Im letzten Blog Beitrag zum Thema Segregation of Duties (SoD) Management wurden verschiedene Kategorien für die Bewertung des SoD Management Reifegrades hergeleitet. Jetzt werden diese Kategorien verwendet, um den Reifegrad zu ermitteln. Testen Sie Ihren Reifegrad mit dem vorgestellten Fragenkatalog schnell und unkompliziert!
Die Segregation of Duties Reifegrade
Im Folgenden werden die fünf Reifegrade erklärt. Sie können alle 31 Fragen inklusive einer Anleitung zum Vorgehen zur Durchführung eines Self-Assessments hier downloaden:
Reifegrad 0
Der Reifegrad 0 liegt vor, sofern ein Unternehmen für seine betriebswirtschaftliche Standardsoftware ein Berechtigungsmanagement durchführt, dabei jedoch keine Funktionstrennungsaspekte berücksichtigt. Eine Wahrnehmung der SoD-Problematik innerhalb des Unternehmens existiert nicht. Der Zweck des Berechtigungsmanagements besteht ausschließlich darin, den Mitarbeitern einen Zugang zum ERP-System zu ermöglichen.
Reifegrad 1 – Initial
Analog zu bekannten Reifegradmodellen wie CMM und BPMM besitzen Funktionstrennungsvorhaben bei betriebswirtschaftlicher Standardsoftware, die dem Grad „Initial“ zugeordnet werden können, die geringstmögliche Reife. Die Prozesse laufen in diesem Stadium ungeplant und unstrukturiert ab, so dass die Qualität der SoD-Analyse nur schwer zu beurteilen ist. Dies liegt v.a. an der fehlenden Formalisierung des Regelwerks, die eine Nachvollziehbarkeit der Aktivitäten hinsichtlich Vollständigkeit und Richtigkeit erschwert. Die Regeln werden ad hoc von den beteiligten Mitarbeitern definiert, wodurch eine unternehmensweite Gültigkeit ausgeschlossen werden kann. Darüber hinaus ist der Definition des Regelwerks keine Risikoidentifikation und -bewertung im Sinne des Risikomanagementprozesses vorausgegangen, weshalb eine vollständige Berücksichtigung aller risikobehafteten Geschäftsprozesse nicht gegeben ist. Dies impliziert auch die fehlende Dynamik des Regelwerks. Anpassungen aufgrund geänderter Risikobewertungen werden nicht vorgenommen. Die Verantwortung für die Durchführung der SoD-Aktivitäten liegt allein beim IT-Bereich. Das führt sowohl bei der Definition des Regelwerks als auch bei der Kontrolldurchführung zu Qualitätsverlusten. Die Umsetzung präventiver Kontrollen, bspw. bei der Berechtigungsvergabe, ist durch diese Aufgabenverteilung nicht möglich. Außerdem kann ohne eine Integration der Fachbereiche keine wirkungsvolle und nachhaltige Beseitigung der Konflikte durchgeführt werden. Die spontane Initiierung der SoD-Aktivitäten führt tendenziell zu einer Überverpflichtung der beteiligten Mitarbeiter, die primär für andere Aufgaben zuständig sind. In Kombination mit dem hohen Zeitaufwand für die manuelle Durchführung der Kontrollaktivitäten ist auf diesem Reifegrad davon auszugehen, dass die SoD-Aktivitäten in Zeiten hoher Belastung eingestellt werden.
Reifegrad 2 – Repeatable
Im Vergleich zum Reifegrad „Initial“ existiert auf diesem Level ein formalisiertes Regelwerk, in dem die Funktionstrennungskonflikte definiert sind. Dies erhöht die Transparenz der SoD-Aktivitäten innerhalb des Unternehmens und erleichtert durch die Formalisierung eine erneute Durchführung der SoD-Analysen. Aus organisatorischer Sicht ist die Fachabteilung auf diesem Reifegrad stärker in den SoD-Prozess involviert. Dies sorgt zum einen dafür, dass die Qualität des Regelwerks steigt. Zum anderen kann die Fachabteilung als Adressat des SoD-Reportings die identifizierten Konflikte besser beurteilen und bei deren Beseitigung unterstützen. Der Erfolg der Konfliktbeseitigung lässt sich bei weiteren Durchläufen der SoD-Kontrollen ablesen. Die Ergebnisse werden erstmalig in einem SoD-Reporting aufbereitet und kommuniziert.
Reifegrad 3 – Defined
Auf diesem Reifegrad existiert das Regelwerk für mehrere risikobehaftete Geschäftsprozesse sowie für einige der unterstützenden Anwendungssysteme. Sofern sich relevante Veränderungen bei den Geschäftsprozessen ergeben, findet häufig eine Aktualisierung des Regelwerks statt. Um die Wirksamkeit des Kontrollsystems zu erhöhen, umfasst das Regelwerk sowohl detektive als auch präventive Kontrollen. Kann das Regelwerk nicht angewendet werden, kommen dezentral definierte kompensierende Kontrollen zur Anwendungen, um mögliche Risiken zu minimieren. Um eine unternehmensweite Prozessverbesserung zu unterstützen, werden die Konflikte beim regelmäßigen Reporting mit entsprechenden Risikowerten versehen. Dadurch können die Fachbereichsverantwortlichen eine Priorisierung für die Mängelbeseitigung ableiten, um einen effektiven Einsatz ihrer Ressourcen zu gewährleisten. Die Kommunikation der Konflikte erfolgt mit Hilfe eines integrierten Eskalationsmanagements, um eine zeitnahe Bearbeitung sicherzustellen. Insgesamt ist das strukturierte Vorgehen auf diesem Level auch im organisatorischen Bereich zu erkennen. Die Verantwortung für den SoD-Prozess liegt bei den Fachbereichen. Sie erarbeiten mit Unterstützung der IT-Mitarbeiter das Regelwerk und sind für die Beseitigung der identifizierten Konflikte zuständig. Die erhöhte Wahrnehmung für Funktionstrennung zeigt sich auch in der Weiterentwicklung des Berechtigungsmanagements. Für die Berechtigungsvergabe bei Benutzern mit umfassenden Rechten, wie z. B. Super-User oder Notfall-User, wird ein strikteres Verfahren umgesetzt. Darüber hinaus werden detektive Kontrollen zur Überprüfung dieser Benutzer implementiert.
Reifegrad 4 – Managed
Auf dem Reifegrad „Managed“ wird ein generisches Regelwerk verwendet. Ausgehend von der Risikoidentifikation werden Funktionstrennungen für alle relevanten Geschäftsprozesse definiert. Im Vergleich zu den Regelwerken der darunter liegenden Reifegrade sind diese Funktionstrennungen systemunabhängig definiert. Bevor aus dem Regelwerk Systemkontrollen abgeleitet werden können, müssen die einzelnen Funktionen daher zunächst den Transaktionen der relevanten Anwendungssysteme zugeordnet werden. Es findet gewissermaßen eine systemspezifische Übersetzung des Regelwerks statt. Auf diese Weise ist es einfacher, ein unternehmensweit einheitliches Regelwerk zu pflegen. Bei Prozessänderungen ist nur ein Regelwerk anzupassen. Wenn die bestehenden Anwendungssysteme abgelöst werden, kann das generische Regelwerkt nach wie vor genutzt werden. Es sind lediglich die systemspezifischen Transformationen anzupassen. Die Kontrollaktivitäten werden regelmäßig und automatisiert vorgenommen. Dadurch ist es den Verantwortlichen möglich, auch kurzfristig eine konkrete Aussage über die Einhaltung der Funktionstrennungen zu machen. Die nachhaltige Beseitigung der Konflikte wird durch ein automatisches Eskalationsmanagement unterstützt, welches die Konflikte in Abhängigkeit von Alter und Risikobewertung an die Fachbereiche kommuniziert. Das Reporting umfasst auf diesem Niveau auch Kennzahlen zur Prozessverbesserung. So lässt sich bspw. darstellen, inwieweit durch die Bildung von Sammelrollen die Effizienz der Benutzeradministration erhöht wurde. Das Management wird in regelmäßigen Abständen über den Fortschritt der Funktionstrennungen informiert. Dabei kann es mit Hilfe von Soll-Ist-Vergleichen bei bestimmten Kennzahlen, z. B. Anzahl der SoD-Konflikte je Benutzer, die Einhaltung der Zielvereinbarungen überprüfen.
Reifegrad 5 – Optimizing
Der Reifegrad „Optimizing“ beschreibt die höchste Entwicklungsstufe für Funktionstrennungsvorhaben bei betriebswirtschaftlicher Standardsoftware. SoD-Prozesse auf diesem Niveau zeichnen sich v. a. dadurch aus, dass sie permanent weiterentwickelt und verbessert werden. So ist ein Prozess implementiert, der dafür sorgt, dass das Regelwerk bei jeder relevanten Prozessänderung überarbeitet wird. Dies umfasst auch die systemspezifischen Transformationen des Regelwerks, die daraus abgeleiteten Kontrollaktivitäten sowie die Risikobewertungen, die für das Reporting und die integrierten Eskalationsmechanismen verwendet werden. Das unternehmensweit einheitliche Regelwerk zeichnet sich auf diesem Reifegrad durch seine Vollständigkeit aus. Es umfasst nicht nur alle als risikoreich eingestuften Prozesse sowie die involvierten Anwendungssysteme, sondern berücksichtigt auch Funktionstrennungen, die systemübergreifend definiert sind. Um eine einheitliche Durchführung sämtlicher Kontrollaktivitäten zu gewährleisten, werden auch die kompensierenden Kontrollen zentral definiert und ausgerollt. Ein autonomes Vorgehen einzelner Fachbereiche findet hier nicht mehr statt. Im Vergleich zum Reifegrad 4 existieren auf diesem Reifegrad nicht nur Zielvorgaben für die Beseitigung der Funktionstrennungskonflikte, sondern die Unternehmensleitung hat die Zielvorgaben darüber hinaus mit einem Anreizsystem ausgestaltet. Dadurch sollen zusätzlich inkrementelle und innovative Prozess- und Technologieverbesserungen gefördert werden.
31 Fragen für die Einschätzung des Reifegrads ihres Unternehmens
Wenn Sie ermitteln möchten, welchen Reifegrad Sie in Ihrem Unternehmen in Sachen Funktionstrennung haben, dann downloaden Sie alle 31 Fragen des Reifegradmodells und die Beschreibung zum Vorgehen hier:
Fazit
In diesem Blog-Beitrag wurde ein Reifegradmodell für Funktionstrennung bei betriebswirtschaftlicher Standardsoftware vorgestellt. Sowohl die Komplexität des Themas als auch die bis jetzt unzureichenden Forschungsaktivitäten in diesem Bereich verdeutlichen die Notwendigkeit für die Entwicklung eines solchen Modells. Wir haben für die Kategorien Regelwerk, Kontrollaktivitäten, Reporting und organisatorisches Umfeld, Fragen formuliert, mit deren Hilfe sich einerseits der aktuelle Stand der SoD-Aktivitäten bewerten lässt. Andererseits können darauf aufbauend Verbesserungspotentiale identifiziert und entsprechend priorisiert werden. Dabei soll die im Vergleich zu anderen Reifegradmodelltypen relativ einfache Struktur für eine hohe Anwenderfreundlichkeit sorgen. Ein weiteres Kriterium für die Anwenderfreundlichkeit ist eine adressatengerechte Ergebnisbereitstellung. Hier ist zukünftig eine graphische Aufbereitung der Ergebnisse denkbar, um wesentliche Informationen aggregiert und übersichtlich zu präsentieren.
Zu den Bewertungskriterien ist anzumerken, dass die Umsetzung des Risikomanagementprozesses von der Risikoidentifikation bis zur Risikoüberwachung im Modell nicht explizit gefordert ist. Indirekt wird anhand bestimmter Fragen die Einhaltung dieses Prozesses jedoch verlangt, da er zu einer kontinuierlichen Verbesserung der Risikosituation des Unternehmens führt.
Dieser Beitrag erschien als Langversion in der Zeitschrift für Interne Revision ZIR 3/10.
