Steuerung und Verwaltung von SAP Berechtigungen

Spezialbank für die Immobilienfinanzierung und die Öffentliche Investitionsfinanzierung. Im Themenfeld SAP Berechtigungsmanagement werden unter Gewährleistung aller regulatorischen Vorgaben Berechtigungen für alle relevanten SAP Module gesteuert und verwaltet. Weiterhin werden, im Rahmen des Incidentmanagements, Problemstellungen im Kontext mit dem Berechtigungsmanagement behandelt.

Mandant: Spezialbank (bis 1.000 Mitarbeiter)

Herausforderung des SAP Berechtigungsmanagement

Die wesentliche Herausforderung besteht darin, das Berechtigungsmanagement unter Berücksichtigung organisatorischer und fachlicher Anforderungen sowie zugleich unter stetigem Einbezug der regulatorischen Anforderungen (insb. Minimalprinzip/Need-to-Know und Funktionstrennung/SoD) zu steuern.

Ziel des Berechtigungsmanagement

Zielsetzung war es kürzeste Reaktionszeiten bei Berechtigungsanfrage und Problemlösungen im Rahmen des Incidentmanagements zu gewährleisten, um einen reibungslosen Betrieb zu ermöglichen.

Vorgehen des SAP Berechtigungsmanagement

Um Berechtigungsanfragen zeitgerecht bearbeiten und Incidents lösen zu können, müssen systematisch zunächst alle bekannten Fehlerquellen geprüft werden. Sollten diese als Ursache nicht in Frage kommen bzw. als Fehlerquelle ausgeschlossen werden können, wird über Transaktionen und Tabellen im System, die weitere Anhaltspunkte liefern, weiter nach der Problemursache liefern, weiter nach der Ursache gesucht, bis diese erörtert und anschließend behoben werden kann.

Ergebnis des Berechtigungsmanagement

Berechtigungsanfragen wurden innerhalb der vorgegebenen Reaktionszeiten bearbeitet und erfolgreich Lösungen für Incidents unter Einbezug regulatorischer Vorgaben erarbeitet.

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

Evaluierung des institutsbezogenen IAM Ansatz

Ziel des Vorhabens war die Evaluierung des institutsbezogenen IAM Ansatzes verbunden mit der Erarbeitung eines schlanken und umsetzbaren IAM Soll-Szenarios. Gefragt war hier vor allem die Markterfahrung (Peer Group Analyse) und Expertise bzgl. regulatorischer Kenntnisse (MaRisk/BAIT). 

Mandant: Landessbank (bis 7.000 Mitarbeiter) 

Herausforderung der IAM Evaluierung

Die wesentliche Herausforderung bestand zum einen in der Operationalisierung des geplanten Berechtigungsmanagements unter Berücksichtigung organisatorischer und fachlicher Anforderungen sowie zum anderen unter dem stetigen Einbezug der regulatorischen Anforderungen. Zudem galt es darüber hinaus den geplanten Personalabbau im Institut Rechnung zu tragen. Der Umsetzungsfokus lag dabei u.a. auf der fachlichen und technischen Funktionstrennung/SoD, Reconciliation, Rezertifizierung, Prozessautomatisierung inkl. Implementierung von Kontrollen, Definition und Umgang mit privilegierten und kritischen Rechten.  

Ziel der Evaluierung

Das Ziel war die Erarbeitung eines schlanken und operationalisierbaren Zielbilds für das Institut unter der Berücksichtigung bereits geplanter Maßnahmen. 

Vorgehen bei der IAM Evaluierung

Durchführung einer Peer Group Analyse (Vergleich mit 7 ähnlichen Instituten) mit 10 Kategorien. Anschließend Durchführung von Deep Dive Workshops und Festlegung von Lieferobjekten. Mit der Definition von Optimierungspotenziale und anhand einer Priorisierung auf Grundlage einer ABC Analyse wurde das Vorhaben abgeschlossen. 

Ergebnis der Evaluierung

Institutsspezifische Peer Group Analyse inkl. Vorschläge zur Operationalisierung der Prozesse und Überführung in die Linienorganisation.  

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

Mängel hinsichtlich MaRisk und BAIT in der Landesbank

Die EZB (europäische Zentralbank) stellt Mängel hinsichtlich MaRisk (Mindestanforderungen an das Risikomanagement) und BAIT (Bankaufsichtlichen Anforderungen an die IT) in der Landesbank fest.

Mandant: Deutsche Landesbank (über 8.000 Mitarbeiter)

Herausforderung der OMADA Einführung

Die Berechtigungsprozesse der Bank müssen analysiert werden, um die Mängel im IT-Berechtigungsmanagement zu beheben. Das Team muss mit allen Anwendungs-, Datenbank-, Serverbetriebssystem- Verantwortlichen kooperieren, um IT-Compliant zu werden. Der Produkthersteller muss hierbei auch involviert werden, um die Anforderungen zu implementieren.

Ziel der Einführung

Das Ziel innerhalb unseres Projektes war es, OMADA als zentrale Berechtigungssoftware in der Landesbank einzuführen, um die EZB-Feststellungen im Bereich des IT-Berechtigungsmanagements zu beheben.

Vorgehen bei der OMADA Einführung

1. Vollständige Liste der Anwendungen, Datenbanken, Serverbetriebssysteme, etc. und deren Verantwortlichen anfordern / erstellen
2. Anwendungen, Datenbanken, Serverbetriebssysteme, etc. als Systeme in OMADA anlegen
3. Ist-Stand der Berechtigungen für jedes System onboarden
4. Rollen erstellen, vergeben / bestellen in Abstimmung mit den Verantwortlichen
5. Ist-Stand (3.) mit Soll-Stand (4. +5.) vergleichen (Reconciliation)
6. Bereinigung der Gaps in Abstimmung mit den Verantwortlichen
7. Einführung weiteren Funktionalitäten und Prozesse (Data Life Cycle, Segregation Of Duties, Rezertifizierung, Reporting und Kontrollen …)

Ergebnis der Einführung

Alle Berechtigungen der Bank sind in der Software OMADA abgebildet und die EZB-Feststellungen wurden geschlossen.