Weltkrisen: Was könnte als Nächstes kommen, Cyberangriffe und Datenbetrug?

Governance, Risiko und Compliance der neuen Generation sind im SAP-Umfeld entscheidend
Von Dudley Cartwright, CEO von Soterion

Das Jahr 2020 wird als das Jahr in die Geschichte eingehen, in dem ein Virus beinahe einen weltweiten Stillstand verursacht hätte. Was könnte das nächste sein?

Im WEF-Bericht 2019 über die wichtigsten globalen Bedrohungen werden Cyberangriffe und Datenbetrug als die größten Bedrohungen der nahen Zukunft genannt. Dies unterstreicht die Tatsache, dass Governance, Risiko und Compliance (GRC) in Unternehmen immer wichtiger werden. Es steht mehr denn je auf dem Spiel, wenn Unternehmen es nicht richtig machen.

Wir leben in einer Zeit, die durch eine rasche Zunahme der Veränderungsrate auf dem Markt gekennzeichnet ist. Die Unternehmen sind gezwungen, sich an die neuen Gegebenheiten anzupassen. Erfolgreiche Organisationen werden in ihrer Arbeitsweise immer flexibler.

GRC-Praktiker der neuen Generation sehen die Chance, dass GRC eine größere Rolle bei der proaktiven Wertschöpfung spielen kann, und setzen auf neue agile Technologien und Methoden.

Die GRC-Grundsätze passen gut zum "agilen" Ansatz und sind heute relevanter und wichtiger als je zuvor. Damit GRC in einer agilen Umgebung richtig funktioniert, müssen die richtige Denkweise, der richtige Ansatz und die richtigen Werkzeuge vorhanden sein.

Agiles Denken umfasst die Idee der "Taktgeschwindigkeit". Dies ist die Geschwindigkeit, mit der eine Organisation in ihrer Gesamtheit in der Lage ist, sich zu bewegen, zu reagieren und sich anzupassen. Es wird geschätzt, dass die durchschnittliche große Organisation von heute eine 3 bis 5 Mal schnellere Taktrate benötigt als die entsprechende Organisation vor einem Jahrzehnt.

Agiles Denken hat zwar große Vorteile bei der Erhöhung der Taktrate gebracht, aber auch ein großes Missverständnis über GRC. Beim Streben nach einer agilen Umsetzung kann GRC leicht als Teil des "alten Paradigmas" angesehen und daher ignoriert oder unterbewertet werden. Aber auch wenn die GRC-Funktion von den Unternehmen geschätzt wird, gelingt es GRC-Praktikern oft nicht, ihren Ansatz an die neuen Realitäten der Taktgeschwindigkeit anzupassen.

Viele GRC-Fachleute der neuen Generation arbeiten in einem traditionellen Unternehmen. Sie stehen vor der Entscheidung, sich entweder für den Wandel einzusetzen oder einfach nur die vom Unternehmen geforderten GRC-Maßnahmen zu ergreifen und umzusetzen.

Kann ein GRC-Mitarbeiter einen organisationsweiten Wandel beeinflussen? Wir glauben, dass sie es können. Mit einem "mutig-pragmatischen" Ansatz könnte man sich für einen unternehmensweiten Wandel einsetzen und möglicherweise Gleichgesinnte im Unternehmen finden, während man gleichzeitig die GRC-Anforderungen innerhalb des vorherrschenden Rahmens pragmatisch umsetzt.

Was ist also der richtige Ansatz für agiles GRC? Da sich die Unternehmen u. a. in Bezug auf die Branche, das regulatorische Umfeld und den GRC-Reifegrad stark voneinander unterscheiden, gibt es keine "Einheitsantwort".

Hier sind einige Beschreibungen von agilem GRC. Agile GRC erkennt die Notwendigkeit, die Geschäftsanwender einzubeziehen, und stellt daher die Geschäftsanwender in den Mittelpunkt des Prozesses. Die GRC-Sprache wird in eine Sprache umgewandelt, die die Geschäftsanwender verstehen können. Dies wird auch durch intuitivere Tools erreicht, wie z. B. die Einführung von Geschäftsprozessvisualisierungen, die helfen, Risiken zu kontextualisieren und zu verstehen.

Ein Mangel an engagierten Geschäftsanwendern war schon immer die Achillesferse von GRC. Untersuchungen zeigen, dass dies die Hauptursache für das Scheitern von GRC-Implementierungsprojekten ist. Engagierte Geschäftsanwender sind heute wichtiger denn je, da sich die Organisationsumgebungen ständig verändern. GRC muss ein Teamsport werden.

Das GRC-Team muss dafür sorgen, dass das Zugriffsrisiko in einem gesunden Rahmen bleibt, wenn die Geschäftsanwender nicht einbezogen werden. Dies geschieht in der Regel episodisch, häufig zeitgleich mit einem Audit.

Die Macht engagierter Geschäftsanwender ist vielfältig: Es gibt viele von ihnen, und sie kennen und verstehen ihre Prozesse besser als jeder andere. Wenn man diesen Nutzern die Mittel an die Hand gibt, um die mit ihren Prozessen verbundenen Risiken zu überwachen und darauf zu reagieren, entsteht eine starke erste Verteidigungslinie, die es dem GRC-Team wiederum ermöglicht, eine strategischere, wertsteigernde Rolle zu spielen.

Darüber hinaus basieren herkömmliche GRC-Tools auf statischen Regelsätzen, die "von Zeit zu Zeit" überprüft werden sollten, um sie an etwaige Änderungen der Geschäftsabläufe anzupassen. Das traditionelle Paradigma geht davon aus, dass sich solche Prozessabläufe nur selten ändern. Bei der heutigen Geschwindigkeit des Wandels und der agilen Arbeitsweise werden Zugriffsrisikosimulationen auf der Grundlage von Regelsätzen durchgeführt, die immer weniger mit der Realität des Unternehmens übereinstimmen. Dies führt zu Frustration bei den Geschäftsanwendern, und ihre Akzeptanz nimmt entsprechend ab.

GRC-Tools der neuen Generation erkennen, dass die Geschäftsabläufe dynamisch und fließend sind, und ermöglichen es uns daher, dynamische Regelsätze mit adaptiven Fähigkeiten zu erstellen. Technologien für maschinelles Lernen spielen hier oft eine Rolle. Ein weiterer Ansatz ist das "Crowdsourcing" von Regelsatzänderungen durch die Geschäftsanwender selbst, und zwar durch intuitive Visualisierungen, die die GRC-Tools relevant halten und somit die Geschäftsanwender einbinden.

Bei herkömmlichen Anwendungen liegt das Verhältnis von Softwarelizenz zu Implementierungskosten in der Regel zwischen 1:3 und 1:5. Das heißt, für jeden Dollar, der im ersten Jahr für die Lizenzierung ausgegeben wird, kann das Unternehmen mit bis zu 5,00 Dollar an Konfigurationskosten rechnen. Der Implementierungsprozess selbst ist oft das organisatorische Äquivalent einer Operation am offenen Herzen, wenn man die schiere Intensität des Prozesses bedenkt.

GRC-Anwendungen der neuen Generation lassen sich in der Regel mindestens 50 % schneller implementieren als herkömmliche Anwendungen. Dies führt zu niedrigeren Gesamtbetriebskosten, weniger Geschäftsunterbrechungen und einer schnelleren Einführung von GRC-Funktionen.

Abgesehen von den kostensparenden Auswirkungen einer raschen Einführung ermöglichen agile GRC-Konfigurationen den Anwendern ein "schnelleres Scheitern" im positiven Sinne, da sie schneller wichtige Rückmeldungen über Zugriffssimulationen und negative Prozessänderungen erhalten, was rechtzeitige Anpassungen ermöglicht.

Agile GRC-Anbieter verbinden ihre Anwendungen mit anderen Anbietern aus ähnlichen, aber unterschiedlichen Bereichen, um ein ganzheitlicheres Angebot zu schaffen. Beispiele hierfür sind Integrationen mit Lösungen für das Identitäts- und Zugriffsmanagement, Lösungen für Unternehmensrisiken, Prozesskontrolllösungen und Lösungen für das Business Process Mining.

Die API-Wirtschaft ermöglicht es Unternehmen, genau die Anwendungen auszuwählen, die sie angesichts ihrer aktuellen Geschäftslandschaft benötigen, und ein GRC-Technologie-Ökosystem zu schaffen, das ihren Bedürfnissen entspricht. Dies steht im Gegensatz zu der traditionellen "One-size-fits-all"-Idee einer monolithischen GRC-Anwendung, die für jedes denkbare Szenario geeignet ist.

GRC-Lösungen müssen in der Lage sein, nicht-ABAP-basierte Lösungen zu analysieren, da SAP immer mehr Funktionen in die Cloud verlagert (SuccessFactors, Ariba, Concur usw.) und Kunden beginnen, Nicht-SAP-Produkte durch Lösungen von Drittanbietern zu ersetzen (Salesforce.com und WorkDay). Agile GRC-Lösungen sind zukunftssicher, da sie in der Lage sein werden, das Zugriffsrisiko von traditionellen SAP-Systemen (ABAP) sowie von SAP-Cloud- und Drittanbieterlösungen nahtlos zu analysieren.

Die Verwaltung von Zugangsrisiken ist zeitaufwändig und mühsam. Die Verwendung historischer Daten zur Entwicklung von Vertrauensbeziehungen ermöglicht es GRC-Fachleuten und Geschäftsanwendern, sich auf die Ausnahmen zu konzentrieren. Beispiele hierfür sind:

• Überwachung der Transaktionsnutzung und Hervorhebung von Ausnahmetransaktionscodes.
• Wissen, mit welchem Terminal der Benutzer auf SAP zugreift, und Hervorhebung jeglicher Aktivität von einem anderen (nicht vertrauenswürdigen) Terminal.

In unserer immer schnelllebigeren Welt besteht ein enger Zusammenhang zwischen erfolgreicher GRC und dem Engagement der Geschäftsanwender in SAP-Unternehmen. Daher ist die Bewertung von Tools im Hinblick auf Attribute, die zur Einbindung der Geschäftsanwender beitragen, eine geeignete Bewertungstaktik.

Um das Agile GRC eBook herunterzuladen, klicken Sie hier

Für weitere Informationen senden Sie uns bitte eine E-Mail an [email protected]

Related Tag: Risikomanagement SAP