Internes Kontrollsystem (IKS) für SAP

Ständig ändernden Anforderungen sind eine Herausforderung für eine stetige Kontrolle der konzeptionellen Compliance-Vorgaben zum Beispiel aus dem SAP Berechtigungskonzept. Mit einem internen Kontrollsystem (IKS) für SAP ist man in der Lage, diese Herausforderungen zu meistern. Mängel und Abweichungen können aufgedeckt und Sicherheitsprobleme frühzeitig erkannt werden. Ein gutes internes Kontrollsystem erleichtert auch die Zusammenarbeit mit der internen Revision oder den Wirtschaftsprüfern, indem die durchgeführten Kontrollen transparent berichtet werden können.

Was ist ein internes Kontrollsystem?

Das interne Kontrollsystem beschreibt das von der Unternehmensleitung im Unternehmen eingeführte Grundsystem und Verfahren und Regelungen, die zur organisatorischen Implementierung der Unternehmensentscheidungen definiert werden. Dazu gehören Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung und Einhaltung der rechtlichen Vorschriften.

Das Ziel des internen Kontrollsystems ist es, als integraler Bestandteil im Risikomanagement alle vorhandene sowie potenzielle, operative und finanzielle Unternehmensrisiken zu indizieren und diese auf das Minimum zu reduzieren. Das interne Kontrollsystem trägt eine präventive und aufdeckende Funktion und unterstützt den idealen Prozess der Abläufe im Unternehmen.

Sind z. B. im SAP ERP-System Berechtigungen für die Durchführung von Debugging-Aktivitäten erteilt worden, die die direkten Änderungen von Tabellen erlauben, so kann der Grundsatz der Nichtveränderlichkeit von Buchhaltungsbelegen beeinträchtigt werden. Um dieses Risiko aus dem Weg zu räumen und das Eintreten zu vermeiden, müssen an dieser Stelle effektive Kontrollmechanismen wie im Folgenden etabliert werden:

  • restriktive Berechtigungsvergabe (präventiv)
  • Notfall-User-Konzept (präventiv)
  • Review von Systemlog (detektiv)

 

Gesetzliche Grundlagen

Ein internes Kontrollsystem muss in jedem Unternehmen vorhanden sein, wenn Wirtschaftlichkeit und Effizienz zu den wichtigsten Zielen eines Unternehmens gehören. Im Rahmen der gesetzlichen Anforderungen in Deutschland, fordert zum Beispiel das Aktiengesetz im Paragraph 91 ein Überwachungssystem, das Entwicklungen, welche ein Unternehmen unter Risiko setzen, frühzeitig erkennen. Für die Einrichtung dieses Überwachungssystems ist der Vorstand verantwortlich. Nach den Gesetzen § 316, 317 und 322 HGB ist der Wirtschaftsprüfer dafür verantwortlich, den Jahresabschluss und die Buchführung nach den GoBD und gesetzlichen Vorschriften entsprechen. Von dieser Vorschrift sind mittelgroße und große Kapitalgesellschaften betroffen.

Sicherheit, Funktionstrennung, Archivierung sowie Wiedergabe, Dokumentation und Vollständigkeit, Nachvollziehbarkeit, Unveränderlichkeit, Zeitgerechtigkeit und Richtigkeit sind Ordnungsmäßigkeitsanforderungen an rechnungsrelevante IT-Systeme.

Internes Kontrollsystem und SAP

Viele SAP-Anwender sind sich nicht bewusst, dass sie viele Anwendungsfälle in ihren SAP-Systemen haben, die für ein internes Kontrollsystem sprechen. In den meisten Fällen handelt es sich um Themen aus der SAP Basis Landschaft, wie z. B. die Einstellungen der SAP-System-Parametern. Hat man einen Ist-Status davon ermittelt und festgehalten, ist es häufig so, dass die Ergebnisse einmalig in einer Excel-Liste protokolliert werden und danach kein nachfolgender und kontinuierlicher Check stattfindet. Die Problematik von unserem heutigen IT-Alltag ist, dass man viele und unterschiedliche Systeme verantworten muss, die auch unterschiedliche Schutzanforderungen haben und dementsprechend unterschiedlich gewartet werden. Fragestellungen wie “Ist der Ist-Zustand konsistent mit dem Soll-Zustand?”, “Wann sollen diese Überprüfungen stattfinden?”, “Wie wird es überprüft?” sind Indizien für die Etablierung eines internen Kontrollsystems. Denn mithilfe des internen Kontrollsystems ist es möglich, in großen SAP-Landschaften diese Themen zu sammeln und ins SAP-System aufzunehmen und dort abzubilden.

Die Funktion

Eine regelmäßige Überwachung der Risiken und Kontrollen und der internen Vorgaben sichert die Funktionsfähigkeit des internen Kontrollsystems. Mit der Implementierung wird eine Vielzahl von gesetzlichen Anforderungen und anderer Bestimmungen erfüllt. Auch im Rahmen der SAP-Security können mit der Etablierung eines internen Kontrollsystems Mängel aufgedeckt und rechtzeitig Sicherheitsprobleme erkannt werden, um SAP-Systeme proaktiv zu schützen. Ein internes Kontrollsystem überwacht SAP-Sicherheitsvorlagen und ermöglicht Unternehmen, die Gesamtheit von SAP-Sicherheitsvorgaben zentral zu überprüfen. Dazu müssen auch alle Mitarbeiter die notwendigen Informationen über Risiken und Kontrollen erhalten und weiterleiten können. Das interne Kontrollsystem sichert und steigert den Erfolg von Unternehmen, schützt das Unternehmensvermögen und vermeidet trügerische Handlungen

Prinzipien eines internen Kontrollsystems

Folgende Prinzipien bilden die Grundlage eines internen Kontrollsystems:

Das Prinzip der Transparenz: Das Prinzip der Transparenz besagt, dass für Prozesse Soll-Konzepte entwickelt werden müssen, damit ein Außenstehender beurteilen kann, ob die Verantwortlichkeiten zum Soll-Konzept arbeiten. Dadurch wird auch die Erwartungshaltung der Organisationsleitung definiert.

Das Prinzip der vier Augen: In einem gut aufstellten Kontrollsystem soll kein Vorgang ohne Kontrolle bleiben.

Das Prinzip der Funktionstrennung: Vollziehende (z.B. Abwicklung von Einkäufen), verbuchende (z.B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende (z.B. Lagerverwaltung) Tätigkeiten in einem Unternehmen, dürfen nicht aus einer Hand erfolgen.

Das Prinzip der Mindestinformation: Für Mitarbeiter sollen nur die Informationen zugänglich sein, die sie für ihre Arbeit brauchen. Darunter fallen auch die entsprechenden Sicherungsmaßnahmen bei IT-Systemen.

Woran merkt man, dass man ein internes Kontrollsystem benötigt?

Der Einsatz vom internen Kontrollsystem in Bezug auf die SAP Security lässt sich von den verschiedenen individuellen Bedürfnissen herleiten. Der Wunsch, einheitliche Standards für kritische Berechtigungen und Sicherheitskonzepte zu definieren, diese nachhaltig und langfristig einzuhalten, für mehr Transparenz zu sorgen, Verantwortlichkeiten für die Nachhaltung festzulegen oder die generelle SAP-Systemsicherheit sicherzustellen, sind Punkte für die Einführung eines internen Kontrollsystems. Die Menge an Details, die im SAP-System vorhanden sind, zu konsolidieren oder der Anforderung des Wirtschaftsprüfers nachzukommen, bestimmte Befehle automatisch zu überprüfen, sind häufige Gründe für die Nutzung eines internen Kontrollsystems.

Empfehlungen

  • Einsatz eines automatisierten internen Kontrollsystems – überwacht dauerhaft den Systemzustand und meldet bei Abweichungen
  • Regelmäßiger Abgleich des Soll-Zustandes mit dem Ist-Zustand und vollständige Dokumentation der Prozesskontrollen
  • Systemspezifische Sicherheitsvorgaben zentral von einem System kontrollieren
  • Softwaregestützte interne Prozesskontrolle mit workflowgestützter Überwachung, zum Beispiel um Rollenzuordnungen zu evaluieren

Beispiel IKS Monitoring für SAP Security

Das interne Kontrollsystem für zum Beispiel die SAP Security wird auf Regelungen und Anforderungen im SAP-System gebaut, die im SAP Sicherheits- oder Berechtigungskonzept enthalten sind. Anschließend werden softwarebasierte Prüfungen erstellt. Diese dienen dazu, Abweichungen von den Regelungen im Konzept aufzudecken und können dann regelmäßig als Prüfroutine ausgeführt werden.

Das Monitoring kann von einem zentralen System aus (z. B. Solution Manager) für alle gekoppelten Systeme durchgeführt werden und die einheitlichen Prüfungsergebnisse werden anschließend revisionskonform gespeichert und nach jeder Ausführung per E-Mail zugestellt. Grundsätzlich sollte man mit dem internen Kontrollsystem regelmäßig nachhalten, am besten quartalsweise. Der Ergebnisreport zeigt dann, wie der aktuelle Zustand der SAP-Landschaft ist. Des Weiteren besteht die Möglichkeit im Monitoring sich anzeigen zu lassen, wo Verbesserungen stattgefunden haben und einen Ist-Soll-Zustand machen. Zudem wird auch geraten, eine Verantwortlichkeit zu definieren, der für die Kontrolle verantwortlich ist und die Ergebnisse an Zuständige adressiert. Das heißt, dass Systemlandschaften separiert und vom jeweiligen System-Owner geprüft werden.

Fazit

Ein internes Kontrollsystem ist ein Indiz einer erfolgreichen Corporate Governance. Es liefert dem Unternehmen transparente und verlässliche Informationen über Abläufe und interne Kontrollmaßnahmen hinsichtlich Sicherheit, Qualität und Effizienz und unterstützt, die Gesamtheit der SAP-Sicherheitsvorgaben zentral zu überprüfen. Deshalb zählt das interne Kontrollsystem auch zu den wichtigen Führungsinstrumenten eines Unternehmens. Eine Abwicklung von Prüfungen und Kontrollen via Mail oder Excel-Listen ist nicht mehr zeitgemäß und fehleranfällig. Daher sollte hier auf Software-gestützte Lösungen mit Workflow-Anbindung gesetzt werden.

Mehr zum Thema Internes Kontrollsystem

Internes Kontrollsystem für SAP IT Security – mit Hendrik Heyn: https://rz10.de/sap-grc/internes-kontrollsystem-fuer-sap-it-security/

Unsere Best-Practice Lösung Internes Kontrollsystem für Ihr SAP-System: https://rz10.de/angebot/internes-kontrollsystem/

Handbuch SAP Revision: https://www.rheinwerk-verlag.de/handbuch-sap-revision_4407/



Unsere Produkte zu Internes Kontrollsystem (IKS) für SAP

Überwachen Sie die Einhaltung Ihres aufgebauten Berechtigungskonzeptes regelmäßig, um Ihr System nachhaltig sicher zu halten. Ein internes Kontrollsystem für Ihr SAP-System unterstützt dabei, indem es Abweichungen von den definierten Regelungen zuverlässig erkennt.

Mehr Informationen

Verabschieden Sie sich von Ihrem inkonsistenten, veralteten Berechtigungskonzept mit Security-Problemen. Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit Ihres Unternehmens nachhaltig erhöht.

Mehr Informationen

Sie benötigen ein SAP Berechtigungskonzept? Wir entwickeln für Sie ein neues SAP Berechtigungskonzept. Sie haben ein bestehendes Berechtigungskonzept und planen eine Überarbeitung oder Erweiterung? Wir unterstützen Sie bei Ihrem bestehenden Berechtigungskonzept.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support