Eine Steigerung der Prüfungseffizienz bei ERP-Systemen spart Zeit und Ressourcen

Von:

5. Juni 2020

Als ich die Onapsis-Website durchstöberte, insbesondere die Blogbeiträge meiner Kollegen, stieß ich auf diesen großartigen Beitrag von Scott Winter. Scott, der in unserem Professional-Services-Team tätig ist, arbeitet eng mit unseren Kunden zusammen, um sicherzustellen, dass diese das Beste aus der Platform herausholen – unter anderem im Hinblick auf Audit- und Compliance-Funktionen. Auch wenn er sich etwas anders auf Audit und Compliance konzentriert als ich als ehemaliger Chief Audit Executive bei börsennotierten Unternehmen, hat mich das, was er geschrieben hat, dazu inspiriert, darüber nachzudenken, wie Onapsis ERP Security unseren Kunden hilft, wertvolle Zeit und Ressourcen in einem weiteren wichtigen Bereich zu sparen: den allgemeinen IT-Kontrollen (ITGCs).

Eine neue Sichtweise auf die Herausforderungen im Bereich ITGC

IT-Kontrollrahmen bilden die Grundlage für viele Compliance-Rahmenwerke, allen voran Sarbanes-Oxley (SOX). Als ich darüber nachdachte, wo meiner Meinung nach meine früheren Prüfungsteams (und Organisationen) viel Zeit ohne (oder mit nur geringem) Mehrwert verbracht haben, war es genau dieser Bereich.

Der Aufwand für manuelle Prüfungsanfragen

Sehen Sie, hinter den Kulissen der Durchführung dieser Audits verbergen sich Listen mit Dokumentenanforderungen. Diese Listen stammen von Ihren externen und internen Auditoren – einschließlich ausgelagerter oder gemeinsam genutzter Ressourcen – sowie von anderen Prüfern, die die Einhaltung bestimmter Vorschriften durch assess Unternehmen assess . Am Anfang sind es noch harmlose paar Dutzend Anfragen, doch dann eskaliert die Situation regelrecht und es kommen buchstäblich Hunderte von Folgeanfragen hinzu. Screenshots von Berichtslogik, Parametern, Workflows usw. Dies ist ein manueller Prozess, der Hunderte, wenn nicht Tausende von Stunden der Zeit Ihres Unternehmens in Anspruch nimmt, bis Sie die Informationen auswerten, Screenshots erstellen, deren Inhalt dokumentieren und sie in ein Dokumentenportal hochladen. Selbst eine automatisierte control, die früher einmal einfach ein Test war, der entweder funktionierte oder nicht, ist mit der Vielzahl der von mir erwähnten Schritte belastet. Die Zeit meines Audit-Teams war wertvoll. Die Zeit meines Unternehmens war wertvoll. Diese Arbeit war es größtenteils nicht. Ein notwendiges Übel, nehme ich an, aber eines, das für alle Beteiligten mühsam und ineffizient war.   

Und es wird nicht einfacher, wie Protiviti in seiner SOX-Compliance-Umfrage 2020 festgestellt hat:

  • 25 % der Kontrollen sind automatisiert (erfordern jedoch weiterhin manuelle Schritte zu ihrer Überprüfung)
  • 65 % rechnen mit einer Ausweitung des Aufgabenbereichs auf ITGC
  • 60 % rechnen mit einer Zunahme der Tests zur Aufgabentrennung (SoD)
  • 59 % rechnen mit einer Zunahme der Prüfungen von IT-Berichten
  • 56 % rechnen mit einem Anstieg der Gesamtzahl control

All dies nimmt weiter zu, ohne dass von Seiten der Aufsichtsbehörden Abhilfe in Sicht ist.

RPA: Nicht immer die Wunderwaffe

All dies bedeutet einen Aufwand an Zeit und Ressourcen, die in Ihrem Unternehmen besser für die Optimierung geschäftskritischerer Aktivitäten eingesetzt werden könnten. Selbst der Einsatz von Technologien wie der robotergestützten Prozessautomatisierung ist mit Lizenz-, Implementierungs- und Wartungskosten verbunden. Und wenn Sie die Programmierung nicht selbst übernehmen, können die Kosten für die Entwicklung der Bots einen Großteil, wenn nicht sogar den gesamten Nutzen zunichte machen.

Es MUSS doch einen besseren Weg geben.

Die gute Nachricht: Es gibt sie!

Unsere Bewertung der Audit-Effizienz zeigt, wie Sie durch die Automatisierung Ihres Audit-Prozesses zur kontinuierlichen Prüfung der IT-Kontrollen in SAP- und Oracle-ERP-Systemen Zeit, Ressourcen und Kosten sparen und gleichzeitig die Einhaltung von Vorschriften wie Sarbanes-Oxley, DSGVO und anderen gewährleisten können.

Kontinuierliche Einhaltung der Vorschriften mit Onapsis

Durch die Automatisierung der kontinuierlichen Bewertung von IT-Kontrollen macht Onapsis manuelle Prozesse überflüssig, sodass Sie einen durchgängigen Compliance-Prozess für Ihre ERP-Systeme etablieren können. Sie erkennen Audit-Mängel nahezu in Echtzeit, sobald diese identifiziert werden, können sie umgehend beheben und so die Compliance-Anforderungen erfüllen. Unternehmen erzielen sofortige Einsparungen, die mit der fortschreitenden Reifung ihrer Automatisierungsprozesse im Laufe der Zeit weiter steigen.

Automatisierung von Prüfungsaufgaben in großem Maßstab

Wie gehen wir dabei vor? Anstelle dieses aufwendigen, manuellen Prüfungsprozesses können wir bis zu 92 % der Aufgaben im Zusammenhang mit dem Testen und Validieren von ITGCs automatisieren. Anstatt dass Prüfer Daten beim ERP-Administrator anfordern, fügt der ERP-Administrator die Anfrage zur Aufgabenwarteschlange hinzu. Unter der Annahme einer Verzögerung von 1–2 Tagen erhält der ERP-Administrator die Daten, verarbeitet sie und sendet sie an den Prüfer zurück. Sofern der Prüfer gerade keine anderen Aufgaben zu erledigen hat, kann er die Daten entgegennehmen, analysieren bzw. testen und die Ergebnisse dokumentieren. Abgesehen von der zeitlichen Verzögerung birgt dieser Prozess ein inhärentes Risiko, nämlich Datenmanipulation oder menschliches Versagen bei der Datenbeschaffung: Der Prüfer ist bei der Beschaffung kritischer Nachweise auf eine andere Person angewiesen.

Sofortiger Zugang, geringeres Risiko

Mithilfe von Onapsis führt ein Prüfer ein Audit der gewünschten Systeme durch. Die Platform stellt eine Verbindung zum System her, ruft die Daten sofort ab, verarbeitet sie und analysiert sie. Der Prüfer muss die Ergebnisse lediglich überprüfen und dokumentieren. Dieser Vorgang erfolgt ohne Informationsverzögerungen und ohne Risiken für die Integrität der Nachweise, sodass das Unternehmen den Auditzyklus verkürzen, die Ergebnisse schneller erhalten und Probleme umgehend beheben kann.

Erste Schritte: Bewertung der Audit-Effizienz

Vor kurzem hat Onapsis neue Angebote entwickelt, um diese Probleme zu beleuchten und Unternehmen dabei zu helfen, zu verstehen, wie sie Ausfallzeiten besser vermeiden können. Die „Audit Efficiency Assessment“-Prüfung ist kostenlos und wird aus der Ferne durchgeführt. Sie dauert weniger als zwei Stunden und erfordert weder die Installation von Software noch den Zugriff auf Produktionssysteme.

Fordern Sie noch heute Ihre Bewertung der Audit-Effizienz an und erfahren Sie, wie viel Sie durch die Automatisierung Ihres Audit-Prozesses einsparen und eine kontinuierliche Compliance erreichen können.  

Folgen Sie Onapsis auf LinkedIn

Stichwörter,
Über den Autor

Brian Tremblay

Brian Tremblay leitet den Bereich Compliance bei Onapsis und kann dabei auf über 20 Jahre Erfahrung in den Bereichen interne Revision und Risikomanagement zurückgreifen. Als ehemaliger Chief Audit Executive verfügt er über fundierte praktische Erfahrung bei der Vorbereitung von Unternehmen auf Börsengänge und der Umsetzung wichtiger Rahmenwerke wie SOX und DSGVO. Dank seiner fundierten Kenntnisse im Bereich IT-General Controls und der Einhaltung gesetzlicher Vorschriften kann Brian Kunden dabei unterstützen, Risiken im Zusammenhang mit ihren geschäftskritischen Anwendungen zu minimieren. Seine Tätigkeit bei globalen Unternehmen wie Raytheon und Deloitte macht ihn zu einer anerkannten Autorität für auditfähige SAP-Systeme und die Überbrückung der Kluft zwischen Sicherheit und Compliance.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen