Die SAP propagierte lange Zeit die wesentlichen Vorteile der neuen S/4HANA Produktlinie in der zugrundeliegenden Technologie. Viel wurde beispielsweise über In-Memory-Datenbanken und Public Cloud gesprochen, was im Wesentlichen IT Strategiethemen sind, das Business aber nur mäßig interessieren. Somit konzentrierten sich erste Gespräche zur Transitionsstrategie auch im Wesentlichen auf die Technik.

Erst nach und nach wurden auch funktionale Unterschiede in den Vordergrund gerückt, dann aber doch nicht nur auf die neue Produktlinie beschränkt, sondern teils – z.B. im Kern-Modul SAP FI – auch für ERP Kunden zugänglich gemacht. Hier wurden dann neue Features angeboten, die auch das Business abholen sollten, ohne gleichzeitig die bestehende Kundenbasis zu verprellen.

Was jedoch in jedem Umstellungsprojekt wichtig ist – auch wenn es hier und da zu kurz kommt – ist das organisatorische Management. Und das erstreckt sich nicht nur auf SAP Produkte, sondern auf alle Bestandteile Ihrer Organisationsstruktur.

Organisation? Haben wir.

Fachfunktionen in stark gegliederten Unternehmen (so wie Konzerne mit weltweiten Werken) bilden sich im Normalfall on-demand. Sind die Standorte noch klein, gibt es Einzelpersonen die den ganzen Laden schmeißen, Organisationsstrukturen sind nur rudimentär vorhanden (geschweige denn dokumentiert), Prozesse leben vom Besuch am Schreibtisch, Tools werden aufgesetzt und genutzt wie eben benötigt.

Wachsen die Entitäten, diversifizieren sich die Aufgaben nach und nach aus, Kollege für Kollege, Fachbereich für Fachbereich, Systemverantwortlicher für Systemverantwortlicher. Eine grundlegende Überarbeitung der organisatorischen Rollen erfolgt selten, und je mehr das Unternehmen wächst, so wächst auch der Aufwand für eine solche Restrukturierung. Somit wird es immer unattraktiver, das Ganze anzugehen.

adizes lifecycle, organisational lifecycle
https://adizes.com/lifecycle/

Das ist grundlegend auch kein Problem, denn oft ist ein lokalisierter Ansatz in der organisatorischen Rollenverteilung auch der effizienteste Weg das Ziel eines Werks zu erreichen. So werden lokale Rahmenbedingungen optimal adressiert, denn niemand kennt die kleinen Kniffe und Besonderheiten besser als der lokal verantwortliche Fachbereich. Der Zentrale ist das natürlich selten Recht, hat sie doch weder Transparenz über den Ablauf, noch über die Performance der Prozesse (von Harmonisierung oder zentralisierten System ganz zu schweigen).

Kommt dann jemand mit einem ERP System um die Ecke, ist das ein guter Moment um noch einmal in sich zu gehen. Die Aufräumarbeit gehört zwar nicht direkt zur Systemeinführung selbst, lässt sich aber in dem Zuge prima adressieren. Man schaut sich ohnehin die aktuell aktiven Funktionen und Prozesse an, warum dann nicht gleich mal aufräumen?

Wo hakt’s?

Die oben genannte Entwicklung ist keineswegs selten. Natürlich gehen Business und IT zunächst den effizientesten Weg um ihre Aufgaben zu erfüllen. Sicher oder gar vorgabenkonform ist dieser jedoch selten. Das daraus resultierende Problem erstreckt sich oft in zwei Dimensionen: der Umfang der verfügbaren Berechtigungen, und die Kombination von kritischen Berechtigungen. Diese erstrecken sich keineswegs nur auf ein bestimmtes IT Produkt von einem bestimmten Hersteller. Das Konzept sollte alle Produkte und (auch physischen) Zugänge umfassen.

Probleme im Umfang der Berechtigungen

  • Zugriffs- und Zugangsrechte sammeln sich mit den Jahren an, da bei Positionswechseln oder dem Abgeben von Aufgaben die obsoleten Rechte selten entfernt werden
  • Der Umfang der Berechtigungsrollen selbst hat auch die Tendenz ständig anzuwachsen (und nie zu schrumpfen), weil glaubhaft dargelegt wird das Aktivität X unbedingt noch in Rolle Y aufgenommen gehört (nie jedoch kommt jemand auf die Idee eine Rolle zu verkleinern)

Zu umfangreiche Berechtigungen auf dem Gelände und im System führen in der endgültigen Konsequenz zu gottgleichen Mitarbeitern die „so gut wie alles“ dürfen, und oft auch so eingesetzt werden. „Geh mal zu H. Schmidt, der war doch mal im Einkauf / der kann die Rechnung buchen / der kommt in das R&D Gebäude“ könnte dann ein vielgenutzter Tipp in einem Ihrer Werke lauten. Das können Sie nur verhindern, indem Sie zwei Dinge tun:

  1. Sie stellen sicher, dass H. Schmidt und alle seine Kollegen einem ständigen Berechtigungscontrolling unterliegen. Seine organisatorische Rolle muss einem festen Set an Berechtigungsrollen in allen Systemen und Orten zugeordnet sein, und sobald sich erste ändert, muss letztere mit geändert werden. Ob sie das mit Stift und Papier machen oder ein IAM System einsetzen wollen, bleibt Ihrer Digitalisierungsstrategie überlassen. Aber Sie sollten das Thema workflowseitig abdecken, wenn Sie keinen Super-GAU riskieren wollen (wenn H. Schmidt bspw. gekündigt wird und es zum Schluss der Firma nochmal so richtig zeigen will).
  2. Auch die Rollen selbst gehören in ein gut durchdachtes Rollen-Framework eingebunden, damit sie nicht inflationär wachsen und irgendwann egal ist welche Rolle man bekommt, es können eh fast alle fast alles. Auch hier macht ein übergeordnetes Dokumentations- und (im Idealfall) Überwachungssystem viel Sinn, wenn Sie der Komplexität Herr werden und bleiben wollen.

Probleme in der Kombination der Berechtigungen (Segregation of Duties / 4 eyes principle), z.B.:

  • kritische Kombination im gleichen Fachprozess, bspw. Bestellung anlegen, Bestellung genehmigen
  • kritische Kombination in ursprünglich getrennten Prozessen, bspw. Lieferantenstamm pflegen, Rechnungseingang buchen

Spätestens hier kommen Sie ohne ein umfangreiches IT-Tool nicht mehr aus. Das gilt insbesondere wenn Sie die Prozess-Teilschritte nicht in einem zentralen System abgebildet haben. Sonst wird es schwierig regelmäßig abzuprüfen, ob der Kollege im SRM-System der gleiche ist, der im FI-System die Rechnungen bucht.

Nicht nur aufräumen

Denn eines möchte ich abschließend noch deutlich machen: es reicht nicht, ein Mal compliant aufzuräumen. Sie müssen auch sicherstellen, das die Regeln in der operativen Hektik eingehalten werden. Also braucht es Governance-Verantwortliche global (regional,) und lokal und es braucht Rollen-Owner für Organisation und System. Über die Entwicklung einer Governance-Struktur und regelmäßige Audits lassen sich hier mit recht grundlegenden Mitteln schon viele Themen adressieren.

Nicht zuletzt braucht es jedoch auch das Verständnis auf Seiten des Managements und der Mitarbeiter, dass es im besten Interesse des Unternehmens ist hier ein gewisses Maß an Aufwand zu investieren. Also vergessen Sie den wichtigsten Bestandteil von Veränderungsprozessen nicht: die Kommunikation.

Viel Erfolg weiterhin,

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Unterschrift_blau.jpg
Einmal unter die Haube schauen
Tagged on: