Risiken in SAP-Systemen: Zugriffskontrolle
Die Deutschsprachige SAP-Anwendergruppe e.V. (DSAG) hat Leitlinien zur IT-Sicherheit veröffentlicht. Wie die Wirksamkeit von Kontrollen am besten überprüft und GRC Access Control in SAP-Systemen sicher gemacht werden kann, zeigen zwei neue Dokumente der DSAG: Die beiden Leitfäden beleuchten nicht nur gesetzliche und fachliche Anforderungen, sie geben auch Handlungsempfehlungen.
"Compliance" ist ein zentraler Punkt: IT-Systeme sollen revisionssicher betrieben werden. Zudem muss die Sicherheit der Zugriffe auf Programme und Daten gewährleistet sein. Vor diesem Hintergrund sind Unternehmen gefordert, den fachlichen, organisatorischen und gesetzlichen Ansprüche gerecht zu werden. Zugriff auf Daten und Programme darf nur erhalten, wer sie für seine Aufgabenerfüllung benötigt und zu deren Zugriff er berechtigt ist.
Das gab den Ausschlag für den Arbeitskreis Revision und Risikomanagement der DSAG, den Leitfaden SAP ERP 6.0 zu aktualisieren – und zwar mit dem Ziel, Best-Practice-Empfehlungen für die Prüfung von SAP-Anwendungen zu geben. Wichtige Ergänzungen finden Anwender/innen speziell zu Prüfungen innerhalb der GRC-Suite und zu SAP HANA.
Einen Schritt weiter geht die Arbeitsgruppe GRC (Governance, Risk Management, Compliance) mit dem Leitfaden zu SAP GRC Access Control 10.0 und ihren Einzelkomponenten: Die Handlungsempfehlung kann als Wegweiser dienen, um potenzielle Stolperfallen zu vermeiden. Rechtliche Anforderungen der Wirtschaftsprüfung und Revision sowie fachliche und gesetzliche Anforderungen aus Corporate Governance, dem Bilanzrechtmodernisierungsgesetz (BilMoG) und Mindestanforderungen an das Risikomanagement von Finanzinstituten und Versicherungen (MaRisk) sind hier wichtige Themen. Die Autoren nutzten erstmals auch einen Praxisbericht eines DAX-Unternehmens und zeigen anhand dessen die Bandbreite heutiger Compliance-Anforderungen.
Die Handlungsempfehlungen der DSAG können hier heruntergeladen werden:(AH)
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.
Das könnte Sie auch interessieren