In een voorgaande blog (zie SAP sores) zagen we dat SAP-toegangsbeheer technisch en organisatorisch complex is en dat dit vaak niet op orde is. De eerste stap tot verbetering is het onderzoeken van de SAP-rollen. Deze blog gaat over het ontwerpen van SAP-rollen die geen functiescheidingsconflicten bevatten.

Een rol is een bundeling van een aantal gerelateerde autorisaties die je in één keer aan een medewerker kunt koppelen. Bij SAP-ERP-systemen kan het gaan om zogenaamde composite rollen, die weer bestaan uit een aantal single rollen.

Een single rol geeft toegang tot een of meerdere programmaonderdelen. Bijvoorbeeld een scherm om facturen in te voeren of een scherm om de salarisuitbetaling te starten. Daarnaast zijn allerlei verfijningen mogelijk. Zo kun je een single rol splitsen in een rol die alleen toegang geeft tot de Nederlandse facturen en één die toegang geeft tot de buitenlandse facturen. Een SAP-autorisatie die mutaties kan doorvoeren kun je veranderen in een autorisatie voor het slechts inzien van bepaalde gegevens. Verder bepaalt de single rol door middel van een menustructuur hoe de gebruiker de transacties kan opstarten.

Aantal rollen

Technisch gezien kan zowel een composite als een single rol gekoppeld worden aan een gebruiker. Systeembeheerders koppelen soms ook transacties direct aan een beheergebruiker (door zogenaamde default profiles, bijvoorbeeld SAP_ALL , aan een gebruiker te koppelen). Beheertechnisch is het beter om alleen composite rollen aan gebruikers te koppelen.

Belangrijke uitgangspunten hierbij zijn: het terugdringen van het aantal SAP-rollen per medewerker (bij voorkeur slechts één rol per medewerker) en nagaan of een rol geen functiescheidingsconflicten bevat.

Rolontwerp

Het (opnieuw) ontwerpen van de SAP-rollen kan het beste per afdeling worden aangepakt. Eerst moet je nagaan welke functies er binnen een afdeling zijn en welke functies je idealiter gescheiden zou moeten uitvoeren om fraude en misbruik te voorkomen.

Vooral bij kleine afdelingen is functiescheiding soms niet mogelijk. In dat geval zijn aanvullende risicobeperkende maatregelen noodzakelijk. Zo kunnen kritische autorisaties alleen tijdelijk toegewezen worden. Ook kan de manager – nadat gebruik is gemaakt van een kritische autorisatie – een extra controle doen, zodat eventueel misbruik direct gedetecteerd wordt.

Wanneer alle functies duidelijk zijn, worden deze functies omgezet in SAP-rollen. Om de complexiteit van rollen te beperken moeten rollen zo veel mogelijk gecombineerd worden. Wanneer bijvoorbeeld twee rollen op elkaar lijken dan kun je er beter één rol van maken die alle rechten bezit. Dit is echter niet altijd mogelijk.

Tot slot moet het rolontwerp getoetst worden. Daaruit volgt een analyse van alle potentiële functiescheidingsconflicten. Deze analyse kan dan aanleiding zijn om het rolontwerp aan te passen. Navaio kan u daarover meer vertellen.