af Sükrü ilkel Birakoglu, Senior Director

SoD (funktionsadskillelse) er en intern proces, der har til formål at forebygge fejl og svindel ved at sikre, at mindst to personer er ansvarlige for de enkelte dele af enhver opgave. 

SoD handler om at nedbryde opgaver, som med rimelighed kan løses af en enkelt person, til flere opgaver, så ingen alene har kontrol over et forretningskritisk system. Lønstyring er f.eks. et administrativt område, hvor der er høj risiko for både svindel og fejl. Et almindeligt eksempel på funktionsadskillelse for lønstyring er at have en medarbejder, der er ansvarlig for den regnskabsmæssige del af jobbet, og en anden, der er ansvarlig for at underskrive lønudbetalingerne.  

Selvom det forbedrer sikkerheden, kan det at opdele opgaver i separate komponenter påvirke virksomhedens effektivitet negativt og øge kravene til omkostninger, kompleksitet og personale. Derfor anvender de fleste organisationer kun SoD på de mest sårbare og missionskritiske elementer i virksomheden. 

Anvendelsen af den rigtige SoD i ERP-systemer som SAP øger kompleksiteten, når man tager alle de forretningsrelaterede opgaver, der kan udføres i et SAP-system, i betragtning. Dette nødvendiggør kontinuerlig overvågning af SoD-konflikter og udførelse af forretningsprocesser i forbindelse med disse konflikter for at forhindre bedrageri i et SAP-system. 

I forbindelse med et SAP-system bør én enkelt person ikke være ansvarlig for mere end én af disse transaktionskomponenter: Autorisation af transaktionerbooking af transaktioner og°håndtering af de relaterede aktiver. For eksempel bør en person, der kan godkende indkøbsordrer, ikke være ansvarlig for at behandle betalinger.  

Hvis du følger°SoD-principperne i et SAP-system, skal du varetage 4 processer:  

  1. SoD-design
  2. SoD-implementering
  3. SoD-vurdering
  4. SoD-afhjælpning 

I SoD-designprocessen bør virksomheder oprette en organisationsstruktur, hvor forretningsrollerne for hver medarbejdertype er skitseret. Disse forretningsroller (f.eks. en account manager, indkøber, sælger) skal bestå af visse funktioner som f.eks. oprettelse af en leverandør eller kundemaster, oprettelse af en betalingsordre, godkendelse af en betalingsordre osv. 

Hver af disse funktioner kan knyttes til transaktioner, tjenester, fjernfunktionsopkald eller andre systemrelaterede handlinger og API’er i et SAP-system. Derfor er det vigtigt at fastlægge, hvilke handlinger der hører til hvilke funktioner, og anvende dem korrekt ved hjælp af SAP’s tekniske roller i systemet. SoD-designet er en lang og kompliceret proces, der er tilbøjelig til at være fejlbehæftet på grund af de komplekse forretningsprocesser, der afvikles i et SAP-system. 

I SoD-implementeringsprocessen knytter I jeres forretningsroller til tekniske roller i SAP-systemet. De tekniske roller indeholder de transaktioner, der kan udføres i SAP-systemet. Du kan derefter tildele de tekniske roller til SAP-brugere, som skal udføre forretningstransaktionerne i SAP-systemet. 

SoD-vurderingen er den mest komplicerede proces, selvom faserne SoD-design og SoD-implementering er korrekt opfyldt. Du skal overvåge SAP-systemet for at kontrollere, om alle følger disse krav under en ændring. Det er her SoD Tools kommer ind i billedet. 

SoD Tools kontrollerer, om brugerne kan udføre kritiske transaktioner eller en kombination af disse i den eksisterende organisationsstruktur, da der er risiko for svindel. Ordet eksisterende°antyder, at de fleste virksomheder ikke engang har SoD-udviklings- og SoD-implementeringstrinnene på plads. 

SoD Tools kan være ganske praktiske, når det drejer sig om at få listen over brugere med adgang til kritiske standardtransaktioner, som eksisterer næsten alle steder (f.eks. SU01 – brugertransaktion, SE16 – tabellæsning). Alene dette kan spare en masse tid og give en høj grad af forståelse for, hvor dårlig vores situation med rolleledelsen er. Hvis der er mange brugere i et SAP-system, der kan køre kritiske transaktioner, f.eks. SU01, SM59, SE16,° er der flere problemstillinger på SoD-designstadiet uanset virksomhedens forretningsprocesser. 

På andet niveau kan vi få en liste over brugere med adgang til typiske kombinationer af kritiske transaktioner såsom oprettelsen af betalingsordrer og godkendelsen af dem. Vurdering på forretningsprocesniveau er også en temmelig kompliceret opgave i et SAP-system. Her skal der være en kontinuerlig overvågnings- og rapporteringsløsning på plads, f.eks.°Logpoint BCS for SAP

Med vores SoD Assessment and Monitoring-løsning er det muligt at finde frem til brugere, der har fået tildelt modstridende roller, altså problemer med SoD-autorisationen. Vi kan også registrere handlinger i et SAP-system, der kan føre til SoD-konflikter. 

På et af dashboardene i vores løsning viser vi SoD-konfliktsituationer, der kan opstå i henhold til den aktuelle rolletildeling i SAP-systemet. Antallet af brugere, der har roller, der fører til SoD-konflikter, vises også.  

List of SoD Violations in an SAP System and List of Users with corresponding roles leading to SoD Violations

Liste over SoD-overtrædelser i et SAP-system og liste over brugere med tilsvarende roller, der fører til SoD-overtrædelser

Andre dashboards indeholder mere detaljerede oplysninger om reel brug af roller, som fører til SoD-konflikter. Hvis en bruger f.eks. har oprettet en indkøbsordre og også har ændret masterdataene for betingelserne for denne indkøbsordre, fanges denne handling i realtid og vises i vores LogPoint SIEM.

List of actions leading to SoD Violations in an SAP System

Liste over handlinger, der fører til SoD-overtrædelser i et SAP-system

I SoD-afhjælpningsfasen retter I SoD-konflikter i jeres SAP-system ud fra resultaterne i SoD-vurderingsfasen. Logpoint BCS til SAP-løsninger giver dig mange oplysninger om SoD-konflikter i SAP-systemet, og disse oplysninger bruges som input til SoD-afhjælpningsfasen.

Hvis du har brug for flere oplysninger om vores produkter til BCS for SAP Security and Threat Detection, kan du sende en e-mail til min e-mailadresse: [email protected] 

Segregation of Duties

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint