Wasserfall Gljufrafoss

Wie sich die Überwachung und Mitigierung von SoD-Risiken vereinfachen lässt

Autoren

  • Heiko Gminder

    Partner, Leiter Technology Risk Consulting, Leiter SAP Competence Center für GRC & Security, EY Consulting GmbH | Deutschland, Schweiz, Österreich

  • Lenard Böpple

    Manager Consulting, EY Consulting GmbH | Deutschland

5 Minuten Lesezeit 02 Aug. 2023
Verwandte Themen
Consulting
Cybersecurity
Risikomanagement
Technologien
Digitalisierung

Ein innovativer Ansatz ermöglicht es, Funktionstrennungsverstöße zu identifizieren, finanziell zu bewerten und Risiken zu überwachen.

Überblick

  • Was bisherige Ansätze für SoD-Management komplex und aufwendig macht
  • Warum die Einschränkung von Berechtigungen oft nicht ausreicht
  • Wie es ein innovativer Ansatz ermöglicht, sich auf die wesentlichen SoD-Risiken zu fokussieren und diese effizient zu überwachen und zu mitigieren

Die Funktionstrennung oder Segregation of Duties (SoD) ist ein Konzept, das verhindern soll, dass eine einzelne Person zwei Aktivitäten ausführt, die in Konflikt zueinander stehen. Ein solcher Funktionstrennungskonflikt kann in verschiedenen Geschäftsprozessen auftreten: Gibt ein Mitarbeiter beispielsweise eine Lieferantenrechnung frei und ändert gleichzeitig die Bankdaten des betroffenen Lieferanten, ergibt sich daraus ein finanzielles Risiko für das Unternehmen. Denn macht der Mitarbeiter einen Fehler, der unbemerkt bleibt, oder hegt er gar betrügerische Absichten, kann dies zu einem ungerechtfertigten Mittelabfluss führen. Deshalb sollten relevante Funktionstrennungskonflikte identifiziert und die betroffenen Aktivitäten entweder organisatorisch, prozessual oder technisch voneinander getrennt werden.

So unterstützen wir Sie

Auf diese Weise wird die Sicherheit deutlich verbessert, aber oft auf Kosten der Effizienz: Die erzwungene personelle Trennung von Aufgaben im Fachbereich und die dafür notwendige Verwaltung von IT-Zugriffen können zu verlangsamten Prozessen, erhöhtem Personalbedarf und hohen Aufwänden in der Berechtigungsverwaltung führen. Denn eine technische Umsetzung der Funktionstrennung erfordert komplexe Berechtigungskonzepte und eine starke Einschränkung der IT-Zugriffe der Mitarbeitenden. Hinzu kommt der Aufwand für die Mitigierung verbleibender Risiken, denn in der Regel lassen sich Anforderungen an die Funktionstrennung nicht vollständig über das Berechtigungskonzept umsetzen. Es wird stets Ausnahmen und erweiterte Berechtigungen geben, da beispielsweise das ausführende Team zu klein ist und die Risiken über zusätzliche Überwachungs- und Kontrollmaßnahmen abgesichert werden müssen.

Was traditionelle Lösungen so aufwendig macht

Der herkömmliche, präventive Ansatz zur Steuerung von SoD-Risiken durch ein Berechtigungskonzept hat zwei entscheidende Nachteile: Erstens ist der Aufwand zur Berechtigungs- und Benutzerverwaltung hoch und schränkt gleichzeitig den Handlungsspielraum der Fachbereiche ein. Zweitens bleibt trotz des hohen Aufwands eine Quantifizierung des SoD-Risikos im Unklaren: Das Reporting beschränkt sich auf die Anzahl aktiver SoD-Risiken im System, ohne konkrete finanzielle Auswirkungen aufzeigen zu können. Außerdem werden über die Berechtigungen nur hypothetische Risiken identifiziert, ohne tatsächlich ausgeführte SoD-Verstöße näher untersuchen zu können. Es werden alle möglichen Vorgänge über Berechtigungen eingeschränkt, obwohl sie nicht zwingend ein Risiko darstellen müssen. Denn die gleichzeitige Pflege eines Lieferantenstammsatzes und Freigabe einer Rechnung ist unkritisch, wenn sich die Vorgänge auf unterschiedliche Lieferanten beziehen.

 

Um dieses Problem zu lösen, wird häufig Privileged Access Management eingesetzt, bei dem die betroffenen IT-Berechtigungen von den persönlichen Benutzerkonten der Fachmitarbeiter entfernt und in extra dafür vorgesehene, überwachte Funktionsbenutzer verschoben werden. Das erhöht die Prozesssicherheit, ist aber wiederum mit hohem Administrations- und Kontrollaufwand verbunden. Die bei der Überwachungen anfallenden Logfiles (die mit dem Funktionsbenutzer ausgeführten Aktivitäten werden mitgeschrieben) müssen dann im Nachgang auf operative Fehler oder Betrugsversuche hin manuell ausgewertet werden. In manchen Unternehmen ist die Zahl dieser „Ausnahmen“ so groß, dass die Nutzung von Privileged Access Management für Fachbereiche zum Alltag gehört. Der hier vorgestellte Kontrollansatz berücksichtigt diese Risiken und macht die manuelle Kontrolle in vielen Fällen überflüssig.

Traditionelle SoD-Lösungen haben einen entscheidenden „Systemfehler“: In Prozessen und Kontrollen sind viele Umwege nötig, weil bisher nicht kontrolliert werden kann, was eigentlich kontrolliert werden soll: echte SoD-Verstöße.

So unterstützen wir Sie

Traditionelle SoD-Lösungen haben also einen entscheidenden „Systemfehler“: In Prozessen und Kontrollen sind viele Umwege nötig, weil bisher nicht kontrolliert werden kann, was eigentlich kontrolliert werden soll: tatsächlich ausgeführte SoD-Verstöße. Die Auswirkung sind komplizierte Berechtigungskonzepte, deren Pflege aufwendig ist und die SoD-Risiken nicht vollständig vermeiden können.

 

Wie intelligente Automatisierung die Überwachung von SoD-Risiken im Tagesgeschäft verbessert

Der neue Kontrollansatz bietet eine intelligente Automatisierung für die Überwachung von SoD-Risiken. Er identifiziert automatisch tatsächliche SoD-Verstöße und vereinfacht deren Kontrolle in den Geschäftsprozessen erheblich. Es müssen weniger manuelle Kontrollprozesse durchgeführt werden und im Reporting kann das finanzielle Risiko auf der Basis der im System betroffenen Geschäftsvorfälle sehr genau bestimmt werden.

 

Auswirkung auf das Berechtigungskonzept und Rollenzuweisungen

Die hocheffektive SoD-Kontrolle verringert den manuellen Aufwand der Risikomitigierung und hat noch einen weiteren Vorteil: Da die IT-Zugriffe von den Mitarbeitenden weniger strikt eingegrenzt werden müssen, ermöglicht dies über einen höheren Grad an Standardisierung der Berechtigungsrollen auch eine einfachere Rollenarchitektur im Unternehmen. Mehr Standardisierung im Rollenkonzept schafft auch Potenzial für die Automatisierung von Rollenzuweisungen auf der Basis organisationsbezogener Benutzerstammdaten. So kann das System einem Mitarbeitenden basierend auf dessen Jobprofil und Organisationszugehörigkeit automatisch die benötigten Zugriffe zuweisen, vom ersten Arbeitstag an.

 

Dies ist kein Einmaleffekt, die Zugriffsrechte folgen vielmehr der individuellen Karriere der Mitarbeitenden und können bei Veränderungen automatisch angepasst werden. Wechselt ein Mitarbeiter von Gesellschaft A zu Gesellschaft B, ändern sich auch seine Stammdaten und das System kann reagieren, indem es die Zugriffe der Gesellschaft A automatisch entzieht und die Zugriffe der Gesellschaft B automatisch zuweist. Das spart nicht nur Zeit bei Rollenbeantragungen und Genehmigungen, sondern reduziert auch den manuellen Aufwand bei Rezertifizierungen.

 

Wie man Kontrollen automatisieren und das Reporting präzisieren kann

Wie funktioniert nun also die automatisierte SoD-Kontrolle? Der intelligente Automatisierungsansatz ist ereignisbasiert auf tatsächliche SoD-Verstöße ausgerichtet. Als Basis dienen hier nicht Berechtigungen, sondern Geschäftsprozessdaten und Log-Information aus den ERP-Systemen. Integriert in einen End-to-End-Risikomanagementprozess lassen sich auch Gegenmaßnahmen automatisiert auslösen. Effizienz, Wirksamkeit und Transparenz der Risikosteuerung werden so massiv gesteigert.

Der hohe Automatisierungsgrad bei der Gewinnung von Erkenntnissen über die SoD-Risiken bringt auch beim Reporting neue Qualitäten: Eine Berichterstattung über das finanzielle Risiko von tatsächlichen SoD-Konflikten gibt es jetzt in Echtzeit.

Der hohe Automatisierungsgrad bei der Gewinnung von Erkenntnissen über die SoD-Risiken bringt auch beim Reporting neue Qualitäten. Im alten Ansatz werden bestehende Rollenzuweisungen betrachtet, das heißt, jeder SoD-Konflikt in einer Rolle oder einem Benutzerprofil wird als ein aktives Risiko gewertet. Über die Kritikalität, also die Höhe des potenziellen finanziellen Schadens, der daraus entstehen könnte, kann ebenso wenig eine Aussage getroffen werden wie über die Eintrittswahrscheinlichkeit. Das Reporting nennt lediglich die bloße „Anzahl aktiver SoD-Risiken“ im System.

Der neue Ansatz arbeitet mit Beleg- und Prozessdaten. An jedem Beleg (Rechnung, Bestellung etc.) hängt ein finanzieller Wert. Dieser kann nun für das Reporting genutzt werden und die finanzielle Dimension von SoD-Risiken wird messbar.

Eine Berichterstattung über das finanzielle Risiko von tatsächlichen SoD-Konflikten gibt es jetzt in Echtzeit – mit Rund-um-die-Uhr-Zugriff auf aktuelle Daten. Zudem berichtet das Reporting nicht mehr nur im Kontext hypothetischer SoD-Risiken, sondern liefert konkrete Aussagen über die finanzielle Dimension.

Ein kurzer Blick auf den technischen Hintergrund

Sowohl beim traditionellen als auch beim neuen Ansatz sollte der Geschäftsprozess in einzelne Funktionen zerlegt werden. Der Unterschied besteht darin, dass beim herkömmlichen Ansatz für Tätigkeiten die möglichen Zugriffe bzw. Berechtigungen analysiert werden. Beim neuen Ansatz werden die für Tätigkeiten die relevante Belegdaten untersucht, das heißt, es wird reagiert, wenn jemand ein bestimmtes Datenfeld in einer Rechnung, einer Bestellung, einem Stammdatensatz etc. ändert.

Beim detektiven Ansatz werden also lediglich die relevanten Tabellen und Datenfelder (Transaktionsdaten in den Geschäftsprozessen) identifiziert, die bei der Durchführung der Geschäftsfunktion (Dokumentenbearbeitung) betroffen sind. Diese Aufgabe wird über eine Process-Mining-Lösung unterstützt. Im zweiten Schritt werden durch die Analyse von Transaktionsdaten und Änderungsprotokollen die tatsächlichen SoD-Verstöße erkannt.

Wie die intelligente Automatisierung in das Risikomanagement-Framework implementiert wird

Für die Implementierung der Lösung gibt es zwei Optionen:

  1. Managed Service
  2. "On Premise“ in eigener Systemlandschaft

Jede Option hat ihre Vor- und Nachteile. In der ersten Variante werden die Prozessdaten exportiert und an das EY-Tool übertragen. Nachdem die Analyse durchgeführt ist, erhält der Kunde die Ergebnisse. Dadurch entsteht beim Kunden keinerlei Implementierungs- und Wartungsaufwand, die Lösung ist schnell verfügbar. Der Nachteil ist allerdings, dass so keine automatisierten Echtzeitanalysen möglich sind. Die Ergebnisse werden in einer vorab festgelegten Frequenz zur Verfügung gestellt.

In der zweiten Variante wird die Analyselogik direkt in die Systemlandschaft des Unternehmens implementiert. Dadurch sind auch automatisierte Echtzeitanalysen möglich, allerdings erfordert diese Option einen gewissen Implementierungs- und Pflegeaufwand.

Fazit 

Segregation of Duties (SoD), also die Funktionstrennung innerhalb von Geschäftsprozessen, ist eine wichtige Methode des Schutzes vor Fehlern und Betrug in ERP-Systemen. In der Praxis ist die Umsetzung oft mit hohem Aufwand verbunden. Ein innovativer, automatisierter Kontrollansatz vereinfacht nicht nur die SoD-Risikoüberwachung, sondern verbessert auch das Reporting mit einer exakten finanziellen Bewertung von SoD-Risiken.

Über diesen Artikel

Autoren

  • Heiko Gminder
    Partner, Leiter Technology Risk Consulting, Leiter SAP Competence Center für GRC & Security, EY Consulting GmbH | Deutschland, Schweiz, Österreich
  • Lenard Böpple
    Manager Consulting, EY Consulting GmbH | Deutschland
Verwandte Themen
Consulting
Cybersecurity
Risikomanagement
Technologien
Digitalisierung

Mehr zum Thema

Wie sich das Management Reporting in SAP-Umgebungen optimieren lässt

Lesen Sie hier, wie Sie Ihr Management Reporting mit SAP Group Reporting optimieren und die Vorteile der SAP Analytics Cloud nutzen können.

Oliver Precht

SAP-S/4HANA-Einführung: Welche Rolle der Steuerungsansatz spielt

SAP-S/4HANA-Transformationen können Konzerne mit heterogenen Geschäftsmodellen vor Herausforderungen stellen. Lesen Sie hier, was es zu beachten gilt.

Andreas Kurtz + 1

Wie man sein SAP-Berechtigungskonzept auf S/4HANA vorbereitet

Was Unternehmen bei einer anstehenden S/4HANA-Transformation in Bezug auf das SAP-Berechtigungskonzept beachten sollten, lesen Sie hier.

Heiko Gminder

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.