Associate Partner
Consultant
Rollen & Berechtigungen im ERP – Der Weg zu einem sicheren System
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen
Das Thema Rollen & Berechtigungen im ERP-System rückt für Unternehmen oft sehr spät in den Fokus. Bspw. erst dann, wenn ein Audit negativ ausfällt oder durch ein mangelndes/fehlendes Berechtigungskonzept erste Vorfälle – wie unberechtigte Einsichten und/oder Änderungsrechte von Finanz- und Personaldaten – eintreten, die schlimmstenfalls dem Unternehmen schaden. Wir zeigen Ihnen den Weg zu einem sicheren System.
Im Idealfall sollte das Thema Rollen & Berechtigungen innerhalb der Implementierung eines ERP-Systems aufgegriffen werden. Ist bereits ein ERP-System implementiert, das aber kein oder ein mangelhaftes Berechtigungskonzept enthält, sollte das Thema schnellstmöglich angegangen werden. Denn die Auswirkungen eines lückenhaften Berechtigungskonzepts sind schwerwiegend: Die weitreichende Vergabe kritischer Berechtigungen, insbesondere zur Änderung oder Löschung rechnungslegungsrelevanter oder personenbezogener Daten, und eine nicht ausreichende Funktionstrennung in ERP-Systemen gefährden die Ordnungsmäßigkeit der Datenverarbeitung und bergen datenschutz-, handels- sowie steuerrechtliche Risiken. Das kann sich in der unautorisierten Änderung von Daten bzw. Steuerungsparametern ausdrücken, die zu finanziellen Schäden oder auch Beeinträchtigungen des Systembetriebs sowie zu Verarbeitungsfehlern führen.
Berechtigungskonzept: Eine Definition
Ein ERP-Berechtigungskonzept dient der Abbildung der unternehmensinternen Funktionen im ERP-System. Es umfasst die Regelung der Zugriffe auf notwendige Funktionen und Programme zur Erfassung oder zur Änderung von Geschäftsvorfällen sowie die Lese-Berechtigung. Außerdem wird der Zugriff auf administrative Funktionen, Einstellungen und Parameter über das ERP-Berechtigungskonzept gesteuert.
Herausforderung der Erstellung eines Rollen- und Berechtigungskonzepts ist es, die zentralen Parameter Sicherheit und Flexibilität des Unternehmens in Einklang zu bringen. Ein ausschließlich auf Sicherheit ausgerichtetes Rollen- und Berechtigungskonzept sorgt dafür, dass ein System so sicher wie technisch möglich ist, verursacht aber in der Einführung und im täglichen Betrieb einen erheblichen Aufwand bei Umsetzung und Pflege. Auf der anderen Seite kann maximale Flexibilität dazu führen, dass das System nur unzureichend bis gar nicht vor Fehlern durch Unachtsamkeit oder mutwilliger Manipulation und unautorisierten Datenzugriffen geschützt ist. Ziel ist es, ein ausgewogenes Verhältnis zwischen beiden Parametern zu finden, um die Anforderungen des Unternehmens an Sicherheit und Flexibilität bestmöglich in ein stabiles System zu überführen.
Grundprinzipien eines Berechtigungskonzepts
Ausgehend von Rechtsnormen und Best Practices lassen sich acht Prinzipien für die Anforderungen an ein
betriebswirtschaftliches Berechtigungskonzepts ableiten, die unabhängig von der genutzten Software und Applikation den bestmöglichen Rahmen sicherstellen. Besonders erwähnenswert sind das Minimal- und das Funktionstrennungsprinzip.
Das Minimalprinzip stellt sicher, dass jeder Nutzer nur den zur Aufgabenstellung notwendigen Zugang zu Daten bzw. Funktionen im System erhält. Das Funktionstrennungsprinzip (Segregation of Duties, kurz: SoD) hingegen dient der fachlichen und personellen Trennung von Prozessen in Teilprozesse, damit potenzielle wirtschaftliche Risiken durch „arglistige Täuschungen“ verhindert werden. Die Notwendigkeit einer zwingenden Aufgabentrennung muss daher im Rahmen der Prozesse analysiert und definiert werden. Verstöße gegen das Prinzip sind durch kompensierende Kontrollen zu überwachen und zu dokumentieren. Daraus ergibt sich die Forderung, dass in einer Rolle niemals alle Berechtigungen enthalten sein dürfen.
Das Identitäts-, Stellen-, Belegprinzip des Identity & Access Management sowie das Genehmigungs-, Schriftform- und Kontrollprinzip ergänzen die zwei genannten Prinzipien.
Auswirkungen von Berechtigungskonzepten
Die durchgängige Einhaltung der Prinzipien bringt folgende Vorteile: Maßgeschneiderte Rollen können zur Einsparung von Lizenzkosten führen, da Nutzerlizenzen für Standardsoftware wie SAP und Microsoft Dynamics häufig in mehreren, kostenseitig gestaffelten Funktionsumfängen bereitgestellt werden. Zusätzlich reduziert ein auf relevante Aufgaben eingeschränktes Rollenkonzept den Schulungsaufwand für neue Mitarbeiter sowie das Risiko von Fehlbedienungen. Ein strukturiert aufgebautes Konzept bietet Schutz vor verschiedenen Missbrauchsszenarien wie erfundenen Rechnungsstellungen, unautorisierter Spesenauszahlung oder Auszahlungen an private Bankkonten und schützt vor Datenschutzvorfällen (DSGVO), da der Zugriff auf personenbezogene oder geschäftskritische Daten gezielt auf berechtigte Personengruppen beschränkt werden kann.
Umsetzung eines Berechtigungskonzepts
Der Erarbeitung eines Rollen- und Berechtigungskonzepts geht eine Analyse-Phase voraus. Dabei wird definiert, welche Aufgaben und Rollen im Unternehmen existieren, und wie sie auf die verschiedenen Hierarchiestufen und Belegschaftsgruppen verteilt sind.
Durch Organigramme, Prozesslandschaften und Interviews mit Mitarbeitern kann zügig ein Überblick der eigenen Organisation, sowie der Strukturen und Arbeitsweisen gewonnen werden. Aus ihnen kristallisieren sich dann die ersten operativ notwendigen und unterstützenden Rollen heraus. In diesen Prozess involvierte Personen lernen oft ihr Unternehmen oder ihre Abteilung aus einem neuem Blickwinkel zu betrachten und schöpfen dadurch neue Ideen zur Optimierung von Arbeitsabläufen, erkennen Fallstricke und sind letztlich in der Lage das Gelernte in ein Rollenkonzept zu überführen. Das muss zusätzlich zu prozessbedingten Bedarfen auch Anforderungen der Geschäftsführung, der interne Revision, des IKS oder behördliche und branchenspezifische Vorgaben berücksichtigen.
Ein zentraler Baustein der Erstellung eines Berechtigungskonzepts ist die Beteiligung der externen Revision von Beginn des Implementierungsprojekts an. Auf diesem Weg kann sichergestellt werden, dass sich nach erfolgter Implementierung keine rechtlichen Angriffsstellen auf das Unternehmen bieten.
An die Konzeptionsphase angeschlossen findet die meist in iterativen Teilschritten durchgeführte Umsetzung des Berechtigungskonzepts statt. Abhängig von der internen Verfügbarkeit qualifizierter Ressourcen und Kapazitäten, kann sie im Unternehmen oder durch externe Unterstützung durchgeführt werden. Der in diesem Schritt wichtigste – häufig aber unterschätzte – Faktor ist das Testen der implementierten Rollen & Berechtigungen, um die tatsächliche Funktionalität sicherzustellen. Auch die Implementierung eines Rollen- und Berechtigungskonzepts sollte durch die externe Revision begleitet werden, um unerwünschte Folgen auszuschließen und das Projekt erfolgreich abzuschließen.
Fazit
Die rechtliche, steuerliche und datenschutztechnische Notwendigkeit eines funktionierenden Rollen- und Berechtigungskonzept wird von vielen Unternehmen unterschätzt, obwohl die steigende Anzahl kritischer Vorfälle diese Notwendigkeit unterstreicht.