Seit Mai 2006 existiert bei SAP der Geschäftsbereich Governance, Risk and Compliance Management (GRC). Dessen Aufgabe ist es, bestehende Produkte wie die Finanz- und Controlling-Software SAP ERP Financials, mit der sich bereits Compliance-Anforderungen abdecken lassen, mit der Software des im Jahr 2006 zugekauften Anbieters Virsa zu neuen Lösungen zu verbinden, die ein umfassendes Risiko-Management erlauben.
Diese Anwendungen basieren auf der Technologie-Plattform Netweaver und werden von SAP als Lösungen für Governance, Risk und Compliance bezeichnet. Sie erweitern die betriebswirtschaftliche Standard-Software SAP ERP, aber auch die Anwendungen anderer Anbieter, um Funktionen mit denen sich Geschäfts- und IT-Prozesse bezüglich gesetzlicher Vorgaben, Industrie-Standards und freiwilligen Compliance-Verpflichtungen überprüfen oder internationale Handels- und Zollbestimmungen einhalten lassen.
Die Software unterstützt zudem börsenrechtliche Auflagen wie den Sarbanes-Oxley Act oder internationale Rechnungslegungsstandards wie IFRS, aber auch branchenspezifische Anforderungen, darunter Emissionsrichtlinien für die Energiewirtschaft oder Basel II für den Banken-Sektor.
Informationen zentral zusammenführen
Bei den GRC-Anwendungen handelt es sich um ein Lösungsportfolio, das aus verschiedenen Einzel-Anwendungen besteht. Dazu gehören SAP GRC Repository, SAP GRC Risk Management, SAP GRC Access Control, SAP GRC Process Control, SAP GRC Global Trade Services sowie eine Lösung für die Einhaltung von Umwelt-, Gesundheits- und Arbeitsschutz. Diese setzt sich aus der Umweltlösung SAP EH&S (Environment, Health & Safety) sowie Software des Entwicklungspartners Technidata zusammen.
Eine Kernkomponente des GRC-Lösungsportfolios ist die Anwendung "Access Control", die die Zugriffs- und Berechtigungssteuerung übernimmt. Das ist vor allem für Unternehmen relevant, in denen es eine hohe Anzahl von Benutzern, Rollen und Prozessen gibt, für die Zugriffsregeln und Berechtigungen evaluiert und getestet werden müssen, wo es aber auch darum geht Zugriffsprobleme zu beheben.
Die Anwendung bietet umfassende Werkzeuge für die unternehmensweite Zugriffs- und Berechtigungskontrolle. Damit können Manager, Wirtschaftsprüfer und IT-Verantwortliche gemeinsam die Regeln aufstellen, um den Zugriff auf Systeme wirksam zu überwachen und Berechtigungen zentral zu verwalten. Das sind wichtige Voraussetzungen für einen wirksamen Datenschutz und die Umsetzung gesetzlicher Vorschriften.
Erprobte Verfahren
Genau diese Lösung hat SAP jetzt um so genannte Best Practices erweitert, die vorkonfigurierte Geschäftsprozesse, industriespezifische Szenarien Dokumentationen und Trainingsmaterial umfassen. Mit den Best Practices verfolgt SAP einen Ansatz, bereits in der Praxis erprobte Verfahren an Kunden weiterzugeben, damit diese SAP-Lösungen schneller einführen und einsetzen können. Die in Access Control abgebildeten Geschäftsszenarios wurden im Wesentlichen mithilfe der in das GRC-Portfolio integrierten Lösungen des US-Software-Anbieters Virsa umgesetzt.
Die Anwendung Compliance Calibrator sorgt dafür, dass sämtliche relevanten Bestimmungen in Echtzeit kontrolliert werden. Das ermöglicht einen durchgängig automatisierten End-to-End-Prozess. Dieser umfasst die Identifizierung und Auswahl der Risiken, die verwaltet werden müssen, den Aufbau und die Einhaltung von Regeln, die Entdeckung von Autorisierungsrisiken und deren Beseitigung. Hinzu kommen Tests und Berichte sowie Präventionsmaßnahmen. Auf der Grundlage einer Datenbank, die Regeln für die Funktionstrennung in Anwendungsumgebungen von SAP, Oracle und Peoplesoft, beinhaltet, können Geschäftsprozessverantwortliche die für ihre Anforderungen passenden Regeln auswählen.
Mit dem Role Expert können Firmen Rollen in einer einzigen Umgebung und damit standardisiert anlegen und verwalten. Das reduziert die Gefahr von Fehlern bei der Autorisierung und sorgt für regelkonforme Rollen-Definitionen. Zudem lassen sich Zugriffe und Berechtigungen jederzeit nachverfolgen und sicher überprüfen.
Firefighter und Super-User
Firefighter: Anwender mit besonderen Berechtigungen, bei SAP heißen sie Super-User, können mit dieser Software Notfallmaßnahmen außerhalb ihrer Rolle in einer kontrollierten und für eine Überprüfung transparenten Umgebung durchführen. Mit Hilfe der Anwendung kann Benutzern eine temporäre ID für einen fest definierten System-Zugriff zugeordnet werden. Dabei werden sämtliche Aktivitäten beobachtet, überwacht sowie protokolliert. Auch haben Sicherheitsbeauftragte jederzeit die vollständige Kontrolle über die Verwendung der temporären IDs.
Der Access Enforcer schließlich vereinfacht die Erteilung von Zugriffsrechten, indem er automatisch jede Anfrage eines Anwenders, der sich anmeldet, um Informationen über den Antragsteller aus einem LDAP-Verzeichnis oder einer HR-Datenbank ergänzt. Zudem verhindert die Anwendung durch Echtzeit-Analysen Verstöße und Konflikte, wenn Anwender auf Produktiv-Systeme zugreifen wollen.
Zuständigkeiten sauber trennen
Des Weiteren werden im GRC Repository sämtliche im Unternehmen vorhandenen GRC-Informationen zentral zusammengeführt, dokumentiert, gespeichert und verwaltet. Gesetzliche Vorschriften wie der Sarbanes-Oxley Act schreiben eine ordnungsgemäße Trennung von Zuständigkeiten vor. Die GRC-Lösungen von SAP beinhalten Funktionen für die Zugriffssteuerung, die in das Repository integriert sind.
Sämtliche Richtlinien, Initiativen und Vorschriften eines Unternehmens, die eine solche Funktionstrennung erforderlich machen oder alternativ die entsprechende Definition und Zuweisung von geeigneten Kontroll-Mechanismen vorsehen, werden automatisch im Repository dokumentiert. Zugleich sind sie mit den entsprechenden Zugriffskontrollen für eine automatische Überwachung verknüpft.
Die in der Software gespeicherten Datensätze umfassen Regelwerke, Vorschriften, branchenspezifische Auflagen, Unternehmensrichtlinien und -vorgehensweisen, Risiko- und Kontroll-Bibliotheken sowie Nachweise über die Einhaltung von Richtlinien. Die Kontroll-Mechanismen lassen sich zusätzlich mit unterschiedlichen Sicherheitskonzepten und Regelwerken wie COSO (Committee of Sponsoring Organizations) und COBIT (Control Objectives for Information and Related Technologies) verknüpfen, aber auch mit Auflagen wie dem Sarbanes-Oxley Act.
Rollenbasiertes Risiko-Management
In der Praxis ist Risiko-Management häufig nur ein reaktiver Prozess, der unkoordiniert oder nur abteilungsbezogen durchgeführt wird. Mit dem Risk Management können Unternehmen Leitlinien und Kontroll-Mechanismen dagegen zusammenzuführen, denn die Anwendung überwacht das gesamte Risiko-Portfolio und liefert die hierfür erforderlichen Kennzahlen. Werden unternehmensspezifisch gesetzte Grenzwerte überschritten, wird der zuständige Entscheider sofort benachrichtigt.
Über rollenbasierte Dashboards sowie Reports können die Risiken dann im Hinblick auf Risikograd und Risikowahrscheinlichkeit analysiert werden. Zugleich erhalten Führungskräfte auf diese Weise die auf ihre Bedürfnisse zugeschnittenen Informationen und Risiko-Kennzahlen.
Gesetzliche Vorschriften einhalten, auch beim Außenhandel
Mit der Anwendung "Process Control" lässt sich die Einhaltung gesetzlicher Vorschriften automatisiert kontrollieren. Auf diese Weise können Unternehmen kritische Abläufe und Transaktionen in Bereichen wie Beschaffung, Auftragsabwicklung oder Rechnungslegung überwachen. Zugleich ermöglicht die Anwendung den Aufbau einer an COBIT ausgerichteten IT-Governance. Die Software überwacht auch die Einhaltung von Sektion 404 des Sarbanes-Oxley Acts.
Die Außenhandelslösung "Global Trade Services" unterstützt mit ihren drei Komponenten Compliance Management, Customs Management und Risk Management alle Bereiche des Außenhandels. Das Compliance Management überwacht sämtliche Vorgänge der Warenein- und Ausfuhr und sorgt dafür, dass die gesetzlichen Vorschriften lückenlos eingehalten werden. Dies gilt im Besonderen für die Boykott- und Sanktionslistenprüfung.
Das Customs Management wiederum erlaubt Unternehmen vereinfachte Prozesse bei der elektronischen Zollabwicklung. So deckt die Software beispielsweise Prozesse im Rahmen des elektronischen Zollverfahrens "ATLAS Ausfuhr" zum Export von Waren und Gütern aus der Europäischen Union ab. Das System unterstützt zudem das europäische Versandverfahren NCTS, das US-amerikanische AES sowie das australische Zollabwicklungssystem Integrated Cargo System (ICS) und ist für zahlreiche europäische Zollabwicklungssysteme zertifiziert.
Risk Management unterstützt die Exporteure dabei, alle rechtlichen Voraussetzungen für diese Zollpräferenz zu erfüllen und ihre Ware als präferenzberechtigt auszuweisen. Das beinhaltet beispielsweise Lieferantenerklärungen, die einheitlich beschafft, verwaltet, kontrolliert und im Hinblick auf die Einhaltung der Präferenz-Regeln ausgewertet werden.
Der Umwelt zuliebe
Mithilfe der EH&S-Lösung in Verbindung mit Software von Technidata sollen Hersteller und Lieferanten Prozesse und Vorschriften in den Bereichen Umwelt-, Gesundheits- und Arbeitsschutz besser einhalten können. Dazu gehören unter anderem die europäische Chemiekaliengesetzgebung REACH, die RoHS-Richtlinie (Restriction of Hazardous Substances), welche die Verwendung gefährlicher Substanzen wie Blei in Elektrogeräten einschränkt, sowie Arbeitsschutzgesetze oder das Treibhausgas-Emissionshandelsgesetz.