Governance von ERP-Applikationen
Governance von ERP-Applikationen ist aus zahlreichen Gründen zu einem wichtigen Thema für das Management geworden
Die großen ERP-Hersteller haben die Wichtigkeit des Themas Governance erkannt und erweitern ihre Produkt-Suiten um unterstützende Funktionalitäten
(11.03.08) - Governance von ERP-Applikationen ist aus zahlreichen Gründen zu einem wichtigen Thema für das Management geworden. In den letzten Jahren sich häufende Fälle von Missmanagement-Skandalen, Forderungen nach mehr Transparenz und Nachvollziehbarkeit der Geschäfts-Prozesse, wachsende Bedenken bezüglich Datenschutz und Sicherheit der Infrastruktur sowie die Notwendigkeit, rasch auf unerwartete Verfügbarkeits-Störungen reagieren zu können sind die Treiber für die Suche nach geeigneten Ansätzen und Tools.
Spricht man von Governance, dann gehören Regulatory Compliance und Risk Mitigation zwingend dazu: Governance steuert die strategischen Vorgaben, denen ein Unternehmen folgen möchte, Risikomanagement bewertet deren Kritikalität und mögliche Auswirkungen auf Geschäftstransaktionen und Compliance implementiert Internal Controls und stellt deren Einhaltung sicher.
Peter Weill und Jeanne Ross vom Center for Information Systems Research (CISR) der MIT Sloan School of Management in Boston haben (IT-) Governance definiert als eindeutigen Rahmen mit Entscheidungsrechten und Zuständigkeiten, die den unternehmensspezifisch "richtigen" Umgang mit der IT unterstützen. Die wichtigsten Faktoren, die ein Unternehmen bei der Planung und Implementierung seiner Governance-Anstrengungen beachten muss, lassen sich in die Bereiche Nachhaltigkeit, Risiko, Geschäftsprozesse, Zugriffe, Globalisierung und Umwelt gliedern. Für diese Bereiche müssen ERP-Applikationen Ansätze und Tools bieten.
Ansätze
Nachhaltigkeit (Corporate Soustainability Management) bezeichnet das Messen, Erkennen, Bewerten und Veröffentlichen der Unternehmensleistung in sozialen, wirtschaftlichen und umweltbezogenen Aktivitäten gegenüber Lieferanten, Investoren, Kunden und Regulations-Behörden. Obwohl dazu international anerkannte Leitfäden bestehen, ist eine traditionell ausgeführte Berichterstattung zeit- und ressourcenintensiv. Prozesse werden manuell abgearbeitet, die Zusammenarbeit über Ländergrenzen ist schwierig, eine Überprüfung oder Wiederholung der Ergebnisse fast unmöglich. ERP-Applikationen können die Berichterstattung automatisieren, indem sie auf Interessensgruppen zu definierende Key Performance Indicators anbieten, aktuelle Informationen aus den Prozessen sammeln, bewerten und zu Berichten aggregieren.
Um Risiken (Corporate Risk Management) korrekt zu adressieren, ist die Implementierung von proaktiven, übergreifenden Prozessen nötig, die die Abwägung von Möglichkeiten mit finanziellen, rechtlichen und operationellen Risiken ermöglichen. Risiko-Identifizierung, Analyse, Maßnahmen, kontinuierliches Monitoring und Berichterstattung helfen, angemessen auf sich ändernde Umfeldbedingungen zu reagieren. Key Risk Indicators ermöglichen eine Portfolio-Betrachtung oder auch eine direkte Alarmierung in besonders dringenden Fällen.
Geschäftsprozesse (Business Process Management) benötigen zur Etablierung einer effektiven und effizienten Kontrollumgebung einen risikobasierten Ansatz. Vordefinierte Key-Control-Kataloge ermöglichen ein automatisiertes Monitoring über kritische System-Konfigurationen und Geschäftsvorfälle. Wenn dieses Monitoring über Dashboards oder Heat-Maps abgebildet wird, kann die Entscheidungsqualität bezüglich korrektiver Maßnahmen verbessert werden.
Die eindeutige Gewaltenteilung (Segregation of Duties) wird über Zugriffe (Identity Access Management) erreicht. Zugriffsregelungen über sensitive Transaktionen stellen die wirksamste Sicherung gegen Missbrauch und Fahrlässigkeit dar. Aufgrund der meist sehr zahlreichen Benutzer mit ihren nicht minder zahlreichen Rollen und Berechtigungen in den verschiedenen Prozessen ist eine enge Zusammenarbeit von Geschäftsprozess-Ownern und IT Experten nötig. Während die Business-Seite festlegen kann, welche Bereiche besonders kritisch bzw. wie voneinander getrennt werden können, wissen die IT-Experten, mit welchen technischen Objekten diese Anforderungen umgesetzt werden können.
Globalisierung (Global Trade Management) verlangt nach einer Automatisierung und Vereinfachung komplexer Import-Export-Prozesse. Dazu werden die zugrunde liegenden Regulatoren und Unternehmensvorgaben in die betroffenen Logistik-Prozesse eingebettet. Durch die zentrale Verwaltung wird sichergestellt, dass alle Handelsgesetze, Zolldeklarationen, Ausfallrisiken und internationalen Handelsabkommen erfüllt werden. Zusätzlich können offizielle Sanktionslisten und Embargo-Einschränkungen geprüft sowie Import- und Export-Lizenzen verwaltet werden.
Funktionalitäten zum Environment and Safety Management verbinden Geschäftsprozesse mit Umweltschutz-, Arbeitssicherheits- sowie Produkthaftungsgesetzen, etablieren in den Prozessen die gültigen Vorgaben und stellen so ein pro-aktives Handeln sicher. Im Bereich der Produktsicherheit werden Daten über Produkte, Anlagen, Lieferanten, Länder und Kunden gesammelt, analysiert, bewertet und damit erst die Möglichkeit gegeben, Konformitäts-Nachweise für Verordnungen betreffend Produkt-Entwicklung, Herstellung, Verteilung, Entsorgung oder Recycling zu erstellen
Tools
Damit die vorgestellten Ansätze von ERP-Systemen auch umgesetzt werden können, werden neue Komponenten benötigt. Führende ERP-Anbieter haben diese Komponenten bereits in ihre Suiten implementiert oder arbeiten noch mit Hochdruck daran:
>> Prozess- und technologiegestützte Funktionalitäten, zur Sicherstellung einer durchgängigen (end-to-end) Automatisierung der unternehmensübergreifenden Geschäftsabwicklung.
>> Stärkung von Unternehmens-Profil und -Marke (Brand) durch Analyse von Initiativen zur Verbesserung der wirtschaftlichen, sozialen und umweltbezogenen Bedingungen.
>> Risikobewertungen, die ein Abwägen von Geschäfts-Opportunitäten und finanziellen, rechtlichen, operationellen und marktbezogenen Auswirkungen ermöglichen.
>> Schutz vor Missbrauch durch Identifizieren und Reduzieren von Zugriffsrechten über die Systemgrenzen hinweg (Role Mining).
>> Zentrales Monitoring von Process Controls zur Verbesserung und Compliance-Sicherung von Geschäftstransaktionen.
>> Einbinden von regulativen und unternehmensinternen Vorgaben in Handelsprozesse zur Kostenreduktion und automatisierten Überwachung.
Als wichtigstes Tool zur Erreichung der hoch gesteckten Ziele werden von allen ERP-Herstellern Governance-Repositories entwickelt, die unternehmensübergreifend sowohl interne Vorgaben und externe Regulatoren als auch Best Practises der Handels- und Kooperationspartner beinhalten. Dabei werden bestehende Rahmenwerke wie Committee of Sponsoring Organisations (COSO), Control Objectives for Information and Related Technologies (COBIT) genauso berücksichtigt wie Empfehlungen von Wirtschaftsprüfungsgesellschaften oder Regelungen zur Produkthaftung und zum Umweltschutz.
Die Repositories verwalten zentral alle Compliance-Rahmenbedingungen, Risiko und Kontroll-Kataloge, Testpläne und Nachweise und stellen damit in einer umfassenden, unternehmensweiten Sicht alle relevanten Informationen zusammen, die das Analysieren von Risiken, das Treffen fundierter Entscheidungen und die Implementierung effizienter Kontrollen ermöglichen.
Fazit
Alle großen ERP-Hersteller haben die Wichtigkeit des Themas Governance erkannt und erweitern ihre Produkt-Suiten um unterstützende Funktionalitäten. Gemeinsames Ziel ist es, die Herausforderungen aus Strategie-Entwicklung, Regulatory Compliance und Risikomanagement über verteilte Systeme, Regionen und Funktionen hinweg sowie die Erhöhung der Prozessleistung handhabbar zu machen und in Wettbewerbsvorteile umzusetzen. Wenn Unternehmen diese neuen Möglichkeiten konsequent nutzen, wird dieses Ziel auch erreicht werden können. Voraussetzung dafür ist aber, dass nicht Governance an sich als zu erfüllendes Ziel verstanden wird, sondern als Enabler zur Optimierung von Geschäftsprozessen, indem Aufwand reduziert wird und Mitarbeitende sich wieder verstärkt auf das eigentliche Business fokussieren können. (wikima4: ra)
* Dipl. Kfm. Jörg Altmeier , Dipl.- Kfm. (Universität Saarbrücken), CISA, ist Managementberater im Umfeld Knowledge, Processes, Information Systems & Security; Managing Director der wikima4 in Zug; Lehrbeauftragter an diversen Hochschulen und Autor zahlreicher Fachbeiträge.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>