Da die Zahl und Komplexität der gesetzlichen Vorschriften und Richtlinien weltweit zunehmen, wächst der Druck auf die Unternehmen, wirksame Wege zur Einhaltung zu finden. Man muss nicht lange suchen, um Geschichten über Unternehmen und ihre Führungskräfte zu finden, die gegen die Vorschriften verstoßen haben, was zu erheblichen Geldstrafen, schlechter Presse und sogar Gefängnisstrafen führte.

Die Geschichte von Enron, dem bekanntesten Bilanzskandal der letzten Jahrzehnte, führte zur Einführung von Sarbanes-Oxley (SoX) – aber es gibt auch weitere branchenspezifische Vorschriften, wie GxP, FDA und andere. Die Einhaltung dieser Vorschriften erfordert bessere Risikomanagementprozesse, Dokumentation und Transparenz im gesamten Unternehmen. In diesem Blog gehe ich darauf ein, was einige dieser Vorschriften und Richtlinien für SAP-Kunden bedeuten und wie die Automatisierung dazu beitragen kann, die damit verbundenen Audit- und Compliance-Prozesse zu optimieren und zu vereinfachen.

SAP Change Audits

Bevor ich zu Basis Technologies kam, war ich fast 10 Jahre lang als SAP-Änderungs- und Releasemanager tätig, und ich fürchtete mich immer vor dem Besuch des Prüfers, der mich aufforderte zu beweisen, dass eine Liste von Transporten dem dokumentierten Prozess von der Entwicklung bis zur Produktion folgte. Dabei ging es nicht darum, dass ich befürchtete, wir hätten nicht die richtigen Verfahren eingehalten, sondern vielmehr darum, dass ich die nächsten Tage damit verbringen würde, Tabellenkalkulationen zu durchforsten und Hunderte von E-Mails zu durchkämmen, um alle erforderlichen Nachweise für jeden dieser Transporte zu finden. Dieses Thema liegt mir also sehr am Herzen, und ich bin froh, dass wir bei Basis Technologies unseren Kunden diesen Schmerz abnehmen können.

Wenn Ihre Change-Management-Prozesse so ablaufen wie bei den meisten SAP-Kunden, gibt es während des gesamten Change-Delivery-Prozesses eine ganze Reihe von Berührungspunkten mit zahlreichen Personen. Selbst in einer einfachen Änderungsmanagement-Umgebung wie der oben gezeigten, mit einer Vier-System-Landschaft aus Entwicklung, Qualitätssicherung, Vorproduktion und Produktion, gibt es 11 Schritte von der Entwicklung bis zur Bereitstellung, an denen acht verschiedene Personen beteiligt sind. Der Versuch, die gesamte Historie für mehrere Transporte durch diesen gesamten Workflow sechs, neun oder sogar zwölf Monate nach der Bereitstellung manuell nachzuverfolgen, erfordert einen erheblichen Zeit- und Arbeitsaufwand, die eindeutig besser für andere Aufgaben von größerem strategischem Wert verwendet werden könnten.

Die gute Nachricht: Da ein Großteil dieses Prozesses manuell erfolgt, ist er ein perfekter Kandidat für die Automatisierung. Normalerweise hört man “Automatisierung” und “SAP” nicht im gleichen Satz, aber das liegt vor allem daran, dass es bisher nicht viele Tools gibt, die für die einzigartige technische Umgebung von SAP entwickelt wurden. Unsere ActiveControl DevOps-Automatisierungslösung wurde jedoch speziell für die Herausforderungen von SAP, einschließlich Audit- und Compliance-Reporting, entwickelt.

Als Produktmanager für ActiveControl ist es meine Aufgabe, dafür zu sorgen, dass es Dinge wie diese unterstützt:

• Kodifizierte Arbeitsabläufe, um sicherzustellen, dass alle notwendigen Schritte in der richtigen Reihenfolge ausgeführt werden.
• Protokollierung jedes einzelnen Prozessschrittes während seiner Ausführung.
• Nachverfolgung aller Details, z. B. wer was wann getan hat, an einem zentralen Ort.

Und ich muss sagen, ich bin stolz auf das, was ActiveControl bietet. Das Produkt kann nicht nur all diese Dinge und noch viel mehr, sondern es macht es auch fast mühelos, die notwendigen Berichte zu erstellen, wenn es zu einer Prüfung kommt.

Ich habe die Vorteile dieser Automatisierung bei unseren Kunden aus erster Hand gesehen. Einer von ihnen, eine große nordamerikanische Bank, hatte über 200 SAP-Systeme in einer mehrgleisigen Konfiguration und die Tätigkeit in einer so stark regulierten Branche bedeutete, dass ihr manueller Audit-Reporting-Prozess extrem langsam, schwierig und zeitaufwendig war. ActiveControl hat das Audit-Reporting erheblich verbessert und ermöglichte es ihnen, ein Audit innerhalb von zwei Stunden nach der Anforderung zu erstellen und zu liefern.

Es ist ebenfalls wichtig anzumerken, dass der Einsatz eines solchen Automatisierungswerkzeugs auch zusätzliche Audit-Funktionen mit sich bringt, insbesondere für diejenigen, die unter die SoX-Vorschriften fallen. Auch hier macht ActiveControl es einfach, denn mit einem Klick auf ein paar Schaltflächen ist es leicht zu sehen, welche Änderungen auf Konfigurationsebene die Administratoren des Produkts vorgenommen haben.

Was bedeutet Sarbanes-Oxley (SoX) Compliance?

Entstanden aus den massiven US-Finanzskandalen der frühen 2000er Jahre (Enron, WorldCom und andere), begann SoX als eine Reihe von Finanzprüfungsvorschriften, die Investoren und öffentliche Unternehmen vor betrügerischen Aktivitäten schützen sollten, indem regelmäßig bewertet wurde, wie gut das Unternehmen interne Prozesse und Kontrollen verwaltet und einhält. Und diese Regeln gelten nicht nur für amerikanische Unternehmen, sondern jedes Unternehmen, das in den USA tätig ist, muss sich an die SoX-Vorschriften halten. Viele andere Länder erwägen ähnliche Vorschriften oder haben sie bereits in Kraft gesetzt.

Wenn es um die Einhaltung der SoX-Vorschriften für SAP geht, gibt es im Wesentlichen vier Kategorien:

• a. Änderungsmanagement – dazu gehören Dinge wie Aufgabentrennung (SOD) und die Meldung von Systemänderungen
• b. Datenzugriff– Passwortkontrolle für Benutzer und regelmäßige Überprüfung der Zugriffsrechte (mindestens einmal pro Jahr)
• c. Datensicherheit – Sicherstellung, dass Datenbanken vor unbefugtem Zugriff geschützt sind, und wirksame Überwachung, um Anomalien zu entdecken, die auf eine unbefugte oder unangemessene Nutzung hindeuten könnten
• d. Datensicherung – Aufbewahrung von Daten und Speicherung historischer Versionen von Dokumenten, die möglicherweise Ziel einer böswilligen Zerstörung sein könnten

Konzentrieren wir uns auf den Bereich des Änderungsmanagements und beginnen wir mit der Aufgabentrennung.

Wenn wir auf das obige Beispiel mit den vier Systemen zurückkommen, geht es beim SOD letztlich darum, sicherzustellen, dass nicht ein und dieselbe Person mehrere Schritte im Prozess durchführt. Sie würden zum Beispiel nicht wollen, dass der/die AnwenderIn, der die Änderung beantragt hat, auch derjenige ist, der die Änderung vornimmt, und Sie würden auch nicht wollen, dass eine EntwicklerIn seine/ihre eigene Arbeit einem Peer Review unterzieht. Bei SOD geht es darum, dass solche Dinge nicht passieren. Ziel ist es, bestimmte Schritte von einer anderen Person durchführen zu lassen, die dafür qualifiziert ist, um das Risiko von Fehlern oder sogar absichtlichem Fehlverhalten zu verringern.

Jeder, der sich schon länger mit SAP beschäftigt, weiß, dass das Unternehmen über ein ausgereiftes und gut etabliertes Sicherheits- und Berechtigungsmodell für den Benutzerzugriff verfügt, das sicherstellen soll, dass die Benutzer nur die Aufgaben ausführen, die sie im Rahmen ihrer Rolle ausführen können müssen. Jedes Automatisierungswerkzeug, das Sie verwenden, wie ActiveControl, sollte die gleiche Stringenz aufweisen, um sicherzustellen, dass es auf Personas basiert. So möchten die meisten SAP-Kunden wahrscheinlich nur, dass ihr Basis-Team Transporte importieren kann (wenn etwas manuell verteilt werden muss). Und sie würden mit ziemlicher Sicherheit wollen, dass nur geschulte Administratoren in der Lage sind, die Konfiguration des Automatisierungstools zu pflegen, genau wie bei SAP selbst.

Genauso wichtig ist es, dass die Zugriffsrechte jedes Benutzers dokumentiert und jede Änderung protokolliert wird, damit Sie nachweisen können, dass die entsprechenden Verfahren eingehalten wurden. Mit ActiveControl ist das alles ein Kinderspiel.

Was bedeutet GxP-Konformität?

Die GxP-Compliance ähnelt in gewisser Weise der SoX-Compliance, bezieht sich aber speziell auf Unternehmen der Biowissenschaften, Pharmaunternehmen, Hersteller medizinischer Geräte, Entwickler medizinischer Softwareanwendungen und andere ähnliche Branchen. Speziell für das SAP-Änderungsmanagement lässt sich die GxP-Compliance in drei wesentliche Säulen unterteilen:

• Datenintegrität– alle Daten, einschließlich der Metadaten, sind sichtbar, konsistent und korrekt, werden regelmäßig gesichert und sind jederzeit verfügbar
• Gute Dokumentationspraktiken – die Dokumentation muss lesbar sein, in reproduzierbarer Weise erstellt und sicher gespeichert werden
• Rückverfolgbarkeit und Nachvollziehbarkeit– es muss nachgewiesen werden, was jede Person zu der Arbeit beigetragen hat, und es muss möglich sein, die gesamte Geschichte der durchgeführten Arbeit zu rekonstruieren.

Letztlich geht es bei der Compliance-Prüfung darum, zu wissen, wer was wann getan hat, indem sichergestellt wird, dass End-to-End-Prozesse nicht umgangen werden können und Prüfnachweise und Genehmigungen dokumentiert, aufgezeichnet, zugänglich und prüfbar sind. Auch hier kann DevOps-Automatisierung wie ActiveControl helfen, indem sie Workflows kodifiziert und jede Änderung automatisch in einer zentralen “Quelle der Wahrheit” dokumentiert und protokolliert.

Ein anderer Kunde, ein führender globaler Einzelhändler mit einem Jahresumsatz von über 20 Milliarden Dollar, hat uns mitgeteilt, wie sehr ActiveControl seinen Audit-Prozess beeinflusst hat: “Die Transparenz in ActiveControl ist so viel besser. Wenn eine Person für ein IT-Audit verantwortlich ist, aber nicht sehr technisch versiert ist, ist es so einfach zu sehen, wer etwas gemacht hat und wer was genehmigt hat. In unserem vorherigen Tool war die Rückverfolgung furchtbar. Jetzt können wir alles, was wir für eine IT-Prüfung brauchen, an einem Ort finden. Vorher mussten wir nachschlagen und verschiedene Änderungen, Änderungsdokumente usw. suchen, das spart definitiv eine Menge Zeit.“

Selbstkontrolle

Auditoren haben in der SAP-Welt oft einen schlechten Ruf, aber die Wahrheit ist, dass jeder, der am Änderungsmanagementprozess beteiligt ist, ein Auditor sein sollte. Jeder Benutzer muss sicherstellen, dass die Prozesse korrekt befolgt werden, um sowohl das Unternehmen als auch alle Mitarbeiter zu schützen. Moderne Werkzeuge und Automatisierung können die Selbstverwaltung von Arbeitsabläufen und die Identifizierung potenzieller Probleme erheblich erleichtern.

In unserem Beispiel einer SAP-Landschaft mit vier Systemen bieten die mehr als 70 Analysetools von ActiveControl automatisierte Prüfungen, die während des gesamten Prozesses angewendet werden können, jedes Mal, wenn ein Transport erstellt, genehmigt oder bereitgestellt wird. Dabei kann es sich um Entwicklungsprüfungen handeln, die durchgeführt werden, bevor die Transporte in die Qualitätssicherung gelangen, um Sequenzierungsprüfungen, die sicherstellen, dass die richtigen Versionen von Objekten in der richtigen Reihenfolge bewegt werden, und vieles mehr. In QS und Produktion kann dies auch kritische Objektprüfungen beinhalten, um sicherzustellen, dass die richtigen Änderungen zum richtigen Zeitpunkt bereitgestellt werden, um Unterbrechungen des Geschäftsbetriebs zu vermeiden.

Diese Prüfungen werden in ActiveControl automatisch für jeden Transport und jeden Prozessschritt durchgeführt, so dass der manuelle Aufwand und das damit verbundene Risiko entfallen. Das Beste daran ist, dass alles dokumentiert wird und Berichte mit nur wenigen Klicks erstellt werden können, was viel Zeit, Kosten und Aufwand spart.

Fazit

Audit und Compliance werden in der modernen Geschäftswelt immer wichtiger, aber für SAP-Organisationen, die immer noch auf manuelle Change-Management-Prozesse angewiesen sind, kann dies mühsam, frustrierend und zeitraubend sein. Die DevOps-Automatisierung hilft nicht nur bei der Durchsetzung der notwendigen Prozesse und Verfahren, sondern macht auch die Dokumentation und Berichterstattung deutlich schneller, effizienter und risikoärmer.

Wenn Sie mehr darüber erfahren möchten, wie Sie mit ActiveControl erfolgreich SAP Audits und Compliance durchführen können, schauen Sie sich unser Webinar an oder kontaktieren Sie uns noch heute.