{"id":61782,"date":"2015-07-02T11:48:37","date_gmt":"2015-07-02T09:48:37","guid":{"rendered":"http:\/\/e3mag.com\/?p=61782"},"modified":"2019-08-01T11:52:51","modified_gmt":"2019-08-01T09:52:51","slug":"pilotprojekt-fuer-neue-compliance-suite","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/pilotprojekt-fuer-neue-compliance-suite\/","title":{"rendered":"Pilotprojekt f\u00fcr neue Compliance Suite"},"content":{"rendered":"

Das Systemhaus Ciber hat beim \u00dcbertragungsnetzbetreiber TenneT TSO ein neues SAP-Berechtigungskonzept mit eindeutigen Jobrollen eingef\u00fchrt: Aus \u00fcber 5000 Rollen wurden so nur noch rund 200 Jobrollen.<\/p>\n

Das Redesign sorgt f\u00fcr Transparenz in den SAP-Berechtigungen, vereinfacht und harmonisiert die Prozesse zur SAP User Administration und garantiert gemeinsam mit Cibers hauseigener Ciber Compliance Suite (CCS) die kontinuierliche Einhaltung der Compliance-Richtlinien.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

Ciber hat in einem weltweiten Pilotprojekt seine hauseigene Compliance Suite erfolgreich bei TenneT TSO implementiert. Ciber hat dabei die zwei Komponenten Ciber Usage Monitor und Ciber Access Control sukzessive beim deutschen Stromnetzbetreiber mit Sitz in Bayreuth eingef\u00fchrt.<\/p>\n

Phase 1: Redesign des SAP-Berechtigungskonzepts<\/h3>\n

Das umfangreiche Projekt nahm seinen Anfang 2013 mit dem Redesign des SAP-Berechtigungskonzepts. Ciber hatte sich in der Ausschreibung gegen mehrere spezialisierte Mitbewerber durchgesetzt.<\/p>\n

Ausschlaggebend f\u00fcr die Wahl von Ciber waren in erster Linie die bestehenden Referenzen durch \u00e4hnliche Projekte mit hochzufriedenen Kunden. Zudem \u00fcberzeugten die von Ciber vorgeschlagene, gut strukturierte Vorgehensweise bei der Durchf\u00fchrung des Redesign-Projekts, das erfahrene Beraterteam, die Pr\u00e4sentation des Projekts beim Kunden sowie das Vertrauen in Ciber als bew\u00e4hrter CMS-Service-Provider.<\/p>\n

Rollen drastisch reduziert<\/h3>\n

Ein Kernanliegen des Redesigns war die Anpassung der SAP-Berechtigungen an die neue Organisation, nachdem die TenneT aus der E.ON hervorgegangen war. Die in der Folge auftretenden vielen Rollen, unzureichende Transparenz f\u00fcr Verantwortliche und das Fehlen von SAP-Berechtigungen erforderten neue L\u00f6sungen.<\/p>\n

Ciber definierte daher die SAP-Berechtigungen unter Nutzung der eigenen Best-Practice-Rollen im April 2014 auf den \u00adECC-, SRM-, BI- und HCM-Systemen komplett neu.<\/p>\n

Dazu band Ciber die TenneT Key User in das Rollen-Design eng mit ein. Dank dieser Vorgehensweise kennen diese sehr genau ihre jeweiligen Rollen.<\/p>\n

Gemeinsam wurden erstmals die Segregation-of-Duties-(SoD-)Risiken definiert, beim Design der Rollen ber\u00fccksichtigt und so weit wie m\u00f6glich reduziert. Die CCS von Ciber \u00fcberwacht diese SoD-Risiken st\u00e4ndig.<\/p>\n

Phase 2: Einsatz der Ciber Compliance Suite<\/h3>\n

Im September 2014 startete dann das logische Folgeprojekt, in dem das Heidelberger Beratungshaus zusammen mit Ciber D\u00e4nemark bei TenneT die hauseigene Ciber Compliance Suite (CCS) zur Kon\u00adtrolle der Systemnutzung und der SoD-Risiken in den ECC- und HCM-Systemen implementierte.<\/p>\n

Schrittweise wurde zun\u00e4chst das Customizing der CCS-Produkte durchgef\u00fchrt, bevor der Aufbau des Ciber Usage Monitors f\u00fcr die Optimierung der SAP-Systemvermessung folgte.<\/p>\n

Die letzte Projektetappe bestand in der anschlie\u00dfenden Implementierung des Tools Ciber Access Control, das SoD-Risiken in SAP-Berechtigungen stets direkt erkennt und TenneT eine kontinuierliche Compliance sichert.<\/p>\n

So funktioniert Ciber Access Control<\/h3>\n

Im Access Control von Ciber ist eine SoD-Matrix hinterlegt, wobei ein SoD-Risiko immer aus der Kombination von zwei SAP-Funktionen besteht, z. B.: \u201eF1 \u2013 Bestellungen bearbeiten\u201c und \u201eF2 \u2013 Wareneingang buchen\u201c. Im Tool sind dann die zugeh\u00f6rigen SAP-Transaktionen, Berechtigungsobjekte und Werte hinterlegt.<\/p>\n

Die pr\u00e4ventive SoD-Pr\u00fcfung soll Antworten auf folgende Fragen liefern: Welche Berechtigungen werden neu eingetragen? Ergeben diese selbst ein SoD-Risiko? Besteht ein Risiko in Kombination mit bestehenden Berechtigungen beim User oder in Rollen?<\/p>\n

Wenn Risiken vorhanden sind, erscheinen diese abh\u00e4ngig von den CSS-Einstellungen im SAP. Es sind nun drei Aktionen m\u00f6glich: \u201eRisiko nur als Meldung anzeigen\u201c, \u201eEine Doku muss zur Genehmigung des Risikos angeh\u00e4ngt werden\u201c<\/em> und \u201eDie \u00c4nderung wird blockiert, da das Risiko nicht erlaubt ist\u201c<\/em>.<\/p>\n

Das nachgelagerte SoD-Reporting untersucht die SAP-User oder SAP-Rollen auf existierende Risiken. Dabei wird die hinterlegte SoD-Matrix gegen die SAP-User oder SAP-Rollen gepr\u00fcft und Ergebnisse werden im Excel-Format angezeigt.<\/p>\n

Risikopr\u00fcfung<\/h3>\n

Seit Februar 2015 kann sich der Stromnetzbetreiber auf eine pr\u00e4ventive Pr\u00fcfung der SoD-Risiken bei der Online-Pflege von SAP-Usern und SAP-Rollen verlassen.<\/p>\n

Eine nachgelagerte Pr\u00fcfung aller SoD-Risiken erfolgt mit der Ciber Compliance Suite ebenfalls pro Quartal.<\/p>\n

\u201eWir freuen uns sehr, auch das Folgeprojekt zur Einf\u00fchrung unserer Compliance Suite zur Zufriedenheit unseres Kunden gemeistert zu haben. <\/em><\/p>\n

Dass ein weltweites Pilotprojekt im Rahmen einer internationalen Zusammenarbeit so reibungslos und erfolgreich verl\u00e4uft, ist sicher nicht selbstverst\u00e4ndlich\u201c<\/em><\/p>\n

wei\u00df Mario Hendrich, Projektleiter und Team Lead \u201eCompliance Services\u201c bei Ciber.<\/p>\n

Projektergebnisse<\/h3>\n

Mit der Durchf\u00fchrung beider Projekte wurden f\u00fcr die TenneT folgende Ergebnisse erzielt:<\/p>\n