Diese Mini-Blog-Serie besteht aus 4 verschiedenen Blogs zum Thema SAP RAM und die drei Verteidigungs-Linien eines Unternehmens.
Der erste Blog der Serie soll einen Überblick des Themas geben und die Thematik grundlegend betrachten. Die nachfolgenden Blogs werden detailreich in die einzelnen Verteidigungslinien eingehen und aufzeigen, wie SAP RAM die jeweilige Linie unterstützen kann.
In unserer globalen und sehr wandelbaren Welt stehen Unternehmen vor immer größeren Herausforderungen. Neue Regularien, gesetzliche Vorgaben und Änderungen gehören fast schon zum Alltag. Um ein Unternehmen von innen heraus zu stärken sind die drei Verteidigungslinien (englisch: Three Lines of Defense oder kurz 3LoD) besonders wichtig. Doch gegen was soll ein Unternehmen denn verteidigt werden?
Im Grunde geht es um jegliche Risiken, die die Stabilität des Unternehmens beeinträchtigen könnten. Darunter fallen zum Beispiel das Einhalten von gesetzlichen Bestimmungen, Vermeidung von Betrug, schnelles Erkennen von Abweichungen und Anomalien, sowie Fehler in Bearbeitungsprozessen.
Um den Unternehmen mit genau diesen Herausforderungen zu helfen, hat die SAP SE ein neues Produkt entwickelt, das SAP Risk and Assurance Management.
Doch bevor wir auf die Punkte wie Ihnen SAP Risk and Assurance Management mit ihren der Verteidigungslinien helfen kann, sollte das Modell der drei Verteidigungslinien erst definiert werden .
Die drei Verteidigungslinien
*Dieses Diagramm stellt eine allgemeine Version des aktualisierten IIA-Modells der 3 Verteidigungslinien dar. In der Realität variiert die Umsetzung des Modells für alle Unternehmen erheblich, insbesondere in der 3. Verteidigungslinie. SAP RAM bietet ein geeignetes risikobasiertes Kontrollmanagement und weitere Vorteile, die diese Variationen abdecken.
1st LoD: Die erste Verteidigungslinie – Betriebsmanagement
Das operative Management bildet die erste Verteidigungslinie und besteht aus Führungskräften, die für das Tagesgeschäft verantwortlich sind. Ihre Hauptaufgabe besteht darin, interne Risikomanagementrichtlinien umzusetzen und Geschäftsaktivitäten zu überwachen, um Risiken frühzeitig zu erkennen und zu mindern. Darüber hinaus sind sie für die Einhaltung und kontinuierliche Verbesserung des Internen Kontrollsystems (IKS) verantwortlich.
Das IKS unterliegt – ebenso wie das Unternehmen selbst – kontinuierlichen Anpassungen, Änderungen und neuen Anforderungen, insbesondere durch externe Faktoren. Daher gehört es zu den Aufgaben des Betriebsmanagements, Prozess- und Kontrollabweichungen zu identifizieren, zu analysieren und gegebenenfalls anzupassen, sodass das IKS den regulatorischen Anforderungen entspricht.
Zusätzlich trägt das Betriebsmanagement die Verantwortung für ein aktives Risikomanagement, um die Stabilität und Effizienz des Unternehmens langfristig zu gewährleisten.
2nd LoD: Die zweite Verteidigungslinie – Framework Management
Das Management der zweiten Verteidigungslinie verantwortet hauptsächlich, Standards für das Unternehmen zu schaffen, um die Anforderungen aus dem Risiko-Management gesamtheitlich umzusetzen. Die Geschäftsbereiche beziehen sich auf Compliance, IT, Controlling und weitere.
Die Standards sind zum Beispiel generelle Policies für die entsprechenden Geschäftsbereiche, die Schaffung von Standard Operation Procedures (SOPs) oder interne Richtlinien zur Einhaltung gesetzlicher Vorgaben.
Zudem besteht die Aufgabe, aktiv auf Neuerung durch externe Faktoren, wie zum Beispiel neuer Gesetze oder Änderungs-Anforderungen des Executive Managements aus einem externen Audit, zu reagieren und die Einhaltung der Neuerungen zu gewährleisten.
Zusätzlich braucht es weitere Expertisen von Fachabteilungen wie zum Beispiel der IT oder Market Research, etc. In diesen Geschäftsbereichen müssen Standards für die Umsetzbarkeit und Effektivität der Vorgaben aus dem Risko-Management gesetzt werden. Diese Umsetzbarkeit ist ausschlaggebend für die täglichen Geschäftsprozesse und damit auch für die erste Verteidigungs-Linie
3rd LoD: Die dritte Verteidigungslinie – Interne Revision
Als dritte Verteidigungslinie stehen die Auditoren der Internen Revision. Die Verantwortung der Innenrevisoren liegt darin die Geschäftsprozesse, Rahmenbedingungen, Frameworks und Prozesse der ersten und zweiten Verteidigungslinie zu überprüfen. Zudem muss das interne Kontrollsystem auf dessen Effektivität und Effizienz geprüft werden.
Die interne Revision soll als Unterstützung der ersten und zweiten Verteidigungslinie betrachtet werden, da die Resultate ihrer Arbeit als Lenkungs-Instrument für zukünftige Anpassungen der Frameworks, Geschäftsprozesse etc. gelten.
Es ist wichtig, dass die Innenrevision immer unabhängig von den ersten beiden Verteidigungslinien agiert, da nur so eine neutrale Bewertung des Unternehmens gewährleistet wird.
Die Ergebnisse einer internen Revision werden an das Executive Management berichtet, das dann die unternehmerischen Ziele anpassen kann, die dann wiederrum zur Umsetzung an die erste und zweite Verteidigungslinie gegeben werden.
SAP Risk and Assurance Management im Bereich der drei Verteidigungslinien
SAP Risk and Assurance Management (SAP RAM) ist SAPs Lösung für eine risiko-basierte GRC-Kontroll- Lösung für die Cloud. Es soll als Plattform für viele Anwendungsbereich des gesamten Unternehmens verstanden werden. Darunter fallen auch die Bereiche der drei Verteidigungslinien.
SAP bietet mit SAP RAM eine Standard Rollen Kollektion an, die grundlegend für den Bereich Compliance erstellt wurde. Es ist jedoch auch möglich mit einem individuellen Rollen-Konzept weitere Bereiche abzudecken. So kann zum Beispiel für die Innenrevision individualisierte Rollen entwickelt werden, mit denen es den Auditoren ermöglicht wird auf eigene Kontrollen und Daten zuzugreifen, die getrennt von den übrigen Abteilungen aktiviert werden.
Somit ist auch ein getrennten Reporting der einzelnen Verteidigungslinien gegeben. So kann zum Beispiel der Auditor seine eigenen Reports zu seinen Rollen an das Executive Management übergeben. Das gleiche gilt für den Bereich Compliance, IT etc.
Im SAP RAM gelten die Kontrollen als zentrale Kontakt-Punkte in denen alle gesetzten Rahmenbedingungen, wie z.B. Prozesse, Unternehmens-Hierarchien, Regularien, etc. zusammenkommen und mit automatisierten oder manuellen Prozeduren digitalisierte Resultate ermöglichen.
-
Die automatisierten Prozeduren z.B. können Anomalien aus den aktuellen Geschäftsprozessen identifizieren und Daten zur weiteren Investigation bereitstellen. Dadurch unterstützen sie die erste Verteidigungslinie und ermöglicht es den Anwendern aus dem Business eine gewisse Sicherheit zu schaffen, dass Vorgänge analysiert und ggf. Fehler behoben werden können. Zudem gibt es dem Management ein aktives Risko-Steuerungs-Instrument, da schnell auf Anomalien reagiert werden kann und das alles in einem digitalisierten Prozess, der auch entsprechend archiviert wird.
-
Kontroll-Effizienz und -Effektivität können zum Beispiel mit eigens entwickelten manuellen Prozeduren überwacht werden (in einem selbstgewählten Turnus). Diese manuellen Prozeduren können in einer eigens entwickelten Kontrolle zusammengefasst und von einer zugeordneten, kontrollverantwortlichen Person ausgeführt werden. Auch hier werden Ergebnisse und (mögliche) Anpassungen digitalisiert und archiviert, was wiederrum ein gesondertes Reporting ermöglicht.
Maßgeschneiderte Lösung für den internen Audit
Für die Innenrevision können, wie bereits erwähnt, gesonderte Rollen und auch eigene automatisierte, wie manuelle Prozeduren entwickelt werden, die der Durchführung eines internen Audits dienen. Einsicht auf die Kontrollen, denen diese Prozeduren zugeordnet werden können, haben somit die Auditoren exklusiv. Es ist zudem möglich in der Unternehmens-Hierarchie eigenen Unternehmens-Bereiche aufzubauen, die den Revisions-Kontrollen zugeordnet werden, damit auch hier eine klare Trennung geschieht.
Mit SAP RAM erhalten Unternehmen eine integrierte, digitale Lösung, die ihre drei Verteidigungslinien stärkt und die Transparenz, Effizienz, Compliance und das Risikomanagement verbessert.
SAP RAM Anwendungs-Zyklus: