Services

Risk Advisory und Governance für die S/4HANA-Transformation

Deloitte unterstützt Unternehmen für mehr Sicherheit und Transparenz 

Unternehmen bietet eine S/4HANA-Transformation enorme Möglichkeiten, sie birgt aber zugleich auch Risiken. Gerade aus Sicht des CFO müssen hierbei Entscheidungen zur Governance getroffen und konzernweit etabliert werden, um den Anforderungen verschiedener Stakeholder gerecht zu werden und die Risiken zu managen.

Herausforderung aus Governance Perspektive

Fehlende Transparenz, lückenhafte Sicherheit und mangelnde Disziplin sind die ständigen Herausforderungen, mit denen ein CFO konfrontiert ist. Die gilt im Besonderen bei einer S/4HANA-Transformation , denn sie muss einer Vielzahl von regulatorischen Anforderungen gerecht werden. Deren Umsetzung nach einer technischen Implementierung erzeugt nicht eingeplante und unvorhersehbare Kosten.

Risiken: mangelnde Disziplin und Transparenz, lückenhafte Sicherheit

Die Transformation muss nicht nur funktionell erfolgreich sein, sondern das System muss auch allen Angriffen, von innen wie von außen, standhalten können. Erfahrungsgemäß wird dem Thema Sicherheit bei standardisierten S/4HANA-Transformationen zu wenig Aufmerksamkeit geschenkt. Dies birgt ein erhebliches Risiko für ungewollte finanzielle Abflüsse.
Durchlässige Prozesse gefährden die erfolgreiche und nachhaltige Umsetzung des definierten Governance-Frameworks nach der abgeschlossenen Transformation. Daher stellt sich die Frage, wie ein CFO den Governance-Anforderungen während und nach einer Transformation gerecht werden kann und dabei gleichzeitig seine CFO-Agenda vorantreiben kann. Wir begleiten und unterstützen Sie dabei, diese Herausforderungen nachhaltig zu meistern. Durch eine maßgeschneiderte Transformation werden die Governance-Ziele bzgl. Transparenz, Sicherheit und Disziplin dauerhaft durchgesetzt. Wir schließen mithilfe unseres ganzheitlichen Ansatzes die Risikolücken, die bei einer Standard-Transformation nicht vollumfänglich abgedeckt werden.

Transparenz:

  • Überblick über sämtliche regulatorische Anforderungen, die im Rahmen einer S/4HANA-Transformation umzusetzen sind
  • Kontrolle im Projekt und Erarbeitung des Big Picture in Bezug auf Kosten und Folgekosten der Transformation

Sicherheit:

  • Wir machen das System sicher und robust, auch speziell im Hinblick auf Cyber-Risiken
  • Durch die frühzeitige Berücksichtigung der Risiken können nachträgliche Kosten vermieden werden und das Investment Case des Kunden vollständig ausgeschöpft werden

Disziplin:

  • Etablierung einer nachhaltigen Governance-Kultur und Definition von starken Prozessen, die ein Aufweichen nach der Transformation verhindern
  • Wir kennen die typischen Fallstricke rund um die Transformation, und gemeinsam mit dem Kunden sorgen wir dafür, dass unliebsame Überraschungen ausbleiben

Unsere Offerings

Programme Risk

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

  • Ausfallrisiken aufgrund von verzögertem Go Live von S/4HANA gestützten Prozessen wie bspw. Rechnungsstellung
  • Negative Auswirkungen von kurzfristig notwendigen Projektentscheidungen auf die Projektzielerreichung
  • Compliance-, Cyber- und Datenabfluss-Risiken durch unsensiblen Umgang mit vertraulichen Daten
  • Unvorteilhafte Vertragspflichten und nachteilige/ unklare Vereinbarungen bzw. Leistungsspezifikationen mit Lieferanten
  • Fehlende Überwachung der Einhaltung von vertraglich vereinbarten KPIs & Anforderungen mit Lieferanten (Vendor Risk Management)
  • (Qualitäts-) Risiken durch Lieferanten (Umsetzung, Compliance, Technologie, Finanzen) während Vertragslaufzeit und Vertragsende; unzureichendes Change-/Claim-Management und Performance-Monitoring

Ihre Vorteile im Überblick:

Transparenz

  • Fokus auf relevante Projektrisiken durch Einsatz umfangreicher Risiko- und Compliance-Frameworks sowie Risiko-Checklisten
  • Durchgängige Aufmerksamkeit des Managements auf wesentliche Sachverhalte für rechtzeitige Entscheidungen

Sicherheit

  • Projektunabhängige Sicht auf Projektrisiken losgelöst von jeglichen Stakeholder-Interessen
  • Wahrnehmung der Managementpflichten u.a. durch Berücksichtigung der Governance-Standards und regulatorischer Anforderungen

Disziplin

  • Strukturierte Überwachung des Programms in einem unabhängigen Set-Up; durchgängige Berichterstattung an das Management
  • Konsequente Umsetzung des Projekts nach den übergeordneten Zielen Zeit, Kosten und Qualität


Unser Experte

Behram Yilmaz, Senior Manager | Risk Advisory

E-Mail

Controls

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

  • Fehlende Sicherheit über die Kontrollen während der Transformation (Prozess- sowie IT-Kontrollen) führen zur Nichteinhaltung regulatorischer sowie interner Anforderungen und haben somit Auswirkungen auf den Jahresabschluss
  • Kostenintensive, manuelle und inkonsistente Kontrollsysteme nach der Transformation erfüllen externe und interne Kontrollanforderungen im späteren Regelbetrieb nicht effizient
  • Fehlende Transparenz über die Anpassung der Kontrollen im Zielsystem sowie die ordnungsgemäße Datenübernahme
  • Investment in S/4HANA wird nicht vollständig realisiert, wenn die (neuen) Funktionalitäten des Systems nicht vollständig genutzt werden
  • Inkonsistentes Financial Reporting und mögliche Non-Compliance (nicht effektive Kontrollen) auf Basis ggf. unvollständiger Informationen während und nach der Transformation (z.B. durch falsches Customizing, fehlende Outsourcing-Kontrollen etc.)

Ihre Vorteile im Überblick:

Transparenz

  • Konsistentes Reporting aus funktionaler/fachlicher & technischer Sicht
  • Nachvollziehbare Dokumentation und unterbrechungsfrei funktionsfähige Kontrollen
  • Automatisierung und Monitoring der Kontrollen
  • Fachgerechte Dekommissionierung des Altsystems

Sicherheit

  • Sicherstellung von funktionsfähigen Kontrollen während der gesamten Transformation und vor allem nach Produktivstart
  • Höhere Prozesssicherheit durch automatische Kontrollen
  • Nachhaltig reduzierte Kosten bei erhöhter Transparenz des IKS
  • Fachliche Richtigkeit der migrierten Daten gemäß nationaler Anforderungen
  • Einhaltung regulatorischer Anforderungen währen der Transformation

Disziplin

  • „Compliance by Design" - automatische Kontrollen und systemdefinierte Workflows als Teil des IKS verhindern riskante Ausnahmen und „Workarounds"
  • Optimierung der Down Time bei Produktivsetzung (Cut Over)
  • Verbesserte Datenqualität (Stammdaten)


Unsere Experten

Heiko Jakob, Partner | Risk Advisory

E-Mail

Heinz Wustmann, Partner | Risk Advisory

E-Mail

Security

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

  • Ohne eine durchgängige Begleitung von Systemarchitektur-Design und technischer Umsetzung durch Security-Spezialisten drohen spätere Sicherheitslücken und teils aufwändige Nachbesserungen zur Vermeidung von Cyber-Security-Angriffen
  • Fehlende Involvierung der Fachbereiche in die Definition eines auf die Unternehmensrisiken und Prozesse zugeschnittenen Berechtigungskonzeptes inklusive SoD Regeln führt zu Folgeaufwänden, Compliance-Verstößen oder dem Abfluss von vertraulichen bzw. wettbewerbskritischen Daten
  • Werden Sicherheit und Berechtigungskonzepte ohne geeignete Governance-Prozesse und unterstützende Tools umgesetzt, fehlt es in der Folge an Effizienz und Nachhaltigkeit der getätigten Investitionen
  • (Weitreichende) Berechtigungen werden ohne Genehmigung im Zielsystem vergeben, wodurch es zu unautorisierten Buchungen kommen kann

Ihre Vorteile im Überblick:

Transparenz

  • Klare risikobasierte Sicherheitsvorgaben und Konzepte in Bezug auf Cyber-Risiken & Zugriffsschutz
  • Durchgängiges Monitoring und zielgruppengerechtes Reporting zu Sicherheitsstatus

Sicherheit

  • Security by Design
  • Ganzheitliche End-2-End Sicherheit

Disziplin

  • Standardisierung von Prozessen und Tools rund um die Themen Cyber Security und Zugriffsschutz
  • Einheitliche Berechtigungs- und Sicherheitskonzepte mit definierter Governance und Verantwortlichkeiten


Unser Experte

Dr. Roland Michalke, Director | Risk Advisory

E-Mail

Data Transparancy

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

  • Unternehmen, die ihre Datenbestände im ECC-System nicht kennen, migrieren zu viele Daten in das neue S/4HANA und/oder sind an ihre alten Archivsysteme gefesselt
  • Beide Wege kosten sehr viel Geld (Lizenzen, Storage, Man Power) und stellen obendrein noch ein Compliance-Risiko dar (weil Daten nicht Datenschutz-konform gelöscht werden)
  • Data Transparency und die redundanzfreie Datenhaltung reduzieren den Aufwand sowie Kosten der Datenmigration und die späteren Kosten im S/4HANA Betrieb (Lizenzen, Storage, Man Power). Ferner reduziert eine transparente und redundanzfreie Datenhaltung Compliance Defizite sowohl innerhalb des Unternehmens (IKS) als auch mit den Aufsichtsbehörden (z.B. Finanzamt, Datenschutz)
  • Ungenutzte Daten/Systeme sind zu bereinigen und/oder zu archivieren (System Decommissioning)

Ihre Vorteile im Überblick:

Transparenz

  • Transparenz über Ihre Datenbestände und dadurch: Einfache Vorbereitung der Datenmigration in die neue S/4HANA-Struktur; Kostenschonende Datenhaltung in alten und neuen Welten und Maximale Nutzbarkeit der Daten für bestehende und neue Use Cases
  • Absicherung der redundanzfreien Datenhaltung in der Zukunft durch die Einführung der notwendigen Prozesse noch vor dem Go Live
  • Nutzung der redundanzfreien Datenhaltung in der Zukunft als SSOT (Single Source of Truth) und damit als eine Hauptgrundlage als "Data as an Asset" für die Weiterverwendung im Rahmen von Data Lakes

Sicherheit

  • Rechtssicherheit über Verwendung und Vorhandensein der Daten (z.B. bzgl. Privacy oder GOBD und Aufbewahrungsfristen)
  • Implementierung von SAP ILM zur sicheren Abbildung regelbasierter Aufbewahrung und Löschung

Disziplin

  • Zeitnahe Datenbereinigung und die Etablierung von notwendigen Prozessen und Verantwortlichkeiten (Rollenmodell) reduzieren die den Aufwand der Datenmigration
  • Passende Rollenmodelle vereinfachen das Datenmanagement und die Datenmigration


Unsere Experten

Ljuba Kerschhofer-Wallner, Director | Risk Advisory

E-Mail

Titus Aust, Manager | Risk Advisory

E-Mail

Digital Treasury

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

  • Keine Integration von Cash & Liquiditätsmanagement: Ohne SAP Treasury werden Cash & Liquiditätsmanagement sowie die Steuerung der finanziellen Risiken nicht mit den anderen SAP Modulen integriert und die Potentiale zur Qualitäts- und Effizienzsteigerung in diesen Bereichen werden nicht ausgeschöpft
  • Eine nachträgliche Implementierung führt typischerweise zu Mehraufwänden und reduziert die Flexibilität bei der Treasury-Prozessabbildung
  • Komplexe Schnittstellen: Schnittstellen zu Treasury Drittsystemen erhöhen das Risiko und reduzieren die Datenqualität

Ihre Vorteile im Überblick:

Transparenz

  • Gruppenweite Transparenz über alle finanziellen Risiken (Liquidität, FX, Zinsen, Kontrahenten, Rohstoffe) des Unternehmens sowie deren Ergebniswirkung
  • Gruppenweite Transparenz über die aktuelle Cash Position unter Berücksichtigung transaktionaler Daten aus verschiedenen Quellsystemen
  • Quantifizierbarkeit finanzieller Risken ermöglicht die frühzeitige Ableitung notwendiger Steuerungsmaßnahmen

Sicherheit

  • End-to-end Integration der Treasury-Transaktionen in die Buchhaltung stellt ordnungsgemäßen Abschluss sicher
  • Compliance über die gruppenweiten Zahlungsströme inkl. Kontroll- und Steuerungsmöglichkeiten
  • Frühzeitige Erkennung finanzieller Risiken ermöglicht aktives Risikomanagement

Disziplin

  • Standardisierte und einheitliche Prozesse ermöglichen starke Governance im zentralen Treasury
  • Hohe Datenqualität über alle Treasury-Bereiche


Unsere Experten

Harald Fritsche, Partner | Risk Advisory

E-Mail

Tobias Kammler, Senior Manager | Risk Advisory

E-Mail

Digital Controllership

Auswahl typischer Risiken bei unzureichender Berücksichtigung in der Transformation:

  • Substantiierung von Hauptbuchkonten (d. h. sachliche und nicht nur rechnerische Richtigkeit), Offene Posten-Klärungen und Journalbuchungen führen weiterhin zu hohem Aufwand im Accounting
  • Konten-Substantiierung, Transaktions-Matching und Journalautomatisierung werden vom S/4HANA Standard nicht abgedeckt
  • Hohe Zahl manueller Tätigkeiten bedeutet neben hohen Kosten auch Qualitätsrisiken und potenziell erhöhtes Fraud-Risiko
  • Neben Prozessen sind auch Strukturen, insbesondere Kontenpläne oft „historisch gewachsen“ und unnötig komplex; eine Optimierung vereinfacht auch eine S/4HANA Einführung
  • Automatisierung mit Robotics (RPA) kann zwar Personalaufwand reduzieren, konserviert aber oft suboptimale Prozesse, Risiken und Qualitätsprobleme

Ihre Vorteile im Überblick:

Transparenz

  • Standardisierung im Record-to-Report Prozess definiert klare Verantwortlichkeiten und legt bestehende Qualitätsprobleme offen
  • „Eine Quelle der Wahrheit“ und volle Integration in die SAP-Welt
  • Optimierte Kontenplanstrukturen schaffen Transparenz durch Reduzierung von Komplexität

Sicherheit

  • Risikobasierte Genehmigungen fokussieren sich auf das Wesentliche
  • Automatisierte Journalbuchungen reduzieren Fraud-Risiko aus manuellen Buchungen im Accounting
  • Lückenlose Dokumentation aller Vorgänge sichert Audit-Trail

Disziplin

  • „Compliance by Design“ – systemdefinierte Workflows als Teil des IKS verhindern riskante Ausnahmen und „Workarounds“
  • Riskante Rückstaus von offenen Klärungen werden schnell sichtbar


Unser Experte

Thomas Wenzel, Partner | Risk Advisory

E-Mail

Ihre Ansprechpartner

Alexander Huffer

Alexander Huffer

Partner | Cyber

Alexander Huffer verantwortet als Partner im Offering Cyber des Geschäftsbereichs Risk Advisory alle Themen für Application Security. Darunter fallen Cyber Security Lösungen für SAP Anwendungen, wie z... Mehr

Dr. Roland Michalke

Dr. Roland Michalke

Director | Cyber

Dr. Roland Michalke ist seit 2001 in der Service Line Risk Advisory bei Deloitte tätig. Sein Aufgabenbereich umfasst die Beratung unserer Kunden bei Fragestellungen zur Sicherheit und Ordnungs-mäßigke... Mehr