Beitrag vom 18.02.2022
Im Bereich ERP Administration wird man früher oder später mit dem Berechtigungskonzept konfrontiert und sucht Antworten auf Fragen, wie:
· Welche Rolle soll der neue Mitarbeiter im ERP System bekommen?
· Passt die Rolle?
· Ist das die richtige Rolle?
· Was kann die Rolle überhaupt?
· Wer entscheidet, ob die Rolle neue Berechtigungen erhalten soll oder sogar entzogen?
· Hat die Rolle weitgehende Berechtigungen, damit man auch flexible Arbeiten innerhalb einer Abteilung gerecht werden kann, ohne jedes Mal die Rolle für den einzelnen User anzupassen?
· Ist sie genug eingeschränkt, dass ein Interessenkonflikt ausgeschlossen ist?
Seien wir doch ehrlich, das Berechtigungskonzept im ERP System folgt in der Regel folgendem Schema:
Abteilung X soll die Rolle AB bekommen.
User in Abteilung Y soll aber auch einige Berechtigungen von Abteilung X erhalten.
Dann gibt es natürlich wiederum die Advanced User die mehr Berechtigungen erhalten sollen.
Einige sollen nur lesen, andere schreiben und lesen und ganz wenige sollen zusätzlich noch zaubern können
Schlimmer wird es, wenn ein User mehrere Rollen im Zugriff hat, weil er in der Vergangenheit einen Abteilungswechsel stattfand und man vergaß, die Rolle zu entfernen.
Er meldet sich natürlich auch nicht und bittet darum seine erweiterten Berechtigungen zu entziehen, warum sollte er auch?
Menschen geben nicht gerne ab, erst Recht nicht, wenn es um hart erarbeitete Rollenzuordnungen im ERP System geht 😄
Klassischer Fall von einem eventuellen Interessenkonflikt.
Sprüche wie: "Ja, aber das konnte ich aber vorher machen und jetzt nicht mehr" 😡
- kennt sicherlich jeder Admin.
Anfangs hat man noch gute Ambitionen und richtetet das Rollenkonzept entsprechend ein, aber irgendwann kommt ein neuer ERP Administrator, der wiederum seine eigene Note oder Konzept einfließen lässt und nach ein paar Jahren steht man dann als neuer ERP Admin vor einem Problem.
Die einfachste Lösung ist natürlich bei kleinen Unternehmen (oder auch manchen großen) einfach ohne Konzept zu arbeiten :)
So was soll es wirklich geben, irgendwo da draußen…. auf dem Planeten Melmac:
Zur Info:
Melmac liegt im Aldente-Nebel der Andromeda-Galaxie und ist die Heimat der Melmacaner…
𝑺𝒐, 𝒋𝒆𝒕𝒛𝒕 𝒘𝒊𝒆𝒅𝒆𝒓 𝒛𝒖𝒓ü𝒄𝒌 𝒂𝒖𝒇 𝒖𝒏𝒔𝒆𝒓𝒆𝒏 𝑬𝑹𝑷 𝑷𝒍𝒂𝒏𝒆𝒕𝒆𝒏.
Hier und da hört man auch folgendes Konzept:
Rollen unterteilen in zwei Bereiche: Schreib-Rechte und Lese-Rechte.
Das kann gut gehen, aber welcher Wirtschaftsprüfer nimmt das ab?
Manchmal traut man sich auch zu fragen:
"Gibt es eine Doku vom Berechtigungskonzept? "
Die Frage kann man auch auf einer Karnevalssitzung stellen.
100% ein Brüller.
Wenn man als neuer ERP-Administrator in einer Firma anfängt und einen neuen Mitarbeiter im ERP anlegen soll und sich im folgenden Frage-Antwortspiel wiedererkennt, dann wird es höchste Zeit, ein Berechtigungskonzept aufzubauen.
𝗠𝗶𝘁𝗮𝗿𝗯𝗲𝗶𝘁𝗲𝗿: 𝗛𝗮𝗹𝗹𝗼 𝗠𝗶𝘀𝘁𝗲𝗿𝗗𝗮𝘁𝗮, 𝗺𝗲𝗶𝗻 𝗞𝗼𝗹𝗹𝗲𝗴𝗲 𝗵𝗮𝘁 𝗺𝗶𝗿 𝗴𝗲𝘀𝗮𝗴𝘁, 𝗱𝗮𝘀 𝗻𝘂𝗿 𝗱𝘂 𝘂𝗻𝗱 𝗡𝗨𝗥 𝗗𝘂 𝗺𝗶𝗿 𝗵𝗲𝗹𝗳𝗲𝗻 𝗸𝗮𝗻𝗻𝘀𝘁.
𝗘𝗥𝗣-𝗔𝗱𝗺𝗶𝗻: 𝗔𝗵𝗮, 𝘄𝗼𝗯𝗲𝗶❓
𝗠𝗶𝘁𝗮𝗿𝗯𝗲𝗶𝘁𝗲𝗿: 𝗜𝗰𝗵 𝗯𝗲𝗻ö𝘁𝗶𝗴𝗲 𝗲𝗶𝗻𝗲𝗻 𝗘𝗥𝗣 𝗭𝘂𝗴𝗮𝗻𝗴
𝗘𝗥𝗣-𝗔𝗱𝗺𝗶𝗻: 𝗢𝗞, 𝘄𝗲𝗹𝗰𝗵𝗲 𝗥𝗼𝗹𝗹𝗲❓
𝗠𝗶𝘁𝗮𝗿𝗯𝗲𝗶𝘁𝗲𝗿: 𝗞𝗲𝗶𝗻𝗲 𝗔𝗵𝗻𝘂𝗻𝗴.
𝗝𝗲𝘁𝘇𝘁 𝘀𝗰𝗵𝗮𝗹𝘁𝗲𝗻 𝗲𝗶𝗻𝗶𝗴𝗲 𝗶𝗻 𝗱𝗲𝗻 𝗛𝗼𝗺𝗲𝗿 𝗦𝗶𝗺𝗽𝘀𝗼𝗻 𝗠𝗼𝗱𝘂𝘀 (𝗧𝗩 𝗶𝗺 𝗞𝗼𝗽𝗳 𝘀𝗰𝗵𝗮𝘂𝗲𝗻 𝘂𝗻𝗱 𝘀𝗶𝗰𝗵 𝗮𝘂𝗳 𝗱𝗲𝗻 𝗔𝗯𝗲𝗻𝗱 𝗳𝗿𝗲𝘂𝗲𝗻 :)
𝗘𝗥𝗣-𝗔𝗱𝗺𝗶𝗻: 𝗜𝗻 𝘄𝗲𝗹𝗰𝗵𝗲𝗿 𝗔𝗯𝘁𝗲𝗶𝗹𝘂𝗻𝗴 𝗯𝗶𝘀𝘁 𝗱𝘂❓
𝗠𝗶𝘁𝗮𝗿𝗯𝗲𝗶𝘁𝗲𝗿: 𝗜𝗻 𝗱𝗲𝗿 𝗪𝗮𝗿𝗲𝗻𝗮𝗻𝗻𝗮𝗵𝗺𝗲𝗔𝟯𝟯
𝗘𝗥𝗣-𝗔𝗱𝗺𝗶𝗻: 𝗦𝗼 𝗲𝗶𝗻𝗲 𝗔𝗯𝘁𝗲𝗶𝗹𝘂𝗻𝗴 𝗲𝘅𝗶𝘀𝘁𝗶𝗲𝗿𝘁 𝗻𝗶𝗰𝗵𝘁 𝗶𝗺 𝗢𝗿𝗴𝗮𝗻𝗶𝗴𝗿𝗮𝗺𝗺, 𝗮𝗯𝗲𝗿 𝗶𝗰𝗵 𝗵𝗮𝗯𝗲 𝗳𝗼𝗹𝗴𝗲𝗻𝗱𝗲 𝗥𝗼𝗹𝗹𝗲𝗻 𝘇𝘂𝗿 𝗔𝘂𝘀𝘄𝗮𝗵𝗹:
𝗪𝗮𝗿𝗲𝗻𝗮𝗻𝗻𝗮𝗵𝗺𝗲𝟭,𝗪𝗮𝗿𝗲𝗻𝗮𝗻𝗻𝗮𝗵𝗺𝗲𝗦𝗼𝗻𝗱𝗲𝗿,𝗪𝗮𝗿𝗲𝗻𝗮𝗻𝗻𝗮𝗵𝗺𝗲𝗩𝗜𝗣,𝗪𝗮𝗿𝗲𝗻𝗮𝗻𝗻𝗮𝗵𝗺𝗲𝟭𝟮𝟯𝟰𝘁𝗲𝘀𝘁
𝗪𝗲𝗹𝗰𝗵𝗲 𝘀𝗼𝗹𝗹𝗲𝗻 𝘄𝗶𝗿 𝗻𝗲𝗵𝗺𝗲𝗻 ❓
𝗠𝗶𝘁𝗮𝗿𝗯𝗲𝗶𝘁𝗲𝗿: Ä𝗵𝗵𝗺, 𝗸𝗲𝗶𝗻𝗲 𝗔𝗵𝗻𝘂𝗻𝗴, 𝘄𝗮𝗿𝘂𝗺 𝗺𝘂𝘀𝘀 𝗶𝗰𝗵 𝗱𝗮𝘀 𝘄𝗶𝘀𝘀𝗲𝗻❓ 𝗞ö𝗻𝗻𝗲𝗻 𝗦𝗶𝗲 𝗺𝗶𝗿 𝗱𝗮𝘀 𝗻𝗶𝗰𝗵𝘁 𝘀𝗮𝗴𝗲𝗻❓
𝗗𝗮 𝗶𝘀𝘁 𝗲𝗿 𝘄𝗶𝗲𝗱𝗲𝗿, 𝗱𝗲𝗿 𝗛𝗼𝗺𝗲𝗿 𝗦𝗶𝗺𝗽𝘀𝗼𝗻 𝗠𝗼𝗱𝘂𝘀…
𝗘𝗥𝗣-𝗔𝗱𝗺𝗶𝗻: 𝗡ö, 𝗶𝗰𝗵 𝗯𝗶𝗻 𝗮𝘂𝗰𝗵 𝗻𝗲𝘂 𝗵𝗶𝗲𝗿.
𝗠𝗶𝘁𝗮𝗿𝗯𝗲𝗶𝘁𝗲𝗿: 𝗡𝗲𝗵𝗺𝗲𝗻 𝗦𝗶𝗲 𝗱𝗼𝗰𝗵 𝗱𝗶𝗲 𝗥𝗼𝗹𝗹𝗲 𝘃𝗼𝗺 𝗺𝗲𝗶𝗻𝗲𝗺 𝗞𝗼𝗹𝗹𝗲𝗴𝗲𝗻 𝗶𝗻 𝗺𝗲𝗶𝗻𝗲𝗿 𝗔𝗯𝘁𝗲𝗶𝗹𝘂𝗻𝗴. 𝗜𝗰𝗵 𝘀𝗼𝗹𝗹 𝗱𝗶𝗲 𝗴𝗹𝗲𝗶𝗰𝗵𝗲 𝗔𝗿𝗯𝗲𝗶𝘁 𝗺𝗮𝗰𝗵𝗲𝗻.
𝗘𝗥𝗣-𝗔𝗱𝗺𝗶𝗻: 𝗢𝗞, 𝗶𝗰𝗵 𝘀𝗰𝗵𝗮𝘂 𝗺𝗮𝗹 𝗻𝗮𝗰𝗵. 𝗢𝗵, 𝗲𝗿 𝗵𝗮𝘁 𝗱𝗶𝗲 𝗥𝗼𝗹𝗹𝗲 𝗟𝗮𝗴𝗲𝗿𝟮𝗫^𝟮
𝐇𝐚𝐥𝐥𝐨 𝐇𝐨𝐦𝐞𝐫 ❗ 𝐉𝐞𝐦𝐚𝐧𝐝 𝐧𝐨𝐜𝐡 𝐝𝐚 ❓
Blickt doch keiner mehr durch und der Wirtschaftsprüfer am Ende des Jahres auch nicht und er möchte gerne eine Erklärung zum Berechtigungskonzept haben.
Toll, wenn man gerade neu im Job angefangen hat, da weiß man natürlich sofort was zu tun ist?!?
Höchste Eisenbahn etwas umzustellen und so schwierig ist es nicht.
Man muss es nur 𝑴𝑨𝑪𝑯𝑬𝑵❗
Wenn man folgende Punkte beachtet, dann hat man eine Basis, die später verfeinert werden kann, aber man hat eine Grundlage:
• Das Firmenorganigramm sollte meiner Meinung nach die Grundlage sein
• Pro Abteilung zunächst nur eine Rolle
• Pro Mitarbeiter nur eine Rolle
• Am Anfang kann man die Berechtigungen gerne etwas weit in den Kompetenzen fassen
• Interessenkonflikte ausmerzen und aus den Rollen entfernen
• Klare Trennung zwischen Mitarbeiter / Systemuser und Schnittstellen-User
• Workflow aufbauen mit einem Freigabeprozess für neue Mitarbeiter
• Freigabeprozess definieren für Rollenerweiterungen
• IKS (internes Kontrollsystem) einführen : monatlicher Check von Mitarbeitern und Abteilungen
• Keine Rollenänderung zwischen Tür und Angel erledigen, oder mal auf die Schnelle. Immer durch den Genehmigungsprozess laufen lassen. Ich weiß, ist manchmal schwer, da muss man aber konsequent bleiben.
Natürlich ist das Thema mit den oben genannten Punkten nicht erledigt.
Anpassungen wird es immer geben, aber es ist einfacher wenn es solide auf einer Grundlage aufgebaut ist.
Später kann man Themen wie Multisite und autom. Anlegen von Usern im ERP anhand des AD Accounts fokussieren.
Dazu eventuell später mehr…
Viel Erfolg und Gruß
Mister Data