FAQ: Erkennung & Lösung von Funktionstrennungskonflikten (SoD)
Autor: Lucas Hoppe | 20. Juni 2024
Welche Maßnahmen helfen, SoD-Konflikte zu kompensieren? Sollten fachliche Verantwortliche oder die IT-Abteilung Prüfungen durchführen? Und wie sieht die Situation bei der Cloud BTP aus? Wir haben alle wichtigen Fragen zu Funktionstrennungskonflikten in diesem Artikel für Sie zusammengefasst.
Was sind Funktionstrennungskonflikte?
Funktionstrennungskonflikte (Segregation of Duties, SoD) treten auf, wenn eine Person mehrere Aufgaben übernimmt, die zu Interessenkonflikten führen oder Missbrauch ermöglichen könnten. Diese Konflikte sind besonders kritisch in der IT- und Finanzwelt, da sie die Integrität von Geschäftsprozessen gefährden können.
FAQs: Die spannendsten Fragen & Antworten zur Funktionstrennung
Welche rechtlichen Konsequenzen kann es haben, wenn man sich nicht um SoD-Konflikte kümmert?
Die Nichtbeachtung von SoD-Konflikten kann rechtliche Konsequenzen haben, insbesondere im Bereich der Buchführung. Wirtschaftsprüfer prüfen Berechtigungen, um sicherzustellen, dass die Buchführung korrekt und ordnungsgemäß erfolgt.
Funktionskonflikte können die ordnungsgemäße Buchführung beeinträchtigen, was zu Verstößen gegen das Handelsgesetzbuch (HGB) in Deutschland führen und ernsthafte Folgen für das Unternehmen haben könnte.
Wie wird mit SoD-Konflikten in der Cloud/BTP umgegangen?
In der BTP (Business Technology Platform) sind Funktionstrennungskonflikte hauptsächlich im technisch-administrativen Bereich relevant, da hier keine direkten Geschäftsprozesse ablaufen. Administratoren verwalten die Plattform, aber sie betreiben in der Regel keine Geschäftsprozesse. Daher ist es wichtig, angeschlossene Systeme zu betrachten und systemübergreifende Konflikte zu prüfen, besonders wenn Workflows wie Rechnungsprozesse mehrere Systeme umfassen.
Kann man von Auditoren verlangen, das Regelwerk mit auszugeben?
Ja, es sollte möglich sein, von Auditoren zu verlangen, das Regelwerk offenzulegen. Wenn Auditoren die Behebung von SoD-Konflikten fordern, müssen sie auch erläutern, was genau behoben werden soll. Sie müssen jedoch nicht vorgeben, wie die Konflikte zu beheben sind, aber zumindest die Grundlagen ihrer Prüfungen sollten offengelegt werden, damit das Unternehmen eine Chance hat, die Konflikte zu adressieren.
Gibt es eine Liste für kritische Berechtigungsobjekte, die SoD-Konflikte verursachen können, wie beispielsweise S-TCODE oder F_REGU_BUK?
Es gibt keine pauschale Liste von einzelnen Berechtigungsobjekten, die SoD-Konflikte verursachen, da diese Konflikte oft aus einer Kombination von Transaktionen und Funktionen entstehen. Kritische Berechtigungen können in verschiedenen Prüftools identifiziert werden, die spezifische Listen und Regeln zur Überwachung von SoD-Konflikten enthalten.
Welche beispielhaften Maßnahmen dienen zur Kompensierung von SoD-Konflikten?
Ein einfaches Beispiel für eine Maßnahme zur Kompensierung von SoD-Konflikten ist das Vier-Augen-Prinzip. Wenn technische oder systemische Trennungen nicht möglich sind, kann eine zusätzliche Kontrolle eingeführt werden, bei der beispielsweise der Abteilungsleiter am Ende des Monats alle Buchungen oder Einkäufe überprüft. Diese zusätzliche Kontrolle stellt sicher, dass alle durchgeführten Aktionen ordnungsgemäß sind und minimiert das Risiko von Interessenkonflikten.
Empfehlen Sie, dass die fachlichen Verantwortlichen selbstständig Prüfungen zur Identifizierung von SoD-Konflikten durchführen (z. B. durch Tools) oder sehen Sie das eher in der IT-Abteilung?
Beides ist möglich, hängt jedoch vom Fachwissen der jeweiligen Abteilung ab. Die IT-Abteilung hat oft nicht das tiefere Verständnis für die fachlichen Prozesse, während der Fachbereich selten detaillierte Kenntnisse über Berechtigungen und Rollen hat. Wenn der Fachbereich jedoch das nötige Wissen hat, kann er durchaus selbstständig Prüfungen durchführen. Dies erfordert jedoch umfangreiches Knowhow und ist oft der entscheidende Punkt.
Wie werden formell akzeptierte SoD-Konflikte effizient dokumentiert und verwaltet?
Formell akzeptierte SoD-Konflikte sollten in einem Dokument, idealerweise im Berechtigungskonzept, dokumentiert werden. Dieses Dokument muss sorgfältig gepflegt werden, mit Änderungsverläufen und eingeschränktem Schreibzugriff. Wichtig ist, dass die Dokumentation ordnungsgemäß erfolgt und dem Prüfer Vertrauen in das Dokument vermittelt.
Gibt es eine Liste mit kritischen Transaktionen?
Es gibt Prüftools, die Listen mit kritischen Transaktionen bereitstellen. Diese Listen können jedoch nicht pauschal genutzt werden, da die Definition von „kritisch“ je nach Kontext variiert. Es ist wichtig, genauer hinzuschauen und zu entscheiden, welche Transaktionen im spezifischen Unternehmenskontext kritisch sind.
Müssen alle Geschäftsprozesse im Unternehmen zuerst modelliert werden, bevor mit der SoD-Analyse begonnen wird?
Für eine Analyse auf Basis von Prozessdokumentation ist es erforderlich, die Prozesse entsprechend zu modellieren. Technische Tools zur Prüfung von Berechtigungen benötigen jedoch keine vollständig modellierten Prozesse. Diese Tools nutzen Regelwerke, um Konflikte zu identifizieren, unabhängig davon, ob die Prozesse dokumentiert sind oder nicht.
Woher kann man typische SoD-Konflikte und kritische Berechtigungsobjekte kennen, um selbst gegenzusteuern, anstatt sich direkt ein Tool anschaffen zu müssen?
Es ist schwierig, typische SoD-Konflikte ohne ein Tool zu erkennen. Häufig wird man durch Wirtschaftsprüfer oder Regelwerke auf Konflikte aufmerksam gemacht. Diese Regelwerke kommen meist mit den Tools, die zur Überwachung von SoD-Konflikten genutzt werden.
Welche Prüftools gibt es mit Listen für kritische Berechtigungsobjekte wie S-TCODE? Können Sie exemplarisch einige nennen?
Einige Beispiele für Prüftools sind SAP GRC, Soterion und CSI-Tools. Diese Tools bieten Listen mit kritischen Berechtigungsobjekten und unterstützen bei der Überwachung und Verwaltung von SoD-Konflikten. Es gibt viele Tools mit unterschiedlichen Funktionen und Preisklassen, und es ist wichtig, das passende Tool basierend auf den spezifischen Anforderungen des Unternehmens auszuwählen.
Gibt es ein Best Practice von SAP in Bezug auf SoD-Konflikte?
SAP liefert keine umfassenden Listen mit Best Practices für SoD-Konflikte. Unternehmen müssen ihre eigenen Regelwerke und Best Practices entwickeln, oft unterstützt durch externe Berater und spezialisierte Tools.
Beratung und Unterstützung für SAP Berechtigungen und Security
Unsere zertifizierten Berater für SAP Security helfen Ihnen bei personellen Engpässen - sowohl im Betrieb als auch im Projekt.
Wie können kundeneigene Transaktionen beurteilt und entsprechend in die Prüfungen eingebunden werden?
Kundeneigene Transaktionen sind den Regelwerken der Toolanbieter unbekannt. Unternehmen müssen selbst beurteilen, ob eine Transaktion kritisch ist, und entsprechende Berechtigungsprüfungen implementieren. Dies erfordert eine Analyse auf fachlicher und technischer Ebene und die Definition eigener Regeln, um sicherzustellen, dass keine unzulässigen Kombinationen von Berechtigungen vergeben werden.
Fazit
Funktionstrennungskonflikte (SoD) können ein erhebliches Risiko für die Integrität von Geschäftsprozessen darstellen und insbesondere im Bereich der Buchführung schwerwiegende rechtliche Konsequenzen nach sich ziehen können. Effektive Maßnahmen wie das Vier-Augen-Prinzip sowie eine enge Zusammenarbeit zwischen IT-Abteilung und fachlichen Verantwortlichen sind entscheidend, um diese Konflikte zu bewältigen. In der Cloud BTP sind SoD-Konflikte hauptsächlich im technisch-administrativen Bereich relevant und sollten sorgfältig dokumentiert werden. Prüftools wie SAP GRC bieten hierbei wertvolle Unterstützung. Die Verwaltung von SoD-Konflikten erfordert somit eine Kombination aus Expertise, geeigneten Tools und klaren Prozessen.