Wenn es in Dänemark passiert, kann es überall passieren.

Wenn es in Dänemark passiert, kann es überall passieren.

Inhaltsverzeichnis

Wenn es in Dänemark passiert, kann es überall passieren.

Mit nur 6 Millionen Einwohnern sind die Dänen besonders stolz auf Ihr kleines, progressives Land in dem alles unter Kontrolle zu sein scheint.

Laut dem jährlichen „World Happiness Report“ sind die Dänen das zweitglücklichste Volk der Welt, knapp hinter den noch weiter im Norden angesiedelten Finnen. In 3 der letzten 5 Jahre stand Dänemark an der Spitze des „Corruption Perception Index“, was bedeutet, dass Dänemark eines der am wenigsten von Korruption betroffenen Länder der Welt ist.

Im Ranking der Länder mit der besten Work-Life-Balance steht Dänemark ebenfalls häufig auf dem ersten Platz. In stetiger Konkurrenz zu Belgien. Trotz kurzer Arbeitswoche sind die Dänen die produktivsten Arbeitskräfte in Europa.

Aufgabentrennung in Dänemark

Es gibt ein sehr gut funktionierendes Sozialsystem. Kostenlose Bildung, Gesundheitsvorsorge und gesetzlich festgelegte 5 Wochen Urlaub pro Jahr.

Kennen Sie das Sprichwort, “Das Gras ist auf der anderen Seite immer grüner?“

Natürlich kennen auch die Dänen dieses Sprichwort, allerdings glauben Sie nicht daran. Für sie ist das Gras in Dänemark am grünsten.

Ist also alles perfekt? Oder gibt es auch in Dänemark eine Fäulnis, wie Marcellus es ausdrücken würde?

In den letzten Jahren gab es auch in Dänemark eine Serie von Finanzskandalen, die in den Medien bekannt wurden. Die Dänen selbst lesen meist nur von den großen Skandalen im Ausland und glauben nicht, dass in Ihrem netten und beschaulichen Land ähnliches passiert.

Die Finanzskandale in Dänemark findet man unter zwei Stichworten: „Staatseigene Unternehmen“ und „Segregation of Duties“. Vielen Unternehmen der öffentlichen Hand fehlte es in der Vergangenheit an einem effizienten SoD System und wurden von Ihren eigenen Angestellten quasi „ausgeraubt“.

Wie kann eine reguläre Angestellte im öffentlichen Dienst 25 Jahre lang Steuergelder auf das eigene Konto überweisen, ohne überführt zu werden? Und wie kann es sein, dass sie in mehr als 300 Transaktionen 15 Millionen Euro überträgt ohne dass irgendjemand mit der Wimper zuckt?

Segregation of Duties ist die Antwort. Oder um es besser auszudrücken; das Fehlen der Funktionstrennung.

Segregation of Duties, oder SoD, wird oft abgelehnt oder herunterpriorisiert. Sowohl im öffentlichen als auch im privatwirtschaftlichen Bereich. Dies geschieht häufig aufgrund der Wahrnehmung, dass ein SoD Tool komplex, teuer und schwer zu implementieren ist. Viele größere Unternehmen händeln Ihre SoD Prozesse manuell, was sich als fast unmögliche Aufgabe entpuppt. Mit einer fast unendlichen Kombinationsmöglichkeit von SoD Rollen, T-Codes, Funktionalitäten und Objekten ist es offensichtlich, dass ein manuell gesteuerter SoD Prozess niemals up to date sein kann. Diese Kombinationsvielfalt ist nicht dafür gemacht manuell kontrolliert zu werden. Ganz egal wie intensiv wir uns mit der Thematik beschäftigen SoD Kombinationen können und werden uns Kopfschmerzen und Alpträume bereiten. Egal wie gut wir uns auskennen.

Nochmal zum obigen Beispiel-Skandal: Es ist relativ wahrscheinlich, dass ein effizientes SoD System den Missbrauch kritischer Funktionen durch eine normale Angestellte über 25 Jahre und die Veruntreuung von über 15 Millionen Euro an Steuergeldern hätte verhindern können. Durch den Einsatz einer Segregation of Duties Lösung hätte die Mitarbeiterin keine zwei kritischen Funktionen zur gleichen Zeit ausüben können.

In diesem speziellen Beispiel war es der überführten Mitarbeiterin möglich fiktive Projekte und Fördermittel anzulegen und später mehr als 300 Transaktionen über 25 Jahre auf diverse Bankkonten auszuführen, die alle Ihr selbst gehörten. All das hätte durch den Einsatz einer automatisierten SoD Lösung verhindert werden können. Die Rechte gleichzeitig Projekte zu erstellen und Fördermittel freizugeben hätten sich nicht überschneiden können.

Während der Verzicht auf SoD Kontrollen häufig mit finanziellen Konsequenzen in Verbindung gebracht wird, sollte man auch die Reputationsschäden bedenken. Die Fälle, die wir in den Medien präsentiert bekommen, sind bloß die Spitze des Eisbergs. Dies sind nur die Fälle, die aufgedeckt wurden, der Rest wurde entweder nie entdeckt oder unter den Teppich gekehrt. Während Privatunternehmen in der Lage sind, solche Betrugsfälle von der Öffentlichkeit fernzuhalten, haben es Unternehmen der öffentlichen Hand hier wesentlich schwerer. Unternehmen im öffentlichen Besitz erleiden enorme Reputationsverluste vor dem Hintergrund von SoD Skandalen und müssen im Nachgang große Summen aufwenden, um die Schäden zu beheben.

Für alle Unternehmen, egal ob privatwirtschaftlich oder öffentlich ist ein funktionierendes Segregation of Duties System von größter Wichtigkeit. Nicht nur wegen des oben genannten Beispiels. Verschiedene Faktoren sprechen für den Einsatz von Segregation of Duties:

  • Sicherheitslücken in SAP werden vermieden.
  • Sie wissen immer wer Zugang zu personenbezogenen Daten hat.
  • Sie können definieren und dokumentieren was in Ihrem Unternehmen „kritisch“ ist.
  • Sie können eine faktenbasierte Evaluierung der bereitgestellten Zugangsrechte vornehmen.
  • Sie schützen Ihr System vor unbeabsichtigten Fehlern.
  • Einfache und effiziente Dokumentation zu Revisionszwecken.
  • SoD ist die Basis ausgleichender Kontrollen.

.

Aufgabentrennung Kontrollraum

Auch wenn das Problem mittlerweile bekannt ist, verschließen viele Unternehmen noch immer die Augen vor den Konsequenzen und hoffen das sie von einem SoD Skandal verschont bleiben. Glücklicherweise fokussieren sich interne und externe Prüfer immer mehr auf SoD Themen. Prüfer öffentlicher und privater Unternehmen passen langsam, aber kontinuierlich die Vorschriften und Anforderungen an. Dieser Trend wird sich in den kommenden Jahren fortsetzen. Während man sich in so vielen Bereichen auf Automatisierung fokussiert, besonders in großen Unternehmen, ist es ein Mysterium, warum so viele noch immer glauben, dass Funktionstrennung sich manuell kontrollieren lässt. Ist es Optimismus? Ignoranz? Gewohnheit? Oder kann es die Wahrnehmung sein, dass die Implementierung eines automatisierten SoD Systems zu teuer, komplex und zeitraubend wäre?

Wir kennen die Gründe nicht. Dennoch können wir Ihnen versichern, dass es nicht so sein muss.

Seit 2014 haben wir zahlreiche internationale Kunden bei der Automatisierung Ihres Segregation of Duties Prozesses mithilfe von Access Control unterstützt. Die Lösung ist präventiv, zertifiziert und direkt in SAP integriert. Wir haben uns bei der Entwicklung auf die Schlüsselfunktionen konzentriert und stellen so sicher, dass die Applikation einfach zu implementieren und besonders anwenderfreundlich ist. Die Wartung der Lösung und das zugrundeliegende Regelwerk muss übersichtlich und beherrschbar für jeden Mitarbeiter aus dem Compliance-Bereich sein. So wird ein erstklassiges Compliance-Level garantiert und die Kosten werden langfristig niedrig gehalten.

Aktuell ist das Thema Segregation of Duties wichtiger als je zuvor. Daher veranstalten wir einige kurze Webinare im Mai und Juni und zeigen wie es möglich ist den SoD Prozess auch ohne hohe Kosten und einen komplexen und zeitaufwändigen Implementierungsprozess zu automatisieren. Ihr Unternehmen profitiert schon 2-3 Tage nach Installation der Lösung.

Und denken Sie daran: Wenn Skandale um die Trennung der Zuständigkeiten in Dänemark vorkommen können, dann kann das wirklich überall passieren.


Folgen Sie uns auf LinkedIn und erhalten Sie sofortigen Zugriff auf unsere neuesten Artikel und Beiträge zu SAP und Compliance.

Segregation of Duties

Möchten Sie mehr erfahren….?

Wir freuen uns immer darauf, Access Control bestehenden Kunden, möglichen Neukunden, Partnern und dem Netzwerk vorzustellen. Wenn Sie also mehr erfahren möchten, Fragen haben oder eine Live-Demo von CN Access Control sehen möchten, kontaktieren Sie uns bitte.

Nehmen Sie Kontakt zu uns auf!

    Mit der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten zur Bearbeitung meiner Anfrage erkläre ich mich einverstanden. Ich kann mein Einverständnis jederzeit ohne Angabe von Gründen widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    Rufen Sie uns an
    +49 6173 3363 000

    Schreiben Sie uns
    info@compliancenow.eu

    International
    Ansprechpartner