News & Wissen Relax, Take It Easy - SAP S/4HANA-Berechtigungen erfolgreich umsetzen

Sie beschäftigen sich gerade mit dem Umstieg auf SAP S/4HANA? Oder stecken bereits mitten im Projekt? Als müssten Sie sich nicht ohnehin schon um viele Themen wie Migration, Schnittstellen und Prozesse (und dass diese nach der Produktivsetzung wieder laufen) kümmern, kommt dann noch das SAP-Berechtigungskonzept auf Sie zu. Wir zeigen Ihnen, wie Sie auch diese Herausforderung erfolgreich meistern.

Tipp: Jetzt zum kostenfreien Webinar: „Wandern im SAP S/4HANA-Gebirge – den Gipfel mit SAP Fiori besteigen" am 24. September 2021 anmelden.

Das SAP-Berechtigungskonzept: Von den meisten wird es als eher eintöniges und trockenes Thema wahrgenommen und zählt nicht zu den Königsdisziplinen eines Modulverantwortlichen oder Beraters. Gesamtunternehmerisch wird es aber zu einer immer zentraleren Aufgabe, Compliance sicherzustellen und keine Sicherheitsrisiken einzugehen. Damit gerade die Ausfallzeiten von Prozessen minimiert werden und somit Betriebskosten gesenkt werden, braucht es auch ein stabiles, konsistentes & auditfähiges SAP-Berechtigungskonzept. Von daher sollte die Zeit im Projekt oder in der Analysephase zum Umstieg auf SAP S/4HANA genutzt werden, um sich etwa mit den Themen Rollendefinition und der korrekten Vergabe von Berechtigungen vertraut zu machen, da diese auch konkrete Inhalte eines SAP-Berechtigungskonzepts sind.

Bloß wann sollen wir das machen? Die Laufzeit des Projekts ist sowieso schon sehr eng bemessen und der Produktivbetrieb muss auch weiterlaufen.

Aus diesem Grund wollen wir Ihnen einen Weg aufzeigen, wie sie trotz knapper Ressourcen und wenig Zeit, ein stabiles, konsistentes & auditfähiges SAP-Berechtigungskonzept aufstellen können - getreu dem Motto „Relax and Take It Easy - SAP S/4HANA-Berechtigungen erfolgreich umsetzen“.

Phasen im Berechtigungs(re)design

Den Weg hierfür haben wir in sieben Phasen aufgeteilt. Dieser dient als Orientierungshilfe, um ein strukturiertes Vorgehen beim Berechtigungs(re)desgin zu haben und alle Beteiligten von Anfang an im Projekt abzuholen, da aus Erfahrung heraus das Thema Berechtigungen auch nicht als Parallelprojekt laufen sollte, das unabhängig vom Hauptprojekt durchgeführt wird.

Von daher sollte es synchronisiert zur Zeitschiene als Teilprojekt innerhalb des Hauptprojekt laufen, gerade um das Thema der Prozesse und Ressourcen besser im Einklang zu haben.  Beginnen wir aber nun mit der ersten Phase.

1. Phase: Analyse der Ausgangslage und Konzeption

In der ersten Phase der Analyse geht es darum festzustellen, in welcher Ausgangslage hinsichtlich der aktuellen SAP-Berechtigungen Sie sich befinden. Haben Sie schon ein Konzept, auf das bei einem Redesign aufgebaut werden kann? Oder befindet sich Ihr Unternehmen in einer Greenfield-Einführung eines SAP S/4HANA-Projekts? Wie viel Zeit, Budget und personelle Ressourcen stehen Ihnen für die Umsetzung des Konzeptes zur Verfügung? Weiterhin sollten Sie auch organisatorische Informationen aus Ihrem Unternehmen analysieren, z. B. die Anzahl an Buchungskreisen, Werken, Einkaufsorganisationen, da diese später eine große Auswirkung auf die Struktur und Namenskonventionen des Konzepts haben.

Nach der Analyse der Ausgangslage geht es an das eigentliche Berechtigungskonzept. Dies sollte verständlich geschrieben sein und  alle auftretenden Fragen nach den Berechtigungen ausführlich beantworten. Ferner sollte zu Beginn auch ein eindeutiges Ziel, an dem sich das Konzept orientiert, festgehalten und definiert werden.

Auch ist es wichtig, gewisse Grundsätze und Richtlinien für das Vorgehen im Unternehmen zu definieren. Diese können Sie aus dem folgendem Schaubild entnehmen:

Was sollte sonst noch alles in einem Berechtigungskonzept enthalten sein?

Hierbei können Ihnen folgende Fragen helfen:

• Welche Verantwortlichkeiten gibt es für die Anforderung, Genehmigung und Erstellung von Rollen?
• Wie ist der Prozess für das Benutzer- und Berechtigungsmanagement definiert?
• Wie sollen die Rollen von den Namenskonventionen aufgebaut werden?
• Wie ist das Rollenkonzept aufgebaut?
• Wie ist das Notfalluserkonzept aufgebaut?
• Gibt es Sonderberichtungen?
• Wie sieht der regelmäßige Review-Prozess für Ihre Berechtigungen aus (Sicherheitsprüfungen)?
• Wie sehen ihre aktuellen Passwortkonventionen aus?

Am Ende sollten Sie das Konzept auch so schreiben, dass es in der Praxis gelebt wird und nicht nur als Schriftstück dient, das dem Wirtschaftsprüfer oder Auditor übergeben wird.

2. Phase: System- und Rollenanalyse

In der Phase „System- und Rollenanalyse" ist es wichtig, einen vollumfänglichen Stand der aktuellen Berechtigungen zu erhalten, wenn es sich z. B. um einen SAP S/4HANA-Brownfield-Ansatz handelt und das bestehende Rollenkonzept nur überarbeitet oder als Grundlage für ein neues Konzept genutzt werden soll.

All diese Daten in eine Übersicht zubekommen, in Form einer Excel-Tabelle, kann sehr mühsam sein, auch unter der Voraussetzung, dass bis zur letzten Berechtigungsobjektebene alle Werte mit einbezogen werden. Hierbei unterstützt uns unsere C_PRO INDUSTRY-Lösung smartRoleDoc. Mit Hilfe dieser smarten Lösung können SAP-Berechtigungen auf Knopfdruck und in Echtzeit dokumentiert und analysiert werden – von der Funktions- über die technische(n) SAP-Rolle(n) (bzw. deren Berechtigungsobjekte inkl. Feldwertausprägungen) bis hin zur Benutzerzuordnung bzw. auch umgekehrt.

Die C_PRO INDUSTRY-Lösung smartRoleDoc hilft uns auch in den weiteren Phasen des Projekts. Nachdem wir den aktuellen Stand der Berechtigung haben, ist in der nächsten Phase eine Konsolidierung mit den neu definierten Funktionsrollen möglich. Im nächsten Schritt werden alle obsoleten Transaktionen durch die neuen Transaktionen aus dem SAP S/4HANA ersetzt. Dies unterstützt in dieser Workshop-Phase insbesondere die Fachbereiche zur Überprüfung und Zuordnung der korrekten Berechtigungen. Zum Schluss werden alle Rollen und Berechtigungen ins SAP S/4HANA-System übertragen und zentral in der Lösung dokumentiert.

3. Phase: Design von Funktionsrollen

Im nächsten Schritt, dem Design, werden die Funktionsrollen aufgestellt. Funktionsrollen sollten auch nicht namensscharf auf einen Mitarbeiter zugeschnitten sein. Eine Funktionsrolle ist die Bündelung von Tätigkeiten, die ein Mitarbeiter durchführt und ist auch vergleichbar mit einer Funktionsbeschreibung. Hierbei ist es hilfreich, ein aktuelles Organigramm des Unternehmens parat zu haben, da sich hierdurch sehr schnell die ersten Ebenen der Funktionsrollen ableiten lassen. Zur einfachen Visualisierung dient das untere Schaubild eines Beispielunternehmens. Zu Beginn werden die obersten Ebenen der Fachbereiche / Module / Abteilungen erfasst. Im nächsten Schritt geht es daran, diese Bereiche in Gruppen von Mitarbeitenden (zum Beispiel Abteilungsleiter, Key-User, Sachbearbeiter oder Azubi) zu unterteilen. Bei einigen Bereichen kann es auch sein, dass weitere untergeordnete Funktionsrollen definiert werden müssen, wie am Beispiel Vertrieb. Hier muss die Granularität erweitert werden, bis letztendlich die Arbeitsplätze oder Positionen im Unternehmen durch die Funktionsrolle beschrieben sind.

Somit entsteht für jede Funktionsrolle eine Sammelrolle mit mindestens einer oder mehreren Einzelrollen. Um Werte aus der organisatorischen Ebene der Berechtigungen nutzen zu können, empfiehlt es sich auch, immer mit Masterrollen zu arbeiten. Aus den Masterrollen lassen sich dann die Einzelrollen ableiten, wenn z. B. verschiedene Buchungskreise im Unternehmen vorhanden sind. Das Mapping von den Funktionsrollen zu den späteren Sammel-, Master- und Einzelrollen wird dabei direkt im Tool hinterlegt. Bei der Definition der Rollen sollte nochmal explizit auf die Namenskonventionen aus der Konzeptionsphase geachtet werden, ob diese auch in der Praxis für alle Bereiche / Ebenen umsetzbar sind.

Nach der Definition der Funktionsrollen können mit Hilfe von Statistikdaten aus dem SAP-System die Transaktionen für die Funktionsrolle abgeleitet werden. Hierbei unterstützt uns auch die C_PRO INDUSTRY-Lösung smartRoleDoc, um diese Daten Usergruppen-spezifisch und strukturiert darzustellen. Danach können die Transaktionen zu den Master-/Einzelrollen direkt im Tool zugeordnet sowie übertragen werden; das erspart uns Tippfehler, da wir keine Medienbrüche haben.

Diese Übersicht von Transaktionen bildet am Ende auch die Grundlage für die Funktionsrolle und die weitere Phase, die Fachbereichsworkshops mit den Keys-Usern / Fachbereichsverantwortlichen.

Wenn Sie sich nun fragen, was mache ich mit den Berechtigungen für SAP Fiori-Apps? Dann sollten Sie hier die SAP-Standard-Rollen aus den Best Practice-Prozessen als Vorlage nutzen. So können Sie die Anzahl der SAP Fiori-Apps minimieren, die Sie auch später berechtigen müssen, da Sie diese direkt aus den verwendeten Best Practice-Prozessen pro Bereich ableiten. Die sogenannten SAP Fiori-Kataloge / Gruppen werden dann den Bereichs- sowie Funktionsrollen spezifisch zugeordnet. Die neuen Berechtigungen für die SAP Fiori-Apps können dann auch mit in die Fachbereichsworkshops übergeben werden, um die korrekte Zuordnung und den Umfang zu prüfen.

4. Phase: Fachbereichsworkshop & Realisierung der Rollen

Die definierten Funktionsrollen mit ihren Sammel-, Master- und Einzelrollen und dazugehörigen Berechtigungen für Transaktionen und SAP Fiori-Apps werden nun in Form einer Liste oder eines direkten Zugriffs auf die C_PRO INDUSTRY-Lösung smartRoleDoc an die Fachbereiche übergeben, wodurch diese inhaltlich das Rollen-Design mitbegleiten. Dabei schauen sich die Fachbereiche die Zuordnung und die Aufteilung der Berechtigungen für jede Funktionsrolle ihres Bereiches im Detail an. Sie kennen ja schließlich am besten die Transaktionen, mit denen sie tagtäglich arbeiten. Hierbei sollten die Fachbereiche auch auf SOD (Segregation of Duties) oder Funktionstrennungskonflikte sowie kritische Berechtigungen aus ihrem Prozess achten und diese auflösen.

Die Anmerkungen bzw. Korrekturen werden gemeinsam im der C_PRO INDUSTRY-Lösung smartRoleDoc angepasst und an die IT-Abteilung (Rollenverwalter) übergeben. Diese kann nun mit dem Rollenbau beginnen, indem sie die Master-, Sammel- und Ableitungsrollen anhand der Daten aus der C_PRO INDUSTRY-Lösung smartRoleDoc erstellt, Profile generiert und die Berechtigungsobjekte ausprägt. Hierbei müssen schließlich nur noch die Werte aus den org. Ebenen in den abgeleiteten Einzelrollen ausgeprägt werden. Die zentrale Dokumentation für den Rollenbau übernimmt die C_PRO INDUSTRY-Lösung smartRoleDoc automatisch. Dies spart Zeit und bindet weniger Ressourcen. Danach geht es weiter mit den Tests.

5. Phase: IT- & Fachbereichstest

Die nächste Phase entspricht der Testphase eines jeden Projektes. Hierbei empfiehlt es sich, den Test in zwei Stufen aufzuteilen. In der ersten Stufe wird nach der Umsetzung der Rollen ein sogenannter IT-Test der Rollen durchgeführt, um die Grundfunktionen zu überprüfen (z. B. öffnet sich die gewünschte SAP Fiori-App, kann ich die Transaktion aufrufen usw.). Wichtig ist hierbei die Einhaltung des Vier-Augen-Prinzips, sprich, der Rollenersteller solle nicht Tester sein. Somit wird auch die Qualität der Tests erhöht, da es das Risiko von Fehlern minimiert. Somit werden die Key-User in der nächsten Stufe des Fachbereichstests entlastet; ihre oft knapp bemessene Zeit wird geschont und sie können ihren täglichen Routineaufgaben aus dem Betrieb nachkommen.

Der Fachbereichstest sollte immer so aufgebaut sein, dass ein Termin mit einem Zeitrahmen von ein bis drei Stunden gewählt wird, in dem der Berater / Bearbeiter aus der IT zusammen mit dem Key-User aus dem Fachbereich den Test durchführt. Hierbei testet der Key-User seine für das Modul spezifischen Prozesse und der Berater aus der IT wird die auftretenden Fehler sofort beheben, so dass anschließend gleich der Retest durchgeführt werden kann. Je nach Bereich und Ausprägung der unternehmensinternen Prozesse sollten hierfür mehrere Termine pro Modul für den Fachbereichstest eingeplant werden. Wichtig ist auch, dass hier keine vollständigen Prozesstests durchgeführt werden. Dies würde die Zeit und den Rahmen des Berechtigungstests sprengen, da zu diesem Zeitpunkt die Prozesstests schon fast vollständig abgeschlossen sein sollten. Nachdem alle Fachbereichs- und Retests abgeschlossen sind, kann mit den Vorarbeiten für den Go-Live gestartet werden.

6. Phase: Go-Live

Den „Go-Live“ empfehlen wir in die zwei folgenden Stufen aufzuteilen:

Wissenstransfer für IT & Admin:

In der Stufe „Wissenstransfer" wird den Mitarbeitern aus der IT / Admin, die auch später Fehler aus dem täglichen Betrieb bearbeiten, nochmals das Berechtigungskonzept vorgestellt. Hierin sollten z. B. folgende Fragen aufgegriffen und beantwortet werden:

• Wie ist das Konzept aufgebaut?
• Welche Sonderberechtigungen gibt es?
• Welche Werkzeuge helfen mir bei der Analyse von Fehlern?
• Wie dokumentiere ich Änderungen an Rollen?

Weiterhin sollte auch ein Wissensaufbau hinsichtlich der neuer Technologien, vor allem im Zusammenhang mit der Einführung von SAP S/4HANA, durchgeführt werden. Dabei spielen die SAP Fiori-Apps, wohl die größte Rolle.

• Wie sind die Apps aufgebaut? (OData Service, Kacheln, Gruppen usw.)
• Wie analysiere ich Berechtigungsfehler und welche Tools helfen mir dabei?
• Wie behebe ich Fehler?

Produktivsetzung der Berechtigungen:

Nachdem alle Mitarbeiter geschult sind, kann der Go-Live weiter vorbereitet werden.

Hierfür sollten im ersten Schritt alle Rollen ins Produktivsystem importiert und anschließend an die vorher definierten User verteilt werden. Zum Zeitpunkt des Go-Live müssen dann nur noch die übergreifenden Berechtigungen oder die Rollen, die nahe dem „SAP_ALL“ sind, entzogen werden. Danach können die Endanwender mit ihren neuen Berechtigungen produktiv arbeiten. Um hier das Risiko zu minimieren, dass ganze Abteilungen arbeitsunfähig werden, da sich doch noch ein Berechtigungsfehler eingeschlichen hat, empfiehlt es sich, auf den „Big Bang“ zu verzichten und zeitversetzt sowie bereichs-/abteilungsweise die übergreifenden Berechtigungen zu entziehen. Dies sorgt für mehr Prozesssicherheit und -stabilität in der anschließenden Phase des Produktivbetriebs.

7. Phase: Hypercare & Betrieb

Beim Übergang in den Betrieb sollte, wie bei allen anderen Prozessen auch, ein IT-Servicemanagement-Tool zur schnellen und effizienten Verteilung und Bearbeitung von Fehlern genutzt werden, in dem der Endanwender schnell sein Anliegen (z. B. Fehler) aufgeben kann, das der IT-Abteilung oder dem Berechtigungsteam automatisch zugeordnet wird. Um eine hohe Inhaltsqualität der Meldungen sicherzustellen, nutzen wir die C_PRO INDUSTRY-Lösung smartTroubleShooter, da sie eine einfach zu bedienende Oberfläche, eine Screenshot-Funktion und eine automatische Aufzeichnung von technischen Inhalten aus der Anwendung in Meldung bereitstellt. Die Produktivität bei der Meldungsbearbeitung wird somit gesteigert, da überflüssige Rückfragen entfallen.

Weiterhin sind bei der Bearbeitung von Fehlern oder Neuanforderungen von Berechtigungen die beiden Prozesse für das Benutzer- und Berechtigungsmanagement aus der ersten Phase wichtig. Diese sollten an einer zentralen Stelle koordiniert und bearbeitet werden. Zum einem gibt es hier den Benutzerverwalter, der sich um den Prozess der Berechtigungsvergabe kümmert. Zu seinen Aufgaben zählen unter anderem User-Erstellung, Änderung, Sperrung / Entsperrung und die Zuordnung von Rollen. Zum anderen gibt es noch den Rollenverwalter, der die Aufgaben aus dem Prozess zur Änderung / Neuanlage von Berechtigungen wahrnimmt. Durch die klare Aufgabenverteilung wird eine Funktionstrennung und somit ein Vier-Augen-Prinzip sichergestellt, das von vielen Auditoren auch verlangt wird.

Fazit

Hiermit haben Sie einen Leitfaden vorliegen, der in allen Phasen beim (Re)Design eines SAP S/4HANA-Berechtigungskonzepts essentielle Mehrwerte liefert, ihr Projekt beschleunigt und den Arbeitsaufwand verringert.

Darüber hinaus ermöglicht Ihnen die C_PRO INDUSTRY-Lösung smartRoleDoc ein stabiles, konsistentes (da transparentes) und auditfähiges Berechtigungskonzept.

Stand: 2. September 2021