SAP GRC
Unternehmen haben den größten Erfolg, wenn es ihnen gelingt, die drei Bereiche Compliance, Risk Management und Governance intelligent zu vernetzen. Mit der Integration und Automatisierung wichtiger GRC-Aktivitäten in vorhandene Prozesse im SAP Umfeld kann dies deutlich vereinfacht werden. Dadurch wird das Ansehen sowie die finanzielle Situation eines Unternehmens nachhaltig gestärkt.
Definition von GRC
Governance, Risk Management und Compliance (GRC) sind drei stark miteinander verbundene und sehr wichtige Unternehmensbereiche. Ihre Maßnahmen und Zuständigkeiten überschneiden und ergänzen sich teilweise. Risiken managen und rechtliche Rahmenbedingungen einhalten, gehört dabei zu den zentralen Aufgaben eines jeden Managements.
Compliance
Unter Compliance wird nach dem Deutschen Corporate Governance Kodex die in der Verantwortung des Vorstands liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien verstanden. Der Begriff stammt ursprünglich aus der Finanzbranche, hat sich aber in der betriebswirtschaftlichen Fachsprache für alle Branchen etabliert. Die Sicherstellung von Compliance erfordert eine saubere und genaue Analyse der eigenen Prozesse. So kommen die transparenten Abläufe und leicht steuerbaren Kontrollen dem operativen Betrieb zu gute. Ebenso entstehen direkte finanzielle Vorteile für das Unternehmen.
Risikomanagement
Risiken sind untrennbar mit jeder unternehmerischen Tätigkeit verbunden und können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Risikomanagement umfasst sämtliche Maßnahmen zur Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken, die aus dem Führungsprozess und den Durchführungsprozessen in einer Unternehmung entstehen können und beschränkt sich nicht nur auf die Handhabung versicherbarer Risiken. Zudem ergibt sich die Notwendigkeit eines Risikomanagements aus einer Reihe gesetzlicher Bestimmungen und ist so gesehen eine Ausprägung von Compliance.
Governance
Corporate Governance meint die Grundsätze der Unternehmensführung und beschreibt den rechtlichen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens. Regelungen zur Corporate Governance haben die Aufgabe, durch geeignete rechtliche und faktische Arrangements die Spielräume von Managern und Mitarbeitern für unternehmensschädigendes Verhalten einzuschränken. Das unternehmensspezifische Corporate-Governance-System besteht aus der Gesamtheit relevanter Gesetze, Richtlinien, Kodizes, Absichtserklärungen, Unternehmensleitbild, aber auch aus den Gewohnheiten der Unternehmensleitung und -überwachung.
GRC als Erfolgsfaktor
Unternehmen, denen es gelingt die drei Bereiche Compliance, Risk Management und Governance intelligent vernetzen, profitieren deshalb von vielen Vorteilen.
Ein gutes Management vermeidet unnötige Risiken und hält seine Mitarbeiter an, im Interesse des Unternehmens zu agieren. Gutes Risikomanagement braucht demnach eine gute Unternehmensführung und somit eine sinnvolle Governance. Wer ein Unternehmen verantwortungsbewusst führt, sorgt dabei aber auch für eine Einhaltung aller gesetzlichen und anderweitigen Vorgaben.
Das Ziel von GRC ist es, Transparenz und Sicherheit zu gewährleisten. Die Transparenz gilt vor allem gegenüber dem Wirtschaftsprüfer, die Sicherheit besonders in Bezug auf externe und interne Gefahren. Beides dient dem Schutz vor unliebsamen wirtschaftlichen und strafrechtlichen Konsequenzen, die aus Rechts- und Regelverstößen resultieren. Das Erfüllen der gesetzlichen Anforderungen ist deshalb längst nicht nur eine lästige Pflicht, sondern ebenso im Sinn des Unternehmens.
Die Integration von GRC in ein bestehendes SAP System ermöglicht es, die potenziellen Synergieeffekte zwischen Governance, Risiko- und Compliance-Management sowohl aufzudecken als auch zu nutzen. Die konkrete Ausgestaltung entwickelt sich durch die verschiedenen Strategien und Richtlinien im unternehmensspezifischen internen Kontrollsystem (IKS).
Rechtliche Grundlagen
Unternehmen müssen eine Reihe von gesetzlichen Bestimmungen und Richtlinien erfüllen, die von Gesetzgebern oder anderen weisungsbefugten Institutionen erlassen wurden. Dazu hier ein kurzer Überblick über die wichtigsten rechtlichen Regelungen für die USA und die DACH-Region.
Rechtliche Anforderungen in den USA
Der Sarbanes Oxely Act ist die wohl bekannteste Gesetzgebung aus den USA im Umfeld von Compliance und IKS. Dieser ist auch für viele deutsche Unternehmen mit Beteiligungen in den USA oder als Subunternehmen amerikanischer Holdings relevant.
Die SOX Compliance gilt seit 2002 für Unternehmen, die an der amerikanischen Börse notiert sind und besteht im Wesentlichen aus zwei Paragrafen. Der erste – Paragraf 302 – fordert direkt ein internes Kontrollsystem, das eine verlässliche Finanzberichterstattung gewährleistet. Jedes Management eines Unternehmens bestätigt dabei schriftlich die zur Verfügungstellung aller relevanten Informationen im Rahmen des IKS an konsolidierte Tochtergesellschaften. Der zweite – Paragraf 404 – verpflichtet das Management in einem IKS-Report über den Umfang und die Effektivität der internen Kontrollen zur Finanzberichterstattung Auskunft zu geben. Ein externer Wirtschaftsprüfer kontrolliert dann diese Angaben.
Rechtliche Anforderungen in Europa
Vergleichbar mit dem SOX Act ist auf europäischer Ebene die 8. EU-Richtlinie, auch Abschlussrichtlinie genannt. Die Richtlinie gilt in allen Mitgliedsstaaten verbindlich, die Wahl der Mittel zur Erreichung der festgeschrieben Anforderungen bleibt jedoch den einzelnen Staaten überlassen. Hierzu existieren auf Länderebene unterschiedliche gesetzliche Regelungen.
In Deutschland stellen vor allem das deutsche Aktiengesetz (AktG §91 Abs. 2), der Deutsche Corporate Governance Kodex (DCGK § 161), das Bilanzrechtsmodernisierungsgesetz (BilMoG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und das Handelsgesetzbuch (§317) die wichtigsten rechtlichen Bedingungen für Compliance dar.
SAP Access Control SPM - Installation und Migration - RZ10.de Partner
Sie möchten gerne Umsteigen auf SAP GRC 12 Access Control Firefighter? Profitieren Sie von unsere langjährigen Projekterfahrung und Expertise.
GRC Einführung im SAP System
Viele kleine und mittelständische Unternehmen haben nur selten ein IT-gestütztes systematische GRC Management. Spätestens ab einer Unternehmensgröße von über 1000 Mitarbeitern lässt sich Compliance jedoch nicht mehr manuell gewährleisten. Unternehmen müssen sich dann Gedanken über eine digitale und automatisierte Lösung machen.
Wenn Sie und Ihr Unternehmen vor der Herausforderung stehen, Governance, Risk und Compliance in ein internes Kontrollsystem zu überführen und in SAP abzubilden, sollten Sie sich an einer klaren Roadmap orientieren. Zu der von der DSAG empfohlenen Methodik lassen sich fünf Schritte unterteilen, die sich wie folgt darstellen:
- Projektvorbereitung
- Sollkonzeption
- Realisierung
- Produktionsvorbereitung
- Go-Live-Support und Betrieb
Spätesten zum Go-Live sollten Mitarbeiter aus der Betriebsabteilung im Projekt mitarbeiten, um dort den Transfer von Know-How sicherzustellen und somit eine reibungslose Übergabe im Betrieb zu gewährleisten.
Was ist neu in GRC Access Control 12?
SAP Access Control ist eine Möglichkeit GRC umzusetzen und ermöglicht den sicheren und compliancegerechten Zugriff auf Anwendungen in den SAP- und Non-SAP-Systemen und läuft mittlerweile in Version 12. Diese bringt folgende Vorteile mit sich:
- Verbesserte Benutzererfahrung
- Fiori-Interface (Benutzer können NetWeaver weiterhin verwenden)
- Navigation basiert auf SAP Personas für bessere Navigation
- Aktualisierte Architektur
- Einfachere Benutzerakzeptanz
GRC Access Control 12 ist so konzipiert, dass ein einfacher Übergang von GRC Access Control 10 auf GRC Access Control 12 ermöglicht wird. Hierbei helfen kurze Schritt-für-Schritt-Anweisungen, die den Benutzer über die wichtigsten Änderungen informieren.
- Verbesserte Integration
Cloud-Anwendungen werden jetzt über Cloud Identity Access Governance (Cloud-IAG) unterstützt. Dies ermöglicht einen effizienten Einsatz von SAP-Cloud-Lösungen wie Ariba, Fieldglass und Concur.
Durch die Integration von Access Control 12 in Cloud IAG können die Prozesse Risikoanalyse und Benutzerbereitstellung nativ für SAP On-Premise und Cloud-Anwendungen angepasst werden. Darüber hinaus gibt es eine durchgehende Integration mit SAP SuccessFactors, sowie eine Zugriffsanalyse für Folgendes:
- SAP Fiori Apps in SAP S/4HANA vor Ort
- Emergency Access Management für SAP HANA-Datenbank
- SAP Identity Management für zentrales Provisioning und Geschäftsrollenmanagement
- Zentrale Personalabrechnung von SAP SuccessFactors
- Bessere Prozessoptimierung
Die ressourcenintensiven Datensynchronisationsaufträge wurden neu entwickelt, um eine verbesserte Leistung zu erbringen. Dazu gehören mehr Filter, eine inhärente Auftragsaufteilung und eine verbesserte Kontrolle über das zu synchronisierende Datenvolumen. Durch das Upgrade auf GRC Access Control 12 werden insbesondere die Datengenerierung für Benutzerzugriffsprüfungen, die Repository-Synchronisierung und die LDAP-Synchronisierungen verbessert. Darüber hinaus können durch die Aktualisierung der Massenrollenmethodik nun mehrere Rollen gleichzeitig angewendet werden, was die Wartung des Firefighter-Besitzers/-Controllers vereinfacht.
- Verbesserungen an SAP Risk Management und SAP Process Control
Mit GRC Access Control 12 sind weitere Funktionen für den Risikobewertungsworkflow, sowie Verbesserungen der automatischen Aggregation und den Aktivitätsvalidierungsworkflow dazugekommen. Mit SAP Process Control können Benutzer jetzt Ad-hoc-Geschäftsregeln für den Workflow der fortlaufenden Überwachung von Unterprozessen bei der Entwurfsbewertung festlegen.
Intelligente Lösungen für GRC
Der Einsatz von künstlicher Intelligenz (KI) und maschinellen Lernen ermöglicht im SAP GRC eine Transformation der Risikomanagement- und regulatorischen Technologien (RegTech). Durch die Fähigkeit, umfangreiche Datensätze zu verarbeiten, zu analysieren und Erkenntnisse daraus zu gewinnen, können GRC-Experten ihre Fähigkeiten erweitern. Sie können Echtzeit-Erkenntnisse aus Analysen nutzen und die aktuelle Situation über verschiedene Szenarios hinweg besser visualisieren.
Die Automatisierung robotergestützter Prozesse (Robotic Process Automation, RPA) spielt bei der Entwicklung robuster und effektiverer Compliance-Programme eine entscheidende Rolle. RPA unterstützt die kontinuierliche Überwachung und umfassende Stichproben-Audits, was die Erkennung von Risiken und Anomalien erleichtert. Zudem helfen RPA-Tools dabei, repetitive und oft umfangreiche administrative Aufgaben im Zusammenhang mit ERM (Enterprise Risk Management) und Compliance zu automatisieren und zu optimieren.
Die Integration von Blockchain-Technologie verstärkt die Wirkung von GRC-Systemen, da sie Sicherheit und Unveränderlichkeit von Transaktionsdatensätzen bietet. Als “Single Source of Truth” minimiert die Blockchain auch Risiken in praxisbezogenen Geschäftsbereichen, da sie die genaue Herkunft von Materialien und Waren sowie deren Zahlungsdatensätze von jedem Ort der Welt sicherstellt. Angesichts der zunehmenden Komplexität von Risiko- und Compliance-Herausforderungen bieten intelligente Technologien das Vertrauen und die Zuverlässigkeit, um proaktiv auf das zu reagieren, was die Zukunft bereithält
Best Practice
Eine Patentlösung zur Behebung der diversen Security-Mängel existiert leider nicht. In unserer zehnjährigen Praxiserfahrung hat sich jedoch eine Best-Practice-Vorgehensweise bewährt. Mit unserer Roadmap haben Sie trotz der hohen Systemkomplexität von SAP Revisionen die Möglichkeit, den Projektablauf wesentlich zu vereinfachen.
Zu den wichtigsten Schritten gehören die Klärungen, welche Feststellungen und Findings es gibt, die Nummerierung der einzelnen Quellen, die Erstellung eines Gesamtüberblicks über alle Revisionsmängel, eine Priorisierung des Problems nach Auswirkung und Aufwand zur Behebung dessen und die Bestimmung der Reihenfolge der Umsetzung. Hinzu kommt außerdem die Erstellung eines Prüfkatalogs, das Abarbeiten der Aufgabenliste und eine finale Überprüfung.
In einem Überblick stellen sich die einzelnen Schritte wie folgt dar:
- Bestandsaufnahme
- Eindeutige Nummerierung der Feststellung
- Gliederung der Feststellung
- Priorisierung
- Umwandeln der Feststellung in Aufgabenlisten
- Erstellen eines optionalen Prüfkatalogs
- Umsetzen und Abarbeiten von Aufgabenlisten
- Freigabe und Abschlussprüfung
Wie geht es weiter mit SAP GRC?
SAP Access Control wird bis zum 31. Dezember 2027 gewartet (Erweiterte Wartung bis 2030). Danach gibt es zwei Hauptoptionen: Die Cloud-Lösung SAP Cloud Identity Access Governance (IAG) bleibt bestehen und bietet eine umfassende Alternative. Für Unternehmen, die eine On-Premise-Lösung bevorzugen, wird ab 2026 eine SAP Access Control Edition für HANA verfügbar sein. Diese Version unterstützt On-Premise und Private Cloud und erfordert eine Migration zu SAP S/4HANA. Unternehmen sollten frühzeitig Budget und Zeit für die Umstellung einplanen.
Fazit zu SAP GRC
Viele Unternehmen unterschätzen die Relevanz von GRC und scheuen die Kosten, die sie mit der Einführung eines toolgestützten GRC Management verbinden. Oft wird das Thema solange ignoriert, bis es durch Rechtstreitigkeiten oder Revisionen zu einem akuten Problem wird. Dann entstehen höhere Kosten, die mit einer strategischen Investition in GRC hätten abgewendet werden können.
Die Einführung eines GRC Management lässt sich mithilfe von Best Practices effizient gestalten. Die Investition rentiert sich zeitnah, denn Ressourcen, die länger im manuellen GRC Management gebunden sind, können dann wertschöpfend strategisch eingesetzt werden.
FAQ zu SAP GRC
Was ist SAP GRC?
Governance, Risk Management und Compliance (GRC) sind drei stark miteinander verbundene und sehr wichtige Unternehmensbereiche. Ihre Maßnahmen und Zuständigkeiten überschneiden und ergänzen sich teilweise. Die GRC Bereiche gehören zu den zentralen Aufgaben eines Managements.
Welche Vorteile bietet SAP GRC ?
Die Integration von GRC in ein bestehendes SAP System ermöglicht es, die potenziellen Synergieeffekte zwischen Governance, Risiko- und Compliance-Management sowohl aufzudecken als auch zu nutzen. Die konkrete Ausgestaltung finden die verschiedenen Strategien und Richtlinien im unternehmensspezifischen internen Kontrollsystem (IKS).