Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Der EY Virtual Internal Auditor ist eine digitale Plattform mit Risikoabdeckung für das gesamte Prüfungsuniversum eines Unternehmens. Hier mehr erfahren.
Mehr erfahren
Auf diese Weise wird die Sicherheit deutlich verbessert, aber oft auf Kosten der Effizienz: Die erzwungene personelle Trennung von Aufgaben im Fachbereich und die dafür notwendige Verwaltung von IT-Zugriffen können zu verlangsamten Prozessen, erhöhtem Personalbedarf und hohen Aufwänden in der Berechtigungsverwaltung führen. Denn eine technische Umsetzung der Funktionstrennung erfordert komplexe Berechtigungskonzepte und eine starke Einschränkung der IT-Zugriffe der Mitarbeitenden. Hinzu kommt der Aufwand für die Mitigierung verbleibender Risiken, denn in der Regel lassen sich Anforderungen an die Funktionstrennung nicht vollständig über das Berechtigungskonzept umsetzen. Es wird stets Ausnahmen und erweiterte Berechtigungen geben, da beispielsweise das ausführende Team zu klein ist und die Risiken über zusätzliche Überwachungs- und Kontrollmaßnahmen abgesichert werden müssen.
Was traditionelle Lösungen so aufwendig macht
Der herkömmliche, präventive Ansatz zur Steuerung von SoD-Risiken durch ein Berechtigungskonzept hat zwei entscheidende Nachteile: Erstens ist der Aufwand zur Berechtigungs- und Benutzerverwaltung hoch und schränkt gleichzeitig den Handlungsspielraum der Fachbereiche ein. Zweitens bleibt trotz des hohen Aufwands eine Quantifizierung des SoD-Risikos im Unklaren: Das Reporting beschränkt sich auf die Anzahl aktiver SoD-Risiken im System, ohne konkrete finanzielle Auswirkungen aufzeigen zu können. Außerdem werden über die Berechtigungen nur hypothetische Risiken identifiziert, ohne tatsächlich ausgeführte SoD-Verstöße näher untersuchen zu können. Es werden alle möglichen Vorgänge über Berechtigungen eingeschränkt, obwohl sie nicht zwingend ein Risiko darstellen müssen. Denn die gleichzeitige Pflege eines Lieferantenstammsatzes und Freigabe einer Rechnung ist unkritisch, wenn sich die Vorgänge auf unterschiedliche Lieferanten beziehen.
Um dieses Problem zu lösen, wird häufig Privileged Access Management eingesetzt, bei dem die betroffenen IT-Berechtigungen von den persönlichen Benutzerkonten der Fachmitarbeiter entfernt und in extra dafür vorgesehene, überwachte Funktionsbenutzer verschoben werden. Das erhöht die Prozesssicherheit, ist aber wiederum mit hohem Administrations- und Kontrollaufwand verbunden. Die bei der Überwachungen anfallenden Logfiles (die mit dem Funktionsbenutzer ausgeführten Aktivitäten werden mitgeschrieben) müssen dann im Nachgang auf operative Fehler oder Betrugsversuche hin manuell ausgewertet werden. In manchen Unternehmen ist die Zahl dieser „Ausnahmen“ so groß, dass die Nutzung von Privileged Access Management für Fachbereiche zum Alltag gehört. Der hier vorgestellte Kontrollansatz berücksichtigt diese Risiken und macht die manuelle Kontrolle in vielen Fällen überflüssig.