Løsninger

Deloitte Access Risk Intelligence

I takt med at flere forretningskritiske aktiviteter og data behandles i stadig mere komplekse og integrerede SAP systemer, er virksomhedernes globale forretningsprocesser i stigende grad blevet sårbare over for svindel, cyberangreb og andre trusler.

Øget kompleksitet skaber behov for enkle løsninger

I en virkelighed, hvor øget kompleksitet, trusler fra cyberangreb og nye krav til beskyttelse af personfølsomme oplysninger, stiller krav om øget kontrol med adgangen til kritiske SAP data, er periodiske analyser af de tildelte adgangsrettigheder og den etablerede funktionsadskillelse ikke længere tilstrækkelig.
Der er behov for en proaktiv styring og forebyggelse af SAP adgangsrisici for at håndtere kompleksiteten, sikre en tilstrækkelig beskyttelse af forretningskritiske data samt efterlevelse af krav til databeskyttelse og funktionsadskillelse.


Derfor har vi udviklet Deloitte Access Risk Intelligence (DARI)

DARI er udviklet i tæt samarbejde med vores kunder for at tilgodese behovene for at overvåge og styre adgangsrisici og sikre en effektiv funktionsadskillelse på alle tidspunkter i SAP systemets livscyklus - fra blueprint til den løbende drift og overvågning af tildelte adgangsrettigheder.

Vores løsning

Med DARI får I en række unikke værktøjer, alle med fokus på analyse og styring af adgangsrisici og funktionsadskillelse samt optimering af SAP rolleindhold og tildelingen herafFunktionaliteten omfatter følgende:

”What if” analyser
Hver eneste ændring i SAP adgangsrettigheder kan påvirke mængden af forretningsrisici. Kun få virksomheder har i dag mulighed for at lave en kvalificeret risikovurdering af de ændringer der foretages. DARI giver mulighed for enkelt og hurtigt, at analysere konsekvenserne af ændringer til adgangsrettigheder inden de implementeres. Dermed kan introduktionen af nye risici forhindres og dette minimerer behovet for tidskrævende og besværlige oprydninger i adgangsrettighederne.

Med DARI kan I bl.a.:

  • Analysere effekten af at foretage ændringer i den eksisterende rolleopsætning, f.eks. ved at tilføje eller fjerne transaktionskoder fra en eksisterende rolle
  • Analysere risici ved bygge nye roller (enkelt eller samle roller)
  • Analysere effekten af at tildele roller til, eller fjerne roller fra, brugere
  • Analysere risici i alle roller inden for et helt forretningsområde

Role & User Mining
Role mining værktøjet i DARI giver et hurtigt overblik over om indholdet i den nuværende rolleopsætning matcher det, som brugerne rent faktisk anvender. Værktøjet kan anvendes til at tilpasse rollerne eller tildelingen for at minimere adgangsrisici eller optimere anvendelsen f.eks. ud fra et licensmæssigt perspektiv.

Rapportering
DARI indeholder alsidige rapporteringsværktøjer, der gør det muligt at definere og afvikle risikoanalyser på enten bruger eller rolle niveau.
Alle rapporter udarbejdes på baggrund af realtids data fra SAP og indeholder følgende informationer:

  • En grafisk oversigt, der viser statistik over de hyppigst forekomne risici samt brugere med flest identificerede adgangsrisici og funktionsadskillelseskonflikter, så fokus kan rettes mod de mest risikofyldte områder først
  • En risikomatrix, som giver et hurtigt overblik over identificerede risici og eventuelle kompenserende kontroller, så evt. uafdækkede risici let kan identificeres
  • Detaljer om brugernes adgange til relevante transaktionskoder og autorisationsobjekter, hvilket muliggør teknisk fortolkning af de identificerede risici og beslutning om evt. tilpasning af adgangsrettigheder
  • Oplysninger omkring anvendt risikokatalog, definerende kompenserende kontroller og øvrige kriterier anvendt til udarbejdelse af rapporten

Derudover kan organisatoriske afgrænsninger defineres for de enkelte rapporter, så det f.eks. kan undersøges hvilke brugere, der har bogføringsadgang til et bestemt cost- eller profit center eller firmakode. 

Rapporterne i DARI indeholder også de enkelte brugeres faktiske brug af transaktionskoder, og viser på den måde ikke kun teoretiske risici, men også de adgangsrettigheder, der rent faktisk har været anvendt. Dermed kan I målrette indsatsen mod de risici, som de enkelte brugere har anvendt – f.eks. i løbet af det seneste regnskabsår.

Alle rapporter gemmes i Excel og arkiveres, så de let kan findes på et senere tidspunkt og det er endvidere muligt at se udviklingen i adgangsrisici over tid for de enkelte rapporter. SoD rapporterne kan endvidere låses af administratorer eller brugere, således at ændringer eller sletning ikke kan foretages før rapporten er låst op igen.


DARI kan endvidere interagere med Deloittes Sharepoint baseret løsning DCI (Deloitte Control Intelligence) der kan optimere styring, udførelse og overvågning af kontroller.

Hvorfor vælge DARI?

Grundtanken med DARI er at tilbyde en enkel og brugervenlig løsning, der kan anvendes af brugere uden et indgående SAP kendskab og som løser den primære udfordring med at styre og overvåge SAP adgangsrisici.

Efter en kort introduktion vil brugere på tværs af organisationen være klar til at anvende DARI og da adgang sker via en web browser, skal der ikke installeres ny software, når brugere fremadrettet skal have adgang til løsningen.

DARI kræver heller ikke installation af yderligere komponenter i Jeres SAP miljø, og den tekniske installation og opsætning sikrer, at du i løbet af kort tid er klar til at overvåge og styre adgangsrisici og funktionsadskillelse i dine SAP systemer.

Anders Lukic

Anders Lukic

Senior Manager

Anders arbejder med compliance i bred forstand og med SAP Software Asset Management i særdeleshed. Anders har stor erfaring med implementering og optimering af forretningsprocesser, interne kontroller... Mere

Marc Nørgaard

Marc Nørgaard

Senior Manager

Marc har mere end 8 års erfaring med SAP sikkerhed og kontroller. Han har erfaring i både GRC (governance, risikostyring og compliance) samt rolle redesign projekter - både som implementeringspartner ... Mere