Advertorial Extra 2203 Mag 22-03

Funktioniert doch! Agiles Berechtigungsmanagement in S/4HANA

[shutterstock_1668531934-LookerStudio]
Geschrieben von SAST SOLUTIONS

Klassische Berechtigungsprojekte basieren auf einem monolithischen Ansatz mit einer linearen Abfolge von Projektphasen mit Meilensteinen. In einem idealtypischen Projektumfeld, in dem sowohl die Projektfaktoren als auch der Endzustand bekannt sind, mag das funktionieren.

Doch S/4HANA-Berechtigungsprojekte unterliegen aufgrund oft anfänglich ungeklärter Gesamtstrategie und sich ändernden Anforderungen einer starken Dynamik. Wie also damit umgehen? Roozbeh Noori-Amoli, Deputy Head SAP Consulting bei SAST SOLUTIONS, erläutert.

Thema ist hier die richtige Vorgehensweise bei Berechtigungsprojekten, ausgehend von initialen Überlegungen, die vorangestellt werden, um ein Projekt aufzusetzen, bis hin zum Aufzeigen von Herausforderungen und Stolperfallen, um daraus Learnings abzuleiten. Also, welche Elemente spielen eine grundlegende Rolle? Neben dem Vorhaben an sich sind dies technische Faktoren wie die zugrunde liegende Systemarchitektur, verwendete Tools, aber auch organisatorische und Compliance-Anforderungen. Diese geben einen ersten Rahmen vor und bestimmen die Wahl des Projektansatzes und -vorgehens sowie des Berechtigungskonzepts maßgeblich. Ihre Zusammenhänge sind oft eng kausal verzahnt und der Faktor Mensch darf in keiner Überlegung fehlen.

Vor dem Projekt

Die drei maßgeblichen initialen Fragen vor Projektbeginn sind: welcher Projektansatz, welches Projektvorgehen, welches Berechtigungskonzept? Zunächst zum Projektansatz: Man kann bei Berechtigungsmigrationsprojekten analog zu S/4HANA-Migrationsprojekten zwischen den Extremen Greenfield- und Brownfield unterscheiden. Greenfield heißt dann, im Grunde alles neu aufzusetzen, Brownfield bedeutet die Überführung der ERP-Welt. Diese Wahl ist auch von Budget und Ressourcen abhängig, aber häufig startet man mit einem Greenfield–Approach, befüllt die Lücken mit bewährten Prozessen aus der alten Welt und spricht dann vom Bluefield-Approach, auch Selective-Data-Ansatz genannt. Transformation bedeutet hier Konvertierung der alten Rollen und Integration neuer Elemente. Dies ist oft der goldene Mittelweg, aber dennoch nicht immer die optimale Lösung für jedes Szenario. Ein konkretes Beispiel: Mitunter funktioniert ein Greenfield-Ansatz mit Übernahme bewährter Prozesse, aber einer Neu-Definition von BPDs (Business Process Descriptions) für jeden Prozess. Hinzugezogen und transferiert werden dann Traces aus den Altsystemen zur Ergänzung der Informationslücken und begleitend finden Fachbereichsworkshops und Tests zur Abdeckung der Grauzonen statt. 

Klassisches vs. agiles Projektmanagement

Ist diese Thematik geklärt, muss die wegweisende Entscheidung zwischen klassischem und agilem Projektvorgehen getroffen werden. Hier kommt es auf Faktoren wie den tatsächlichen Unternehmensbedarf, Projektziele und Sicherheitsbedürfnis, Budget, zeitliche und personelle Ressourcen, aber auch organisatorische Strukturen und Prozesse wie die Anzahl der SAP-User oder die Art und Architektur des Systems an. In der Theorie wird diese Entscheidung oft abhängig gemacht vom sogenannten magischen Dreieck: Ist der Projektumfang fix, sind Kosten und Zeit hingegen variabel, deutet dies auf klassisches Projektmanagement hin. Sind aber Kosten und Zeit fix und der Umfang variabel, dann empfiehlt sich ein agiles Vorgehen. Letztlich lässt sich feststellen: Wenn das Mindset dafür vorhanden ist oder aufgebaut werden kann, macht agiles Projektmanagement durchaus Sinn. 

Berechtigungskonzepte

Die nächste Überlegung, die Wahl des Berechtigungskonzepts, läuft im Grunde auf den Zielkonflikt Minimierung der Risiken und der Vergabe von Berechtigungen versus Vereinheitlichung von Prozessen, Erhöhung von Transparenz und Minimierung des administrativen Aufwandes hinaus. Aufgrund der großen Vielzahl an Konzepten und ihrer unterschiedlichen Eignung für bestimmte Szenarien seien hier nur zwei Beispiele angeführt, um ihre Diversität zu verdeutlichen: Bei einer internationalen Organisation mit vielen gleichen Unternehmensteilen und wiederkehrenden Prozessen funktionieren der Template-Rollenansatz mit Ableitungen nach organisatorischen Einheiten oder das Menu/Value-Rollenkonzept. Bei einem hohen Sicherheitsbedürfnis und dem Wunsch nach einer präzisen Vergabe der Berechtigungen, einer niedrigen Anzahl Transaktionen je User und einem System mit wenigen, aber unterschiedlichen Prozessen empfiehlt sich hingegen das Konzept 1 Transaktion – 1 Rolle.

Herausforderungen und Learnings

Ein erfolgreiches S/4HANA-Berechtigungsprojekt ist mit entsprechender Expertise und sorgfältiger Planung möglich – die Vorgehensweise und die Bedürfnisse der Stakeholder sind unbedingt im Vorfeld zu bestimmen. Wichtig ist dann, von Beginn an Zeit für das Testing einzuplanen und zwischen dem Test-, dem Schulungsmanagement und dem Berechtigungsteam eine detaillierte Abstimmung sicherzustellen. Hilfreich ist eine Tool-Unterstützung, etwa durch die SAST SUITE, um Prozess-Tests zu gewährleisten.

S/4HANA-Berechtigungsmanagement agil und ganzheitlich anzugehen, wird beträchtlich erleichtert, wenn man auf Partner wie SAST SOLUTIONS und ihre SAST SUITE setzt. Mit einem solchen Toolkonzept sparen Verantwortliche durch die signifikante Reduzierung manueller Arbeiten sowohl Zeit als auch Geld. Denn die Software verbessert Analyseergebnisse, gibt eine Empfehlung, ob eine Migration oder eine Neukonzeption der Berechtigungsrollen sinnvoller ist, und liefert direkt Vorschlagswerte. Zudem werden obsolete oder getauschte Transaktionen erkannt und etwa passende FIORI-Apps identifiziert.

In organisatorischer Hinsicht sind besonders der Faktor Mensch zu berücksichtigen und die Herausforderungen, die durch den Wechsel auf S/4HANA entstehen. Kaum jemand ist erpicht auf Veränderung und diese Transformation bedeutet: Prozesse, Transaktionen und die User-Experience ändern sich. Eine saubere Projektpolitik und -kommunikation, sodass Endanwender sich abgeholt fühlen und Neuerungen annehmen, ist daher maßgeblich für den Projekterfolg. Der aufgrund sich häufig ändernder Anforderungen starken Dynamik von S/4HANA-Berechtigungsprojekten begegnet man dann optimalerweise mit einem agilen Projektmanagement-Ansatz, der zielgenau auf die Komplexität der Herausforderungen abgestimmt wurde.

Dynamisch, reaktionsschnell, flexibel: agiles Projektmanagement

Agiles Projektmanagement birgt hier große Vorteile: Integrations-, Regressions- und Berechtigungstests werden etwa nicht separat betrachtet, sondern parallel durchgeführt. Es bietet schnelle Reaktionsmöglichkeiten auf geänderte Anforderungen und einen stetigen Optimierungsprozess. Wichtig ist schlussendlich, ausreichend Zeit und Ressourcen einzuplanen, das Thema kann nicht einfach neben dem Tagesgeschäft umgesetzt werden. Die gesamte Thematik muss frühzeitig gemeinsam mit den Fachbereichen angegangen werden, schließlich gilt es, bereichsübergreifende Entscheidungen hinsichtlich der Rollen-Inhalte zu treffen und kundeneigene Kataloge und Gruppen zu erstellen, um nicht auf den überladenen SAP-Standard zurückgreifen zu müssen.

Wichtige Learnings: weg vom Berechtigungsteam, hin zu je einem Verantwortlichen in den Fachabteilungen. Sinnvoll ist eine passgenaue Tool-Unterstützung, benötigt werden Standard-Templates für Vorschlagsrollen zum Testen sowie saubere und SoD-freie Rollen. Berechtigungen dürfen nicht nur auf Funktionalität getestet werden, sondern es müssen auch Negativ-Tests stattfinden. Das Tagesgeschäft sollte dabei unbedingt durch einen Safe-go-live-Ansatz gewährleistet bleiben, dann steht einem erfolgreichen agilen Berechtigungsprojekt kaum etwas im Wege.

Roozbeh Noori-Amoli ist Deputy Head Consulting bei SAST SOLUTIONS. Der Partner für ganzheitliche Lösungen bei SAP Cyber Security & Access Governance bietet neben Consulting die eigenentwickelte Software Suite sowie Managed Services
https://e-3.de/partners/sast-solutions-ag/

Über den Autor

SAST SOLUTIONS

Das SAST SOLUTIONS-Portfolio schützt SAP ERP- und S/4HANA-Systeme – dank eigenentwickelter Software Suite, Consulting-Leistungen und Managed Services

Hinterlassen Sie einen Kommentar