
Optimierung der IT-Systemlandschaft in einer Bank (EZB-Findings im SAP-Bereich)
Behebungskonzept für SAP Findings
In einem IT-Management Audit hat die EZB/BaFin/Bundesbank eine Reihe der Feststellungen bei der Bank festgestellt. Im Bereich Berechtigungsmanagement und IT-Optimierung wurden 2 SAP-Findings definiert. Zur Behebung dieser Findings wurde ein Konzept zusammen mit einer Big-4 Wirtschaftsprüfungs- und Beratungsfirma konzipiert und mit einem IT-Dienstleister entwickelt. Anschließend erfolgte die Umsetzung des Konzeptes mit einem sog. “Remediation Plan”.
Mandant: Universalbank (über 10.000 Mitarbeiter)
Herausforderung bei der Optimierung der IT-Systemlandschaft
Die SAP-Findings bezogen sich hauptsächlich auf sehr spezifische und detaillierte Einstellungen in den betroffenen SAP-Systemen (SAP-Bank Analyzer, SAP Business Warehouse, SAP FI). Somit wurde der Großteil der Maßnahmen im Rahmen der Systemadministration und des Berechtigungs-managements durchgeführt. Die Herausforderung bestand zum einem im End-to-End Design der IT-Systemlandschaft und IT-Berechtigungskontrollen, zum anderen waren die Berechtigungen der Bank Mitarbeiter betroffen. Dies führte zu einer intensiven Abstimmung und Koordination zwischen Finanz-, IT-, Controlling/Segmentreporting- und Data Governance Bereichen.
Ziel der Optimierung
Das Ziel des Projektes war die Abarbeitung der EZB-Findings im Bereich SAP. Auf Basis der dokumentierten Aktivitäten (“Remediation Plan”) wurden nachhaltige IT-Lösungen und Prozesse eingeführt, die später ein Teil des täglichen Regelbetriebs geworden sind. Die Umsetzung erfolgte hauptsächlich im Rahmen der Systemadministration und der Benutzerverwaltung.
Vorgehen bei der Optimierung der IT-Systemlandschaft
Während des Projektauftrags wurde die Umsetzung von sog. “Remediation Plan” mit folgenden Tätigkeiten durchgeführt:
- Die Einstellungen, Prozesse und Kontrollen für die Nutzung von kritischen Berechtigungen wurden angepasst bzw. eingestellt (End-to-end-Design der SAP-Berechtigungsprüfungen inkl. SAP Firefighter)
- Eine dauerhafte Lösung zur Verhinderung der Nutzung von sog. “debug with modification”-Rechten sowie eine Verbesserung der technischen Protokollierung wurde angepasst bzw. eingeführt
- Das interne Kontrollsystem innerhalb für den Betrieb des SAP-Systems wurde gemeinsam mit SAP-Basis verbessert
- Relevante Prozesse und Kontrollen innerhalb der Bank wurden angepasst
- End-to-end-Design für Kontrollen (SAP-Berechtigungsprüfungen/IAM, SAP Firefighter, etc.),
Gefragt war hier vor allem die Fach- und IT-Expertise sowie umfangreiches Verständnis von Data Governance und SAP-Prozessen in der Bank.
Ergebnis der Optimierung
Effiziente Lösungen konnten unter Berücksichtigung regulatorischer Anforderungen sowie eines risikoorientierten Ansatzes definiert und umgesetzt werden. Die beiden SAP-Findings wurden mit den internen und externen Prüfern abgestimmt und von der Europäischen Zentral Bank abgenommen.
Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website: