Machbarkeit globalerBusiness-RollenModelle
DSAG Arbeitsgruppe GRCPotsdam, November 2013
DSAG Arbeitsgruppe GRC
Agenda
IAGM & Businessrollen
Das Rollenmodell
IAGM-Automation
Herausforderungen
Fragen & Antworten
Seite 2
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM & Business-rollen
Seite 3
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM & BusinessrollenIAGM – IA-was?
Identity, Access & Governance Management (kurz
IAGM) beschreibt Gesamtlösungen, die Anwender mit allem
versorgen, was sie im Rahmen Ihrer Aufgaben für ein
Unternehmen an Zugängen zu IT-Ressourcen benötigen.
Interne und externe regulatorische Anforderungen
(Governance & Compliance) verlangen, dass diese Zugänge
aber auch nicht mehr umfassen als wirklich notwendig ist (least
privilege-, need to know- oder Minimalprinzip). Ergänzend
sollen bei der Vergabe besondere Risiken z. B. aus kritischen
Funktionen oder Funktionstrennungsaspekten vermieden
werden (Segregation of Duties – SoD und Sensitive Access – SA).
Seite 4
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM & BusinessrollenBusinessrollen definiert!
Businessrollen sind Elemente eines Rollenkonzeptes, die typische
Arbeitsplätze/Funktionen eines Unternehmens abbilden (z. B. Einkäufer/in).
Unter einem typischen oder typisierten Arbeitsplatz verstehen wir eine identische
oder zumindest sehr ähnliche Kombination aus Aufgaben mit Bezug zu
IT-Anwendungen, die von mehreren Mitarbeitern aufgrund ähnlicher Funktionen
wahrgenommen werden.
Unter einer Aufgabe verstehen wir eine spezifische Kombination einer Aktivität in
Bezug auf ein betriebswirtschaftliches Objekt (z. B. Bestellanforderungen pflegen),
der im Idealfall passende Berechtigungen in einer Zielanwendung entsprechen.
Die Businessrollen kombinieren insofern alle Berechtigungen, die zur Ausführung der
Aufgaben eines Arbeitsplatzes erforderlich sind, unabhängig von den
Plattformen & Systemen, auf denen die Aufgaben abgebildet sind.
Seite 5
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM & BusinessrollenWarum Businessrollen?
• Businessrollen als Abbild von typischen Arbeitsplätzen sind ein probates Element zur
systemübergreifenden Definition und Bündelung der IT-Zugänge.
• Businessrollen und Aufgaben (und ggfs. Programme) können von Fachbereichen definiert und
verstanden werden. Aufgaben können von den IT-Experten verstanden und in technische
Berechtigungen umgesetzt werden. Sie sind insofern ein ideales Bindeglied zur
Bedarfskommunikation zwischen Fachbereich und IT.
• Die Anzahl der einzeln durch Genehmiger zu entscheidenden Elemente bei der Beantragung kann
im Vergleich zur Einzelrollen-Beantragung massiv reduziert werden. Dadurch erhöht sich die
Akzeptanz und reduziert sich der Aufwand der Genehmiger.
• Enthalten Businessrollen Applikationsrollen fremder Rollen-Eigner, können diese ihre
Zustimmung einmal zur Businessrolle geben. Eine Genehmigung bei der Vergabe der Businessrolle
entfällt dadurch.
• Wird bei der Gestaltung von Businessrollen darauf geachtet, dass nur unvermeidbare, gewollte
SoD-Konflikte in Businessrollen enthalten sind, kann die Zahl der Konflikte in Benutzern
drastisch reduziert werden.
• Änderungen in Arbeitsplätzen können durch Anpassungen der zugeordneten
Applikationsrollen angepasst werden. Die Synchronisation erfolgt automatisch über die IAGM-
Anwendung.
Seite 6
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM & BusinessrollenWas sind Voraussetzungen?
• Die Ziel-Anwendungen verfügen über ein angemessenes Berechtigungskonzept, das
die IT-Aufgaben der abzubildenden typischen Arbeitsplätze als Gruppierung von
Rollen/Berechtigungen abbilden kann.
• Das Unternehmen verfügt über eine transparente und strukturierte Prozesshierarchie
und Organisationshierarchie, die den realen Prozessen, Aufgaben und
Organisationsstrukturen des Unternehmens entsprechen.
• Das Unternehmen verfügt über ein qualifiziertes Netzwerk von Prozessexperten im
IT-Bereich und Prozesskoordinatoren in den Fachbereichen, die Auskunft geben können
über die Kombination von Aufgaben in Arbeitsplätzen.
• Das Rollenmodell, das Regelwerk, die Prozesse und organisatorischen Rollen werden
unterstützt durch eine IAGM-IT-Lösung, die der allgemeinen Komplexität des Themas
und den spezifischen Anforderungen des Kunden gerecht wird.
Seite 7
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
DasRollen-Modell
Seite 8
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Das PwC RollenmodellDie 4 PwC-Anforderungen an angemessene Rollen
Außen-
Beurteilung
Innen-
Beurteilung
Rollen-
Klarheit
Jede Business- und Applikationsrolle ist über die Rollenattribute eindeutig in die
zwei Hauptdimensionen eingeordnet. Dies heißt, dass die Rollen einem Haupt- /
Teilprozess sowie einem Differenzierungstyp und –wert zugeordnet sind.
Regel-
Konformität
Die Business- und Applikationsrollen beinhalten nur die Applikationsrollen bzw.
technischen Berechtigungen, die mit dem Rollennamen und den
Rollenattributen übereinstimmen.
Rollen-
Kongruenz
Die Applikationsrollen sind frei von inhärenten Funktionstrennungskonflikten des
SoD-Regelwerks. Applikationsrollen beinhalten grundsätzlich jeweils nur eine
sensitive Funktion des SA-Regelwerks.
Rollen-
Transparenz
Die Business- und Applikationsrollen sind in ihrer Granularität sowie über den
Rollennamen und die Rollenbeschreibung so definiert, dass ein sachkundiger
Dritter innerhalb angemessener Zeit die Funktion der Rolle nachvollziehen kann.
Seite 9
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Das PwC RollenmodellSchichten & Dimensionen
System-Schicht
Rollen-Schicht
Identitäts-Schicht
Applikations-Rollen
Business-Rollen
Identitäten
Berechtigungen
Benutzer
OMHierarchiePlanstelle
Dimension 1:Processes
Seite 10
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Dimension 1: ProzessAblauforganisation
Das PwC RollenmodellDie Prozessuale Dimension
MM: Materialwirtschaft
Kunden-dienst
Material-wirtschaft
Instand-haltung
Produktion LogistikVertrieb &
Versand
ITFinanzen Controlling
MMPU:Anfragen und
Angebote pflegen
(..)
MMPU:Bestell-
anforderungen pflegen
(..)
MMPU:Bestellungen
pflegen
(..)
MMPU:Bestellungen
freigeben
(..)
MMPU:Beschaffung
anzeigen(..)
MMMD:Stammdaten
MMIM:Bestandsführung
MMPU:Beschaffung
MMPI:Inventur
MMFT:Außenhandel
MMXP:ZusätzlicheFunktionen
MMPU:Rahmen-verträge pflegen
(..)
Seite 11
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Dimension 2:OrganisationAufbauorganisation
Das PwC RollenmodellDie Organisatorische Dimension
XBuchungs-
kreise
X
X
Versand-stellen
Personal-bereiche
Einkaufs-organisa-
tionEO
X
Logistik
Instand-haltungs-
Werke
Produk-Tions-Werke
Logistik-Werke
Buchungs-Kreis
CC
Kosten-rechnungs-
kreis
Einheit&
Land
Verkaufs-Organisa-
tionen
Versand-stellen
C-Plants
Seite 12
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Das PwC RollenmodellIdentität – Prozess – Organisation
Rollendimension Organisation
Rollendimension Prozess
Produktion LogistikEinkauf
Rechnungswesen ITControlling
Bestell-anforderung
pflegen
Anfragen und Angebote pflegen
Identität & Businessrolle
Einkaufs-organisation Logistik-
Werke GeschäftsbereicheRegion
Einkäufer/in
…CO
Anzeige
MRPAusführung
Stücklistenpflegen
BasisRolle
Rechtseinheiten
Kreditorenanzeigen
….
OMHierarchiePlanstelle
Warehouse Management
anzeigen…
Seite 13
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Das PwC RollenmodellEin Beispiel
MMMD: Materialstammdaten
pflegen (ohne FI-Sicht)
BusinessrolleMMPU: Einkäufer/-in
[EO: 0001]
FIAP: Kreditoren anzeigen [CC: (AAI]
MMMD: Preise und Konditionen pflegen
[EO: 0001]
MMMD: Lieferantenstammdaten
pflegen (Einkauf) [EO: 0001]
FIIV: Inventurbewertung anzeigen [CC: (-DE]
Mail Account
AD-Account
InternalDialogUser
SAP ERP Basis RoleOM
Hierarchy
WMWP: Warehouse Management
anzeigen [WN: (AA]
MMIM: Bestandsführung
anzeigen [PL: (AA]
MMPU: Anfragen und Angebote pflegen
[EO: 0001]
MMPU: Rahmenverträge pflegen
[EO: 0001]
MMPU: Bestellanforderungen
pflegen [EO: 0001]
Seite 14
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGMAutomation
Seite 15
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM AutomationSystem- & Funktions-Landschaft
IdentityLifecycle Funktion
Identitiy & User Lifecycle Management
Management einfacherUser & Rechte
Role & EntitlementLifecycle Funktion
Management von Businessrollen
Management von Rollen &
Berechtigungen
Zielsysteme
Quellsysteme & Datenbanken
HR
Personalstämme& Attribute
OM-Hierarchie & Planstellen
Identity Repository
Identitäten& Attribute
ZentraleHierarchie
SAP Mainframe Web
BenutzerRollen &
BerechtigungenBenutzer
Gruppen &Profile
Benutzer Rollen
Access Governance Funktion
ÜberwachungFunktionstrennungen &
Sensitive Funktionen
Kompensation durchmanuelle & automatische
Kontrollen
Management von Rollenzuordnungen
Provisioning / Fulfilment
Seite 16
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
IAGM AutomationSelektionskriterien
• Einfach Bekanntmachung der
Applikationsrollen in der IAGM-
Anwendung. Im Idealfall automatische
Delta-Synchronisation und
Attributierung.
• Pflege von Businessrollen mit
Hinterlegung von Pflicht- und Wahl-
Attributen. Einfache
Selektion/Zuordnung von
Applikationsrollen.
• Freie Attributierung von
Applikations- und Businessrollen
unabhängig von den Ziel-Applikationen.
• Pflege eines Differenzierungsmodells
mit Differenzierungstypen und –werten
als Grundlage für Tochterrollen für
Businessrollen (und ggfs.
Applikationsrollen).
• Vorschläge für die Zuordnung von
Applikationsrollen zu Businessrollen
in Abhängigkeit des gewählten
Differenzierungstyps und -werts der
Businessrolle
• Anlage von Mutter- Applikationsrollen
und Ableitung von Tochter-
Applikationsrollen in SAP auf Basis
des Differenzierungsmodells
BASICS ADVANCED
Seite 17
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Heraus-forderungen
Seite 18
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
HerausforderungenFragestellungen Allgemein
• Wie beherrscht man die Rollenanzahl aus der Multiplikation aus Mutter-
Prozessrollen und Mutter-Businessrollen mit Differenzierungstypen und
-werten?
• Wie geht man mit der Notwendigkeit der Zuordnung von Tochter-
Applikationsrollen mit anderen Differenzierungstypen/-werten als denen
der Tochter-Businessrollen um?
• Wie modelliert man Businessrollen bei einer Gruppe von Personen mit
ähnlichen Funktionen:
Kleinster gemeinsamer Nenner mit zusätzlichen Einzel-Applikationsrollen
Vereinigungsmenge aller Aufgaben der Personen
Aufspaltung in zwei eigenständige Businessrollen jeweils entweder mit
vollem Aufgabenumfang oder Basis- und Add On-Businessrolle
Seite 19
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
Fragen &
Antworten
© 2013 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft.
Alle Rechte vorbehalten. „PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers
Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der
PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften
der PwCIL ist eine rechtlich selbstständige Gesellschaft.
Seite 20
November 2013Businessrollenmodelle
DSAG Arbeitsgruppe GRC
© 2013 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft.
Alle Rechte vorbehalten. „PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers
Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der
PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften
der PwCIL ist eine rechtlich selbstständige Gesellschaft.
Ihr Ansprechpartner
Johannes LiffersKapelle-Ufer 410117 BerlinTel.: +49 30 26 36 16 58email: [email protected]
Seite 21
November 2013Businessrollenmodelle
Martin KrauseAlsterufer 120354 HamburgTel.: +49 40 6378 1520email: [email protected]