SAP und Novell werden ihre Produkte im Bereich des Governance-, Risk- und Compliance-Managements (GRC) kombinieren. Über die Hintergründe sprach Computerwoche mit Marina Walser, Director Business Development, Identity & Security Management bei Novell EMEA und Geoffrey S. Coulehan, Director, Global Market Development, POA Technology Partners, SAP Business Objects.
Computerwoche: Warum wollen SAP und Novell ihre GRC-Produkte kombinieren? Welche Probleme der Anwender adressieren Sie damit und wie soll die Kombination erfolgen?
Geoffrey S. Coulehan (SAP): Mit der Kombination von SAP-Lösungen und branchenführenden Lösungen von Novell erhalten Kunden eine integrierte Lösung, die Benutzerverwaltung und Überwachung unterstützt und mit der einheitliche Kontrollmechanismen und Prozesse im gesamten Unternehmen automatisiert und durchgesetzt werden können. Da die meisten Unternehmen über riesige Datenmengen verfügen, ist es häufig schwierig, den Risikograd für das Unternehmen einzuschätzen. Aufgrund der gewaltigen Anzahl an unterschiedlichen Prozessen ist es außerdem recht kostspielig, Daten über die Einhaltung von Vorgaben bereitzustellen. Die kombinierte Lösung erlaubt eine bessere Leistungssteuerung und optimiertes Risikomanagement durch die strategische Verbindung von Geschäftsprozessen und IT.
Marina Walser (Novell): Die GRC-Anforderungen an Unternehmen steigen und betreffen immer mehr Bereiche des Unternehmens, oftmals systemübergreifend. Nachdem SOX sich "nur" auf die Wirksamkeit des internen Kontrollsystems für die Rechnungslegung bezieht, werden im Rahmen des Risikomanagements nun weitere Geschäftsprozesse in die Betrachtung einbezogen, wie zum Beispiel das Berechtigungswesen. SAP deckt mit ihren GRC-Lösungen diese Anforderungen für die gesamte SAP-Landschaft ab. Ein umfassendes Management der Prozesse, Zugriffsberechtigungen und Risiken ist aber nur möglich, wenn die gesamte Unternehmenslandschaft inklusive der - meist heterogenen - IT-Infrastruktur betrachtet wird. Novell hat daher die Compliance-Management-Plattform erweitert, um eine nahtlose Integration zwischen der SAP und der Non-SAP-Umgebung in Unternehmen abzubilden. So können etwa Segmentation-of-Duties-Konflikte zwischen SAP und Oracle oder Microsoft-Sharepoint-Anwendungen aufgedeckt und vermieden werden. Rollen und Berechtigungen aus SAP können nun in Einklang mit den Rollen und Berechtigungen aus anderen Systemen gebracht werden und - automatisiert - zentral verwaltet werden.
Computerwoche: Laut einer Unternehmensinformation sollen die Geschäftsprozesse durch die Partnerschaft transparenter werden und einheitliche Kontrollmechanismen geschaffen werden. Bitte präzisieren Sie, was das konkret für die Anwender aus technischer und organisatorischer Sicht bedeutet.
Walser: Technisch bedeutet dies, dass Schnittstellen zwischen bisher getrennten Systemen hergestellt werden, um die Transparenz zu erhöhen und definierte Prozesse durchgängig zu managen. Hierbei wird jedoch nicht in einzelne Systeme eingegriffen. Es geht vielmehr darum, sicherzustellen, dass nur berechtigte Personen Zugriff auf die jeweiligen Ressourcen erhalten und dass nur autorisierte Personen, diesen Zugriff auch genehmigen können. Organisatorisch bleibt die Verantwortung für die einzelnen Systemen selbstverständlich bei den dafür verantwortlichen Personen. Die Kontrollinstanzen in den Unternehmen können nun jedoch Risiken früher erkennen sowie besser darauf reagieren, beziehungsweise vorn vornherein ausschließen. Statt eine Vielzahl isolierter interner Kontrollsysteme zu überwachen, gibt es nun eine zentrale Schnittstelle.
Ereignisse besser vorhersehen
Coulehan: Das integrierte Produktportfolio von SAP und Novell macht die Geschäftsprozesse im gesamten Unternehmen transparenter, führt automatische, einheitliche Kontrollmechanismen ein und sorgt damit für eine bessere Vorhersehbarkeit von Ereignissen. Diese Lösung bietet mehr Sicherheit, da Risiken minimiert und interne und externe Vorgaben besser eingehalten werden können. Auch können Kunden ganz darauf vertrauen, dass die richtigen Kontrollen greifen und nur berechtigte Mitarbeiter auf sensible Geschäftsdaten zugreifen können.
Computerwoche: Die Kombination der GRC-Produkte soll sich bei den Anwendern auf das Unternehmensergebnis auswirken, heißt es in der Ankündigung Ihrer Partnerschaft - wie das?
Walser: Audits werden heute mit erheblichem manuellem Aufwand durchgeführt. Diese Kosten werden durch die Kombination der GRC-Produkte deutlich reduziert, da die relevanten Informationen auf Knopfdruck zur Verfügung stehen und nicht erst manuell zusammengetragen werden müssen. Die genannten Effizienzsteigerungen durch die Zusammenfassung von redundanten Prozessen und die Automatisierung von Prozessen führen zu Kostenreduktionen, die sich direkt auf das Ergebnis auswirken.
Coulehan: Die Integration der Novell Compliance Management Platform (CMP) und der SAPBusinessObjects-GRC-Lösungen gewährleistet eine unternehmensweite Provisionierung und eliminiert ineffiziente und isoliert laufende Prozesse. Durch das gemeinsame Lösungsportfolio von SAP und Novell können riskante Situationen automatisch erkannt und beigelegt werden.
Isolierte Ansätze vermeiden
Computerwoche: Können durch die Kombination die heute bestehenden GRC-Inseln vollständig abgelöst werden? Oder ist noch Entwicklungsarbeit seitens SAP und Novell notwendig? Wie ist der Zeitrahmen dieser Partnerschaft?
Coulehan: Bei der Partnerschaft liegt der Schwerpunkt darauf, isolierte Ansätze bei der Einhaltung von Vorgaben zu vermeiden - und zwar im gesamten Bereich Governance, Risiko- und Compliance-Management von der Anwendung bis zu IT-Kontrollmechanismen. Dazu gehören zurzeit fragmentierte Ansätze bezüglich SOX, HIPAA, Datenschutz, PCI, DSS und Unternehmensrichtlinien. SAP und Novell bieten eine integrierte GRC-Lösung, die Identitäts- und Sicherheitsinformationen zu sämtlichen Geschäftsanwendungen und IT-Prozessen umfasst. Novell CMP ist in alle SAP-BusinessObjects-GRC-Lösungen integriert, unter anderem in die Anwendungen für Prozesskontrollen, Risikomanagement und Zugriffskontrollen. Die Partnerschaft begann Anfang 2008. Die strategische Integration wurde offiziell auf einer SAP-Veranstaltung zum Thema GRC in Phoenix (Arizona) im Oktober 2008 bekannt gegeben.
Walser: Die bestehenden Silos sind gewachsene Strukturen in Unternehmen und die GRC-Anforderungen sind zum Teil noch recht neu - und werden ständig erweitert. Es handelt sich unserer Meinung nach daher nicht um ein einmaliges GRC-Integrationsprojekt, sondern um einen permanenten Prozess. Die Integration von Business-Applikationen mit der darunter liegenden IT-Infrastruktur auf Basis von Business-Anforderungen ist der erste wichtige Schritt in diesen Prozess. SAP und Novell werden daher die Integration der Lösungen im Sinne der Kundenanforderungen weiter ausbauen.
Novell: Umdenken auf der Business-Seite nötig
Computerwoche: Laut Novells "Statement of the Quarter" vom Juli 2009 können zwei Drittel aller in der Umfrage befragten Unternehmen GRC für sich gar nicht definieren. Und nur die Hälfte hat einen umfassenden Überblick über die relevanten Richtlinien. Liegt nicht viel eher hier das Problem als in den bestehenden Inseln?
Walser: Die bestehenden Inseln sind sicher ein Grund für die mangelnde Transparenz über die Bedeutung von GRC in Unternehmen. Wir liefern mit unserer Lösung im ersten Schritt die Umsetzung von Anforderungen mit Hilfe von Software. Um die Technologie aber tatsächlich zu nutzen, ist ein Umdenken auf der Business-Seite erforderlich. Wir arbeiten daher eng mit Partnern wie Deloitte & Touche oder Atos Origin zusammen, die mit Ihrem Beratungsangebot Kunden dabei unterstützen, GRC-Anforderungen oder Sicherheitskonzepte umzusetzen.
Coulehan: Da Unternehmen ihren Risiko-orientierten Ansatz bei der Einhaltung interner und externer Vorgaben ausweiten werden, wird die Integration von IT- und Prozesskontrollen immer wichtiger. SAP und Novell haben als Erste eine Lösung auf den Markt gebracht, die Sicherheit, Informationen, Ereignis- und Identitätsmanagement sowie Governance, Risiko- und Compliance-Management in einer leistungsstarken und durchgängigen Lösung integriert. Mit dieser Lösung wird eine wichtige Brücke zwischen unternehmenskritischen heterogenen Anwendungen und der zugrunde liegenden IT-Infrastruktur geschlagen. Je ausgereifter die Methoden, mit denen Unternehmen an das Thema GRC herangehen, desto mehr gewinnt die Integration zwischen Lösungen von SAP und Novell an Bedeutung.