Vorstellung unseres eigenen GRC-Tools und mögliche/nötige Erweiterungen für die Zukunftsfähigkeit des Tools
Die OREXES GRC-Suite kann in zwei große Blöcke unterteilt werden, zum einen gibt es den Teil der GRC-Suite und zum anderen den Compliance Check. Die GRC-Suite bietet Management- und Übersichtsfunktionalitäten für die verwendeten SAP-Arbeitsplätze, Benutzer und Identitäten sowie Planstellen. Mit dem Compliance Check können diese verschiedenen Einheiten auf Basis von erstellten Compliance-Regelungen auf Übereinstimmung überprüft werden. Compliance definiert hierbei die Einhaltung von externen Vorschriften in Bereichen wie DSGVO, Risikoanalyse (KonTraG), Buchführung (GoB) und vielen weiteren Bereichen.
GRC SUITE
Ein SAP-Arbeitsplatz besteht aus einer Sammlung von Einzelrollen, die dem zugeordneten Benutzer zugewiesen werden. Die Verwaltung von SAP-Arbeitsplätzen findet im Workplace Management statt.
Benutzer können innerhalb der GRC-Suite als Identitäten angelegt werden, diese Identitäten haben immer eine Verknüpfung zu Benutzern aus dem SAP-System. Gleiche Benutzerkennungen auf verschiedenen angeschlossenen Systemen werden so zu einer Einheit zusammengefasst. Die Zuordnung von Arbeitsplätzen oder Planstellen erfolgt durch die Identitäten. Nach einer Synchronisation sind die zugewiesenen Rollen auch den Benutzern in den verschiedenen SAP-Systemen zugeordnet.
Wenn SAP HCM-OM (Human Capital Management – Organisationmanagement) im Einsatz ist, kann über das Position Management eine Zuordnung von SAP-Arbeitsplätzen zu Planstellen erfolgen, die vergleichbar mit der Zuordnung von Benutzern zu Arbeitsplätzen ist. Die Benutzer bekommen über die zugewiesenen Planstellen die Rollen der Arbeitsplätze vererbt.
Die Rollen können über den integrierten Rollengenerator von definierten Masterrollen abgeleitet und generiert werden. Arbeitsplätzen sind erstmal nur Masterrollen zugewiesen. Eine Masterrolle dient als Vorlage und beinhaltet verschiedene Berechtigungsobjekte, die an die abgeleiteten Rollen weitervererbt werden. Diese Masterrollen werden entsprechend der zugeordneten Organisationen abgeleitet und erst dann den Benutzern zugewiesen. Eine abgeleitete Rolle beinhaltet also die Berechtigungen der Masterrolle sowie die zugeordneten Organisationsdaten. Im Rollengenerator können zusätzlich noch die hinterlegten Organisationstrukturen verwaltet werden.
Compliance Check
Der Compliance Check ist in den Rulebook Editor und die Compliance Engine unterteilt.
Um die Sicherstellung von Compliance und damit auch die Gesetzteskonformität zu gewährleisten, werden Kontrollen und Prüfungen definiert, die die Einhaltung dieser Ziele sicherstellen. Im Rulebook Editor können Regelbücher, Regeln und Funktionen gepflegt werden, die diese verschiedenen Prüfungen abdecken.
In Regelbüchern können mehrere Regeln zusammengefasst werden, eine Regel wiederum besteht aus einer oder zwei Funktionen. Wenn eine Regel aus zwei Funktionen besteht, müssen beide Funktionen einen Verstoß feststellen. Innerhalb einer Funktion kann mit den logischen Operatoren „AND“, „OR“ sowie „NOT“ in Verbindung mit Berechtigungsobjekten eine Verkettung logischer Aussagen erzeugt werden. Lässt sich diese Verkettung zum Ergebnis „Wahr“ auswerten, wird ein Verstoß festgestellt.
Die Compliance Engine nutzt die erstellten Regelbücher oder Regelungen um die Arbeitsplätze, Rollen, Benutzer und Identitäten durch einen Compliance Check zu überprüfen. Für Arbeitsplätze und Rollen kann zudem geprüft werden, ob eine Kombination verschiedener Arbeitsplätze oder Rollen zu einem Verstoß führt.
Reporting
Im sogenannten Reporting können weitergehenden Informationen von Arbeitsplätzen, Benutzern und Identitäten zu zugeordneten Arbeitsplätzen, Rollen sowie enthaltene Transaktionen und Systeme angezeigt werden. Die Ergebnisse der durchgeführten Compliance Checks sind ebenfalls mit weiteren Informationen zu den durchgeführten Prüfungen und den festgestellten Verstößen einsehbar.
Ausblick und Erweiterungen in der Zukunft
Genehmigungsworkflow für Anträge: Durch die Integration eines Genehmigungsprozesses für Änderungsanträge für Benutzeränderungen in die GRC-Suite kann z.B. die Umsetzung eines 4-Augen-Prinzips vereinfacht werden. Durch eine Bearbeiterfindung auf Basis des Organisationsmanagements oder von Berechtigungen sowie der geänderten Daten werden die für die Genehmigung verantwortlichen Personen und Benutzer ermittelt. Diese bekommen nur Zugriff auf die Änderungsanträge, die sie selbst bearbeiten dürfen.
Für den Genehmigungsprozess ist eine Aufteilung in zwei verschiedenen Bereichen denkbar. Zum einen eine Übersicht der bisherigen bereits bearbeiteten Anträge mit weiteren Informationen zu Antragssteller, betroffene Einheit und Bearbeiter. Zum anderen für die zu genehmigenden Benutzer eine Übersicht der aktuell zu bearbeiteten Anträgen mit den benötigten Informationen zu beantragter Identität, zum Antragssteller und zuzuordnendem Arbeitsplatz.
Klingt interessant? Dann kontaktieren Sie uns. Wir beraten Sie gerne.