Internes Kontrollsystem für SAP
Sich ständig ändernde Anforderungen sind eine Herausforderung für eine stetige Kontrolle der Compliance. Mit einem internen Kontrollsystem (IKS) für SAP sind Sie in der Lage, diese Herausforderungen zu meistern.
Inhaltsverzeichnis
- Was ist ein internes Kontrollsystem?
- Gesetzliche Grundlagen eines internen Kontrollsystems
- Internes Kontrollsystem und SAP
- Komponenten des internen Kontrollsystems
- Funktion des internen Kontrollsystems
- Prinzipien eines internen Kontrollsystems
- Unsere Empfehlungen
- Beispiel IKS Monitoring für die SAP Security
- Fazit
- FAQ
- Mehr zum Thema Internes Kontrollsystem
Was ist ein internes Kontrollsystem?
Eine Organisation implementiert ein internes Kontrollsystem (IKS), um die Effektivität und Effizienz ihrer Geschäftsprozesse sicherzustellen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und potenzielle Risiken zu identifizieren und zu bewältigen. Es dient dazu, die Unternehmensziele zu unterstützen, Fehler zu verhindern oder frühzeitig zu erkennen und die Zuverlässigkeit der finanziellen Berichterstattung sicherzustellen.
Das Ziel des internen Kontrollsystems ist es, als integraler Bestandteil im Risikomanagement alle vorhandenen sowie potenziellen, operativen und finanziellen Unternehmensrisiken zu indizieren und diese auf das Minimum zu reduzieren. Das interne Kontrollsystem hat somit eine präventive und aufdeckende Funktion und unterstützt optimale Unternehmensprozesse.
Sind z. B. im SAP ERP-System Berechtigungen für die Durchführung von Debugging-Aktivitäten erteilt worden, die die direkten Änderungen von Tabellen erlauben, so kann der Grundsatz der Nichtveränderlichkeit von Buchhaltungsbelegen beeinträchtigt werden. Um dieses Risiko aus dem Weg zu räumen, müssen an dieser Stelle effektive Kontrollmechanismen etabliert werden:
- restriktive Berechtigungsvergabe (präventiv)
- Notfall-User-Konzept (präventiv)
- Review von Systemlog (detektiv)
Gesetzliche Grundlagen eines internen Kontrollsystems
Ein internes Kontrollsystem muss in jedem Unternehmen vorhanden sein, das wirtschaftlich und effizient handeln möchte. Im Rahmen der gesetzlichen Anforderungen in Deutschland fordert zum Beispiel das Aktiengesetz im Paragraph 91 ein Überwachungssystem, das risikohafte Entwicklungen frühzeitig erkennt. Für die Einrichtung dieses Überwachungssystems ist der Vorstand verantwortlich. Nach den Gesetzen § 316, 317 und 322 HGB ist der Wirtschaftsprüfer dazu verpflichtet, den Jahresabschluss und die Buchführung nach den GoBD und gesetzlichen Vorschriften zu sichern. Von dieser Vorschrift sind mittelgroße und große Kapitalgesellschaften betroffen.
Zu den Ordnungsmäßigkeitsanforderungen zählen außerdem:
- Sicherheit
- Funktionstrennung
- Archivierung
- Vollständige und nachvollziehbare Dokumentationen
- Unveränderlichkeit
- Zeitgerechtigkeit
Internes Kontrollsystem und SAP
Viele SAP Anwender sind sich nicht bewusst, dass sie viele Anwendungsfälle in ihren SAP-Systemen haben, die von einem IKS profitieren würden. In den meisten Fällen handelt es sich um Themen aus der SAP Basis Landschaft wie z. B. die Einstellungen der SAP Systemparametern. Wenn der Ist-Status ermittelt und festgehalten wird, werden die Ergebnisse oft einmalig in einer Excel-Liste protokolliert. Danach findet jedoch keine nachfolgende und kontinuierliche Überprüfung statt. Das Problem besteht darin, dass verschiedene Systeme mit unterschiedlichen Schutzanforderungen verwaltet werden müssen und entsprechend unterschiedlich gewartet werden. Fragen wie „Ist der aktuelle Zustand mit dem gewünschten Zustand konsistent?“, „Wann sollten diese Überprüfungen stattfinden?“ und „Wie werden sie überprüft?“ sind Hinweise darauf, dass die Etablierung eines internen Kontrollsystems von Vorteil ist. Denn mithilfe des IKS ist es möglich, diese Themen in großen SAP-Landschaften zu sammeln, ins SAP-System aufzunehmen und dort abzubilden.
Komponenten des internen Kontrollsystems
Das interne Kontrollsystem besteht aus verschiedenen Komponenten, die in enger Zusammenarbeit die Effektivität der Geschäftsprozesse und die Risikobewältigung gewährleisten. Hierzu gehören das Kontrollumfeld, die Risikobewertung, Kontrollaktivitäten, Informations- und Kommunikationssysteme, Überwachung und das interne Kontrollumfeld. Das Kontrollumfeld umfasst die Unternehmenskultur, Werte und Ethik und bildet den Rahmen für die Implementierung der internen Kontrollen. Durch die Risikobewertung werden potenzielle Risiken identifiziert und bewertet. Kontrollaktivitäten setzen konkrete Maßnahmen wie Aufgabentrennung und Prüfungen um. Informations- und Kommunikationssysteme stellen sicher, dass relevante Informationen zeitnah an die richtigen Personen weitergegeben werden. Die Überwachung beinhaltet regelmäßige Bewertungen der internen Kontrollen. Das interne Kontrollumfeld betrifft die Struktur und Organisation des Systems selbst. Durch das harmonische Zusammenspiel dieser Komponenten wird Compliance, Effektivität und Integrität in den Unternehmensabläufen sichergestellt.
Internes Kontrollsystem für Ihr SAP System
Etablieren Sie ein internes Kontrollsystems, um Abweichungen vom Berechtigungskonzept zu erkennen und Ihre Berechtigungslandschaft nachhaltig zu überwachen
Funktion des internen Kontrollsystems
Eine regelmäßige Überwachung der Risiken und Kontrollen und der internen Vorgaben sichert die Funktionsfähigkeit des internen Kontrollsystems. Mit der Implementierung wird eine Vielzahl von gesetzlichen Anforderungen und anderer Bestimmungen erfüllt. Auch im Rahmen der SAP Security können mit der Etablierung eines internen Kontrollsystems Mängel aufgedeckt und rechtzeitig Sicherheitsprobleme erkannt werden, um SAP-Systeme proaktiv zu schützen. Ein internes Kontrollsystem überwacht SAP Sicherheitsvorlagen und ermöglicht es Unternehmen, die Gesamtheit von SAP Sicherheitsvorgaben zentral zu überprüfen. Dazu müssen auch alle Mitarbeiter die notwendigen Informationen über Risiken und Kontrollen erhalten und weiterleiten können. Das interne Kontrollsystem sichert und steigert insgesamt den Erfolg von Unternehmen, schützt das Unternehmensvermögen und vermeidet trügerische Handlungen.
Prinzipien eines internen Kontrollsystems
Folgende Prinzipien bilden die Grundlage eines internen Kontrollsystems:
Das Prinzip der Transparenz: Das Prinzip der Transparenz besagt, dass für Prozesse Soll-Konzepte entwickelt werden müssen, damit ein Außenstehender beurteilen kann, ob die Verantwortlichkeiten entsprechend übernommen wurden. Dadurch wird auch die Erwartungshaltung der Organisationsleitung definiert.
Das Prinzip der vier Augen: In einem gut aufstellten Kontrollsystem sollten alle Vorgänge mehrfach geprüft werden.
Das Prinzip der Funktionstrennung: Vollziehende (z.B. Abwicklung von Einkäufen), verbuchende (z.B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende (z.B. Lagerverwaltung) Tätigkeiten in einem Unternehmen dürfen nicht aus einer Hand erfolgen.
Das Prinzip der Mindestinformation: Für Mitarbeiter sollen nur die Informationen zugänglich sein, die sie für ihre Arbeit brauchen. Darunter fallen auch die entsprechenden Sicherungsmaßnahmen bei IT-Systemen.
Bedarfsfeststellung für ein internes Kontrollsystem
Der Einsatz vom internen Kontrollsystem in Bezug auf die SAP Security lässt sich von verschiedenen individuellen Bedürfnissen herleiten. Der Wunsch, einheitliche Standards für kritische Berechtigungen und Sicherheitskonzepte zu definieren, diese nachhaltig und langfristig einzuhalten, für mehr Transparenz zu sorgen, Verantwortlichkeiten für die Nachhaltung festzulegen oder die generelle SAP-Systemsicherheit sicherzustellen, sind klare Argumente für die Einführung eines internen Kontrollsystems. Die Menge an Details, die im SAP-System vorhanden sind, zu konsolidieren oder der Anforderung des Wirtschaftsprüfers nachzukommen, bestimmte Befehle automatisch zu überprüfen, sind ebenfalls häufige Gründe für die Nutzung eines internen Kontrollsystems.
Unsere Empfehlungen
Im Sinne der IT Security empfehlen wir den Einsatz eines automatisierten IKS zur dauerhaften Überwachung des Systemzustands. Durch einen regelmäßigen Abgleich des Soll-Zustands mit dem Ist-Zustand und durch die vollständige Dokumentation der Prozesskontrollen können die systemspezifischen Sicherheitsvorgaben zentral kontrolliert werden. Außerdem profitieren Unternehmen von einer softwaregestützten internen Prozesskontrolle mit workflowgestützter Überwachung wie zum Beispiel für die Evaluierung der Rollenzuordnung im SAP System.
Beispiel IKS Monitoring für die SAP Security
Das interne Kontrollsystem, für zum Beispiel die SAP Security, wird entsprechend der Regelungen und Anforderungen gebaut, die im SAP Sicherheits- oder Berechtigungskonzept enthalten sind. Anschließend erstellt das Unternehmen softwarebasierte Prüfungen, um Abweichungen von den Regelungen im Konzept aufzudecken. Diese Prüfungen werden regelmäßig als Prüfroutine durchgeführt.
Das Monitoring kann von einem zentralen System aus (z. B. Solution Manager) für alle gekoppelten Systeme durchgeführt werden und die einheitlichen Prüfungsergebnisse werden anschließend revisionskonform gespeichert und nach jeder Ausführung per E-Mail zugestellt. Grundsätzlich sollte man mit dem internen Kontrollsystem regelmäßig nachhalten, am besten quartalsweise. Der Ergebnisreport zeigt dann, wie der aktuelle Zustand der SAP Landschaft ist. Des Weiteren besteht die Möglichkeit, sich im Monitoring anzeigen zu lassen, wo Verbesserungen stattgefunden haben. Zudem wird auch dazu geraten, einen Verantwortlichen zu definieren, der für die Kontrolle verantwortlich ist und die Ergebnisse an Zuständige adressiert. Das heißt, dass Systemlandschaften separiert und vom jeweiligen System-Owner geprüft werden.
Fazit
Ein internes Kontrollsystem ist das Indiz einer erfolgreichen Corporate Governance. Es liefert dem Unternehmen transparente und verlässliche Informationen über Abläufe und interne Kontrollmaßnahmen hinsichtlich Sicherheit, Qualität und Effizienz und unterstützt Unternehmen dabei, die Gesamtheit der SAP-Sicherheitsvorgaben zentral zu überprüfen. Deshalb zählt das interne Kontrollsystem auch zu den wichtigen Führungsinstrumenten eines Unternehmens. Eine Abwicklung von Prüfungen und Kontrollen via Mail oder Excel-Listen ist nicht mehr zeitgemäß und fehleranfällig. Daher sollte hier auf Software-gestützte Lösungen mit Workflow-Anbindung gesetzt werden.
FAQ
Was ist das interne Kontrollsystem?
Das interne Kontrollsystem beschreibt das von der Unternehmensleitung im Unternehmen eingeführte Grundsystem und Verfahren und Regelungen, die zur organisatorischen Implementierung der Unternehmensentscheidungen definiert werden. Dazu gehören Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung und Einhaltung der rechtlichen Vorschriften.
Wo lässt sich das interne Kontrollsystem anwenden?
Viele SAP Anwender sind sich nicht bewusst, dass sie viele Anwendungsfälle in ihren SAP-Systemen haben, die für ein internes Kontrollsystem sprechen. In den meisten Fällen handelt es sich um Themen aus der SAP Basis Landschaft, wie z. B. die Einstellungen der SAP-System-Parametern.
Mehr zum Thema Internes Kontrollsystem
- Internes Kontrollsystem für SAP IT Security – mit Hendrik Heyn
- Unsere Best-Practice Lösung Internes Kontrollsystem für Ihr SAP-System
- Handbuch SAP Revision
- SAP Management IKS
- SAP IKS für Berechtigungswesen etabliert