Vereinfachung des Audit- und Compliance-Prozesses durch Automatisierung
Seit über 4 Jahren arbeite ich bei Basis Technologies und habe in dieser Zeit einige der weltweit größten Unternehmen dabei unterstützt, unsere Automatisierungssoftware einzuführen, damit ihre SAP-Systeme reibungslos funktionieren. Ein viel diskutiertes Thema sind Audit und Compliance, daher möchte ich im heutigen Blogbeitrag meine Erkenntnisse und Erfahrungen mit Ihnen teilen.
Inzwischen spielen Audit und Compliance in der heutigen Geschäftswelt eine große Rolle, und viele Unternehmen müssen strenge branchenspezifische Auflagen erfüllen, um nachzuweisen, dass sie die einschlägigen Richtlinien und Gesetze beachten. Zu den gängigsten Vorschriften gehören der Sarbanes-Oxley Act (SOX), die Qualitätsrichtlinien für gute Praktiken (GxP, wobei „x“ für die Branche steht), die Model Audit Rule (MAR, eine SOX-Finanzprüfstelle) und die US-amerikanische Food and Drug Administration (FDA).
Nun mögen einige argumentieren, dass MAR und FDA nicht für die IT gelten, aber ich beziehe mich hier auf die IT-Organisation von Unternehmen, die diese Standards beachten müssen, weshalb auch ihre IT in der Audit-Berichterstattung berücksichtigt werden muss.
IT-Audits sind durchaus üblich und es gibt zwei verschiedene Arten der Durchführung: auf operativer Ebene oder projektbezogen. Bei operativen Audits werden Managementprozesse und Betriebsabläufe untersucht, um zu ermitteln, wie effektiv oder effizient das Unternehmen seine Ziele erreicht. Projektbezogene Audits dienen dazu, Probleme und Herausforderungen aufzudecken, die bei der Durchführung eines bestimmten Projekts auftreten. Mit beiden Arten kann der Nachweis erbracht werden, dass das Unternehmen alle relevanten Regeln und Vorschriften einhält.
Zweifelsohne ist Auditing wichtig, aber es ist nicht gerade ein Lieblingsthema und wird häufig bei der Planung vernachlässigt. Vor etwa fünf Jahren habe ich an einem Implementierungsprojekt für eine neue IT-Anwendung mitgearbeitet, bei dem das Go-Live-Datum viermal verschoben wurde. Aufgrund der hohen Sicherheitsanforderungen des Kunden musste ein Auditor ständig vor Ort sein und aktiv ins Projekt einbezogen werden. Die Implementierung dauerte daher ein Jahr länger als geplant. Der Auditor benötigte einen umfassenden Einblick in Rollen und Verantwortlichkeiten, Projektphasen, Ressourcenzuordnungen, Vorlagen, Pläne, Szenarien und Tests. Natürlich musste auch jeder Schritt durch die Projekt- und Unternehmensleitung freigegeben werden. Der manuelle Aufwand war enorm.
Abgesehen von den Verzögerungen im Projekt kann die Nichteinhaltung von Audit-Anforderungen erhebliche Auswirkungen auf den Betrieb haben. Ich habe miterlebt, wie die Branchenzertifikate eines Unternehmens widerrufen wurden, einem weiteren Unternehmen hohe Geldstrafen auferlegt wurden und ein drittes Unternehmen seine Produkte und Dienstleistungen nicht verkaufen und ausliefern durfte.
Automatisierung der Audit- und Compliance-Prozesse
Einer der vielen Vorteile von ActiveControl, der DevOps-Automatisierungslösung von Basis Technologies für SAP-Systeme, ist die Unterstützung automatisierter Audit- und Compliance-Prozesse in SAP.
Mithilfe von Audits wird die Validierung von Abläufen und Daten nachgewiesen. Das hört sich zunächst einfach an. Das Verfassen der erforderlichen Berichte erfordert jedoch selbst bei langen Releasezyklen erheblichen manuellen Aufwand und bindet Ressourcen. Bei einem agileren Prozess – in dem Änderungen wöchentlich oder täglich, eventuell sogar unabhängig von Benutzereingriffen, umgesetzt werden können – scheint effektives Auditing nahezu unmöglich zu sein. Wenn Sie jedoch agile Arbeitsweisen oder DevOps anwenden und somit automatische Abläufe eingeführt haben, können Sie kürzere Releasezyklen problemlos steuern und verwalten.
Mit DevOps-Automatisierung sind Ihre Prozesse für Änderungskontrolle und Regressionstests so optimierbar, dass auch wenige automatisch generierte Berichte umfassende Informationen über jede Änderung in jeder Phase liefern: wer sie umgesetzt hat, wer sie getestet hat, wer sie genehmigt hat, wann dies alles passiert ist, was das Ergebnis war etc. Der manuelle und zeitliche Aufwand für Audits wird dadurch erheblich minimiert. Einer unserer nordamerikanischen Kunden äußerte sich dazu folgendermaßen: „Mit den vorkonfigurierten Auditberichten erhalten wir in weniger als zwei Stunden die Informationen, die wir benötigen. Seitdem gibt es keine Beschwerden mehr.“
ActiveControl bietet Ihnen genau diese Vorteile – und noch viel mehr –, sogar in hochkomplexen mehrgleisigen Projektlandschaften (einige unserer Kunden arbeiten mit N+10 Systemen!). Dies gilt nicht nur für SAP-Systeme. Wenn Sie ActiveControl in komplexe IT-CI/CD-Pipelines integrieren, erhalten Sie mit den automatisch generierten Berichten von ActiveControl ein umfassendes Audit-Repository, in dem alle Schritte des Änderungsprozesses nachgehalten werden.
In letzter Zeit haben sind einige meiner Kunden den Anforderungen für das jährliche IT-Audit zuvorgekommen, indem sie spezifische ActiveControl-Auditberichte zur Verfügung gestellt haben. In der Vergangenheit hat das jährliche Audit eine Woche oder länger gedauert. Nun sind die Auditoren vor Ort angekommen, haben die Berichte erhalten und konnten am Ende des Tages die Arbeit abschließen. Ein großer Gewinn für alle Beteiligten.
Um zu erfahren, wie Sie den Aufwand für Ihre Audit- und Compliance-Prozesse mit bewährten Automatisierungsverfahren reduzieren können, kontaktieren Sie uns hier.