Risk Advisory und Governance für die S/4HANA-Transformation

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

• Ausfallrisiken aufgrund von verzögertem Go Live von S/4HANA gestützten Prozessen wie bspw. Rechnungsstellung
• Negative Auswirkungen von kurzfristig notwendigen Projektentscheidungen auf die Projektzielerreichung
• Compliance-, Cyber- und Datenabfluss-Risiken durch unsensiblen Umgang mit vertraulichen Daten
• Unvorteilhafte Vertragspflichten und nachteilige/ unklare Vereinbarungen bzw. Leistungsspezifikationen mit Lieferanten
• Fehlende Überwachung der Einhaltung von vertraglich vereinbarten KPIs & Anforderungen mit Lieferanten (Vendor Risk Management)
• (Qualitäts-) Risiken durch Lieferanten (Umsetzung, Compliance, Technologie, Finanzen) während Vertragslaufzeit und Vertragsende; unzureichendes Change-/Claim-Management und Performance-Monitoring

Ihre Vorteile im Überblick:

Transparenz

• Fokus auf relevante Projektrisiken durch Einsatz umfangreicher Risiko- und Compliance-Frameworks sowie Risiko-Checklisten
• Durchgängige Aufmerksamkeit des Managements auf wesentliche Sachverhalte für rechtzeitige Entscheidungen

Sicherheit

• Projektunabhängige Sicht auf Projektrisiken losgelöst von jeglichen Stakeholder-Interessen
• Wahrnehmung der Managementpflichten u.a. durch Berücksichtigung der Governance-Standards und regulatorischer Anforderungen

Disziplin

• Strukturierte Überwachung des Programms in einem unabhängigen Set-Up; durchgängige Berichterstattung an das Management
• Konsequente Umsetzung des Projekts nach den übergeordneten Zielen Zeit, Kosten und Qualität

Unser Experte

Behram Yilmaz, Senior Manager | Risk Advisory

E-Mail

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

• Fehlende Sicherheit über die Kontrollen während der Transformation (Prozess- sowie IT-Kontrollen) führen zur Nichteinhaltung regulatorischer sowie interner Anforderungen und haben somit Auswirkungen auf den Jahresabschluss
• Kostenintensive, manuelle und inkonsistente Kontrollsysteme nach der Transformation erfüllen externe und interne Kontrollanforderungen im späteren Regelbetrieb nicht effizient
• Fehlende Transparenz über die Anpassung der Kontrollen im Zielsystem sowie die ordnungsgemäße Datenübernahme
• Investment in S/4HANA wird nicht vollständig realisiert, wenn die (neuen) Funktionalitäten des Systems nicht vollständig genutzt werden
• Inkonsistentes Financial Reporting und mögliche Non-Compliance (nicht effektive Kontrollen) auf Basis ggf. unvollständiger Informationen während und nach der Transformation (z.B. durch falsches Customizing, fehlende Outsourcing-Kontrollen etc.)

Ihre Vorteile im Überblick:

Transparenz

• Konsistentes Reporting aus funktionaler/fachlicher & technischer Sicht
• Nachvollziehbare Dokumentation und unterbrechungsfrei funktionsfähige Kontrollen
• Automatisierung und Monitoring der Kontrollen
• Fachgerechte Dekommissionierung des Altsystems

Sicherheit

• Sicherstellung von funktionsfähigen Kontrollen während der gesamten Transformation und vor allem nach Produktivstart
• Höhere Prozesssicherheit durch automatische Kontrollen
• Nachhaltig reduzierte Kosten bei erhöhter Transparenz des IKS
• Fachliche Richtigkeit der migrierten Daten gemäß nationaler Anforderungen
• Einhaltung regulatorischer Anforderungen währen der Transformation

Disziplin

• „Compliance by Design" - automatische Kontrollen und systemdefinierte Workflows als Teil des IKS verhindern riskante Ausnahmen und „Workarounds"
• Optimierung der Down Time bei Produktivsetzung (Cut Over)
• Verbesserte Datenqualität (Stammdaten)

Unsere Experten

Heiko Jakob, Partner | Risk Advisory

E-Mail

Jan Gruene, Director | Risk Advisory

E-Mail

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

• Ohne eine durchgängige Begleitung von Systemarchitektur-Design und technischer Umsetzung durch Security-Spezialisten drohen spätere Sicherheitslücken und teils aufwändige Nachbesserungen zur Vermeidung von Cyber-Security-Angriffen
• Fehlende Involvierung der Fachbereiche in die Definition eines auf die Unternehmensrisiken und Prozesse zugeschnittenen Berechtigungskonzeptes inklusive SoD Regeln führt zu Folgeaufwänden, Compliance-Verstößen oder dem Abfluss von vertraulichen bzw. wettbewerbskritischen Daten
• Werden Sicherheit und Berechtigungskonzepte ohne geeignete Governance-Prozesse und unterstützende Tools umgesetzt, fehlt es in der Folge an Effizienz und Nachhaltigkeit der getätigten Investitionen
• (Weitreichende) Berechtigungen werden ohne Genehmigung im Zielsystem vergeben, wodurch es zu unautorisierten Buchungen kommen kann

Ihre Vorteile im Überblick:

Transparenz

• Klare risikobasierte Sicherheitsvorgaben und Konzepte in Bezug auf Cyber-Risiken & Zugriffsschutz
• Durchgängiges Monitoring und zielgruppengerechtes Reporting zu Sicherheitsstatus

Sicherheit

• Security by Design
• Ganzheitliche End-2-End Sicherheit

Disziplin

• Standardisierung von Prozessen und Tools rund um die Themen Cyber Security und Zugriffsschutz
• Einheitliche Berechtigungs- und Sicherheitskonzepte mit definierter Governance und Verantwortlichkeiten

Unser Experte

Dr. Roland Michalke, Director | Risk Advisory

E-Mail

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

• Unternehmen, die ihre Datenbestände im ECC-System nicht kennen, migrieren zu viele Daten in das neue S/4HANA und/oder sind an ihre alten Archivsysteme gefesselt
• Beide Wege kosten sehr viel Geld (Lizenzen, Storage, Man Power) und stellen obendrein noch ein Compliance-Risiko dar (weil Daten nicht Datenschutz-konform gelöscht werden)
• Data Transparency und die redundanzfreie Datenhaltung reduzieren den Aufwand sowie Kosten der Datenmigration und die späteren Kosten im S/4HANA Betrieb (Lizenzen, Storage, Man Power). Ferner reduziert eine transparente und redundanzfreie Datenhaltung Compliance Defizite sowohl innerhalb des Unternehmens (IKS) als auch mit den Aufsichtsbehörden (z.B. Finanzamt, Datenschutz)
• Ungenutzte Daten/Systeme sind zu bereinigen und/oder zu archivieren (System Decommissioning)

Ihre Vorteile im Überblick:

Transparenz

• Transparenz über Ihre Datenbestände und dadurch: Einfache Vorbereitung der Datenmigration in die neue S/4HANA-Struktur; Kostenschonende Datenhaltung in alten und neuen Welten und Maximale Nutzbarkeit der Daten für bestehende und neue Use Cases
• Absicherung der redundanzfreien Datenhaltung in der Zukunft durch die Einführung der notwendigen Prozesse noch vor dem Go Live
• Nutzung der redundanzfreien Datenhaltung in der Zukunft als SSOT (Single Source of Truth) und damit als eine Hauptgrundlage als "Data as an Asset" für die Weiterverwendung im Rahmen von Data Lakes

Sicherheit

• Rechtssicherheit über Verwendung und Vorhandensein der Daten (z.B. bzgl. Privacy oder GOBD und Aufbewahrungsfristen)
• Implementierung von SAP ILM zur sicheren Abbildung regelbasierter Aufbewahrung und Löschung

Disziplin

• Zeitnahe Datenbereinigung und die Etablierung von notwendigen Prozessen und Verantwortlichkeiten (Rollenmodell) reduzieren die den Aufwand der Datenmigration
• Passende Rollenmodelle vereinfachen das Datenmanagement und die Datenmigration

Unsere Experten

Ljuba Kerschhofer-Wallner, Partner | Risk Advisory

E-Mail

Titus Aust, Senior Manager | Risk Advisory

E-Mail

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

• Keine Integration von Cash & Liquiditätsmanagement: Ohne SAP Treasury werden Cash & Liquiditätsmanagement sowie die Steuerung der finanziellen Risiken nicht mit den anderen SAP Modulen integriert und die Potentiale zur Qualitäts- und Effizienzsteigerung in diesen Bereichen werden nicht ausgeschöpft
• Eine nachträgliche Implementierung führt typischerweise zu Mehraufwänden und reduziert die Flexibilität bei der Treasury-Prozessabbildung
• Komplexe Schnittstellen: Schnittstellen zu Treasury Drittsystemen erhöhen das Risiko und reduzieren die Datenqualität

Ihre Vorteile im Überblick:

Transparenz

• Gruppenweite Transparenz über alle finanziellen Risiken (Liquidität, FX, Zinsen, Kontrahenten, Rohstoffe) des Unternehmens sowie deren Ergebniswirkung
• Gruppenweite Transparenz über die aktuelle Cash Position unter Berücksichtigung transaktionaler Daten aus verschiedenen Quellsystemen
• Quantifizierbarkeit finanzieller Risken ermöglicht die frühzeitige Ableitung notwendiger Steuerungsmaßnahmen

Sicherheit

• End-to-end Integration der Treasury-Transaktionen in die Buchhaltung stellt ordnungsgemäßen Abschluss sicher
• Compliance über die gruppenweiten Zahlungsströme inkl. Kontroll- und Steuerungsmöglichkeiten
• Frühzeitige Erkennung finanzieller Risiken ermöglicht aktives Risikomanagement

Disziplin

• Standardisierte und einheitliche Prozesse ermöglichen starke Governance im zentralen Treasury
• Hohe Datenqualität über alle Treasury-Bereiche

Unsere Experten

Harald Fritsche, Partner | Risk Advisory

E-Mail

Tobias Kammler, Senior Manager | Risk Advisory

E-Mail

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

• Substantiierung von Hauptbuchkonten (d. h. sachliche und nicht nur rechnerische Richtigkeit), Offene Posten-Klärungen und Journalbuchungen führen weiterhin zu hohem Aufwand im Accounting
• Konten-Substantiierung, Transaktions-Matching und Journalautomatisierung werden vom S/4HANA Standard nicht abgedeckt
• Hohe Zahl manueller Tätigkeiten bedeutet neben hohen Kosten auch Qualitätsrisiken und potenziell erhöhtes Fraud-Risiko
• Neben Prozessen sind auch Strukturen, insbesondere Kontenpläne oft „historisch gewachsen“ und unnötig komplex; eine Optimierung vereinfacht auch eine S/4HANA Einführung
• Automatisierung mit Robotics (RPA) kann zwar Personalaufwand reduzieren, konserviert aber oft suboptimale Prozesse, Risiken und Qualitätsprobleme

Ihre Vorteile im Überblick:

Transparenz

• Standardisierung im Record-to-Report Prozess definiert klare Verantwortlichkeiten und legt bestehende Qualitätsprobleme offen
• „Eine Quelle der Wahrheit“ und volle Integration in die SAP-Welt
• Optimierte Kontenplanstrukturen schaffen Transparenz durch Reduzierung von Komplexität

Sicherheit

• Risikobasierte Genehmigungen fokussieren sich auf das Wesentliche
• Automatisierte Journalbuchungen reduzieren Fraud-Risiko aus manuellen Buchungen im Accounting
• Lückenlose Dokumentation aller Vorgänge sichert Audit-Trail

Disziplin

• „Compliance by Design“ – systemdefinierte Workflows als Teil des IKS verhindern riskante Ausnahmen und „Workarounds“
• Riskante Rückstaus von offenen Klärungen werden schnell sichtbar

Unsere Expert:innen

Thomas Wenzel, Partner | Risk Advisory

E-Mail

Sabine Endmaier, Senior Manager | Risk Advisory

E-Mail