Artikkeli
SAP S/4 HANA ja käyttövaltuushallinta
– mitä tulee huomioida?
Useat organisaatiot ovat suunnittelemassa SAP S/4HANA -järjestelmähanketta, aloittamassa hankeen tai ottaneet sen jo käyttöönsä. Hanketta suunnitellessa tulee miettiä, miten siirtymä toteutetaan parhaiten nykyisestä ympäristöstä uuteen. Siirtymässä on tärkeää huomioida usein vähemmälle huomiolle jäävä käyttövaltuushallinta ja siihen liittyvä Fiori-sovellusten käyttöönotto. Autamme asiakkaitamme SAP-käyttövaltuushallinnan kehittämisessä sen koko elinkaaren ajan. Tarvittaessa yhdistämme sen tehokkaasti S/4HANA-hankkeeseen, aina nykytila-analyysistä suunnitteluun ja toteutukseen.
13.9.2021
Useilla organisaatiolla on tarve vähentää vaarallisia työyhdistelmiä ja laajoja käyttöoikeuksia SAP-ympäristössä. Tutkimusten mukaan merkittävä osa tietomurroista ja väärinkäytöksistä tehdään edelleen laajoja käyttövaltuuksia hyödyntämällä – S/4HANA:an siirtymisen yhteydessä kannattaa panostaa käyttövaltuuksien laadukkaaseen ja tehokkaaseen hallintaan ja seurantaan.
SAP-käyttövaltuushallinnan kehittäminen on tyypillisesti vuoden tai jopa useamman vuoden hanke. Kehittämien on hyvä aloittaa kokonaiskuvan arvioinnilla ja kehityssuunnitelman laatimisella.
Useilla asiakkaillamme ensimmäinen kehityskohde on ollut SAP-käyttövaltuuksien hallintamalli ja vaarallisten työyhdistelmien (SoD) määrittäminen.
Käytettävissä olevat resurssit kohdennetaan niihin osa-alueisiin, jotka ovat todellisuudessa riskialttiita kyseisessä ympäristössä. Tämä tehdään määrittelemällä roolit ja vastuut selkeästi, ja tunnistamalla vaaralliset työyhdistelmät liiketoimintaan ja prosesseihin liittyvien riskien osalta.
Teknisen toteutuksen yleisin haaste on monimutkainen ja mahdollisesti vuosien saatossa rapautunut roolirakenne, joka tekee vaarallisten työyhdistelmien ja laajojen käyttövaltuuksien hallinnasta lähes mahdotonta. Tämä ilmenee suurena määränä vaarallisia työyhdistelmiä ja laajoja oikeuksia SAP-käyttäjäkunnassa. Usein käyttäjät eivät todellisuudessa tarvitse niin laajoja oikeuksia työtehtäviensä hoitamiseen kuin mitä niille on myönnetty.
Data-analytiikalla näkyvyyttä ja tehokkuutta
Data-analytiikan käyttö on käytännössä ainut tehokas tapa lähestyä haastetta, kun käyttäjiä on tuhansia tai kymmeniä tuhansia. Käytämme aina Deloitten SAP-käyttövaltuushallinnan data-analytiikan työkaluja, joilla pystymme analysoimaan tehokkaasti koko SAP-käyttäjä- ja -roolidatan. Analyyseissämme tunnistetaan muun muassa käyttävätkö loppukäyttäjät todellisuudessa niitä rooleja ja toimintoja (transaktioita), joihin heillä on oikeudet, ja miltä roolirakenne näyttää reaalimaailmassa. Tällä kattavalla ja nopealla analyysilla pystymme laatimaan tarkemman suunnitelman ja toimenpiteet korjaustoimille ja vaarallisten työyhdistelmien siivoukselle.
Suunnittelemme ja toteutamme tarvittaessa koko roolirakenteen uusimisen tai sen siivoamisen. Tavoitteena on poistaa vaaralliset työyhdistelmät rooli- ja käyttäjätasolla.
Kun siivoustyö suoritetaan osana S/4HANA-hanketta, pystytään saavuttamaan synergiaetuja muun muassa testauksen osalta. Uusien käyttöoikeusroolien testaus voidaan yhdistää S/4HANA-projektin toiminnalliseen ja regressiotestaukseen. Toisaalta, jos vuosien saatossa on kertynyt paljon korjausvelkaa, voi olla syytä tehdä roolirakenteen uusiminen jo ennen S/4HANA:an siirtymistä. Tällöin voi välttyä suurelta työkuormalta S/4-konversion yhteydessä, ja varmistaa tarvittavien liiketoimintaresurssien saatavuus tukemaan roolien suunnittelua. S/4HANA-hankkeeseen liittyy myös paljon muuta suunnittelutyötä, johon prosessiomistajilta ja avainhenkilöiltä kuluu aikaa.
S/4HANA:an siirtyessä käyttövaltuushallinnassa tulee huomioida joko kokonaan uusi tai vähintäänkin laajentunut Fiori-käyttöliittymän käyttö. Fiori tuo uusia kerroksia roolikonseptiin. Konseptien määrittäminen, omistajuudet ja ylläpidon käytännöt tulisi selventää. Puutteet roolikonseptissa ilmenevät usein vasta käyttöönoton jälkeen, mutta voivat olla erittäin työläitä korjata. Lisäksi tulisi tehdä käyttöönotettavien Fiori-sovellusten arviointi sen tunnistamiseksi, mitkä sovelluksista tulee lisätä SoD-kirjastoon.
Kokonaan eroon korkean riskin vaarallisista työyhdistelmistä?
Keskittymällä riskeihin, jotka ovat todellisuudessa merkittäviä ja tukemalla siivoustyötä selkeällä ja kyseiseen ympäristöön sopivalla roolikonseptilla, voidaan päästä eroon lähes kaikista vaarallisista työyhdistelmistä.
Joissain tilanteissa vaarallista työyhdistelmistä eroon pääseminen vaatisi organisaatio- tai työtehtävien muutoksia. Tällöin voi olla tehokkaampaa määrittää kompensoivia kontrolleja pudottamaan riski hyväksyttävälle tasolle, toimintojen eriyttämisen sijaan.
Roolirakenteen uudistamisen tyypillisinä etuina saavutetaan alhaisemman riskitason lisäksi muun muassa seuraavia:
- SAP-käyttäjäroolit selkenevät ja läpinäkyvyys käyttäjien tosiasiallisiin käyttöoikeuksiin paranee
- käyttövaltuuksien provisiointi nopeutuu
- roolien ylläpidon kustannukset laskevat
- kontrolloinnin tarve vähenee, koska voidaan vähentää jälkikäteistä valvontaa siitä, onko vaarallisia työyhdistelmiä käytetty.
Aloita selvitystyö riittävän aikaisin
Tuhansien käyttäjien ja satojen SAP-roolien kuntoon saattaminen voi viedä useita kuukausia tai jopa vuosia. Selvitystyö kannattaa siis aloittaa jo hyvissä ajoin ennen S/4HANA-hanketta.
Tällöin uuteen järjestelmään voidaan kiirehtimättä rakentaa mahdollisimman turvallinen, kestävä ja selkeä roolirakenne, joka oikein ylläpidettynä toimii koko järjestelmän elinkaaren ajan. Asiakkaan tilanteesta ja S/4HANA-hankkeen lähestymistavasta riippuen roolien rakentaminen voidaan osittain tehdä vanhaan ECC-ympäristöön, ja siirtää merkittäviltä osin uuteen ympäristöön. Tällä tavoin voidaan siirtää osa S/4HANA-hankkeen työkuormasta aikaisempaan ajankohtaan, ja siten vähentää hankkeen aikaista kuormitusta organisaatiolle.
Kerromme mielellämme lisää kokemuksistamme eri projekteissa ja siitä, miten voisimme auttaa teitä SAP-käyttövaltuushallinnan ja GRC-teknologian kanssa.
Antti-Pekka Lantto
SAP security & Contols, Director
Deloitte Finland
antti-pekka.lantto@deloitte.fi
Jouni Viljanen
Operational Risk leader,
Deloitte Finland
jouni.viljanen@deloitte.fi
Deloittella pystymme palvelemaan asiakkaitamme laaja-alaisesti muun muassa SAP-riskienhallinnan, -tietoturvallisuuden, -verotuksen tai SAP:in toimintamallien ja -prosessien kehittämisen osa-alueilla paikallisesti ja kansainvälisesti.
SAP-riskienhallinta, Security & Controls -tiimissämme, työskentelee Suomessa kokeneita asiantuntijoita. Tiimillämme on lähes 100 vuoden yhteenlaskettu työkokemus SAP-käyttövaltuushallinnasta, sisäisistä kontrolleista, GRC- järjestelmistä eli hallintotavan, riskien ja vaatimustenmukaisuuden suunnittelusta ja SAP-järjestelmien tietoturvasta.