GRC-Monitor – Eine praktische Überwachungslösung für ERP-Systeme wie SAP & Co.

PrintMailRate-it

​Die ERP- bzw. SAP-Instanzen im eigenen Unternehmen und, falls vorhanden in Tochterunternehmen, sind und werden zunehmend komplexer. Viele Einstellungen beeinflussen die Ordnungsmäßigkeit, Sicherheit und Stabilität der Systeme. In zunehmenden Maße ist die Kenntnis über dauerhafte, richtige und somit wirksame Einstellungen elementar, um zeitnah – idealer Weise sofort – Gegenmaßnahmen einzuleiten. Das ist eine echte Herausforderung in dieser Komplexität, gerade in Zeiten angespannter Ressourcen. Daher sind wir der Meinung, dass der GRC-Monitor als Leistung von Rödl & Partner einen deutlichen Mehrwert für die Unternehmensleitung liefert.

 

Die Herausforderung und der Nutzen eines GRC-Monitors

Im Betrieb eines SAP-Systems oder weiteren ERP-Systemen fallen eine Vielzahl an Aufgaben an. Laufend sind Veränderungen umzusetzen. Entweder, weil z. B. der Hersteller neue Releases oder Fehlerbeseitigungen herausgibt, oder das eigene Unternehmen Anpassungen an die Umsetzungen vornimmt.

 

In der Regel ist es dem Management nicht möglich, sich einen zeitnahen und dauernden Überblick darüber zu verschaffen, ob wichtige Systemeinstellungen für Ordnungsmäßigkeit und Sicherheit laufend so „in place” sind. Ein System ist heute von Vertrauen in die handelnden Personen und von Rückschau geprägt. Rückschau in dem Sinne, dass die Einstellungen und Kontrollen im Zuge der Aktivitäten einer Revision oder im Zuge einer Jahresabschlussprüfung rückwirkend festgestellt werden. Und zwar in der Gestalt, dass „keine Hinweise erkennbar waren, welche die Ordnungsmäßigkeit und Sicherheit” in Frage stellen. Von einer zeitnahen und laufenden Überwachung kann nicht die Rede sein.

 

Ein laufender GRC-Monitor liefert somit den Nutzen einer ständigen Sicherheit bei vertretbarem Aufwand! Abweichungen werden in Echtzeit erkannt. Ein deutlich aufwendigeres Rekonstruieren und Nachdokumentieren zum späteren Zeitpunkt entfällt.

 

Und: Ergänzend zu diesem laufenden Monitoring bietet es sich an, die Ergebnisse sowie die Wirksamkeit des Monitorings zu bescheinigen. Wir sehen hier einen deutlichen Vorteil in Richtung Revision, Aufsicht und Abschlussprüfer.

 

Das technische Modell GRC-Monitor

 

Grundgedanke ist, dass eine kleine Anzahl an wesentlichen Kerneinstellungen laufend (in einer kurzen Frequenz) gecheckt werden. Der Check wird durch einen in der technischen Umgebung des Mandanten installierten „Agenten” vorgenommen. Der Inhalt der Checks ist durch einen Basis-Umfang in Bezug auf wichtige Systemeinstellungen geprägt und kann durch unternehmensindividuelle Checks erweitert werden.

 

Basissatz an Echtzeit-Checks (ein Auszug):

  • Systemänderbarkeit in der Systemumgebung (Entwicklungs-, Test-, Qualitätssicherungs- und Produktivumgebung)
  • Änderungen an Administratorrechten
  • Häufung an Bankverbindungsänderungen
  • Etc.

 

 

Die Methodik hinter dem GRC-Monitor

 

Zielsetzung ist es zunächst die Grundform einer Zusammenarbeit zu skizzieren. Alternativ stehen zur Auswahl:

 

  1. Eigenständiger und abschließender Betrieb des GRC-Monitors in der technischen Umgebung des Mandanten (Make)
  2. Betrieb des GRC-Monitors als reine Outsourcing-Lösung (neudeutsch: Function as a Service FaaS) und Monitoring über Rödl & Partner (or buy)

 

Im Umfeld von zunehmender Ressourcenenge liegt der Vorteil sicherlich bei Modell 2. In beiden Modellen wird zunächst der Einsatzbereich des Agenten festgelegt. Das heißt, aus welcher technischen Umgebung sollen welche ERP-/SAP-Instanzen in den laufenden Check eingebunden werden? Nach diesem Schritt werden die technischen Voraussetzungen geschaffen (Check der Installationsvoraussetzungen für den Agenten sowie die Kommunikationsfähigkeit zu Rödl & Partner) und die inhaltlichen Checks bestimmt bzw. erweitert.

 

Spätestens zu diesem Zeitpunkt muss klar sein, wer im Unternehmen die Nachrichten aus dem System bzw. von Rödl & Partner erhält, wenn Auffälligkeiten erkannt wurden und wie damit umzugehen ist. Ebenso ist zu klären, wer das monatliche Berichtwesen über die Wirksamkeit der Einstellungen erhält.

Gerne stehen wir Ihnen für Fragen zur Verfügung und geben Ihnen einen noch detaillierteren Einblick in unseren GRC-Monitor. Schreiben Sie uns an!

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00
+49 221 9499 099 00

Anfrage senden

Contact Person Picture

Torsten Enk

IT-Auditor, Leitung Digital GRC

Partner

+49 30 810 795 85

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu