Das SAP®-Berechtigungskonzept

„Berechtigungsmanagement und ein durchdachtes Berechtigungskonzept sind über alle Prozesse hinweg Basis eines effizienten und effektiven Kontrollsystems. In einem voll integrierten SAP System laufen beinahe alle Transaktionen und Geschäftsfälle über SAP und ein Großteil der kritischen Unternehmensdaten kann somit aus dem SAP System gezogen werden. Die offensichtlichen Vorteile gehen auch mit Risiken einher, welche durch ein entsprechend ausgestaltetes Berechtigungskonzept beherrschbar werden. In diesem Seminar erfahren Sie neben den Grundlagen des SAP Berechtigungskonzeptes die wichtigsten Aspekte zum laufenden Schutz des SAP Systems sowie Tipps und Tricks aus der Praxis.“

Mag. (FH) Daniela Eichinger-Rainer, MSc, Senior Manager, Risk Assurance Services bei PwC Österreich

Begrüßung, Erwartungen und Überblick

Einführung – Auswirkung von Berechtigungen auf das IKS

• Grundkonzepte eines wirksamen Internen Kontrollsystems
• Grundverständnis & Zusammenhänge für die Auswirkung  von SAP-Berechtigungen auf das Interne Kontrollsystem
   

Aufbau von Berechtigungen in SAP

• Komponenten des SAP Berechtigungskonzeptes
• 3 Schichtenmodell
• Ablauf der Berechtigungsprüfung in SAP
• Relevante Systemprofilparameter in der RSPARAM
   

Erstellen von Rollen und Profilen in SAP

• Verstehen des Zusammenhangs zwischen Rollen und Profilen in SAP
• Umgang mit kritischen Profilen
• Anwendung des Profilgenerators
• Berechtigungsobjektpflege   
• Berechtigungsgruppen   

 
Rollen- und Benutzermanagement in SAP

• Berechtigungsvergabeprozess
• Management von Rollenänderungen
• Anlage eines Benutzers und Zuweisung von Rollen
• Wichtige Tabellen im Berechtigungsmanagement
• Dokumentation des Berechtigungskonzeptes
   

Spezialthemen im Berechtigungsmanagement

• Organisatorische Differenzierung – abgeleitete Rollen
• Rollen im SAP HCM – Spezifische Anforderungen und Besonderheiten
• Überblick Zentrale Benutzerverwaltung (ZBV)
• Absicherung von kundenindividuellen Programmen und Tabellen

Notfalluserkonzept („Firefighter“) und kritische Adminberechtigungen

• Darstellung und Vorgaben eines Notfalluserkonzeptes
• Überblick über kritische Administrationsberechtigungen
• Berechtigungen für "Externe" (u.a. Berater, Prüfer)

Prüfung und Analyse des bestehenden Berechtigungskonzeptes

• Analysemöglichkeiten im SAP System (u.a. Anwendung der SUIM, SU53, relevante Reports)
• Erweitertes Testen
  • Generische User (Risiken und mögliche Kontrollen)
  • Funktionstrennungsaspekte prüfen
  • Diverse Benutzerauswertungen durchführen
  • Laufende Kontrolle des Berechtigungskonzeptes
• Berechtigungsprüfung außerhalb von SAP
  • Detail-Berechtigungsanalysen mithilfe von Tools
  • Tools am Markt & Demonstration eines Berechtigungsprüftools in der Praxis

Durchführung eines Berechtigungsprojektes

• Reorganisation vs. Neueinführung
• Standards, Verantwortlichkeiten und Dokumentation
• Projektphasen und Hilfsmittel

Auswirkungen von S/4 HANA auf das Berechtigungskonzept

• Überblick über wesentliche Änderungen
  • 3-Schichten-Modell
  • HANA-Transaktionen
  • FIORI
• Aufbau des Berechtigungskonzeptes in S/4 HANA