Konzeption eines Berechtigungskonzeptes für SAP Systeme

Unter Einbeziehung der Internen Kontrollsysteme im Mittelstand


Diplomarbeit, 2011

79 Seiten, Note: 2,3


Leseprobe

Inhaltverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Einleitung
1.1 Allgemeine Ausgangssituation
1.2 Problem
1.3 Zielsetzung

2. theoretische Grundlagen
2.1 Corporate Compliance
2.1.1 Die fünf Elemente der Compliance
2.1.2 Internes Kontrollsystem
2.1.3 Funktionstrennung
2.2 ERP-Systeme
2.2.1 Allgemeiner Aufbau von ERP-Systemen
2.2.2 SAP
2.2.3 Aufbau Berechtigungen in SAP
2.2.4 SAP GRC
2.2.5 Compliance Calibrator
2.3 Allgemeine Anforderungen an ein Berechtigungskonzept

3. Beispielunternehmensstruktur
3.1 Mittelstand
3.2 Aufbauorganisation des Beispielunternehmens

4. Ausgangssituation „alte“ Rollenkonzepte

5. Konzeption des Berechtigungskonzeptes
5.1 Zielsetzung
5.2 Allgemeiner Aufbau der Rollen
5.2.1 Grundsätzliches zum Aufbau der Rollen
5.2.2 Verwendung von Sammelrollen
5.2.3 Trennung von Aktivitäten und Organisation
5.3 Aufbau einer Exemplarischen Rolle
5.3.1 Vorgehen bei der Analyse
5.3.2 Trennung der Berechtigungsfelder
5.3.3 Exemplarische Rolle für den Einkauf Aktivitäten
5.3.4 Exemplarische Rolle für den Einkauf Organisation
5.3.5 Kombination der Rollen für Aktivitäten und Organisation
5.3.6 Umsetzung der Funktionstrennung
5.4 Kontrolle über Compliance Calibrator
5.5 Handlungsempfehlung
5.5.1 Systemtechnische Handlungsempfehlung
5.5.2 Vorgehensweise in einem Projekt

6. Fazit

7. Zusammenfassung

Literatur- und Quellenverzeichnis

Anhang 1: Konflikte der Standardrollen Einkauf

Anhang 2: Konflikte der Sammelrolle Einkauf

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Die fünf Elemente der Compliance

Abbildung 2: Allgemeine Architektur eines ERP-Systems

Abbildung 3: Zusammenhänge Komponenten Berechtigungen SAP

Abbildung 4: Aufgabenanalyse und Berechtigung

Abbildung 5: Was bedeutet GRC

Abbildung 6: GRC Maturity Model

Abbildung 7: GRC Solution Portfolio

Abbildung 8: Überblick SAP GRC Access Control

Abbildung 9: Funktionen des Compliance Calibrators

Abbildung 10: KMU-Anteile 2007 in Deutschland nach KMU-Definition des IfM Bonn

Abbildung 11: Organigramm Beispielunternehmen

Abbildung 12: Beschaffungsabwicklung Bestellung

Abbildung 13: Anzahl Konflikte in ausgewählten Standardrollen

Abbildung 14: Kritische Transaktionen in ausgewählten Standardrollen

Abbildung 15: Prüfung im Programmablauf

Abbildung 16: Organisationswerte in den Berechtigungsfeldern

Abbildung 17: Berechtigungsprüfung der Sammelrolle

Abbildung 18: Berechtigungsprüfung mit Sammelprofil

Abbildung 19: Ergebnis Testbenutzer eins mit Sammelrolle Einkauf

Abbildung 20: Ergebnis Testbenutzer zwei mit Rolle Einkauf Allgemein

Abbildung 21: Ergebnis Testbenutzer drei mit Rolle Einkauf Allgemein und Rolle Kontrakte und Lieferpläne

Abbildung 22: Vorgehensweise in einem Projekt

Tabellenverzeichnis

Tabelle 1: Verwendete Standardrollen

Tabelle 2: Ermittelte Berechtigungsfelder in den Standardrollen

Tabelle 3: Trennung der Berechtigungsfelder und deren Häufigkeit in den Rollen

Tabelle 4: Übersicht über konfliktfreie Rollen

Tabelle 5: Felder Rolle Organisation mit Vorschlagswerten

1. Einleitung

1.1 Allgemeine Ausgangssituation

Die Internen Kontrollsysteme (IKS) erhalten eine immer größere Bedeutung in glo­bal vernetzten Unternehmen. Mittelständische Unternehmen sind immer häufiger in Konzerne eingegliedert und müssen ein funktionierendes Internes Kontrollsystem nachweisen.[1] Die Amerikanische Börsenaufsicht hat den Unternehmen strenge Regularien unter dem Namen Sarbanes Oxley Act (SOX) auferlegt.[2] SOX wurde im Jahre 2002 ins Leben gerufen, als Reaktion auf spektakuläre Bilanzbetrüge.[3]

Ein Internes Kontrollsystem kann nur funktionieren, wenn dieses ganzheitlich in die IT-Infrastruktur eingegliedert wird.

Ein IT-System muss kontrolliert werden und diese Kontrolle kann nur wirksam sein, wenn sie verhindert, dass Risiken des IT-Systems zu wesentlichen Fehlern in der Rechnungslegung führen.[4]

Eine aktuelle Erhebung von KPMG kommt zu dem Ergebnis, dass kleine und mitt­lere Unternehmen (KMU) die Gefahren der Wirtschaftskriminalität unterschätzen. Laut einer Umfrage von Saperion haben KMU in der Regel noch nicht einmal ein Compliance Management. Weiterhin existiert keine durchgängige Strategie zur Mi­nimierung von Schadensrisiken. Die Saperion-Umfrage unter 300 Unternehmen ergab, dass nur 41% der Unternehmen regelmäßig überprüfen, ob existierende Com­pliance-Vorgaben zur IT-Sicherheit oder zum ethischen, geschäftlichen Handeln ein­gehalten werden. Eine Untersuchung von Integrity Interactive kommt zu dem Ergeb­nis, dass Korruption als größtes Compliance-Risiko angesehen wird. Es ist also not­wendig, dass KMU eine umfassende Compliance-Strategie für sämtliche Unterneh­mensbereiche erarbeiten und implementieren. Somit ist es möglich, Risiken aufzu­finden, zu analysieren und zu bewerten und Schutzmaßnahmen zu ihrer Minimierung zu ergreifen.[5]

Allgemein wird Compliance, von den zitierten Studien, mittlerweile als das größte Problem international tätiger Unternehmen angesehen.[6]

1.2 Problem

Von SAP werden Standardrollen angeboten. Diese Standardrollen berücksichtigen die Bedürfnisse der Internen Kontrollsysteme jedoch nur unzureichend. Weiterhin gibt es sehr viele Standardrollen, wodurch Unübersichtlichkeit entsteht. Der grund­sätzliche Aufbau des Berechtigungswesens in SAP ist nicht sehr flexibel und ermög­licht ein schlankes Berechtigungskonzept nur schwer.

Vielen mittelständischen Unternehmen in Konzernen wird die Umsetzung eines In­ternen Kontrollsystems vom Mutterunternehmen auferlegt. Von SAP wird hierfür keine Standardlösung angeboten. Somit stehen viele Unternehmen zunächst einmal vor dem Problem, dass sie nicht wissen, wie sie dieses am besten umsetzen sollen. Die vorliegende Arbeit soll hier einen möglichen Weg aufzeigen.

1.3 Zielsetzung

Das Ziel dieser Arbeit ist es, ein praktikables Berechtigungskonzept zu erstellen, welches alle Anforderungen an ein Internes Kontrollsystem erfüllt.

Hierbei soll für ein nicht existierendes Beispielunternehmen im Mittelstand darge­stellt werden, wie bei der Erstellung eines Berechtigungskonzeptes vorgegangen werden kann.

Weiterhin soll aufgezeigt werden, wie die Anforderungen des Internen Kontrollsys­tems bestmöglich umgesetzt werden können, um ein Berechtigungskonzept zu erhal­ten, welches überschaubar und somit praktikabel ist.

Letztendlich ist es auch ein Ziel, dass das Berechtigungskonzept in der Lage ist, fle­xibel auf Änderungen zu reagieren.

2. theoretische Grundlagen

2.1 Corporate Compliance

Eine einheitliche Definition für Compliance gibt es nicht. Eine Definition in Anleh­nung an Hauschka lautet: „Der Begriff Compliance bezeichnet die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Leitungs- und Aufsichtsorgane sowie seiner Organisationsmitglieder im Hin­blick auf alle gesetzlichen Ge- und Verbote begründen.“[7]

Der Begriff Compliance kann weiterhin wie folgt durch den Corporate Governance Kodex formuliert werden: „Der Vorstand hat für die Einhaltung der gesetzlichen Be­stimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf de­ren Beachtung durch die Konzernunternehmen hin.“[8]

Somit lässt sich zusammenfassen, dass Compliance der Risikovorbeugung und der Schadensabwehr im Unternehmen dient.[9]

Um Compliance einzuführen, muss jedes Unternehmen prüfen, welche Gesetze ein­gehalten werden müssen. So ist zum Beispiel SOX nur für deutsche Unternehmen relevant, welche über einen Konzern an der US Börse notiert sind.[10]

2.1.1 Die fünf Elemente der Compliance

Compliance gliedert sich in fünf Elemente. Diese sind die Risikoanalyse, das Com­mitment, die Kommunikation, die Organisation und die Dokumentation.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Die fünf Elemente der Compliance[11]

Die Risikoanalyse dient der Identifizierung der vorhandenen Rechtsrisiken im jewei­ligen Unternehmen. Sie dient weiterhin der sachlichen und monetären Abschätzung möglicher Schadensumfänge bei Eintritt eines einzelnen Risikos. Die Abschätzung der jeweiligen Eintrittswahrscheinlichkeit eines künftigen Rechtsverstoßes und des damit verbunden Schadensumfanges sowie der daraus abzuleitenden Schritte zur Risikovorbeugung schließen die Risikoanalyse ab.[12]

Commitment bezeichnet die uneingeschränkte Verpflichtung eines Unternehmens gegenüber der Compliance und sollte daher als Chefsache behandelt werden. Rechts­verstöße im Unternehmen dürfen von der Geschäftsleitung nicht geduldet werden und es sollten Sanktionen bei Verstößen verhängt werden. Ein Unternehmen sollte Ethik-Regeln zur Mitarbeiterführung, dem Verhalten der Mitarbeiter untereinander und gegen Korruption aufstellen.[13]

Die Geschäftsleitung muss das Commitment und Maßnahmen zur Prävention von Missbrauchsfällen in geeigneter Weise im Unternehmen und an die Geschäftspartner kommunizieren.[14]

Um Compliance effizient durchzusetzen, muss eine klare Organisationsstruktur im Unternehmen vorhanden sein. Ein Unternehmen sollte über einen Compliance- Be­auftragten oder eine Compliance-Abteilung verfügen.[15]

Eine geeignete Dokumentation der Entscheidungen, Prozesse, Maßnahmen und Be­richtswege im Unternehmen ist für eine effiziente Compliance unerlässlich. Wenn Compliance-Maßnahmen ausreichend dokumentiert sind, können im Fall eines Re­gelverstoßes oder Unfalles, Schadensersatz oder Sanktionen abgewendet oder abge­mildert werden.[16]

2.1.2 Internes Kontrollsystem

Ein Internes Kontrollsystem umfasst die Gesamtheit aller unternehmensinternen Vorgänge, Methoden, Instrumente und Maßnahmen die vom Verwaltungsrat, der Geschäftsleitung und den übrigen Führungsverantwortlichen angeordnet werden, um das Vermögen des Unternehmens zu schützen und einen ordnungsgemäßen Betriebs­ablauf sicherzustellen.[17] Es dient der Abwehr von Schäden für das Unternehmen und der Vermeidung von Rechtsverstößen, die durch das Unternehmen begangen werden könnten. Es besteht aus Maßnahmen und Kontrollen, die geeignet sind, diese Schä­den zu vermeiden oder etwaige Schäden zu minimieren.[18]

Das IKS soll über präventive und detektivische Kontrollen dazu beitragen, dass die Unternehmensziele erreicht werden. Diese sind vorsorgender Natur oder bestehen aus Kontrollen im Nachhinein, die dazu dienen, etwaige Verstöße aufzudecken.[19]

Ein zwingender Bestandteil des IKS ist stets eine eindeutige Regelung der Zugriffs­rechte. Dies gilt insbesondere für kritische Aktionen, wie z.B. bereits einfache le­sende Zugriffe und auch für Funktionstrennungsdefinitionen welche erforderlich sind.[20]

2.1.3 Funktionstrennung

In der Funktionstrennung, im Englischen separation of duties (SoD), soll durch eine Verteilung von Tätigkeiten auf mehrere Personen durch gegenseitige Überwachung ein Kontrolleffekt erzielt werden. Es soll hierbei eine Trennung zwischen vollzie­henden, verbuchenden und verwaltenden Tätigkeiten erfolgen. Die Funktionstren­nung als Mittel zur Verhinderung von Machtmissbrauch ist an das Prinzip der Ge­waltenteilung (Exekutive, Legislative und Judikative) im staatlichen Bereich ange­lehnt. Eine Ausprägung des Konzepts der Funktionstrennung ist das Vieraugenprin­zip. Es bedeutet, dass ein weiterer Mitarbeiter mit dem Vorgang befasst wird und dabei eine kontrollierende Tätigkeit ausübt.[21]

Die Funktionstrennung hat somit eine große Bedeutung für Interne Kontrollsys­teme.[22] Ziel der Funktionstrennung ist, dass ein und dieselbe Person nicht zwei auf einander folgende Funktionen innehaben darf.[23]

2.2 ERP-Systeme

2.2.1 Allgemeiner Aufbau von ERP-Systemen

Als Enterprise Resource Planning Systeme (ERP-Systeme) werden integrierte be­triebswirtschaftliche Softwarelösungen bezeichnet. Sie decken eine Vielzahl operati­ver und dispositiver Geschäftsprozesse eines Unternehmens aus den Bereichen Fi­nanz- und Rechnungswesen, Logistik, Vertrieb, Service Management, Produktion, Instandhaltung, Qualitätsmanagement und Personalwesen ab. ERP-Systeme zeichnen sich durch eine zentrale integrierte Datenbank aus. In dieser sind insbesondere Stammdaten zur gemeinsamen Nutzung durch die Geschäftsprozesse abgelegt. Sie zeichnen sich durch eine hohe Integration zwischen den verschiedenen Geschäfts­prozessen aus. Mit der Buchung eines Wareneinganges erfolgt z.B. zugleich eine Verbuchung in der Finanzbuchhaltung.[24]

„ERP-Systeme bilden in den IT-Architekturen von Unternehmen eine Rückgrat-Funktion: Sie übernehmen operative oder dispositive Geschäftsprozesse im Unter­nehmen, die von hohen Massenvolumen und weitgehend standardisierten Abläufen geprägt sind.“[25]

Sie sind eine Weiterentwicklung der PPS-Systeme[26]. ERP-Systeme stellen nicht nur die Gütererstellung in den Vordergrund, sondern beschäftigen sich mit der Abbil­dung des gesamten Unternehmens.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Allgemeine Architektur eines ERP-Systems[27]

Für ERP-Systeme gibt es verschiedene Branchenlösungen, die jeweils spezielle Er­weiterungen oder Anpassungen des Standards an die Besonderheiten der jeweiligen Branche anbieten.[28]

2.2.2 SAP

Das wohl bekannteste ERP-System wird von der SAP AG vertrieben. Dieses ermög­licht die Darstellung komplexer Geschäftsprozesse und weist einen hohen Grad an Integration auf. Es ermöglicht u.a. Tochtergesellschaften in das ERP-System der Muttergesellschaft zu integrieren, um Synergieeffekte zu generieren.

SAP ist modular aufgebaut und ermöglicht es dem Kunden, sein System aus vielen verschiedenen Modulen zusammenzustellen und somit sein ERP-System an den Be­dürfnissen seines Unternehmens auszurichten.

Die vorliegende Arbeit beschäftigt sich mit der Einbindung der Internen Kontroll­systeme in ein ERP-System, wie es von SAP ermöglicht wird. In Kapitel 2.2.4 wird der SAP GRC Ansatz vorgestellt. GRC steht für Governance, Risk and Compliance. Ein Bestandteil des SAP GRC ist der Virsa Compliance Calibrator, welcher die Lü­cke zwischen ERP-Systemen und Internen Kontrollsystemen bezüglich der Berechti­gungen in einem ERP-System schließt.

Aufgrund der Vielseitigkeit der Ausprägbarkeit und auf Grund des modularen Kon­zeptes wurde SAP ERP als ERP-System für die vorliegende Arbeit ausgewählt.

2.2.3 Aufbau Berechtigungen in SAP

Zunächst soll eine Grafik die Zusammenhänge zwischen den einzelnen Komponen­ten aufzeigen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Zusammenhänge Komponenten Berechtigungen SAP

Die Berechtigungen in SAP werden durch Rollen verwaltet, die einem Benutzer zu­gewiesen werden. Eine Rolle besteht aus Transaktionen und Berechtigungsobjekten. Die Berechtigungsobjekte sind im Berechtigungsprofil zusammengefasst und ent­halten Berechtigungsfelder, in denen Aktivitäten und weitere Werte, wie z.B. Orga­nisationsebenen, ausgeprägt sind.[29]

Damit eine Person im SAP-System eine Aktion ausführen kann, benötigt sie einen Benutzerstammsatz, dem die notwendigen Berechtigungen zugeordnet sind. Die Be­rechtigungen werden durch Rollen gegeben, zu denen jeweils Berechtigungsprofile gehören, die die tatsächlichen Berechtigungen definieren. Es gibt fünf unterschiedli­che Benutzertypen. Der zentrale Benutzertyp ist der Dialogbenutzer. Er wird für na­türliche Personen als personalisierter Benutzer verwendet. Die Anmeldung erfolgt über den SAP GUI.[30] Servicebenutzer dienen dem anonymen Zugriff mehrerer Benutzer, z.B. bei Webservices. Kommunikationsbenutzer sind systematisch perso­nenbezogene Benutzer, die sich per remote function call anmelden.[31] Systembenutzer finden in technischen Abläufen, wie z.B. Batchläufen, Verwendung. Mit einem Refe­renzbenutzer ist es nicht möglich, sich in einem SAP-System anzumelden. Er dient lediglich dazu, Berechtigungen zu kopieren oder zu vererben.[32]

Über einen Transaktionscode wird im SAP-System eine betriebswirtschaftliche Funktion ausgeführt. Um eine Programm über eine Transaktion ausführen zu kön­nen, benötigt der Benutzer zunächst die Berechtigung, die Transaktion aufrufen zu dürfen. Dies wird im Berechtigungsobjekt S_TCODE hinterlegt.[33]

Ein Berechtigungsobjekt besteht aus einer Kombination von Berechtigungsfeldern, die einzelne Berechtigungen definieren. Berechtigungsobjekte sind sehr unterschied­lich ausgeprägt. In der Regel bestehen sie aus Aktivitäten und organisatorischen Be­schränkungen. Ein Berechtigungsobjekt enthält höchstens zehn Berechtigungsobjekt­felder.[34]

Eine Rolle dient der vereinfachten Erstellung, Ausprägung und Vergabe von Berech­tigungen.[35] Mehrere Rollen können in einer Sammelrolle gebündelt werden.[36] Die nachfolgende Abbildung soll diese Möglichkeiten verdeutlichen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Aufgabenanalyse und Berechtigung[37]

2.2.4 SAP GRC

GRC besteht aus den drei Komponenten Governance, Risk Management und Com­pliance. Es bezeichnet die umfassende, unternehmensweit einheitliche Ausrichtung des Managements und aller eingesetzten Ressourcen auf das eine Ziel, Mehrwert für das gesamte Unternehmen zu schaffen.[38]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Was bedeutet GRC[39]

Um GRC in einem Unternehmen einzuführen, gibt SAP für die Planungsphase Hilfe­stellungen. Der GRC-Einführungsprozess, das GRC Maturity Model, durchläuft normalerweise vier Phasen, wobei es die richtige Vorgehensweise für das eigene Unternehmen zu finden erlaubt. Es macht den Prozess anschaulich und informiert die Verantwortlichen zu jeder Zeit darüber, in welcher der vier Phasen das Unternehmen sich befindet, welche Maßnahmen bereits abgeschlossen und welche noch vor dem Unternehmen liegen.[40]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: GRC Maturity Model[41]

In der ersten Phase erfolgt die Konzentration auf die sehr kritischen Compliance-Fragen. In der zweiten Phase wird eine Reihe von GRC Projekten implementiert, um rechtliche und regionale Anforderungen zu erfüllen. In der dritten Phase werden die einzelnen Projekte zusammengeführt. Die vierte Phase integriert die GRC Aufgaben in das Tagesgeschäft.[42]

Das SAP GRC Portfolio besteht aus den Komponenten Access Control, Process Control, Risk Management, Global Trade Service und Environment, Health & Safety. Für die Arbeit sind weiterhin nur die Funktionen des SAP GRC Access Con­trol relevant. Es sollen daher die anderen vier Bestandteile nur kurz erläutert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: GRC Solution Portfolio[43]

SAP GRC Process Control gibt dem Unternehmen einen Überblick über die Kon­trollen in ihren Geschäftsprozessen im gesamten Unternehmen. SAP GRC Risk Ma­nagement wird verwendet, um die negativen Auswirkungen rechtlicher oder finan­zieller Form von möglichen Geschäften darzustellen. SAP GRC Global Trade Ser­vices unterstützt die Geschäftsprozesse im Außenhandel. SAP Environment, Health & Safety bildet die Anforderungen ab, die Unternehmen in Bezug auf die Umwelt und soziale Verantwortung erfüllen müssen.[44]

Die Komponente SAP GRC Access Control regelt die Ausführung von Tätigkeiten im Unternehmen. Alle Mitarbeiter sollen nur die Aufgaben durchführen können, die durch eine systematische Trennung der Verantwortlichkeiten festgelegt sind. Dies wird durch Restriktionen in der IT-Infrastruktur erreicht.[45]

Die Funktion SAP GRC Access Control wird mit Hilfe des Compliance Calibrators aus Kapitel 2.2.5 bearbeitet. Die folgende Grafik soll die Funktionen des SAP GRC Access Control verdeutlichen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Überblick SAP GRC Access Control[46]

Der erste Bereich, die Risk Analysis and Remediation application erzielt die höchs­ten Effekte, wenn die Analyse der bestehenden Zuordnung von Zugriffsrechten zum ersten Mal nach der GRC Einführung durchgeführt wird. In diesem Bereich wird ebenfalls die periodische Kontrolle der SoD durchgeführt. Mit dem Enterprise Role Management wird sichergestellt, dass die SoD in den neuen Rollen eingehalten wer­den. Wenn einem Benutzer mehr Berechtigungen zugeordnet werden sollen, könnten diese aus Sicht des SoD zu umfangreich sein. Durch das Compliant User Provision­ing wird dies verhindert, indem bei der Änderung eines Benutzers vor der Freigabe eine Prüfung stattfindet. Das Superuser Privilege Management findet Einsatz, wenn ein Benutzer Änderungen direkt auf der Datenbank durchführen oder eine sehr wich­tige kritische Transaktion ausgeführt werden muss.[47]

2.2.5 Compliance Calibrator

Der Virsa Compliance Calibrator versteht sich als ein “interner, permanenter Sys­temprüfer”. Wenn im Rahmen eines SAP-Berechtigungskonzepts einem Anwender Transaktionen zugeordnet werden, prüft der Compliance Calibrator in Echtzeit. Er identifiziert anhand seines hinterlegten Regelwerks ein potentielles Risiko und mel­det es an den hinterlegten Verantwortlichen für diesen Geschäftsprozess. Der Comp­liance Calibrator macht darüber hinaus Lösungsvorschläge. Das Herzstück des Virsa Compliance Calibrators ist ein Regelwerk. Es umfasst rund 200 Risiken, die sich aus den Kombinationsmöglichkeiten von mehreren tausend SAP-Standardtransaktionen ableiten. Die Risiken sind nach Geschäftsprozessen klassifiziert, etwa Procur-to-Pay oder Order-to-Cash.[48]

Procure-to-Pay bezeichnet den Prozess vom Beschaffungsbedarf bis zur Zahlungs­ausführung. Order-to-Cash bezeichnet den Prozess der Auftragsabwicklung bis zum Zahlungseingang.[49]

Der Virsa Compliance Calibrator lässt sich direkt in SAP ERP integrieren. Es ist möglich, selbst erstellte Transaktionen ebenfalls über den Compliance Calibrator zu kontrollieren. Diese sind im Regelwerk nicht hinterlegt und müssen diesem hinzuge­fügt werden, um einen umfassenden Überblick über alle Kombinationsmöglichkeiten der Transaktionen und die damit verbundenen Risiken zu gewährleisten. Handelt es sich um eine umfassende Eigenentwicklung, sollte ein externer Systemprüfer bezüg­lich kritischer Kombinationsmöglichkeiten von Transaktionen und der daraus resul­tierenden Risiken befragt werden. Wenn einem Anwender beispielsweise die Trans­aktionen zur “Anlage von Bestellungen” und “Rechnungsprüfung” zugeordnet sind, reagiert der Compliance Calibrator. Es ist möglich, das Risiko für Missbrauch, etwa durch das Vieraugenprinzip, bei der Rechnungsprüfung zu vermindern. Unabhängig von einem solchen zusätzlichen, manuellen Prozess ist das Missbrauchsrisiko bei diesem Anwender nun bekannt. Das Unternehmen kann auch andere Lösungen über­denken. Zum Beispiel kann nun die Frage gestellt werden, ob der Anwender tatsäch­lich beides dürfen muss, Bestellungen anlegen und Rechnungsprüfungen durchführen oder ob es vielleicht ausreichend ist, wenn nur Rechnungen über 10.000 Euro nach dem Vieraugenprinzip geprüft werden.[50]

Die Funktionen des Compliance Calibrators lassen sich als Prozess darstellen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Funktionen des Compliance Calibrators[51]

2.3 Allgemeine Anforderungen an ein Berechtigungskonzept

Unabhängig von der eingesetzten Software lassen sich folgende Prinzipien für die Anforderungen eines IKS an den Berechtigungen und somit für das betriebswirt­schaftliche Berechtigungskonzept ableiten:[52]

- Identitätsprinzip: Die Identität eines Benutzers muss jederzeit zuortbar sein.
- Minimalprinzip: Berechtigungen dürfen nur so vergeben werden, dass aus­schließlich auf die zur Aufgabenerfüllung notwendigen Daten zugegriffen werden kann.
- Stellenprinzip: Sämtliche Datenzugriffsrechte eines Benutzers müssen sich aus der Funktion des Benutzerinhabers in der Organisation ergeben.
- Belegprinzip der Buchhaltung: Sämtliche zahlungsrelevanten oder bilanz-wirksamen Vorgänge müssen belegbar sein.
- Belegprinzip der Berechtigungsverwaltung: Die Zuordnung eines Benutzers zu einer natürlichen Person, die Zuweisung von Berechtigungen zu dieser und Änderungen inklusive Änderer müssen dokumentiert werden.
- Funktionstrennungsprinzip: Die Aufgaben sind so zu trennen, dass nicht ein Mitarbeiter allein den gesamten Prozess bearbeitet und somit nicht kontrol­liert wird.
- Genehmigungsprinzip: Sämtliche Berechtigungen müssen durch eine diszipli-narische oder sachlich vorgesetzte Stelle genehmigt werden.
- Standardprinzip: Es sind technische Standards einzuhalten, um die Sicherheit des Berechtigungskonzeptes und die Einhaltung der Compliance zu gewähr­leisten.
- Schrittformprinzip: Das betriebswirtschaftliche Berechtigungskonzept muss in einer schriftlichen, genehmigten Fassung vorliegen und alle Informationen zum Aufbau und der Umsetzung enthalten.
- Kontrollprinzip: Die Einhaltung des Berechtigungskonzeptes muss in jegli­cher Hinsicht überprüft werden.

[...]


[1] Vgl. Budäus, Bergmoser, Governance von Profit- und Nonprofit- Organisationen in gesellschaftlicher Verantwortung - Entwicklungsperspektiven der Revisionsfunktion im staatlichen Governance-System, Wiesbaden 2005, Seite 349; Vgl. Gilbert, „Sicherer werden“ reicht nicht, „sicher bleiben“ ist das Ziel, in: SAP & Sicherheit, ein Supplement von S@pport, Heft 10 2010, München, Seite 8.

[2] Vgl. Hentschel, Böhm, IKS-Starthilfe Leitfaden internes Kontrollsystem zur Personal- und Abrechnungspraxis, Frechen 2006, Seite 18.

[3] Vgl. Budäus, Bergmoser, Governance von Profit- und Nonprofit- Organisationen in gesellschaftlicher Verantwortung - Entwicklungsperspektiven der Revisionsfunktion im staatlichen Governance-System, Wiesbaden 2005, Seite 349.

[4] Vgl. v. Wysocki, Wirtschaftliches Prüfungswesen Band III: Prüfungsgrundsätze und Prüfungsverfahren nach den nationalen und internationalen Prüfungsstandards, München 2003, Seite 166.

[5] Vgl. http://www.sap-port.de/index.php?page=onlineAS0710onSaperion, Zugriff am 22.02.2011. Vgl. http://www.compliancemagazin.de/printable/markt/studien/integrityinteractive180209.html, Zugriff am 26.02.2011.

[6] Vgl. Dietmann, „Must have“ oder „Nice to have“?, in: S@pport, Heft 7-8 2010, München, Seite 24.

[7] Jäger, Rödl, Campos Nave, Praxishandbuch Corporate Compliance, Weinheim 2005, Seite 57.

[8] http://www.corporate-governance-code.de/ger/kodex/4.html, Zugriff am 07.12.2010.

[9] Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 35.

[10] Vgl. Teich, Kolbenschlag, Reiners, Der richtige Weg zur Softwareauswahl, Heidelberg 2008, Seite 12-13.

[11] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 42.

[12] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 42.

[13] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 43.

[14] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 44.

[15] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 45 ff.

[16] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 47.

[17] Vgl. Wiederkehr, Züger, Risikomanagementsystem im Unternehmen, Zürich 2010, Seite 67.

[18] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 102.

[19] Vgl. Hauschka, Corporate Compliance- Handbuch zur Haftungsvermeidung im Unternehmen, München 2007, Seite 88.

[20] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 102 ff.

[21] Vgl. v. Winter, Risikomanagement und Interne Kontrollen beim Sachversicherer, Karlsruhe 2001, Seite 34-35.

[22] Vgl. Euler, Interne Kontrollen im Unternehmen, Berlin 1992, Seite 23.

[23] Vgl. Müller, IT-Sicherheit mit System, 2. Auflage, Wiesbaden 2005, Seite 101.

[24] Vgl. Jacob, ERP Value – Signifikante Vorteile mit ERP-Systemen, Heidelberg 2008, Seite 1 ff.

[25] Jacob, ERP Value – Signifikante Vorteile mit ERP-Systemen, Heidelberg 2008, Seite 2.

[26] PPS-Systeme sind Produktionsplanung und –steuerungs Systeme, die den gesamten Produktentstehungspro-zess begleiten. (Vgl. Rollberg Roland, Keuper Frank, Produktion und Controlling: Integrierte Produktions-planung – vom theoretischen Ideal der Simultanplanung bis zum praktischen Kompromiss des „Advanced Planning and Scheduling (APS)“, Wiesbaden 2002, Seite 140)

[27] Aus Corsten, Gössinger, Produktionswirtschaft, 12. Auflage, München 2009, Seite 566.

[28] Vgl. Hesseler, Görtz, Basiswissen ERP-Systeme, Witten 2007, Seite 58.

[29] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 145.

[30] SAP GUI = Ist der Client der mit dem Applikation Server kommuniziert. Es findet ein Client-Server-Prinzip statt. (Vgl. Jeske, SAP für Java-Entwickler, Heidelberg 2005, Seite 7)

[31] remote function call = Dieser Mechanismus wird verwendet, sobald mit dem Aufruf die Grenze des SAP-Systems überschritten wird. (Vgl. Gronau, Enterprise Ressource Planning und Supply Chain Management, München 2004, Seite 24)

[32] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 146 ff.

[33] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 154 ff.

[34] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 158.

[35] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 164.

[36] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 73.

[37] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 74.

[38] Vgl. Goll, Haupt, Best Practice in Einkauf und Logistik - Corporate Governance, Risk- and Compliance Management in der Beschaffung, 2. völlig neue und erweiterte Auflage, Wiesbaden 2008, Seite 150.

[39] In Anlehnung an Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 18.

[40] Vgl. http://www.securintegration.com/en/home/publications/publications/article/grc-teil-2-sap-und-der-themenkomplex-sap.html, Zugriff am 16.02.2011.

[41] In Anlehnung an Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 22.

[42] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 21 ff.

[43] Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 24.

[44] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 24 ff.

[45] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 24 ff.

[46] Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 105.

[47] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 104 ff.

[48] Vgl. http://de.sap.info/zugang-kontrollieren-%E2%80%93-risiken-minimieren/1206, Zugriff am 11.12.2010.

[49] Vgl. Hofmann, Logistik Management – Berücksichtigung von Lieferantenkrediten in der Bestellmengen-planung, Heidelberg 2009, Seite 141.

[50] Vgl. http://de.sap.info/zugang-kontrollieren-%E2%80%93-risiken-minimieren/1206, Zugriff am 11.12.2010.

[51] In Anlehnung an Oehler, Corporate Performance Management, München 2006, Seite 410.

[52] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 117 ff.

Ende der Leseprobe aus 79 Seiten

Details

Titel
Konzeption eines Berechtigungskonzeptes für SAP Systeme
Untertitel
Unter Einbeziehung der Internen Kontrollsysteme im Mittelstand
Hochschule
AKAD-Fachhochschule Pinneberg (ehem. Rendsburg)
Note
2,3
Autor
Jahr
2011
Seiten
79
Katalognummer
V177828
ISBN (eBook)
9783640997268
ISBN (Buch)
9783640997183
Dateigröße
3098 KB
Sprache
Deutsch
Schlagworte
konzeption, berechtigungskonzeptes, systeme, einbeziehung, internen, kontrollsysteme, mittelstand
Arbeit zitieren
Angela Hildmann (Autor), 2011, Konzeption eines Berechtigungskonzeptes für SAP Systeme, München, GRIN Verlag, https://www.grin.com/document/177828

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Konzeption eines Berechtigungskonzeptes für SAP Systeme



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden