Oh ja – der großartige Sarbanes-Oxley Act von 2002.

Ich erinnere mich daran, als wäre es gestern gewesen. Anfang der Nullerjahre – also zur Zeit der Bilanzskandale rund um Enron und Worldcom – arbeitete ich in der IT-Abteilung einer US-Investmentbank, und man kann sagen, dass es zu dieser Zeit bei einigen dieser hochfliegenden Finanzakrobaten eine Reihe gequälter Gesichter gab.

Einige Jahre später, als ich gerade meine erste Stelle bei SAP antrat, wurde man sich langsam bewusst, was der neu verabschiedete Sarbanes-Oxley Act für US-regulierte Firmen (und ihre Systemintegrations-Partner) bedeuten würde. Mehr Prozesskontrollen. Schärfere Regulierung. Und es gab erneut eine Zeit lang gequälte Gesichter bei meinen neuen Consulting-Kollegen, als sie realisierten, wie stark sich der SOX auf ihre tagtägliche Arbeit auswirken würde. 

Zwanzig Jahre später haben SOX-Kontrollen und -Governance für Unternehmen, die in den USA operieren, nichts von ihrer Bedeutung verloren. Gerüchten zufolge ist sogar die Verabschiedung einer UK-Version des Sarbanes-Oxley Acts geplant. Damit will man wohl auch näher an meinem Zuhause Skandale am Kapitalmarkt eindämmen. 

Basis Technologies hat Hunderte von Kunden in aller Welt, von denen viele auf dem US-Markt tätig sind. Daher können wir uns nicht damit zufriedengeben, unseren Kunden einfach nur großartige Automatisierungssoftware bereitzustellen. Wir sind auch in der Pflicht, dafür zu sorgen, dass diese Produkte unseren Kunden helfen, Vorschriften wie den SOX und andere Richtlinien und Vorschriften wie GxP und FDA einzuhalten.

In ActiveControl, unserem SAP-DevOps-Automatisierungstool, erreichen wir dies in erster Linie auf drei Wegen: Workflow, Analyse und Reporting.

Workflow

Im Kern bietet ActiveControl die Möglichkeit, einen stabilen Genehmigungs-Workflow umzusetzen und sicherzustellen, dass jede Änderung die richtigen Genehmigungen und Testprozesse voraussetzt – von der Entwicklung über die endgültige Bereitstellung bis zur Inbetriebnahme.

Dieser Workflow stellt sicher, dass nur autorisierte Benutzer bestimmte Genehmigungen im System durchführen können. Das verhindert, dass es eine nicht getestete oder nicht genehmigte Änderung durch die Qualitätssicherung schafft, geschweige denn in die Produktionssysteme.

Teil des Workflows ist eine Suite mit fast 70 ShiftLeft-Analyseprüfungen, die sich so konfigurieren lassen, dass sie an dafür geeigneten Stellen im Prozess automatisch ausgeführt werden. Diese Analysen stellen sicher, dass jede SAP-Änderung – ja sogar jeder einzelne Transport – alle relevanten Qualitäts- und Governance-Standards erfüllt.

Analyse

Unter dem breiten Spektrum an ShiftLeft-Analyseprüfungen gibt es zwei, die speziell darauf ausgelegt sind, Kunden bei der Sicherstellung der Aufgabentrennung (Segregation of Duties, SOD) innerhalb ihres Workflows zu unterstützen – ein zentraler Aspekt einer Kontrollstrategie im Sinne von Sarbanes-Oxley-Paragraph 404. 

ShiftLeft: Approver SOD Check (Prüfung der Aufgabentrennung von Genehmigenden) verhindert automatisch, dass ein und derselbe Benutzer innerhalb des gesamten Workflows zwei spezifische (konfigurierbare) Genehmigungen erteilen kann. ShiftLeft: Check Own Changes (Prüfung der eigenen Änderungen) soll – wie der Name schon sagt – verhindern, dass ein Benutzer die eigenen Transporte genehmigt. Beide Prüfungen werden von SOX-regulierten Kunden gerne und häufig verwendet.

Um zu veranschaulichen, wie sich diese Analysen einsetzen lassen, hier einige einfache Beispiele: Sie können automatisch verhindern, dass ein Entwickler die eigenen Änderungen einem Peer-Review unterzieht oder, dass ein Basismitarbeiter seine eigenen Transporte in ein System importiert. 

Das sind sicherlich recht einfache Prinzipien, aber ihre Durchsetzung kann ohne Automatisierung wirklich Kopfschmerzen bereiten. Das zeigt, warum die Analysen von ActiveControl bei SAP-Kunden, die ihre SOD-Kontrollen verwalten und diese internen und externen Auditoren demonstrieren müssen, so beliebt sind.

Reporting

Seit vielen Jahren spielen zudem zwei Berichte innerhalb von ActiveControl eine Schlüsselrolle bei der Erfüllung der SOX- und Auditanforderungen unserer Kunden.

Aus allgemeiner Auditperspektive war der Bericht Transport/Task Activity & Event Audit lange das, wovon Auditoren träumten. Vorbei sind die Zeiten, in denen SAP-Teams von ihren externen Auditoren eine Liste mit zufälligen Transporten der letzten 12 Monate erhielten und Stunden (oder gar Tage!) alte Tickets und E-Mail-Threads durchsuchen mussten, um nachzuweisen, dass jeder Transport den vereinbarten Änderungs- und Freigabemanagementprozessen genügt.

Durch einfaches Ausschneiden und Einfügen sowie einen Klick auf eine Schaltfläche kann ein Auditor im oben genannten Bericht eine eigene „Wer tat was/wann“-Version erstellen, die alle wichtigen Ereignisse enthält, die für eine Reihe von Transporten ausgeführt wurden – von der Erstellung bis zum Go-Live in der Produktion.

Aus SOX-Compliance-Perspektive ist auch der Bericht Change Document entscheidend. Mit diesem Bericht können Kunden von Basis Technologies Änderungen auf Konfigurationsebene, die in ActiveControl vorgenommen wurden, einfach nachverfolgen und dokumentieren. Das umfasst Änderungen an der Zielkonfiguration wie Genehmigende und Importzeitpläne und in neueren Versionen zudem die ShiftLeft-Analyzer- und Benutzerrollenkonfiguration.

In Bezug auf Genehmigende und Benutzerrollen wird es in Kürze eine weitere wichtige Funktion zur Aufgabentrennung geben, die sich um die Verwaltung der Zuweisung von Genehmigenden und Benutzerrollen dreht.

Als Reaktion auf Kundenfeedback wurde eine neue Automatisierungsfunktion eingeführt, mit deren Hilfe ActiveControl-Kunden ihre ActiveControl-Administratoren (häufig SAP-Basisressourcen) für die Pflege der Kernkonfiguration des Produkts und getrennt davon die Securities-&-Berechtigungs-Teams für die Zuweisung von Posteingang-/-ausgang-Genehmigende verantwortlich machen können.

Diese Funktion wird mit der nächsten Version von ActiveControl (Version 8.4 – in diesem Bereich halten wir Sie auf dem Laufenden) über ein neues Programm eingeführt, mit dem ein Benutzer automatisch als Genehmigender hinzugefügt/entfernt werden kann, wenn er eine bestimmte (konfigurierbare) SAP-Rolle hat (standardmäßig oder benutzerdefiniert), die über SU01 zugewiesen wird. Es handelt sich dabei um eine neue Funktion, von der ich weiß, dass sie bei vielen größeren Unternehmenskunden von Basis Technologies (und definitiv bei deren ActiveControl-Administratoren!) gut ankommen wird.

Wenn Sie weitere Informationen dazu erhalten möchten, wie ActiveControl bei der Bereitstellung von SAP-Änderungen zur Gewährleistung der SOX-Konformität beitragen kann, oder Informationen über alle neuen Funktionen der kommenden Version 8.4 von ActiveControl wünschen, wenden Sie sich bitte an Basis Technologies.