SAP Systeme: User Berech­ti­gungen mit Konzept steuern

SAP Systeme: User Berech­ti­gungen mit Konzept steuern

In IT Systemen, auf die verschiedene Nutzer Zugriff haben, weichen die Berech­ti­gungen in der Regel vonein­ander ab. Wie ein Berech­ti­gungs­konzept für SAP Systeme und das neue SAP S/4HANA for Group Reporting aussehen kann.

Ziel eines Berechtigungskonzepts

Das Ziel eines Berech­ti­gungs­kon­zepts besteht darin, jeden User nach einer vorher defi­nierten Regel indi­vi­duell für seine Aufgaben mit den entspre­chenden Berech­ti­gungen im System zu versehen. Hierfür muss ein Berech­ti­gungs­konzept als Fundament für eine effi­ziente Berech­ti­gungs­vergabe definiert werden. So erhält jeder Mitar­beiter durch die rollen­spe­zi­fische Vergabe von Berech­ti­gungen entspre­chend seiner Aufgaben System-Zugriff. Damit können einer­seits sensible Infor­ma­tionen geschützt und ande­rer­seits Schäden durch falsche Verwendung von Daten verhindert werden.

Für ein Berech­ti­gungs­konzept muss ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll. Darin sollte aufge­listet werden, welche regu­la­to­ri­schen Auflagen das jeweilige  System und das zuge­hörige Berech­ti­gungs­konzept berück­sich­tigen muss. Auf diese Weise werden die recht­lichen Rahmen­be­din­gungen fest­gelegt, welche eine juris­tische Notwen­digkeit zur erfolg­reichen Umsetzung darstellen.

Eine universal anwendbare Vorlage für ein zuver­läs­siges und funk­tio­nie­rendes Berech­ti­gungs­konzept existiert aufgrund der Indi­vi­dua­lität und der unter­schied­lichen Prozesse innerhalb jedes Unter­nehmens nicht. Im Rahmen der Erstellung müssen somit die Struk­turen des Unter­nehmens und die rele­vanten Prozesse genau analy­siert werden. Einige Kern­ele­mente des zu erstel­lenden Berech­ti­gungs­kon­zepts können im Vorfeld definiert werden. Dazu gehören das über­ge­ordnete Ziel, die recht­lichen Rahmen­be­din­gungen, eine Namens­kon­vention, die Klärung von Verant­wort­lich­keiten und Prozess­ab­läufen für das Benutzer- wie auch Berech­ti­gungs­ma­nagement sowie die Ergänzung durch Sonder­be­rech­ti­gungen. Nur mit klar defi­nierten Verant­wort­lich­keiten wird die Wirk­samkeit eines Konzepts gewährleistet.

Berech­ti­gungs­kon­zepte in SAP Systemen

Das SAP Berech­ti­gungs­konzept schützt Trans­ak­tionen, Programme, Services und Infor­ma­tionen in SAP Systemen vor unbe­rech­tigtem Zugriff. Auf Basis des Berech­ti­gungs­kon­zepts weist der Admi­nis­trator den Benutzern die Berech­ti­gungen zu, welche die Aktionen bestimmen, die dieser Benutzer im SAP System ausführen kann, nachdem er sich ange­meldet und dabei authen­ti­fi­ziert hat.

Das vorde­fi­nierte Berech­ti­gungs­konzept einer SAP Lösung besteht aus mehreren Kern­ele­menten (siehe Abbildung 1).

Abbildung 1: Rollen und Profile in der Nutzer­ver­waltung (SAP Standard)

Single Role: Ermög­licht die auto­ma­tische Gene­rierung eines Berech­ti­gungs­profils. Die Rolle enthält die Berech­ti­gungs­daten und das Anmel­demenü für den Benutzer.

Composite role: Besteht aus einer belie­bigen Anzahl von Einzelrollen.

Autho­riz­ation: Mit einer Autho­riz­ation (Berech­tigung) kann ein Benutzer eine bestimmte Aktivität im SAP System basierend auf einem Satz von Berech­ti­gungs­ob­jekt­feld­werten ausführen. Berech­ti­gungen ermög­lichen Benutzern die Ausführung von Aktionen innerhalb des Systems.

Autho­riz­ation object: Berech­ti­gungs­ob­jekte sind Gruppen von Berech­ti­gungs­feldern, die eine bestimmte Aktivität steuern. Berech­ti­gungs­ob­jekte sollten immer im Vorfeld mit dem Nutzer­kreis definiert werden und beziehen sich dann auf eine bestimmte Aktion innerhalb des Systems.

Autho­riz­ation field: Berech­ti­gungs­felder sind die grund­le­genden Elemente eines Berechtigungsobjekts.

Wenn zum Beispiel in einem Berech­ti­gungs­objekt für einen Buchungs­kreis dem Benutzer die Möglichkeit gegeben werden soll, den Buchungs­kreis 1000 nur im Anzei­ge­modus (also nur lesend) zu verwenden, jedoch den Buchungs­kreis 2000 im Modus “Ändern” und “Anzeigen”, wird das Objekt entspre­chend mit zwei Instanzen definiert.

Um auf Geschäfts­ob­jekte zuzu­greifen oder SAP Trans­ak­tionen auszu­führen, benötigt ein Benutzer entspre­chende Berech­ti­gungen, da Geschäfts­ob­jekte oder Trans­ak­tionen durch Berech­ti­gungs­ob­jekte (Autho­riz­ation objects) mit mehreren Berech­ti­gungs­feldern (Autho­riz­ation fields) geschützt werden. Die Berech­ti­gungen stellen Instanzen gene­ri­scher Berech­ti­gungs­ob­jekte dar und werden abhängig von der Tätigkeit und den Verant­wort­lich­keiten des Mitar­beiters definiert. Die Berech­ti­gungen werden in einem Berech­ti­gungs­profil (Generated profil) zusam­men­ge­fasst, das einer Rolle zuge­ordnet ist. Die Benut­zer­ad­mi­nis­tra­toren ordnen dann die entspre­chenden Rollen (Single role oder Composite role) über den Benut­zer­stammsatz zu, sodass der Benutzer die entspre­chenden Trans­ak­tionen für seine Aufgaben verwenden kann.

Ein weiterer wichtiger Faktor, der in einem Berech­ti­gungs­konzept berück­sichtigt werden sollte, besteht darin, eine einheit­liche Namens­kon­vention zu verwenden, weil einer­seits vieles nach der Erst­be­nennung nicht mehr änderbar ist und ande­rer­seits so die Such­barkeit im SAP System sicher­ge­stellt wird. Zusätzlich sollten die vorein­ge­stellten Berech­ti­gungs­rollen des SAP System niemals über­schrieben oder gelöscht werden, sondern lediglich Kopien davon erstellt werden, welche dann beliebig angepasst werden können.

Im Bereich der Konzern­kon­so­li­dierung sorgt ein Berech­ti­gungs­konzept dafür, dass keine Daten bewusst mani­pu­liert werden können, um z.B. Bilanzen zu verändern. So kann erheb­licher finan­­zi­eller- oder Repu­ta­ti­ons­schaden gegenüber Banken und Stake­holdern verhindert werden. Des Weiteren muss der Zugriff auf Finanz­daten von Teil­be­reichen eines Konzerns, wie einzelne Geschäfts­be­reiche oder Gesell­schaften nur den Mitar­beitern vorbe­halten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätig­keiten dies erfordern. Daraus resul­tiert, dass z.B. ein Controller eines Geschäfts­be­reichs nur die konso­li­dierten Zahlen seines Geschäfts­be­reichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berech­ti­gungs­rollen werden bspw. für externe Wirt­schafts­prüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lese­zu­griff auf diese Daten besitzen.

Die vorein­ge­stellten Berech­ti­gungs­rollen des neuen SAP-Systems für die Konso­li­dierung und Planung, SAP Group Reporting,sind in der folgenden Grafik darge­stellt. Hierbei ist es nicht entscheidend, ob der Zugriff auf das System über den Browser (Fiori Launchpad) oder über den lokalen Zugang (SAP GUI) erfolgt. Die in der Grafik darge­stellten Berech­ti­gungs­rollen zeigen lediglich die durch SAP vorein­ge­stellten tech­ni­schen Spezi­fi­ka­tionen. Aller­dings können diese als Aufsatz­punkt genutzt und nach der Erstellung einer Kopie entspre­chend angepasst werden.

Abbildung 2: Vorein­ge­stellte Berech­ti­gungs­rollen in SAP Group Reporting

Grund­legend wird empfohlen das Thema Berech­ti­gungs­kon­zeption früh­zeitig in die Projekt­planung bei einer Neuim­ple­men­tierung aufzu­nehmen, um so spätere Nach­ar­beiten zu verhindern und außerdem die anfal­lende Abnahme durch externe Prüfer problemlos durch­laufen zu können.

 

Weiter News
  • CCH Tagetik Versions-Upgrade

    Von Tobias Gabler

  • Inte­grierte Finanzplanung

    Von Nils Conrads

  • Fore­casting 2030

    Von Christian Baumgarten