#93 Berechtigungen in S/4HANA: Warum sie Projekte zum Stillstand bringen – und wie man es verhindert

00:00:01: Herzlich willkommen bei den SAP Sommeliers, dem Podcast für alle, die SAP nicht nur verstehen, sondern die Zukunft gestalten wollen.

00:00:09: Präsentiert von AnkerKopf, dem Karrierenerzwerk für SAP Profis, dem Meersuchung als nur den nächsten Job und SupplyChank Consulting Oliver Nübel.

00:00:20: Liebe Zuhörer und Zuhörerinnen, wir sind wieder da mit einer Folge und diese Folge wird in einer gewissen Hinsicht sogar eingebettet sein, in einer... Doppelfolge ist vielleicht eine Art von Mikroreihe, weil wir ein Thema in einer zweiteiligen Reihe, nicht nach zweitem, zweiten Folge schon mal beleuchten werden.

00:00:43: Heute haben wir Christopher Niekamp da, Chris zum Thema Berächtigungen in SW Harnabreckten, aber es würde noch mehr als nur Berächtigung gehen, also nicht direkt abschalten, weil jetzt werden wir noch einiges mehr mit beleuchten und darüber sprechen, warum das Thema Interessantes, spannendes und auch wichtig für diese Projekte und warum man da doch vielleicht zuhören sollte.

00:01:03: Und genau, aber bevor ich zu viel verrate, stelle dich doch einmal selbst vor, wer du bist.

00:01:08: Ja, klar.

00:01:09: Sehr gerne, Daniel, Olli.

00:01:11: Vielen Dank für die Chance, also für alle, die mich nicht kennen.

00:01:14: Christopher Niekamp von der IBS Schreiber.

00:01:16: Ich bin einer von drei Geschäftsführern, habe da auch den Fokus auf den Bereich Sales, Marketing und Akademie.

00:01:23: Ich bin aber auch viel in der Produktentwicklung drin.

00:01:26: Und ja, unser Thema ist quasi, dass wir Unternehmen dabei unterstützen, SAP-Systeme sicherzumachen.

00:01:33: Uns gibt es schon seit über forty-fünf Jahren am Markt und gerade wenn es um das Thema Zugriffsrisiken in SAP geht.

00:01:38: Es war nach Projekte gerade sehr, sehr spannendes Thema und am Ende ist es so meine Aufgabe, so ein Stück weit auch gerade in den Termin mit den, mit unseren Kunden, eine Brücke zu schlagen zwischen IT, Fachbereich und Prüfern.

00:01:49: Und ja, deswegen freue ich mich, heute hier dabei zu sein.

00:01:53: Und ihr macht ja sogar, vielleicht kommen wir gleich nochmal drauf, ihr seid ja nicht unbedingt die, die die Berechtigungskonzepte schreibt für euch, oder ob ich zumindest verstanden habe, so vorgespräch, ist das richtig?

00:02:02: Ja, ganz genau.

00:02:03: Also eher diejenigen, die draufgucken und dann noch unterstützen letzten Endes.

00:02:07: Also das ganze Thema ist dann natürlich sehr komplex und aufgrund unserer Vergangenheit, wo wir klassisch aus der Prüfung kommen, sondern seit Mitte der Neunziger sind wir im Grunde auch in unseren Wurzeln geblieben und haben das Ganze bis heute immer wieder verbessert und unterstützen Kunden halt mit diesem Blick des Prüfers noch da drauf.

00:02:24: Okay, sehr schön.

00:02:27: Und neben deiner SAP-Tätigkeit hast du natürlich auch irgendwie Bock auf Wein.

00:02:31: Aus dem Grund bist du natürlich zu uns gekommen, um bei einem guten Glas Wein mit uns über Wein und SAP zu sprechen.

00:02:40: Die Weinwahl ging dieses Mal von dir aus, gar nicht von Daniel und mir.

00:02:46: Also es ist kein Riesling und kein Rotwein.

00:02:50: Ja, vielleicht magst du was dazu sagen, was wir heute im Glas haben?

00:02:54: Ja, sehr, sehr gerne.

00:02:56: Aus einer Urlaubsregion, wo ich gerne unterwegs bin im Gardasee, ist ein sogenannte Bulgarin, hier ist ein Weißwein.

00:03:02: Ich hole die Lage und nennt man das Ganze, ist ein schöner Sommerwein, wie ich finde, der dann mit so einer leicht physischen Note dazu.

00:03:10: Ich bin eigentlich immer eher so ein Freund, wenn der Wein nicht so eine hohe Säure hat.

00:03:15: Man probiert sich hier immer so durch.

00:03:17: Ich habe nicht sehr viele Weißweine letzten Endes, aber das ist einer, den ich glaube ich immer sehr, sehr gerne trinke und deswegen habe ich ihn heute mal mitgebracht und euch quasi.

00:03:26: mitgegeben und ich hoffe er schmeckt.

00:03:29: Mir schmeckt er hervorragend, tatsächlich.

00:03:31: Vielen Dank für den Vorschlag.

00:03:35: Und der Viersicht kommt doch schon sehr dominant durch.

00:03:38: Guck

00:03:38: mal, schön.

00:03:40: Und ich bin ja zumindest in Italien geblieben.

00:03:43: Ich mache ja ganz gerne italienische Rotweine von daher.

00:03:45: Guck mal, auch sehr schön.

00:03:47: Ich

00:03:47: glaube, wenn ich so zurückdenke, müsste sogar einer der Ersten, wenn ich sogar der erste Weißwein aus Italien sein, oder?

00:03:56: Tja, das ist die Preisfrage, wenn jemand sehr aufmerksam alle Folgen gehört.

00:04:00: Dann

00:04:00: schreibt uns bitte.

00:04:05: Das ist schön.

00:04:05: Ja, würde mich auch interessieren, ob ich der erste bin, der dieses Land hier reinholt, dann zum Thema Weißverein.

00:04:13: Lass uns zum Thema kommen.

00:04:16: Mit die Berechtigung ist das ja so eine Sache.

00:04:22: Gerade in so Projekten, ich meine Oliver, du wirst es noch besser als ich wissen.

00:04:25: Ich kann es ja auch nur aus Erzählungen berichten.

00:04:29: Es ist ja so, dass das häufig auf die lange Bank geschoben wird und irgendwie relativ spät im Projekt erst dann nochmal zur Sprache kommt.

00:04:37: Was aber so vermute ich nicht optimal ist.

00:04:40: Zumindest würdest du das sagen.

00:04:43: Warum ist das vielleicht nicht gerade optimal?

00:04:45: Was für Risiken entstehen vielleicht da einfach für das Unternehmen und das Projekt?

00:04:51: Also optimal ist natürlich nicht, weil es einem erst mal kurz oder lang am Ende auf die Füße fällt, weil das ganze Thema Berechtigungskonzept und das ganze Thema Projekt und auch Prozesse, das hängt irgendwie alles miteinander zusammen, gerade Prozess und Berechtigung, also ein bisschen miteinander verheiraten.

00:05:07: Warum was oft im Alltag irgendwie nicht so ganz sofort mit auf den Schirm ist, ich glaube, dass das so ein bisschen was abstrakt ist.

00:05:14: Das ist so im Hintergrund.

00:05:15: Das sind so Berechtigungen.

00:05:16: Das ist was technisches, das war das Hinterhinter.

00:05:18: Das ist nicht immer greifbar.

00:05:20: Und viele schieben das dann weg.

00:05:24: können das Ganze nicht so ganz, ganz, ja, wie gesagt, greifen, weil mir erstmal das ganze Thema Sforhana, das sieht alles erstmal neu aus, da sind neue Funktionen drin, dann gucken wir vielleicht möglicherweise auch nochmal, erstmal intensiver auf unsere Prozesse, weil uns viele in den Jahren eingefallen ist, was wir anders machen können.

00:05:40: Und dann kommt irgendwie noch eine, ich sage mal, lässige Technik dazu, die noch irgendwie dafür sorgen muss, dass das Ganze funktioniert.

00:05:46: Das fängt oft immer abstrakt, man hat das Gefühl, das stört den Projekt plus.

00:05:50: Ehrlichweise stört es aber den gesamten Projekt, wo es erst am Ende, denn am Ende ist oft immer die Frage, okay, da geht es jetzt mal wirklich um Rechte, da geht es darum, wer darf was, gegen welches Gesetz verstoßen wir möglicherweise?

00:06:02: und dann kann es ganz oft so sein, dass man möglicherweise gegen interne Vorgaben verstößt, weil die Revision nicht unbedingt vielleicht auch direkt eingebunden ist in diesem Thema, dann so etwas zu gestoppen kommt oder jener Unternehmensgröße wird eine Externa Prüfer gerufen und stellt auch fest, Hier gibt es große Lücken im technischen Berechtigungskonzept und dann kann es auch zum Stopp kommen.

00:06:22: Und das ist für alle beteiligt nicht immer schön, weil so ein Projekt ist natürlich sehr aufwendig und reizt auch viele letzten Endes, muss man sagen, also auch in der Nerven im Alltag.

00:06:32: Das macht man nicht immer so eben mit und das ist eigentlich oft letzten Endes die Thematik, warum wir Poffy feststellen, dass das Thema Berechtigungskonzept doch erst immer später angegangen wird,

00:06:42: was

00:06:44: glaube ich auch am Ende teurer aber ist.

00:06:46: Deswegen.

00:06:47: Ist das aus meiner Sicht so, die Erfahrungen, die ich so gemacht habe?

00:06:50: Also das, das mit dem teuer würde ich sofort unterschreiben, dass es den Projektfluss behindert.

00:06:58: Am Ende sehe ich auch so, wenn man hinterher halt zu stark eingeschnürt wird, funktionieren die Prozesse, die man ausrollen möchte.

00:07:06: Also dann, wenn man in die Breite geht mit dem Prozess, funktioniert es häufig nicht mehr.

00:07:12: Bei den Kosten bin ich sowieso dabei, je weiter die Berechtigungen gefasst sind, alleine durch Lizenzen, wenn man jetzt mal die direkten Kosten, die damit verbunden sind, betrachtet, bin ich in einem anderen Lizenzmodell.

00:07:24: Je mehr ich darf, ob ich es nutze oder nicht, bin ich mit größeren Lizenzen unterwegs.

00:07:31: Von daher ist das schon so der, ich nenn es mal der einfachste Hebel.

00:07:35: Und Daniel hat eben von der Miniserie gesprochen.

00:07:38: Da wird es noch ein bisschen mehr zu geben.

00:07:42: Was mich aber interessieren würde, wenn du jetzt in so Nimm mal an, du kommst in ein neues Unternehmen.

00:07:47: Das hat festgestellt, wir starten gerade, nehmen mal den Best Case, wir starten gerade mit einem SVHANA Projekt und wir würden gerne ein neues Berechtigungskonzept in diesem Zuge auch einführen.

00:08:00: Das alte vielleicht mal hinter uns lassen, weil das immer ein bisschen zu weit gefasst war und uns jetzt an dem, was wir für SVHANA machen müssen, auch brauchen.

00:08:09: Wie würdest du um ein gutes... Risikomanagement und auch ein Regelwerk einzuführen.

00:08:16: Wie würdest du so step-by-step vorgehen?

00:08:19: Also ich glaube, wichtig ist erstmal dem Istand festzustellen.

00:08:22: Wo steht die Unternehmung letzten Endes?

00:08:25: Aufsicht die Frage zu stellen.

00:08:27: Das sind ja auch so ein paar Buzzwords, die man in den letzten Jahren gehört hat.

00:08:31: Greenfield, Brownfield.

00:08:33: Welchen Weg möchte man letzten Endes wählen?

00:08:34: Möcht man wirklich komplett neu anfangen oder nicht?

00:08:36: Und gerade das Thema Regelwerk ist etwas, was schon am Anfang betrachtet.

00:08:41: nicht nur vielleicht, das muss am Anfang betrachtet werden, weil auch das hat einen Einfluss darauf, wie erfolgreich mein Projekt ist.

00:08:47: Und auch da gibt es natürlich immer viele Unterschiede zum Thema Regelwerk und auch das ist sowas abstraktes wie dieses Thema Berichtungskonzept angehen und dieses technische.

00:08:57: Da ist dann ein Regelwerk da und das Ganze kann möglicherweise dann mit einem Haken gesetzt werden, weil ich ein Regelwerk habe, aber da spielt ganz viel Musik drin, so ein Regelwerk auch anzupassen.

00:09:10: Deswegen würde ich immer da reingehen und den aktuellen Iststand des Unternehmens sehen.

00:09:15: Wie sind die Prozesse auch gebaut?

00:09:16: Gibt es eigentlich schon Dokumentationen?

00:09:18: Wie alt ist das Berechtigungskonzept?

00:09:20: Gibt es Prozesse wie beispielsweise in Daten-Eigentümerschaften?

00:09:22: Also ist klar, welche Entscheidung, wo trifft, wer was haben darf an Berechtigungen?

00:09:28: Und dann ist am Ende die Frage, wie bauen wir das Ganze auf?

00:09:30: Und wenn wir dann von der Prozesse ich gehen und sagen, wir haben ein paar Prozesse, die wir verbessern wollen, dann kann man dort direkt in die Prozess-Diskussion einsteigen.

00:09:38: Und dort das Thema mit den Regelwerken, also technisch dann integrieren und aufbauen.

00:09:43: Also das ist eher so eine Art, im Workshop, was ich dann machen würde, das ganze miteinander zu verbinden.

00:09:48: Und vor allen Dingen ganz entscheidend auch die wichtigen Protagonisten mit dran zu holen, die verschiedene Sichtweisen haben, also ab in Fachbereich und auch den Prüfer, um irgendwie alle von vornherein schon einzubinden.

00:09:59: Das wäre eigentlich etwas, was ich empfehlen würde.

00:10:06: Bietet da, wenn wir so von so einem Regelwerk ausgehen, Gibt es da einen gewissen Standards vom Hersteller in der SAP kommen und reichen die für die Kunden in der Regel nicht?

00:10:23: Wir haben ja sonst überall das Thema um die Standard.

00:10:25: Die Siro, was ja sinnvoll ist.

00:10:26: Also ich will Sie überhaupt nicht in Frage stellen.

00:10:28: Ich kann aber so ein bisschen verstanden, dass das vielleicht in dem Fall nicht überall ausreicht unbedingt.

00:10:34: Wie würdest du das einmal einordnen?

00:10:36: Ja, also rund um das Thema.

00:10:38: Regelwert gibt es ganz viele Meinungen am Markt letztendlich, das muss man sagen.

00:10:41: Und ich glaube, das muss man ein bisschen differenzieren.

00:10:43: In dieser Sicht wird, wenn wir von Standard reden, was heißt denn eigentlich Standard?

00:10:47: Also Standard, jeder hat natürlich Prozesse und vieles wird suggeriert, fang mal klein an.

00:10:52: Aber wenn du klein anfingst, musst du schon das korrekte abfragen.

00:10:55: Also du musst den korrekten Inhalt letztendlich haben.

00:10:58: Die

00:10:58: sogenannten Hersteller, die du so teilweise nimmst, wenn man auch mal eine SAP nennt, das sind Beispiele, die sie quasi mitliefern, die sowas zum Beispiel aufgesetzt wird, damit der Kunde quasi nicht komplett aus dem aus dem Kopf heraus was aufbaut, weil da müssen wir auch immer auf unterschiedliche Größen von Unternehmen schauen, wer hat tatsächlich auch beispielsweise ein Risikomanagement und ein Risikomanager bei sich, der das mit bewerten kann?

00:11:18: zum Thema IT-Zugriffsrisiken.

00:11:21: Oft ist das nicht so der Fall und das ist auch immer etwas, was sehr breit gefächert ist, gerade wenn es um Regulatoren geht.

00:11:27: Muss man auch in einbinden und ich würde das Standardthema würde ich nicht unbedingt sehen, weil am Ende muss man muss man schauen.

00:11:37: dass ein Risikoregelwerk am Ende wie ein Maßanzug sein sollte, dass es muss auf das Unternehmen mit den Prozessen angepasst sein.

00:11:43: Da rede ich nicht nur darum, die die Hintergründe des technischen Regelwerks ausgeprägt sein, wie der Prozess ist letztendlich, auch mit den Transaktionen oder den Fiori-Apps, die wir dann in SAP SVH haben, sondern am Ende ist es auch entscheidend, wir haben unterschiedliche Systeme teilweise, unterschiedliche Release-Stände.

00:12:01: ist dieses Regelwerk eigentlich auch darauf angepasst, denn ansonsten kommt man mit einem großen Raster, schmeißt das da oben drüber, hat ganz viele tausende Fehlalarme, der Kunde setzt das ganze letzten Endes um und dann kommt, weiß ich nicht, ein extender Prüfer und kommt wieder mit einem anderen Regelwerk oder man führt ein anderes Tool ein, was ein anderes Regelwerk hat und dann sieht die Welt wieder anders aus.

00:12:23: Also es ist eigentlich... Visuell gesehen, immer ein, wenn man sich nicht genau um das Thema Regelwerk kümmert, immer ein, okay, ich mach die Tür auf im Unternehmen, ich mach sie wieder zu, ich mach sie auf, ich mach sie so im Halsspalt auf.

00:12:34: Zu einer wirklichen Security kommt man da letzten Endes nicht.

00:12:37: Somal dieses Thema lebt auch, also man spielt immer wieder neue Releases ein und dann verändert sich oder was.

00:12:42: Der SAP nimmt wieder Apps hinzu, nimmt sie wieder raus, beim Releasing sind sie wieder dabei.

00:12:46: Da passiert halt relativ viel.

00:12:48: Das muss man betrachten und das ist halt ein Fulltime Job letztendlich.

00:12:51: Das ist ein Risiko-Regelwerk zum Management annehmen, weil auch Mitarbeiter kommen, Mitarbeiter gehen.

00:12:56: Da gibt es ja auch ganz viele Sachen.

00:12:58: Deswegen würde ich absehen von dem Standard.

00:13:01: Ich würde eher sagen, du brauchst ein gutes Regelwerk, was angepasst ist auf dich, aber vielleicht aus dem Anfang schon mal einen vernünftigen Maßanzug, der als Maßanzug definiert ist.

00:13:12: Und den Schneider lässt du später dann dran, wenn du dann halt schon weitergegangen bist und die ersten Schritte gemacht hast mit den wichtigen kritischen Prozessen, die du dann betrachtet hast.

00:13:20: Aber ganz wichtig ist am Ende, gränen wir überhaupt darüber, ist das ein Anzug oder tut er nur so, als wenn das ein Anzug wäre?

00:13:27: Und das ist eigentlich das Entscheidende.

00:13:29: Also den Fokus sollte man als Kunde dann letzten Endes haben, wenn man irgendwann auch nach Sforhana nicht wieder historisch bemerksene Berechtigungskonzepte haben möchte.

00:13:41: Also man sieht das ja schon, dass es so diesen Standardanzug gibt, beispielsweise in dem Best Practice, der SAP wird ja für die Fiori-Welt da, ja genau das Berechtigungskonzept eigentlich schon mit ausgeliefert.

00:13:57: Aber wie du schon gesagt hast, ja, das macht Sinn, wenn ich im Greenfield Ansatz mir irgendwie auf die Fahne schreibe, ich möchte Greenfield starten und möchte als Prozessgrundlage auch die Best Practices heranziehen.

00:14:11: Sonst merkt man sehr schnell, dass man hier und da anpassen muss.

00:14:15: Und dann kommt man, glaube ich, auch ohne Regelweg sehr schnell in einen Wildwuchs.

00:14:19: Und Wildwuchs zurückzubauen ist immer schwieriger, als von vornherein ein paar Mal mehr mit dem Rasenmäher drüber zu fahren.

00:14:28: Absolut.

00:14:29: Und ich glaube, das ist da ähnlich.

00:14:31: Und das sieht man auch in vielen unterschiedlichen Kundenprojekten, dass es da von bis gibt, also von sehr vielen.

00:14:38: weit gefassten Berechtigung bis sehr eng, wo man dann schon fast das Gefühl hat darf ich überhaupt noch irgendwas, wenn man es dann aber richtig hinterfragt ist zum Beispiel für mich als Berater im Produktivsystem gar nicht so eine umfassende Berechtigung notwendig, weil im Idealfall lege ich da ja keine Belege an, buche da irgendwas oder maximal schaue ich mir etwas an.

00:15:06: Da brauche ich dann gar nicht so eine weit gefasste Berechtigung, während ich mich in einem Testsystem, wo ich Prototypen aufbaue, wo ich gucken muss, wie es am besten für den Kunden funktioniert.

00:15:16: Da macht es dann schon Sinn, dass meine Berechtigung, ich will jetzt mal da ein bisschen breiter gefasst ist.

00:15:21: Aber mit dem Konzept komme ich eigentlich auch aus Beratersicht am besten klar.

00:15:26: Ja, absolut.

00:15:27: Also auch das ist das Thema, was wir ganz, ganz oft sehen bei Prüfung.

00:15:30: Die Berater läuft mit Suball rum, warum?

00:15:32: Weil der Berater gesagt hat, du brauchst Suball.

00:15:35: Warum?

00:15:35: Weil es bequem ist.

00:15:37: Aber das ist natürlich gar nicht notwendig.

00:15:38: letztens, weil, und da gehe ich nicht davon aus, dass der Berater, das Problem ist, der soll einen letzten Endes helfen, sondern der Gedanke einfach mal, der Benutzer und die Rechte des Beraters werden kompromittiert und werden genutzt für etwas.

00:15:53: Und das ist letzten Endes eigentlich gerade in der heutigen Welt auch noch ein Thema, gar nicht mit Saffaul rumzuwenden.

00:15:58: Die Problematik ist letztendlich aber, wenn man beispielsweise Tools einsetzt, die einem bei einer Migration Eröffnung sind, die haben gewisse Regelwerke im Bauch, die hören irgendwo auf.

00:16:08: Also es gibt Regelwerke, die beispielsweise nur Berichtigungsobjekte beinhalten, aber nicht die Transaktion.

00:16:14: Die sind aber sehr wichtig, um am Ende das Ganze auch wirklich ausführen zu können und vor allem auch in die Diskussion mit dem Fachbereich zu gehen.

00:16:21: Dann fehlt aber ein entscheidender Fakt.

00:16:24: die Erklärung, was kann ich damit eigentlich tun?

00:16:26: Also den Anwendungsbereich und dann aber auch ein Risiko.

00:16:29: Wenn man dann gleichzeitig im Rahmen des Sforana-Projektes auch darauf geguckt hat, dass es Daten-Eigentümer gibt, das heißt Fachbereiche, die wirklich sagen, beispielsweise aus dem FE-Bereich, der und der darf das haben oder der darf das nicht haben.

00:16:40: Und der Admin sagt beispielsweise, ja, wir haben jetzt hier eine FK-Ole eins, eine XK-Ole eins, irgendwelche Transaktionen und der Fachbereich sagt, boah, habe ich gar keine Ahnung von, dann wird er erstmal regnieren und wird sagen, gib ihn etwas, Hauptsache, er kann arbeiten.

00:16:52: Wenn dahinter aber steht, du vielleicht stößt gegen Parafz, zuhörnundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundund.

00:17:27: ein bis zwei Augen aus Sicht des Wirtschaftsprüfers auf den Konzepten.

00:17:33: Die kommen ja wirklich von extern und schauen, wo sind Gaps, wo sind genau diese Dinge.

00:17:39: Wie komme ich von außen rein, wo ergeben sich vielleicht Möglichkeiten auch für interne Anwender Dinge zu machen, abzuändern, die sie vielleicht so gar nicht dürfen, nicht sollten?

00:17:52: und Ja, so einem Beispiel werden zum Beispiel Bewertungspreise ändern.

00:17:58: Das sollten halt nur Leute machen, die ja sehr nah an der Finanzbuchhaltung dran sind und nicht, sag ich mal, jemand, der im wahren Eingang arbeitet.

00:18:11: Ja, Wirtschaftsprüfe sind ein ganz spannendes Thema, was man in der Praxisletzten in das sieht und davon fühlen sich viele Kunden leider noch zu sehr getrieben, weil der Wirtschaftsprüfe kommt und das ist natürlich ein Druck, wenn der im Haus ist und sich das ganze einmal anschaut.

00:18:23: und man möchte das einfach nur dann überstehen.

00:18:27: Man muss aber unterscheiden zwischen, was ist die Sicht des Wirtschaftsprüfers und was ist mein eigentliche internal security Sicht, wenn ich auch meine Berechtigung schaue, gerade in so einem Kontext eines Projektes oder wenn ich gerade noch gar nicht im Projekt bin.

00:18:40: Das ist auch immer die Frage.

00:18:42: Wirtschaftsprüfer haben da eine ganz bestimmte Aufgabe.

00:18:43: Sie wollen im Grunde eigentlich sicherstellen, dass Jahresabschlüsse korrekt sind und es keine wesentlichen Risiken letzten Endes das Unternehmen gefährden.

00:18:51: Das heißt, wenn wir auf die Berechtigung schauen im SAP-System, dann blickt er eher aus der Vogelperspektive da drauf.

00:18:58: Das heißt, er schaut halt Prozesse sich an, wer hat zu viel Macht in gewissen Prozessen, beispielsweise eine Person, die gleichzeitig eine Rechnung anlegen kann und eine Zahlung frei geben kann, oder gibt es vielleicht kritische Berechtigungen, die nur wenige Personen haben sollten, wie, ich sage jetzt mal, ändern von Stammdaten oder das Umgehen von Kontrollen.

00:19:17: Das ist eher der Blick, aber es geht natürlich viel, viel tiefer.

00:19:20: dauerhaft auch sich das anzuschauen.

00:19:22: Das heißt, am Ende also schaut ein Prüfer quasi nicht darauf, ob der Alltag perfekt läuft und ob jeder einzelne genau die richtigen Rechte hat, was man im Alltag dann als Interner machen sollte, sondern ihn interessiert eigentlich eher, ob das Unternehmen die großen Risiken letzten Endes im Griff hat und ob dafür dokumentierte Nachweise da sind.

00:19:39: Und das ist am Ende dann ein Unterschied, was man dann in der Praxis sieht.

00:19:43: Ach super, wir haben den Stempel bekommen und dann suggeriert es ein bisschen, wir sind safe.

00:19:47: Aber das ist ganz und gar nicht der Fall, da würde ich auch immer vorwarnen, denn das ist eine ganz, ganz hohe Flughöhe, was der Wirtschaftsprüfer hat und auch einen ganz anderen Blick auf diese Thematik.

00:20:05: Nun ist natürlich auch Papier gedoppelt.

00:20:09: Also ich habe mir in der Vergangenheit... Bei Unternehmen gearbeitet, wir waren nach verschiedenen Sachen, so was auch immer zertifiziert.

00:20:18: Immer wieder hatten immer wieder die Prüfer bei uns zu Hause, die dann sich in der Regel die Ordner angeguckt haben, manchmal saßen sie mit mir auf dem Arbeitsplatz und haben gesagt, guck mal, zeig mal, wie legst du den Kunden an, wie machst du den dies, wie machst du den das?

00:20:30: Habe ich alles gehabt.

00:20:31: Ich weiß ich aber, dass diese Prüfung, das Siegel kann ich bekommen, wenn ich nicht ganz blüht bin.

00:20:38: Wir haben alles schon richtig gemacht damals, nie falsch verstehen.

00:20:41: Aber... Die wesentliche Punkt ist natürlich, dass ein Konzept nicht nur einmal aufgesetzt ist und dann sozusagen in einem schönen

00:20:47: Ordner

00:20:48: im Regal steht, dass ich ihn dann noch rausziehen kann, wenn jemand vorbeikommt, sondern dass ich es lebe.

00:20:52: Weil wir haben eben gehört, Themen ändern sich, wir haben Veränderungen, wir haben neue Systeme, Updates wie auch immer.

00:20:57: Das muss ja ein gelebtes System sein, wassen Sie das Wort.

00:21:01: Wie schaffe ich denn, sowas auch nachhaltig irgendwie zu etablieren in so einem Unternehmen?

00:21:07: Also am Ende ist es nicht nur, das darf man nicht als Prozess als... ich sag mal, Projekt sehen, die Berechtigung anzugehen, dann muss ein laufender Prozess an der übernommen werden.

00:21:17: Also, das ist ganz entscheidend, was, wenn ich Berater habe oder das selber macht als Unternehmen, was wird mir denn am Ende dargelassen?

00:21:23: Und das ist ein entscheidendes Thema, ist beispielsweise das Thema Regelwerk.

00:21:26: Das heißt, was habe ich von Regelwerk, wie wird das geupdatet, was sind die Hintergründe, gerade wenn es um das Thema Zugriffsriesen geht, damit wir dort nicht wieder historisch gewachsene Berechtigungen haben.

00:21:38: Am Ende ist es wichtig, sich zu überlegen.

00:21:41: Und das kann tatsächlich heute nur mit Tools, weil das ist einfach zu komplex das Thema.

00:21:44: Wie kann ich Automatisierung aufbauen?

00:21:46: Wie kann ich regelmäßig eine Red-Zertifizierung aufmachen meiner Berechtigung?

00:21:50: Wie sind meine Prozesse im Rahmen des SVNR-Projekts mit den Fachbereichen aufgebaut worden?

00:21:54: Beispielsweise indem man sagt, okay, Rechte, die sehr kritisch sind, die schauen wir uns einmal im Monat an.

00:22:03: und revidieren die und welche die nicht so kritisch sind, die schauen wir uns einmal im Quartal an.

00:22:07: Oder man hat da unterschiedliche Reihenfolgerungen.

00:22:10: Man muss ja den Fachbereich nicht stark belasten, was das angeht.

00:22:12: Und das ist auch immer die Frage, wie man ihm das mitgibt.

00:22:15: Aber alles geht vom Regelwert letzten Endes aus.

00:22:17: Wenn man das im Griff hat und dann am Ende sich entschieden hat, wo lasse ich das Ganze denn auch drin laufen, dann hat man schon sehr, sehr viel gewonnen.

00:22:26: um sich dann am Ende auch ein System aufzubauen, wie gesagt, gerade mit Automatisierungen.

00:22:31: Wie bekomme ich gewisse Ergebnisse geliefert, nur für den Fall für das, was ich jetzt sehen möchte.

00:22:37: Weil dann kommen wir gleich wieder zu dem Thema der Wirtschaftsprüfer.

00:22:39: Wenn der am Ende des Jahres kommt, dann hat man und das jetzt die Erfahrungen, die wir haben mit den Kunden, mit den wir zusammenarbeiten.

00:22:47: Die haben so gut wie keine Probleme mehr mit den Wirtschaftsprüfer, weil die natürlich sagen, dass man auch das man Regelwerk benutzt.

00:22:54: Ich sage jetzt einfach mal Checkout, also unser Produkt, was wir haben, schon jahrelang.

00:22:58: Und das ist anerkannt bei den Wirtschaftsprüfern am Markt.

00:23:00: Wir haben viele Wirtschaftsprüfer, die damit auch arbeiten und die sagen, okay, ich weiß, was das für ein Regelwerk ist.

00:23:05: Ich weiß, das kommt von IBS.

00:23:06: Ich weiß, was damit passiert.

00:23:08: Ist es vor Hanar ready?

00:23:09: Ist es regelmäßig geupdatet?

00:23:11: Zeigt mir mal deine Ergebnisse.

00:23:12: und dann sagt der Kunde, okay, was möchte ich so für Prozesse geprüft haben?

00:23:14: Ja, die und die und die.

00:23:16: Oft gibt es Kunden, die sagen, der Wirtschaftsprüfer ist derselbe, den ich letztes Jahr auch hatte.

00:23:19: Ich spiele einfach nochmal die Prüfung von letzten Jahr durch, liefe direkt die Ergebnisse.

00:23:23: In den meisten Fällen guckt da drauf und sagt, okay, das sind die Risiken.

00:23:26: Was macht ihr damit?

00:23:27: Weil es muss nicht immer komplett so sein, dass man keine hat und hat irgendwo immer welche.

00:23:31: Das heißt, die Frage der Mitigation letzten Endes.

00:23:33: Aber das ist dann ein Tool gestützt mit einem guten Regelwerk, am Ende ein Ergebnis den Wirtschaftsprüfer zu liefern, das gleichzeitig auch in Form von verschiedenen Reportics Fachbereichen und anderen Stakeholders zu geben, auch den Prüfern.

00:23:44: Wenn man eine internere Vision hat, zusammenfassend auf, damit arbeiten wir als Administration.

00:23:48: Wir sprechen eine Sprache, Prüfer und Admin, das ist optimal.

00:23:53: Und das ist am Ende das, wie man auch nach einem SVR-Anaprojekt dafür sorgen kann, dass es nicht wieder historisch bewachsen ist.

00:24:00: Und das ist viel Arbeit, das ist so, aber man muss nicht komplett neu anfangen, so ein Regelwerk von A bis Z zu bauen, da gibt es die Anbieter am Markt, die sich darauf spezialisiert haben.

00:24:09: Man braucht auch nicht regelmäßig Berater, wie man sich dafür rein und muss jetzt immer wieder machen müssen, zumal man ja auch unterschiedliches Wissen braucht, wenn man unterschiedliche Module im Einsatz hat von SAP und das Prozesswissen hat und das ist das Entscheidende.

00:24:20: Und das kann dann dafür sorgen, dass man nicht wieder auf einen alten Stand kommt, den man vielleicht mal kennt, sondern dass es ganze nachhaltig lebt.

00:24:30: Wichtig dafür ist, glaube ich auch, dass man interne Strukturen aufgebaut hat, wie zum Beispiel den Datenverantwortlichen, hast du es, glaube ich, genannt, dass du das Ganze halt so ein bisschen dezentral von der eigentlichen Berechtigungsverwaltung im Unternehmen aufgestellt hast, dass jemand nochmal seinen Otto darunter selbst vielleicht Workflow gesteuert, dass es eine Freigabe gibt, dass jemand mit... Erfahrung der vielleicht die Transaktion bewerten kann noch mal sagen kann hey du.

00:25:02: Bist mit deinem Fachwissen mit deiner Position die du hier im Unternehmen innehasst berechtigt ne.

00:25:08: Eine Faktur anzulegen zum Beispiel zum Beispiel

00:25:11: genau

00:25:12: und ich glaube diese Strukturen drum herum.

00:25:17: Das ist egal man jetzt sich um Berechtigungskonzept kümmert oder auch man ja eine Stammdatenpflege im.

00:25:26: im Unternehmen aufbaut.

00:25:27: Man braucht immer so ein bisschen dezentrale Verteilung der Aufgaben und der der Person, die den Otto drunter setzen, weil es kann nicht an einer zentralen Stelle alles gebündelt verantwortet werden.

00:25:45: Natürlich hilft hilft ein Tool immer, dass die Struktur so ein bisschen aufrecht zu erhalten, aber Die Leute und da sehe ich viel stärker den Fachbereich bei so einem Konzept in der Verantwortung als tatsächlich die IT, die hinterher die neue Rolle kreiert.

00:26:05: Das ist

00:26:06: der Output daraus.

00:26:08: Ja, absolut.

00:26:09: Es ist auch tatsächlich so.

00:26:10: Wir sagen auch, wir werfen keine Tools auf Probleme oder so was.

00:26:15: Das bringt gar nichts, irgendwelche Software auf Probleme zu schmeißen.

00:26:17: Es fängt alles natürlich bei den Menschen an und bei den Prozessen, die man hat.

00:26:20: Und vor allem, dass sie gelebt werden.

00:26:22: Und dann kannst du mit Tools unterstützen und dann Ergebnisse schaffen, worauf du wieder etwas machst.

00:26:28: Und das ist eigentlich letzten Endes natürlich die Grundbasis, was auch in so einem Projekt letzten Endes aufgebaut werden soll.

00:26:33: Deswegen ist das schon für die Awareness von vornherein eigentlich ganz gut, sich auch das Thema Berechtigungen anzunehmen.

00:26:38: Ich weiß, dass viele natürlich auch die Prozesse gucken, weil am Ende ist es ja auch etwas, wie kann in so einem Rahmen, so ein Projekt.

00:26:45: wie läuft das Unternehmen im Lankenland weiterhin gut?

00:26:47: Wenn wir da jetzt keinen Produktionsstopp oder was auch immer haben, nur weil wir jetzt dachten, wir haben zu hart auf Berechtigungen geschaut.

00:26:53: Aber ich glaube, man kann schon noch mal das Ganze ein bisschen dedizierter noch mal sehen und fokussierter machen, um das am Ende zusammenzutragen.

00:27:01: Also ganz wichtig, Software auf Probleme schmeißen, gar kein Thema.

00:27:05: die Menschen müssen mitmachen und die müssen erstmal ein einheitliches Mindset haben.

00:27:08: Und dann kriegt man das auch gestemmt.

00:27:10: Und vielleicht kann ich da so ein kleines Beispiel einmal nennen.

00:27:13: Wir arbeiten schon lange mit einem ganz großen Automobilhersteller zusammen, deren Berechnungskonzept hat von und die standen auch bei der Herausforderung.

00:27:23: Okay, was?

00:27:23: Wie gehen wir da jetzt mit um?

00:27:24: Wir haben sehr, sehr viele Mitarbeiter.

00:27:27: Fachbereiche haben sich die letzten Jahre nicht groß darum gekümmert.

00:27:30: zu sagen, wer braucht welche Berechtigungen, also da war dieses klassische Gipfel im Hauptsache keine Arbeiten.

00:27:34: Alles war auf die Admins abgelastet und so weiter und so fort.

00:27:37: Und da war, weißt du, das Regelwerk, was wir Ihnen mitgegeben haben, ein großer Vorteil, nicht wegen der Technik, sondern wir beschreiben den Prozess, der da drin ist, beispielsweise im FBI-Bereich, aber wir schreiben auch gleichzeitig rein, was der Anwendungsbereich und was ist das Risiko dahinter.

00:27:54: Und die haben über ein halbes Jahr sich mit den ganzen Fachbereichen zusammengesetzt.

00:27:59: und sind nur die Prozesse aus Risikosicht durchgegangen, um sich mal, ich sage es mal, Salott auch mal auszukotzen, warum jetzt Fachbereiche sich damit einbinden müssen.

00:28:08: Das ist doch nur Berechtigung, das ist doch nur Technik und ich habe damit doch gar nichts irgendwie groß an der Brause.

00:28:13: Doch hast du schon und jetzt schau dir mal das Risiko hinter so einer Berechtigung an, wenn so ein Mitarbeiter sowas kann.

00:28:18: Und das war ein sehr, sehr gutes Beispiel dafür, dass die Technik gar nicht vorangeht, sondern eigentlich die Awareness.

00:28:25: Was schaffst du eigentlich, wenn du so eine Berechtigung hast in so einem Prozess?

00:28:30: Was ist das?

00:28:32: Der Klassiker ist kennt ihr vielleicht auch, der typische Auszubildende, der durchwandert diverse Abteilungen.

00:28:37: Am Ende hat er mehr Rechte als ein Geschäftsführer oder wer auch immer.

00:28:40: Auch User Lifecycle Management, ganz klares Thema, auch das immer mit dem Regelwerk zu revidieren, das ganze Thema.

00:28:53: Wird noch mal eine, was mich jetzt noch mal spontan interessiert, was sind denn so diese Top Skills?

00:29:05: die deiner Meinung nach ein guter Berater in dem Bereich Prächtigungen mitbringen muss aus deiner Erfahrung.

00:29:13: Also ich glaube, es ist erstmal gut, genau das zu wissen, was er letzten Endes auch kann.

00:29:19: Natürlich Mut ist immer, gehört immer dazu, vielleicht auch Wissen zu haben, über eine Tellerantie in den Haus zu schauen.

00:29:24: Ich glaube, zwischen Menschen ist ganz, ganz wichtig, genau das gut auch zu analysieren, über was reden wir ja letzten Endes.

00:29:31: Auch, ich sage mal, auch gegenüber den Kunden.

00:29:37: sich auch ganz stark auf den Kundenstuhl letzten Endes zu setzen und nicht auf dem, wo man herkommt.

00:29:41: Man will ja den Kunden ein Mehrwert bieten.

00:29:43: Ich glaube, das ist ganz entscheidend, also nicht unbedingt ein Tool raushauen oder was auch immer, sondern okay, was hast du für ein Problem?

00:29:50: Ich habe das Problem verstanden und lass uns gemeinsam das angehen, aber auch erfahren zu haben, wen brauche ich eigentlich an meinem Tisch, um als Berater letzten Endes auch das Ergebnis zu liefern, was ich dem Kunden auch letzten Endes verspreche.

00:30:04: Das ist glaube ich, aus meiner Sicht ist es das Entscheidende eigentlich, dass zwischenmenschlich ist.

00:30:09: Ein Projekt kann sehr zwischenmenschlich, sehr belastend sein.

00:30:12: Die Technik immer dahingestellt, das kann man sich irgendwann noch dazu holen letzten Endes.

00:30:17: Da gibt es auch mittlerweile Angebote, wo man sagt, das muss man als Berater gar nicht mehr komplett mitbringen.

00:30:21: Aber letzten Endes das Ganze zu managen und mit den Leuten zusammenzuarbeiten und auf das Wesentliche des Kunden einzugehen, was er wirklich braucht.

00:30:29: Und das dann am Ende des Kunden gut umzusetzen, das aus meiner Sicht eigentlich das Entscheidende.

00:30:34: weil der Kunde maximal natürlich in vielerlei Hinsicht belastet.

00:30:37: Also überfordert ist auch, was auch nachvollziehbar ist, weil die Wandlung einfach extrem auf ist.

00:30:44: zur SVH, da ist alles so viel neu.

00:30:46: Man hat gleichzeitig das Tagesgeschäft und dann holt man sich an Berater rein, der so ein bisschen aus einem Sparrowings-Partner ist und einen da unterstützt.

00:30:52: Und das, glaube ich, letzten Endes ist das Entscheidende, das zwischenmenschliche zu sagen, ich verstehe, ich gehört zu deinem Team dazu.

00:30:58: Und wir werden gemeinsame Lösungen finden, damit du am Ende happy bist und genau das umgesetzt wird, was du brauchst.

00:31:06: Ende muss die Person ja trotzdem am Ende eine sehr weit systemischen Blick haben, sowohl technisch, aber auch organisatorisch auf dem, was muss eigentlich wirklich jemanden können innerhalb einer Organisation, was auch nicht.

00:31:20: Ja, du musst Zusammenhänge verstehen können und du musst vielleicht ein Experte sein, beispielsweise Modular im FI Bereich.

00:31:25: Du musst gewisse Prozesse verstehen können, warum die wie laufen, um da möglicherweise auch noch Empfehlungen zu geben, wie man so ein Prozess verbessern kann.

00:31:32: Das ist dann auch natürlich letzten Entscheides.

00:31:34: Klar, das Fachliche ist natürlich ganz, ganz wichtig, aber selbst, wenn man das Fachliche ganz viel hat, aber man kriegt sich kommuniziert, dann kommst du auf sehr der Ergebnis raus, dass das nicht gut ist für den Kunden.

00:31:46: Und ich glaube, am Ende ist es sich gemeinsam was zur Arbeit.

00:31:49: Manchmal ist es ja auch hilfreich, Wissen zu haben, gut zu kommunizieren, die Stakeholder an einen Tisch zu bringen, aber beim Kunden sitzt ja auch ganz viel Wissen.

00:31:57: Und das zu kommunizieren und sagen, pass mal auch lieber Kunde, du weißt das doch, wie das hier läuft.

00:32:02: Was sind den größten Punkte, die dich ein bisschen angestört haben, wo müssen wir vielleicht was anders machen und das zu strukturieren und umzusetzen?

00:32:08: Ich glaube, das hilft auch, weil es oft immer dann suggeriert oder vielleicht der Kunde dann denkt, okay, der Barat kommt nochmal mit ganz ganz vielen neuen Wissen.

00:32:15: Aber oft ist es, und das ist ja auch in der intern so, es sind ja auch teilweise Mauern aufgebaut.

00:32:20: Man arbeitet jahrelang zusammen und der nervt mich schon die ganze Zeit als FE-Leiter mit irgendwelchen Themen und da ist was zwischen Menschen da passt es nicht, aber auch manchmal auch jemanden, der da die Schnittstelle ist und das so ein bisschen auflockert.

00:32:35: Das ist auch meiner Meinung nach in so einem Projekt eigentlich mit die größte Hürde.

00:32:39: Nicht unbedingt immer Verständnis für den anderen, aber wenn da jemand komplett neu ist und da ein bisschen Akzeptanz da ist, Dann kriegt man das am Ende auch gut löst.

00:32:49: Ja.

00:32:51: Ja.

00:32:52: Ich könnte noch fünf Stunden reden, mindestens muss ich ehrlich sagen, da gibt es noch ganz, ganz viel.

00:32:57: Das ist ja jetzt erstmal auch eine hohen Flügel, wir sind ja gar nicht technisch gewesen, aber ich kann da nur vielleicht auch mal sagen, den Zufall, vielleicht dem Zaino andro learning auch mal mitgeben.

00:33:09: das Berechnung immer früh mitzudenken ist.

00:33:11: Also es ist nicht so ein Thema, machen wir irgendwann mal später oder sowas in der Art.

00:33:14: Und dann, oh verdammt, kurz vor Go Live, haben wir schon übrigens ein paar Mal gehabt.

00:33:18: Kann ich auch sagen, haben wir schon dieses Jahr drei Prüfungen gehabt.

00:33:23: Toolgestützte Umsetzung auf SV HANA, Prüfung gemacht, Go Live gestoppt.

00:33:28: Zu viele Fehler im System, zu viele offene und verweite verreichende vergebene Rechte.

00:33:32: Warum?

00:33:33: Am Ende war es, am Ende eine schlechte Abstimmung der Prozesse und auch kein gutes Regelwerk, weil viele Sachen im Regelwerk nicht betrachtet worden sind und dann gab es offene Türen.

00:33:45: Ich kann es verstehen, aber am Ende... um erst mal sozusagen um schnell zu einem mvp zu kommen, da mach's halt erstmal, ich mach erstmal, ich geh erst mal davon aus, aber ich geh erst mal alles, ich geh erst mal nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach

00:34:00: nach

00:34:01: nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach nach

00:34:09: Ja, vielleicht auch noch mal jemand reinholen, noch ein Berater reinholen, weil ich selber nicht stemmen kann, dann zieht sich das wieder nach hinten.

00:34:14: und dann muss man sich ja auch überlegen, das ist jetzt mal rein das Projekt, aber man belastet ja auch die Mitarbeiter, die dann arbeiten dann dann teilweise mit, die wissen, dass da ein Projekt läuft, man denkt okay, bald ist es abgeschlossen, dann kann ich mich gewöhnen an der neue Oberfläche oder wie auch immer.

00:34:27: und dann kommt so kurz vom Goal Live, oh, da war was.

00:34:29: und dann kann sich so ein Projekt auch mal locker sechs Monate ziehen.

00:34:32: Weil man dann wieder alle an ein Tisch holt.

00:34:33: Man muss mal neu denken.

00:34:34: Vielleicht ist ein Rattenschwanz noch dran.

00:34:37: Und das ist dann eigentlich schwer.

00:34:39: Und am Ende ist man dann natürlich als Mensch, der so mal für das Thema... Berechtigung, ein zuständiges, ist auch der Boomann, wo er plötzlich da in Bremse zieht.

00:34:49: Es ist tatsächlich so, also und dann kommst du wieder zu diesen Barrieren, die du hast, der Prüfer der Internet-Revisor, der macht ja nur seinen Job letzten Endes zu schauen, wie ist der soll stand, was ist im Berechtigungskonzept schriftlich festgehalten, wie sieht es technisch aus, das ist ein Gap, ich kann es nicht als Prüfer so gehen lassen.

00:35:06: und wo ist was dokumentiert, warum ist das so, also jeder muss ja da sein Job machen und jeder hat da seine Sicht, deswegen ist da wieder zur Eingangsfrage.

00:35:14: eigentlich alle an einen Tisch holen, jeden mitreden lassen, strategisch aufbauen.

00:35:19: Und selbst wenn der Prozess zwei Monate länger dauert, lieber die zwei Monate nehmen, als Gefahr zu laufen, hinten raus sechs oder länger, sechs Monate oder länger zu brauchen oder sogar am Ende zu sagen, kommt irgendeiner entscheidet jetzt das Risiko, wie gehen wir live.

00:35:35: Es kommen immer mehr Sachen auch hoch, wo Unternehmen kompromittiert sind.

00:35:40: Ja, wo man dann sagt, okay, dann gehe ich, Backups wurden gefahren.

00:35:43: Ja, die waren auch schon in den Backups drin.

00:35:45: Also da gibt es immer mehr Sachen.

00:35:46: und vor Kurzem habe ich tatsächlich auch noch gelesen, dass jetzt mittlerweile KI-gestützte Tools gibt, die Fishing-Angreifer quasi Lipsendes durchführen.

00:35:57: Also die konzentrieren sich wirklich darauf, das zu machen und diese KI passt immer wieder ihre Taktik von alleine an, an der Geschwindigkeit, die wir als Mensch gar nicht bewältigen können.

00:36:08: Und die finden ja Daten genug, um sich.

00:36:11: Absolut.

00:36:14: Ja, ganz genau.

00:36:15: Ja, ganz genau.

00:36:15: Und deswegen, ich meine, wir predigen das Thema natürlich zwanzig, zwanzig Jahre.

00:36:20: Mittlerweile schon.

00:36:21: Und ich habe tatsächlich bis jetzt immer die Erfahrung aber gemacht mit Kunden.

00:36:26: Ich sitze mir in der größeren Runde drin und ich lasse mich von Ihnen mal erklären, wie sehen Sie das Thema regelmäßig?

00:36:32: Von fünf Leuten, die ich frage, kriege ich fünf unterschiedliche Antworten.

00:36:35: Das ist interessant.

00:36:36: Wenn man dann aber mal aufzeigt, was gehört in so ein Regelwerk rein, was ist das Wichtige zu betrachten und was hat man am Ende für ein Mehrwert, dann stellen relativ viele schnell fest.

00:36:46: Das ist ja spannend, weil das könnte uns einige Probleme letzten Endes bereinigen.

00:36:52: Aber wenn man sagt, wir brauchen ein Regelwerk, wir brauchen ein Regelwerk, der Thula wieder ein Regelwerk.

00:36:57: Super, nehmen wir mit.

00:36:59: Und dann ist jetzt vielleicht auch da, weil der Thula aus der Revisionsmitdanktisch, die sagen, ihr habt ein Regelwerk.

00:37:03: Ja, okay, machen Haken dran.

00:37:04: Also es ist eher so ein Tudor abarbeiten, weil die Revision sagt, okay, da wird auch noch was geprüft.

00:37:09: Ja, dann schreibt man da vielleicht mal irgendein Gesetzestext kurz rein oder erwähnt das.

00:37:14: Und dann ist ein Haken dran.

00:37:14: Aber keiner guckt wirklich genau mal auf das Thema Regelwerk.

00:37:18: Und das Thema SOD wird nach wie vor immer ein größeres werden.

00:37:22: Und gerade Oliver, was du am Anfang gesagt hast, das Thema Lizenzen ist, dafür hat das Lizenzmodell umgestellt.

00:37:26: Das geht jetzt nach Berechtigung.

00:37:27: wenn jemand weiterrechnet, recht die Uhr, dann geht das erst mal in den Geldbeutel und das kostet richtig Kohle.

00:37:32: Und das ist nämlich jetzt so der Schulterschluss, den man machen kann.

00:37:36: Wir haben da ein Angebot, wenn ich es erwähnen darf, ich will gar nicht viel Werbung machen, letzten Endes aber mit unserem Partner Ebner Stolz zusammen, Wirtschaftsprüfungsgesellschaft und Sandmeier Consulting bilden wir letzten Endes um drei gestehen, wo wir auf der Einseite als IBS ein Security-Check machen.

00:37:53: die Lücken aufzudecken.

00:37:54: Aus diesen Ergebnissen kann unser Partner Sandmayer sagen, okay, was wird das für dein Berechnungskonzept heißen und wie viel Geld könntest du einsparen, weil es eigentlich zu weitreichend berechtigt ist.

00:38:03: Und gleichzeitig haben wir unseren Wirtschaftsprüfer mit im Boot, muss man sagen, die größte Deutschsprache-Gewirtschaftsprüfer auch in Deutschland letzten Endes, Edna Stolz, die am Ende ein Siegel draufgehen und sagen, wenn das am Ende so umgesetzt wird und wir kommen als WT, dann mach ich dann Haken dran, weil ich weiß.

00:38:18: Was das für Regelwerke sind von IBS, wir nutzen die Software selber.

00:38:21: Und das ist dann so ein Angebot, was wir schaffen wollen, um da vielleicht ein bisschen mehr Erleichterung reinzubekommen, damit der Kunde weiß, okay, was ich tun kann.

00:38:30: Sehr komplex nach wie vor das Thema.

00:38:32: Das ist komplex.

00:38:35: Ich danke dir erst mal, Chris, für den Überblick, den du gegeben hast.

00:38:41: Das ist ja auch unser Anspruch.

00:38:42: Wir können diese Zeit.

00:38:45: Niemals ab zu den Tiefen gehen, wo wir hatten schon vor ein zweites war mein olives Fachgebiet, da sind wir ein bisschen mehr in die Tiefen gegangen, hab ich danach auch Feedback bekommen.

00:38:51: Das war schon sehr tief, war.

00:38:56: War noch nicht mal im Customizing.

00:38:57: Ja,

00:38:58: genau.

00:39:00: Ja, das können wir auch nochmal machen, aber ich glaube, da haben wir nicht so viele Zuhörer am Ende mehr.

00:39:05: Ja, mal gucken, vielleicht sagen die Zuhörer, ja, wenn ich geh nochmal nicht so viel tiefer, mal schauen, also.

00:39:08: Wenn sie

00:39:09: sich tiefer gehen wollen, dann würde ich sagen, dann soll es sich am besten an dich direkt wenden, das machen wir gerne.

00:39:13: Ja, können

00:39:14: wir

00:39:14: gerne machen.

00:39:15: Das ist, glaube ich, der beste Weg, das Thema weiter zu vertiefen.

00:39:18: Dafür seid ihr ja da.

00:39:19: Dich findet man ja auch.

00:39:22: Genau.

00:39:22: Ich danke dir erst einmal, dass du hier bei uns Gast warst.

00:39:26: Ich danke dir für den Weinenvorschlag.

00:39:27: Der war sehr gut, muss ich sagen.

00:39:29: Ich hätte mir zwischendurch mal... Du solltest ja ein bisschen mehr zuhören.

00:39:31: Das Thema für mich auch.

00:39:33: Ich wollte es auch verstehen.

00:39:35: Deswegen konnte ich ein bisschen mehr Wein im Gönnen und ich würde sagen, wir machen gesagt zu an der Stelle und wir hören uns beim nächsten Mal.

00:39:41: Danke euch beiden.

00:39:45: Ihr habt ein Thema für uns oder wollt sogar selber einmal Gast sein, dann schreibt uns an feedback at sap-podcast.de oder kontaktiert uns über LinkedIn oder Xing.

00:39:58: Ihr könnt uns auch einfach bewerten auf Spotify, Apple Podcast und überall dort, wo man Podcast bewerten kann.