Segregation of Duties (SOD) in SAP

Mit SOD die Funktionstrennung im Griff behalten!

Wie kann auf einem SAP-System sichergestellt werden, dass die Benutzer nicht über ausufernde Berechtigungen verfügen und somit vermeiden, dass organisatorisch getrennte Aufgaben von ein und derselben Person ausgeführt werden können?

Ein SAP-System besitzt standardmäßig die Möglichkeit, verschiedene Überprüfungen über Benutzerberechtigungen und Rollen durchzuführen. Idealerweise werden diese Prüfungen bereits bei der Erstellung des Berechtigungskonzeptes berücksichtigt und regelmäßig durchgeführt. Mit dem Umstieg auf SAP S/4HANA gehen auch Änderungen in den Berechtigungskonzepten einher, welches die Funktionstrennung (Segregation of Duties, SOD) tendenziell noch komplexer gestalten.


Wie lässt  sich Segregation of Duties definieren?

Unter Segregation of Duties, kurz SOD, wird die Trennung von Funktionen auf verschiedene Personen verstanden. Dies dient zum Schutz eines Unternehmens vor potenziell kriminellen Machenschaften seiner Mitarbeiter, die durch unsachgemäße Vermischung von Funktionen und Tätigkeiten ermöglicht werden. Ein gutes Beispiel hierfür wäre, wenn ein Mitarbeiter sowohl die Bankverbindung eines Kunden anpassen als auch die Zahlung von Rechnungen veranlassen kann. Durch eine entsprechende kriminelle Energie der Mitarbeiter oder aufgrund von bloßen Falscheingaben kann einem Unternehmen somit erheblicher Schaden entstehen, der im Nachhinein auch nur schwer nachvollziehbar ist. 

Um dem entgegenzuwirken, ist es auch in kleinen Unternehmen wichtig, die verschiedenen Funktionen aufzuteilen – auch wenn dies nicht immer ohne Weiteres möglich ist, weil (insbesondere in sehr kleinen Unternehmen) die Anzahl der Funktionen die Anzahl der Mitarbeiter übersteigen kann.

Ähnlich dem Vier-Augen-Prinzip dient die Funktionstrennung (SOD) dazu, Fehler und Manipulationen zu verhindern sowie Funktionen und Verantwortungsbereiche korrekt voneinander zu trennen.

Ermittlung kritischer Berechtigungskombinationen

SOD-Konflikt – und nun?

Grundsätzlich ist zunächst anzumerken, dass SOD-Konflikte erst dann entstehen können, wenn zwei oder mehr Funktionen zusammenkommen – durch einzelne Funktionen entstehen keinerlei Probleme. Zudem ist zu beachten, dass auch nicht jeder SOD-Konflikt gezwungenermaßen direkt gelöst werden muss. In Einzelfällen können derartige Konflikte durchaus akzeptiert werden, wenn beispielsweise die personelle Situation eine Umgehung schlichtweg nicht zulässt. Dies muss dann entsprechend dokumentiert werden, um spätere Missverständnisse zu vermeiden.

Aber wer ist eigentlich dafür zuständig, zu prüfen, ob SOD-Konflikte vorliegen?
Aus technischer Sicht sollte die IT dafür Sorge tragen, dass geeignete Prüfungen in regelmäßigen Abständen oder sogar direkt bei der Änderung eines Benutzers bzw. einer Berechtigungsrolle durchgeführt werden. Das Regelwerk für die technische Prüfung sollte hingegen vom Fachbereich in Zusammenarbeit mit der Anwendungsberatung erarbeitet werden. Eine interne Revision kann dann das Regelwerk abnehmen und Auswertungen durchführen, um die Einhaltung des SOD zu gewährleisten.


Segregation of Duties in SAP

Innerhalb eines SAP-Systems können die Prüfungen – ob ein SOD-Konflikt vorliegt – nur teilweise durch Standardmittel ausgeführt werden. Es gibt hierfür zwar einen entsprechenden Report, jedoch bedarf es einiger Vorarbeit, damit dieser Report auch zuverlässige Ergebnisse liefert bzw. ggf. auch für ein Audit verwendet werden kann. Da die reine SAP-Standardfunktionalität lediglich eine Vorlage zur Verfügung stellt, die eine gewisse Zahl als kritisch einzustufender Objekte überprüft, können dadurch allein keine zuverlässigen Ergebnisse erwartet werden. Grundsätzlich kann der Report sowohl Benutzer als auch Berechtigungsrollen überprüfen. Zusätzlich können mit dem Report nicht nur die einzelnen als kritisch einzustufenden Berechtigungsobjekte überprüft werden, sondern auch zuvor definierte Kombinationen der einzelnen Objekte.
Zur Überprüfung auf kritische Berechtigungskombinationen muss allerdings zwingend eine kundeneigene Vorlage erstellt werden, da die SAP keine derartige Vorlage im Standard ausliefert.
Als Alternative zum SAP-Standard sind auch Lösungen von Drittanbietern zur Durchführung von SOD-Prüfungen vorhanden.

Benötigen auch Sie Unterstützung bei der Definition und Umsetzung von SOD-Prüfungen für Ihr SAP ERP oder SAP S/4HANA System? Dann stehen Ihnen unsere erfahrenen XEPTUM-Berater*innen gerne zur Verfügung.

Artikel teilen


Zurück zur Übersicht