9 Best Practices für eine erfolgreiche Umsetzung der Funktionstrennung (SoD)

Die Implementierung der Segregation of Duties (SoD) ist für viele Unternehmen nach wie vor eine herausfordernde und langwierige Aufgabe. Häufig werden externe Berater damit beauftragt, die jedoch selten mit den Prozessen im Unternehmen vertraut sind. Auch wenn es keine allgemein gültigen Regeln gibt, so existieren doch eine Reihe guter Praktiken, die dazu beitragen, den Prozess effizienter zu gestalten.

1. Einteilung des SoD-Projektes in Phasen

Ein unternehmensweites SoD-Projekt involviert typischerweise eine Vielzahl von Stakeholdern und ist ein komplexes Unterfangen. Insbesondere große Unternehmen, deren Workflows über mehrere Anwendungen verteilt sind, schrecken davor zurück.

Um die Komplexität in den Griff zu bekommen und die Erfolgschancen zu erhöhen, empfiehlt es sich, das Projekt zeitlich in mehrere Phasen aufzuteilen. Dieser Ansatz fördert nicht nur die Unterstützung durch das Management, sondern verringert auch den Aufwand für die mitwirkenden Personen, macht die Initiative überschaubarer und erhöht die Wahrscheinlichkeit, dass Zeitplan und Budget eingehalten werden.

2. Einsatz eines bewährten Regelwerks

Die Einführung von SoD muss jedoch nicht immer langwierig sein, in vielen Fällen kann sie innerhalb von ein bis zwei Monaten erfolgen. In den meisten Situationen ist es ausreichend, ein erprobtes Regelwerk mit einem wirksamen Warnsystem zu implementieren. Es sollte Benutzerrechte effektiv durchsetzen, notwendige Korrekturen vornehmen oder Kontrollmechanismen enthalten, um nicht korrigierbare Verstöße zu behandeln. Eine solche Strategie hält in der Regel auch Audits stand und bildet eine solide Grundlage für die spätere GRC-Umsetzung.

3. Verfahrensweisen der Prüfer anwenden

Es gibt erprobte Regelwerke, die über Jahre entwickelt und ständig verbessert wurden. Fragen Sie einen Experten z.B. Ihren Wirtschaftsprüfer nach geeigneten Lösungen, validieren Sie sie mit dem Ziel, schnelle Erfolge zu erzielen und die Unterstützung des Managements zu gewinnen.

4. Regelwerk auf Relevanz überprüfen

Wenn Sie bereits ein Regelwerk im Einsatz haben, überprüfen Sie dessen Umfang und Relevanz. Berücksichtigen Sie dabei auch neue Entwicklungen und technologische Fortschritte in den Anwendungen und passen ihre Regelwerke entsprechend an. Beurteilen Sie die Notwendigkeit jeder Rolle und jedes T-Codes – einschließlich der aktuell gültigen Berechtigungen – in Bezug auf die tatsächliche Nutzung. Wenn sie keinem Benutzer zugewiesen sind oder von anderen Benutzern verwendet werden, sollten sie entfernt werden. Auf diese Weise bleibt das Regelwerk übersichtlich und effektiv an Ihre betrieblichen Gegebenheiten angepasst.

5. Ungenutzte Berechtigungen löschen

Wenn die Relevanzprüfung ergeben hat, dass ein Mitarbeiter eine Berechtigung länger als ein Jahr nicht genutzt hat, können Sie diese aus seinem Profil löschen. Das klingt zunächst einfach, erfordert aber technischen Aufwand und Expertise. Denn wenn Sie einem Benutzer eine Berechtigung entziehen, müssen Sie die bestehenden Rollen ändern, was manuell nicht so leicht zu bewältigen ist. Um den Prozess zu rationalisieren, empfehlen wir, zuerst die konfliktträchtigen Berechtigungen zu entfernen und erst in einem zweiten Schritt die sensiblen.

6. Enge Kooperation mit Auditoren

Sehen Sie Ihre internen und externen Auditoren als Verbündete mit dem gleichen Ziel eines guten Sicherheitskonzepts. Arbeiten Sie eng mit ihnen zusammen und sprechen Sie sie an, wenn Ihnen etwas im Regelwerk unangemessen erscheint. Sie sind oft bereit, eine Alternative zu akzeptieren, wenn diese das gleiche Sicherheitsniveau aufrechterhält.

7. Förderung eines offenen Dialoges

Ermutigen Sie Ihr Management, nachzufragen, wenn es Hilfe beim Verständnis und bei der Klärung bestimmter SoD-Regeln benötigt. Wenn eine Rolle als unnötig erachtet wird, können die Auditoren versucht sein, sie zu streichen. Mit der richtigen Argumentation hinter einer bestimmten Regel oder Anforderung sind Manager besser in der Lage, Änderungen und Verbesserungen voranzutreiben. Ein gut informiertes Managementteam kann so zu einem starken Fürsprecher für das Projekt werden und zum Gesamterfolg beitragen.

8. Mit Statistikdaten der Nutzung arbeiten

Wie zuvor beschrieben, ist der einfachste Weg, SoD-Konflikte zu lösen, die spezifischen Berechtigungen zu reduzieren. Damit Ihre Mitarbeiter nicht das Gefühl bekommen, dass ihnen Rechte entzogen werden sollen, legen Sie ihnen die statistischen Nutzerdaten vor. Unwiderlegbare Beweise für die Nichtnutzung helfen Ihnen, Widerstände zu überwinden und auch Vorgesetzte zu überzeugen.

9. Unterstützung durch externe Expertise

Unabhängig davon, wie gut Sie sich vorbereitet haben oder wie kompetent Ihr internes Auditteam ist, nehmen Sie zusätzliche Unterstützung durch erfahrene Experten in Anspruch. Seien Sie bei der Auswahl vorsichtig und recherchieren Sie gründlich, bevor Sie ein Beratungsunternehmen beauftragen. Es sollte über die gleichen Fachkenntnisse verfügen wie die Prüfungsgesellschaft. So stellen Sie sicher, dass beide Parteien die gleiche Terminologie verwenden und die gleichen Überzeugungen und Standards teilen. Diese Investition kann erhebliche Kosten einsparen und hilft, zukünftige Betrugsfälle zu vermeiden.

SoD-Implementierung mit Pathlock

Der Start eines SoD-Projekts mag auf den ersten Blick wie eine Herkulesaufgabe erscheinen, aber mit den richtigen Prozessen und Tools ist es einfacher als Sie denken.

Mit den Lösungen der Pathlock Suite bieten wir Ihnen ein applikationsübergreifendes SoD mit Dashboard-basierter Darstellung des aktuellen Risikostatus. Die automatisierte SoD- und Risikoanalyse sowie das automatisierte Reporting für alle gängigen Business-Applikationen – inklusive ERP-, HCM- und CRM-Plattformen – helfen Ihnen, die gesetzlichen Anforderungen einfach und zeitsparend zu erfüllen.

Unsere vorkonfigurierten Regelwerke sind sofort einsatzbereit und leicht anpassbar. Sie ersparen sich den Einsatz von Tabellen, Testmustern und externen Beratern und reduzieren damit nicht nur Risiken, sondern auch Ressourcen.

Wenn Sie mehr über Access Analyses & SoD erfahren möchten, kontaktieren Sie uns gerne.

Weitere Infos zum Thema: