Rollen und Berechtigungen im Bereich Human Resources (HR)

 

 

Natuvion berät Sie

 

 

  • bei der Erstellung und Pflege von HCM Berechtigungskonzepten

Die Erstellung von Berechtigungskonzepten im Bereich Human Resources ist umfangreich und komplex. Profitieren Sie hier von der jahrelangen Erfahrung unserer Experten. Unsere Experten vereinen jahrelange Expertise sowohl aus den Bereichen der Entwicklung, als auch des Betriebes und dies nicht nur auf Seiten der beteiligten Beratungshäuser. Definieren Sie in Zusammenarbeit mit Natuvion die zu nutzenden Berechtigungsobjekte, Berechtigungsschalter und Implementierungen. Mit dem Berechtigungskonzept setzen wir den Rahmen für die Rollenerstellung, einer der zentralen Punkte auf dem Weg zur Privacy Compliance und Datenschutzkonformität.

 

  • bei der Einrichtung der Berechtigungsschalter

Nutzen Sie nach der Erstellung des Berechtigungskonzeptes das Know-How unserer Experten. Das Customizing der Berechtigungsschalter zur Steuerung der im Konzept definierten Berechtigungsprüfungen ist zentraler Baustein zur Umsetzung der Compliance- und Datenschutzanforderungen.

 

  • bei der Berechtigungsvergabe und Einsicht in personenbezogene Daten zur Umsetzung des Need-to-Know Prinzip (Minimalprinzip)

Durch die Erstellung eines umfassenden Berechtigungskonzeptes legen wir in Zusammenarbeit mit unseren Kunden neben allgemeinen Zugriffsberechtigungen auch genau fest, wer bestimmte Daten lesen, ändern, löschen oder versenden darf. Hierzu prüfen wir in einem ersten Schritt genau, welche Daten einzelne Mitarbeiter für ihre tägliche Arbeit benötigen. Im Anschluss werden Zugriffsberechtigungen gemäß dem Need-to-know-Prinzip nur für diese Daten (siehe BSI IT-Grundschutz-Kataloge, Punkt M 2.8: Vergabe von Zugriffsrechten) vergeben. Hierzu bietet es sich an, die jeweiligen Stellen- und Funktionsbeschreibungen heranzuziehen, um bereits frühzeitig die Berechtigungen auf einzelne Bereiche oder Abteilungen wie Controlling oder Personal zu beschränken. Keinesfalls dürfen hierbei Berechtigungen nur aufgrund einer gewissen Hierarchiestufe vergeben werden. In einem zweiten Schritt sind weitergehende Berechtigungen zu definieren und etwa zwischen Lese- und Schreibrechten zu unterscheiden. Dies gilt auch für die Berechtigungen zu Auswertungen. Weitreichende Berechtigungen sollten möglichst auch nicht an „Named User“ vergeben, sondern über „technische User“ abgewickelt werden. Besonderes Augenmerk ist darauf zu legen, dass Daten nicht unbefugt gelöscht werden können.

 

  • bei Strukturellen Berechtigungen

Strukturelle Berechtigungen ermöglichen die kontextsensitive Berechtigungsprüfung und damit einen geregelten Zugriff auf Daten in zeitabhängigen Strukturen. Die Vergabe dieser Berechtigungen lässt sich auf verschiedene Objekttypen (Bsp.: O(rganisationsobjekt), S(telle), P(erson) über strukturelle Profile, für im Verantwortungsbereich liegende Organisationsstrukturen des jeweils Nutzenden steuern. Bei der Verwendung der genannten SAP Berechtigungen sind Wechselwirkungen zu beachten. Die mittels struktureller Berechtigung geschützten Daten müssen sich hierarchisch strukturiert in einer der Personalentwicklungskomponenten, wie z.B. dem Organisationsmanagement oder der Personalentwicklung befinden. Dadurch können die Zugriffe, wie z.B. Lese- und Schreiboperationen, in Bezug auf das jeweilige Wurzelobjekt innerhalb der hierarchischen Strukturen geregelt werden.

 

  • bei Toleranzzeiten

Wechseln Personen innerhalb einer Organisation, so verliert ggf. die bisher zuständige Person den Zugriff auf diese. Regelmäßig sind zum Zeitpunkt des Wechsels jedoch nicht alle erforderlichen Aktivitäten abgeschlossen. Die Definition einer Toleranzzeit ist hier in der Lage eine „Karenzzeit“ für die Bearbeitung einzuführen. Eine weitere Möglichkeit besteht darin, in der Vergangenheit zuständigen Personen einen temporären Zugriff einzuräumen, um anstehende Arbeiten durchzuführen (z.B. Stundenkorrekturen, Erstellung von Beurteilungen o.ä.).

 

  • bei der Einführung eines 4-Augenprinzip

Im Rahmen des heutigen und zukünftigen Datenschutzes, wie zum Beispiel des Kalifornischen CCPA‘s oder der Europäischen DSGVO, werden insbesondere Aktivitäten im Bereich Sperrung, Berichtigung und Löschung zunehmen. Nicht nur die nicht vorhanden Funktionalitäten/Prozesse dieser Vorgaben, sondern auch die fehlerhafte oder fehlgeleitete Ausführung stellt einen Verstoß gegen diese Regulierungen dar. Insbesondere die Löschung von Daten in SAP HCM mittels des SAP Information Lifecycle Management (ILM) ist irreversibel. Daher sollten alle Aktivitäten, die eine solch hohe Kritikalität aufweisen grundsätzlich nur nach dem 4-Augen-Prinzip vorgenommen werden.

 

  • bei Funktionstrennung (Segregation of Duties)

Zahlreiche Aktivitäten in SAP HCM dürfen nicht alleine von einer Person ausgeführt werden. Zum Beispiel Einstellungen, Höhergruppierungen u.ä. Hierbei besteht grundsätzlich die Gefahr, dass z.B. Zahlungen ohne Grundlage aufgenommen werden, oder schlimmer vorsätzlich durch Beschäftigte, um diese Gehaltszahlungen an sich selbst umzuleiten. Sehen Sie hierzu auch unsere Leistungen im Bereich Fraud Detection. Die technische Einführung einer entsprechenden Funktionstrennung bietet hier zuverlässigen Schutz, sowohl gegen fahrlässige Fehler, als auch gegen vorsätzliche Handlungen.

Sie haben Fragen oder Anregungen?