Centric connect.engage.succeed

Berechtigungen

Im Rahmen von SOX und Compliance und der immer komplexer werdenden Anwendungen, rückt das Thema Berechtigungen und Sicherheit immer mehr in den Vordergrund der Unternehmen. Gerade Unternehmen welche sukzessiv ESS/MSS Szenarien oder die GRC-Lösung der SAP einsetzen, stehen vor der Herausforderung, die komplementären und ergänzenden Berechtigungen und Rollen, unter Berücksichtigung der Datenschutzauflagen, wirkungsvoll und handhabbar anzupassen.

BerechtigungenHäufig wird die Aufgabe unterschätzt und es werden nur augenscheinliche Anpassungen vorgenommen. Erst im laufenden Betrieb stellt sich nach einiger Zeit heraus, dass Sicherheitslücken bestehen. Nicht selten sind Daten für Unbefugte bereits verfügbar, ohne dass die Verantwortlichen davon Kenntnis haben. Neben rechtlichen Aspekten der Haftung,  kann auch gerade im HCM Bereich der betriebliche Frieden schnell in Gefahr geraten.

Die Erfahrung hat gezeigt, dass Konzepte zukunftssicher geplant und realisiert werden müssen,  unter dem Aspekt,  dass Erweiterungen des Konzepts praktikabel und schnell umsetzbar sind. Außerdem müssen Administratoren frühzeitig in die Konzeptionierung eingebunden werden,  um den laufenden Betrieb gegenwärtig und für die Zukunft sicher zu stellen.

Vorgehensweise bei bestehenden Berechtigungskonzepten:

Analyse

Die Analyse des SAP HCM Systems wird in der Regel mit Standard Tools durchgeführt. Es werden Rollenmenüs sowie Berechtigungsobjekte wie  S_TCODE, P_ORGIN und P_ORGINCON genauer analysiert. Im Fall, dass das  Berechtigungsobjekt P_ORGINCON genutzt wird, müssen zusätzlich noch das Organisationsmanagement und die kontextbezogenen strukturellen Profile mit einbezogen werden, um ein entsprechendes Gesamtbild der Berechtigungen eines Unternehmens zu erhalten.

Konzeption

Bei der Erstellung eines neuen HCM Berechtigungskonzepts gibt es Aspekte,  die speziell betrachtet werden müssen. Gerade bei der Einführung von ESS/MSS Szenarien muss neben der Analyse der bestehenden Berechtigungen auch das Organisationsmanagement sowie personelle Sachverhalte mit berücksichtigt werden. Zudem sind Vertretungsregelungen von Seiten des Unternehmens zu formulieren und einzuarbeiten.

Umsetzung

Die Umsetzung beginnt mit dem Aufbau von neuen Rollen oder mit Anpassungen von bestehenden Rollen. Aus Sicht der Revision macht es Sinn, neue Rollen aufzubauen und den alten Stand von Rollen/User Zuordnungen zu archivieren. Bei der Einführung von z. B. kontextbezogenen Berechtigungen müssen nicht nur neue Rollen erstellt, sondern auch Schalter geändert werden. Dieses Umstellen und Umschalten muss zum Ende des Projektes terminiert werden (GoLive).

Test und Notfallszenario

Ein Test durch die Anwender der Fachabteilung des Systems ist zwingend notwendig. Hierzu werden Testszenarien und Fragestellungen gemeinsam erarbeitet.  Im Test werden Berechtigungen im „positiven“ als auch im „negativen“ Sinne geprüft. Neben dem Test eines neuen Berechtigungskonzepts, muss auch ein Notfallszenario geplant werden.

Dokumentation

Das neu erstellte Konzept mit den entsprechenden Philosophien stellt einen ersten Teil der Dokumentation dar. Zusätzlich müssen die Funktionsbausteine und die Abschlusstests dokumentiert sein. Dadurch entsteht ein umfassendes Nachschlagewerk, welches laufend ergänzt werden kann.