Die Kosten einer fehlerhaften GRC-Lösung für Ihr Unternehmen
Von Dudley Cartwright,
CEO von Soterion
Machen Sie diesen 144.000-Dollar-Fehler mit Ihrer Zugangskontrolllösung?
Wenn es um SAP-Zutrittskontrolllösungen geht, mag es eine kluge Entscheidung sein, bei dem zu bleiben, was man hat. Die Kosten und die Zeit, die mit der Suche, der Auswahl und der Genehmigung einer neuen Lösung verbunden sind, können mehr Aufwand bedeuten, als sie wert sind.
Wenn Ihre Zugangskontrolllösung jedoch nicht zu Ihrem Unternehmen passt, kann sie Sie mehr kosten, als Ihnen bewusst ist - sowohl in finanzieller als auch in anderer Hinsicht.
Es geht nicht darum, dass Sie die falsche Lösung gewählt haben.
Auf dem Markt gibt es viele verschiedene Zugangskontrolllösungen, die Unternehmen bei ihren SAP-Sicherheits- und Compliance-Aktivitäten unterstützen können. Jedes dieser Tools hat seine Stärken und Schwächen, was es schwierig macht, genau die richtige Lösung zu finden.
Infolgedessen implementieren viele Unternehmen eine ungeeignete Zugangskontrolllösung - oft, weil ihr Systemintegrator (SI) sie davon überzeugt hat, dass dies die richtige Lösung ist. In Wirklichkeit war der SI jedoch auf der Jagd nach dem großen Implementierungsumsatz, der oft mit den größeren und komplexeren GRC-Lösungen wie SAP GRC verbunden ist.
Eine Randbemerkung dazu: SAP GRC ist ein großartiges Produkt für Unternehmen, die über das notwendige interne Fachwissen und die GRC-Reife verfügen. Diejenigen Unternehmen, die nicht über das notwendige interne Fachwissen und/oder die nötige Reife verfügen, um einen Nutzen aus der Lösung zu ziehen, erleben jedoch in der Regel ein hohes Maß an unzureichender Nutzung und/oder geschäftlichem Widerstand.
Wenn sich Unternehmen bei ihrem SI darüber beschweren, dass sie keinen Nutzen aus ihrer GRC-Investition ziehen, schlägt der SI oft vor, mehr Beratung anzubieten oder mehr Lösungen oder Module zu verkaufen, die das Problem "beheben".
Die Herausforderung besteht jedoch darin, dass, wenn die Zugangskontrolllösung nicht zu Ihrem Unternehmen passt, möglicherweise aufgrund ihrer Komplexität, sich dies nicht ändern wird. Keine noch so große Menge an zusätzlicher Beratung, Schulung oder Zusatzlösungen wird die Komplexität der Lösung verringern.
Bei dem zu bleiben, was man kennt, ist sinnvoll
Es gibt viele Gründe, warum Unternehmen an ihren aktuellen Lösungen festhalten, auch wenn sie nicht funktionieren.
- Die Kosten für einen Wechsel erscheinen hoch
- Der mit dem Wechsel verbundene Aufwand erscheint hoch
- Sie sind der Meinung, dass alle Zugangskontrolllösungen ähnliche Funktionen haben und dass ein Wechsel keine wesentliche Änderung des Wertes mit sich bringen wird.
- Sie stehen unter dem Druck bestimmter Dienststellen, an der derzeitigen Lösung festzuhalten.
Der letzte Grund ist vielleicht der schwierigste zu überwinden. Einige Unternehmen finden es schwierig, den Business Case für den Wechsel von einer Lösung zu einer anderen zusammenzustellen. Dies ist oft darauf zurückzuführen, dass die Finanz- oder Beschaffungsteams aus rein finanzieller Sicht auf ihrem Standpunkt beharren und sagen: "Wir haben bereits X Dollar für Lösung Y ausgegeben - machen Sie es möglich".
Der $144.000-Fehler
Die Kosten und der damit verbundene Aufwand für die Suche nach und den Wechsel zu einer neuen Zutrittskontrolllösung mögen hoch erscheinen, aber die Kosten eines Nichtwechsels können noch höher sein. Vor allem, wenn Sie eine ungeeignete Zutrittskontrolllösung verwenden.
Betrachten wir ein einfaches Beispiel - die Benutzerzugangsbewertungen.
Unternehmen in aller Welt werden von Wirtschaftsprüfern und Aufsichtsbehörden immer stärker unter Druck gesetzt, Compliance-Aufgaben wie User Access Reviews durchzuführen. US-Unternehmen tun dies bereits seit der Einführung von Sarbanes-Oxley. Unternehmen im Vereinigten Königreich werden unter zusätzlichen Druck geraten, solche Aktivitäten einzuführen, sobald das britische SOX in Kraft tritt (sofern sie diese Art von Aktivitäten nicht bereits durchführen).
Eine Überprüfung des Benutzerzugriffs erfordert, dass die Prüfer (häufig Vorgesetzte) alle SAP-Zugriffsrechte ihrer Benutzer halbjährlich oder jährlich überprüfen, um festzustellen, ob diese Zugriffsrechte für die Aufgaben des SAP-Benutzers in der nächsten Periode noch relevant sind. Die Überprüfung kann viele Stunden in Anspruch nehmen, wenn eine ungeeignete Zugangskontrolllösung verwendet wird.
Hinzu kommt, dass der Prüfer möglicherweise viele Benutzer hat, die ihm unterstellt sind, und dass es aufgrund des SAP-Rollendesigns und der Namenskonvention schwierig sein kann, festzustellen, welcher Zugriff in jeder SAP-Rolle enthalten ist.
Wenn das Unternehmen eine ungeeignete Lösung zur Zugriffskontrolle für den Prozess der Benutzerzugriffsprüfung verwendet, werden diese Aufgaben für die Prüfer zu einer großen Herausforderung, die viele Stunden mit einer Tätigkeit vergeudet, die, wenn sie nicht gut ausgeführt wird, nur einen geringen Wert für das Unternehmen hat.
Das alles summiert sich. Wenn man die vergeudeten Arbeitsstunden für jeden Prüfer zusammenzählt, das mit jedem Prüfsatz pro Jahr multipliziert und das mit der Anzahl der Jahre multipliziert, dauert es nicht lange, bis diese Kosten die Kosten für den Wechsel der Zugangskontrolllösung übersteigen.
Dabei sind die Kosten für die erhöhte Betrugsanfälligkeit aufgrund einer ineffektiven GRC-Fähigkeit sowie die Opportunitätskosten, die dadurch entstehen, dass die Prüfer während des Prüfungszeitraums nicht ihrer normalen Tätigkeit nachgehen können, noch nicht berücksichtigt.
Ineffiziente Lösungen kosten Sie mehr als nur Geld
Die obige Formel ist nur eine der Kosten, die entstehen, wenn man die Lösung nicht wechselt. Da es sich um quantifizierbare Kosten handelt, lassen sie Sie aufhorchen und aufmerksam werden. Aber es gibt noch andere, weniger greifbare Kosten, die entstehen, wenn Sie Ihre Zugangskontrolllösungen nicht wechseln.
Erhöhtes Risiko
Zugangskontroll- und GRC-Lösungen sind Geschäftsinstrumente zur Verwaltung und Minderung von Risiken. Das Festhalten an einer ungeeigneten oder komplexen Lösung für die Zugangskontrolle führt häufig zu Widerstand oder Zurückweisung seitens der Geschäftsanwender, und die IT-Abteilung muss schließlich die Aktivitäten zur Verwaltung des Zugangsrisikos im Namen des Unternehmens durchführen.
Das Zugangsrisiko ist ein Geschäftsrisiko, kein IT-Risiko
Die Geschäftsanwender sind am besten in der Lage zu entscheiden, ob ein bestimmter Benutzer einen bestimmten Zugang haben sollte und ob dieses Risiko für das Unternehmen akzeptabel ist. Die IT-Abteilung verfügt nicht über das Fachwissen oder die Geschäftskenntnisse, um eine solche Entscheidung zu treffen.
Selbst wenn den Geschäftsanwendern die Kontrolle über das Zugriffsrisikomanagement übertragen wird, stellen Sie oft fest, dass diese Aktivitäten mit minimaler Absicht oder minimalem Verständnis durchgeführt werden, wenn sie eine ungeeignete oder zu komplexe Zugriffskontrolllösung verwenden. Geschäftsanwender führen diese Aktivitäten aus, um ein Audit-Kästchen anzukreuzen, ohne dabei das tatsächliche Risiko für das Unternehmen zu berücksichtigen.
Beide der oben genannten Szenarien sind für die Organisation schrecklich. Die Führungsebene wird fälschlicherweise glauben, dass sie über ein solides Programm zur Verwaltung des Zugangsrisikos verfügt, aber in Wirklichkeit ist es sehr ineffektiv.
Vergeudete Stunden mit manuellen Aufgaben, um eine ungeeignete Zugangskontrolllösung zu kompensieren
Wenn ein Unternehmen mit einer unpassenden Zugangskontrolllösung belastet ist, sehen wir oft, dass sie Berichte aus ihrer GRC-Lösung extrahieren und diese Berichte dann extern manipulieren, um sie "geschäftsfähig" zu machen, wodurch Hunderte von Supportstunden verschwendet werden.
Diese Verschwendung ist niemals auf die Zugangskontrolllösung selbst zurückzuführen.
Der Einsatz von Lösungen, die den Unternehmen wertvolle Berichte und Empfehlungen "out-of-the-box" zur Verfügung stellen, wird nicht nur die Anzahl der Supportstunden reduzieren, sondern auch die Geschwindigkeit erhöhen, mit der SAP-Benutzern ihr SAP-Zugang zugewiesen wird (SAP-Zugangsänderungsanträge und der Joiner-Mover-Leaver (J-M-L) Prozess). Dadurch wird sichergestellt, dass die Benutzer ihren Zugang rechtzeitig zugewiesen bekommen und somit produktiver sind, d. h. die Ausfallzeiten des Unternehmens werden verringert.
Zeit für einen Wechsel?
Wenn Sie Ihre aktuelle Zugangskontrolllösung bewerten, sollten Sie den geschäftlichen Nutzen für Ihr Unternehmen im Auge behalten.
Bei der Bewertung eines Ersatzes sollten Sie feststellen, ob die Lösung Ihnen helfen wird, Ihre Ziele zu erreichen, anstatt sich auf die Softwarekosten zu konzentrieren, die Sie für Ihre bestehende Lösung bezahlt haben. Die Kosten für einen Wechsel sind im Vergleich zu den Einsparungen, die ein Unternehmen durch eine wirksame Zugangskontrolle und ein effektives Risikomanagement erzielen kann, sehr gering.
Soterion ist ein führender Anbieter von geschäftszentrierten GRC-Lösungen für Unternehmen, die SAP einsetzen. Verbessern Sie Ihr Unternehmen Risikobewusstsein und die Fähigkeit, Zugriffsrisiken zu verwalten, indem Sie die Geschäftsanwender mit geschäftsorientiertem GRC unterstützen.
