SAP reference books

Exceptionally Well Written !!

G. Mayer

Praxishandbuch für die Risikoanalyse mit SAP GRC Access Control

Dieser Praxisleitfaden hilft Ihnen, Beantragungs- und Änderungsprozesse von Benutzer-Zugriffsberechtigungen mit SAP GRC Access Control revisionssicher zu organisieren. Unabdingbare Basis dafür ist das Wissen um bestehende Risiken, deren Auswirkungen und d...

10% discount

Get a 10% discount now! Sign up for our newsletter and receive a 10% discount on the digital subscription for our SAP learning platform!

Table of content

  • Vorwort
  • Danksagung
  • 1 Risikokatalog
  • 2 Definition und Anpassung des Risikokatalogs
  • 3 Risikoanalyse
  • 4 Risikobereinigung
  • 5 Integration der Risikoanalyse in den Rollen- oder Benutzerworkflow
  • 6 Tipps & Tricks
  • 7 Fazit
  • A Die Autorin
  • B Disclaimer

More informationen

Author:

Bianca Folkerts

Category:

Security & Identity Management

Language:

German

Reading Sample

2.1 Tun Sie Gutes und reden Sie darüber – gute Gründe für ein Risikomanagement-System

Bei der Definition und Auswertung von Risiken höre ich immer wieder Phrasen wie:

  • »Wer soll denn die ganze Arbeit machen?«
  • »Da dauert ja die Bearbeitung eines Antrags Wochen!«
  • »Das zu verstehen, benötigt Wochen!«

Sie spiegeln die heutzutage fast normale und auch gut nachvollziehbare Befürchtung von noch mehr Arbeit wider.

Ich beantworte diese Reaktionen gerne mit einer beratertypischen Gegenphrase »Ja, aber …«:

»GRC Access Control macht Risiken nur einfacher sichtbar. Theoretisch ist ein Unternehmen auch ohne SAP Access Control verpflichtet, Risiken transparent zu machen und zu minimieren!«

Oder auch:

»Wollten Sie nicht immer schon mal eine Auswertung auf Knopfdruck darüber haben, wer alles auf ihre Daten/Prozesse zugreifen kann?«

Spätestens dann wird der Kollege seine spontane erste Schutzreaktion überdenken und zum Einlenken neigen (auch wenn er das erst einmal nicht zugeben mag): Die Erfüllung der rechtlichen Anforderungen ist ohne Tool nahezu unlösbar, da viel zu komplex, fehleranfällig und zeitraubend. Daher wurden entsprechende Maßnahmen (bis zur Einführung von SAP Access Control) in den Unternehmen einfach nicht umgesetzt. Eine Lösung? Wohl eher nicht.

Vermarkten Sie die Risikoanalyse als Erfolgsfaktor

Arbeiten Sie nicht mit erhobenem Zeigefinger, sondern vermarkten Sie die Zeitersparnis und den Transparenz-Gewinn. Dann werden Ihre Kollegen das Projekt schon nicht mehr ganz so argwöhnisch betrachten, sondern schnell begreifen, dass SAP Access Control ihnen eigentlich das Leben leichter macht und sie sich vor allem durch dessen Einsatz viel mehr um ihre eigentlichen Aufgaben kümmern können.

Oft werden GRC-Access-Control-Systeme ohne jegliches begleitendes »Marketing« eingeführt. Auslöser ist meist ein entsprechender Eintrag im Audit. Dort wird dann z.B. ein Tool für die Beantragung und Genehmigung von Benutzern oder auch die Implementierung eines Risikokatalogs gefordert. Sehr häufig verkommt dieses Tool anschließend zu einem reinen Werkzeug der »Auditorenbefriedigung«. Das dürfte nicht nur bei SAP GRC Access Control der Fall sein, sondern auch für jedes andere Tool mit entsprechenden Funktionalitäten gelten.

Compliance-Tools zur Auditorenbefriedigung?

Wenn Sie für die Einführung eines GRC Access Controls verantwortlich oder an ihr beteiligt sind, überlegen Sie sich genau, ob Sie das Argument »Die Auditoren fordern den Einsatz des Tools« wirklich zum Überzeugen nutzen wollen. Erinnern Sie vielmehr daran, dass dieses Tool die Zugriffsrisiken minimieren soll und somit die Sicherheit im Unternehmen zum Ziel hat. Der Einsatz und eine entsprechende Nutzung erhöhen somit – richtig begründet – das Vertrauen in das Unternehmen.
Durch passgenaues Marketing erhöhen Sie den Nutzen und Benefit des Tools über dessen eigentliche Funktionalitäten hinaus!

All contents. Learn more. Discover now.

et.training - Your learning platform for SAP software

  • Access to all learning content1
  • Regular new releases
  • Intelligent search algorithm
  • Innovative reading experience
  • Customized learning paths
  • Certificates & QA tests2

You already have an account?

1 You get access to all learning content. Online trainings, certificates are NOT part of the flat rate.

2 More information on request.