Integrated Risk Management
Durch den Einsatz von modernster Technologie und komplexer Automatisierung helfen wir Ihnen beim Management Ihrer Risiken im gesamten Unternehmen, um diese effizient und effektiv zu verwalten
Identity and Access Managaement
Wir helfen Ihnen, sicherzustellen, dass jeder in Ihrem Unternehmen, zur richtigen Zeit, Zugang zu den richtigen Systemen und Daten hat.
Cyber & Application Security
Unsere Experten decken Sicherheitsschwachstellen in Ihrem Sicherheitskonzept und in Ihren geschäftskritischen Anwendungen auf. Wir helfen Ihnen dabei Ihr Unternehmen vor internen und externen Bedrohungen zu schützen.
Bedrock Managed Service
Scalable support and on-demand expertise that seamlessly integrates with your existing operations.
Über uns
Wir sind eine Gruppe leidenschaftlicher Menschen mit einem gemeinsamen Ziel, die weltweit führenden Unternehmen bei der Einführung von Best Practices für GRC und Risikomanagement zu unterstützen.
Partners
Das strategische Partnernetzwerk von Turnkey besteht aus ausgewählten Partnerunternehmen, die unsere Fähigkeiten vertiefen und ergänzen.
Corporate Social Responsibility
Wir engagieren uns durch unseren entwickelten Klima-Aktionsplan, sowie die Förderung von Vielfalt an unseren Arbeitsplätzen und vieles mehr.
Nehmen Sie Kontakt auf
Wir haben Niederlassungen in fast allen Teilen der Welt. Werfen Sie gerne einen Blick auf unsere Standorte und sehen Sie selbst, welche Niederlassung bei Ihnen in der Nähe ist und kontaktieren Sie uns gerne zu jeder Zeit.
Karriere und Jobs
Turnkey ist der Ort, an dem die intelligentesten Problemlöser einige der größten Marken der Welt bei Ihren Herausforderungen unterstützen. Wenn Sie selbst solche Herausforderungen lieben und sich trauen, den Status quo zu verändern, werden Sie gerne ein Teil der Turnkey Familie.
Webinare & eBooks
Alle Webinare, Leitfäden, Broschuren und andere Einblicke von Turnkey sind an einem Ortverfügbar.
Blogs
Lesen Sie jederzeit die neuesten Erkenntnisse unserer Experten für GRC und Risikomanagement, die exklusiv die neuesten Branchenthemen behandeln.
Presse
Hier finden Sie alle Veröffentlichungen, in denen Turnkey und unsere Erfolge erwähnt wurden.
Veranstaltungen
Hier finden Sie die Termine der wichtigsten Branchenkonferenzen zu GRC, SAP-Sicherheitund Risikomanagement, an denen Turnkey vertreten ist.
Case Studies
Die Zufriedenheit unserer Kunden ist für uns von größter Bedeutung,deswegen bemühen wir uns, die Erwartungen ständig zu übertreffen und bei jeder Gelegenheit dieExtra-Meile zu gehen.
1 April 2025

Stärken Sie Ihre drei Verteidigungslinien mit SAP Risk and Assurance Management (SAP RAM)

Diese Mini-Blog-Serie besteht aus 4 verschiedenen Blogs zum Thema SAP RAM und die drei Verteidigungs-Linien eines Unternehmens.  

Der erste Blog der Serie soll einen Überblick des Themas geben und die Thematik grundlegend betrachten. Die nachfolgenden Blogs werden detailreich in die einzelnen Verteidigungslinien eingehen und aufzeigen, wie SAP RAM die jeweilige Linie unterstützen kann.  

In unserer globalen und sehr wandelbaren Welt stehen Unternehmen vor immer größeren Herausforderungen. Neue Regularien, gesetzliche Vorgaben und Änderungen gehören fast schon zum Alltag. Um ein Unternehmen von innen heraus zu stärken sind die drei Verteidigungslinien (englisch: Three Lines of Defense oder kurz 3LoD) besonders wichtig. Doch gegen was soll ein Unternehmen denn verteidigt werden?   
Im Grunde geht es um jegliche Risiken, die die Stabilität des Unternehmens beeinträchtigen könnten. Darunter fallen zum Beispiel das Einhalten von gesetzlichen Bestimmungen, Vermeidung von Betrug, schnelles Erkennen von Abweichungen und Anomalien, sowie Fehler in Bearbeitungsprozessen.  

Um den Unternehmen mit genau diesen Herausforderungen zu helfen, hat die SAP SE ein neues Produkt entwickelt, das SAP Risk and Assurance Management.  

Doch bevor wir auf die Punkte wie Ihnen SAP Risk and Assurance Management mit ihren der Verteidigungslinien helfen kann, sollte das Modell der drei Verteidigungslinien erst definiert werden .

 

Die drei Verteidigungslinien  

Screenshot 2025-04-02 150741

*Dieses Diagramm stellt eine allgemeine Version des aktualisierten IIA-Modells der 3 Verteidigungslinien dar. In der Realität variiert die Umsetzung des Modells für alle Unternehmen erheblich, insbesondere in der 3. Verteidigungslinie. SAP RAM bietet ein geeignetes risikobasiertes Kontrollmanagement und weitere Vorteile, die diese Variationen abdecken. 

 

1st LoD: Die erste Verteidigungslinie – Betriebsmanagement 

Das operative Management bildet die erste Verteidigungslinie und besteht aus Führungskräften, die für das Tagesgeschäft verantwortlich sind. Ihre Hauptaufgabe besteht darin, interne Risikomanagementrichtlinien umzusetzen und Geschäftsaktivitäten zu überwachen, um Risiken frühzeitig zu erkennen und zu mindern. Darüber hinaus sind sie für die Einhaltung und kontinuierliche Verbesserung des Internen Kontrollsystems (IKS) verantwortlich. 

Das IKS unterliegt – ebenso wie das Unternehmen selbst – kontinuierlichen Anpassungen, Änderungen und neuen Anforderungen, insbesondere durch externe Faktoren. Daher gehört es zu den Aufgaben des Betriebsmanagements, Prozess- und Kontrollabweichungen zu identifizieren, zu analysieren und gegebenenfalls anzupassen, sodass das IKS den regulatorischen Anforderungen entspricht.  

Zusätzlich trägt das Betriebsmanagement die Verantwortung für ein aktives Risikomanagement, um die Stabilität und Effizienz des Unternehmens langfristig zu gewährleisten. 

 

2nd LoD: Die zweite Verteidigungslinie – Framework Management  

Das Management der zweiten Verteidigungslinie verantwortet hauptsächlich, Standards für das Unternehmen zu schaffen, um die Anforderungen aus dem Risiko-Management gesamtheitlich umzusetzen. Die Geschäftsbereiche beziehen sich auf Compliance, IT, Controlling und weitere 

Die Standards sind zum Beispiel generelle Policies für die entsprechenden Geschäftsbereiche, die Schaffung von Standard Operation Procedures (SOPs) oder interne Richtlinien zur Einhaltung gesetzlicher Vorgaben.  
Zudem besteht die Aufgabe, aktiv auf Neuerung durch externe Faktoren, wie zum Beispiel neuer Gesetze oder Änderungs-Anforderungen des Executive Managements aus einem externen Audit, zu reagieren und die Einhaltung der Neuerungen zu gewährleisten.  

Zusätzlich braucht es weitere Expertisen von Fachabteilungen wie zum Beispiel der IT oder Market Research, etc. In diesen Geschäftsbereichen müssen Standards für die Umsetzbarkeit und Effektivität der Vorgaben aus dem Risko-Management gesetzt werden. Diese Umsetzbarkeit ist ausschlaggebend für die täglichen Geschäftsprozesse und damit auch für die erste Verteidigungs-Linie  

 

3rd LoD: Die dritte Verteidigungslinie – Interne Revision  

Als dritte Verteidigungslinie stehen die Auditoren der Internen Revision. Die Verantwortung der Innenrevisoren liegt darin die Geschäftsprozesse, Rahmenbedingungen, Frameworks und Prozesse der ersten und zweiten Verteidigungslinie zu überprüfen. Zudem muss das interne Kontrollsystem auf dessen Effektivität und Effizienz geprüft werden.  
Die interne Revision soll als Unterstützung der ersten und zweiten Verteidigungslinie betrachtet werden, da die Resultate ihrer Arbeit als Lenkungs-Instrument für zukünftige Anpassungen der Frameworks, Geschäftsprozesse etc. gelten.  
Es ist wichtig, dass die Innenrevision immer unabhängig von den ersten beiden Verteidigungslinien agiert, da nur so eine neutrale Bewertung des Unternehmens gewährleistet wird.  

Die Ergebnisse einer internen Revision werden an das Executive Management berichtet, das dann die unternehmerischen Ziele anpassen kann, die dann wiederrum zur Umsetzung an die erste und zweite Verteidigungslinie gegeben werden.   

 

SAP Risk and Assurance Management im Bereich der drei Verteidigungslinien

SAP Risk and Assurance Management (SAP RAM) ist SAPs Lösung für eine risiko-basierte GRC-Kontroll- Lösung für die Cloud. Es soll als Plattform für viele Anwendungsbereich des gesamten Unternehmens verstanden werden. Darunter fallen auch die Bereiche der drei Verteidigungslinien. 

SAP bietet mit SAP RAM eine Standard Rollen Kollektion an, die grundlegend für den Bereich Compliance erstellt wurde. Es ist jedoch auch möglich mit einem individuellen Rollen-Konzept weitere Bereiche abzudecken. So kann zum Beispiel für die Innenrevision individualisierte Rollen entwickelt werden, mit denen es den Auditoren ermöglicht wird auf eigene Kontrollen und Daten zuzugreifen, die getrennt von den übrigen Abteilungen aktiviert werden.  

Somit ist auch ein getrennten Reporting der einzelnen Verteidigungslinien gegeben. So kann zum Beispiel der Auditor seine eigenen Reports zu seinen Rollen an das Executive Management übergeben. Das gleiche gilt für den Bereich Compliance, IT etc.  

Im SAP RAM gelten die Kontrollen als zentrale Kontakt-Punkte in denen alle gesetzten Rahmenbedingungen, wie z.B. Prozesse, Unternehmens-Hierarchien, Regularien, etc. zusammenkommen und mit automatisierten oder manuellen Prozeduren digitalisierte Resultate ermöglichen.  

  • Die automatisierten Prozeduren z.B. können Anomalien aus den aktuellen Geschäftsprozessen identifizieren und Daten zur weiteren Investigation bereitstellen. Dadurch unterstützen sie die erste Verteidigungslinie und ermöglicht es den Anwendern aus dem Business eine gewisse Sicherheit zu schaffen, dass Vorgänge analysiert und ggf.  Fehler behoben werden können. Zudem gibt es dem Management ein aktives Risko-Steuerungs-Instrument, da schnell auf Anomalien reagiert werden kann und das alles in einem digitalisierten Prozess, der auch entsprechend archiviert wird.  

  • Kontroll-Effizienz und -Effektivität können zum Beispiel mit eigens entwickelten manuellen Prozeduren überwacht werden (in einem selbstgewählten Turnus). Diese manuellen Prozeduren können in einer eigens entwickelten Kontrolle zusammengefasst und von einer zugeordneten, kontrollverantwortlichen Person ausgeführt werden. Auch hier werden Ergebnisse und (mögliche) Anpassungen digitalisiert und archiviert, was wiederrum ein gesondertes Reporting ermöglicht. 

 

Maßgeschneiderte Lösung für den internen Audit 

Für die Innenrevision können, wie bereits erwähnt, gesonderte Rollen und auch eigene automatisierte, wie manuelle Prozeduren entwickelt werden, die der Durchführung eines internen Audits dienen. Einsicht auf die Kontrollen, denen diese Prozeduren zugeordnet werden können, haben somit die Auditoren exklusiv. Es ist zudem möglich in der Unternehmens-Hierarchie eigenen Unternehmens-Bereiche aufzubauen, die den Revisions-Kontrollen zugeordnet werden, damit auch hier eine klare Trennung geschieht.  

Mit SAP RAM erhalten Unternehmen eine integrierte, digitale Lösung, die ihre drei Verteidigungslinien stärkt und die Transparenz, Effizienz, Compliance und das Risikomanagement verbessert. 

 

SAP RAM Anwendungs-Zyklus: 

sap ram german graphic-1