SAP SoD bezeichnet die Funktionstrennung von Aufgabenbereichen und relevanten Prozessschritten in SAP-Umgebungen, um übermäßige Berechtigungen zu vermeiden und Compliance-Vorgaben zu erfüllen. Allerdings kann die Umsetzung solcher Funktionstrennungen komplex sein, insbesondere durch die Herausforderungen und Komplexitäten innerhalb des Berechtigungskonzepts für SAP S/4HANA.
Aus diesem Grund stehen Unternehmen häufig vor SoD-Konflikten, die Risiken wie Betrug und finanzielle Verluste mit sich bringen können. Erfahren Sie in diesem Artikel, wie Sie Missbrauch vermeiden und SoD in SAP erfolgreich umsetzen.
SoD ist die Abkürzung für Segregation of Duties und bedeutet so viel wie Funktionstrennung. Im Kontext der SAP Security zielt SoD darauf ab, das Risiko von Betrug und Fehlern zu minimieren, indem sichergestellt wird, dass keine einzelne Person übermäßig viel Kontrolle über einen kritischen Geschäftsprozess hat.
Die Einhaltung der SAP Security im Hinblick auf Berechtigungen und einhergehenden Funktionstrennungskonflikten (SoD-Konflikten) wird häufig im Rahmen einer Wirtschaftsprüfung kontrolliert. Dabei sind einzelne Berechtigungen isoliert betrachtet unproblematisch. Doch durch die Kombination bestimmter Aufgaben können Konflikte entstehen, die das Prinzip der Funktionstrennung untergraben.
Durch eine gezielte und transparente Verteilung kritischer Funktionen auf verschiedene Personen kann die Einhaltung SAP-relevanter SoD Compliance nachhaltig sichergestellt werden.
Die Funktionstrennung verhindert eine unsachgemäße Vermischung von Aufgaben und Tätigkeiten, durch die Einzelpersonen Geschäftsprozesse manipulieren könnten – beispielsweise bei der Lohn- und Gehaltsabrechnung. Auf diese Weise schützen sich Unternehmen vor potenziell betrügerischen Handlungen der Mitarbeitenden. Hierzu ein Beispiel:
Ein Teammitglied ist sowohl für die Rechnungsprüfung als auch für die Zahlungsfreigabe verantwortlich. In diesem Fall könnte es fälschlicherweise eine Rechnung für nicht erbrachte Leistungen genehmigen und das Geld auf ein eigenes Konto überweisen. Durch die klare Trennung der einzelnen Schritte im Buchhaltungsprozess lässt sich dieses Risiko erheblich reduzieren.
Somit tragen Compliance-relevante SoD Regeln wesentlich dazu bei, wirtschaftliche Risiken zu minimieren und Betrugsfälle zu verhindern. Gleichzeitig erleichtert es die Nachvollziehbarkeit von Fehlern oder Manipulationen, denn im genannten Beispiel erweist sich die Rückverfolgung des Betrugs als äußerst schwierig.
Um solche Risiken bereits im Vorfeld zu vermeiden, sollten SoD-Konflikte präventiv durch eine gezielte Trennung von Funktionen und Verantwortungsbereichen bei der Erstellung des Berechtigungskonzepts vermieden werden.
In SAP können zahlreiche SoD-Konflikte auftreten, die entstehen, wenn ein User im System theoretisch mehrere kritische Funktionen ausführen könnte. Dabei ist unerheblich, ob diese Berechtigungen tatsächlich genutzt werden. SoD-Konflikte für Unternehmen mit gängigen ERP-Prozessen sind:
Für die Ermittlung der Konflikte in SAP ist eine SoD-Analyse notwendig. Darauf basierend wird festgelegt, welche Konflikte behoben werden müssen. Nicht jeder potenzielle Konflikt stellt ein gleich hohes Risiko dar. Ein häufiger Ansatz ist die Priorisierung der geschäftskritischen SoD-Konflikte, da die Beseitigung aller Konflikte zusätzliche Kosten, einen erhöhten Aufwand und eine herabgesetzte Betriebseffizienz mit sich bringt.
Die Entscheidung darüber, welche Konflikte adressiert werden, basiert auf einer Risikobewertung, bei der auch Aspekte wie die Verfügbarkeit von Personal berücksichtigt werden. Gerade in kleinen Unternehmen, wo eine Person mehrere Rollen übernimmt, können Risiken akzeptiert oder durch Maßnahmen wie detaillierte Dokumentation kompensiert werden.
Eine SoD Matrix in SAP ist ein Instrument zur Analyse und Überprüfung von Berechtigungen, um Compliance-Konflikte aufzudecken und diese visuell nachvollziehbar darzustellen.
Es handelt sich um eine 2-dimensionale Tabelle, in der Rollen und Berechtigungen von Benutzern unterschiedlichen Aufgaben und Befugnissen gegenübergestellt werden. Dadurch wird sichtbar, ob die Funktionstrennung präzise umgesetzt ist oder ob kritische Rechte bei einzelnen Teammitgliedern gehäuft sind.
Dadurch veranschaulicht die SoD Matrix in SAP, ob das 4-Augen-Prinzip verletzt wird oder eine Überarbeitung des Berechtigungskonzepts erforderlich ist. Sie ermöglicht eine frühzeitige Identifikation von Compliance-Verstößen, schützt Unternehmen vor internem Betrug und stellt sicher, dass Audits und Wirtschaftsprüfungen ohne unangenehme Überraschungen verlaufen.
SAP SoD kann durch eine Analyse von Konflikten mit spezialisierten Tools unterstützen, potenzielle Konflikte durch automatisierte Prüfungen zu identifizieren, indem sie Berechtigungen mit umfassenden Regelwerken abgleichen. Diese Regelwerke beinhalten bekannte Konflikte und dienen dazu, Governance-, Risk- und Compliance-Vorgaben zu validieren und zu optimieren.
Da Unternehmen zunehmend sowohl Cloud- als auch On-Premise-Anwendungen nutzen, verteilen sich kritische Prozesse häufig über mehrere Systeme. Das erschwert die Synchronisation des Zugriffsmanagements und die Umsetzung von Vorgaben zu SAP SoD. Gleichzeitig wird es herausfordernder, anwendungsübergreifend Risiken sowie Compliance-Verstöße zu identifizieren und zu beheben.
Mit der Risikoanalyse von Xiting lassen sich solche Prozesse über unterschiedliche Geschäftsanwendungen hinweg präzise und effizient steuern. Das Tool bietet voreingestellte, aber flexibel anpassbare Regelwerke. Damit ermöglicht es:
Durch diese Funktionen wird die Erkennung von SoD-Konflikten automatisiert. Auf diese Weise hilft Xiting Unternehmen dabei, Sicherheits- und Compliance-Ziele effektiv zu erreichen.
Die Xiting Security Platform (XSP) bietet eine systemübergreifende Risikoanalyse für Benutzer und Rollen in lokalen, hybriden und Cloud-Umgebungen. Mit Best-Practice-Regeln, einem Mitigation Framework und Identity Consolidation ermöglicht XSP eine ganzheitliche Risikobewertung. So managen Unternehmen Risiken proaktiv und sichern die Compliance.
SAP SoD-Konflikte können durch eine SoD-Analyse identifiziert werden. Dazu können SAP SoD-Tools wie die Berechtigungsanalyse oder die Transaktion SUIM verwendet werden. Alternativ stehen Drittanbieter-Tools wie die Risikoanalyse von Xiting zur Verfügung, um potenzielle Konflikte automatisiert zu erkennen und zu beheben.
Funktionstrennung bedeutet, dass zentrale Aufgaben eines Geschäftsprozesses auf mehrere Personen verteilt werden. Das reduziert Risiken wie Unternehmensbetrug und daraus resultierende finanzielle Verluste.
Oft werden die Regeln zur Funktionstrennung bei komplexen, systemübergreifenden Zugriffsrechten missachtet, da diese Systeme schwer zu überblicken sind. Auch ein Mangel an Personal kann dazu führen, dass Compliance-Vorgaben nicht konsequent eingehalten werden.
