Was Sie zum Berechtigungskonzept bei der Einführung von SAP S/4HANA beachten müssen?

veröffentlicht am 21. Juli 2021

Mit der Migration von SAP ECC auf HANA und FIORI-Nutzung ist ein neues Berechtigungskonzept unabdingbar, das technische Back-End wurde bei S4/HANA komplett überarbeitet. Notwendigerweise sind somit auch neue Berechtigungskonzepte fundamental für ein erfolgreiches Berechtigungsmanagement unter SAP S4/HANA. Irrtümlicherweise wird S4/HANA als konkludente Weiterentwicklung der SAP Business Suite wahrgenommen. Dem ist zu widersprechen, da es sich bei S4/HANA nicht um eine originäre Weiterentwicklung der ursprünglichen SAP ERP handelt.

Demzufolge sind die technischen Systemvoraussetzungen und die genutzten Apps als auch die eingesetzten Berechtigungen zwingend kritisch zu würdigen. Bekanntermaßen fallen in SAP S/4HANA Transaktionen teilweise weg oder werden durch neue Transaktionen und SAP FIORI-Apps ersetzt.

Prinzipien zur Berechtigungsvergabe

Allgemein gilt das Prinzip der minimalen Rechtevergabe, Funktionstrennung und Autorisierungsverfahren. Vereinfacht gesagt: Benutzer sollten in IT-Systemen so wenig Berechtigungen wie möglich und so viele wie nötig erhalten. Dabei ist auf eine Trennung von kritischen Funktionen über die Berechtigungsvergabe zu achten. In diesem Zusammenhang bietet sich auch ein turnusmäßig durchzuführender Berechtigungsreview an, damit Änderungen und Aktualisierungen zeitnah systemseitig umgesetzt werden können.

Infolgedessen bietet die schlanke Umsetzung des neuen Berechtigungskonzepts – ganz gleich, ob es sich hierbei um eine SAP S/4HANA-Einführung oder das Re-Design bestehender Rollen/Rechte handelt – außerordentliche Vorzüge mit sich.

Ein paar Tipps zur Erarbeitung des neuen Berechtigungskonzepts!

Nun steht die Frage im Raum, wie ein neues Berechtigungskonzept in SAP S/4HANA erstellt werden sollte, bei dem gewährleistet ist, dass jeder Benutzer von Anfang an genau die Berechtigungen hat, die er benötigt? Und das ohne kontraproduktive Widerstände und Berechtigungsprobleme? Mit SAP-Standardmitteln ist das über den Profilgenerator nur mit einem sehr großen manuellen Aufwand möglich.

Eine kleine Auswahl an zentralen Fragestellungen und Herausforderungen bei der erfolgreichen Einführung von SAP S4/HANA ist nachfolgend aufgeführt:

Welche Berechtigungen wurden in den letzten 12-24 Monaten vom Benutzer verwendet? Hier empfehlen wir die Auswertung über den SAP Workload Monitor.
Wie sieht die aktuelle Rechte-Rollen-Matrix aus?
Wurden die Rollen im Kontext der SU24 bzw. PFCG erstellt oder enthalten Ihre Berechtigungsrollen individuelle und manuelle Berechtigungsobjekte?
Wurden die regulatorischen und internen Vorgaben (Berechtigungskonzept) in den bestehenden Rollen berücksichtigt?
Werden im Rahmen der SAP S4/HANA-Migration auch neue Prozesse und Kontrollen eingeführt?
Welche FIORI Apps werden zukünftig genutzt? Kommen weitere Berechtigungen für Cloud Plattformen wie ARIBA etc. hinzu?

Kurzum sollte man bei der Implementierung des neuen SAP-Berechtigungskonzepts die Chancen und Risiken immerzu im Auge behalten.

Nutzung von Funktionsrollen/Businessrollen

Die Vergabe von Berechtigungen sollte im Prinzip auf Grundlage von Funktionsrollen erfolgen. Eine Funktionsrolle beinhaltet alle notwendigen Berechtigungen, die zur Umsetzung der erforderlichen Tätigkeit zugrunde liegen. Business- oder auch Arbeitsplatzrollen ermöglichen es, einer Berechtigung einen aussagekräftigen Namen zu geben. Ferner sollte im Grunde genommen die Differenzierung von lesenden Zugriffen, buchenden Vorgängen und Arbeiten im unmittelbaren Umfeld der Stammdatenverwaltung bedacht werden, um im Zuge dessen potentielle IKS-Konflikte auf Grund von Funktionstrennungskonflikten zu vermeiden.

Mit Tool-Unterstützung geht es einfacher

Bis zu einer bestimmten Unternehmensgröße kann, ergänzend zum SIVIS Extension Manager¹, noch mit SAP-Bordmitteln wie dem Transaktionscode PFCG gearbeitet werden. Je höher die Anzahl der verwalteten SAP Systeme, Buchungskreise und Benutzerzahlen ist, desto eher lohnt sich der Einsatz von unterstützenden Tools (CheckAud, SAP GRC, RP hausinterne Lösung i.V.m. Analytics4Audit).

Es gilt die Devise: Je komplexer das Projekt, desto wichtiger sind passgenaue Berechtigungen und Rollenkonzepte. Im Umkehrschluss ist ein Berechtigungskonzept der Grundpfeiler eines erfolgreichen Roll-Out’s.

____________________________________________________
¹ Der SIVIS Extension Manager unterstützt die SAP-Berechtigungsvergabe, indem er passende SAP-Berechtigungen findet und zuordnet. Er ermittelt, welche Berechtigungen in welchen Rollen vorhanden sind und liefert dadurch eine Trefferliste mit geeigneten Vorschlagswerten. Die anschließende Realisierung erfolgt ohne manuellen Aufwand. Dadurch wird aufwendige Analysearbeit gespart und der Bau der SAP-Rollen wird beschleunigt.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *	**
Frage *	*

Datenschutzerklärung *

Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.

*
Einwilligung

Ja, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.

Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.