/

SAP Knowledge

/

SAP Governance Risk Compliance

/

SoD

SAP - Segregation of Duties (SoD) in Kürze erklärt

Das Prinzip der Funktionstrennung, im Englischen bezeichnet als Segregation of Duties oder kurz SoD, verfolgt das Ziel kritische Geschäftsfunktionen aufzuteilen, sodass Missbrauch, Betrug oder Fehler verhindert und Compliance-Vorgaben erfüllt werden. Für die Ausführung dieser Geschäftsfunktionen sind in Anwendungen wie SAP bestimmte Berechtigungen erforderlich, um die relevanten Prozessschritte ausführen zu können. In der Konsequenz können unsachgemäße Berechtigungen zu Funktionstrennungstrennungskonflikten bzw. SoD Konflikten führen. Die Umsetzung solcher Funktionstrennungen kann komplex sein, insbesondere durch die Herausforderungen und Komplexitäten innerhalb des Berechtigungskonzepts für SAP S/4HANA.

Aus diesem Grund stehen Unternehmen häufig vor der Herausforderung, eine angemessene Funktionstrennung in der Wertschöpfungskette sicherzustellen. Andernfalls können SoD-Konflikte entstehen, die Risiken wie Missbrauch, oder Betrug nach sich ziehen.

Erfahren Sie mehr in diesem Artikel, wie Sie erfolgreich die Anforderungen an die Segregation of Duty in SAP erfolgreich umsetzen.

Was bedeutet Segregation of Duties (SoD) in SAP Security?

Im Hinblick auf SAP Security zielt das SoD-Prinzip (Segregation of Duties) darauf ab, das Risiko von Betrug und Fehlern zu minimieren, indem sichergestellt wird, dass keine einzelne Person übermäßig viel Kontrolle über einen kritischen Geschäftsprozess hat.

Einhergehende Funktionstrennungskonflikte (SoD-Konflikte) werden sowohl von der internen als auch von der externen Revision überprüft.
Die Funktionstrennung (SoD) ist nicht zuletzt auch häufig eine geeignete Maßnahme zur Reduktion von Risiken als Bestandteil des internen Kontrollsystems (IKS). Meist sind die Berechtigungen für die Erfüllung der Aufgaben einer einzelnen Funktion unproblematisch. Erst durch die Kombination von Berechtigungen (z.B. durch übergreifende Aufgaben) können SoD-Konflikte entstehen, die das Prinzip der Funktionstrennung untergraben.

Im Kontext von SAP Security ist folglich eine gezielte, transparente und sachgerechte Verteilung von Berechtigungen für die Einhaltung des SoD-Prinzips unerlässlich.

Wieso ist Segregation of Duties (SoD) wichtig?

Die Funktionstrennung verhindert eine unsachgemäße Vermischung von Aufgaben und Tätigkeiten, durch die Einzelpersonen Geschäftsprozesse manipulieren könnten – beispielsweise bei der Lohn- und Gehaltsabrechnung. Auf diese Weise schützen sich Unternehmen vor potenziell betrügerischen Handlungen der Mitarbeitenden. Hierzu ein Beispiel:

Ein Teammitglied ist sowohl für die Rechnungsprüfung als auch für die Zahlungsfreigabe verantwortlich. In diesem Fall könnte es fälschlicherweise eine Rechnung für nicht erbrachte Leistungen genehmigen und das Geld auf ein eigenes Konto überweisen. Durch die klare Trennung der einzelnen Schritte im Buchhaltungsprozess lässt sich dieses Risiko erheblich reduzieren.

Somit trägt das SoD-Prinzip wesentlich dazu bei, wirtschaftliche Risiken zu minimieren und Betrugsfälle zu verhindern. Gleichzeitig erleichtert es die Nachvollziehbarkeit von Fehlern oder Manipulationen, denn häufig erweist sich die Beweisführung im Betrugsfall als schwierig und erfordert zumeist forensische Untersuchungen.

Um solche Risiken bereits im Vorfeld zu vermeiden, sollten SoD-Konflikte präventiv durch eine gezielte Trennung von Funktionen und Verantwortungsbereichen bei der Erstellung des Berechtigungskonzepts vermieden werden.

Welche SoD-Konflikte gibt es in SAP?

In SAP können zahlreiche SoD-Konflikte auftreten, die entstehen, wenn ein Anwender im System theoretisch mehrere kritische Funktionen ausführen könnte. Dabei ist unerheblich, ob diese Berechtigungen tatsächlich genutzt werden.
Segregation of Duty-Konflikte für Unternehmen mit gängigen ERP-Prozessen sind:

  • Pflege von Hauptbuchstammdaten und Buchungen im Hauptbuch
  • Durchführung von Korrekturbuchungen in der Finanzbuchhaltung
  • Bearbeitung von Anlagenstammdaten und Verwertung von Anlagen
  • Das Anlegen und die Bearbeitung von Bestellungen zahlungsrelevanter Lieferantenstammdaten, sowie die Buchung von Lieferantenrechnungen und Wareneingängen
  • Pflege von Kundenstammdaten, das Anlegen und die Bearbeitung von Aufträgen sowie die Verbuchung von Zahlungen (und Gutschriften) und Warenausgängen
  • Veränderung des Lagerbestands (Warenabfluss) und Ausbuchung von Differenzen

Darüber hinaus können in den administrativen Prozessbereichen oder industriespezifisch weitere SoD-Risiken bestehen. Die hier erwähnten SoD-Risiken sind primär finanzrelevant und deren Betrachtung für die Rechnungslegung essenziell.

Für die Ermittlung solcher SoD-Konflikte in SAP ist eine tiefgreifende Analyse notwendig. Diese basiert auf einem mit dem Fachbereich abgestimmten Regelwerk, welches die SoD-Regeln wie eben dargestellt, technisch widerspiegelt. Nicht jeder potenzielle SoD-Konflikt stellt ein gleich hohes Risiko dar. Ein häufiger Ansatz ist die Priorisierung der geschäftskritischen SoD-Konflikte, da die Beseitigung aller Konflikte zusätzliche Kosten, einen erhöhten Aufwand und eine herabgesetzte Betriebseffizienz mit sich bringt.

Die Entscheidung darüber, welche Konflikte adressiert werden, basiert auf einer Risikobewertung, bei der auch Grundsatzüberlegungen zu Eintrittswahrscheinlichkeit und Schadensausmaß eine wesentliche Rolle spielen. Gerade in kleinen Unternehmen, wo eine Person mehrere Funktionen übernimmt, können Risiken unter Umständen akzeptiert oder durch kompensierende Maßnahmen reduziert werden.

Welchen Nutzen hat eine SoD-Matrix?

Eine SoD-Matrix ist ein Instrument, um auf verständliche und transparente Art und Weise Funktionstrennungskonflikte aufzuzeigen. SoD-Konflikte treten insbesondere in der Wertschöpfungskette auf, für welche der Fachbereich zuständig ist. Aus diesem Grund müssen die Fachstellen die SoD-Konflikte nachvollziehen und beurteilen können.

Die SoD-Matrix ist dafür ein geeignetes Mittel, um ein gemeinsames Verständnis zu Risiken in der Fach- und IT-Abteilung zu schaffen. Die SoD-Matrix beinhaltet typischerweise auch keine Informationen zum Rollen- und Berechtigungskonzept. Die Berechtigungsrollen verändern sich stetig und die SoD-Matrix würde früher oder später obsolet. SoD-Konflikte lassen sich nicht auf einzelne, spezifische Rollen reduzieren. Die Zuordnung von mehreren Berechtigungsrollen führt häufig erst zur Entstehung von SoD-Konflikten.

Prüfung und Überwachung von SoD-Konflikten

Für SAP spezialisierte Lösungen unterstützen, potenzielle SoD-Konflikte durch eine gezielte Prüfung zu identifizieren, indem sie Berechtigungen mit umfassenden Regelwerken abgleichen. Diese Regelwerke beinhalten die zuvor beschriebenen SoD-Regeln und dienen dazu, die Einhaltung von Governance-, Risk- und Compliance-Vorgaben (GRC) zu ermöglichen. Deswegen handelt es sich typischerweise um GRC-Anwendungen, welche eng auf das Interne Kontrollsystem abgestimmt oder sogar vollständig integriert sind.

Risikoanalyse mit Xiting

Da Unternehmen zunehmend sowohl Cloud- als auch On-Premise-Anwendungen nutzen, verteilen sich kritische Geschäftsprozesse häufig über mehrere Systeme. Das erschwert die Harmonisierung der Berechtigungskonzepte und die Umsetzung von Vorgaben zur Funktionstrennung. Gleichzeitig wird es herausfordernder, anwendungsübergreifend SoD-Risiken sowie Compliance-Verstöße zu identifizieren und zu beheben.

Mit der Risikoanalyse von Xiting lassen sich solche Prozesse über unterschiedliche Systeme hinweg präzise und effizient erkennen, analysieren und steuern. Die Xiting SAP-Lösungen bieten voreingestellte, aber flexibel anpassbare Regelwerke – damit wird ermöglicht:

  • Systemübergreifende Risikoanalyse, einschließlich der SoD-Konflikte, für Benutzer und Rollen in lokalen, hybriden und Cloud-Umgebungen mit der Xiting Security Platform (XSP)
  • Mitigation Framework zur Beurteilung und Dokumentation von Zugriffsrisiken
  • Automatisierte Erkennung und Konsolidierung von Benutzerkennungen zu globalen Identitäten
  • Sicherstellung von Compliance durch aktuelle Regelwerksinhalte aus dem Xiting Content Portal (XCP)

Durch diese Funktionen wird die Erkennung von SoD-Konflikten automatisiert. Auf diese Weise hilft Xiting Unternehmen dabei, Sicherheits- und Compliance-Ziele effektiv zu erreichen.

FAQ

SoD-Konflikte in SAP können durch eine SoD-Analyse identifiziert werden. Dazu müssen spezialisierte GRC-Tools, wie z.B. von Xiting, eingesetzt werden, da die SAP-Standardmittel aufgrund der hohen Komplexität nicht mehr ausreichen.

Funktionstrennung (SoD) bedeutet, dass zentrale Aufgaben eines Geschäftsprozesses auf mehrere Personen verteilt werden. Das reduziert Risiken in der finanziellen Berichterstattung, welche auf SoD-Konflikte zurückzuführen wären.

Die Regeln zur Funktionstrennung werden oft bei komplexen, systemübergreifenden Zugriffsberechtigungen missachtet, da diese systemübergreifend schwer zu analysieren sind. Auch ein Mangel an Personal kann dazu führen, dass Compliance-Vorgaben nicht konsequent eingehalten werden und ein Verstoß bewusst in Kauf genommen werden muss.

Bleiben Sie auf dem Laufenden

Melden Sie Sich zu dem Newsletter an, um weitere Informationen zu erhalten.

Anmeldung Newsletter

Folgen Sie @Xiting und @xiting.global auf den Sozialen Medien.