Berechtigungsprüfung mit Dynamic Security Recording (DSR)

Für einen ehemaligen Arbeitgeber wurde ein Software-Lösung gesucht, um mit Hilfe einer Toolunterstützung die mittlerweile angewachsenen SAP-Berechtigungen zu analysieren. Anschließend sollten die Berechtigungen einer fortlaufenden Kontrolle unterzogen werden, die mit Hilfe einer anpassbaren Risiko- und Kontrollmatrix gesteuert wird. Weiterhin sollte das Tool über geeignete Funktionen verfügen, um ein automatisiertes Reporting an die Fachabteilung und der IT zu ermöglichen. Neben den eigenen Unternehmensinteressen nach bedarfsgerechten Berechtigungen stand hier auch die rechtliche Notwendigkeit (GoBS – Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Teilziffer 5.5.1) einer solchen regelmäßigen Kontrolle im Fokus der Umsetzung.

Nach einer ausführlichen Marktrecherche und einem Produktvergleich fiel die Entscheidung für die Lösung DSR – Dynamic Security Recording von der Firma nexQuent GmbH aus Hamburg. Ausschlaggebend waren neben dem Preis (60% Bewertungskriterium) der Abdeckungsgrad der geforderten Funktionen, SAP-Integrietät, sowie Aufbau und Struktur der Lösung im Hinblick Bedienbarkeit und Wartung.

DSR – Dynamic Security Recording wurde in nur wenigen Tagen installiert. Durch den integrierten Konflikteditor konnten sukzessive bereits vorgefertigte Regel- und Prüfwerke einfach und schnell importiert werden, was den modularen Projekt-/Einführungsansatz der Lösung wesentlich unterstützt hat.

Nachdem alle benötigten Regelwerke installiert und weitere Details mit den Fachabteilungen abgestimmt wurden, waren meine Aufgaben:

  • Der Abgleich der Regelwerke auf Vollständigkeit (aus Sicht der Prüfungsverantwortlichen Fachabteilung wie FI, CO, MM, SD …)
  • Durchführung erster Prüfhandlungen und Abstimmung der Ergebnislisten mit Fachbereichen/Process-Ownern bezüglich Konfliktbewertungen (inhaltlich/qualitativ), sowie Vorbereitungen von kompensierenden Kontrollmaßnahmen
  • Rollout der Lösung in die Fachbereich und Unterstützung bei der abschließenden Bearbeitung der jeweiligen Konfliktlisten pro Fachbereich

Dabei war es von großer Hilfe, das anschließend die Lösung um ein Addon (DSR-sMaRT (SAPUI5 basiertes, mobiles Reporting Tool) für das Reporting erweitert wurde.

Somit konnte die Fachabteilung bzw. die Prüfungsverantwortlichen selbst über ein Single sign on Verfahren über das SAP Portal die Anwendung DSR-sMaRT starten,  und in einem Dashbord die für sie relevanten Prüfungsinformationen (Anzahl Konflikte nach Zeit, Risikoklasse, Entwicklung) einsehen und per Klick in Detailsichten abspringen, um die die eigentliche Prüfhandlung (Mitigation) vorzunehmen zu können.

Zusammenfassend kann ich sagen, das mit DSR und das Addon DSR Smart dem komplizierten und sensiblen Sachverhalt des regelmäßigen Berechtigungsaudits einfach und effizient beherrschbar gemacht wurde.

Wer also auf der Suche nach einer wirklich geeigneten Lösung ist, die auch was das Preis/Leistungsverhältnis angeht ebenfalls punktet, sollte sich nähere Informationen auf der Unternehmenswebsite ansehen https://www.nexquent.de/dsr-dynamic-security-recording-dsr-dsr-smart/

This entry was posted in Audit.