SAP GRC

E-Book SAP GRCUnternehmen haben den größten Erfolg, wenn es ihnen gelingt, die drei Bereiche Compliance, Risk Management und Governance intelligent zu vernetzen. Mit der Integration und Automatisierung wichtiger GRC-Aktivitäten in vorhandene Prozesse im SAP Umfeld, kann der GRC-Ansatz deutlich vereinfacht werden. Dadurch kann das Ansehen sowie finanzielle Wohl eines Unternehmens geschützt werden.

Inhalt

Definition von GRC

Compliance, Risk Management und Governance sind drei stark miteinander verbundene und sehr wichtige Unternehmensbereiche. Deren Maßnahmen und Zuständigkeiten überschneiden und ergänzen sich teilweise. Risiken managen und rechtliche Rahmenbedingungen einhalten, gehört zu den zentralen Aufgaben eines Managements.

Compliance

Unter Compliance wird nach dem Deutschen Corporate Governance Kodex die in der Verantwortung des Vorstands liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien verstanden. Der Begriff stammt ursprünglich aus der Finanzbranche, hat sich aber in der betriebswirtschaftlichen Fachsprache für alle Branchen etabliert. Die Sicherstellung von Compliance erfordert eine saubere und genaue Analyse der eigenen Prozesse. So kommen die transparenten Abläufe und leicht steuerbaren Kontrollen dem operativen Betrieb zu gute. Ebenso entstehen direkte finanzielle Vorteile.

Risikomanagement

Risiken sind untrennbar mit jeder unternehmerischen Tätigkeit verbunden und können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Risikomanagement umfasst sämtliche Maßnahmen zur Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken, die aus dem Führungsprozess und den Durchführungsprozessen in einer Unternehmung entstehen können und beschränkt sich nicht nur auf die Handhabung versicherbarer Risiken. Zudem ergibt sich die Notwendigkeit eines Risikomanagements aus einer Reihe gesetzlicher Bestimmungen und ist so gesehen eine Ausprägung von Compliance.

Governance

Corporate Governance, zu Deutsch: Grundsätze der Unternehmensführung, bezeichnet den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens. Regelungen zur Corporate Governance haben die Aufgabe, durch geeignete rechtliche und faktische Arrangements die Spielräume von Managern und Mitarbeitern für unternehmensschädigendes Verhalten einzuschränken. Das unternehmensspezifische Corporate-Governance-System besteht aus der Gesamtheit relevanter Gesetze, Richtlinien, Kodizes, Absichtserklärungen, Unternehmensleitbild, aber auch aus den Gewohnheiten der Unternehmensleitung und -überwachung.

GRC als Erfolgsfaktor

Unternehmen, denen es gelingt alle drei Bereiche Compliance, Risk Management und Governance intelligent vernetzen, haben den größten Erfolg. Schon von Natur aus sind diese drei Bereiche eng miteinander verbunden.

Ein gutes Management vermeidet unnötige Risiken und hält seine Mitarbeiter an, im Interesse des Unternehmens zu agieren. Gutes Risikomanagement braucht demnach eine gute Unternehmensführung und somit eine sinnvolle Governance. Wer ein Unternehmen verantwortungsbewusst führt, sorgt auch für eine Einhaltung aller gesetzlichen und anderweitigen Vorgaben. Dies insbesondere, um die Reputation des Unternehmens zu schützen.

Das Ziel von GRC ist es, Transparenz und Sicherheit zu gewährleisten. Transparenz vor allem gegenüber dem Wirtschaftsprüfer. Sicherheit besonders in Bezug auf externe und interne Gefahren. Beides dient dem Schutz vor unliebsamen wirtschaftlichen und strafrechtlichen Konsequenzen, die aus Rechts- und Regelverstößen resultieren.

Das Erfüllen der gesetzlichen Anforderungen ist längst nicht nur eine lästige Pflicht, sondern ebenso im Sinn des Unternehmens.

Die Integration von GRC in ein bestehendes SAP System ermöglicht es, die potenziellen Synergieeffekte zwischen Governance, Risiko- und Compliance-Management sowohl aufzudecken als auch zu nutzen. Die konkrete Ausgestaltung finden die verschiedenen Strategien und Richtlinien im unternehmensspezifischen internen Kontrollsystem (IKS).

Rechtliche Grundlagen

Unternehmen müssen eine Reihe von gesetzlichen Bestimmungen und Richtlinien erfüllen, die von Gesetzgebern oder anderen weisungsbefugten Institutionen erlassen wurden. Dazu hier ein kurzer Überblick über die wichtigsten rechtlichen Regelungen für die USA und die DACH-Region.

Rechtliche Anforderungen in den USA

Sarbanes Oxely Act ist die wohl bekannteste Gesetzgebung aus den USA im Umfeld von Compliance und IKS. Dieser ist auch für viele deutsche Unternehmen mit Beteiligungen in den USA oder als Subunternehmen amerikanischer Holdings relevant.

Die SOX Compliance gilt seit 2002 für Unternehmen, die an der amerikanischen Börse notiert sind und besteht im Wesentlichen aus zwei Paragrafen. Der erste – Paragraf 302 – fordert direkt ein internes Kontrollsystem, das eine verlässliche Finanzberichterstattung gewährleistet. Jedes Management eines Unternehmens bestätigt dabei schriftlich die zur Verfügungstellung aller relevanten Informationen im Rahmen des IKS an konsolidierte Tochtergesellschaften. Der zweite – Paragraf 404 – verpflichtet das Management in einem IKS-Report über den Umfang und die Effektivität der internen Kontrollen zur Finanzberichterstattung Auskunft zu geben. Ein externer Wirtschaftsprüfer kontrolliert dann diese Angaben.

Rechtliche Anforderungen in Europa

Vergleichbar mit dem SOX Act ist auf europäischer Ebene die 8. EU-Richtlinie, auch Abschlussrichtlinie genannt. Die Richtlinie gilt in allen Mitgliedsstaaten verbindlich, die Wahl der Mittel zur Erreichung der festgeschrieben Anforderungen bleibt jedoch den einzelnen Staaten überlassen. Hierzu existieren auf Länderebene unterschiedliche gesetzliche Regelungen.

In Deutschland stellen vor allem das deutsche Aktiengesetz (AktG §91 Abs. 2), der Deutsche Corporate Governance Kodex (DCGK § 161), das Bilanzrechtsmodernisierungsgesetz (BilMoG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und das Handelsgesetzbuch (§317) die wichtigsten rechtlichen Bedingungen für Compliance dar.

GRC Einführung im SAP System

Viele kleine und mittelständische Unternehmen haben nur selten ein IT-gestütztes systematische GRC Management. Spätestens ab einer Unternehmensgröße von über 1000 Mitarbeitern lässt sich Compliance jedoch nicht mehr manuell gewährleisten. Unternehmen müssen sich dann Gedanken über eine digitale und automatisierte Lösung machen.

Wenn Sie und Ihr Unternehmen vor der Herausforderung stehen, Governance, Risk und Compliance in ein internes Kontrollsystem zu überführen und in SAP abzubilden, sollten Sie sich an einer klaren Roadmap orientieren. Zu der von der DSAG empfohlenen Methodik lassen sich fünf Schritte unterteilen, die sich wie folgt darstellen:

  1. Projektvorbereitung
  2. Sollkonzeption
  3. Realisierung
  4. Produktionsvorbereitung
  5. Go-Live-Support und Betrieb

Spätesten zum Go-Live sollten Mitarbeiter aus der Betriebsabteilung im Projekt mitarbeiten, um dort den Transfer von Praxis-Know-how sicherzustellen und somit eine reibungslose Übergabe im Betrieb zu gewährleisten.

SAP GRC

Best Practice – Revisionsmängel in 8 Schritten beheben

Die Patentlösung zur Behebung der diversen Security Mängel existiert leider nicht. In unserer zehnjährigen Praxiserfahrung hat sich jedoch eine Best-Practice-Vorgehensweise bewährt. Aufgrund der Systemkomplexität sind SAP Revisionsprojekte kompliziert in der Umsetzung. Mit unserer Roadmap haben Sie jedoch die Möglichkeit den Projektablauf wesentlich zu vereinfachen.

Zu den wichtigsten Schritten gehören die Klärungen, welche Feststellungen und Findings es gibt, die Nummerierung der einzelnen Quellen, Erstellung eines Gesamtüberblicks über alle Revisionsmängel, Priorisierung des Problems nach Auswirkung und Aufwand zur Behebung dessen, Bestimmung der Reihenfolge der Umsetzung, Erstellung eines Prüfkatalogs, das Abarbeiten der Aufgabenliste und eine finale Überprüfung.

In einem Überblick stellen sich die einzelnen Schritte wie folgt dar:

  1. Bestandsaufnahme
  2. Eindeutige Nummerierung der Feststellung
  3. Gliederung der Feststellung
  4. Priorisierung
  5. Umwandeln der Feststellung in Aufgabenlisten
  6. Erstellen eines optionalen Prüfkatalogs
  7. Umsetzen und Abarbeiten von Aufgabenlilsten
  8. Freigabe und Abschlussprüfung

Fazit zu SAP GRC

Viele Unternehmen geben GRC nicht die Aufmerksamkeit, die es verdient und auch benötigt. Sie scheuen die Kosten, die sie mit der Einführung eines toolgestützten GRC Management verbinden. Oft wird das Thema solange ignoriert, bis es durch Rechtstreitigkeiten oder Revisionen zu einem akuten Problem wird. Dann entstehen leicht höhere Kosten, die mit einer strategischen Investition in GRC hätten abgewendet werden können.

Die Einführung eines GRC Management lässt sich mithilfe von Best Practices effizient gestalten und die Investition rentiert sich zeitnah. Denn Ressourcen, die länger im manuellen GRC Management gebunden sind, können dann wertschöpfend strategisch eingesetzt werden.

E-Book SAP GRC


SHARE
nach oben


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.