Mitigierung von Risiken in SAP® GRC-Lösungen

Ihre Ausgangssituation

Jedes GRC-System ermöglicht die Implementierung von Kontrollen in Form von Regeln auf Rollen- bzw. Benutzerebene, um sicherzustellen, dass das technische Berechtigungskonzept korrekt eingebunden ist.

Diese Regeln können bereits beim Rollenbau im Entwicklungssystem, aber auch direkt im Produktivsystem eingerichtet sein. Sind die Regeln im Produktivsystem implementiert, kann es dazu führen, dass sehr viele Treffer in Form von sogenannten Verstößen aufgezeigt werden, welche von den definierten Risk-Ownern bearbeitet werden müssen.

Bei der Bearbeitung dieser Treffer können unterschiedliche Vorgehensweisen definiert sein, entweder durch Bereinigung der betroffenen Rollen und Entzug von Berechtigungen oder durch Mitigierung der Regeln aufgrund im Unternehmen implementierten Kontrollen und Verfahren.

Diese Mitigierung muss jedoch im Einklang von diversen Risikoaspekten durchgeführt werden.

Ihre Herausforderung

Unser Vorgehen

Analyse Ihres GRC-Regelwerks

Wir analysieren die Verfahrensdokumentationen und Risikobeschreibungen im Zusammenhang mit Ihrem GRC-Regelwerk. Im nächsten Schritt erheben wir mit Ihnen gemeinsam, ob für alle Regeln auch tatsächlich die verantwortlichen Risk-Owner definiert sind. In weiterer Folge klären wir in einzelnen Workshops mit den jeweiligen Risk-Ownern die Regeln und die Regelverletzungen ab, um eine Hilfestellung für die weitere Vorgehensweise aus Risiko-, aber auch aus Revisionssicht abgeben zu können.

Fahrplan für die Mitigierung von GRC-Risiken

• Analyse der Verfahrensdokumentationen und Risikobeschreibungen
• Analyse der Verantwortlichkeiten für die Regeln
• Erarbeitung der Vorgehensweise in Rahmen von Workshops mit den Risk-Ownern
• Erstellung eines Projektberichts

Ergebnispräsentation und Handlungsempfehlung durch unsere SAP-Berater

Im Rahmen einer Schlussbesprechung gehen wir die Feststellungen und Maßnahmen auf Basis des Projektberichts bzw. der Detailergebnisse mit Ihnen durch. Sie sind danach in der Lage, Ihre GRC-Risiken korrekt einzuschätzen und die richtigen Mitigationen abzuleiten.

Beispiel eines Projektplans​

Ihre Vorteile

Unsere SAP-Berater unterstützen und beraten Sie bei der Erarbeitung von Empfehlungen für die Fachbereiche betreffend die Mitigation von Risiken der betroffenen Prozesse. Die definierten Risk-Owner Ihres GRC-Regelwerks sind nach den Workshops in der Lage, die richtigen Entscheidungen bei der Abarbeitung der Risiken zu treffen und die korrekten Maßnahmen einzuleiten.

Sie bekommen von uns Hilfestellungen u.a. zu folgenden Themen:

  • Das Risiko ist nicht richtig definiert, es muss eine GRC Regelanpassung vorgenommen werden.
  • Das Risiko kann durch Entzug von Berechtigungen gelöst werden.
  • Das Risiko kann bzw. muss akzeptiert werden.
  • Das Risiko wird aufgrund von existierenden kompensierenden Kontrollen mitigiert werden.

Zum Abschluss erhalten Sie einen Projektbericht inkl. Maßnahmenkatalog und Management-Summary.

Seminar: Prüfung des Berechtigungskonzeptes in SAP-Systemen

Seminar über die Funktionsweise des SAP-Berechtigungswesens. Wir gehen gezielt auf die Möglichkeiten der Berechtigungsvergabe und die unterschiedlichen Ebenen des Zugriffsschutzes ein.

SAP-Penetrationstest

Wir haben in den letzten Jahren viele SAP-Penetrations Tests, klassische Audit Scans, aber auch Angriffe auf SAP Cloud Systeme durchgeführt.

SAP-Systemsicherheit

Die Prüfung der Systemsicherheit von SAP-Systemen ist sehr komplex. Wir unterstützen Sie dabei.

CheckAud®

Optimales Analyse-Werkzeug für Ihre SAP-Prozesse und Funktionstrennungen