Optimierung der IT-Systemlandschaft in einer Bank (EZB-Findings im SAP-Bereich)

Behebungskonzept für SAP Findings

In einem IT-Management Audit hat die EZB/BaFin/Bundesbank eine Reihe der Feststellungen bei der Bank festgestellt. Im Bereich Berechtigungsmanagement und IT-Optimierung wurden 2 SAP-Findings definiert. Zur Behebung dieser Findings wurde ein Konzept zusammen mit einer Big-4 Wirtschaftsprüfungs- und Beratungsfirma konzipiert und mit einem IT-Dienstleister entwickelt. Anschließend erfolgte die Umsetzung des Konzeptes mit einem sog. “Remediation Plan”.

Mandant: Universalbank (über 10.000 Mitarbeiter)

Herausforderung bei der Optimierung der IT-Systemlandschaft

Die SAP-Findings bezogen sich hauptsächlich auf sehr spezifische und detaillierte Einstellungen in den betroffenen SAP-Systemen (SAP-Bank Analyzer, SAP Business Warehouse, SAP FI). Somit wurde der Großteil der Maßnahmen im Rahmen der Systemadministration und des Berechtigungs-managements durchgeführt. Die Herausforderung bestand zum einem im End-to-End Design der IT-Systemlandschaft und IT-Berechtigungskontrollen, zum anderen waren die Berechtigungen der Bank Mitarbeiter betroffen. Dies führte zu einer intensiven Abstimmung und Koordination zwischen Finanz-, IT-, Controlling/Segmentreporting- und Data Governance Bereichen.

Ziel der Optimierung

Das Ziel des Projektes war die Abarbeitung der EZB-Findings im Bereich SAP. Auf Basis der dokumentierten Aktivitäten (“Remediation Plan”) wurden nachhaltige IT-Lösungen und Prozesse eingeführt, die später ein Teil des täglichen Regelbetriebs geworden sind. Die Umsetzung erfolgte hauptsächlich im Rahmen der Systemadministration und der Benutzerverwaltung.

Vorgehen bei der Optimierung der IT-Systemlandschaft

Während des Projektauftrags wurde die Umsetzung von sog. “Remediation Plan” mit folgenden Tätigkeiten durchgeführt:

  • Die Einstellungen, Prozesse und Kontrollen für die Nutzung von kritischen Berechtigungen wurden angepasst bzw. eingestellt (End-to-end-Design der SAP-Berechtigungsprüfungen inkl. SAP Firefighter)
  • Eine dauerhafte Lösung zur Verhinderung der Nutzung von sog. “debug with modification”-Rechten sowie eine Verbesserung der technischen Protokollierung wurde angepasst bzw. eingeführt
  • Das interne Kontrollsystem innerhalb für den Betrieb des SAP-Systems wurde gemeinsam mit SAP-Basis verbessert
  • Relevante Prozesse und Kontrollen innerhalb der Bank wurden angepasst
  • End-to-end-Design für Kontrollen (SAP-Berechtigungsprüfungen/IAM, SAP Firefighter, etc.),

Gefragt war hier vor allem die Fach- und IT-Expertise sowie umfangreiches Verständnis von Data Governance und SAP-Prozessen in der Bank.

Ergebnis der Optimierung

Effiziente Lösungen konnten unter Berücksichtigung regulatorischer Anforderungen sowie eines risikoorientierten Ansatzes definiert und umgesetzt werden. Die beiden SAP-Findings wurden mit den internen und externen Prüfern abgestimmt und von der Europäischen Zentral Bank abgenommen.

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

staperior staperior staperior