Dreh- und Angelpunkt sind die ERP-Prozesse

Feature | 26. Juli 2004 von admin 0

Corporate Governance umfasst das gesamte System der Leitung und Überwachung eines Unternehmens, einschließlich seiner Organisation, seiner geschäftspolitischen Grundsätze und Leitlinien sowie des Systems der internen und externen Kontroll- und Überwachungsmechanismen. Momentan dreht sich zumindest in den USA alles um die Umsetzung und um die Kosten des Sarbanes-Oxley-Act. Senator Sarbanes, einer der Initiatoren des Gesetzes, schätzt den Aufwand, die kritische Section 404 des Sarbanes-Oxley-Act zum Aufbau eines internen Kontrollsystems bei US-Unternehmen umzusetzen, auf ein Prozent des Umsatzes im ersten Jahr. Das mag bescheiden klingen, entspricht jedoch nach Untersuchungen der Hackett Group in etwa den Kosten des Rechnungswesens vieler Unternehmen.

In der Diskussion um die für ein solches Kontrollsystem benötigte Software stehen Dokumentationswerkzeuge im Vordergrund. Hier wird der Frage nachgegangen, wie sich der Prozess, Kontrollen zu überwachen, vereinfachen lässt. Zum Leidwesen der Unternehmen gestalten sich solche Prozesse oftmals sehr aufwändig. Doch die Diskussion um effizientere Prüfungen des Kontrollsystems setzt bei den Symptomen an, nicht bei der Ursache. Die Kontrollen funktionieren oft nur unzureichend, weil Prozesse nicht dokumentiert sind oder Prozessinformationen wie Genehmigungen nicht oder in für Auswertungen unbrauchbaren Formaten wie E-Mails gespeichert werden. Eine wichtige Voraussetzung für effektive Kontrollprozesse ist daher eine integrierte ERP (Enterprise Resource Planning) -Lösung. Diese ist Dreh- und Angelpunkt der Geschäftsprozesse und der zugehörigen Kennzahlen. Eine Diskussion um Kontrollprozesse muss daher bei der ERP-Lösung eines Unternehmens anfangen.

Diese Meinung scheint sich mehr und mehr durchzusetzen. Das Business Finance Magazin führt dazu aus: “Unternehmen, die über die Kontrollen in Ihrem Abrechnungswesen keinen sauberen Nachweis führen können, sind in großen Schwierigkeiten. Jeder jedoch, der genau das bereits kann, ist dem Ziel einen Riesenschritt näher.”

Kernpunkt Nachvollziehbarkeit

Kernpunkt aller Kontrollaktivitäten in Hinblick auf eine verbesserte Unternehmenssteue-rung ist die Nachvollziehbarkeit. Im Rechnungswesen hat eine solche Nachvollziehbarkeit eine lange Tradition: Zur Prüfung werden Doppik, Belegprinzip und Buchungskontrollen bereitgestellt. Zum Nachweis der Funktionsfähigkeit eines internen Kontrollsystems muss die Unterstützung jedoch wesentlich weiter gehen. Nur oberflächlich betrachtet beschränkt sich der Sarbanes-Oxley-Act auf die Abschlussprozesse. Denn in realis beeinflussen alle bewertungsrelevanten Aktivitäten den Abschluss. Eine zu extensive Auslegung des Sarbanes-Oxley-Act wiederum führte aber zu einem kaum tragbaren Kontrollaufwand

Die Fragestellung nach den Kontrollmechanismen sollte jedoch nicht primär formal, son-dern vielmehr inhaltlich angegangen werden. Es dreht sich nicht nur darum, einem Gesetz wie dem Sarbanes-Oxley-Act mit möglichst geringem Aufwand Genüge zu tun, sondern das externe Vertrauen in die Unternehmung zu stärken. So erhöhen brauchbare und vertrauenswürdige Informationen zur Lage eines Unternehmens den erwiesenermaßen den Marktwert. Entsprechend ist die gesamte externe Kommunikation wie beispielsweise Forecasting, Lageberichte oder Ad-Hoc-Mitteilungen und deren interne und externe Fundierung durch Kontrollen abzusichern. Sinnvoll ist es daher, das interne Kontrollsystem auf alle kritischen Unternehmensprozesse auszudehnen. Hierzu gehören aus IT-Sicht das gesamte ERP-System einschließlich analytischer Anwendungen wie Planung und Reporting.

Bekannte Schwachstellen

Die Unterstützung, die verschiedene ERP-Lösungen hierfür bieten, ist äußerst unter-schiedlich. Experten wie Yusufali F. Musaji, Autor des Buches “Integrated Auditing of ERP Systems”, skizzieren Probleme in mehreren Bereichen. So werden beispielsweise nicht alle Abläufe vollständig und verständlich dokumentiert. Nur “lose” unterstützt und damit entsprechend aufwändig zu kontrollieren sind beispielsweise Vorgänge, deren Datenerfassung je nach Berechtigung wenigen bis allen Mitarbeitern zugänglich ist. Änderungen in den Formularinhalten werden nicht protokolliert und lassen sich somit kaum noch nachvollziehen. Stringenter ist die Unterstützung, wenn es gelingt, den Prozessablauf – also die Koordination der Einzelaktivitäten – mittels integriertem Workflow zu steuern und zu automatisieren. Ein Rollenkonzept sichert die autorisierte und nachvollziehbare Bearbeitung. Viele vormals manuelle Kontrollen werden auf diese Weise überflüssig.

Darüber hinaus werden in ERP-Lösungen Rechnungsdaten oft in einer Form gespeichert, die nicht direkt auswertbar sind. Für den Kontrollprozess bedeutet dies, dass entweder mit unzureichenden Berichten gearbeitet werden muss oder aufwändige Spezialberichte zu erstellen sind. Mit einem Business Warehouse nähert man sich mittlerweile einer Speicherung, die auch die Anforderungen der geforderten Kontrollen abdeckt.

Ein besonderes Augenmerk sollte der Konfiguration einer ERP-Lösung gelten. Da Ge-schäftsinformationen mit einer solchen Lösung in der Hauptsache automatisch generiert werden, bleiben Fehler häufig unerkannt. Immer wieder ist in diesem Zusammenhang von Unternehmen zu lesen, die nach Jahren feststellen, dass Abschlüsse aufgrund falscher Einstellungen nachträglich korrigiert werden müssen – mit zum Teil drastischen Konsequenzen für den Unternehmenswert. Hier helfen erprobte “Best Practice”-Konfigurationen, die der Kunden mit wenigen Anpassungen übernimmt.

Kontrollmechanismen innerhalb mySAP ERP

Ohne eine leistungsfähige ERP-Lösung lassen sich also die Kontrollmechanismen nicht überprüfen und einhalten. Deshalb sollten die Unternehmen gewissermaßen einen Blick in den “Maschinenraum” einer ERP-Lösung werfen, um sich einen Überblick zu verschaffen, welche Unterstützung in Hinblick auf Corporate Governance sie bietet.

  • <sum> mySAP ERP enthält eine Vielzahl inhärenter Kontrollen. So ist etwas die Konsi-stenz der Informationen von den Vorsystemen bis in alle Komponenten des Rech-nungswesens dadurch gewährleistet, dass lösungsweit Buchungsbelege eindeutig und in Echtzeit durchgebucht werden.
  • <sum> Zudem lassen sich konfigurierbare Kontrollen aufsetzen, um beispielsweise das Vier-Augen-Prinzip zu unterstützen. mySAP ERP verfügt über eine entsprechende Workflow-Steuerung. Dies ist zum Beispiel im Rahmen einer Planung oder Budge-tierung von Vorteil, wenn die Weiterleitung, Genehmigung und Verabschiedung von Zahlen notwendig ist. Je mehr Prozesse sich über eine Workflow-Steuerung abwickeln lassen, desto geringer sind tendenziell die Kontrollaktivitäten. Alle Aktionen innerhalb der Workflow-Steuerung werden dokumentiert und manipulationssicher hinterlegt. Idealerweise ist die Workflow-Engine mit der Organisationsverwaltung integriert, um Veränderungen in der Organisationsstruktur gleich mit zu berücksichtigen.
  • <sum> Berichtskontrollen erleichtern den Abgleich unterschiedlicher Datenquellen. Zum Beispiel der Kontrollmonitor SEM BCS. Anhand grafischer Symbole wird aufgezeigt, wo Problempunkte im Konsolidierungsprozess liegen.
  • <sum> Effiziente Zugriffskontrollen setzen ein ausgefeiltes Zugriffskonzept voraus. Be-richtssysteme innerhalb in der integrierten Umgebung nutzen die übergreifenden Sicherheitskonzepte auf Rollenbasis.
Kontrollmechanismen innerhalb von mySAP ERP

Kontrollmechanismen innerhalb von mySAP ERP

Um den Kontrollprozess besser überprüfen zu können stellt SAP seit vergangenem Jahr innerhalb mySAP ERP das Werkzeug Management of Internal Control zur Verfügung. Häufig werden die vielfältigen Kontrollmechanismen, die eine Lösung wie mySAP ERP bietet, nicht oder nur unzureichend genutzt. Änderungen sind ungleich schwerer umzusetzen, wenn die Lösung bereits in Betrieb ist. Eine intensivere Planung ist also entscheidend. Beispiele für zu hinterfragende Systemeinstellungen sind:

  • <sum> In der Systemverwaltung wird der Schalter “Alles Änderbar” eingestellt. Damit las-sen sich Parameter zur Laufzeit ändern. Eine Nachvollziehbarkeit ist nicht mehr gewährleistet.
  • <sum> Editier- und Debugging-Berechtigungen sind mehr als großzügig vergeben. Ein geübter Systemspezialist ist damit leicht in der Lage, sich selbst Vor- und dem Unternehmen Nachteile zu verschaffen.
  • <sum> Die Protokollierung von Stammdaten- oder Tabellenänderungen ist nicht aktiviert. Das spart zwar Ressourcen, macht es aber nahezu unmöglich, Änderungen nach-zuvollziehen.
  • <sum> Die Berechtigung zum Löschen von Änderungsbelegen ist großzügig vergeben.
  • <sum> Die Anwender bedienen sich noch der Standardpasswörter des Herstellers. Prak-tisch jeder gelangt also in die ERP-Lösung.

Wie kann jedoch eine adäquate Systemgestaltung sichergestellt werden? Das Wissen von Spezialisten der Kontrolle, in der Regel die interne Revision oder das Controlling, muss in das Projekt einfließen. Diese Experten sollten frühzeitig, auf jeden Fall noch während des Implementierungsprojektes, mit in die Planung der ERP-Lösung einbezogen werden. Es gilt, von Beginn an klare Regeln zu formulieren und sicherzustellen, dass Corporate Governance und ERP wirklich zusammengehören.

Mehr Informationen zu mySAP ERP Financials:

Neues Hauptbuch in mySAP ERP
SAP Treasury&Risk Management Teil 1
SAP Treasury&Risk Management Teil 2

Dr. Karsten Oehler

Dr. Karsten Oehler

Tags: ,

Leave a Reply