Endeavor SS_Landing Page Baground image_23 September

Endeavor verbessert mit Soterion die GRC-Compliance für sein SAP 

„Unsere Nutzer sind zufrieden, dass sie ein Tool haben, das ihnen das Durcharbeiten, Verstehen und den Überblick der User Accesss Reviews (UARs) erheblich erleichtert."
Nick Achteberg, Senior Director Technical Services (SAP), Endeavor

50 % geringere Segregation of Duties (SoD)-Risiken

100 % Antworten von Reviewern erreicht

Geringerer Umfang von Zugriffsrechten und deutliche Verbesserung der Benutzererfahrung

Über Endeavor

Endeavor (vormals bekannt als WME | IMG) ist ein weltweit führendes Unternehmen in den Bereichen Sport, Unterhaltung und Mode, das in mehr als 30 Ländern präsent ist. Endeavor wurde vom Wirtschaftsmagazin Fortune als eines der 25 wichtigsten privaten Unternehmen eingestuft und ist auf Talentrepräsentation und -management, Markenstrategie, -aktivierung und -lizenzierung, Medienvertrieb und
-verteilung sowie Eventmanagement spezialisiert. Das Unternehmen ist Veranstalter der Ultimate Fighting Championship und des Schönheitswettbewerbs Miss Universe.

DEMO ANFORDERN     DOWNLOAD SUCCESS STORY  ON-DEMAND WEBINAR

Endeavor steht vor zahlreichen Herausforderungen mit Blick auf Governance, Risk & Compliance (GRC)


Die IT-Teams von Endeavor arbeiten aufgrund des wachsenden Funktionsumfangs mit immer strengeren Audit-Anforderungen.

Die SAP-Installation des Unternehmens wurde ursprünglich Mitte der 1990er Jahre implementiert und hat im Laufe der Zeit zu einem „Schneeballeffekt“ bei Benutzerzugängen geführt. Typische Benutzerwünsche waren etwa: „Bitte den Zugriff von Joe spiegeln“. Erschwerend kam hinzu, dass Nutzer im Laufe der Zeit immer mehr Zugriffsrechte bekamen und auch dann behielten, wenn diese Rechte für ihre Aufgaben nicht mehr notwendig waren.

Das Team führte regelmäßige User Access Reviews (UARs) durch. Das war jedoch weitgehend ein IT-zentrierter Prozess, gestützt auf manuelle Datenextrakte in Excel und E-Mail. Es war ein sehr zeitaufwändiger und schwer zu wiederholender Vorgang, der manuell ausgeführt wurde und deshalb fehleranfällig war. Antworten und Prüfungsergebnisse waren nur schwer nachzuverfolgen und zu konsolidieren. In diesem Prozess waren viele Herausforderungen, die es dem Unternehmen erschwerten alle Beteiligten zum Engagement zu bewegen. Der Schwerpunkt für UARs lag auf einer kleinen Untergruppe von Mitarbeitern, größtenteils in der Finanzabteilung, deren Team üblicherweise aus rund 25 Personen bestand, die den Zugang von rund 2000 Personen überprüften.

Welche Hauptziele hatte Endeavor?

Das Hauptziel von Endeavor war die Einführung einer zentralisierten und einfach reproduzierbaren Methodik für die Durchführung von UARs mit einem klar definierten, stabilen und systembasierten Regelwerk.

Dazu musste Endeavor:

  • den manuellen Vorbereitungsaufwand reduzieren
  • das Risiko von manuellen Fehlern ausschließen
  • die Risiken nach Art und Belang sichtbar und transparent machen
  • die Effizienz des gesamten UAR-Prozesses verbessern
  • das Engagement und Verantwortung für Risikomanagement im Unternehmen stärken

Das sekundäre Ziel war, die Effizienz, Transparenz und Berichtsfähigkeit in Zugriffsprozessen zu verbessern.

„In unserem Access Review Management haben wir sehr gute Ergebnisse erzielt. Unsere Manager führen es jetzt mit viel weniger Aufwand durch.“

Nick Achteberg, Senior Director Technical Services (SAP), Endeavor

Die Lösung: Soterion für SAP

Endeavor wollte sein SAP-Team nicht in ein langwieriges und komplexes GRC-Konfigurationsprojekt mit laufendem Wartungsaufwand hineinziehen lassen. Nach Gesprächen mit verschiedenen Anbietern wurde entschieden, Soterion für SAP als cloud-basierte, gehostete Lösung zu implementieren. Das Team bei Endeavor kam zu der Überzeugung, das dies die am besten geeignete und benutzerfreundlichste Lösung für seine GRC-Ziele ist.

Mit dem Implementierungsprozess war verbunden:

Remote prep to connect with SAP environments, onsite consultancy, training, configuration & integration testing, deploying Soterion ‘vanilla’ ruleset

Die Verwendung eines Standard-Transportes von Soterion, da keine SAP Entwicklung oder -Konfiguration erforderlich waren.

Wie geht es weiter?

  • Die IT-Teams bei Endeavor planen die nächste UAR.
  • Es wird die Benutzerhistorie für rollierende 365 Tage erfasst, deren Historie umfassende Informationen über die Nutzung und über potenzielle im Vergleich zu tatsächlichen Risiken liefert.
  • Weniger Zugriffsrechte bedeuten, dass bei der nächsten UAR für das Unternehmen weniger zu überprüfen ist.
  • Endeavor verfeinert das Regelwerk für Risiken nach seinen Bedürfnissen und baut Kontrollen zur Risikominderung aus.
  • Im Laufe des Jahres 2020 kam Soterions systembasierter Workflow für Zugangsbereitstellung und automatisierte Bereitstellung zum Einsatz.
  • Ab 2021 sind vierteljährliche UARs geplant.

 

„Mithilfe von Soterion haben wir festgestellt, dass viele Mitarbeiter einen Zugang mit Risiken hatten, den sie nicht mehr brauchten. Jetzt haben wir bei uns das Ausmaß an Zugangsrisiken deutlich reduziert.“

Nick Achteberg, Senior Director Technical Services (SAP), Endeavor

Was wurde erreicht?

Die Vorteile hinsichtlich des Risiko- und Rollenmanagements waren größer als erwartet.

Endeavor ist es gelungen, sein Risikoprofil deutlich um 50% zu reduzieren. Das Unternehmen hält an diesem Kurs fest und rechnet in den nächsten Monaten mit weiteren Reduzierungen.

Parallel dazu wurde der Überblick über inaktive Nutzer und nicht genutzte Zugriffsrechte verbessert. Das hilft dem Team, fundierte Entscheidungen in der Pflege und Weiterentwicklung von Rollen zu treffen. Durch reduzierten Zugriff und das Löschen ruhender Benutzer nutzt Endeavor seine SAP-Benutzerlizenzen nun deutlich effizienter.

DEMO ANFORDERN      SOTERION

ArcelorMittal

ArcelorMittal Bremen

ERFOLGSGESCHICHTE LESEN

Schott
Drees und Sommer

Drees & Sommer

ERFOLGSGESCHICHTE LESEN