Rollen & Berechtigungen im ERP – Der Weg zu einem sicheren System

PrintMailRate-it
veröffentlicht am 5. Oktober 2021 / Lesedauer ca. 3 Minuten
 

Das Thema Rollen & Berechtigungen im ERP-System rückt für Unternehmen oft sehr spät in den Fokus. Bspw. erst dann, wenn ein Audit negativ ausfällt oder durch ein mangelndes/fehlendes Berechtigungskonzept erste Vorfälle  –  wie unberechtigte Einsichten und/oder Änderungsrechte von Finanz- und Personaldaten  –  eintreten, die schlimmstenfalls dem Unternehmen schaden. Wir zeigen Ihnen den Weg zu einem sicheren System.

  

  

Im Idealfall sollte das Thema Rollen & Berechtigungen innerhalb der Implementierung eines ERP-Systems aufgegriffen werden. Ist bereits ein ERP-System implementiert, das aber kein oder ein mangelhaftes Be­rechtigungskonzept enthält, sollte das Thema schnellstmöglich angegangen werden. Denn die Aus­wirkungen eines lückenhaften Berechtigungskonzepts sind schwerwiegend: Die weitreichende Vergabe kritischer Berechtigungen, insbesondere zur Änderung oder Löschung rechnungslegungsrelevanter oder personen­bezogener Daten, und eine nicht ausreichende Funktionstrennung in ERP-Systemen gefährden die Ordnungs­mäßigkeit der Datenverarbeitung und bergen datenschutz-, handels- sowie steuerrechtliche Risiken. Das kann sich in der unautorisierten Änderung von Daten bzw. Steuerungsparametern ausdrücken, die zu finanziellen Schäden oder auch Beeinträchtigungen des Systembetriebs sowie zu Verarbeitungsfehlern führen.

 

Berechtigungskonzept: Eine Definition

Ein ERP-Berechtigungskonzept dient der Abbildung der unternehmensinternen Funktionen im ERP-System. Es umfasst die Regelung der Zugriffe auf notwendige Funktionen und Programme zur Erfassung oder zur Änderung von Geschäftsvorfällen sowie die Lese-Berechtigung. Außerdem wird der Zugriff auf administrative Funktionen, Einstellungen und Parameter über das ERP-Berechtigungskonzept gesteuert.

  

Herausforderung der Erstellung eines Rollen- und Berechtigungskonzepts ist es, die zentralen Parameter Sicherheit und Flexibilität des Unternehmens in Einklang zu bringen. Ein ausschließlich auf Sicherheit aus­gerichtetes Rollen- und Berechtigungskonzept sorgt dafür, dass ein System so sicher wie technisch möglich ist, verursacht aber in der Einführung und im täglichen Betrieb einen erheblichen Aufwand bei Umsetzung und Pflege. Auf der anderen Seite kann maximale Flexibilität dazu führen, dass das System nur unzureichend bis gar nicht vor Fehlern durch Unachtsamkeit oder mutwilliger Manipulation und unauto­risierten Datenzugriffen geschützt ist. Ziel ist es, ein ausgewogenes Verhältnis zwischen beiden Parametern zu finden, um die Anforderungen des Unternehmens an Sicherheit und Flexibilität bestmöglich in ein stabiles System zu überführen.

 

Grundprinzipien eines Berechtigungskonzepts

Ausgehend von Rechtsnormen und Best Practices lassen sich acht Prinzipien für die Anforderungen an ein
betriebswirtschaftliches Berechtigungskonzepts ableiten, die unabhängig von der genutzten Software und Applikation den bestmöglichen Rahmen sicherstellen. Besonders erwähnenswert sind das Minimal- und das Funktionstrennungsprinzip.

 

Das Minimalprinzip stellt sicher, dass jeder Nutzer nur den zur Aufgabenstellung notwendigen Zugang zu Daten bzw. Funktionen im System erhält. Das Funktionstrennungsprinzip (Segregation of Duties, kurz: SoD) hingegen dient der fachlichen und personellen Trennung von Prozessen in Teilprozesse, damit potenzielle wirtschaftliche Risiken durch „arglistige Täuschungen“ verhindert werden. Die Notwendigkeit einer zwingenden Aufgaben­trennung muss daher im Rahmen der Prozesse analysiert und definiert werden. Verstöße gegen das Prinzip sind durch kompensierende Kontrollen zu überwachen und zu dokumentieren. Daraus ergibt sich die Forderung, dass in einer Rolle niemals alle Berechtigungen enthalten sein dürfen.

 

Das Identitäts-, Stellen-, Belegprinzip des Identity & Access Management sowie das Genehmigungs-, Schrift­form- und Kontrollprinzip ergänzen die zwei genannten Prinzipien.
 

Umsetzung eines Berechtigungskonzepts

Der Erarbeitung eines Rollen- und Berechtigungskonzepts geht eine Analyse-Phase voraus. Dabei wird definiert, welche Aufgaben und Rollen im Unternehmen existieren, und wie sie auf die verschiedenen Hierarchiestufen und Belegschaftsgruppen verteilt sind.

 

Durch Organigramme, Prozesslandschaften und Interviews mit Mitarbeitern kann zügig ein Überblick der eigenen Organisation, sowie der Strukturen und Arbeitsweisen gewonnen werden. Aus ihnen kristallisieren sich dann die ersten operativ notwendigen und unterstützenden Rollen heraus. In diesen Prozess involvierte Personen lernen oft ihr Unternehmen oder ihre Abteilung aus einem neuem Blickwinkel zu betrachten und schöpfen dadurch neue Ideen zur Optimierung von Arbeitsabläufen, erkennen Fallstricke und sind letztlich in der Lage das Gelernte in ein Rollenkonzept zu überführen. Das muss zusätzlich zu prozessbedingten Bedarfen auch Anforderungen der Geschäftsführung, der interne Revision, des IKS oder behördliche und branchen­spezifische Vorgaben berücksichtigen.

 

Ein zentraler Baustein der Erstellung eines Berechtigungskonzepts ist die Beteiligung der externen Revision von Beginn des Implementierungsprojekts an. Auf diesem Weg kann sichergestellt werden, dass sich nach erfolgter Implementierung keine rechtlichen Angriffsstellen auf das Unternehmen bieten.

 

An die Konzeptionsphase angeschlossen findet die meist in iterativen Teilschritten durchgeführte Umsetzung des Berechtigungskonzepts statt. Abhängig von der internen Verfügbarkeit qualifizierter Ressourcen und Kapazitäten, kann sie im Unternehmen oder durch externe Unterstützung durchgeführt werden. Der in diesem Schritt wichtigste  –  häufig aber unterschätzte  –  Faktor ist das Testen der implementierten Rollen & Be­rechtigungen, um die tatsächliche Funktionalität sicherzustellen. Auch die Implementierung eines Rollen- und Berechtigungskonzepts sollte durch die externe Revision begleitet werden, um unerwünschte Folgen aus­zuschließen und das Projekt erfolgreich abzuschließen.

 

Fazit

Die rechtliche, steuerliche und datenschutztechnische Notwendigkeit eines funktionierenden Rollen- und Berechtigungskonzept wird von vielen Unternehmen unterschätzt, obwohl die steigende Anzahl kritischer Vorfälle diese Notwendigkeit unterstreicht.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu