Die GRC-(R)evolution

Wie die jüngsten Innovationen GRC-Implementierungen vereinfachen, schneller und billiger für SAP-Unternehmen

In den letzten Jahren waren Sony⁽¹⁾ und Mossack Fonseca⁽²⁾ Beispiele für Unternehmen, die den Wert eines unternehmensweiten Risikomanagements unterschätzt haben. Die Auswirkungen auf ihren Ruf und ihre Gewinne sind weitreichend und wahrscheinlich von langer Dauer.

Besorgniserregender ist jedoch die große Zahl interner Betrugsfälle, die von Organisationen unterschiedlicher Größe, Branchen und Standorte nicht gemeldet werden. Aus offensichtlichen Gründen ziehen es die Unternehmen vor, Korrekturmaßnahmen im Stillen zu ergreifen, und deshalb ist das Problem wahrscheinlich viel größer, als formelle Studien vermuten lassen.

"Die Bedrohung durch Wirtschaftskriminalität ist ein sehr reales Problem für alle Organisationen ─ unabhängig von ihrer Größe, Branche oder Region ⁽³⁾."

Eine CEO-Umfrage ⁽⁴⁾ ergab, dass etwa jedes dritte Unternehmen von Wirtschaftskriminalität betroffen ist, wobei Veruntreuung von Vermögenswerten, Cyberkriminalität sowie Bestechung und Korruption die üblichen Verdächtigen sind. Außerdem ergab die Umfrage, dass mehr als die Hälfte aller internen Betrugsfälle die mittlere oder obere Führungsebene betreffen.

Abgesehen von den tatsächlichen Verstößen gegen die Informationssicherheit ist auch die Einhaltung gesetzlicher Vorschriften ein Motivationsfaktor für Unternehmen, sich mit GRC zu befassen. Unabhängig davon, ob Sie derzeit in einem Land mit strengen Compliance-Gesetzen tätig sind oder nicht, verändern die globalen Märkte das Gesicht der Wirtschaft immer mehr,
setzen viele Länder ihre Governance-Empfehlungen in Richtlinien um.

SAP-Organisationen sind gegen all dies nicht immun, auch wenn eine Reihe von GRC-Tools zur Verfügung stehen. Für viele Unternehmen sind die hohen Kosten und die Komplexität der Tools oft ein Hindernis für deren Einsatz.

GRC bleibt eine Herausforderung für SAP-Unternehmen

Intern besteht die Tendenz, sich zuerst um das Geschäft zu kümmern. GRC hat selten die Priorität, die es haben sollte. Während SAP GRC zweifellos der Maßstab für größere, komplexe Organisationen ist, ist es nicht immer die perfekte Lösung für Unternehmen, denen es an internem Fachwissen fehlt. Die umfassenderen GRC-Tools decken eine Vielzahl komplexer Szenarien ab, die für ein durchschnittliches Unternehmen oft nicht notwendig sind.

"Unterschiedliche Reifegrade der Risiko- und Compliance-Prozesse machen es erforderlich, das richtige GRC-Tool zu finden und zu implementieren ⁽⁵⁾".

Es kann vorkommen, dass die Umsetzung nicht das gewünschte Ergebnis bringt, da sich die Unternehmen dagegen sträuben.
Dies wird darauf zurückgeführt, dass es schwierig ist, den erforderlichen Aufwand mit dem erzielten Wert in Verbindung zu bringen ⁽⁶⁾. Die Software wird häufig nicht ausreichend genutzt, was ein Ausdruck der mangelnden Abstimmung zwischen IT, GRC und Unternehmen ist.

Das Fazit ist, dass es zwar sehr bedenklich ist, wenn keine geeigneten Risikomanagementinstrumente vorhanden sind, dass aber schlecht implementierte oder verwaltete Instrumente ein gefährlich falsches Gefühl der Sicherheit vermitteln können. Das Betrugspotenzial besteht so lange, wie Menschen, Prozesse und Technologie nicht aufeinander abgestimmt sind.

Vier Innovationen verändern GRC für SAP-Unternehmen:

1. Cloud- und Hosted-Bereitstellung

GRC-Anwendungen waren in der Vergangenheit hauptsächlich als Vor-Ort-Implementierungen verfügbar, aber es zeichnet sich ein Trend ab, der zu einer Zunahme von Remote-Hosting- und Cloud-Implementierungsoptionen führt.

So überprüfen beispielsweise immer mehr Unternehmen die Berechtigungen ihrer Mitarbeiter für die internen Systeme, die die Cloud nutzen. Die Daten werden aus dem internen Netz abgerufen und dann sicher in die Cloud übertragen.

Ein entscheidender Vorteil der Cloud ist, dass keine Hardware benötigt wird, d. h. es fallen keine Installationskosten oder laufende Wartung an. Cloud-Plattformen ermöglichen eine schnelle Bereitstellung, da die Speicher- und Technologieinfrastruktur skaliert werden kann, um der steigenden Nachfrage gerecht zu werden.

"Im Jahr 2015 führte Gartner Cloud Computing als eine der fünf wichtigsten Investitionen in Unternehmenstechnologien in den nächsten fünf Jahren auf ⁽⁷⁾."

Vielleicht noch wichtiger ist, dass es den meisten Unternehmen oft an ausreichender interner GRC-Expertise mangelt: Cloud-Lösungen ermöglichen es den Anbietern, den Ressourcenbedarf des Kunden aus der Ferne zu ergänzen, was zu weiterer Effizienz führt. Hier sind drei gängige Mythen rund um das Cloud Computing ⁽⁸⁾:

• Mythos 1: Es ist nur für Tech-Unternehmen
  Dem ist nicht so: Unternehmen aller Branchen, ob groß oder klein, nutzen Cloud Computing.
• Mythos 2: Sicherheit ist ein großes Risiko
  Die Sicherheitsmaßnahmen bekannter Cloud-Anbieter sind oft besser als die ihrer Kunden. Cloud-Anbieter haben die Ressourcen und Fähigkeiten, um die Sicherheit auf dem neuesten Stand zu halten.
• Mythos 3: Der Betrieb in der Cloud ist immer billiger
  Es ist nicht immer billiger, in der Cloud zu arbeiten, aber es kann oft kosteneffizienter sein. Die Cloud eignet sich am besten für schwankende Anforderungen und Arbeitslasten, bei denen die Nachfrage zu bestimmten Zeiten hoch, zu anderen Zeiten aber geringer ist.

2. Software-as-a-Service-Preismodelle

Das Wachstum des globalen Software-as-a-Service (SaaS)-Marktes wird weitgehend durch die zunehmende Notwendigkeit für Unternehmen, Kosten zu senken, sowie durch die relative Schnelligkeit und Einfachheit, mit der SaaS-Lösungen bereitgestellt werden können, angetrieben.

Während herkömmliche Preismodelle in der Regel auf dem Besitz einer Instanz einer Softwareanwendung beruhen, die über Lizenzvereinbarungen bezahlt wird, sind SaaS-Preismodelle in der Regel stärker auf die Nutzung abgestimmt.

In der Regel werden erhebliche Einsparungen bei den Investitionskosten erzielt, die über die herkömmlichen Anschaffungskosten hinausgehen. Die Infrastrukturkosten werden nun von den Anbietern getragen, was für die Unternehmen eine erhebliche Ersparnis darstellt. Außerdem sind die Kosten für die SaaS-Implementierung oft deutlich niedriger als bei herkömmlichen Implementierungen.

"Wenn SaaS-Modelle mit Cloud-Bereitstellungsmodellen gepaart werden, werden GRC-Funktionen effektiv in die Hände der Benutzer auf einer On-Demand-Basis gelegt ⁽⁹⁾."

Neben den anfänglichen Kostenvorteilen eines SaaS-Preismodells für GRC-Tools gibt es einen echten Vorteil: die Flexibilität. Unternehmen können die Anzahl ihrer Nutzer je nach Bedarf erhöhen oder verringern und sich auch dafür entscheiden, einzelne Funktionselemente nach Bedarf zu nutzen.

Software-as-a-Service ist ein Software-Lizenzierungs- und Bereitstellungsmodell, bei dem die Software auf Abonnementbasis lizenziert und zentral gehostet wird. Es wird manchmal auch als "On-Demand-Software" bezeichnet. Auf SaaS greifen die Benutzer in der Regel mit einem Thin Client über einen Webbrowser zu. Während bei herkömmlichen Vor-Ort-Anwendungen regelmäßig Upgrades erforderlich sind, werden diese Kosten in der Regel vom SaaS-Anbieter getragen ⁽¹⁰⁾.

3. Größengerechte GRC-Reifegradziele

Es lässt sich nicht leugnen, dass die GRC-Anwendungen für Großunternehmen die besten Werkzeuge für große, globale multinationale Unternehmen sind. Tools wie SAP GRC decken jedes denkbare GRC-Szenario ab. Viele Unternehmen lernen, dass diese Tools zwar beeindruckend sind, aber auch erdrückend sein können, wenn eine Organisation noch nicht reif genug ist, um sie umfassend zu nutzen. Weniger reife Unternehmen entscheiden sich für reduzierte, der Unternehmensgröße angemessene GRC-Tools und -Ziele und erzielen damit überraschende Vorteile.

"Anstatt den GRC-Reifegrad als einen festen Punkt zu betrachten, müssen wir ihn auf einem Spektrum sehen. Die Erkenntnis, dass es unterschiedliche Ausprägungen der Reife gibt, ermöglicht es Unternehmen, sich auf die wesentlichen Tools zu konzentrieren, die sie jetzt brauchen."

Paradoxerweise beschleunigt die Einführung von größenabhängigen Reifegraddefinitionen und GRC-Strategien den GRC-Reifegrad vieler Unternehmen.

4. Modelle für verwaltete Dienste

Im ewigen Wettlauf um die effizienteste Arbeitsweise bereitet die rasche Entwicklung der Technologie den meisten Unternehmen Kopfzerbrechen, wenn es um die Bereitstellung von Ressourcen geht. Die meisten Unternehmen setzen eine Vielzahl von Technologien ein, für die jeweils spezialisierte Fachkräfte erforderlich sind.

Outsourcing hat sich zu einer weit verbreiteten Praxis für Tätigkeiten auf der Ebene der Routinearbeit entwickelt, war aber weniger erfolgreich, wenn eine proaktive Verwaltung von Werkzeugen erforderlich war. Die Idee der Managed Services hat sich entwickelt, um diese Lücke zu schließen.

Der wesentliche Unterschied zwischen Managed Services und Outsourcing besteht darin, dass Managed Services die proaktive Verwaltung der Anwendung beinhalten, während Outsourcing traditionell auf die reaktive Bereitstellung einer IT-Anlage beschränkt ist. Dementsprechend kann eine Managed-Services-Beziehung direkt ein bestimmtes Geschäftsergebnis erzielen, während eine Outsourcing-Beziehung in der Regel ein IT-Ergebnis liefert.

Viele Unternehmen nutzen in zunehmendem Maße IT-Managed Services, um auf möglichst effiziente und flexible Weise sowohl IT-Verwaltungs- als auch Bereitstellungsfähigkeiten in Anspruch zu nehmen. Diese Organisationen haben das "Beste aus beiden Welten" und können so sicherstellen, dass sie über die aktuellsten Technologielösungen verfügen, die ihren eigenen Bedürfnissen entsprechen, ohne die übermäßigen Kosten, die mit dem internen IT-Support verbunden sind.

Wir lösen GRC für SAP-Unternehmen. Wie können wir Ihnen helfen?

Das gesamte Geschäft von Soterion ist darauf ausgerichtet, GRC-Produkte zu entwickeln, die zu Ihrem Team und Ihrem Geldbeutel passen. Da Unternehmen unterschiedlich sind, haben wir drei Möglichkeiten entwickelt, wie SAP-Unternehmen GRC unabhängig von ihren internen GRC-Kapazitäten kostengünstig handhaben können.

Software-as-a-Service

Was ist das?

Die Compliance Cloud-Plattform von Soterion ist ein cloudbasiertes, kostenpflichtiges GRC Access Risk-Tool.

Ideal für?

• Unternehmen mit hoher Kostensensibilität
• Unternehmen, die nur selten oder ad hoc eine Bewertung des Zugangsrisikos verlangen, z. B. Innenrevisoren
• Unternehmen mit grundlegenden internen GRC-Kenntnissen

Vorteile

• Sofortige GRC-Zugriffsrisikotransparenz
• Leicht zu bedienen
• Unternehmensfreundliche Berichterstattung
• Äußerst kosteneffizient
• Bezahlen Sie nur, wenn Sie nutzen

Verwalteter Dienst

Was ist das?

Kombiniert GRC-Expertise "on-tap" mit Soterions Compliance Cloud Plattform für eine komplette GRC-Lösung. Wird in Zusammenarbeit mit dem Consulting Partner Network von Soterion bereitgestellt.

Ideal für?

Kleinere Unternehmen, die einen GRC-Bedarf haben, denen es aber an internem Fachwissen fehlt.

Vorteile

• Sofortige GRC-Fähigkeit, einschließlich Tools und Fachwissen
• Sorgen Sie für eine problemlose, vollständige Kontrolle der Zugangsrisiken durch einen zuverlässigen GRC-Service.
• Deutlich kostengünstigere Gesamtlösung als die Beschäftigung von internem GRC-Fachwissen und der Kauf eines GRC-Tools
• Proaktives GRC-Management

Vor-Ort-Software

Was ist das?

Soterion für SAP ist eine größenabhängige GRC-Softwareanwendung, die leistungsstarke, einfach zu bedienende Funktionen für kleinere SAP-Unternehmen bietet.

Ideal für?

• Kleinere Unternehmen, die eine GRC-Anforderung haben und über internes Fachwissen verfügen
• Unternehmen mit IT-Richtlinien, die On-Premise-Lösungen erfordern.

Vorteile

• Leistungsstarke, größenabhängige GRC-Funktionen für kleinere Unternehmen ohne komplexe, unnötige Funktionen
• Äußerst kosteneffiziente GRC-Alternative für den Einsatz vor Ort
• Intuitiv und einfach zu bedienen
• Minimaler Eingriff in die Infrastruktur und SAP-Installation

Die SAP Compliance Cloud von Soterion gibt Ihnen, was Sie brauchen, wenn Sie es brauchen.

Sofortige Sichtbarkeit des GRC-Zugangsrisikos: Innerhalb von 24 Stunden erhalten Sie vollen Einblick in die GRC-Zugangsrisiken. Dank unseres nahtlosen Datenextraktionsprozesses und unserer intuitiven Benutzeroberfläche benötigen Sie für die Einrichtung keine technischen Kenntnisse.

Einblicke nach Bedarf: Vermeiden Sie Überraschungen bei externen Audits, indem Sie bei Bedarf leicht verständliche Berichte über Zugangsrisiken einsehen.

Pay As You Go: Profitieren Sie von den niedrigeren Betriebskosten, indem Sie die Kosten für eine Vollzeitlösung vor Ort und das Personal zu deren Betreuung vermeiden. Keine befristeten Vertragsbedingungen.

Einfach zu benutzen: Unsere Plattform ist äußerst intuitiv und erfordert keine technischen GRC-Kenntnisse. Unsere geschäftsfreundlichen Reporting-Tools ermöglichen fokussierte Berichte nach Geschäftsbereichen.

Geführter, schrittweiser GRC-Reifeprozess: Nutzen Sie unser proprietäres GRC-Reifegradmodell, um Ihren aktuellen GRC-Reifegrad zu bewerten. Verbessern Sie Ihre GRC-Fähigkeiten, indem Sie die bereitgestellten Empfehlungen befolgen.

Simulieren Sie Änderungen, bevor Sie sie anwenden: Gehen Sie auf Nummer sicher mit unserem Zuteilungssimulator, der präventive "Was-wäre-wenn"-Analysen durchführt und Ihnen die Auswirkungen zeigt, bevor Sie Änderungen in SAP vornehmen.

Für weitere Informationen laden Sie das ebook herunter. Schicken Sie eine E-Mail an [email protected], wenn Sie Fragen haben, weitere Informationen benötigen oder eine Demo wünschen.

QUELLEN:

Quelle 1: Peter Elkind, "Teil 1: Who was manning the ramparts at Sony Pictures?" Fortune, 1. Juli 2015

http://fortune.com/sony-hack-part-1/

Quelle 2: Charles Riley, "The Panama Papers: 7 Dinge, die man wissen sollte" CNN, 7. April 2016

http://edition.cnn.com/2016/04/04/world/panama-papers-explainer/

Quelle 3: Verschiedene, "Global Economic Crime Survey 2014" PWC, November 2014

https://www.pwc.co.za/en/assets/pdf/global-economic-crime-survey-2014.pdf

Quelle 4: Diverse, "Global Economic Crime Survey 2016" PWC, November 2016

http://www.pwc.com/gx/en/economic-crime-survey/pdf/GlobalEconomicCrimeSurvey2016.pdf

Various, "Centralized Operations: Die Zukunft der Betriebsmodelle für Risiko, Kontrolle und Compliance" EY, November 2014

http://www.ey.com/Publication/vwLUAssets/EY_Centralized_operations:_future_of_Risk,_Control_and_Compliance/$FILE/EY-Insights-über-GRC-zentralisierte-operationen.pdf

Quelle 5: Website, "GRC Technology Enablement" PWC, 2016

http://www.pwc.com/us/en/risk-assurance-services/governance/technology-enablement.html

Quelle 6: David Houlihan, "GRC Vendor Implementation Success Strategies" Blue Hill Research, August 2015

http://www.metricstream.com/pdf/analystreports/GRC-vendor-implementation-blue-hill-research.pdf?aliId=330197787

Quelle 7: Verschiedene, "Flipping to Digital Leadership" Gartner, 2015

http://www.gartner.com/imagesrv/cio/pdf/cio_agenda_insights2015.pdf

Quelle 8: Ahmed Banafa, "10 Mythen über Cloud Computing" OpenMind, September 2015

https://www.bbvaopenmind.com/en/10-myths-about-cloud-computing/

Quelle 9: David Houlihan, "GRC Vendor Implementation Success Strategies" Blue Hill Research, August 2015

http://www.metricstream.com/pdf/analystreports/GRC-vendor-implementation-blue-hill-research.pdf?aliId=330197787

Quelle 10: Software as a Service - Wikipedia, die freie Enzyklopädie, https://en.wikipedia.org/wiki/Software_as_a_service

Allgemeine Hinweise:

• Achieving Effective Risk Management and Compliance" Deloitte, 2014

http://www2.deloitte.com/content/dam/Deloitte/lu/Documents/risk/lu_en_effective-risk-management_25112014.pdf   

• "GRC heute" KPMG, Oktober 2015

https://www.kpmg.com/ID/en/IssuesAndInsights/ArticlesPublications/Documents/grc-today-oct-2015.pdf