In jedem IT-Implementierungsprojekt kommt der Zeitpunkt, an dem sich die Verantwortlichen damit auseinandersetzen müssen, welche Mitarbeiter in welcher Form auf bestimmte Funktionalitäten zugreifen können. Oft beschäftigen sich Projektteams erst kurz vor der Produktivsetzung mit Zugängen und Berechtigungen. Damit riskieren sie allerdings nicht nur einen erheblichen Mehraufwand an Kosten und Zeit, sondern im schlimmsten Fall den gesamten Go-Live-Termin.
„Das ist leider eine Situation, die bei erstaunlich vielen Implementierungsprojekten vorkommt. Je nach Projektart kann das richtig teuer werden. Daher sollten Berechtigungskonzepte schon bei der Erstellung des Fachkonzeptes in der Planungsphase berücksichtigt werden“, sagt Bianca Folkerts, Associate Partnerin und Compliance-Verantwortliche bei der IT-Beratung ConVista Consulting. „Meine Empfehlung ist, in Projekten ein Quality-Gate ‚Berechtigungen’ zu integrieren und bereits in Vorlagen für Fachkonzepte ein Kapitel ‚Integration ins Berechtigungskonzept’ einzuarbeiten“, so die Expertin weiter.
Richtige Frage – falscher Zeitpunkt
Oft werden die richtigen Fragen zu spät gestellt: Erst kurz vor dem Go-Live fragt man sich beispielsweise, wie die verschiedenen Abteilungen auf die neuen Funktionalitäten zugreifen sollen oder welche Daten nach welchem Kriterium geschützt werden müssen. Nicht selten zeigt eine nähere Überprüfung dann, dass zusätzliche Berechtigungen nötig sind oder im schlimmsten Fall der Zuschnitt der bestehenden Berechtigungsrollen nicht mehr auf den neuen Prozess passt. „Im Nachhinein ist es in der Regel zum Beispiel auch sehr schwierig, Berechtigungsgruppen für Sachkonten, Kreditoren oder Debitoren zu definieren. Und die Einführung einer Funktionalität oder eines Reports bringt auch nichts, wenn später niemand damit arbeiten kann“, erläutert Folkerts. Sinnvoll ist es also, wenn die entsprechenden Anforderungen schon im Fachkonzept dokumentiert und im Customizing umgesetzt werden.
Risiko-und Testmanagement inklusive
Das rechtzeitige Durchdenken dieser Thematik bietet noch einen weiteren Vorteil: Stehen die fachlichen Tests an, können bestehende Berechtigungskonzepte gleich mitgetestet werden. Das bedeutet einen deutlich reduzierten Aufwand. „Hierzu empfehlen wir, die Testfälle um entsprechende Angaben zu ergänzen. Man testet dann sowohl die fachlichen Prozesse als auch die dazugehörigen Berechtigungen. Erfahrungsgemäß werden Berechtigungen oft erst in Produktion nach dem Go-Live getestet. Wenn dann noch Änderungen anstehen, werden Zugänge oft brachial an alle vergeben. Im Sinne eines soliden Risikomanagements ist das natürlich eine Katastrophe“, so Folkerts.
Ganzheitlicher Ansatz
Als IT-Beratungshaus und langjähriger SAP-Partner implementiert ConVista Consulting das SAP-Tool SAP Business Objects GRC. Ein gut strukturiertes Berechtigungskonzept ist dabei die Grundlage für ein effizientes Access Control Management. Schon in der Planungsphase unterstützt ConVista seine Kunden bei der Gestaltung und Realisierung eines Berechtigungskonzeptes und bei der Definition und Ausprägung von Rollen. Hierfür werden nicht nur die Gesetzgebung und interne Richtlinien mit in die Überlegung einbezogen. Die Experten analysieren auch die Prozesse und Stellenbeschreibungen und betrachten das systemtechnische Umfeld, definierte Namenskonventionen und Verantwortlichkeiten. Die Konzeption erfolgt mit Blick auf die notwendige Flexibilität, beispielsweise bei Unternehmenszukäufen und strukturellen Anpassungen in der Organisation. Bianca Folkerts ist überzeugt: „Mit diesem umfassenden Ansatz bieten wir unseren Kunden Sicherheit und schützen sie vor bösen Überraschungen.“
„Das ist leider eine Situation, die bei erstaunlich vielen Implementierungsprojekten vorkommt. Je nach Projektart kann das richtig teuer werden. Daher sollten Berechtigungskonzepte schon bei der Erstellung des Fachkonzeptes in der Planungsphase berücksichtigt werden“, sagt Bianca Folkerts, Associate Partnerin und Compliance-Verantwortliche bei der IT-Beratung ConVista Consulting. „Meine Empfehlung ist, in Projekten ein Quality-Gate ‚Berechtigungen’ zu integrieren und bereits in Vorlagen für Fachkonzepte ein Kapitel ‚Integration ins Berechtigungskonzept’ einzuarbeiten“, so die Expertin weiter.
Richtige Frage – falscher Zeitpunkt
Oft werden die richtigen Fragen zu spät gestellt: Erst kurz vor dem Go-Live fragt man sich beispielsweise, wie die verschiedenen Abteilungen auf die neuen Funktionalitäten zugreifen sollen oder welche Daten nach welchem Kriterium geschützt werden müssen. Nicht selten zeigt eine nähere Überprüfung dann, dass zusätzliche Berechtigungen nötig sind oder im schlimmsten Fall der Zuschnitt der bestehenden Berechtigungsrollen nicht mehr auf den neuen Prozess passt. „Im Nachhinein ist es in der Regel zum Beispiel auch sehr schwierig, Berechtigungsgruppen für Sachkonten, Kreditoren oder Debitoren zu definieren. Und die Einführung einer Funktionalität oder eines Reports bringt auch nichts, wenn später niemand damit arbeiten kann“, erläutert Folkerts. Sinnvoll ist es also, wenn die entsprechenden Anforderungen schon im Fachkonzept dokumentiert und im Customizing umgesetzt werden.
Risiko-und Testmanagement inklusive
Das rechtzeitige Durchdenken dieser Thematik bietet noch einen weiteren Vorteil: Stehen die fachlichen Tests an, können bestehende Berechtigungskonzepte gleich mitgetestet werden. Das bedeutet einen deutlich reduzierten Aufwand. „Hierzu empfehlen wir, die Testfälle um entsprechende Angaben zu ergänzen. Man testet dann sowohl die fachlichen Prozesse als auch die dazugehörigen Berechtigungen. Erfahrungsgemäß werden Berechtigungen oft erst in Produktion nach dem Go-Live getestet. Wenn dann noch Änderungen anstehen, werden Zugänge oft brachial an alle vergeben. Im Sinne eines soliden Risikomanagements ist das natürlich eine Katastrophe“, so Folkerts.
Ganzheitlicher Ansatz
Als IT-Beratungshaus und langjähriger SAP-Partner implementiert ConVista Consulting das SAP-Tool SAP Business Objects GRC. Ein gut strukturiertes Berechtigungskonzept ist dabei die Grundlage für ein effizientes Access Control Management. Schon in der Planungsphase unterstützt ConVista seine Kunden bei der Gestaltung und Realisierung eines Berechtigungskonzeptes und bei der Definition und Ausprägung von Rollen. Hierfür werden nicht nur die Gesetzgebung und interne Richtlinien mit in die Überlegung einbezogen. Die Experten analysieren auch die Prozesse und Stellenbeschreibungen und betrachten das systemtechnische Umfeld, definierte Namenskonventionen und Verantwortlichkeiten. Die Konzeption erfolgt mit Blick auf die notwendige Flexibilität, beispielsweise bei Unternehmenszukäufen und strukturellen Anpassungen in der Organisation. Bianca Folkerts ist überzeugt: „Mit diesem umfassenden Ansatz bieten wir unseren Kunden Sicherheit und schützen sie vor bösen Überraschungen.“
