skip to Main Content

GRC RulesetsGovernance, Risiko und Compliance (GRC) – Die Verkehrsregeln

Viele Aspekte unseres Lebens sind Regeln unterworfen. Verkehrsregeln verringern das Risiko für Autofahrer und Fußgänger und tragen dazu bei, die Versicherungsbeiträge zu senken.  Hausbesitzerverbände haben Regeln, die festlegen, welche Farben Sie auf der Außenseite Ihres Hauses verwenden dürfen oder sogar vorschreiben, dass im Obergeschoss Wohneinheiten mit Teppichboden ausgestattet sein müssen, um Lärm zu reduzieren. Auch wenn diese Regeln mit den besten Absichten entwickelt werden, können sie manchmal im Verhältnis zum tatsächlichen Risiko oder zu den Unannehmlichkeiten übertrieben werden und sind eher eine Belastung als ein Instrument zur Gewährleistung der Sicherheit oder Konformität.

Dasselbe gilt auch für das SAP-Umfeld. Governance, Risiko und Compliance (GRC)-Regeln werden eingeführt, um sicherzustellen, dass Unternehmen die Vorschriften einhalten, wertvolle Daten schützen und das Risiko von Diebstahl und Betrug verringern. Die Geschäftsfunktionen und -prozesse werden sorgfältig überprüft, um den Umfang und den Schweregrad des Risikos zu ermitteln. Regelwerke werden auf der Basis von Risiko- und Schweregradkombinationen entwickelt, sodass Verstöße gegen die Funktionstrennung (SoD) erkannt und behoben werden können.

Wenn etwa ein Prozess zwei Funktionen enthält, z.B. einen Mitarbeiter zu haben, der eine Lieferantenstammliste anlegen und pflegen sowie Bestellungen erteilen oder Zahlungen ausführen kann, ist dies ein klarer Verstoß gegen die Funktionstrennung (SoD). Diese beiden Funktionen müssen voneinander getrennt werden, und jede mögliche Kombination dieser Rollen sollte in einem Regel-Set zusammengefasst werden, sodass der Versuch, einer einzelnen Person Zugriff und Berechtigungen für beide Funktionen zu gewähren, einen SoD-Verletzungsalarm auslöst.

Aus diesem Grund sind GRC-Regeln das Herzstück einer effektiven Zugriffssteuerung und Risikoanalyse.  Regeln unterstützen genaue und aussagekräftige Berichte und helfen, die Kosten für Compliance und Risikomanagement zu senken. Sie sorgen dafür, dass es keine Prüfungsüberraschungen gibt. Da GRC-Regeln ein so wichtiger Teil des Schutzes der Organisation sind, müssen sie klar widerspiegeln, worum es bei den Funktionen und Prozessen geht, indem sie die richtigen Risiken überwachen und sie an die entsprechenden Schweregrade anpassen.

Dazu gehören sowohl interne Prozesse als auch externe regulatorische Anforderungen wie SOX und HIPAA. Regelwerke und Risikoidentifikation in SAP GRC müssen den Anforderungen der internen und externen Auditoren genügen. Das sieht auf den ersten Blick einfach aus, doch diese wichtige Funktion wird im heutigen digitalen Umfeld immer anspruchsvoller.

GRC Regeln – Es ist kompliziert

Die heutigen Unternehmen befinden sich in einem ständigen Wandel, um mit der sich ständig verändernden Landschaft der globalen digitalen Umgebung Schritt zu halten. Auch das regulatorische Umfeld verändert sich, um sich an die digitale Wirtschaft anzupassen, wie die soeben von der Europäischen Union eingeführte Allgemeine Datenschutzgrundverordnung (DSGVO) zeigt.

Dieses dynamische Umfeld setzt die IT-Mitarbeiter unter Druck, die GRC-Regelwerke an organisatorische und regulatorische Änderungen anzupassen. Dies kann schnell zu einer Belastung werden und dazu führen, dass manche Unternehmensfunktionen entweder zu stark eingeschränkt werden oder andere nicht ausreichend belastet werden.

Auch ohne ständige Änderungen kann die Entwicklung von GRC-Regeln ein komplizierter Prozess sein. Obwohl SAP Standard-Regeln für Funktionen wie Beschaffung und Einkauf bereitstellt, erfüllen diese möglicherweise nicht die speziellen Anforderungen eines Unternehmens. Das bedeutet, dass die Regeln auf die Geschäftsfunktionen und -prozesse zugeschnitten werden müssen, um die Geschäftsabläufe genau widerzuspiegeln.

Das Erstellen und Anpassen von GRC-Regeln, die die Auswirkungen von Risiken und deren Wahrscheinlichkeit auf jeden Geschäftsprozess genau abstimmen, kann manchmal zu einer übermäßigen Anzahl von Regeln für Funktionen und Prozesse mit geringem Risiko führen. Dies schafft zahlreiche „Störungen“, weil es eine hohe Anzahl von Berichten über Risiken erzeugt, die keine wesentlichen Auswirkungen auf das Geschäft haben.

Diese Störungen können SAP-Anwender, IT-Mitarbeiter und Auditoren belasten, die Seiten mit Berichten durchforsten müssen, um Risiken mit geringen Auswirkungen zu finden. Die Komplexität nimmt zu, da mögliche Kombinationen von Transaktionen und Berechtigungen und neue benutzerdefinierte Transaktionen als Reaktion auf Organisations- und und Prozessveränderungen in Verbindung mit wechselnden Vorschriften zunehmen.

Nicht-SAP-Funktionen tragen ebenso zur Komplexität bei wie die Aufnahme neuer Anwendungen wie SAP S/4 Fiori. Während SAP Fiori ein leistungsfähiger Ersatz für die grafische Benutzeroberfläche (GUI) von SAP ist, ist eine sorgfältige Integration in die SoD-Aktivitäten unerlässlich, um einen ordnungsgemäßen GRC-Betrieb zu gewährleisten und die Transparenz im gesamten Unternehmen zu gewährleisten.

ControlPanelGRC – Vereinfachung des Regelprozesses

Der Symmetry ControlPanelGRC Risk Analyzer vereinfacht den GRC-Regelsatzprozess erheblich und erleichtert die Integration in SAP Fiori. Risk Analyzer Rulebooks enthält ein Kern-Set der am häufigsten verwendeten sensiblen Autorisierungs- und SoD-Regeln, die allen Branchen gemeinsam sind. Die Regelbücher sind erweiterbar und können leicht an die Anforderungen von Geschäftsprozessen oder Auditoren angepasst werden. So wird die Einrichtung und Pflege von Regelwerken entscheidend vereinfacht. Vordefinierte Regelwerke beinhalten auch Prüfungen auf Zugriffsrisiken im Zusammenhang mit SOX, HIPAA, DSGVO und anderen regulatorischen Anforderungen. Risk Analyzer definiert Risiken als widersprüchliche Funktionen und liefert Details und leicht verständliche Beschreibungen.

Risk Analyzer bietet zudem eine hohe Granularität zur Definition von Risiken nach Autorisierungs- und Transaktionsebene. Er ermöglicht die automatische Erkennung von benutzerdefinierten Transaktionen und integriert SAP Fiori-Anwendungen unter Verwendung eines SAP S/4HANA SoD-Regel-Sets. Risk Analyzer erkennt und erfasst automatisch die Nutzung von SAP Fiori-Anwendungen und leitet SoD-Analysedaten zur Überprüfung oder Entfernung an die entsprechenden Fachanwender zurück.

Symmetry – Der Unterschied: mehr und weiter

Neben den leistungsstarken Funktionen und Fähigkeiten von ControlPanelGRC bietet Symmetry eine schnelle Bereitstellung mit beispiellosem Support und Managed Services. Unser branchenführender Net Promoter Score und 22 Jahre Erfahrung im Management von SAP-Systemen bedeutet, dass Ihre Implementierung von ControlPanelGRC Access Control Suite mit Risk Analyzer nicht nur erfolgreich sein wird, sondern dass Ihre Dauer bis zur Wertschöpfung erheblich verkürzt wird.

GRC-Regeln sind für die Gewährleistung der Datensicherheit, des Risikomanagements und der Einhaltung gesetzlicher Vorschriften im Unternehmen unerlässlich. Sie können komplex sein, müssen aber das IT-Personal nicht belasten. ControlPanelGRC gibt Unternehmen Sicherheit, indem es GRC-Funktionen automatisiert, SoD-Konflikte reduziert und die Prüfungsbereitschaft sicherstellt, damit sie den Herausforderungen der sich schnell verändernden digitalen Wirtschaft erfolgreich begegnen können.

Sprechen Sie mit Symmetry, um mehr darüber zu erfahren, wie ControlPanelGRC Ihnen helfen kann, Ihr GRC-Regel-Set sowohl einfach als auch strategisch zu gestalten.