Gehaltsabrechnung, Zeitauswertung: die Personalabteilung stellt im gesamten Unternehmen die vermutlich höchsten Ansprüche an Datenschutz und -sicherheit. Das Vier-Augen-Prinzip bei der Bearbeitung und Freigabe sensibler Daten ist hier ein wichtiger Sicherheitsmechanismus. Wie Sie das Vier-Augen-Prinzip im SAP HCM als Berechtiger/in umsetzen, erklären wir hier.
Nehmen wir an, in der Personalabteilung arbeiten drei Teams: Zu jedem gehören einige Sachbearbeiter und ein Teamleiter. In Zukunft sollen Zeitauswertung und Gehaltsabrechnung neu organisiert werden: Sachbearbeiter, die Daten für die Zeitauswertung erfassen und verarbeiten, sollen die Datensätze künftig gegenseitig freigeben, bevor sie zur Gehaltsabrechnung herangezogen werden (symmetrisches Vier-Augen-Prinzip). Sachbearbeiter, die die Gehaltsabrechnungen bearbeiten, sollen Datensätze künftig nur noch erstellen können. Diese müssen aber vom Teamleiter freigegeben werden (asymmetrisches Vier-Augen-Prinzip).
Vier-Augen-Prinzip über P_ORGIN berechtigen
Diese Anforderung klingt komplizierter, als sie ist – jedenfalls in Sachen Berechtigungen. Sie nehmen die Ausprägung einfach im Objekt P_ORGIN vor (bzw. P_ORGXX). Ausschlaggebend ist dabei das Feld „Berechtigungslevel“.
Um das symmetrische Vier-Augen-Prinzip umzusetzen, brauchen Sie den Wert „S“, für das asymmetrische Vier-Augen-Prinzip die Werte „D“ und „E“:
- Nutzer, in deren Rolle das Feld mit „S“ ausgeprägt ist, haben Schreibrechte und dürfen Datensätze entsperren – allerdings nur solche, die ein anderer User zuletzt bearbeitet hat.
- Nutzer mit dem Wert „E“ sind nur zum gesperrten Schreiben berechtigt. Sie dürfen Datensätze also anlegen, diese müssen dann aber von einem anderen Nutzer freigegeben werden.
- Nutzer mit dem Wert „D“ können das Sperrkennzeichen ändern. Sie können also gesperrte Beiträge entsperren/freigeben.
Weil es bei einigen Programmen Probleme gibt, wenn Leseberechtigungen nicht explizit vergeben werden, ist außerdem der Wert „R“ (read) relevant.
Wichtig: Beim asymmetrischen Vier-Augen-Prinzip berechtigen Sie über die D-/E-Level automatisch auch das Löschen der Datensätze. Sind nur S-Berechtigungen vergeben, kann dagegen keiner der User Daten löschen.
In unserem Beispiel erhalten die Sachbearbeiter der Zeitauswertung also Rollen, in denen P_ORGIN (oder P_ORGXX) wie folgt ausgeprägt ist:
Berechtigungslevel: S, R
Infotypen: 2001 – 2005 und 2011
Die Felder Personalbereich, Mitarbeitergruppe, Mitarbeiterkreis, Subtyp und Organisationsschlüssel prägen Sie nach Ihren Vorgaben oder mit * aus.
Für die Sachbearbeiter der Gehaltsabrechnung kann das Objekt so aussehen:
Berechtigungslevel: E, R
Infotypen: 0008, 0014, 0015
Die Teamleiter, die die Gehaltsdatensätze freigeben müssen, erhalten im Gegenzug:
Berechtigungslevel: D, R
Infotypen: 0008, 0014, 0015
Auch hier prägen Sie die restlichen Felder des Objekts nach Ihren Vorgaben oder mit Vollberechtigung (*) aus.
Wichtig: Wenn Sie neben den Infotypen auch Subtypen einschränken, denken Sie bitte daran, auch ein Leerzeichen in das Subtypen-Feld einzubinden. Damit erteilen Sie Berechtigungen für die Daten, die nicht mit Subtypen ausgeprägt sind. Vergessen Sie das Leerzeichen, können die User auf keinen Datensatz zugreifen, der nur über Infotypen (und nicht mit Subtypen) definiert ist.
Ein Kommentar zu “SAP HCM: Vier-Augen-Prinzip”