Tobias Harmes
28. Juni 2023

Internes Kontrollsystem für SAP

27

Sich ständig ändernde Anforderungen sind eine Herausforderung für eine stetige Kontrolle der  Compliance. Mit einem internen Kontrollsystem (IKS) für SAP sind Sie in der Lage, diese Herausforderungen zu meistern.

Was ist ein internes Kontrollsystem?

Eine Organisation implementiert ein internes Kontrollsystem (IKS), um die Effektivität und Effizienz ihrer Geschäftsprozesse sicherzustellen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und potenzielle Risiken zu identifizieren und zu bewältigen. Es dient dazu, die Unternehmensziele zu unterstützen, Fehler zu verhindern oder frühzeitig zu erkennen und die Zuverlässigkeit der finanziellen Berichterstattung sicherzustellen.

Das Ziel des internen Kontrollsystems ist es, als integraler Bestandteil im Risikomanagement alle vorhandenen sowie potenziellen, operativen und finanziellen Unternehmensrisiken zu indizieren und diese auf das Minimum zu reduzieren. Das interne Kontrollsystem hat somit eine präventive und aufdeckende Funktion und unterstützt optimale Unternehmensprozesse.

Sind z. B. im SAP ERP-System Berechtigungen für die Durchführung von Debugging-Aktivitäten erteilt worden, die die direkten Änderungen von Tabellen erlauben, so kann der Grundsatz der Nichtveränderlichkeit von Buchhaltungsbelegen beeinträchtigt werden. Um dieses Risiko aus dem Weg zu räumen, müssen an dieser Stelle effektive Kontrollmechanismen etabliert werden:

  • restriktive Berechtigungsvergabe (präventiv)
  • Notfall-User-Konzept (präventiv)
  • Review von Systemlog (detektiv)

sap internes Kontrollsystem

Gesetzliche Grundlagen eines internen Kontrollsystems

Ein internes Kontrollsystem muss in jedem Unternehmen vorhanden sein, das wirtschaftlich und effizient handeln möchte. Im Rahmen der gesetzlichen Anforderungen in Deutschland fordert zum Beispiel das Aktiengesetz im Paragraph 91 ein Überwachungssystem, das risikohafte Entwicklungen frühzeitig erkennt. Für die Einrichtung dieses Überwachungssystems ist der Vorstand verantwortlich. Nach den Gesetzen § 316, 317 und 322 HGB ist der Wirtschaftsprüfer dazu verpflichtet, den Jahresabschluss und die Buchführung nach den GoBD und gesetzlichen Vorschriften zu sichern. Von dieser Vorschrift sind mittelgroße und große Kapitalgesellschaften betroffen.

Zu den Ordnungsmäßigkeitsanforderungen zählen außerdem:

  • Sicherheit
  • Funktionstrennung
  • Archivierung
  • Vollständige und nachvollziehbare Dokumentationen
  • Unveränderlichkeit
  • Zeitgerechtigkeit

Internes Kontrollsystem und SAP

Viele SAP Anwender sind sich nicht bewusst, dass sie viele Anwendungsfälle in ihren SAP-Systemen haben, die von einem IKS profitieren würden. In den meisten Fällen handelt es sich um Themen aus der SAP Basis Landschaft wie z. B. die Einstellungen der SAP Systemparametern. Wenn der Ist-Status ermittelt und festgehalten wird, werden die Ergebnisse oft einmalig in einer Excel-Liste protokolliert. Danach findet jedoch keine nachfolgende und kontinuierliche Überprüfung statt. Das Problem besteht darin, dass verschiedene Systeme mit unterschiedlichen Schutzanforderungen verwaltet werden müssen und entsprechend unterschiedlich gewartet werden. Fragen wie “Ist der aktuelle Zustand mit dem gewünschten Zustand konsistent?”, “Wann sollten diese Überprüfungen stattfinden?” und “Wie werden sie überprüft?” sind Hinweise darauf, dass die Etablierung eines internen Kontrollsystems von Vorteil ist. Denn mithilfe des IKS ist es möglich, diese Themen in großen SAP-Landschaften zu sammeln, ins SAP-System aufzunehmen und dort abzubilden.

Komponenten des internen Kontrollsystems

Das interne Kontrollsystem besteht aus verschiedenen Komponenten, die in enger Zusammenarbeit die Effektivität der Geschäftsprozesse und die Risikobewältigung gewährleisten. Hierzu gehören das Kontrollumfeld, die Risikobewertung, Kontrollaktivitäten, Informations- und Kommunikationssysteme, Überwachung und das interne Kontrollumfeld. Das Kontrollumfeld umfasst die Unternehmenskultur, Werte und Ethik und bildet den Rahmen für die Implementierung der internen Kontrollen. Durch die Risikobewertung werden potenzielle Risiken identifiziert und bewertet. Kontrollaktivitäten setzen konkrete Maßnahmen wie Aufgabentrennung und Prüfungen um. Informations- und Kommunikationssysteme stellen sicher, dass relevante Informationen zeitnah an die richtigen Personen weitergegeben werden. Die Überwachung beinhaltet regelmäßige Bewertungen der internen Kontrollen. Das interne Kontrollumfeld betrifft die Struktur und Organisation des Systems selbst. Durch das harmonische Zusammenspiel dieser Komponenten wird Compliance, Effektivität und Integrität in den Unternehmensabläufen sichergestellt.

Internes Kontrollsystem für Ihr SAP System

Etablieren Sie ein internes Kontrollsystems, um Abweichungen vom Berechtigungskonzept zu erkennen und Ihre Berechtigungslandschaft nachhaltig zu überwachen

Funktion des internen Kontrollsystems

Eine regelmäßige Überwachung der Risiken und Kontrollen und der internen Vorgaben sichert die Funktionsfähigkeit des internen Kontrollsystems. Mit der Implementierung wird eine Vielzahl von gesetzlichen Anforderungen und anderer Bestimmungen erfüllt. Auch im Rahmen der SAP Security können mit der Etablierung eines internen Kontrollsystems Mängel aufgedeckt und rechtzeitig Sicherheitsprobleme erkannt werden, um SAP-Systeme proaktiv zu schützen. Ein internes Kontrollsystem überwacht SAP Sicherheitsvorlagen und ermöglicht es Unternehmen, die Gesamtheit von SAP Sicherheitsvorgaben zentral zu überprüfen. Dazu müssen auch alle Mitarbeiter die notwendigen Informationen über Risiken und Kontrollen erhalten und weiterleiten können. Das interne Kontrollsystem sichert und steigert insgesamt den Erfolg von Unternehmen, schützt das Unternehmensvermögen und vermeidet trügerische Handlungen.

Prinzipien eines internen Kontrollsystems

Folgende Prinzipien bilden die Grundlage eines internen Kontrollsystems:

Das Prinzip der Transparenz: Das Prinzip der Transparenz besagt, dass für Prozesse Soll-Konzepte entwickelt werden müssen, damit ein Außenstehender beurteilen kann, ob die Verantwortlichkeiten entsprechend übernommen wurden. Dadurch wird auch die Erwartungshaltung der Organisationsleitung definiert.

Das Prinzip der vier Augen: In einem gut aufstellten Kontrollsystem sollten alle Vorgänge mehrfach geprüft werden.

Das Prinzip der Funktionstrennung: Vollziehende (z.B. Abwicklung von Einkäufen), verbuchende (z.B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende (z.B. Lagerverwaltung) Tätigkeiten in einem Unternehmen dürfen nicht aus einer Hand erfolgen.

Das Prinzip der Mindestinformation: Für Mitarbeiter sollen nur die Informationen zugänglich sein, die sie für ihre Arbeit brauchen. Darunter fallen auch die entsprechenden Sicherungsmaßnahmen bei IT-Systemen.

Bedarfsfeststellung für ein internes Kontrollsystem

Der Einsatz vom internen Kontrollsystem in Bezug auf die SAP Security lässt sich von verschiedenen individuellen Bedürfnissen herleiten. Der Wunsch, einheitliche Standards für kritische Berechtigungen und Sicherheitskonzepte zu definieren, diese nachhaltig und langfristig einzuhalten, für mehr Transparenz zu sorgen, Verantwortlichkeiten für die Nachhaltung festzulegen oder die generelle SAP-Systemsicherheit sicherzustellen, sind klare Argumente für die Einführung eines internen Kontrollsystems. Die Menge an Details, die im SAP-System vorhanden sind, zu konsolidieren oder der Anforderung des Wirtschaftsprüfers nachzukommen, bestimmte Befehle automatisch zu überprüfen, sind ebenfalls häufige Gründe für die Nutzung eines internen Kontrollsystems.

Unsere Empfehlungen

Im Sinne der IT Security empfehlen wir den Einsatz eines automatisierten IKS zur dauerhaften Überwachung des Systemzustands. Durch einen regelmäßigen Abgleich des Soll-Zustands mit dem Ist-Zustand und durch die vollständige Dokumentation der Prozesskontrollen können die systemspezifischen Sicherheitsvorgaben zentral kontrolliert werden. Außerdem profitieren Unternehmen von einer softwaregestützten internen Prozesskontrolle mit workflowgestützter Überwachung wie zum Beispiel für die Evaluierung der Rollenzuordnung im SAP System.

Beispiel IKS Monitoring für die SAP Security

Das interne Kontrollsystem, für zum Beispiel die SAP Security, wird entsprechend der Regelungen und Anforderungen gebaut, die im SAP Sicherheits- oder Berechtigungskonzept enthalten sind. Anschließend erstellt das Unternehmen softwarebasierte Prüfungen, um Abweichungen von den Regelungen im Konzept aufzudecken. Diese Prüfungen werden regelmäßig als Prüfroutine durchgeführt.

Das Monitoring kann von einem zentralen System aus (z. B. Solution Manager) für alle gekoppelten Systeme durchgeführt werden und die einheitlichen Prüfungsergebnisse werden anschließend revisionskonform gespeichert und nach jeder Ausführung per E-Mail zugestellt. Grundsätzlich sollte man mit dem internen Kontrollsystem regelmäßig nachhalten, am besten quartalsweise. Der Ergebnisreport zeigt dann, wie der aktuelle Zustand der SAP Landschaft ist. Des Weiteren besteht die Möglichkeit, sich im Monitoring anzeigen zu lassen, wo Verbesserungen stattgefunden haben. Zudem wird auch dazu geraten, einen Verantwortlichen zu definieren, der für die Kontrolle verantwortlich ist und die Ergebnisse an Zuständige adressiert. Das heißt, dass Systemlandschaften separiert und vom jeweiligen System-Owner geprüft werden.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Fazit

Ein internes Kontrollsystem ist das Indiz einer erfolgreichen Corporate Governance. Es liefert dem Unternehmen transparente und verlässliche Informationen über Abläufe und interne Kontrollmaßnahmen hinsichtlich Sicherheit, Qualität und Effizienz und unterstützt Unternehmen dabei, die Gesamtheit der SAP-Sicherheitsvorgaben zentral zu überprüfen. Deshalb zählt das interne Kontrollsystem auch zu den wichtigen Führungsinstrumenten eines Unternehmens. Eine Abwicklung von Prüfungen und Kontrollen via Mail oder Excel-Listen ist nicht mehr zeitgemäß und fehleranfällig. Daher sollte hier auf Software-gestützte Lösungen mit Workflow-Anbindung gesetzt werden.

FAQ

Was ist das interne Kontrollsystem?

Das interne Kontrollsystem beschreibt das von der Unternehmensleitung im Unternehmen eingeführte Grundsystem und Verfahren und Regelungen, die zur organisatorischen Implementierung der Unternehmensentscheidungen definiert werden. Dazu gehören Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung und Einhaltung der rechtlichen Vorschriften.

Wo lässt sich das interne Kontrollsystem anwenden?

Viele SAP Anwender sind sich nicht bewusst, dass sie viele Anwendungsfälle in ihren SAP-Systemen haben, die für ein internes Kontrollsystem sprechen. In den meisten Fällen handelt es sich um Themen aus der SAP Basis Landschaft, wie z. B. die Einstellungen der SAP-System-Parametern.

Mehr zum Thema Internes Kontrollsystem


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice