SAP-Systeme sind in vielen Unternehmen das Herzstück der IT-gestützten Geschäftsprozesse. Dabei sind auch die Berechtigungen – also erlaubte Zugriffe auf die Prozesse und auf die IT-seitig gespeicherten Informationen – zu definieren. Daraus ergibt sich, wenn alle Beteiligten und alle Prozesse berücksichtigt sind, ein in vielen Fällen komplexes Berechtigungskonzept.
Berechtigungen sind Compliance-relevant
Dieses muss an den internen und externen Compliance-Anforderungen ausgerichtet werden. SAP-Berechtigungen sind nicht nur ein integraler Bestandteil eines internen Kontrollsystems, sondern helfen auch dabei, die Geschäftsprozesse zu standardisieren und zu steuern. Damit sind sie Prüfungsbestandteil im IT-Audit (Jahresabschlussprüfung, Datenschutz, Security).
Daher initiieren Unternehmen oftmals dann ein Berechtigungsprojekt, wenn ein SAP-Compliance- oder Datenschutzvorfall entdeckt bzw. ein Compliance-Problem von der internen/externen Revision festgestellt wurde und nachhaltig behoben werden soll. Berechtigungsprojekte können außerdem dazu dienen, Schwächen in den Geschäftsprozessen aufzudecken oder besonders sensitive Daten – z. B. Einkaufskonditionen oder Gehälter – zu schützen.
Ein neues Berechtigungskonzept für S/4HANA
Ab einem gewissen Punkt initiieren Unternehmen ein Berechtigungsprojekt, um die Konzeption und die Berechtigungsvergabe auf den aktuellen Stand zu bringen. Allerdings unterliegen Berechtigungen ständigen Anpassungen: Ändern sich Geschäftsprozesse, die Aufbauorganisation oder Technologien, so sind die SAP-Systeme und somit auch die SAP-Berechtigungen entsprechend anzupassen. Dies bedeutet, dass die Berechtigungskonzepte im Grunde kontinuierlich auf dem Laufenden zu halten sind.
Erst recht gilt dies für die bevorstehende Umstellung der SAP-Systeme auf S/4HANA. Die S/4-Transformation bringt oft eine Konsolidierung der Systemlandschaft und Änderungen von Geschäftsprozessen mit sich, sodass jedes Unternehmen, das vor dem Wechsel zu S/4HANA steht, die Berechtigungen anzupassen hat. Je nach Umfang der Änderungen kann es geboten sein, ein ganz neues Berechtigungskonzept aufzusetzen.
Hinzu kommt: Mit S/4HANA rückt die moderne Oberfläche Fiori in den Fokus der Anwender. Fiori ermöglicht eine geräteunabhängige User Experience (UX) von SAP-Anwendungen. Dies soll die Produktivität sowie die Datenqualität in den Geschäftsprozessen steigern. Die UX wird durch die Berechtigungsvergabe gesteuert und ist damit ein Kernelement im SAP-Berechtigungskonzept.
Mehr als bloß ein IT-Projekt
Viele SAP-Berechtigungsprojekte scheitern jedoch. Ein Kernproblem: Solche Projekte werden gern als reine IT-Aufgabe behandelt. Doch Berechtigungsmanagement ist mehr als das und muss von den Fachabteilungen mitverantwortet werden. Denn um ein sinnvolles Berechtigungskonzept erstellen zu können, muss sich der Konzeptersteller ein Bild von den Nutzern und ihren Prozessen im System machen. Dies erfordert Verständnis nicht nur von der SAP-Technologie, sondern besonders vom Business.
Dadurch wird SAP-Berechtigungsmanagement zu einem Querschnittsthema mit unterschiedlichen Beteiligten: Für ein passgenaues, effektives wie nachhaltiges Berechtigungskonzept ist ein interdisziplinäres Kernteam erforderlich, das aus SAP-Experten, den Fachbereichen, Vertretern von Compliance und Revision sowie Prozess-Experten besteht.
Ein zeitaufwendiges Vorhaben
Berechtigungsprojekte sind ressourcenintensiv. Sie erfordern Zeit für die Anforderungsaufnahme und Spezifikation sowie für den Testaufwand. Da ist es häufig viel verlangt von den Fachbereichen, neben dem umfangreichen operativen Tagesgeschäft auch noch Berechtigungsprojekte zu begleiten. Entsprechend stark variiert die Motivation der Beteiligten.
Immer wieder tappen Unternehmen hier in die Software-Falle: Sie kaufen ein Berechtigungstool und denken, sie würden das Problem damit lösen. Oftmals stellt man aber fest, dass das Tool nicht zum Projekt passt.
Besser eine datenbasierte Methodik
Daher sind für die Bewältigung solch komplexer Berechtigungsprojekte innovative, datenbasierte Methoden zu empfehlen. Sie ziehen umfassende Prozess- und Nutzungsdaten aus dem SAP-System heran, um mithilfe von Data Analytics automatisiert die verschiedenen Rollen im System und ihre Inhalte/Prozesse herauszuarbeiten und die für die jeweilige Rolle passende Berechtigung effizient zu administrieren.
Diese intelligenten Datenanalysen beinhalten das erforderliche Expertenwissen, reduzieren damit die Mitwirkung der Fachabteilung und entlasten sie auf diese Weise. Das Projektteam muss nicht erst über Interviews mit den Fachbereichen die bestehenden Berechtigungen aufnehmen, sondern kann sich auf entscheidende Fragestellungen fokussieren. Das spart Zeit und steigert die Qualität.
Zugleich wird durch den datenbasierten Ansatz „Wildwuchs“ bei den vergebenen Berechtigungen vorgebeugt, und Compliance-Anforderungen werden eingehalten. Im Ergebnis entsteht ein effizientes, wirksames Berechtigungskonzept, das datenbasiert auch im Betrieb laufend aktualisiert werden kann.