Business-Centric GRC für SAP-Kunden - wie Sie das Beste aus Ihrer Investition herausholen
Die Investition in Governance, Risiko und Compliance (GRC) ist eine der wichtigsten geschäftlichen Investitionen, die Sie tätigen können. Moderne Unternehmen benötigen effektive und effiziente Lösungen für das Risiko- und Compliance-Management, um ihr Wachstum zu unterstützen und ihre Geschäftstätigkeit aufrechtzuerhalten. Leider sieht die große Mehrheit der SAP-Kunden, die eine GRC-Lösung implementiert haben, nicht den Wert, den sie aus ihrer Investition ziehen sollten.
Dies kann zwar durch eine Reihe von Faktoren beeinflusst werden, aber oft liegt es an einem Hauptgrund: mangelnde Akzeptanz in den Unternehmen. Bei Soterion haben wir speziell eine Lösung entwickelt, die GRC für SAP-Kunden vereinfacht. Die in diesem Artikel erörterten Grundsätze sind jedoch für Nutzer anderer ERP-Lösungen ebenso relevant wie für SAP-Kunden.
GRC für SAP-Kunden: Der Zusammenhang zwischen Akzeptanz und ROI
In der Regel wird die GRC-Effektivität eines Unternehmens daran gemessen, wie gut die Geschäftsanwender ihre Aktivitäten zur Verwaltung des Zugangsrisikos durchführen.
GRC-Lösungen sind jedoch von Natur aus sehr komplex und technisch. Sie wurden entwickelt, um Transaktionscodes, Berechtigungsobjekte und Felder zu analysieren, die im "Benutzerpuffer" eines SAP-Benutzers verfügbar sind. Viele dieser Lösungen wurden aus einer technischen Audit-Perspektive heraus entwickelt und berücksichtigen kaum die Nutzung durch die Geschäftsanwender.
Es ist eine bekannte Regel in der Wirtschaft, dass je komplexer die Lösung ist, desto weniger Akzeptanz kann man von den Benutzern erwarten.
Die Geschäftsanwender sind mit ihren täglichen Aufgaben voll ausgelastet. Wenn man sie daher bittet, lästige oder schwerfällige Compliance-Aufgaben mit komplexen Lösungen zu erledigen, stößt das häufig auf Widerstand. Die Benutzer werden diese Aktivitäten in der Regel immer wieder an die IT-Abteilung weitergeben, was bedeutet, dass Ihre GRC-Lösung zu einer Back-End-Lösung wird, die von den SAP-Sicherheits- und GRC-Teams verwendet wird, ohne dass der Rest des Unternehmens sich daran beteiligt.
Geschäftsanwender in den Mittelpunkt von GRC stellen
Business-centric GRC stellt den Geschäftsanwender in den Mittelpunkt des Prozesses. Es geht darum, durch einen geschäftsorientierten Ansatz für alle SAP-Sicherheits- und GRC-Aktivitäten die Verantwortlichkeit des Unternehmens für Zugriffsrisiken zu verbessern.
Durch die Stärkung der unternehmerischen Verantwortung für Risiken wird eine Organisation risikobewusster und effektiver in ihren Risikomanagementaktivitäten. Am besten lässt sich dies anhand des Prüfungsprinzips der drei Verteidigungslinien veranschaulichen.
Die erste Verteidigungslinie sind Ihre Geschäfts- oder Betriebsanwender, die zweite Verteidigungslinie sind Ihre Risiko- und Compliance-Abteilungen, und die dritte Verteidigungslinie sind die Audit- und Assurance-Abteilungen.
Ihre erste Verteidigungslinie sollte immer Ihre stärkste sein. Das sind Menschen, die seit 15 bis 20 Jahren in Ihrem Unternehmen tätig sind und Ihr Geschäft besser verstehen als jeder andere.
Leider ist dies in den meisten Unternehmen die schwächste Verteidigungslinie. Das liegt nicht daran, dass diese Mitarbeiter die Risiken in ihrem Bereich nicht kennen, sondern daran, dass die Organisation nicht die richtigen Verfahren und Systeme eingeführt hat, um diese Nutzer in die Lage zu versetzen, an den Risikomanagementaktivitäten teilzunehmen.
Praktische Lösungen und Prozesse sind der Schlüssel zur Leistung
Um die Akzeptanz im Unternehmen zu fördern, ist es wichtig, dass Unternehmen, die SAP einsetzen, eine GRC-Lösung verwenden, die auf das Unternehmen ausgerichtet ist.
Geschäftsorientierte GRC-Lösungen wandeln die Fachsprache in geschäftsfreundliche Begriffe um, so dass die Geschäftsanwender nicht nur die Risiken in ihrem Verantwortungsbereich verstehen, sondern auch schneller Entscheidungen treffen können. Und eine schnellere, fundiertere Entscheidungsfindung reduziert die Ausfallzeiten eines SAP-Anwenders, der lange auf SAP-Zugriffsanfragen warten muss.
Wichtig ist auch, dass Ihre Prozesse zur Verwaltung des Zugriffsrisikos so praktisch sind, dass die Geschäftsanwender entsprechende Kontrollen durchführen können.
Nehmen Sie zum Beispiel den Prozess der Benutzerzugangsüberprüfung. Hier überprüfen die Geschäftsanwender den SAP-Zugang ihrer Benutzer, um festzustellen, ob dieser Zugang für ihre Arbeitsaufgabe noch relevant ist. Für diesen Prozess benötigen die Prüfer in der Regel viele Stunden. Dabei können auch zusätzliche Herausforderungen auftreten, wie z. B. nicht beschreibende SAP-Rollennamen, die es den Prüfern erschweren, genau zu wissen, zu welchem Zugriff oder welcher Funktionalität die Rollenbenutzer berechtigt sind.
Der Prozess kann so zeitaufwendig sein, dass die Unternehmen in vielen Fällen feststellen, dass der Aufwand den Wert der Übung nicht rechtfertigt.
Soterion ist ein führender Anbieter von geschäftsorientiertem GRC für SAP-Kunden. Jede einzelne Funktion wurde aus der Perspektive des Geschäftsanwenders entwickelt. Unsere GRC-Lösung ermöglicht die Überprüfung des Benutzerzugriffs anhand von Geschäftsprozessen und beseitigt damit alle Unzulänglichkeiten in der SAP-Rollenbenennungskonvention. Geschäftsanwender können eine effektivere Überprüfung durchführen, die zu einem besseren Geschäftsergebnis führt. Der Einsatz einer geschäftsorientierten GRC-Lösung wie dieser bedeutet, dass eine Überprüfung in der Regel weniger Zeit in Anspruch nimmt, was zu einer erheblichen Kosteneinsparung für das Unternehmen führt.
Holen Sie Ihre Anwender mit geschäftsorientierten GRC-Lösungen ins Boot
Eine Organisation kann ihr Zugangsrisiko ohne die Beteiligung der Unternehmen nicht wirksam verwalten. Ohne die richtigen Tools und Prozesse ist es jedoch schwierig, die Geschäftsanwender für das Risikomanagement zu gewinnen und zu verpflichten.
Die Verbesserung der Verantwortlichkeit des Unternehmens für das Zugriffsrisiko durch den Einsatz einer geschäftsorientierten GRC-Lösung wird das allgemeine Risikobewusstsein des Unternehmens sowie seine Fähigkeit zur Risikoverwaltung verbessern.
Soterion ist ein führender Anbieter von geschäftsorientiertem GRC für SAP-Kunden. Wenn Sie das Gefühl haben, dass Sie das Beste aus Ihrer GRC-Investition herausholen, nehmen Sie Kontakt auf um zu besprechen, wie wir Ihnen helfen können.
