Workshop SAP GRC AC - 18.6.2009 Úvod do problematiky Petr Stejskal, CONSIT s.r.o.

Workshop SAP GRC Access Control Každá firma využívající sofistikované ERP systémy jako je SAP musí nutněřešit otázku uživatelských přístupů. Na jedné straně je třeba zajistit uživatelům nutné přístupy do aplikací k plnění běžných pracovních úkolů, na straně druhé se tím ovšem firma vystavuje riziku zneužití těchto přístupů. Je třeba hledat vyvážený kompromis. Obecně je doporučeno, aby uživatelé disponovali pouze oprávněním, které ke své práci nezbytně potřebují. Tolik teorie A protože většina ze zde přítomných účastníků dnešního workshopu už SAP systémy využívářadu let, možná vám nebudou úplně cizí alespoň dva ilustrativní příklady, jak to pak časem může ve firmách vypadat

Příklad přidělování oprávnění v praxi - 1 Maruška nastoupila do firmy jako skladník. Zadávala do SAP systému příjmy, výdejky a měla hmotnou zodpovědnost za sklad. Občas se ale vyskytly chyby v objednávkách, tak aby nebylo omezeno fungování skladu, dostala Maruška oprávnění i k zakládání a změně objednávek v SAP systému. Maruška byla šikovná a po čase dostala nabídku přestoupit do oddělení likvidace přijatých faktur. Znala proces, spolupracovníky, dodavatele, tak by jí přece bylo ve skladu škoda. A k tomu dostala samozřejmě i potřebné přístupy do SAP systému. Po roce fungování ve firmě má Maruška (z pohledu oprávnění v SAP systému) neomezenou kontrolu nad celým nákupním procesem od objednávky, přes příjem skladu až po zaúčtování přijaté faktury. Jednoho dne se Maruška dostane do finančních potíží. A protože zná nákupní proces, dodavatele a kromě toho má i potřebné přístupy do SAP systému, napadne ji

Příklad přidělování oprávnění v praxi - 2 Firma se kdysi dávno rozhodla pro implementaci SAP R/3. Projekt byl časově i finančně ve skluzu, autorizace uživatelů neměly prioritu ( vždyť firmu živí výroba a prodej, ne informační systém, produktivní start musí být i bez vyladěných přístupů, udělá se to později ). Přicházely jiné projekty, firmy se slučovaly, migrovaly do SAP systému a čas na revizi autorizačních přístupů zase nebyl Následně firma provedla upgrade SAP na ERP ECC 6.0 se zadáním provést pouze technický upgrade. Hlavně nezasahovat do oprávnění. Teď to přece nějak funguje, tak do toho raději nebudeme vrtat. Po čase už vůbec nikdo nevěděl, kdo má a nemá na co oprávnění, autorizační koncept zůstával jen v textu směrnic, ne však v systému. Manažeři měli obavu autorizace odebrat, zároveň ale i strach z možného zneužití přístupových práv uživateli. Bylo jen otázkou času, kdy se stane

Workshop SAP GRC Access Control Byly to jen ilustrativní příklady. Jste si ale jisti, že ve vašich firmách se nemůže stát, že by platby pro dodavatele mohly odejít na jiný bankovní účet? mohla být prozrazena citlivá personální data jako například mzdy, osobní data zaměstnanců.? manažeři neměli ani tušení, k čemu všemu mají jejich podřízení oprávnění v SAP systému a přitom za ně nesli odpovědnost? proběhl externí audit za účelem prověření souladu s požadavky Sarbanes-Oxley s odstrašujícím výsledkem? Možná jste zatím o podobných případech jen slyšeli nebo četli třeba na internetu.

Workshop SAP GRC Access Control

Účel dnešního wokshopu SAP GRC AC Ukázat si, jak je možno rizikům zneužití systému aktivně předcházet prostřednictvím aplikace SAP GRC Access Control, a to zejména: Mít role i přístupy uživatelů neustále pod kontrolou z pohledu požadavku na rozdělení kompetencí. Efektivně spravovat a přidělovat role uživatelům. Umožnit uživatelům zasáhnout v případě mimořádných událostí a přitom mít jejich činnost stále pod kontrolou. Obstát se ctí a bez obav před auditory. A především efektivně předcházet zneužití přístupových práv v SAP systémech.

Wokshop SAP GRC AC tým konzultantů Petr Stejskal obchodní konzultant Igor Šturma SAP konzultant, specializace autorizace a GRC AC Vít Veselý SAP konzultant, specializace autorizace a GRC AC Josef Piňos projektový manažer, SAP konzultant