50 % geringere Segregation of Duties (SoD)-Risiken
100 % Antworten von Reviewern erreicht
Geringerer Umfang von Zugriffsrechten und deutliche Verbesserung der Benutzererfahrung
Endeavor (vormals bekannt als WME | IMG) ist ein weltweit führendes Unternehmen in den Bereichen Sport, Unterhaltung und Mode, das in mehr als 30 Ländern präsent ist. Endeavor wurde vom Wirtschaftsmagazin Fortune als eines der 25 wichtigsten privaten Unternehmen eingestuft und ist auf Talentrepräsentation und -management, Markenstrategie, -aktivierung und -lizenzierung, Medienvertrieb und
-verteilung sowie Eventmanagement spezialisiert. Das Unternehmen ist Veranstalter der Ultimate Fighting Championship und des Schönheitswettbewerbs Miss Universe.
Die IT-Teams von Endeavor arbeiten aufgrund des wachsenden Funktionsumfangs mit immer strengeren Audit-Anforderungen.
Die SAP-Installation des Unternehmens wurde ursprünglich Mitte der 1990er Jahre implementiert und hat im Laufe der Zeit zu einem „Schneeballeffekt“ bei Benutzerzugängen geführt. Typische Benutzerwünsche waren etwa: „Bitte den Zugriff von Joe spiegeln“. Erschwerend kam hinzu, dass Nutzer im Laufe der Zeit immer mehr Zugriffsrechte bekamen und auch dann behielten, wenn diese Rechte für ihre Aufgaben nicht mehr notwendig waren.
Das Team führte regelmäßige User Access Reviews (UARs) durch. Das war jedoch weitgehend ein IT-zentrierter Prozess, gestützt auf manuelle Datenextrakte in Excel und E-Mail. Es war ein sehr zeitaufwändiger und schwer zu wiederholender Vorgang, der manuell ausgeführt wurde und deshalb fehleranfällig war. Antworten und Prüfungsergebnisse waren nur schwer nachzuverfolgen und zu konsolidieren. In diesem Prozess waren viele Herausforderungen, die es dem Unternehmen erschwerten alle Beteiligten zum Engagement zu bewegen. Der Schwerpunkt für UARs lag auf einer kleinen Untergruppe von Mitarbeitern, größtenteils in der Finanzabteilung, deren Team üblicherweise aus rund 25 Personen bestand, die den Zugang von rund 2000 Personen überprüften.
Das Hauptziel von Endeavor war die Einführung einer zentralisierten und einfach reproduzierbaren Methodik für die Durchführung von UARs mit einem klar definierten, stabilen und systembasierten Regelwerk.
Dazu musste Endeavor:
Das sekundäre Ziel war, die Effizienz, Transparenz und Berichtsfähigkeit in Zugriffsprozessen zu verbessern.
„In unserem Access Review Management haben wir sehr gute Ergebnisse erzielt. Unsere Manager führen es jetzt mit viel weniger Aufwand durch.“
Nick Achteberg, Senior Director Technical Services (SAP), Endeavor
Endeavor wollte sein SAP-Team nicht in ein langwieriges und komplexes GRC-Konfigurationsprojekt mit laufendem Wartungsaufwand hineinziehen lassen. Nach Gesprächen mit verschiedenen Anbietern wurde entschieden, Soterion für SAP als cloud-basierte, gehostete Lösung zu implementieren. Das Team bei Endeavor kam zu der Überzeugung, das dies die am besten geeignete und benutzerfreundlichste Lösung für seine GRC-Ziele ist.
Die Verwendung eines Standard-Transportes von Soterion, da keine SAP Entwicklung oder -Konfiguration erforderlich waren.
„Mithilfe von Soterion haben wir festgestellt, dass viele Mitarbeiter einen Zugang mit Risiken hatten, den sie nicht mehr brauchten. Jetzt haben wir bei uns das Ausmaß an Zugangsrisiken deutlich reduziert.“
Nick Achteberg, Senior Director Technical Services (SAP), Endeavor
Die Vorteile hinsichtlich des Risiko- und Rollenmanagements waren größer als erwartet.
Endeavor ist es gelungen, sein Risikoprofil deutlich um 50% zu reduzieren. Das Unternehmen hält an diesem Kurs fest und rechnet in den nächsten Monaten mit weiteren Reduzierungen.
Parallel dazu wurde der Überblick über inaktive Nutzer und nicht genutzte Zugriffsrechte verbessert. Das hilft dem Team, fundierte Entscheidungen in der Pflege und Weiterentwicklung von Rollen zu treffen. Durch reduzierten Zugriff und das Löschen ruhender Benutzer nutzt Endeavor seine SAP-Benutzerlizenzen nun deutlich effizienter.
© 2023 EPI-USE Berlin GmbH, Friedrichstraße 95, 10117 Berlin
© 2023 EPI-USE GmbH, Sophie-Scholl-Platz 8, 63452 Hanau
© 2023 EPI-USE Labs GmbH, Altrottstraße 31, 69190 Walldorf