Bei den SAP-Lösungen für GRC handelt es sich um hochintegrierte Softwareanwendungen, mit deren Hilfe sich Risiken in der IT-Infrastruktur, auf Geschäftsprozessebene sowie für die Unternehmenssteuerung abschätzen und abwehren lassen. Das Portfolio vereinigt dutzende bewährter Produkte in einer durchgängigen Infrastruktur. Es adressiert öffentliche Einrichtungen sowie Unternehmen verschiedenster Branchen, etwa aus der chemischen und petrochemischen Industrie, aus dem Versorgungs- oder dem Finanzsektor. Die Lösungen werden um die drei Anwendungen SAP GRC Repository, SAP GRC Process Control und SAP GRC Risk Management erweitert, um die Prozess- und Kosteneffizienz in Unternehmen zu optimieren. Der integrierte, ganzheitliche GRC-Ansatz sorgt für größere Zuverlässigkeit und mehr Sicherheit.
"Ein effektives Governance, Risk und Compliance Management erfordert eine Kombination mehrerer Anwendungen, die als Plattform unterschiedlichste Initiativen unterstützen", erläutert Kathleen Wilhide, Research Director bei IDC für Complianance- und BPM-Lösungen (Business Performance Management). "Durch die Verknüpfung bewährter Anwendungen mit dem Produktportfolio von Virsa Systems, die jüngst von SAP übernommen wurden, können SAP-Kunden nun Funktionen zur nachhaltigen Unternehmenssteuerung, zum Risiko-Management und zur Einhaltung gesetzlicher Auflagen flexibel einsetzen und entsprechende Prozesse aufsetzen."
Basis für unternehmensweite GRC-Lösungen
Die heute angekündigten Anwendungen basieren auf einem serviceorientierten Ansatz, ergänzen das bestehende GRC-Angebot von SAP und können ein solides Fundament für GRC-Prozesse in Unternehmen jeder Größe bilden. Durch die Integration dieser SAP-Lösungen für GRC entsteht eine durchgängige Compliance-Infrastruktur. Auf diesem Fundament werden Enterprise Services eingesetzt, die zur Erfüllung verschiedenster branchenspezifischer Auflagen genutzt werden. Jede dieser drei neuen GRC-Komponenten wird von SAP kontinuierlich weiter entwickelt:
- SAP GRC Repository speichert alle GRC-Informationen in einem zentralen System. Dazu gehören interne Unternehmensrichtlinien, Aufsichtsratsprotokolle, Verordnungen, interne Bestimmungen zur Einhaltung von Auflagen und deren Überwachung sowie zentrale Geschäftsprozesse. Ebenso werden die unterschiedlichen "Risk&Control"-Bibliotheken gespeichert und mit den relevanten Regelwerken und internationalen Verordnungen verbunden. Die Zentralisierung aller relevanten Informationen vereinfacht das Risikomanagement, sorgt für größere Transparenz und senkt die Kosten von GRC-Initiativen.
- SAP GRC Process Control verfolgt einen risikobasierten Ansatz: Dabei werden relevante Kontrollmechanismen mit zentralen Geschäftsrisiken und -prozessen so verbunden, dass Mitarbeiter ideal unterstützt und Abläufe optimiert werden. Die Process-Control-Anwendung fasst mögliche Prozessrisiken innerhalb des Unternehmens automatisiert zusammen. Sie liefert Nachweise über die Einhaltung interner Richtlinien, deckt etwaige Verstöße auf und weist auf Handlungsbedarf hin. Die Software kann automatisierte Überwachungsmechanismen für SAP- wie auch für Fremdlösungen integrieren.
- SAP GRC Risk Management unterstützt Kunden bei der Einrichtung bereichsübergreifender Risikomanagement-Prozesse. Dazu werden zentrale Geschäftsrisiken auf unterschiedlichen Ebenen des Unternehmens analysiert und über organisatorische Einheiten, Prozesse und IT-Systeme hinweg integriert. Mit speziell entwickelten Prozeduren werden die Verantwortlichen unterstützt, finanzielle, rechtliche und operative Risiken zu identifizieren, Handlungsoptionen im Hinblick auf solche Risiken zu beurteilen und angemessen darauf zu reagieren.
SAP GRC Repository und SAP GRC Process Control werden Ende November 2006 verfügbar sein. SAP GRC Risk Management wird im Dezember dieses Jahres ausgeliefert. Alle drei Produkte lassen sich einzeln erwerben.
"Bei uns spielen Instrumente zur Prozesskontrolle eine wichtige Rolle. Daher hat Cephalon bereits eine frühe Version von SAP GRC Process Control implementiert", betont Bryan Reasons, Vice President beim US-Biotechnologiekonzern Cephalon und dort zuständig für das Risikomanagement. "Mit der Vollversion erwarten wir eine ausgewogene, kostengünstige Kombination aus kontinuierlichen Überwachungsprozessen und automatisch initiierten Kontrollmechanismen. So können wir alle für uns relevanten finanztechnischen und rechtlichen Auflagen erfüllen."
Ganzheitlicher Ansatz für GRC
Die neuen GRC-Anwendungen bauen auf der umfassenden Erfahrung und dem bestehenden GRC-Lösungsportfolio von SAP für die unterschiedlichen Branchen auf. Alle Anwendungen werden in einer durchgängigen GRC-Infrastruktur integriert. Damit ist SAP heute der einzige Anbieter, der Lösungen für so unterschiedliche GRC-Aspekte wie Terrorismus- und Geldwäsche-Bekämpfung, Einhaltung der Richtlinien für Basel II und Solvency II, Datenschutz, Sarbanes-Oxley und viele weitere liefern kann.
Der GRC-Ansatz von SAP ermöglicht Unternehmen und öffentlichen Verwaltungen den Aufbau einer durchgängigen Infrastruktur, um GRC-relevante Informationen und Prozesse zentral zu steuern. So lassen sich an jedem Ort eines Unternehmens und über sämtliche Organisationsebenen hinweg mögliche Risiken ermitteln und gezielt vermeiden.
"Xerox suchte als Unternehmen mit US-amerikanischer Zentrale nach einer effizienten Lösung, um auch bei Xerox Europe sicherzustellen, dass sämtliche Auflagen der Sarbanes-Oxley-Gesetzgebung über die gesamte SAP-Landschaft hinweg eingehalten werden", erläutert Ben Christensen, Service Delivery Manager bei Xerox Europe. "Diese Überwachung schließt Nutzer, Rollen und Prozesse ein - wo immer Zugriffe gewährt, Autorisierungen überprüft und gegebenenfalls korrigiert werden müssen. Wir haben uns für drei GRC-Lösungen von SAP entschieden - den Virsa Compliance Calibrator, Access Enforcer und Firefighter -, um Echtzeit-Compliance zu erhalten. Dabei kommen vorbeugende, investigative sowie schadensreduzierende Kontrollen zum Einsatz. Auf diese Weise können wir Rollenkonflikte vermeiden, Sicherheitslücken schließen und Risiken beseitigen."
Die GRC-Lösungen von SAP sind so ausgelegt, dass Geschäfts- und IT-Prozesse auf sämtlichen Ebenen eines Unternehmens automatisiert überwacht werden können. Dieser integrierte Ansatz bietet sämtlichen Verantwortlichen - von der Vorstandsebene bis zum Chief Compliance oder Chief Risk Officer - ein aussagekräftiges Abbild möglicher Risiken im Unternehmen, identifiziert besonders gefährliche Ereignisse und priorisiert korrektive bzw. vorbeugende Maßnahmen.
"Zur Sicherung von Markenwert und Shareholder Value müssen Verantwortliche in Unternehmen heute ganz besonders auf Transparenz und Verlässlichkeit achten", betont Doug Merrit, Executive Vice President und General Manager für Suite Optimization bei SAP. "Um ihre strategischen Zielsetzungen umzusetzen, benötigen sie Lösungen für einen vollständigen Einblick in die Leistungsfähigkeit ihres Unternehmens, für eine zuverlässige Voraussage der Unternehmensleistung und die Nachhaltigkeit von Prozessen. Mit den SAP-Lösungen lässt sich eine Fragmentierung von Managementprozessen, der verschiedenen Geschäftsbereiche sowie der IT-Systeme verhindern. Mit den GRC-Anwendungen können Business-Verantwortliche vorhandene Ressourcen gezielter für Innovation nutzen und ihre Wachstumsstrategien unterstützen."
Kontinuierliche Weiterentwicklung
Am 12. Mai 2006 schloss SAP die Übernahme von Virsa Systems ab und fasste das bestehende Portfolio horizontaler und branchenspezifischer Compliance-Lösungen in dem neu gegründeten GRC-Geschäftsbereich zusammen (2). Gegenwärtig setzen über 1.000 Unternehmen weltweit GRC-Lösungen von SAP ein. Der neue Geschäftsbereich soll Kunden dabei unterstützen, GRC zu einem festen Bestandteil ihrer Unternehmens- und IT-Strategie zu machen. Anwendungen wie SAP Global Trade Services unterstützen Unternehmen verschiedenster Branchen dabei, internationale Handelsbestimmungen zu erfüllen. Weitere gesetzliche Auflagen betreffen einzelne Branchen wie etwa Emissionsbestimmungen für die Chemieindustrie und Energiewirtschaft oder Basel II für den Bankenbereich.
(1) vgl. hierzu die Pressemitteilung "Cisco and SAP Announce Industry-First Holistic Solution That Helps Customers Manage Compliance and Predict Risks" vom 6. September 2006
(2) vgl. hierzu die Pressemitteilung "Neuer SAP-Geschäftsbereich für Governance, Risk and Compliance Management unterstützt nachhaltige Unternehmensführung" vom 17. Mai 2006
Weitere Informationen zu SAP-Lösungen für GRC im Internet: www.sap.com/GRC