Priska Altorfer ist Managing Partner bei der wikima4 AG. Das Unternehmen unterstützt seine Kunden dabei, Risiken, Sicherheit und Compliance bei der Umsetzung und dem Einsatz von ERP-Systemen im Griff zu haben. Während viele Unternehmen gerade bei der Implementierung von oder der Migration zu SAP S/4Hana sind, gewinnt gerade das Thema Cybersecurity besonders an Bedeutung. Immerhin sind die Daten der Systeme ein besonders wichtiges Asset für jedes Unternehmen.
Persönlich treffen Sie die GRC und ERP Profis von wikima4 beim größten IT-Treffpunkt Österreichs, dem Confare #CIOSUMMIT oder in Zürich beim Confare Swiss #CIOSUMMIT! Für IT-Manager und CIOs ist die Teilnahme nicht mit Kosten verbunden.
Cybersecurity wird zu einer der Schlüsselfragen unserer Zeit – was sind in Bezug auf ERP dabei die wichtigsten Herausforderungen?
Cyber Security verändert nicht die Herausforderung an sich – es schärft das Bewusstsein auf das bis anhin beim Management so unbeliebten Thema Sicherheit. Es geht im ERP Umfeld immer um das heute wichtigste Asset: digitale Daten, sie sind das Gold jeder Organisation! Es geht darum, dieses Gold vor Verlust zu schützen und es gleichzeitig im gesamten Ecosystem sinnvoll zum ungehinderten Arbeiten zur Verfügung zu stellen – auch unter ausserordentlichen Bedingungen wie in den letzten zwei Jahren.
Dieses Daten-Gold fliesst durch das Unternehmen und das Wichtigste dabei ist, zu verstehen, wie dieses Gold durch das Unternehmen fliesst – also wie die Prozesse entlang der Wertschöpfungskette verlaufen – und wer wann warum darauf zugreift. Aus dieser Analyse heraus ist es möglich, die applikatorische Sicherheit in ERP nach allen Regeln der internen und externen Anforderung aufzustellen, resp. anzupassen.
Regulierungen, Sicherheit, Datenschutz – die Anforderungen an ERP-Systeme sind sehr gross. Wie geht man erfolgreich damit um? Welche Fehler muss man vermeiden?
Wichtig ist die Ganzheitlichkeit der Betrachtungsweise. Erst die kombinierte Sicht von Daten und Prozessen im ERP 
ermöglicht, diesen unterschiedlichen Anforderungen gerecht zu werden. Was heisst das konkret? Wir propagieren ein mehrschichtiges IT-Sicherheitskonzept, zu dem eine Ausarbeitung oder Revidierung des „Internen Kontrollsystems“, kurz „IKS“ gehört. In der IT bedeutet das, den Blick auf Applikationen, Verantwortungsbereiche, Datenzugriffe und die damit zusammenhängende Prozesse zu fokussieren. Damit verbunden ist dann auch der Einbezug von Regulatorien, um die Compliance im Unternehmen sicherzustellen.
Die Vernetzung in der Supply Chain, mit Lieferanten, Kunden und Partnern ist immer intensiver. Welche Fragen muss man sich in Bezug auf GRC dabei stellen? Wie kann man damit effizient umgehen?
Die Vernetzung über Unternehmensgrenzen hinweg entlang der Wertschöpfungskette entscheidet über den Erfolg des gesamten Unternehmens. Wir bei wikima4 haben dafür den Begriff „Value Chain Control System“ („VCCS“) eingeführt. Es geht darum, alle Parteien in das Sicherheitskonzept einzubeziehen, um die Sicherheit und Compliance zu gewährleisten. Dabei sind diese Überlegungen hilfreich:
- Datenspeicherung: in welchen IT-Systemen und -Anwendungen sind die Daten gespeichert?
- Datenzugriffe: Wer greift auf welche Daten zu? Gibt es Ausnahmemöglichkeiten und wie werden die Datenzugriffe protokolliert?
- Workflows: Wer hat welche Aufgaben, welche Berechtigungen hat diese Person und wie sieht dieser Prozess aus? Ist das 4-Augen Prinzip gewährleistet?
- Monitoring und Reporting: Wie kontrollieren wir die Sicherheitsmassnahmen? Wie können wir potenzielle Sicherheitslücken erkennen und verhindern?
Nicht nur für die Effizienz, sondern auch für die Effektivität ist es wichtig, Kontrollen und Reporting soweit wie möglich zu automatisieren und sichtbar zu machen. Diese Kontrollen sind dann auch für das interne wie externe Audit eine aussagekräftige Grundlage.
Die SAP 4/Hana Transformation steht in zahlreichen Unternehmen an. Was ist bei der Migration in Bezug auf GRC besonders zu beachten?
Mit SAP S/4 HANA kommt eine neue Generation von ERP Systemen und der Business Suite ins Haus, die eine Überprüfung und Anpassung der Berechtigungskonzepte und der technischen Rollen erfordert.
Die Frage bleibt auch bei der SAP 4/HANA Transformation: Wer überprüft kontinuierlich die Einhaltung des Internen Kontrollsystems «IKS»? Spätestens mit der Umstellung ist es höchste Zeit, diese Ressourcen bereit zu stellen, bevor ein gefährliches Vakuum entsteht!
Konkret: Es geht darum, die bestehenden Konzepte und technische Rollen auf die Transformations-Roadmap zu SAP S/4 HANA zu bringen. Dabei sind 2 Fragestellungen entscheidend:
- Impact Analyse: Welche Auswirkungen hat SAP S/4 HANA auf bestehende Berechtigungskonzepte? Welche Berechtigungen verändern sich, welche bleiben gleich bei der Transformation auf SAP S/4 HANA?
- Rollen Adaption für SAP S/4 HANA: Welche Rollen sind für den Umstieg zu adaptieren? Können wir das Rollenkonzept verschlanken und damit vereinfachen?
Die Coronakrise hat es uns vorgeführt – Risiken können schnell zu realen Situationen werden, Veränderungen schneller passieren, als wir es erwarten würden. Was ist in Bezug auf ERP-Systeme für eine Resilienz ausschlaggebend?
Wir sprechen gerne von resilienten ERP-System, auch wenn das sehr gewagt klingen mag. Ob und wie weit das ERP System im Unternehmen resilient ist, haben diese letzten 2 Jahre auf unterschiedlicher Ebene bewiesen. Doch wie können Schwachstellen erkannt werden? Wir sehen auch hier 3 wichtige Aufgaben – die zugleich auch wieder den Grundstein für das Audit legen: Schaffen von Transparenz der Systemnutzung, Kontrollieren und analysieren von Vorgaben und indirekten/direkten Prozessen – und, ganz wichtig – die Umsetzung und Dokumentation.
Mit welchen Anliegen beschäftigen Eure Kunden gerade in dem Zusammenhang?
Ein zentraler Punkt ist die sichere Automatisierung von Standardprozessen wie die Vergabe von Berechtigungen, potenziellen Risiken zu managen sowie das schon mehrfach erwähnte Monitoring. Wie setzen wir diese Aufgaben um, um das Gold im Value Chain Control System des Unternehmens als nachhaltige Ressource zur Verfügung zu stellen?
Zum Weiterlesen:
Daten, das Gold Ihres Unternehmens: Wissen Sie, was Ihre Geschäftspartner damit tun?
Mehrschichtiges IT Sicherheitskonzept: Notwendigkeit oder Luxus?