Berechtigung in Rekordzeit

Die Alpiq AG hat ihre SAP-Systemlandschaft konsolidiert. In diesem Rahmen wurde für rund 800 Anwender in nur drei Monaten ein neues Berechtigungskonzept konzipiert, eingeführt und getestet – ohne die automatisierten Werkzeuge des Projektpartners Xiting AG wäre das nicht gelungen. Seit März 2015 arbeiten die Systeme fehlerfrei mit den neuen Berechtigungen.

Unternehmen

  • Name: Alpiq Management AG
  • Standort: Olten in der Schweiz
  • Branche: Energie
  • Umsatz: CHF 9.3 bn.
  • Mitarbeiter: ca. 7.800
  • Internetadresse: www.alpiq.ch

Projektziele

  • Redesign der Berechtigungen für die Module: FI, CO, MM, SD, TR und das HCM System
  • Neustrukturierung der SAP-Berechtigungen (aufgrund der Konsolidierung mehrerer ERP-Systeme)
  • Projektdauer: 3 Monate
  • Höhere Effektivität
  • Reduzierung des Aufwandes für das IT-Audit in 2015
  • Erstellen eines Berechtigungskonzeptes, welches automatisiert eingehalten werden kann

Herausforderungen

  • Enger Projektzeitplan von 3 Monaten
  • Konsolidierung mehrerer ERP-Systeme auf ein neues ERP-System
  • Fristgerechte Produktivsetzung der relevanten Rollen
  • Einhaltung des Berechtigungskonzeptes

SAP-Systeme im Projekt-Scope

  • ERP und HCM

Highlights

  • Automatisiertes Werkzeug
  • Redesign während des laufenden Betriebs
  • Einhaltung des enorm engen Projektzeitraumes
  • Fristgerechte Erstellung der Rollen in hoher Qualität
  • Schnelle Erstellung eines Berechtigungskonzeptes
  • Automatisierte Einhaltung des Security Konzepte

Unternehmenesnutzen

  • Revisionskonforme SAP-Berechtigungen
  • Höhere Effektivität
  • Zusammenführung mehrerer ERP-Systeme zu einem zentralen SAP-System
  • Enorme Kosten- und Zeitersparnis
  • Nachhaltig sicherer Go-Live
  • Best Pactice basiertes Berechtigungskonzept
  • Minimaler Aufwand für das Betreiben des Berechtigungskonzepts

 

Die Alpiq AG im Schweizer Olten ist 2009 aus dem Merger zweier Unternehmen hervorgegangen. „Als eine der letzten Post-Merger-Integrationsaktivitäten sollten im Projekt One-SAP nun die beiden SAP-Systeme der ursprünglichen Unternehmen auf einen Mandanten zusammengezogen werden“, schildert Uwe Schubkegel, Head ERP Applications bei der Alpiq AG. Alpiq erzeugt Strom und handelt ihn an der Börse – und hat so im Geschäftsjahr 2014 mit rund 7.800 Mitarbeitern in acht Ländern rund 9,3 Milliarden CHF Umsatz erwirtschaftet. Ziel des Konsolidierungsprojekts war daher, allen Anwendern der Alpiq-Gruppe eine einheitliche Basis zu schaffen, um für die Anforderungen des liberalisierten Energiemarktes in der Schweiz auch künftig optimal gerüstet zu sein.

Den Ausgangspunkt bildeten zwei ERP-Lösungen (SAP ERP ECC 6.06) mit den zentralen SAP-Komponenten für Finanzmanagement, Controlling, Materialwirtschaft, Vertrieb und Personalwirtschaft. Bereits Ende 2012 gestartet, trat das Projekt One-SAP im Sommer 2014 in die kritische Schlussphase. Die neue Lösung sollte Anfang 2015 in den Produktivbetrieb überführt werden, damit blieb nur ein sehr enger Zeitrahmen zur Erstellung eines Berechtigungskonzepts für das neue Zentralsystem. „Für ein System mit 800 Anwendern ist das zeitlich eigentlich nicht machbar. Doch von meinem alten Arbeitgeber kannte ich die Berater und Produkte der Firma Xiting“, sagt Schubkegel, der zu diesem Zeitpunkt selbst erst seit Kurzem das SAP-Competence-Center von Alpiq leitete.

Neustrukturierung der SAP-Berechtigungen

Die Neustrukturierung von SAP-Berechtigungen mit den zugehörigen Rollen und all ihren Verknüpfungen ist eine komplexe Aufgabe, die bei engem Zeitrahmen mit einem manuellen Ansatz nicht zu lösen ist. „Nur mithilfe der automatisierten Werkzeuge der Xiting Authorizations Management Suite (XAMS) konnte es gelingen, den Rollenbau noch fristgerecht umzusetzen“, so Schubkegel weiter. Anfang September 2014 nahmen zwei Berater von Xiting die Arbeit auf. Sie analysierten zunächst das alte System inklusive der Eigenentwicklungen von Alpiq. Damit die den Rollen zugehörigen Berechtigungsobjekte und Werte richtig vorgeschlagen werden, müssen die Verknüpfungen zwischen Transaktion, Berechtigungsobjekten und -werten stimmen. Diese Vorschlagswerte sind in Tabellen abgelegt, die über die Transaktion SU24 gepflegt werden. „In einem ersten Schritt wurden diese Vorschlagswerte korrigiert – Stichwort SU24-Bereinigung – und so die Grundlage geschaffen, um die Rollen sauber neu zu erstellen“, erklärt Schubkegel.

Im Anschluss ermittelten die Xiting-Berater, welche Aufgaben die verschiedenen Benutzer in den Altsystemen tatsächlich wahrnehmen. Sie erstellten dann für diese Aufgaben neue Rollen, wobei wichtige Strukturkriterien eingehalten wurden, etwa das Vier-Augen-Prinzipien (SoD) oder die Beachtung von kritischen Berechtigungen. Weil vorher sowohl die SAP-Systeme als auch die Eigenentwicklungen einer SU24-Analyse und -Bereinigung unterzogen waren, konnten diese Rollen anschließend automatisch mit den richtigen Berechtigungsobjekten und -werten angereichert werden. Mit diesen Vorschlagsrollen trat Xiting dann an die Business-Anwender von Alpiq heran.

„Die Vorgehensweise, erst Rollentemplates zu erstellen und hinterher die Anwender zu befragen, ob sich mit diesen Vorschlägen alle Aufgaben und Transaktionen wie gefordert erledigen lassen, ist sehr zeitsparend“, findet Schubkegel. „Das kam uns sehr entgegen, da der Geschäftsbetrieb für das Rollenprojekt nur wenig Ressourcen zur Verfügung stellen konnte.“

Tests und sicheres Go-Live im Rucksackprinzip

Bereits im Dezember 2014 waren daher die Vorschläge angenommen, das Rollenprojekt ging in die Testphase über. „Die Testmethode und der Go-Live von Xiting sind revolutionär“, urteilt Uwe Schubkegel. Denn Xiting testet die neuen Rollen im laufenden Betrieb direkt auf dem Produktivsystem – und muss daher weder ein Testsystem erstellen noch einen Testbetrieb simulieren. Für die Tests bekommen ausgewählte und repräsentative Key-User aus allen Fachbereichen bildlich gesprochen „Rucksäcke“ aufgesetzt. Die Anwender arbeiten wie gewohnt mit ihren alten Rollen im Altsystem weiter – während eine spezielle Software von Xiting parallel Daten darüber sammelt, ob diese Arbeiten auch mit der neuen Rolle (im Rucksack) korrekt erledigt worden wären. Anhand dieser Daten lässt sich die neue Rolle wenn nötig anpassen und optimieren. Sind die Rollen getestet, können sie noch spezifisch ausgeprägt werden, etwa auf die Anforderungen verschiedener Länder, Werke oder Niederlassungen. Schon kurz vor Weihnachten 2014 konnte Alpiq dank dieses straffen Verfahrens den Anwendern je nach Aufgabe die neu definierten Rollen zuweisen.

Unmittelbar darauf folgte der „Protected Go-Live“, ein Rollout der neuen Rollen mit Rückfallszenario. Dabei handelt es sich um eine Umkehrung des Rucksackprinzips: Die Mitarbeiter arbeiten nun mit den neuen Rollen auf dem neuen Zentralsystem, haben aber die alte Rolle noch im Rucksack und können sie bei Problemen einfach wieder aktivieren. Doch: „Es sind nur sehr wenige Fehler aufgetreten. Aufgrund des großen Sachverstands und Engagements der Xiting-Berater konnten wir so einen sehr knappen Zeitplan einhalten“, fasst Uwe Schubkegel zusammen.

Kosten im IT-Betrieb senken

Mithilfe des Xiting Security Architect, eines neuen Bestandteils der Xiting Authorizations Management Suite, kann Alpiq zudem künftig alle Daten für die Rollen- und Sicherheitseinstellungen aus dem SAP-Zentralsystem auf Knopfdruck sammeln und so leicht kontrollieren. „Wir können mit der XAMS den Aufwand für die Pflege des Berechtigungskonzepts und speziell für unser IT-Audit reduzieren und so generell die Kosten im IT-Betrieb senken“, zieht Uwe Schubkegel eine rundum positive Bilanz. Und das gilt auch für andere SAP-Projekte und deren Support, etwa für die noch anstehende Bereinigung der technischen User. „Ohne die Xiting Authorizations Management Suite ist heute der Betrieb und die Weiterentwicklung der SAP-Rollen für uns nicht mehr denkbar“, schließt der Alpiq-Manager.