Top 10 Q/A: Access Control

Inhaltsverzeichnis

Unser Access Control Tool gibt es seit 2014

Seit 2014 haben wir zahlreiche internationale Kunden bei der Automatisierung Ihres Segregation of Duties Prozesses mithilfe von Access Control unterstützt. Wir haben die Lösung über die Jahre immer weiterentwickelt und durch das wertvolle Feedback unserer Kunden konnten wir ein hocheffizientes Tool erstellen, dass einen einfachen Umstieg von einer manuellen in eine automatische Kontrollumgebung ermöglicht. Wir haben 10 der häufigsten und relevantesten Fragen zu Access Control gesammelt und diesen Blog-Post erstellt, damit Sie mehr über die technischen Funktionen von AC erfahren können.

1. Kann AC in einen Identity Management Prozess (IdM) integriert werden?

  • AC kann den IdM Prozess auf zwei Arten unterstützen. Es ist möglich AC so in Ihr IdM System zu integrieren, dass es aktiviert wird, sobald Risiken entdeckt werden. Alternativ kann der präventive Check in AC deaktiviert werden, so dass die Genehmigung des Risikos vom Legacy Risk Management (LRM) unterstützt wird. Im LRM Cockpit werden alle Risiken aufgelistet und können entweder manuell oder automatisch zur Risikogenehmigung weitergeleitet werden. Auf diese Weise kann der Risikomanagementprozess parallel zum IdM Prozess, ohne einen integrierten Prozess aufzusetzen und beibehalten zu müssen.

2. Gibt es einen Genehmigungsworkflow in AC?

  • Ja, jedes definierte Risiko wird von verschiedenen möglichen Systemreaktionen unterstützt. Eines davon ist ein Genehmigungsworkflow, in dem Risikogenehmiger und Stellvertreter hinterlegt werden können. Der Risikogenehmiger erhält eine E-Mail-Benachrichtigung und kann sich in seinen persönlichen AC Genehmiger-Arbeitsplatz einloggen. Nach der Genehmigung steuert AC die Rollenzuordnung automatisch.

3. Wie lange dauert die Implementierung von AC?

  • Um diese Frage zu beantworten, müssen wir sowohl über die technische Installation als auch über die Governance Konfiguration sprechen. Die technische Implementierung ist simpel und dauert normalerweise 2-3 Tage inklusive eines Funktionstests durch ComplianceNow. Die Governance Konfiguration beinhaltet den Upload der Risikobibliothek, sowie die Identifikation der Risikogenehmiger und der gewünschten präventiven Aktionen. Dies ermöglicht die Durchführung eines präventiven Prozesses, die Ausführung von Risikoreports und eine Überwachung der Risikoentwicklung auf dem AC Dashboard.
    Das Aufsetzen des Governance Prozesses kann sich zwischen wenigen Tagen und mehreren Wochen bewegen, je nach Reifegrad und der Fähigkeit des Unternehmens die Verantwortlichen, die notwendigen präventiven Aktionen, wie auch die kurz- und langfristigen Ziele zu definieren.
Access Control blog image

4. In welchem Umfang unterstützt AC SoD – kann man Risiken auch bis auf Objekt- und Feldwert-Ebene heruntergehen?

  • Die kurze Antwort ist: Ja. AC unterstützt sowohl die Definition von uni- als auch von multivariaten Risiken im Hinblick auf Services, Transaktionscodes, Objekte, Felder und Feldwerte.

5. Ist AC präventiv?

  • Ja, AC ist eine integrierte, präventive, Echtzeit Risiko Management Lösung. In AC sind folgende präventive Aktionen definiert, die für jedes Risiko individuell ausgewählt werden können: Genehmigungsworkflow, Dokumentation erforderlich, Nachrichten anzeigen, Anhalten und Keine.

6. Was deckt die AC Risikobibliothek ab?

  • Die CN Access Control Risikobibliothek enthält ca. 120 vordefinierte SoD Risiken und ungefähr 90 kritische Zugangsrisiken, inklusive aller betroffenen SAP-Transaktionen und zugehöriger SAP-Berechtigungsobjekte und Ihrer Feldwerte. Es werden die Kerngeschäftsprozesse in SAP unterstützt (Finance, Procure to Pay, Order to Cash, HR & Payroll, Basis & Security). Die Risikobibliothek ist auf Deutsch, Englisch und Dänisch verfügbar.

7. Kann ich die Risikobibliothek meines Wirtschaftsprüfers in AC integrieren?

  • Ja, die Konfiguration einer eigenen Risikobibliothek ist möglich (und empfehlenswert). Das Template AC Risikobibliothek kann für die Bearbeitung in Excel heruntergeladen werden und unterstützt den Upload der erstellten Risiken in Access Control. Wir haben umfangreiche Erfahrung mit Kunden, die Risikobibliotheken der Big 4 oder anderen Prüfern importiert haben.

8. Welche Ansichten liefert das Dashboard?

  • Als Ausgangspunkt liefert das AC Dashboard eine Gruppe von Ansichten für jeden Risikotyp, zum Beispiel kritische Rollen oder Funktionen. Beispielansichten: Benutzer Compliance, Neue Risiken, Non-Compliant Rollen, Risiken der Top 20 Benutzer, Kritische T-Codes in den letzten 30 Tagen. Ziel des Dashboards ist es Status und Trend der Compliance Situation abzubilden und damit das Tagesgeschäft und das Managementreporting zu unterstützen.

9. Benötigt AC einen dedizierten System-String?

  • Wie auch für die Risikobibliothek ist es möglich, zum Beispiel das Produktivsystem als führendes System für alle anderen Systeme im String zu hinterlegen. Das bedeutet, dass nur eine Master-Risikobibliothek gepflegt werden muss.

10. Wie unterscheiden sich AC und SAP GRC?

  • Im Großen und Ganzen ist die Komplexität von CN Access Control wesentlich geringer, sowohl in der Installation, Konfiguration als auch im User-Interface. Access Control hat grundsätzlich dieselben Funktionalitäten, aber in einigen Bereichen hat SAP GRC weitreichendere Einstellungsmöglichkeiten. Der SAP GRC Workflow, zum Beispiel, bietet die Möglichkeit einen komplexeren Bereitstellungsworkflow aufzusetzen. CN Access Control wurde entwickelt, um insbesondere kleinen und mittelständischen Unternehmen eine SAP-integrierte, zuverlässige und präventive SoD Engine zur Verfügung zu stellen, die für den SAP Compliance Manager komfortabel zu bedienen ist. CN Access Control ist außerdem kostengünstig in der jährlichen Nutzung.

Ja, wir wissen, dass dies eine Top 10 werden sollte. Dennoch haben wir uns entschieden zwei zusätzliche Fragen zu beantworten, da wir glauben, dass diese ebenfalls für Sie relevant sein könnten.

11. Unterstützt AC multivariate Risiken?

  • Ja, es ist möglich in AC multivariate Risiken zu definieren.

12. Kann man auch eine False-Positive-Analyse machen?

  • Ja, AC enthält eine Transaktionscode-Nutzungs-Statistik im AC Reporting Modul, mit dem eine False-Positive-Analyse im Risk-Reporting durchgeführt werden kann.

 


 

Folgen Sie uns auf LinkedIn und erhalten Sie sofortigen Zugriff auf unsere neuesten Artikel und Beiträge zu SAP und Compliance.

LinkedIn bottom

Sie möchten mehr erfahren….?

Wir freuen uns sehr Access Controlunseren Kunden, möglichen Neukunden, Partnern und Netzwerk-Kontakten vorzustellen. Wenn Sie also mehr erfahren möchten, Fragen haben oder eine Live-Demo von CN Access Control wünschen, kontaktieren Sie uns bitte.

Nehmen Sie Kontakt zu uns auf!

    Mit der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten zur Bearbeitung meiner Anfrage erkläre ich mich einverstanden. Ich kann mein Einverständnis jederzeit ohne Angabe von Gründen widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    Rufen Sie uns an
    +49 6173 3363 000

    Schreiben Sie uns
    info@compliancenow.eu

    International
    Ansprechpartner