Worauf müssen Unternehmen und IT-Organisationen bei der Entwicklung eines guten SAP-Berechtigungskonzeptes achten? Was sind die zentralen Leitlinien?

Für die Erstellung eines betriebswirtschaftlichen Berechtigungskonzeptes gibt es kein allgemeingültiges Rezept. Vielmehr beruht die Konzeption auf langjährigen Erfahrungen und der Fähigkeit zur Abstraktion. Die generellen Leitlinien vollziehen sich an mehreren inhaltlichen Fragen. Ob das Berechtigungskonzept induktiv (istbasiert) oder deduktiv (normbasiert) erstellt werden soll, ist ein erster Impuls. Weiterhin sollte ein Berechtigungskonzept dem Aufbau der Organisation und dem Ablauf der Prozesse folgen, um eine solide Grundlage zu haben. Zudem muss sich das Berechtigungskonzept über die gesamte ERP-Systemlandschaft erstrecken und nachvollziehbare Risikodefinitionen als Grundlage haben. Insgesamt braucht es ein systematisches Vorgehen, um betriebswirtschaftliche Anforderungen, rechtliche Normen und die letztendliche technische Umsetzbarkeit unter einen Hut zu bekommen.

Dafür braucht es zuerst eine Analyse der Arbeitsplätze, die dann technisch in Rollen im SAP-System abgebildet werden. Daraufhin kann man erkennen, wer in einem Unternehmen welche betriebswirtschaftlichen Rollen übernimmt. Im Normalfall ergeben sich die Aufgaben der System-Nutzer:innen aus den jeweiligen Positionen, die sie in der Organisationsstruktur einnehmen.

Vielfach kann es aber zu Risiken bei der Festlegung der Benutzerberechtigungen kommen: Funktionstrennungskonflikte ergeben sich durch die Kombination von zwei Aktivitäten. Kritische Aktionen können vorliegen, wenn einzelne Aktivitäten zu einem Risiko führen. Möglichst viele Risiken dieser Art auszuschließen ist das vorrangige Ziel der Entwicklung eines Berechtigungskonzeptes. Dem sind aber natürliche Grenzen gesetzt: Es ist unmöglich, alle möglichen auftretenden Risiken zu kennen und darzustellen, auch aus wirtschaftlicher Sicht.

Als wichtiges Konzept in diesem Zusammenhang gilt das Vier-Augen-Prinzip: Dadurch wird sichergestellt, dass ein Geschäftsvorgang durch eine zweite Person freigegeben wird. Das kann beispielsweise umfassen, dass eine Änderung an den SAP-Stammdaten erst durch eine Person legitimiert werden darf, die über die identischen Berechtigungen verfügt. Dadurch sollen Schäden und Risiken ausgeschlossen werden.