Inhaltsverzeichnis

Abk  ürzungsverzeichnis  IV

Abbildungsverzeichnis   V

Tabellenverzeichnis   VI

1.  Einleitung  1

1.1  Allgemeine Ausgangssituation  1

1.2  Problem  2

1.3  Zielsetzung  3

2.  theoretische Grundlagen  3

2.1  Corporate Compliance  3

2.1.1  Die fünf Elemente der Compliance  4

2.1.2  Internes Kontrollsystem  6

2.1.3  Funktionstrennung  6

2.2  ERP-Systeme  7

2.2.1  Allgemeiner Aufbau von ERP-Systemen  7

2.2.2  SAP  9

2.2.3  Aufbau Berechtigungen in SAP  9

2.2.4  SAP GRC  12

2.2.5  Compliance Calibrator  16

2.3  Allgemeine Anforderungen an ein Berechtigungskonzept  17

3.  Beispielunternehmensstruktur  18

3.1  Mittelstand  18

3.2  Aufbauorganisation des Beispielunternehmens  20

4.  Ausgangssituation „alte“ Rollenkonzepte  21

   II

   II

5.  Konzeption des Berechtigungskonzeptes  26

5.1  Zielsetzung  26

5.2  Allgemeiner Aufbau der Rollen  26

5.2.1  Grundsätzliches zum Aufbau der Rollen  26

5.2.2  Verwendung von Sammelrollen  27

5.2.3  Trennung von Aktivitäten und Organisation  29

5.3  Aufbau einer Exemplarischen Rolle  32

5.3.1  Vorgehen bei der Analyse  32

5.3.2  Trennung der Berechtigungsfelder  33

5.3.3  Exemplarische Rolle für den Einkauf Aktivitäten  41

5.3.4  Exemplarische Rolle für den Einkauf Organisation  48

5.3.5  Kombination der Rollen für Aktivitäten und Organisation  49

5.3.6  Umsetzung der Funktionstrennung  53

5.4  Kontrolle über Compliance Calibrator  54

5.5  Handlungsempfehlung  56

5.5.1  Systemtechnische Handlungsempfehlung  56

5.5.2  Vorgehensweise in einem Projekt  57

6.  Fazit  59

7.  Zusammenfassung  62

Literatur  - und Quellenverzeichnis  VII

Anhang 1:  Konflikte der Standardrollen Einkauf  XII

Anhang 2:  Konflikte der Sammelrolle Einkauf  XV

   III

   III

Abkürzungsverzeichnis

bzw. beziehungsweise

ca. circa

d.h. das heißt

ERP Enterprise Resource Planning

GRC Governance, Risk and Compliance

IKS Internes Kontrollsystem

IfM Bonn Institut für Mittelstandsforschung Bonn

KMU Kleine und mittlere Unternehmen

SOX Sarbanes Oxley Act

SoD separation of duties

z.B zum Beispiel

IV 

Abbildungsverzeichnis   

Abbildung  1: Die fünf Elemente der Compliance  

Abbildung  2: Allgemeine Architektur eines ERP-Systems  

Abbildung  3: Zusammenhänge Komponenten Berechtigungen SAP  

Abbildung  4: Aufgabenanalyse und Berechtigung  

Abbildung  5: Was bedeutet GRC  

Abbildung  6: GRC Maturity Model  

Abbildung  7: GRC Solution Portfolio  

Abbildung  8: Überblick SAP GRC Access Control  

Abbildung  9: Funktionen des Compliance Calibrators  

Abbildung  10: KMU-Anteile 2007 in Deutschland nach KMU-Definition des IfM  

Bonn   

Abbildung  11: Organigramm Beispielunternehmen  

Abbildung  12: Beschaffungsabwicklung Bestellung  

Abbildung  13: Anzahl Konflikte in ausgewählten Standardrollen  

Abbildung  14: Kritische Transaktionen in ausgewählten Standardrollen  

Abbildung  15: Prüfung im Programmablauf  

Abbildung  16: Organisationswerte in den Berechtigungsfeldern  

Abbildung  17: Berechtigungsprüfung der Sammelrolle  

Abbildung  18: Berechtigungsprüfung mit Sammelprofil  

Abbildung  19: Ergebnis Testbenutzer eins mit Sammelrolle Einkauf  

Abbildung  20: Ergebnis Testbenutzer zwei mit Rolle Einkauf Allgemein  

Abbildung  21: Ergebnis Testbenutzer drei mit Rolle Einkauf Allgemein und Rolle  

Kontrakte  und Lieferpläne  

Abbildung  22: Vorgehensweise in einem Projekt  

Tabellenverzeichnis

Tabelle 1: Verwendete Standardrollen ....................................................................... 24 Tabelle 2: Ermittelte Berechtigungsfelder in den Standardrollen .............................. 34 Tabelle 3: Trennung der Berechtigungsfelder und deren Häufigkeit in den Rollen .. 41 Tabelle 4: Übersicht über konfliktfreie Rollen ........................................................... 46 Tabelle 5: Felder Rolle Organisation mit Vorschlagswerten ..................................... 49

VI 

1. Einleitung

1.1 Allgemeine Ausgangssituation

Die Internen Kontrollsysteme (IKS) erhalten eine immer größere Bedeutung in global vernetzten Unternehmen. Mittelständische Unternehmen sind immer häufiger in Konzerne eingegliedert und müssen ein funktionierendes Internes Kontrollsystem nachweisen. ¹ Die Amerikanische Börsenaufsicht hat den Unternehmen strenge Regularien unter dem Namen Sarbanes Oxley Act (SOX) auferlegt. ² SOX wurde im Jahre 2002 ins Leben gerufen, als Reaktion auf spektakuläre Bilanzbetrüge. 3

Ein Internes Kontrollsystem kann nur funktionieren, wenn dieses ganzheitlich in die IT-Infrastruktur eingegliedert wird.

Ein IT-System muss kontrolliert werden und diese Kontrolle kann nur wirksam sein, wenn sie verhindert, dass Risiken des IT-Systems zu wesentlichen Fehlern in der Rechnungslegung führen. 4

Eine aktuelle Erhebung von KPMG kommt zu dem Ergebnis, dass kleine und mittlere Unternehmen (KMU) die Gefahren der Wirtschaftskriminalität unterschätzen. Laut einer Umfrage von Saperion haben KMU in der Regel noch nicht einmal ein Compliance Management. Weiterhin existiert keine durchgängige Strategie zur Minimierung von Schadensrisiken. Die Saperion-Umfrage unter 300 Unternehmen                                                              

¹ Vgl. Budäus, Bergmoser, Governance von Profit- und Nonprofit- Organisationen in gesellschaftlicher Verantwortung - Entwicklungsperspektiven der Revisionsfunktion im staatlichen Governance-System, Wiesbaden 2005, Seite 349; Vgl. Gilbert, „Sicherer werden“ reicht nicht, „sicher bleiben“ ist das Ziel, in: SAP & Sicherheit, ein Supplement von S@pport, Heft 10 2010, München, Seite 8.

² Vgl. Hentschel, Böhm, IKS-Starthilfe Leitfaden internes Kontrollsystem zur Personal- und Abrechnungspraxis, Frechen 2006, Seite 18.

³ Vgl. Budäus, Bergmoser, Governance von Profit- und Nonprofit- Organisationen in gesellschaftlicher Verantwortung - Entwicklungsperspektiven der Revisionsfunktion im staatlichen Governance-System, Wiesbaden 2005, Seite 349.

⁴ Vgl. v. Wysocki, Wirtschaftliches Prüfungswesen Band III: Prüfungsgrundsätze und Prüfungsverfahren nach den nationalen und internationalen Prüfungsstandards, München 2003, Seite 166.

1   

ergab, dass nur 41% der Unternehmen regelmäßig überprüfen, ob existierende Com-pliance-Vorgaben zur IT-Sicherheit oder zum ethischen, geschäftlichen Handeln eingehalten werden. Eine Untersuchung von Integrity Interactive kommt zu dem Ergebnis, dass Korruption als größtes Compliance-Risiko angesehen wird. Es ist also notwendig, dass KMU eine umfassende Compliance-Strategie für sämtliche Unternehmensbereiche erarbeiten und implementieren. Somit ist es möglich, Risiken aufzufinden, zu analysieren und zu bewerten und Schutzmaßnahmen zu ihrer Minimierung zu ergreifen. 5

Allgemein wird Compliance, von den zitierten Studien, mittlerweile als das größte Problem international tätiger Unternehmen angesehen. 6

1.2 Problem

Von SAP werden Standardrollen angeboten. Diese Standardrollen berücksichtigen die Bedürfnisse der Internen Kontrollsysteme jedoch nur unzureichend. Weiterhin gibt es sehr viele Standardrollen, wodurch Unübersichtlichkeit entsteht. Der grundsätzliche Aufbau des Berechtigungswesens in SAP ist nicht sehr flexibel und ermöglicht ein schlankes Berechtigungskonzept nur schwer.

Vielen mittelständischen Unternehmen in Konzernen wird die Umsetzung eines Internen Kontrollsystems vom Mutterunternehmen auferlegt. Von SAP wird hierfür keine Standardlösung angeboten. Somit stehen viele Unternehmen zunächst einmal vor dem Problem, dass sie nicht wissen, wie sie dieses am besten umsetzen sollen. Die vorliegende Arbeit soll hier einen möglichen Weg aufzeigen.

⁵ Vgl. http://www.sap-port.de/index.php?page=onlineAS0710onSaperion, Zugriff am 22.02.2011. Vgl. http://www.compliancemagazin.de/printable/markt/studien/integrityinteractive180209.html, Zugriff am 26.02.2011.

⁶ Vgl. Dietmann, „Must have“ oder „Nice to have“?, in: S@pport, Heft 7-8 2010, München, Seite 24.

2   

1.3 Zielsetzung

Das Ziel dieser Arbeit ist es, ein praktikables Berechtigungskonzept zu erstellen, welches alle Anforderungen an ein Internes Kontrollsystem erfüllt.

Hierbei soll für ein nicht existierendes Beispielunternehmen im Mittelstand dargestellt werden, wie bei der Erstellung eines Berechtigungskonzeptes vorgegangen werden kann.

Weiterhin soll aufgezeigt werden, wie die Anforderungen des Internen Kontrollsystems bestmöglich umgesetzt werden können, um ein Berechtigungskonzept zu erhalten, welches überschaubar und somit praktikabel ist.

Letztendlich ist es auch ein Ziel, dass das Berechtigungskonzept in der Lage ist, flexibel auf Änderungen zu reagieren.

2. theoretische Grundlagen

2.1 Corporate Compliance

Eine einheitliche Definition für Compliance gibt es nicht. Eine Definition in Anlehnung an Hauschka lautet: „Der Begriff Compliance bezeichnet die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Leitungs- und Aufsichtsorgane sowie seiner Organisationsmitglieder im Hinblick auf alle gesetzlichen Ge- und Verbote begründen.“ 7

Der Begriff Compliance kann weiterhin wie folgt durch den Corporate Governance Kodex formuliert werden: „Der Vorstand hat für die Einhaltung der gesetzlichen Be-                                                             

⁷ Jäger, Rödl, Campos Nave, Praxishandbuch Corporate Compliance, Weinheim 2005, Seite 57.

3   

stimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin.“ 8

Somit lässt sich zusammenfassen, dass Compliance der Risikovorbeugung und der Schadensabwehr im Unternehmen dient. 9

Um Compliance einzuführen, muss jedes Unternehmen prüfen, welche Gesetze eingehalten werden müssen. So ist zum Beispiel SOX nur für deutsche Unternehmen relevant, welche über einen Konzern an der US Börse notiert sind. 10

2.1.1 Die fünf Elemente der Compliance

Compliance gliedert sich in fünf Elemente. Diese sind die Risikoanalyse, das Commitment, die Kommunikation, die Organisation und die Dokumentation.

11

Abbildung 1: Die fünf Elemente der Compliance

⁸ http://www.corporate-governance-code.de/ger/kodex/4.html, Zugriff am 07.12.2010.

⁹ Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 35.

^{10 Vgl. Teich, Kolbenschlag, Reiners, Der richtige Weg zur Softwareauswahl, Heidelberg 2008, Seite 12-13. 11} Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 42.

4   

Die Risikoanalyse dient der Identifizierung der vorhandenen Rechtsrisiken im jeweiligen Unternehmen. Sie dient weiterhin der sachlichen und monetären Abschätzung möglicher Schadensumfänge bei Eintritt eines einzelnen Risikos. Die Abschätzung der jeweiligen Eintrittswahrscheinlichkeit eines künftigen Rechtsverstoßes und des damit verbunden Schadensumfanges sowie der daraus abzuleitenden Schritte zur Risikovorbeugung schließen die Risikoanalyse ab. 12

Commitment bezeichnet die uneingeschränkte Verpflichtung eines Unternehmens gegenüber der Compliance und sollte daher als Chefsache behandelt werden. Rechtsverstöße im Unternehmen dürfen von der Geschäftsleitung nicht geduldet werden und es sollten Sanktionen bei Verstößen verhängt werden. Ein Unternehmen sollte Ethik-Regeln zur Mitarbeiterführung, dem Verhalten der Mitarbeiter untereinander und gegen Korruption aufstellen. 13

Die Geschäftsleitung muss das Commitment und Maßnahmen zur Prävention von Missbrauchsfällen in geeigneter Weise im Unternehmen und an die Geschäftspartner kommunizieren. 14

Um Compliance effizient durchzusetzen, muss eine klare Organisationsstruktur im Unternehmen vorhanden sein. Ein Unternehmen sollte über einen Compliance- Beauftragten oder eine Compliance-Abteilung verfügen. 15

Eine geeignete Dokumentation der Entscheidungen, Prozesse, Maßnahmen und Berichtswege im Unternehmen ist für eine effiziente Compliance unerlässlich. Wenn Compliance-Maßnahmen ausreichend dokumentiert sind, können im Fall eines Regelverstoßes oder Unfalles, Schadensersatz oder Sanktionen abgewendet oder abgemildert werden. 16

¹² Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 42.

¹³ Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 43.

¹⁴ Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 44.

¹⁵ Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 45 ff.

¹⁶ Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 47.

5   

2.1.2 Internes Kontrollsystem

Ein Internes Kontrollsystem umfasst die Gesamtheit aller unternehmensinternen Vorgänge, Methoden, Instrumente und Maßnahmen die vom Verwaltungsrat, der Geschäftsleitung und den übrigen Führungsverantwortlichen angeordnet werden, um das Vermögen des Unternehmens zu schützen und einen ordnungsgemäßen Betriebsablauf sicherzustellen. ¹⁷ Es dient der Abwehr von Schäden für das Unternehmen und der Vermeidung von Rechtsverstößen, die durch das Unternehmen begangen werden könnten. Es besteht aus Maßnahmen und Kontrollen, die geeignet sind, diese Schäden zu vermeiden oder etwaige Schäden zu minimieren. 18

Das IKS soll über präventive und detektivische Kontrollen dazu beitragen, dass die Unternehmensziele erreicht werden. Diese sind vorsorgender Natur oder bestehen aus Kontrollen im Nachhinein, die dazu dienen, etwaige Verstöße aufzudecken. 19

Ein zwingender Bestandteil des IKS ist stets eine eindeutige Regelung der Zugriffsrechte. Dies gilt insbesondere für kritische Aktionen, wie z.B. bereits einfache lesende Zugriffe und auch für Funktionstrennungsdefinitionen welche erforderlich sind. 20

2.1.3 Funktionstrennung

In der Funktionstrennung, im Englischen separation of duties (SoD), soll durch eine Verteilung von Tätigkeiten auf mehrere Personen durch gegenseitige Überwachung ein Kontrolleffekt erzielt werden. Es soll hierbei eine Trennung zwischen vollziehenden, verbuchenden und verwaltenden Tätigkeiten erfolgen. Die Funktionstrennung als Mittel zur Verhinderung von Machtmissbrauch ist an das Prinzip der Ge-                                                             

¹⁷ Vgl. Wiederkehr, Züger, Risikomanagementsystem im Unternehmen, Zürich 2010, Seite 67.

¹⁸ Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 102.

¹⁹ Vgl. Hauschka, Corporate Compliance- Handbuch zur Haftungsvermeidung im Unternehmen, München 2007, Seite 88.

²⁰ Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 102 ff.

6   

waltenteilung (Exekutive, Legislative und Judikative) im staatlichen Bereich angelehnt. Eine Ausprägung des Konzepts der Funktionstrennung ist das Vieraugenprinzip. Es bedeutet, dass ein weiterer Mitarbeiter mit dem Vorgang befasst wird und dabei eine kontrollierende Tätigkeit ausübt. 21

Die Funktionstrennung hat somit eine große Bedeutung für Interne Kontrollsysteme. ²² Ziel der Funktionstrennung ist, dass ein und dieselbe Person nicht zwei auf einander folgende Funktionen innehaben darf. 23

2.2 ERP-Systeme

2.2.1 Allgemeiner Aufbau von ERP-Systemen

Als Enterprise Resource Planning Systeme (ERP-Systeme) werden integrierte betriebswirtschaftliche Softwarelösungen bezeichnet. Sie decken eine Vielzahl operativer und dispositiver Geschäftsprozesse eines Unternehmens aus den Bereichen Finanz- und Rechnungswesen, Logistik, Vertrieb, Service Management, Produktion, Instandhaltung, Qualitätsmanagement und Personalwesen ab. ERP-Systeme zeichnen sich durch eine zentrale integrierte Datenbank aus. In dieser sind insbesondere Stammdaten zur gemeinsamen Nutzung durch die Geschäftsprozesse abgelegt. Sie zeichnen sich durch eine hohe Integration zwischen den verschiedenen Geschäftsprozessen aus. Mit der Buchung eines Wareneinganges erfolgt z.B. zugleich eine Verbuchung in der Finanzbuchhaltung. 24

„ERP-Systeme bilden in den IT-Architekturen von Unternehmen eine Rückgrat-Funktion: Sie übernehmen operative oder dispositive Geschäftsprozesse im Unter-                                                             

²¹ Vgl. v. Winter, Risikomanagement und Interne Kontrollen beim Sachversicherer, Karlsruhe 2001, Seite 34-35.

²² Vgl. Euler, Interne Kontrollen im Unternehmen, Berlin 1992, Seite 23.

²³ Vgl. Müller, IT-Sicherheit mit System, 2. Auflage, Wiesbaden 2005, Seite 101.

²⁴ Vgl. Jacob, ERP Value - Signifikante Vorteile mit ERP-Systemen, Heidelberg 2008, Seite 1 ff.

7   

nehmen, die von hohen Massenvolumen und weitgehend standardisierten Abläufen geprägt sind.“ 25

Sie sind eine Weiterentwicklung der PPS-Systeme ²⁶ . ERP-Systeme stellen nicht nur die Gütererstellung in den Vordergrund, sondern beschäftigen sich mit der Abbildung des gesamten Unternehmens.

Abbildung 2: Allgemeine Architektur eines ERP-Systems 27

²⁵ Jacob, ERP Value - Signifikante Vorteile mit ERP-Systemen, Heidelberg 2008, Seite 2.

²⁶ PPS-Systeme sind Produktionsplanung und -steuerungs Systeme, die den gesamten Produktentstehungsprozess begleiten. (Vgl. Rollberg Roland, Keuper Frank, Produktion und Controlling: Integrierte Produktionsplanung - vom theoretischen Ideal der Simultanplanung bis zum praktischen Kompromiss des „Advanced Planning and Scheduling (APS)“, Wiesbaden 2002, Seite 140)

²⁷ Aus Corsten, Gössinger, Produktionswirtschaft, 12. Auflage, München 2009, Seite 566.

8   

Für ERP-Systeme gibt es verschiedene Branchenlösungen, die jeweils spezielle Erweiterungen oder Anpassungen des Standards an die Besonderheiten der jeweiligen Branche anbieten. 28

2.2.2 SAP

Das wohl bekannteste ERP-System wird von der SAP AG vertrieben. Dieses ermöglicht die Darstellung komplexer Geschäftsprozesse und weist einen hohen Grad an Integration auf. Es ermöglicht u.a. Tochtergesellschaften in das ERP-System der Muttergesellschaft zu integrieren, um Synergieeffekte zu generieren.

SAP ist modular aufgebaut und ermöglicht es dem Kunden, sein System aus vielen verschiedenen Modulen zusammenzustellen und somit sein ERP-System an den Bedürfnissen seines Unternehmens auszurichten.

Die vorliegende Arbeit beschäftigt sich mit der Einbindung der Internen Kontrollsysteme in ein ERP-System, wie es von SAP ermöglicht wird. In Kapitel 2.2.4 wird der SAP GRC Ansatz vorgestellt. GRC steht für Governance, Risk and Compliance. Ein Bestandteil des SAP GRC ist der Virsa Compliance Calibrator, welcher die Lücke zwischen ERP-Systemen und Internen Kontrollsystemen bezüglich der Berechtigungen in einem ERP-System schließt.

Aufgrund der Vielseitigkeit der Ausprägbarkeit und auf Grund des modularen Konzeptes wurde SAP ERP als ERP-System für die vorliegende Arbeit ausgewählt.

2.2.3 Aufbau Berechtigungen in SAP

Zunächst soll eine Grafik die Zusammenhänge zwischen den einzelnen Komponenten aufzeigen.

²⁸ Vgl. Hesseler, Görtz, Basiswissen ERP-Systeme, Witten 2007, Seite 58.

9   

Abbildung 3: Zusammenhänge Komponenten Berechtigungen SAP

Die Berechtigungen in SAP werden durch Rollen verwaltet, die einem Benutzer zugewiesen werden. Eine Rolle besteht aus Transaktionen und Berechtigungsobjekten. Die Berechtigungsobjekte sind im Berechtigungsprofil zusammengefasst und enthalten Berechtigungsfelder, in denen Aktivitäten und weitere Werte, wie z.B. Organisationsebenen, ausgeprägt sind. 29

Damit eine Person im SAP-System eine Aktion ausführen kann, benötigt sie einen Benutzerstammsatz, dem die notwendigen Berechtigungen zugeordnet sind. Die Berechtigungen werden durch Rollen gegeben, zu denen jeweils Berechtigungsprofile gehören, die die tatsächlichen Berechtigungen definieren. Es gibt fünf unterschiedliche Benutzertypen. Der zentrale Benutzertyp ist der Dialogbenutzer. Er wird für natürliche Personen als personalisierter Benutzer verwendet. Die Anmeldung erfolgt über den SAP GUI. ³⁰ Servicebenutzer dienen dem anonymen Zugriff mehrerer Benutzer, z.B. bei Webservices. Kommunikationsbenutzer sind systematisch personenbezogene Benutzer, die sich per remote function call anmelden. ³¹ Systembenutzer finden in technischen Abläufen, wie z.B. Batchläufen, Verwendung. Mit einem Refe-                                                             

²⁹ Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 145.

³⁰ SAP GUI = Ist der Client der mit dem Applikation Server kommuniziert. Es findet ein Client-Server-Prinzip statt. (Vgl. Jeske, SAP für Java-Entwickler, Heidelberg 2005, Seite 7)

³¹ remote function call = Dieser Mechanismus wird verwendet, sobald mit dem Aufruf die Grenze des SAP-Systems überschritten wird. (Vgl. Gronau, Enterprise Ressource Planning und Supply Chain Management, München 2004, Seite 24)

10