Das Ziel dieser Arbeit ist es, ein praktikables Berechtigungskonzept zu erstellen, welches alle Anforderungen an ein Internes Kontrollsystem erfüllt.
Hierbei soll für ein nicht existierendes Beispielunternehmen im Mittelstand dargestellt werden, wie bei der Erstellung eines Berechtigungskonzeptes vorgegangen werden kann.
Weiterhin soll aufgezeigt werden, wie die Anforderungen des Internen Kontrollsystems bestmöglich umgesetzt werden können, um ein Berechtigungskonzept zu erhalten, welches überschaubar und somit praktikabel ist.
Letztendlich ist es auch ein Ziel, dass das Berechtigungskonzept in der Lage ist, flexibel auf Änderungen zu reagieren.
Inhaltverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
1. Einleitung
1.1 Allgemeine Ausgangssituation
1.2 Problem
1.3 Zielsetzung
2. theoretische Grundlagen
2.1 Corporate Compliance
2.1.1 Die fünf Elemente der Compliance
2.1.2 Internes Kontrollsystem
2.1.3 Funktionstrennung
2.2 ERP-Systeme
2.2.1 Allgemeiner Aufbau von ERP-Systemen
2.2.2 SAP
2.2.3 Aufbau Berechtigungen in SAP
2.2.4 SAP GRC
2.2.5 Compliance Calibrator
2.3 Allgemeine Anforderungen an ein Berechtigungskonzept
3. Beispielunternehmensstruktur
3.1 Mittelstand
3.2 Aufbauorganisation des Beispielunternehmens
4. Ausgangssituation „alte“ Rollenkonzepte
5. Konzeption des Berechtigungskonzeptes
5.1 Zielsetzung
5.2 Allgemeiner Aufbau der Rollen
5.2.1 Grundsätzliches zum Aufbau der Rollen
5.2.2 Verwendung von Sammelrollen
5.2.3 Trennung von Aktivitäten und Organisation
5.3 Aufbau einer Exemplarischen Rolle
5.3.1 Vorgehen bei der Analyse
5.3.2 Trennung der Berechtigungsfelder
5.3.3 Exemplarische Rolle für den Einkauf Aktivitäten
5.3.4 Exemplarische Rolle für den Einkauf Organisation
5.3.5 Kombination der Rollen für Aktivitäten und Organisation
5.3.6 Umsetzung der Funktionstrennung
5.4 Kontrolle über Compliance Calibrator
5.5 Handlungsempfehlung
5.5.1 Systemtechnische Handlungsempfehlung
5.5.2 Vorgehensweise in einem Projekt
6. Fazit
7. Zusammenfassung
Literatur- und Quellenverzeichnis
Anhang 1: Konflikte der Standardrollen Einkauf
Anhang 2: Konflikte der Sammelrolle Einkauf
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abbildung 1: Die fünf Elemente der Compliance
Abbildung 2: Allgemeine Architektur eines ERP-Systems
Abbildung 3: Zusammenhänge Komponenten Berechtigungen SAP
Abbildung 4: Aufgabenanalyse und Berechtigung
Abbildung 5: Was bedeutet GRC
Abbildung 6: GRC Maturity Model
Abbildung 7: GRC Solution Portfolio
Abbildung 8: Überblick SAP GRC Access Control
Abbildung 9: Funktionen des Compliance Calibrators
Abbildung 10: KMU-Anteile 2007 in Deutschland nach KMU-Definition des IfM Bonn
Abbildung 11: Organigramm Beispielunternehmen
Abbildung 12: Beschaffungsabwicklung Bestellung
Abbildung 13: Anzahl Konflikte in ausgewählten Standardrollen
Abbildung 14: Kritische Transaktionen in ausgewählten Standardrollen
Abbildung 15: Prüfung im Programmablauf
Abbildung 16: Organisationswerte in den Berechtigungsfeldern
Abbildung 17: Berechtigungsprüfung der Sammelrolle
Abbildung 18: Berechtigungsprüfung mit Sammelprofil
Abbildung 19: Ergebnis Testbenutzer eins mit Sammelrolle Einkauf
Abbildung 20: Ergebnis Testbenutzer zwei mit Rolle Einkauf Allgemein
Abbildung 21: Ergebnis Testbenutzer drei mit Rolle Einkauf Allgemein und Rolle Kontrakte und Lieferpläne
Abbildung 22: Vorgehensweise in einem Projekt
Tabellenverzeichnis
Tabelle 1: Verwendete Standardrollen
Tabelle 2: Ermittelte Berechtigungsfelder in den Standardrollen
Tabelle 3: Trennung der Berechtigungsfelder und deren Häufigkeit in den Rollen
Tabelle 4: Übersicht über konfliktfreie Rollen
Tabelle 5: Felder Rolle Organisation mit Vorschlagswerten
1. Einleitung
1.1 Allgemeine Ausgangssituation
Die Internen Kontrollsysteme (IKS) erhalten eine immer größere Bedeutung in global vernetzten Unternehmen. Mittelständische Unternehmen sind immer häufiger in Konzerne eingegliedert und müssen ein funktionierendes Internes Kontrollsystem nachweisen.[1] Die Amerikanische Börsenaufsicht hat den Unternehmen strenge Regularien unter dem Namen Sarbanes Oxley Act (SOX) auferlegt.[2] SOX wurde im Jahre 2002 ins Leben gerufen, als Reaktion auf spektakuläre Bilanzbetrüge.[3]
Ein Internes Kontrollsystem kann nur funktionieren, wenn dieses ganzheitlich in die IT-Infrastruktur eingegliedert wird.
Ein IT-System muss kontrolliert werden und diese Kontrolle kann nur wirksam sein, wenn sie verhindert, dass Risiken des IT-Systems zu wesentlichen Fehlern in der Rechnungslegung führen.[4]
Eine aktuelle Erhebung von KPMG kommt zu dem Ergebnis, dass kleine und mittlere Unternehmen (KMU) die Gefahren der Wirtschaftskriminalität unterschätzen. Laut einer Umfrage von Saperion haben KMU in der Regel noch nicht einmal ein Compliance Management. Weiterhin existiert keine durchgängige Strategie zur Minimierung von Schadensrisiken. Die Saperion-Umfrage unter 300 Unternehmen ergab, dass nur 41% der Unternehmen regelmäßig überprüfen, ob existierende Compliance-Vorgaben zur IT-Sicherheit oder zum ethischen, geschäftlichen Handeln eingehalten werden. Eine Untersuchung von Integrity Interactive kommt zu dem Ergebnis, dass Korruption als größtes Compliance-Risiko angesehen wird. Es ist also notwendig, dass KMU eine umfassende Compliance-Strategie für sämtliche Unternehmensbereiche erarbeiten und implementieren. Somit ist es möglich, Risiken aufzufinden, zu analysieren und zu bewerten und Schutzmaßnahmen zu ihrer Minimierung zu ergreifen.[5]
Allgemein wird Compliance, von den zitierten Studien, mittlerweile als das größte Problem international tätiger Unternehmen angesehen.[6]
1.2 Problem
Von SAP werden Standardrollen angeboten. Diese Standardrollen berücksichtigen die Bedürfnisse der Internen Kontrollsysteme jedoch nur unzureichend. Weiterhin gibt es sehr viele Standardrollen, wodurch Unübersichtlichkeit entsteht. Der grundsätzliche Aufbau des Berechtigungswesens in SAP ist nicht sehr flexibel und ermöglicht ein schlankes Berechtigungskonzept nur schwer.
Vielen mittelständischen Unternehmen in Konzernen wird die Umsetzung eines Internen Kontrollsystems vom Mutterunternehmen auferlegt. Von SAP wird hierfür keine Standardlösung angeboten. Somit stehen viele Unternehmen zunächst einmal vor dem Problem, dass sie nicht wissen, wie sie dieses am besten umsetzen sollen. Die vorliegende Arbeit soll hier einen möglichen Weg aufzeigen.
1.3 Zielsetzung
Das Ziel dieser Arbeit ist es, ein praktikables Berechtigungskonzept zu erstellen, welches alle Anforderungen an ein Internes Kontrollsystem erfüllt.
Hierbei soll für ein nicht existierendes Beispielunternehmen im Mittelstand dargestellt werden, wie bei der Erstellung eines Berechtigungskonzeptes vorgegangen werden kann.
Weiterhin soll aufgezeigt werden, wie die Anforderungen des Internen Kontrollsystems bestmöglich umgesetzt werden können, um ein Berechtigungskonzept zu erhalten, welches überschaubar und somit praktikabel ist.
Letztendlich ist es auch ein Ziel, dass das Berechtigungskonzept in der Lage ist, flexibel auf Änderungen zu reagieren.
2. theoretische Grundlagen
2.1 Corporate Compliance
Eine einheitliche Definition für Compliance gibt es nicht. Eine Definition in Anlehnung an Hauschka lautet: „Der Begriff Compliance bezeichnet die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Leitungs- und Aufsichtsorgane sowie seiner Organisationsmitglieder im Hinblick auf alle gesetzlichen Ge- und Verbote begründen.“[7]
Der Begriff Compliance kann weiterhin wie folgt durch den Corporate Governance Kodex formuliert werden: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin.“[8]
Somit lässt sich zusammenfassen, dass Compliance der Risikovorbeugung und der Schadensabwehr im Unternehmen dient.[9]
Um Compliance einzuführen, muss jedes Unternehmen prüfen, welche Gesetze eingehalten werden müssen. So ist zum Beispiel SOX nur für deutsche Unternehmen relevant, welche über einen Konzern an der US Börse notiert sind.[10]
2.1.1 Die fünf Elemente der Compliance
Compliance gliedert sich in fünf Elemente. Diese sind die Risikoanalyse, das Commitment, die Kommunikation, die Organisation und die Dokumentation.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Die fünf Elemente der Compliance[11]
Die Risikoanalyse dient der Identifizierung der vorhandenen Rechtsrisiken im jeweiligen Unternehmen. Sie dient weiterhin der sachlichen und monetären Abschätzung möglicher Schadensumfänge bei Eintritt eines einzelnen Risikos. Die Abschätzung der jeweiligen Eintrittswahrscheinlichkeit eines künftigen Rechtsverstoßes und des damit verbunden Schadensumfanges sowie der daraus abzuleitenden Schritte zur Risikovorbeugung schließen die Risikoanalyse ab.[12]
Commitment bezeichnet die uneingeschränkte Verpflichtung eines Unternehmens gegenüber der Compliance und sollte daher als Chefsache behandelt werden. Rechtsverstöße im Unternehmen dürfen von der Geschäftsleitung nicht geduldet werden und es sollten Sanktionen bei Verstößen verhängt werden. Ein Unternehmen sollte Ethik-Regeln zur Mitarbeiterführung, dem Verhalten der Mitarbeiter untereinander und gegen Korruption aufstellen.[13]
Die Geschäftsleitung muss das Commitment und Maßnahmen zur Prävention von Missbrauchsfällen in geeigneter Weise im Unternehmen und an die Geschäftspartner kommunizieren.[14]
Um Compliance effizient durchzusetzen, muss eine klare Organisationsstruktur im Unternehmen vorhanden sein. Ein Unternehmen sollte über einen Compliance- Beauftragten oder eine Compliance-Abteilung verfügen.[15]
Eine geeignete Dokumentation der Entscheidungen, Prozesse, Maßnahmen und Berichtswege im Unternehmen ist für eine effiziente Compliance unerlässlich. Wenn Compliance-Maßnahmen ausreichend dokumentiert sind, können im Fall eines Regelverstoßes oder Unfalles, Schadensersatz oder Sanktionen abgewendet oder abgemildert werden.[16]
2.1.2 Internes Kontrollsystem
Ein Internes Kontrollsystem umfasst die Gesamtheit aller unternehmensinternen Vorgänge, Methoden, Instrumente und Maßnahmen die vom Verwaltungsrat, der Geschäftsleitung und den übrigen Führungsverantwortlichen angeordnet werden, um das Vermögen des Unternehmens zu schützen und einen ordnungsgemäßen Betriebsablauf sicherzustellen.[17] Es dient der Abwehr von Schäden für das Unternehmen und der Vermeidung von Rechtsverstößen, die durch das Unternehmen begangen werden könnten. Es besteht aus Maßnahmen und Kontrollen, die geeignet sind, diese Schäden zu vermeiden oder etwaige Schäden zu minimieren.[18]
Das IKS soll über präventive und detektivische Kontrollen dazu beitragen, dass die Unternehmensziele erreicht werden. Diese sind vorsorgender Natur oder bestehen aus Kontrollen im Nachhinein, die dazu dienen, etwaige Verstöße aufzudecken.[19]
Ein zwingender Bestandteil des IKS ist stets eine eindeutige Regelung der Zugriffsrechte. Dies gilt insbesondere für kritische Aktionen, wie z.B. bereits einfache lesende Zugriffe und auch für Funktionstrennungsdefinitionen welche erforderlich sind.[20]
2.1.3 Funktionstrennung
In der Funktionstrennung, im Englischen separation of duties (SoD), soll durch eine Verteilung von Tätigkeiten auf mehrere Personen durch gegenseitige Überwachung ein Kontrolleffekt erzielt werden. Es soll hierbei eine Trennung zwischen vollziehenden, verbuchenden und verwaltenden Tätigkeiten erfolgen. Die Funktionstrennung als Mittel zur Verhinderung von Machtmissbrauch ist an das Prinzip der Gewaltenteilung (Exekutive, Legislative und Judikative) im staatlichen Bereich angelehnt. Eine Ausprägung des Konzepts der Funktionstrennung ist das Vieraugenprinzip. Es bedeutet, dass ein weiterer Mitarbeiter mit dem Vorgang befasst wird und dabei eine kontrollierende Tätigkeit ausübt.[21]
Die Funktionstrennung hat somit eine große Bedeutung für Interne Kontrollsysteme.[22] Ziel der Funktionstrennung ist, dass ein und dieselbe Person nicht zwei auf einander folgende Funktionen innehaben darf.[23]
2.2 ERP-Systeme
2.2.1 Allgemeiner Aufbau von ERP-Systemen
Als Enterprise Resource Planning Systeme (ERP-Systeme) werden integrierte betriebswirtschaftliche Softwarelösungen bezeichnet. Sie decken eine Vielzahl operativer und dispositiver Geschäftsprozesse eines Unternehmens aus den Bereichen Finanz- und Rechnungswesen, Logistik, Vertrieb, Service Management, Produktion, Instandhaltung, Qualitätsmanagement und Personalwesen ab. ERP-Systeme zeichnen sich durch eine zentrale integrierte Datenbank aus. In dieser sind insbesondere Stammdaten zur gemeinsamen Nutzung durch die Geschäftsprozesse abgelegt. Sie zeichnen sich durch eine hohe Integration zwischen den verschiedenen Geschäftsprozessen aus. Mit der Buchung eines Wareneinganges erfolgt z.B. zugleich eine Verbuchung in der Finanzbuchhaltung.[24]
„ERP-Systeme bilden in den IT-Architekturen von Unternehmen eine Rückgrat-Funktion: Sie übernehmen operative oder dispositive Geschäftsprozesse im Unternehmen, die von hohen Massenvolumen und weitgehend standardisierten Abläufen geprägt sind.“[25]
Sie sind eine Weiterentwicklung der PPS-Systeme[26]. ERP-Systeme stellen nicht nur die Gütererstellung in den Vordergrund, sondern beschäftigen sich mit der Abbildung des gesamten Unternehmens.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Allgemeine Architektur eines ERP-Systems[27]
Für ERP-Systeme gibt es verschiedene Branchenlösungen, die jeweils spezielle Erweiterungen oder Anpassungen des Standards an die Besonderheiten der jeweiligen Branche anbieten.[28]
2.2.2 SAP
Das wohl bekannteste ERP-System wird von der SAP AG vertrieben. Dieses ermöglicht die Darstellung komplexer Geschäftsprozesse und weist einen hohen Grad an Integration auf. Es ermöglicht u.a. Tochtergesellschaften in das ERP-System der Muttergesellschaft zu integrieren, um Synergieeffekte zu generieren.
SAP ist modular aufgebaut und ermöglicht es dem Kunden, sein System aus vielen verschiedenen Modulen zusammenzustellen und somit sein ERP-System an den Bedürfnissen seines Unternehmens auszurichten.
Die vorliegende Arbeit beschäftigt sich mit der Einbindung der Internen Kontrollsysteme in ein ERP-System, wie es von SAP ermöglicht wird. In Kapitel 2.2.4 wird der SAP GRC Ansatz vorgestellt. GRC steht für Governance, Risk and Compliance. Ein Bestandteil des SAP GRC ist der Virsa Compliance Calibrator, welcher die Lücke zwischen ERP-Systemen und Internen Kontrollsystemen bezüglich der Berechtigungen in einem ERP-System schließt.
Aufgrund der Vielseitigkeit der Ausprägbarkeit und auf Grund des modularen Konzeptes wurde SAP ERP als ERP-System für die vorliegende Arbeit ausgewählt.
2.2.3 Aufbau Berechtigungen in SAP
Zunächst soll eine Grafik die Zusammenhänge zwischen den einzelnen Komponenten aufzeigen.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Zusammenhänge Komponenten Berechtigungen SAP
Die Berechtigungen in SAP werden durch Rollen verwaltet, die einem Benutzer zugewiesen werden. Eine Rolle besteht aus Transaktionen und Berechtigungsobjekten. Die Berechtigungsobjekte sind im Berechtigungsprofil zusammengefasst und enthalten Berechtigungsfelder, in denen Aktivitäten und weitere Werte, wie z.B. Organisationsebenen, ausgeprägt sind.[29]
Damit eine Person im SAP-System eine Aktion ausführen kann, benötigt sie einen Benutzerstammsatz, dem die notwendigen Berechtigungen zugeordnet sind. Die Berechtigungen werden durch Rollen gegeben, zu denen jeweils Berechtigungsprofile gehören, die die tatsächlichen Berechtigungen definieren. Es gibt fünf unterschiedliche Benutzertypen. Der zentrale Benutzertyp ist der Dialogbenutzer. Er wird für natürliche Personen als personalisierter Benutzer verwendet. Die Anmeldung erfolgt über den SAP GUI.[30] Servicebenutzer dienen dem anonymen Zugriff mehrerer Benutzer, z.B. bei Webservices. Kommunikationsbenutzer sind systematisch personenbezogene Benutzer, die sich per remote function call anmelden.[31] Systembenutzer finden in technischen Abläufen, wie z.B. Batchläufen, Verwendung. Mit einem Referenzbenutzer ist es nicht möglich, sich in einem SAP-System anzumelden. Er dient lediglich dazu, Berechtigungen zu kopieren oder zu vererben.[32]
Über einen Transaktionscode wird im SAP-System eine betriebswirtschaftliche Funktion ausgeführt. Um eine Programm über eine Transaktion ausführen zu können, benötigt der Benutzer zunächst die Berechtigung, die Transaktion aufrufen zu dürfen. Dies wird im Berechtigungsobjekt S_TCODE hinterlegt.[33]
Ein Berechtigungsobjekt besteht aus einer Kombination von Berechtigungsfeldern, die einzelne Berechtigungen definieren. Berechtigungsobjekte sind sehr unterschiedlich ausgeprägt. In der Regel bestehen sie aus Aktivitäten und organisatorischen Beschränkungen. Ein Berechtigungsobjekt enthält höchstens zehn Berechtigungsobjektfelder.[34]
Eine Rolle dient der vereinfachten Erstellung, Ausprägung und Vergabe von Berechtigungen.[35] Mehrere Rollen können in einer Sammelrolle gebündelt werden.[36] Die nachfolgende Abbildung soll diese Möglichkeiten verdeutlichen.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 4: Aufgabenanalyse und Berechtigung[37]
2.2.4 SAP GRC
GRC besteht aus den drei Komponenten Governance, Risk Management und Compliance. Es bezeichnet die umfassende, unternehmensweit einheitliche Ausrichtung des Managements und aller eingesetzten Ressourcen auf das eine Ziel, Mehrwert für das gesamte Unternehmen zu schaffen.[38]
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 5: Was bedeutet GRC[39]
Um GRC in einem Unternehmen einzuführen, gibt SAP für die Planungsphase Hilfestellungen. Der GRC-Einführungsprozess, das GRC Maturity Model, durchläuft normalerweise vier Phasen, wobei es die richtige Vorgehensweise für das eigene Unternehmen zu finden erlaubt. Es macht den Prozess anschaulich und informiert die Verantwortlichen zu jeder Zeit darüber, in welcher der vier Phasen das Unternehmen sich befindet, welche Maßnahmen bereits abgeschlossen und welche noch vor dem Unternehmen liegen.[40]
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 6: GRC Maturity Model[41]
In der ersten Phase erfolgt die Konzentration auf die sehr kritischen Compliance-Fragen. In der zweiten Phase wird eine Reihe von GRC Projekten implementiert, um rechtliche und regionale Anforderungen zu erfüllen. In der dritten Phase werden die einzelnen Projekte zusammengeführt. Die vierte Phase integriert die GRC Aufgaben in das Tagesgeschäft.[42]
Das SAP GRC Portfolio besteht aus den Komponenten Access Control, Process Control, Risk Management, Global Trade Service und Environment, Health & Safety. Für die Arbeit sind weiterhin nur die Funktionen des SAP GRC Access Control relevant. Es sollen daher die anderen vier Bestandteile nur kurz erläutert werden.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 7: GRC Solution Portfolio[43]
SAP GRC Process Control gibt dem Unternehmen einen Überblick über die Kontrollen in ihren Geschäftsprozessen im gesamten Unternehmen. SAP GRC Risk Management wird verwendet, um die negativen Auswirkungen rechtlicher oder finanzieller Form von möglichen Geschäften darzustellen. SAP GRC Global Trade Services unterstützt die Geschäftsprozesse im Außenhandel. SAP Environment, Health & Safety bildet die Anforderungen ab, die Unternehmen in Bezug auf die Umwelt und soziale Verantwortung erfüllen müssen.[44]
Die Komponente SAP GRC Access Control regelt die Ausführung von Tätigkeiten im Unternehmen. Alle Mitarbeiter sollen nur die Aufgaben durchführen können, die durch eine systematische Trennung der Verantwortlichkeiten festgelegt sind. Dies wird durch Restriktionen in der IT-Infrastruktur erreicht.[45]
Die Funktion SAP GRC Access Control wird mit Hilfe des Compliance Calibrators aus Kapitel 2.2.5 bearbeitet. Die folgende Grafik soll die Funktionen des SAP GRC Access Control verdeutlichen.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 8: Überblick SAP GRC Access Control[46]
Der erste Bereich, die Risk Analysis and Remediation application erzielt die höchsten Effekte, wenn die Analyse der bestehenden Zuordnung von Zugriffsrechten zum ersten Mal nach der GRC Einführung durchgeführt wird. In diesem Bereich wird ebenfalls die periodische Kontrolle der SoD durchgeführt. Mit dem Enterprise Role Management wird sichergestellt, dass die SoD in den neuen Rollen eingehalten werden. Wenn einem Benutzer mehr Berechtigungen zugeordnet werden sollen, könnten diese aus Sicht des SoD zu umfangreich sein. Durch das Compliant User Provisioning wird dies verhindert, indem bei der Änderung eines Benutzers vor der Freigabe eine Prüfung stattfindet. Das Superuser Privilege Management findet Einsatz, wenn ein Benutzer Änderungen direkt auf der Datenbank durchführen oder eine sehr wichtige kritische Transaktion ausgeführt werden muss.[47]
2.2.5 Compliance Calibrator
Der Virsa Compliance Calibrator versteht sich als ein “interner, permanenter Systemprüfer”. Wenn im Rahmen eines SAP-Berechtigungskonzepts einem Anwender Transaktionen zugeordnet werden, prüft der Compliance Calibrator in Echtzeit. Er identifiziert anhand seines hinterlegten Regelwerks ein potentielles Risiko und meldet es an den hinterlegten Verantwortlichen für diesen Geschäftsprozess. Der Compliance Calibrator macht darüber hinaus Lösungsvorschläge. Das Herzstück des Virsa Compliance Calibrators ist ein Regelwerk. Es umfasst rund 200 Risiken, die sich aus den Kombinationsmöglichkeiten von mehreren tausend SAP-Standardtransaktionen ableiten. Die Risiken sind nach Geschäftsprozessen klassifiziert, etwa Procur-to-Pay oder Order-to-Cash.[48]
Procure-to-Pay bezeichnet den Prozess vom Beschaffungsbedarf bis zur Zahlungsausführung. Order-to-Cash bezeichnet den Prozess der Auftragsabwicklung bis zum Zahlungseingang.[49]
Der Virsa Compliance Calibrator lässt sich direkt in SAP ERP integrieren. Es ist möglich, selbst erstellte Transaktionen ebenfalls über den Compliance Calibrator zu kontrollieren. Diese sind im Regelwerk nicht hinterlegt und müssen diesem hinzugefügt werden, um einen umfassenden Überblick über alle Kombinationsmöglichkeiten der Transaktionen und die damit verbundenen Risiken zu gewährleisten. Handelt es sich um eine umfassende Eigenentwicklung, sollte ein externer Systemprüfer bezüglich kritischer Kombinationsmöglichkeiten von Transaktionen und der daraus resultierenden Risiken befragt werden. Wenn einem Anwender beispielsweise die Transaktionen zur “Anlage von Bestellungen” und “Rechnungsprüfung” zugeordnet sind, reagiert der Compliance Calibrator. Es ist möglich, das Risiko für Missbrauch, etwa durch das Vieraugenprinzip, bei der Rechnungsprüfung zu vermindern. Unabhängig von einem solchen zusätzlichen, manuellen Prozess ist das Missbrauchsrisiko bei diesem Anwender nun bekannt. Das Unternehmen kann auch andere Lösungen überdenken. Zum Beispiel kann nun die Frage gestellt werden, ob der Anwender tatsächlich beides dürfen muss, Bestellungen anlegen und Rechnungsprüfungen durchführen oder ob es vielleicht ausreichend ist, wenn nur Rechnungen über 10.000 Euro nach dem Vieraugenprinzip geprüft werden.[50]
Die Funktionen des Compliance Calibrators lassen sich als Prozess darstellen:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 9: Funktionen des Compliance Calibrators[51]
2.3 Allgemeine Anforderungen an ein Berechtigungskonzept
Unabhängig von der eingesetzten Software lassen sich folgende Prinzipien für die Anforderungen eines IKS an den Berechtigungen und somit für das betriebswirtschaftliche Berechtigungskonzept ableiten:[52]
- Identitätsprinzip: Die Identität eines Benutzers muss jederzeit zuortbar sein.
- Minimalprinzip: Berechtigungen dürfen nur so vergeben werden, dass ausschließlich auf die zur Aufgabenerfüllung notwendigen Daten zugegriffen werden kann.
- Stellenprinzip: Sämtliche Datenzugriffsrechte eines Benutzers müssen sich aus der Funktion des Benutzerinhabers in der Organisation ergeben.
- Belegprinzip der Buchhaltung: Sämtliche zahlungsrelevanten oder bilanz-wirksamen Vorgänge müssen belegbar sein.
- Belegprinzip der Berechtigungsverwaltung: Die Zuordnung eines Benutzers zu einer natürlichen Person, die Zuweisung von Berechtigungen zu dieser und Änderungen inklusive Änderer müssen dokumentiert werden.
- Funktionstrennungsprinzip: Die Aufgaben sind so zu trennen, dass nicht ein Mitarbeiter allein den gesamten Prozess bearbeitet und somit nicht kontrolliert wird.
- Genehmigungsprinzip: Sämtliche Berechtigungen müssen durch eine diszipli-narische oder sachlich vorgesetzte Stelle genehmigt werden.
- Standardprinzip: Es sind technische Standards einzuhalten, um die Sicherheit des Berechtigungskonzeptes und die Einhaltung der Compliance zu gewährleisten.
- Schrittformprinzip: Das betriebswirtschaftliche Berechtigungskonzept muss in einer schriftlichen, genehmigten Fassung vorliegen und alle Informationen zum Aufbau und der Umsetzung enthalten.
- Kontrollprinzip: Die Einhaltung des Berechtigungskonzeptes muss in jeglicher Hinsicht überprüft werden.
[...]
[1] Vgl. Budäus, Bergmoser, Governance von Profit- und Nonprofit- Organisationen in gesellschaftlicher Verantwortung - Entwicklungsperspektiven der Revisionsfunktion im staatlichen Governance-System, Wiesbaden 2005, Seite 349; Vgl. Gilbert, „Sicherer werden“ reicht nicht, „sicher bleiben“ ist das Ziel, in: SAP & Sicherheit, ein Supplement von S@pport, Heft 10 2010, München, Seite 8.
[2] Vgl. Hentschel, Böhm, IKS-Starthilfe Leitfaden internes Kontrollsystem zur Personal- und Abrechnungspraxis, Frechen 2006, Seite 18.
[3] Vgl. Budäus, Bergmoser, Governance von Profit- und Nonprofit- Organisationen in gesellschaftlicher Verantwortung - Entwicklungsperspektiven der Revisionsfunktion im staatlichen Governance-System, Wiesbaden 2005, Seite 349.
[4] Vgl. v. Wysocki, Wirtschaftliches Prüfungswesen Band III: Prüfungsgrundsätze und Prüfungsverfahren nach den nationalen und internationalen Prüfungsstandards, München 2003, Seite 166.
[5] Vgl. http://www.sap-port.de/index.php?page=onlineAS0710onSaperion, Zugriff am 22.02.2011. Vgl. http://www.compliancemagazin.de/printable/markt/studien/integrityinteractive180209.html, Zugriff am 26.02.2011.
[6] Vgl. Dietmann, „Must have“ oder „Nice to have“?, in: S@pport, Heft 7-8 2010, München, Seite 24.
[7] Jäger, Rödl, Campos Nave, Praxishandbuch Corporate Compliance, Weinheim 2005, Seite 57.
[8] http://www.corporate-governance-code.de/ger/kodex/4.html, Zugriff am 07.12.2010.
[9] Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 35.
[10] Vgl. Teich, Kolbenschlag, Reiners, Der richtige Weg zur Softwareauswahl, Heidelberg 2008, Seite 12-13.
[11] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 42.
[12] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 42.
[13] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 43.
[14] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 44.
[15] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 45 ff.
[16] Vgl. Wecker, van Laak, Compliance in der Unternehmenspraxis, 2. Auflage, Wiesbaden 2009, Seite 47.
[17] Vgl. Wiederkehr, Züger, Risikomanagementsystem im Unternehmen, Zürich 2010, Seite 67.
[18] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 102.
[19] Vgl. Hauschka, Corporate Compliance- Handbuch zur Haftungsvermeidung im Unternehmen, München 2007, Seite 88.
[20] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 102 ff.
[21] Vgl. v. Winter, Risikomanagement und Interne Kontrollen beim Sachversicherer, Karlsruhe 2001, Seite 34-35.
[22] Vgl. Euler, Interne Kontrollen im Unternehmen, Berlin 1992, Seite 23.
[23] Vgl. Müller, IT-Sicherheit mit System, 2. Auflage, Wiesbaden 2005, Seite 101.
[24] Vgl. Jacob, ERP Value – Signifikante Vorteile mit ERP-Systemen, Heidelberg 2008, Seite 1 ff.
[25] Jacob, ERP Value – Signifikante Vorteile mit ERP-Systemen, Heidelberg 2008, Seite 2.
[26] PPS-Systeme sind Produktionsplanung und –steuerungs Systeme, die den gesamten Produktentstehungspro-zess begleiten. (Vgl. Rollberg Roland, Keuper Frank, Produktion und Controlling: Integrierte Produktions-planung – vom theoretischen Ideal der Simultanplanung bis zum praktischen Kompromiss des „Advanced Planning and Scheduling (APS)“, Wiesbaden 2002, Seite 140)
[27] Aus Corsten, Gössinger, Produktionswirtschaft, 12. Auflage, München 2009, Seite 566.
[28] Vgl. Hesseler, Görtz, Basiswissen ERP-Systeme, Witten 2007, Seite 58.
[29] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 145.
[30] SAP GUI = Ist der Client der mit dem Applikation Server kommuniziert. Es findet ein Client-Server-Prinzip statt. (Vgl. Jeske, SAP für Java-Entwickler, Heidelberg 2005, Seite 7)
[31] remote function call = Dieser Mechanismus wird verwendet, sobald mit dem Aufruf die Grenze des SAP-Systems überschritten wird. (Vgl. Gronau, Enterprise Ressource Planning und Supply Chain Management, München 2004, Seite 24)
[32] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 146 ff.
[33] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 154 ff.
[34] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 158.
[35] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 164.
[36] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 73.
[37] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 74.
[38] Vgl. Goll, Haupt, Best Practice in Einkauf und Logistik - Corporate Governance, Risk- and Compliance Management in der Beschaffung, 2. völlig neue und erweiterte Auflage, Wiesbaden 2008, Seite 150.
[39] In Anlehnung an Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 18.
[40] Vgl. http://www.securintegration.com/en/home/publications/publications/article/grc-teil-2-sap-und-der-themenkomplex-sap.html, Zugriff am 16.02.2011.
[41] In Anlehnung an Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 22.
[42] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 21 ff.
[43] Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 24.
[44] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 24 ff.
[45] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 24 ff.
[46] Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 105.
[47] Vgl. Schöler, Zink, SAP Governance, Risk, and Compliance, Boston 2009, Seite 104 ff.
[48] Vgl. http://de.sap.info/zugang-kontrollieren-%E2%80%93-risiken-minimieren/1206, Zugriff am 11.12.2010.
[49] Vgl. Hofmann, Logistik Management – Berücksichtigung von Lieferantenkrediten in der Bestellmengen-planung, Heidelberg 2009, Seite 141.
[50] Vgl. http://de.sap.info/zugang-kontrollieren-%E2%80%93-risiken-minimieren/1206, Zugriff am 11.12.2010.
[51] In Anlehnung an Oehler, Corporate Performance Management, München 2006, Seite 410.
[52] Vgl. Lehnert, Bonitz, SAP-Berechtigungswesen, Bonn 2010, Seite 117 ff.
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.