Information et éducation par et pour la communauté SAP

Pilotprojekt für neue Compliance Suite

Wer darf was? In SAP-Systemen bestimmen die SAP-Berechtigungen, wer welche Daten zu sehen bekommt oder diese bearbeiten darf. Das Problem dabei: Je größer die Firma, desto leichter geht der Überblick über die SAP-Berechtigungen verloren, auch durch den Einsatz von zu vielen Rollen.
Magazine E-3
2 juillet 2015
2015
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Das Systemhaus Ciber hat beim Übertragungsnetzbetreiber TenneT TSO ein neues SAP-Berechtigungskonzept mit eindeutigen Jobrollen eingeführt: Aus über 5000 Rollen wurden so nur noch rund 200 Jobrollen.

Das Redesign sorgt für Transparenz in den SAP-Berechtigungen, vereinfacht und harmonisiert die Prozesse zur SAP User Administration und garantiert gemeinsam mit Cibers hauseigener Ciber Compliance Suite (CCS) die kontinuierliche Einhaltung der Compliance-Richtlinien.

Ciber hat in einem weltweiten Pilotprojekt seine hauseigene Compliance Suite erfolgreich bei TenneT TSO implementiert. Ciber hat dabei die zwei Komponenten Ciber Usage Monitor und Ciber Access Control sukzessive beim deutschen Stromnetzbetreiber mit Sitz in Bayreuth eingeführt.

Phase 1: Redesign des SAP-Berechtigungskonzepts

Das umfangreiche Projekt nahm seinen Anfang 2013 mit dem Redesign des SAP-Berechtigungskonzepts. Ciber hatte sich in der Ausschreibung gegen mehrere spezialisierte Mitbewerber durchgesetzt.

Ausschlaggebend für die Wahl von Ciber waren in erster Linie die bestehenden Referenzen durch ähnliche Projekte mit hochzufriedenen Kunden. Zudem überzeugten die von Ciber vorgeschlagene, gut strukturierte Vorgehensweise bei der Durchführung des Redesign-Projekts, das erfahrene Beraterteam, die Präsentation des Projekts beim Kunden sowie das Vertrauen in Ciber als bewährter CMS-Service-Provider.

Rollen drastisch reduziert

Ein Kernanliegen des Redesigns war die Anpassung der SAP-Berechtigungen an die neue Organisation, nachdem die TenneT aus der E.ON hervorgegangen war. Die in der Folge auftretenden vielen Rollen, unzureichende Transparenz für Verantwortliche und das Fehlen von SAP-Berechtigungen erforderten neue Lösungen.

Ciber definierte daher die SAP-Berechtigungen unter Nutzung der eigenen Best-Practice-Rollen im April 2014 auf den ­ECC-, SRM-, BI- und HCM-Systemen komplett neu.

Dazu band Ciber die TenneT Key User in das Rollen-Design eng mit ein. Dank dieser Vorgehensweise kennen diese sehr genau ihre jeweiligen Rollen.

Gemeinsam wurden erstmals die Segregation-of-Duties-(SoD-)Risiken definiert, beim Design der Rollen berücksichtigt und so weit wie möglich reduziert. Die CCS von Ciber überwacht diese SoD-Risiken ständig.

Phase 2: Einsatz der Ciber Compliance Suite

Im September 2014 startete dann das logische Folgeprojekt, in dem das Heidelberger Beratungshaus zusammen mit Ciber Dänemark bei TenneT die hauseigene Ciber Compliance Suite (CCS) zur Kon­trolle der Systemnutzung und der SoD-Risiken in den ECC- und HCM-Systemen implementierte.

Schrittweise wurde zunächst das Customizing der CCS-Produkte durchgeführt, bevor der Aufbau des Ciber Usage Monitors für die Optimierung der SAP-Systemvermessung folgte.

Die letzte Projektetappe bestand in der anschließenden Implementierung des Tools Ciber Access Control, das SoD-Risiken in SAP-Berechtigungen stets direkt erkennt und TenneT eine kontinuierliche Compliance sichert.

So funktioniert Ciber Access Control

Im Access Control von Ciber ist eine SoD-Matrix hinterlegt, wobei ein SoD-Risiko immer aus der Kombination von zwei SAP-Funktionen besteht, z. B.: „F1 – Bestellungen bearbeiten“ und „F2 – Wareneingang buchen“. Im Tool sind dann die zugehörigen SAP-Transaktionen, Berechtigungsobjekte und Werte hinterlegt.

Die präventive SoD-Prüfung soll Antworten auf folgende Fragen liefern: Welche Berechtigungen werden neu eingetragen? Ergeben diese selbst ein SoD-Risiko? Besteht ein Risiko in Kombination mit bestehenden Berechtigungen beim User oder in Rollen?

Wenn Risiken vorhanden sind, erscheinen diese abhängig von den CSS-Einstellungen im SAP. Es sind nun drei Aktionen möglich: „Risiko nur als Meldung anzeigen“, „Eine Doku muss zur Genehmigung des Risikos angehängt werden“ et „Die Änderung wird blockiert, da das Risiko nicht erlaubt ist“.

Das nachgelagerte SoD-Reporting untersucht die SAP-User oder SAP-Rollen auf existierende Risiken. Dabei wird die hinterlegte SoD-Matrix gegen die SAP-User oder SAP-Rollen geprüft und Ergebnisse werden im Excel-Format angezeigt.

Risikoprüfung

Seit Februar 2015 kann sich der Stromnetzbetreiber auf eine präventive Prüfung der SoD-Risiken bei der Online-Pflege von SAP-Usern und SAP-Rollen verlassen.

Eine nachgelagerte Prüfung aller SoD-Risiken erfolgt mit der Ciber Compliance Suite ebenfalls pro Quartal.

„Wir freuen uns sehr, auch das Folgeprojekt zur Einführung unserer Compliance Suite zur Zufriedenheit unseres Kunden gemeistert zu haben.

Dass ein weltweites Pilotprojekt im Rahmen einer internationalen Zusammenarbeit so reibungslos und erfolgreich verläuft, ist sicher nicht selbstverständlich“

weiß Mario Hendrich, Projektleiter und Team Lead „Compliance Services“ bei Ciber.

Projektergebnisse

Mit der Durchführung beider Projekte wurden für die TenneT folgende Ergebnisse erzielt:

  • Vereinfachung des Prozesses zur SAP User Administration durch die Reduzierung der Rollen im TenneT-Rollen-Portal von über 5.000 auf circa 200 Jobrollen
  • Transparenz für TenneT-Rollen-Verantwortliche über Rolleninhalte und Rollenzuordnungen
  • Definition und Reduzierung der Segregation-of-Duties-(SoD-)Risiken für TenneT in den SAP-User-Berechtigungen
  • Sicherstellung einer kontinuierlichen Compliance in SAP-Berechtigungen durch das Tool Ciber Access Control
  • Optimierte Zuordnung der SAP-Lizenzen zu den SAP-Usern durch strukturierte Jobrollen und Monitoring der SAP-Nutzung über das Tool Ciber Usage Monitor
avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.