Das Ziel dieses Buches ist es, ein praktikables Berechtigungskonzept zu erstellen, welches alle Anforderungen an ein Internes Kontrollsystem erfüllt. Hierbei soll für ein nicht existierendes Beispielunternehmen im Mittelstand dargestellt werden, wie bei der Erstellung eines Berechtigungskonzeptes vorgegangen werden kann. Weiterhin soll aufgezeigt werden, wie die Anforderungen des Internen Kontrollsys-tems bestmöglich umgesetzt werden können, um ein Berechtigungskonzept zu erhal-ten, welches überschaubar und somit praktikabel ist. Letztendlich ist es auch ein Ziel, dass das Berechtigungskonzept in der Lage ist, flexibel auf Änderungen zu reagieren.

Textprobe: Kapitel 5.3.3, Exemplarische Rolle für den Einkauf Aktivitäten: Nun sollen exemplarische Rollen für die Aktivitäten im Einkauf erstellt werden. Zunächst wurde eine Analyse auf Transaktionsebene mit Hilfe des Virsa Compliance Calibrators, wie in Kapitel vier gezeigt, durchgeführt. Es wurden kritische Transaktionen und SoD Konflikte ermittelt. Die kritischen Transaktionen sollen zuerst betrachtet werden. Es handelt sich hier um die Transaktionen MEMASSPO (Massenpflege Bestellungen), ME59 (automatische Erstellung von Bestellungen), MEMASSIN (Massenpflege Einkaufsinfosätze), MEMASSRQ (Massenpflege Bestellanforderungen). Bei drei der vier kritischen Transaktionen handelt es sich um Transaktionen zur Massenpflege. Diese Berechtigung sollte nur sehr gezielt und wenn befristet erteilt werden. Die Benutzung muss einer Kontrolle unterliegen. Es sollte ähnlich wie bei einem Notfallbenutzer einen Massenpflege-Benutzer geben, der gezielt und nur unter ausreichender Dokumentation zur Anwendung kommt. Hier sollte das Superuser Privilege Management Einsatz finden. Bei der Durchführung einer Massenpflege besteht immer das Risiko, dass Daten gewollt oder ungewollt manipuliert werden können und somit dem Unternehmen Schaden zugefügt werden könnte. Eine automatische Bestellschreibung ist ebenfalls kritisch zu sehen, da gewollt oder ungewollt sehr viele Bestellungen erzeugt werden können. Es gibt die Möglichkeit, im Materialstamm ein Kennzeichen für eine automatische Bestellerzeugung zu setzen. Es sollte mit diesem Kennzeichen gearbeitet werden, anstelle mit einer Massenverarbeitung. Der Vorteil besteht darin, dass die Bestellanforderung manuell freigegeben werden muss und somit eine Kontrolle des Bestellvolumens erfolgen kann. Die Freigabe von Bestellanforderungen muss wiederum im Internen Kontrollsystem geregelt und überprüft werden. Die vier kritischen Transaktionen sind zu streichen: Die drei Massenpflege Transaktionen sind in der Rolle SAP_MM_PUR_MASS_CHANGE für die Massenpflege enthalten. Diese Rolle kann gestrichen werden. Die Transaktion ME59 ist in der Rolle SAP_MM_PUR_PURCHASEORDER enthalten. Die Transaktion muss aus der Rolle gestrichen werden. Die Streichung der kritischen Transaktionen bewirkt eine Minimierung der Konflikte um 23, so dass 67 Konflikte verbleiben. Zunächst wird die Rolle SAP_MM_SE_CLERK gestrichen. Die Leistungserfassung wird im Rechnungswesen des Unternehmens ausgeführt und die Berechtigungen werden daher vom Einkauf nicht benötigt. Durch die Zurücknahme der Rolle wurden sieben Konflikte eliminiert und es verbleiben 60 Konflikte. Nun sollen die verbleibenden High Konflikte betrachtet werden. Diese werden alle durch die Transaktion ME28 für Bestellung freigeben ausgelöst. Im Beispielunternehmen erfolgt die Bestellfreigabe durch eine Unterschrift auf der Bestellung. Die Bestellfreigabe ist nach Wertgrenzen gegliedert. Dieser Prozess ist durch das Interne Kontrollsystem zu kontrollieren und sicher zu stellen. Eine Freigabe in SAP muss nicht erfolgen und die Transaktion ist somit zu streichen. Die Transaktion ist in der Rolle SAP_MM_PUR_PO_RELEASE enthalten. Die Rolle enthält keine weiteren Transaktionen und kann somit entfernt werden. Es sind weitere acht Konflikte entfallen und es verbleiben 52. Diese Konflikte gehören alle der Kategorie Medium an. Die nächste Transaktion, die betrachtet werden soll, ist die ML81N zur Leistungserfassung. Diese Funktion ist auch dem Rechnungswesen zuzuordnen. Die Transaktion ist in der Rolle SAP_MM_PUR_SERVICE enthalten. Die Rolle enthält nur diese eine Transaktion und wird gestrichen. Es wurden vier Konflikte eliminiert und es verbleiben. Die Transaktion ML46 zur Änderung der Dienstleistungskonditionen ist in der Rolle SAP_MM_PUR_SERVICE_CONDITIONS enthalten. Weiterhin befinden sich die Anlage und die Anzeige in dieser Rolle. Das Unternehmen bezieht keine Dienstleistungen. Die Transaktionen werden somit nicht benötigt. Die Rolle ist nicht zu verwenden, es entfallen somit weitere vier Konflikte und es verbleiben. Bei der Transaktion ME55 für die Sammelfreigabe von Bestellanforderungen verhält es sich ähnlich wie bei der automatischen Erzeugung von Bestellungen. Das Risiko, dass versehentlich oder gewollt Bestellanforderungen freigegeben werden, ist sehr hoch. Die Transaktion sollte daher nicht vergeben werden, auch um eine Einzelprüfung zu gewährleisten. Die Transaktion ist in der Rolle SAP_MM_PUR_PR_RELEASE enthalten und sollte dort gelöscht werden. Die Streichung der Sammelfreigabe führt zu einer Minimierung von 16 Konflikten und es verbleiben. Die Transaktion ME25 ermöglicht es, dass eine Bestellung ohne Bestellanforderung und mit Bezugsquellenermittlung angelegt wird. Im Beispielunternehmen ist es geregelt, dass eine Bestellung nicht ohne Bestellanforderung erfolgen darf. Die Transaktion ist in der Rolle SAP_MM_PUR_PURCHASEORDER enthalten und muss dort herausgelöst werden. Es konnten drei Konflikte eliminiert werden und es verbleiben. Nun soll die Transaktion ME51N für Bestellanforderung anlegen betrachtet werden. Diese darf vom Einkauf nicht ausgeführt werden, da er das ausführende und nicht das auslösende Organ für einen Bestellvorgang ist. Die Transaktion ist in der Rolle SAP_MM_PUR_PURCHASEREQUISITION enthalten und muss dort gestrichen werden. Es wurden sechs Konflikte eliminiert und es verbleiben. Es verbleiben nun Konflikte zwischen Bestellanforderung, Bestellung, Kontrakte, Lieferplänen und Preisänderungen. Diese Funktionen werden nicht von allen Mitarbeitern des Beispielunternehmens ausgeführt. Die Funktionen für Bestellanforderung und Bestellung werden von allen Mitarbeitern benötigt. Diese Konflikte werden also bestehen bleiben und müssen durch Mitigationen gelöst werden. Die aufgestellten Mitigationen werden im Compliance Calibrator hinterlegt. Kontrakte und Lieferpläne werden zentral von einem Mitarbeiter bearbeitet. Für diesen Mitarbeiter ist ein zweiter Mitarbeiter als Vertreter benannt. Diese Funktionen können in einer extra Rolle zusammengefasst werden. Die Preispflege wird von dem Mitarbeiter zentral ausgeführt, der auch für die Kontrakte und Lieferpläne zuständig ist. Es gibt hierfür keine Vertretung. Es sind auf Basis der Konflikte zwei weitere Rollen zu bilden. Es müssen für alle Mitarbeiter im Einkauf Mitigationen erstellt werden, da kein Mitarbeiter konfliktfrei sein wird. Für die Bildung der eigentlichen Rollen werden zunächst die konfliktfreien Rollen ermittelt: Von den verbliebenen 45 Rollen sind 36 Rollen konfliktfrei, d.h. es gibt noch neun Rollen mit Konflikten. Die nachfolgende Tabelle gibt hierüber einen Überblick:

• SoD

• Funktionstrennung

• Compliance

• Rollenkonzept

• Berechtigungsprofil

• ERP-System

• Compliance Calibrator

• Internes Kontrollsystem