlichen sind somit dann auch in der Pflicht, die Geneh-migungsprozesse für eine Rolle anzustoßen und mithilfe von SAPGRC Access Control die Historie bei Rollenänderungen abzulegen.Als weitere Hilfsmöglichkeit können die Rollenverantwortlichen sichanzeigen lassen, in welchen Rollen eine bestimmte Transaktion (z.B.Anstoßen des Zahlungslaufs) zugeordnet wurde. Darüber hinaussind Vergleiche zwischen unterschiedlichen Rollen möglich.
3.1.3 Compliant User Provisioning (Virsa Access Enforcer)
Wie sich Stellen und Verantwortlichkeiten im Unternehmen ändern,so muss auch die damit einhergehende Änderung von Systemberech-tigungen organisiert werden. Es werden neue Mitarbeiter einge-stellt, andere verlassen das Unternehmen. Es werden Verantwor-tungsbereiche neu definiert oder anders verteilt. SAP GRC AccessControl unterstützt Sie mit dem Funktionsbereich Compliant UserProvisioning (Virsa Access Enforcer) dabei, den Ablauf der Berechti-gungsvergabe und -änderung zu erleichtern und gleichzeitig eineVerletzung von möglichen Funktionstrennungen zu verhindern.
Automatischer Workflow zur Genehmigung
Falls sich eine Stelle ändert und dadurch auch umfangreichere Sys-temzugriffe notwendig sind, stellt der Mitarbeiter diese Anforde-rung selbst, indem er durch SAP Access Control das notwendige Pro-fil beantragt. Die Beantragung löst einen Workflow aus, mit dessenHilfe dem Manager des Mitarbeiters dieser Änderungsantrag zurGenehmigung vorgelegt wird.
Integration mit SAP ERP HCM
Darüber hinaus besteht die Möglichkeit, über eine Schnittstelle (HRReal Time Agent) SAP Access Control mit SAP ERP HCM zu verbin-den. Änderungen im Mitarbeiterstammsatz werden in der SAP-Anwendung HCM (Human Capital Management) durch so genannteInfotypen verwaltet. Durch sie ist zu erkennen, ob ein Mitarbeiter
1140.book Seite 107 Sonntag, 8. Juni 2008 3:16 15
108
SAP GRC Access Control 3
die Firma verlässt, die Firma betritt oder ob sein Stellenprofil sichändert. Ebenso ist in dem Mitarbeiterstammsatz der zuständigeManager verzeichnet. Durch die Schnittstelle können diese HR-bezo-genen Informationen an SAP Access Control weitergegeben undautomatisch die von der Mitarbeiteränderung betroffenen Managerbenachrichtigt werden. Die Benachrichtigung erfolgt in Form vonAktionen, die den Managern oder den Mitarbeitern selbst zugeord-net werden. Über den Einsatzbereich der Aktionen erfahren Sie imweiteren Verlauf dieses Kapitels mehr.
Nach der Beantragung der erforderlichen Berechtigungsänderungwird die mögliche Auswirkung simuliert. Es wird geprüft, ob aufge-stellte Regeln der Funktionstrennung verletzt würden, falls derAntrag genehmigt wird.
Durch SAP Access Control wird der Anwender in die Lage versetzt,selbst – ohne sich im Detail mit den technischen Feinheiten ausein-anderzusetzen – die erforderlichen Berechtigungsprofile zu beantra-gen. Der Manager des Mitarbeiters kann die Genehmigung erteilen,nachdem er durch eine Simulation das Risiko der Änderung beurteilthat. Damit ist die IT-Abteilung entlastet und muss nicht länger kom-plexe technische Details der Berechtigungsprofile mit den Verant-wortlichen der Geschäftseinheiten erörtern.
3.1.4 Superuser Privilege Management (Virsa FireFighter)
Berechtigungsver-gabe im Notfall
In Notfällen besteht durch GRC Access Control die Möglichkeit, End-benutzern mehr Berechtigungen zuzuweisen, als sie im Normalfallbei ihrer täglichen Arbeit benötigen. Dies geschieht durch die Vorbe-reitung einer Feuerwehr-Benutzerkennung, die im Notfall zeitlichbegrenzt dem Benutzer zugeordnet wird.
Alle Tätigkeiten, die der Benutzer unter der Benutzerkennung des»Superusers« durchführt, werden aufgezeichnet und im Nachganggenau überwacht und ausgewertet.
3.1.5 Zusammenfassung
Risk Analysis andRemediation
Abbildung 3.1 gibt einen Überblick über SAP Access Control. DerAnwendungsbereich Risk Analysis and Remediation kommt zum Tra-gen, wenn erstmalig nach Implementierung von SAP GRC AccessControl die existierende Berechtigungsvergabe analysiert wird. Auch
1140.book Seite 108 Sonntag, 8. Juni 2008 3:16 15
109
Überblick über SAP GRC Access Control 3.1
periodische Prüfungen der Funktionstrennung werden mithilfe desAnwendungsbereichs Risk Analysis and Remediation durchgeführt.
Abbildung 3.1 Übersicht SAP GRC Access Control
Um auf tägliche Änderungsanforderungen an Berechtigungen sicherund risikoarm reagieren zu können, kommen die weiteren Anwen-dungsbereiche von SAP GRC Access Control zum Einsatz.
Enterprise Role Management
Mithilfe von Enterprise Role Management (Virsa Role Expert) wirdbereits beim Design der Rollen darauf geachtet, dass die notwendigeFunktionstrennung eingehalten wird.
Compliant User Provisioning
Werden zusätzliche Berechtigungsprofile zu einem Benutzerprofilangefordert, besteht die Gefahr, dass der einzelne Benutzer durchdiese Zusatzvergabe von Berechtigungen aus Sicht der Funktions-trennung zu umfangreiche Berechtigungen enthält. Durch CompliantUser Provisioning (Virsa Access Enforcer) tritt diese Situation niemalsein, da vor der endgültigen Genehmigung die Änderung auf mögli-che Risiken geprüft wird.
Superuser Privi-lege Management
In Ausnahmefällen ist es erforderlich, dass Anwender Notfallrepara-turen durchführen müssen. Dieser Ausnahmefall wird mithilfe desAnwendungsbereichs Superuser Privilege Management (Virsa Fire-Fighter) abgebildet.
SAP GRC Access Control
Initiale Analyse und Bereinigung der Berechtigungsprofile
Bewältigung der Anforderungen an Berechtigungen im Tagesgeschäft
Durchführung periodischer Audits
� Enterprise Role Management (Role Expert) � Design
� Compliant User Provisioning (Access Enforcer) � Änderung
� Superuser Privilege Management (Fire Fighter) � Ausnahme
� Risk Analysis and Remediation (Compliance Calibrator)
� Risk Analysis and Remediation (Compliance Calibrator)
Einhaltung der festgelegten Regeln für Funktionstrennung
1140.book Seite 109 Sonntag, 8. Juni 2008 3:16 15
110
SAP GRC Access Control 3
SAP GRC Access Control liefert einen umfassenden, unternehmens-übergreifenden Satz von Zugriffskontrollen, der eine unternehmens-weite und abgestimmte Rollendefinition ermöglicht und eine kor-rekte Durchführung und Überwachung der Funktionstrennungerlaubt. Darüber hinaus stellt SAP GRC Access Control ein unterneh-mensweites Management hinsichtlich der Rollendefinition, der Rol-lenbereitstellung und Funktionen für privilegierte »Superuser« zurVerfügung.
3.2 Initiale Analyse und Bereinigung der Berechtigungsprofile
Nach der erfolgreichen Implementierung von SAP GRC Access Con-trol bei der Firma EWP analysieren wir zunächst die Berechtigungs-vergaben in den Anwendungen und IT-Systemen. Die Zielsetzungist, mögliche Fehler in der Berechtigungsvergabe und daraus resul-tierende Gefahren für das Unternehmen aufzudecken.
3.2.1 Identifizierung des Risikos
Ausgangspunkt für die Bestandsaufnahme ist der Managementüber-blick über die Berechtigungszuordnungen, die gegen die Regeln derFunktionstrennung verstoßen (SoD – Segregation of Duties). Funkti-onstrennung bedeutet, dass Funktionen in einem Unternehmen aufmehrere Mitarbeiter verteilt werden. Über den Funktionspfad Aus-
kunft � Managementansicht � Risikoverletzungen erhalten Sie dieAnalyseergebnisse. Die Analyseergebnisse in Abbildung 3.2 zeigen,dass 59 Benutzer analysiert wurden. Das Ergebnis dieser Analysesind 233 Fälle, bei denen die Regeln der Funktionstrennung verletztwurden.
Management-übersicht
Die Managementübersicht gibt auch Auskunft darüber, wie sich dieidentifizierten Risiken auf die verschiedenen Geschäftsprozesse ver-teilen. So sind z.B. im Prozess Zahlung vorbereiten – Procure toPay – 67 Risiken identifiziert wurden.
Durch einen Doppelklick auf die Unterschrift der Säule PR (Procureto Pay) im rechten unteren Bildteil erhalten Sie die Liste der Risiken,die für den Geschäftsprozess Zahlung vorbereiten identifiziertworden sind.
1140.book Seite 110 Sonntag, 8. Juni 2008 3:16 15
111
Initiale Analyse und Bereinigung der Berechtigungsprofile 3.2
Abbildung 3.2 Managementübersicht der identifizierten Risiken
Die Zahlen in der rechten Spalte (siehe Abbildung 3.3) geben an, wieoft die jeweiligen Risiken gefunden worden sind. In diesem Fall sinddie Risiken bei jeweils einem Anwender identifiziert worden.
Abbildung 3.3 Übersicht der Risiken für den Geschäftsprozess »Zahlung vorbereiten«
Zur weiteren Analyse ist jedoch von Interesse, was sich genau hinterden Risiken verbirgt. Das Risiko P003 gibt an, dass der Anwender fik-tive Lieferantenrechnungen anlegen und auch dafür die Zahlung frei-
1140.book Seite 111 Sonntag, 8. Juni 2008 3:16 15
112
SAP GRC Access Control 3
geben kann. Mit Doppelklick auf die Risikokennung P003 öffnet sichdas Fenster Risikoinformation (siehe Abbildung 3.4).
Kritische Funk-tionskombination
Die Risikoinformation gibt Auskunft darüber, welche kritische Kom-bination an Funktionen der Anwender ausführen kann. In dem auf-geführten Fall sind dies AP01 (Zahlungen Kreditorenbuchhal-
tung) und AP02 (Bearbeiten von Lieferantenrechnungen). Damitwird die Regel der Funktionstrennung verletzt, da ein Anwender nureine Geschäftsfunktion ausüben sollte.
Abbildung 3.4 Risikoinformation
Auf Basis der Risikoinformation können Sie auf betriebswirtschaftli-cher Ebene die Funktionskonflikte ablesen. Es ist für die Analysenicht erforderlich, dass die technischen Details des Berechtigungs-konzepts bekannt sind.
Katalog vonFunktionen
SAP GRC Access Control verfügt über einen Katalog von Funktionen,der die Gesamtheit der Geschäftsprozesse eines Unternehmensabbildet. Über die Funktionen werden Transaktionen und Berechti-gungsobjekte gebündelt. Die Bündelung erfolgt so, dass bei derZuordnung einer Funktion zu einem Anwender die Regeln der Funk-tionstrennung eingehalten werden.
Falls Sie überprüfen möchten, welche Transaktionen der FunktionBearbeiten von Lieferantenrechnungen zugeordnet sind, klickenSie mit einem doppelt auf die Funktion AP02 (Bearbeiten von Liefe-
rantenrechnungen).
Für die gewählte Funktion AP01 sind 37 Transaktionen zugeordnet(siehe Abbildung 3.5). Hinter diesen Transaktionen sind entspre-chende Berechtigungsobjekte hinterlegt (siehe Abbildung 3.6).
1140.book Seite 112 Sonntag, 8. Juni 2008 3:16 15
113
Initiale Analyse und Bereinigung der Berechtigungsprofile 3.2
Durch Auswahl der Registerkarte Berechtigung gelangen Sie in dieListe der Berechtigungsobjekte.
Abbildung 3.5 Funktionsinformation – Liste der Transaktionen
Abbildung 3.6 Funktionsinformation – Liste der Berechtigungsobjekte
RisikoregelnMit SAP Access Control wird ein Katalog von Risiken, Funktionenund den dazugehörigen Transaktionen und Berechtigungsobjektenausgeliefert. Mögliche Kombinationen von Berechtigungsobjektenund Transaktionen zwischen zwei Funktionen ergeben die Liste der
1140.book Seite 113 Sonntag, 8. Juni 2008 3:16 15
114
SAP GRC Access Control 3
Risikoregeln (siehe Abbildung 3.7). Mit GRC Access Control werdenüber 100.000 Risikoregeln zur Verfügung gestellt, die bei Nichtbe-achtung zu einer Verletzung der Funktionstrennung führen unddamit ein Risiko für die Unternehmen darstellen.
Abbildung 3.7 Architektur der Risikoregeln
Regelarchitekt Mithilfe des Regelarchitekten können Sie im Rahmen der Implemen-tierung die Liste der Risikoregeln erweitern.
Geschäfts-applikationen von
Drittanbietern
Grundsätzlich haben Sie die Möglichkeit, auch ERP-Systeme an GRCSAP Access Control anzubinden, die nicht von SAP sind. Die in SAPGRC Access Control integrierte Datenbasis für Funktionen undRegeln ist dafür ausgerichtet, auch Berechtigungen aus Geschäfts-applikationen zu lesen und zu bewerten, die von Oracle, PeopleSoft,JD Edwards EnterpriseOne oder Hyperion vertrieben werden. Darü-ber hinaus können Sie auch Eigenanwendungen (Legacy-Systeme) anSAP GRC Access Control anbinden. Durch diesen Ansatz ist es mög-lich, unternehmensweit die Einhaltung der erforderlichen Funkti-onstrennungen zu überprüfen und zu verbessern, auch wenn einUnternehmen Geschäftsapplikationen von Drittanbietern betreibt.
Geschäftsfunktion 1
Transaktion 1 + Berechtigung 1
Transaktion 2 + Berechtigung 2
Transaktion n + Berechtigung n
Geschäftsrisiko 1
Geschäftsfunktion 2
Transaktion 3 + Berechtigung 3
Transaktion 4 + Berechtigung 4
Transaktion n + Berechtigung n
Risikoregel 1
Risikoregel 2
Risikoregel n
….
…. ….
Mögliche Kombinationen der Transaktionen und Berechtigungen der Geschäftsfunktionen 1 + 2 bilden die Liste der Risikoregeln
1140.book Seite 114 Sonntag, 8. Juni 2008 3:16 15
115
Initiale Analyse und Bereinigung der Berechtigungsprofile 3.2
3.2.2 Bereinigung der Berechtigungsprofile
Nachdem die Gesamtliste der Verletzungen der Funktionstrennun-gen zur Verfügung gestellt wurde, müssen Sie im Einzelfall prüfen,wie Sie mit dieser Verletzung umgehen.
Gemäß dem identifizierten Risiko P003 hat der Buchhalter AlanGragg so weit reichende Systemberechtigungen, dass er fiktive Liefe-rantenrechnungen anlegen und auch später dafür die Zahlung freige-ben könnte (siehe Abbildung 3.8).
Abbildung 3.8 Benutzeranalyse auf Berechtigungsebene
Über den Menüpfad Auskunft � Risikoanalyse � Benutzerebene
können Sie den Detailbericht zur Benutzeranalyse aufrufen. Selektie-
1140.book Seite 115 Sonntag, 8. Juni 2008 3:16 15
307
Index
A
Abfallentsorgung 289Abfrage 32Abfragesicherheit 246abgelaufene Benutzer ausschließen
163Abonnement 263Abzeichnung 65, 85, 99Abzeichnungsmonitor 33Abzeichnungsprozess 31Access Risk Analysis and Remedia-
tion 105, 106Administrationsprogramme 69, 101Administrator 156, 185
definieren 157Administratorenrechte 156Advanced Planning and Optimization
107, 120Aggregation 97Akkreditiv 282, 283Aktionsregeln 148Aktivität 222, 225Aktivitätenkatalog 216, 222Aktivitätsgruppen 222Aktivitätskategorien 222aktueller Risikostatus 216Alarmmeldung 145, 160Alarmüberwachung 141, 160Alert Monitoring 141Analyse mit Maßnahme 233Analyse ohne Maßnahme 230Analysearbeitsplatz 30, 33, 61, 64, 65Analyseart 58, 59Analytics Dashboard 33, 61Anforderungen der Sektion 404 des
Sarbanes-Oxley Acts 28anmeldepflichtige Transporte 288Antragsformular 131Antragsgenehmigung 133Antragshistorie 135Arbeitseingang 30, 53, 55Arbeitsmedizin 290Arbeitsschutz 289, 290Arbeitsschutzdaten 291Arbeitsvorratstyp 245
Arbeitsvorratstyp-Repository 244, 245
Assertions 31Attribute 69, 72Attributgruppe
anlegen 178anzeigen 177einrichten 177
Audit 119, 135, 138Audit Reports 141, 148Audit und Analyse 34auditierbare Rollen 107Audit-Nachweis 269Auditvorbereitung 119Aufgabennummer 262aufgabenspezifisches Customizing 76,
258Ausfuhrerstattung 277, 281, 282Ausfuhrlizenz 281Ausführungsperiodizität 60Auskunft 140, 141Ausnahmebehandlung 29Außenhandelsvorschriften 265Auswahlverfahren 51Ausweichempfänger 82Auswertungsverzögerung 102Authentifizierung
Konfiguration 188Authentifizierungssystem 188automatische Kontrolle 58, 60automatische Kontrollregeln 61automatische Kontrollüberwachung
56automatische Tests 56, 60, 61, 93automatische Transportverbindung
71automatisches Workflow-Customi-
zing 74, 257automatisierte Kontrolltests 29
B
Bearbeiten von Lieferantenrechnun-gen 112
Bearbeiter zuordnen 258
1140.book Seite 307 Sonntag, 8. Juni 2008 3:16 15
308
Index
Behebungsmaßnahme 29, 56Benachrichtigung 251, 261, 264
Konfiguration 193Benutzeranalyse 115, 142, 143Benutzerdatenquelle
festlegen 188benutzerdefinierte Felder 69, 90Benutzerkennung 137, 202Benutzerkennung für den Notfall
198, 202Benutzerpflege 199Benutzerrollen 214Benutzersynchronisation 164Benutzerzugriff 34, 36Berechtigungsebene 115Berechtigungskonzept 112Berechtigungsobjekt 112Berechtigungsprofil 110
bereinigen 115Berechtigungsvergabe im Notfall 108bereichsübergreifende Prozesse 208Berichte und Analysen 30Berichtspuffer 97Berichtstyp 99Berichtszentrum 34, 63, 66Betriebsanlagen 294Beurteilung 53, 54Beurteilung und Test 69, 90Beurteilungsverantwortlicher 215,
226Bewertung, Überwachung 34Bewertungseinrichtung 31, 56Bewertungsergebnisse 33, 63Boykottlisten 267Buchungskreis 121Business Add-In 90, 97Business Configuration-Sets 70Business Intelligence Platform 301Business Objects 297Business Performance Optimization
Applications 301
C
Case Management 83CFO Cockpit 297CFO-Portfolio 297Chemikaliensicherheit 286COBIT-Framework 29, 61
Compliance 17Compliance Calibrator 96Compliance for Products 293Compliance und Emissionsmanage-
ment 286Compliance-Management 266Compliance-Test 33, 58, 60Compliant User Provisioning 105,
107, 109Integration 158Konfiguration 184
Consolidation 120Control Design Assessment 49Control Monitoring 33Customizing für automatische Tests
32, 60Customs Management 266
D
Dashboard 209, 216, 218Data Integration and Data Quality 301DataSources 99Datenextraktor 170Delegation 34Detailinformation 141Dimensionspflege 254Document Risk 225Dokumentation 288Dokumentationsanforderungen 203Dokumente 36Dokumentengeschäftsabwicklung
282Dokumentenklasse 100Dreipunktanalyse 247Drittanbieter 114, 135, 169Druckberichte 98
E
eigene Aufgaben 33, 63eigene Prozesse 30eigene Startseite 63eigene Workflow-Aufgaben 30Ein-/Ausfuhrgenehmigung 272Einfuhr- und Ausfuhrerstattung 280Eingangs-Web-Service 95eingebettetes Risikomanagement 208
1140.book Seite 308 Sonntag, 8. Juni 2008 3:16 15
309
Index
Einhaltung von produktbezogenen Umweltschutzauflagen 286
einheitliche Plattform 208Einplanung 58, 60Einplanungsfunktion 85Einplanungshäufigkeit 74Einstiegsknoten 242Einstiegsknoten anlegen 243Eintrittswahrscheinlichkeit 230E-Mail 261E-Mail-Server
einrichten 190Embargo 272Embargoprüfungen 267Emissionen 294Emissionsmanagement 293Emissionszertifikate 295Enterprise Application System 135Enterprise Query, Reporting und Ana-
lysis 301Enterprise Role Management 105,
106, 121, 126Initial Setup 170Konfiguration 170
Entitätsebenenkontrollen 30, 36Entity-Level Control Assessment 50ereignisbasierte Überwachung 69,
101Ereigniskopplung aktivieren 76Ereignis-Queue-Administration 76Ereignisstartverknüpfung 79Ereigniszustellung 79Eskalationen 82Eskalationsverfahren 212Etikettenverwaltungsfunktion 288Etikettierung 288Excel-Template 224Expertenmodus 71, 86, 88Extraktor 204
F
Fälle 69Fehlerbehebungsmaßnahmen 33, 63fehlerhafter Workflow 77Feldgruppe 99Feuerwehr-Benutzerkennung �
Berechtigungsvergabe im Notfall
Finance 106, 120Financial Performance Management
301Financials 119FireFighter � Virsa FireFighterFirefight-ID 202Fixed Assets 106, 119Fragenbibliothek 31, 47, 48Fragenkategorien 47Funktion
anlegen 151Funktionsbereich
auswählen 123Funktionsinformation
Liste der Berechtigungsobjekte 113Liste der Transaktionen 113
Funktionstrennung 105, 106, 110
G
Gefahrgutprüfung 289Gefahrstoffe 288Gefahrstoffverwaltung 286Genehmigung
Dokumentation 128Genehmigungsantrag 128, 129, 133Genehmigungskriterien
einrichten 182suchen 181
Genehmigungsprozess 133General Accounting 106, 119Generierung einer Rolle 178Gesamtbeurteilung 97Geschäftsbereich
definieren 157Geschäftsprozess
anlegen 152suchen 153
Geschäftsprozessverantwortlicher 208
gesetzliche Kontrolle 266gesperrte Benutzer ausschließen 163gesperrte Geschäftspartner 268Gesundheitsschutz 289globale Heatmap 29Governance Management 17Governance, Risk and Compliance 15,
301
1140.book Seite 309 Sonntag, 8. Juni 2008 3:16 15
310
Index
GRC Applications Integration Docu-mentation 171
GRC-Reifegradmodell 22Greenlight 204
H
Häufigkeitszeiträume 73Hintergrundjob 77, 78, 203, 258Hintergrundjob-Dämon 167Hintergrund-Spooldatei 168HR Real Time Agent 107HR-System 188, 189HTTP 99, 102HTTP-Verbindung 96Human Capital Management 119Human Resources 106, 120Hyperion 106, 114, 120, 169, 204
I
IBM Tivoli 186Identifizierung der wirksamsten Kon-
trollen 28Identifizierung des Risikos 110Identity-Management-System 205Import-/Exportkontrolle 267, 270Inbox 53Index 84, 96Informer 140initiale Systemdaten 171initialer Daten-Upload 40, 224Instandhaltung 292Instandhaltungs- und Wartungsmaß-
nahmen 292interne Kontrollen 53internes Kontrollsystem 29, 42
J
J2EE-Datenbank 205Java-Stack 203JD Edwards 106, 114, 120, 135, 169,
204Jobmonitor 33
K
Kategorie 261Kategorien definieren 246Kennwort
setzen 202Key-Performance-Indikatoren 213Key-Risk-Indikatoren 209kollaborative Risikomanagementsze-
narien 228Kommunikationsschnittstelle SAPcon-
nect 83kompensierende Kontrollen 148, 166
anlegen 158Überwacher suchen 159
kompensierte BenutzerListe 160
kompensierte Risiken 163Kompensierung 141, 155
Konfiguration 189Kompensierungsüberwacher 155Konfigurationskontrolle 56konforme Benutzererstellung 105,
130Konformität 33, 63Konformitätsdiagramm 240Konformitätsstruktur 30Konnektor 70, 93, 150, 172, 173
anlegen 173Konfiguration 185
Konten 31kontinuierliche Transparenz 210Kontrollautomatisierung 51Kontrollbeurteilungen 66Kontrolldesign 48, 49, 50, 53Kontrolldesign-Beurteilung 92, 93Kontrolldokumentation 28Kontrollenbibliothek 146, 147, 155Kontrollüberwachung 33, 63Kontrollverantwortlicher 46, 54, 55,
64Kontrollwirksamkeit 56Kontrollziele 54Kontrollziele und -risiken 31Konzept der zeitabhängigen Definition
37Kopplung deaktivieren 80Korrekturmaßnahmen 29Kosteneinsparpotenziale 62
1140.book Seite 310 Sonntag, 8. Juni 2008 3:16 15
311
Index
Kreditorenrechnung erfassen 124Kreditorenstamm
löschen 122Kreditorenstammdatenpflege 137Kreditorenstammsatz 125
ändern 122anlegen 122sperren 122
kritische Funktionskombination 112kritische Rollen und Profile 148kritisches Profil 155
L
Laufzeitumgebung 257Laufzeitumgebung pflegen 74LDAP-System 188, 189Legacy-System 114, 169Leistungssteigerung 80Leistungsverbesserung 76Leiter Interne Kontrollen 37, 44, 46,
53, 64, 68, 88Lieferantenrechnung 155Lieferantenstammsatz 124
pflegen 126Lightweight Directory Access Protocol
(LDAP) 186Liste der Kontrollen 156Lizenz 270logischer Port 96lokale Ebene 41, 42lokale Stammdaten 38
M
Managementansicht 141, 142Managementkontrollen 30, 36, 50,
91Managementübersicht 111Mandant 241, 260manuell getestete Kontrollen 31manuelle Testpläne 32manuelle Tests 56, 60Massenpflege 129Maßnahmenart 251Maßnahmenreaktion 250Maßnahmenübersicht 238
Maßnahmenverantwortlicher 215, 234, 235
Master Data Services 301Materials Management 107MDUG 38, 70, 88Microsoft Active Directory 186Mitigate the risk 116Mitigation 155Monitoring-Control-Test 58, 60My Home 216
N
Nachfolger 34, 81Nachhaltigkeitsberichte 294Namenskonventionen
Details 183einrichten 182konfigurieren 182
NetWeaver Business Client 101neuer Zeitraum 85Novell E-Directory 186Nummernkreis 84, 86, 101, 256Nummernkreisintervalle 240NWBC-Einstellungen 69
O
oberste Organisationseinheit 242Objektverantwortlicher 98Offline-Risikoanalyse 165Oracle 106, 114, 120, 135, 169, 204Oracle-Konnektoren 186Order to Cash 106, 119, 120Organisationen 30, 35Organisationseinheit 35, 218Organisationshierarchie 37, 87, 88,
89, 184bearbeiten 36
Organisationsregel 121, 155, 165organisationsspezifische Kontrollen
41Organisationsstruktur 35Organisationsverantwortlicher 64,
219, 243Organisationswertzuordnung 183
1140.book Seite 311 Sonntag, 8. Juni 2008 3:16 15
312
Index
P
PeopleSoft 106, 114, 120, 135, 169, 204
Performanceleistung 84, 96Performanceprobleme 98Personal Object Worklist 82personalisieren 68Personalisierungsmerkmale 244Personen zu Rollen zuordnen 46persönlicher Arbeitsvorrat 82Plan 50, 51, 52Planaktivität 50Planer 32, 60POWL konfigurieren 244Präferenzabwicklung 278Präferenzkalkulation 278Print Reports 217Priorisierung von Folgemaßnahmen
209privilegierte Benutzer � Superuserproaktive Prozesse 208proaktive Transparenz 233proaktive Überwachung 213Problem 55Problembericht 91Problemstatus 67Problemübersicht 65Procure to Pay 106, 110, 119, 120produktbezogene Umweltschutzaufla-
gen 292Produktklassifizierung 270, 271Produktroadmap 297Produktsicherheit 286Produkttarifierung 274Project System 106, 119Protokollerstellung 203Prozesse 39Prüfer 46Prüfung erforderlich 91
Q
qRFC-Monitor 80qualitative Schadenshöhe 235quantitative Risikoanalyse 230Query-Abfragen 32, 60
R
Ramp-Up-Prozess 298Rating 54Reaktionsart 251, 252Reaktionsartenkombinationen 252Reaktionsmaßnahmen 225Real Time Agent 203Reason Code 136Regel 32, 56, 94Regelarchitekt 114, 119, 121, 124,
140, 149, 153Prozesse im Oracle-System 120Prozesse im SAP-System 119Prozesse in Hyperion 120Prozesse in JD Edwards 120Prozesse in Peoplesoft 120
Regeldefinition 56, 58Regelgenerierung 151Regelgruppen 94Regelkonfiguration 32Regelkriterien 32, 57, 58, 59Regelkriterium 58Regeln für automatische Tests 32Regelparameter 57, 58, 59Regelsammlung 146, 150Regelsatz 154
anlegen 154suchen 154
Regelskript 32Remote Function Call 201Remove access from the user 117Report Center 216, 217, 236Restitution Management 280Restrisiko 235Revisor 215Risiko 222, 225
Änderungshistorie 169anlegen 152
Risiko anerkennen 228Risiko- und Aktivitätenkataloge 222Risiko validieren 228Risikoabhängigkeiten 208Risikoanalyse 141, 147, 211, 225,
230, 233, 246durchführen 124, 133Leistungstuning 164Standardbenutzertyp 162Standardberichtstyp 162
1140.book Seite 312 Sonntag, 8. Juni 2008 3:16 15
313
Index
Standardregelsatz 163Standardrisiksostufe 162starten 125Voreinstellungen 163zusätzliche Optionen 166
Risikoanalyse mit Maßnahme 233Risikoanalyse ohne Maßnahmenop-
tion 230Risikoanalyse und -eliminierung 105Risikobehebung 116Risikobereitschaft 209Risikodokumentation 226, 227, 229Risikogruppe 223Risikohierarchie 223Risikoidentifizierung 208, 211Risikoinformation 112, 168Risikokatalog 211, 216Risikokategorie 223Risikokompensierung 133Risikomanager 214, 217, 218, 220Risikomaßnahmen 210, 212, 237Risikomaßnahmenstrategie 251Risiko-Monitoring 210, 213, 236Risikoneigung 211Risikoneubewertung 251Risikoplanung 209, 211Risikopriorität 230, 250Risikoprioritätenmatrix 250, 251Risikoprioritätskennung 250Risikoprofil 208, 209Risikoreaktionen 210, 212, 251Risikoreaktionsmaßnahmen 237Risikoregel 113, 114
Architektur 114Risikoschwelle 220Risikosituation 236Risikostatus 231risikosteuernde Maßnahme 233, 235Risikostufe 230, 248Risikostufenkennung 248Risikostufenmatrix 249Risikovalidierer 215, 226Risikoverantwortlicher 215, 226, 228Risikoverletzungen 143Risikovermeidung 125, 210Risk Analysis and Remediation 140Risk Assessment 216, 217, 225Risk Management 17Risk Structure 216, 217
Rolle 34, 36, 71, 118, 214, 216, 218Administrator 197anlegen 122Aufgaben 34, 36, 43bearbeiten 71Berechtigungen 34Controller 198für Teilvorgang 44genehmigen 127, 178generieren 129kritische 154Notfallbenutzer 198Verantwortlicher 197zuordnen 34, 46, 132, 200
Rollenableitung 126Rollenanalyse 144Rollenattribut 174
bentzerdefinierte Felder 176einrichten 174Funktionsbereich 176Geschäftsprozess 175Projekt/Release 177Teilvorgang 175
rollenbasierte Dashboards 213Rollendefinition 121, 122, 179
Methodik 178Rollendetails 132Rollenebene 44Rollenkatalog 132Rollenkennung 71Rollenkonzept 118Rollenmanagement 121Rollentyp 82Rule Architect 124, 140
S
Sanktionslisten 267Sanktionslistenprüfung 268SAP Business Information Ware-
house 99SAP Corporate Services 292SAP Customer Relationship Manage-
ment 107, 120SAP Customs Management 273SAP Development Network 206SAP Enterprise Asset Management
292
1140.book Seite 313 Sonntag, 8. Juni 2008 3:16 15
314
Index
SAP Environment, Health & Safety 26, 285
SAP Environmental Compliance 293SAP ERP Financials 295SAP ERP Human Capital Manage-
ment 107, 119, 292SAP GRC Access Control 24, 96, 105
Anwendung 140Konfiguration 140
SAP GRC Global Trade Services 26, 265
SAP GRC Process Control 25SAP GRC Risk Management 25
Konfiguration 239SAP NetWeaver 204SAP NetWeaver Business Intelligence
205SAP NetWeaver Identity Manage-
ment 205SAP Product Lifecycle Management
295SAP Supplier Relationship Manage-
ment 107, 120SAP Supply Chain Management 295SAP System Landscape Directory (SLD)
187SAP User Management Engine (UME)
188, 189, 204SAP_ALL 135SAP-Konnektor 186SAP-Standardberichte 32, 60SAP-Standard-Workflow-Funktionali-
tät 29Sarbanes-Oxley Act 43Schadenereignisse 213Schadensereignisdatenbank 253Schadenshöhe 230Schadensstufe 220, 242Schnittstelle 205Schwachstelle 55, 56, 63, 65, 99Schwachstellenbeseitigung 55Schwachstellenverantwortliche 56Schwellenwerte 243Security Report 141, 149Segementtabellenliste 254Segmentdimensionen 253Segmenttabelle 253, 255Segmenttabellenoperationen 255Segregation of Duties � Funktions-
trennung
Sektion 302Sarbanes-Oxley Act 29
Selbsteinschätzungen 31, 49Selektion 261Self Assessment 49Self-Service-Berechtigungszugriff
anfordern 131sequenzielle Abarbeitung der Ereig-
nisse 79Serverleistung 101Shared Objects Memory 89Shared Services Provider 35, 36, 41Sicherheitsdatenblätter 288Sicherheitskonfiguration 195Siebel 169signifikante Abweichung 58signifikante Mängel 55Sign-Off 31, 36, 37, 50, 85, 99Simulation 117
auf Benutzerebene 118Skript 57, 58Skriptkategorie 57Skripttyp 57SLD-Konnektor 187SMTP-Server 190Softwarearchitektur 204Spezifikationsdatenbank 286Stammdateninformation 205Standardabfragen
definieren 245Standardaufgaben 74, 258Standardauswertungsberichte 34Standardunternehmenskennung set-
zen 243Standardvalidierer 256Start der Verbraucher 79Struktur einrichten 86Struktur und Einrichtung 34Strukturaufbau 69Stufenkonfiguration 191Sun Microsystems SunOne 186Superuser 138
Bericht 139Superuser Privilege Management
105, 108, 109, 119, 135, 136, 197Superuser-Privilege-Management-Rol-
len 199Survey-Bibliothek 31, 47, 49Systemadministration 106, 120
1140.book Seite 314 Sonntag, 8. Juni 2008 3:16 15
315
Index
Systemlandschaft 173anlegen 174definieren 172
Systemleistung 68, 89Systemparameter auf Organisations-
ebene 32, 36Systemtyp 57, 93Systemverbindungen 169
T
Tabellenänderung aufzeichnen 70Tarifierung 275technische How-to Guides 206Teilvorgang 36, 39
Financial Reporting 175General Ledger 175zu Organisation zuordnen 42zuordnen 39
Teilvorgangsdesign 49Terminierung 33, 58, 60Testautomatisierung 51Toleranzwerte 58Trade Finance Services 282Trade Preference Management 278Transaktion 112
zuordnen 123transparente Informationen 209Transparenz 208Transportauftrag 95
U
überfällige Beurteilungen 240Überwachung 33, 63
von Aktivitäten 209von Kontrollen 56
Überwachungseinplaner 33Umfrage 31, 47, 48, 50, 52, 261Umfragekategorie 48Umwelt-, Gesundheits- und Arbeits-
schutz 285, 286Umweltschutz 289Umweltschutzauflagen 292Universal Description, Discovery, and
Integration 95
unternehemensinterne Sanktionslisten 269
Unternehmensrollenverwaltung 105Unternehmensstrategie 208unternehmensweit gültige Stammda-
ten 37unternehmensweite Risikoidentifizie-
rung 209unterstützte Sprachen 85URL-Links 36Ursache zurückverfolgen 237Ursprungsnachweis 280
V
Validierung 93, 255Validierungskennzeichen 254Verantwortliche für die Kontrolle 45Verbindungsleerlauf 165Vergleiche 145Vertreter 35Vieraugenprinzip 139Virsa Access Enforcer 105, 107Virsa Compliance Calibrator 105Virsa FireFighter 74, 105, 108, 135,
138Virsa Role Expert 106, 170Visualisierung und Reporting 301vollständige Übersicht 208Vorfall dokumentieren 232Vorgangshäufigkeit 51
W
Wahrscheinlichkeitsstufen 248Wahrscheinlichkeitsstufenmatrix 248Wareneinfuhr 265Warnmeldung 209Warnmeldungen auslösen 231Webdienst-Workerthreads 164Webservice 102, 205Work Inbox 228Workflow 74, 101, 133, 167
Genehmigungskriterien 181Workflowaktivierung 257Workflow-Aufgabe 53, 55
1140.book Seite 315 Sonntag, 8. Juni 2008 3:16 15
316
Index
Workflow-Funktionen 216, 228, 256, 260
Workflow-Initiatoranlegen 190
Workflow-Muster 74, 258Workflow-Pfad
anlegen 195Details 196einrichten 196
Workflow-Stufenanlegen 191
Wurzelorganisationseinheit 243
Z
Zahlung vorbereiten 110Zeitrahmen 247Zeitüberschreitung 165zentrale Benutzerverwaltung 187,
205zentrale Berechtigungsvergabe 187zentrale Vorgangshierarchie 31
zentraler Prozesskatalog 36zentrales Frühwarnsystem 233zentralisiertes Risiko-Reporting 213Zertifizierung 33Zielattribute 244Zollabfertigung 265Zolldokumente 276Zollmanagement 266, 273Zollpräferenz 277Zollwertermittlung 275Zugangskontrolle für privilegierte
Benutzer 197Zugriffsberechtigung
Einschränkung 117Entzug 117Reduzierung des Risikos 116
Zuordnung der Kontrollregel 32, 60Zuordnung von Regeln zu ausgewähl-
ten Kontrollen 32Zuordnungsmethode 40, 42
kopieren 41ohne Kontrollen 41Referenz 41
1140.book Seite 316 Sonntag, 8. Juni 2008 3:16 15