Governance, Risk & Compliance und SAP

E-3 Magazin April 08, Seite 60, Management

Vom Enron-Skandal zur SAP GRC Access Control Suite

Mit der Enron-Pleite im Jahr 2002 erreichte eine Serie von erschütternden Finanzskandalen in den USA ihren Höhepunkt: Anleger verloren ihre Einlagen am zehntgrößten Unternehmen der Welt, Hunderttausende Amerikaner standen nach dem Skandal ohne Altersvorsorge da und der amerikanische Finanzmarkt wackelte. Ursache der meisten vorangegangenen Unternehmenspleiten waren Fehler, Fälschungen und Betrug des Top-Managements.

Durch die Pleiten der börsenotierten Unternehmen und ihre verheerenden Auswirkungen bis in weite Teile der Bevölkerung alarmiert, verabschiedete der US-Kongress 2002 den Sarbanes-Oxley Act (SOX). Ein Gesetz, das die Manager verpflichtet, einen unternehmensweiten Sicherheits- und Kontrollmechanismus einzuführen und zu überwachen, der das Vertrauen der Öffentlichkeit in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten wiederherstellen soll. Mit SOX wurde ein Begriff in die Unternehmenswelt eingeführt, der all die Gesetze, internen und externen Bestimmungen und Standards zusammenfasst: Governance, Risk & Compliance (GRC).

Die Mutter dieser Gesetze, der Sarbanes-Oxley Act, gilt für alle Unternehmen, deren Wertpapiere an US-Börsen gehandelt werden, deren Wertpapiere mit Eigenkapitalcharakter in den USA außerbörslich gehandelt werden, oder deren Wertpapiere in den USA öffentlich angeboten werden sowie für deren Tochterunternehmen. Dieser letzte Zusatz zieht auch viele nicht-amerikanische Unternehmen in den Wirkungsbereich von SOX. Das Gesetz, das die Unternehmenskultur auf der ganzen Welt so entscheidend verändert hat, besteht aus vier Abschnitten, wobei Abschnitt 404 sicher die größte Bedeutung zukommt. Hier ist geregelt, dass der Geschäftsführer, der Leiter der Finanzabteilung und der Abschlussprüfer die Effektivität interner Kontrollen erhalten, bestätigen und dokumentieren müssen – und schließlich auch persönlich für diese Kontrollen haften.

SAP und GRC

In den vergangenen Jahren haben viele Länder SOX-ähnliche Gesetze verabschiedet und auch immer mehr Unternehmen haben sich entschlossen, darüber hinaus eigene Sicherheits- und Risikostandards einzuführen. Betroffen hiervon ist zunächst die Unternehmens-IT. IT-Verantwortliche weltweit und die großen Softwarehersteller wie z. B. SAP und Oracle stehen gleichermaßen vor der Herausforderung, die neuen Richtlinien und Anforderungen über die Unternehmens-IT umzusetzen.

SAP stellte sich dieser Herausforderung zunächst durch Entwicklung eines Software-Portfolios für Compliance. Im Frühjahr 2006 erwarb SAP mit Virsa eine Software Suite für Compliance und Risikomanagement. Im Sommer 2006 kündigte SAP die Gründung eines neuen Geschäftsbereichs für Governance, Risk & Compliance Management (GRC) an. Auf Basis des bereits bestehenden Software-Portfolios wollte SAP durchgängige Lösungen für die Einhaltung gesetzlicher Richtlinien und das Risikomanagement anbieten.

Damit reagierte SAP auf die veränderten Bedingungen, denen die Unternehmen ausgesetzt sind: Unternehmenssoftware soll mehr denn je eine nachhaltige Unternehmensführung und bessere Risikosteuerung ermöglichen. Sie soll auch in heterogenen Umgebungen Geschäftsprozesse optimal steuern sowie Risiken und gleichzeitig Kosten reduzieren. Zugleich stehen immer mehr Unternehmen unter dem Druck, komplexe gesetzliche Auflagen zu erfüllen.

Der Bereich GRC-Management von SAP hat Lösungen entwickelt, die auf einer einheitlichen Plattform basieren. Über die systemunabhängige SAP NetWeaver-Plattform kann eine einheitliche Risikoerkennung und -steuerung realisiert und SAP-Systeme und die Software anderer Hersteller gekoppelt werden. SAP NetWeaver ist eine Java-basierte Online-Plattform.

Definition von GRC: Governance

Unter dem Begriff Governance wird die Verwaltung der strategischen Richtlinien und Regeln, nach denen ein Unternehmen handelt, geführt. Dabei ist größtmögliche Transparenz erforderlich, um die wachsende Anzahl von Regelungen im Auge zu behalten.

Corporate Governance

Unter Corporate Governance werden alle internationalen und nationalen Richtlinien und Grundsätze für eine verantwortungsvolle, qualifizierte, transparente und auf den langfristigen Erfolg ausgerichtete Unternehmensführung zusammengefasst. Corporate Governance fußt somit nicht auf einem einheitlichen internationalen Regelwerk, sondern beinhaltet neben länderspezifischen Bestimmungen auch länderübergreifende und freiwillige Maßnahmen. Gute Corporate Governance dient dem Unternehmen selbst, aber auch anderen Interessengruppen, wie Teilhabern, Aktionären, Kunden und Lieferanten. In Deutschland sind die Regeln für Corporate Governance im so genannten Corporate Governance Kodex (DCGK) fixiert. Durch die Festschreibung in einem Kodex soll das Vertrauen in die Führung deutscher Unternehmen gestärkt werden.

IT Governance

IT Governance beschreibt die Unterstützung der Unternehmensziele durch die IT. Ziel ist es, die Anforderungen an die IT sowie deren strategische Bedeutung aus Sicht der Unternehmensführung im Unternehmen zu optimieren und das Erreichen der Unternehmensziele zu gewährleisten. IT-Governance stellt die Balance zwischen dem Erreichen der Unternehmensziele und dem Minimieren von IT-Risiken dar.

Risk

Als Risiken werden jene Gefahren definiert, die die finanziellen, operativen oder strategischen Ziele eines Unternehmens gefährden könnten. Die Qualität eines Risikos bemisst sich darüber hinaus an der Eintrittswahrscheinlichkeit und dem zu erwartenden Schaden.

Für einen langfristigen Unternehmenserfolg müssen die Risiken identifiziert, analysiert und durch geeignete Steuerungsmaßnahmen beseitigt oder wenigstens begrenzt werden. Dazu ist ein umfassendes Risikomanagement erforderlich, das als integraler Bestandteil der Geschäftsprozesse unternehmensweit implementiert wird. Passgenau entwickelt und gut integriert reduziert Risikomanagement nicht nur die Risiken, es bietet auch Potenzial zur Kostensenkung.

Compliance

Compliance bezeichnet die Einhaltung von Regeln, Gesetzen und Richtlinien durch das Unternehmen. Einige gesetzliche Regelungen erfordern sogar einen Nachweis über die Einhaltung und Konformität des Unternehmens gegenüber diesen Richtlinien und Regeln (z. B. SOX, GoBS etc.). Auch hier ist wieder die IT gefordert, denn sie unterstützt die Unternehmens-Compliance durch Sichern und Dokumentieren von nachweispflichtigen Unterlagen und Daten.

GRC-Komponenten im Überblick

GRC ist ein Thema, das Unternehmen in den kommenden Jahren stark beschäftigen wird. Sowohl die Zahl der gesetzlichen Bestimmungen als auch die Zahl der Unternehmen, die von diesen betroffen sind, wird steigen. Alle diese Unternehmen benötigen unterstützende IT, um die wachsenden Anforderungen bewältigen zu können. Somit eröffnet sich Software-Herstellern ein großer, stark wachsender Markt. SAP ist seit einiger Zeit bemüht, auch in diesem Segment die Vorreiterrolle zu übernehmen. Zurzeit stehen den Unternehmen folgende Komponenten zur Verfügung:

• SAP GRC Access Control Suite
• Process Control
• Risk Management
• Global Trade Service

Herzstück der Produkt-Sammlung ist zweifellos die SAP GRC Access Control Suite. Diese ermöglicht mit ihren einzelnen Komponenten Prüfung, Kontrolle und Organisation der unternehmensweiten Zugriffs- und Berechtigungswesen und bietet darüber hinaus ein internes Kontroll- und Dokumentationssystem.

Sie besteht aus den vier Einzelkomponenten:

• Risikoanalyse und Risikobereinigung (Compliance Calibrator), Echtzeit- Compliance durch Risikoanalyse und Implementierung
• Unternehmensweites Rollenmanagement (Role Expert), zentralisiertes und standardisiertes Unternehmensrollenmanagement
• Regel- und gesetzeskonforme Berechtigungsvergabe (Access Enforcer), workflowbasierte Genehmigung von regelkonformen Rollen und Benutzern
• Management von Superuser Berechtigungen (FireFighter)
• Kontrollierte und dokumentierte Umsetzung von Notfallberechtigungsverwaltung

Was SAP den Unternehmen mit den SAP GRC-Komponenten verspricht und was die Tools wirklich können, stellen wir im E3 Spezial im Mai vor.

Autor: Ibrahim Sigirci, Security & GRC Consultant SecurIntegration, ist einer der Autoren des im Mai erscheinenden Buchs „GRC in der SAP-Umgebung”.