Banner

Am 13. & 14. Oktober 2020 findet in Frankfurt am Main wieder der diesjährige ERP Kongress mit exklusiver Fachmesse statt

Entdecken Sie die besten ERP-Systeme, Antworten auf alle Ihre Fragen rund um ERP und Unternehmenssoftware, Hands-On-Anleitungen zum Mitnehmen und fachkundige Referentinnen und Referenten für den persönlichen Austausch.

ERP-Betrieb

Einsparpotenziale im Management kritischer ERP-Berechtigungen

18. Juli 2014 von Stefan Jäger

Einsparpotenziale im Management kritischer ERP-Berechtigungen

Der einzige Bereich, der in unserer Organisation noch immer kontinuierlich wächst, ist der Compliance Bereich! Dieses aktuelle Zitat des Vorstands einer internationalen Großbank fordert, endlich auch dem Compliance-Bereich enge Kostenvorgaben zu setzen. Andernfalls drohe der Verlust der Wettbewerbsfähigkeit, da die operativen Einheiten die Kosten der Compliance nicht mehr aufzufangen vermögen. Dazu existieren unterschiedliche Ansätze, angefangen bei der Reduktion der Komplexität des internen Kontrollsystems bis hin zur Konsolidierung der diversen Compliance-Initiativen in den Organisationen. Allerdings muss zwingend eine Verringerung des Konformitätsgrades der Organisation mit externen und internen Vorgaben vermieden werden. Es gilt also, Kosteneinsparungen bei gleicher oder gar erhöhter Effektivität der erforderlichen Kontrollen zu realisieren.
Für das Management kritischer Berechtigungen in ERP-Systemen sollen nachfolgend exemplarisch zwei Ansätze vorgestellt werden, wie Einsparpotenziale durch Vereinfachung generiert werden können, ohne die Übereinstimmung mit externen und internen Vorgaben zu vernachlässigen:
systemimmanente Funktionstrennung

Freigabe-Workflows
Diese Ansätze können gemeinsam mit weiteren Methoden und Konzepten zu einem Gesamtansatz kombiniert werden,der die Basis für sinnvolle Spezifikationen für ein automatisches Werkzeug zur Unterstützung bildet.

Systemimmanente Funktionstrennung
Funktionstrennung umfasst grundsätzlich Maßnahmen zur Sicherstellung, dass konfliktäre Tätigkeiten bei einem Geschäftsvorfall/bei einer Transaktionskette durch unterschiedliche Mitarbeiter durchgeführt werden. So wird in einem Beschaffungsprozess bei ausreichender Personalverfügbarkeit eine

  • Funktionstrennung zwischen
  • Stammdatenpflege und Buchung,
  • Bedarfsanforderung und Bestellung,
  • Anlage und Freigabe einer Bestellung
  • Wareneingang und Rechnungsprüfung etc.
  • eingerichtet sein. Die Berechtigungen sind als kritisch anzusehen, da mit Ihrer Verwendung Dispositionen mit finanzieller Auswirkung für das Unternehmen getroffen werden können.
    Die Angemessenheit der Vergabe der erforderlichen Berechtigungen wird die eingerichteten kompensierenden Kontrollen berücksichtigen. Konsequenterweise werden die Berechtigungen segmentiert vergeben, sodass grundsätzlich kein Mitarbeiter eine Beeinflussungsmöglichkeit über den gesamten Prozess erlangt. Gleichzeitig führt das Vorgehen dauerhaft zu einer Spezialisierung der Mitarbeiter, welche die anderen beteiligten Aktivitäten nicht durchführen können, sondern sich auf die im Rahmen der ihnen zugeteilten Berechtigungen ausführbaren Aktivitäten konzentrieren.
    Nehmen wir jedoch an, ein ERP-System stellt automatisch sicher, dass nur konfliktäre Aktivitäten innerhalb derselben Transaktionskette (ein Geschäftsvorfall) grundsätzlich nicht durch die gleichen Mitarbeiter ausgeführt werden. Transaktionskette wird hier bspw. als der gesamte Vorgang einer Bestellung verstanden.
    Konsequenterweise darf ein Mitarbeiter, der einen Lieferantenstammsatz angelegt oder geändert hat, nur für diesen Lieferanten keine Bestellung, keinen Wareneingang und keine Rechnung buchen etc. Allerdings besteht kein Risiko, diese Aktivitäten in einem anderen Geschäftsvorfall bei einem anderen Lieferanten durchzuführen, sofern er hier ebenfalls nur einmal beteiligt ist.
    Funktionstrennung definiert sich auf diese Weise bei jedem Geschäftsvorfall neu auf Basis einer vorher definierten Struktur konfliktärer Aktivitäten. Dazu sind
    Transaktionsketten auf Basis der Dokumentation zum internen Kontrollsystem zu definieren sowie
    die konfliktären Aktivitäten risiko-orientiert unter Berücksichtigung der Ablauf- und Aufbauorganisation und Personalausstattung zu spezifizieren
    Im Ergebnis können entsprechend qualifizierte Mitarbeiter diverse am Prozess beteiligte Aktivitäten ausführen, sofern sie nicht konfliktär innerhalb des gleichen Geschäftsvorfalls sind.
    Ein solches Vorgehen birgt erhebliche Vorteile:

  • Es kann eine breitere Berechtigungsvergabe akzeptiert werden, was zu einer erheblichen Verringerung der Anforderungen an ein internes Kontrollsystem in der Berechtigungsentwicklung, -vergabe und -überwachung führt.
  • Die Durchlaufgeschwindigkeit einzelner Geschäftsvorfälle kann erheblich erhöht werden, da mehrere Geschäftsprozesse parallel abgewickelt werden können.
  • Die Flexibilität des Mitarbeitereinsatzes wird erheblich erhöht.
  • Entsprechend qualifizierte Mitarbeiter übernehmen ein breiteres Spektrum an unterschiedlichen Aufgaben, der mit Spezialisierung einhergehende Verlust des Prozessüberblicks wird vermieden.
    Die mit der Einführung von Kontrollen des internen Kontrollsystems befürchtete Einschränkung der Arbeitsfähigkeit wird vermieden.
    Der Kontrollbedarf wird auf die wirklich kritischen Geschäftsvorfälle reduziert (Notfälle, in denen konfliktäre Tätigkeiten durch den gleichen Mitarbeiter durchgeführt werden müssen).
    Systemseitig muss die Funktionstrennung an diversen Stellen im Transaktionsfluss überprüft werden. Versucht ein Mitarbeiter, konfliktäre Aktivitäten innerhalb des gleichen Geschäftsvorfalls durchzuführen, sind je nach Dringlichkeit des Geschäftsvorfalls unterschiedliche Szenarien denkbar:

  • Stopp mit dem Hinweis, dass hier ein Funktionstrennungskonflikt vorliegt
  • Angebot einer Notfallberechtigung, deren Verwendung allerdings mit der Erstellung einer angemessenen Dokumentation (bspw. durch Bestätigungsmails etc.) einhergeht
  • „akzeptierter Funktionstrennungskonflikt“ für designierte Mitarbeiter (was einer kontinuierlichen Überwachung der Berechtigungen und ausgeführten Transaktionen bedarf)
  • Eine weitere Vereinfachung wird durch die Fokussierung auf ausschließlich kritische Bereiche, d.h. die Konzentration auf die Pflege ausgewählter Felder erreicht, bspw.:

  • bei Kundenstammdaten die Anlage oder Änderung der Partnerrolle Warenempfängerb, der Zahlungsbedingungen, der INCOTERMs oder des VBUND-Kennzeichens
  • bei Lieferantenstammdaten die Anlage oder Änderung der Bankverbindung oder Zahlungsbedingungen
  • der Anlage oder Änderung von Kreditlimits
  • der Anlage oder Änderung von Preisen/Konditionen
  • Folgerichtig ist die Anlage einer Bestellung in Verbindung mit der Pflege unkritischer Felder im Lieferanten-Stammsatz (Mailadresse etc.) durch einen identischen Mitarbeiter ohne Risiko!
    Die Umsetzung greift dabei auf die ohnehin in den wesentlichen ERP-Systemen vorhandenen Historien durchgeführter Beleg- oder Stammdatenänderungen zurück und wertet diese bspw. mit „in-memory computing“ (SAP HANA etc.) oder ähnlichen Technologien aus.

    Freigabe-Workflows
    Ein angemessenes internes Kontrollsystem erfordert in vielen Geschäftsvorfällen Freigaben. So sind z.B. Anlage oder Änderungen kritischer Stammdatenfelder freigabepflichtig. Zusätzlich wertmäßig beschränkte Freigaben kommen bei Geschäftsvorfällen mit direkter finanzieller Auswirkung zur Anwendung (bspw. Bestellungen, Eingangsrechnungen, Kundengutschriften, Materialverschrottungen, Inventur- oder Bestandsdifferenzen, Rückstellungen etc.).
    Eine angemessene Wertgrenze wird den autorisierten Mitarbeitern in der Regel auf der Basis der Übernahme von Stellen/Verantwortlichkeiten zugeordnet und in Unterschriftssystemen (idealerweise im Bereich Personal) dokumentiert.
    Die Einrichtung von Freigabe-Workflows in ERP-Systemen unterstützt in besonderer Weise die gleichzeitig effiziente und sichere Durchführung. Zudem verlagert und reduziert der Einsatz eines Workflows wesentlich den Umfang durchzuführender Kontrollen.
    Ein Workflow wird grundsätzlich angewendet, um eine Vielzahl von Transaktionen in einer standardisierten Art unter Einsatz automatischer Kontrollen durchzuführen. Ein Freigabeworkflow besteht grundsätzlich aus einer Anfrage und einer Freigabe. Die automatischen Kontrollen werden nur im Ausnahmefall ausgesetzt.
    Ein Ausnahmefall kann eintreten, sofern der Wert des Geschäftsvorfalls eine Höhe erreicht, die nur noch durch die 1. oder 2. Führungsebene eines Konzernunternehmens freigezeichnet werden kann. Angehörige dieser Führungsebenen sind zwar heute regelmäßig mit mobilen Datenverarbeitungsgeräten ausgerüstet, werden jedoch nur selten Freigaben innerhalb der genutzten ERP-Systeme durchführen.
    Sie werden Freigaben eher per Mail erteilen, die einem limitierten Kreis von Mitarbeitern als Bestätigung für die Verwendung einer Notfallfreigabe dient.
    Grundsätzlicher Vorteil von Freigabe-Workflows ist die automatische Sicherstellung der Funktionstrennung zwischen anforderndem und freigebendem Mitarbeiter.
    Bei Freigabe-Workflows ohne Wertgrenze reduziert sich zudem die Anzahl der kritischen Berechtigungen, da ausschließlich die Freigabe-Berechtigung zu überwachen ist. Es muss in diesem Zusammenhang allerdings sichergestellt werden, dass die ursprünglich verwendeten Standard-Pflege-Berechtigungen nicht mehr an Benutzerkonten vergeben werden (in SAP Systemen bspw. über eine SM01-Sperrung der Transaktion).
    So können Lieferantenstammdaten in SAP-Systemen bspw. durch die Transaktionscodes FK01, FK02, XK01 und XK02 gepflegt werden. Bei Einsatz eines Freigabeworkflows ist ausschließlich die Freigabe-Berechtigung als kritisch anzusehen. Noch deutlicher zeigt sich der Vorteil bei der Preispflege, die in SAP Systemen bspw. über ca. 150 verschiedene Transaktionscodes möglich ist. Eine kontinuierliche Überwachung dieser Transaktionen wird durch die Vergabe einer Freigabe-Transaktion ersetzt, die wesentlich einfacher überwacht werden kann.
    Freigabe-Workflows mit Wertgrenze gleichen die Existenz einer Wertgrenze automatisiert in einem Unterschriftssystem ab und verlagern damit die kritische Berechtigung aus dem ERP-System in das Unterschriftssystem. Mitarbeiter ohne eine im Unterschriftssystem dokumentierte Wertgrenze können trotz einer Systemberechtigung zur Freigabe im ERP-System keine Geschäftsvorfälle freigeben.
    Damit sind lediglich die an die Mitarbeiter vergebenen Wertgrenzen regelmäßig auf Aktualität zu prüfen, selbst die Vergabe der Freigabetransaktion im ERP-System an einen unautorisierten Mitarbeiter ist unkritisch.
    Bild 3 zeigt erforderliche manuelle Kontrollen am Beispiel der Freigabe einer Kundengutschrift im SAP-Standard.
    Für ein angemessenes Kontrollsystem sind bis zu drei manuelle Kontrollen sowie die zusätzliche Kontrolle kritischer Berechtigungen erforderlich. Bei Einsatz eines Freigabe-Workflows, welcher automatisch für den freigebenden Mitarbeiter dessen Autorisierung einer Wertgrenze im Unterschriftssystem abgleicht, fallen sämtliche Kontrollen weg. Lediglich die Wertgrenze ist regelmäßig zu prüfen.
    Um die Arbeitsfähigkeit auch bei wertmäßig sehr hohen Gutschriften zu erhalten, werden auch die vergebenen Notfallfreigabe-Berechtigungen und durchgeführten Notfall-Freigaben selbst einer regelmäßigen Kontrolle zu unterziehen sein. Der Anteil am Gesamtvolumen durchgeführter Transaktionen – und damit der Kontrollaufwand – wird jedoch erfahrungsgemäß gering sein.

    Zusammenfassung
    Die exemplarisch dargestellten Vorgehensweisen ermöglichen mit Hilfe organisatorischer und technischer Hilfsmittel, das Management kritischer Berechtigungen effektiver und effizienter durchführen zu können. Denkbar ist ebenfalls, mit Hilfe solcher Verfahren die Verantwortung für Systemberechtigungen mehrheitlich zurück in die Fachbereiche zu transferieren, damit die IT-Abteilung wesentlich zu entlasten und aus der politisch schwierigen Mittlerrolle zwischen Technikgrenzen und Fachbereichsanforderungen zu entlassen.
    So können Reibungsverluste verhindert und die für weitere Optimierung (Identifikation redundanter Kontrollen, Eliminierung von Kontrolllücken) erforderliche Transparenz im gesamten Bereich des internen Kontrollsystems geschaffen werden.
    Zur Realisierung eines solchen Verfahrens sind unter anderem ein nahtloses Gesamtkonzept, sprechende Bezeichnungen und eine angemessene Automatisierungsunterstützung für die beteiligten Prozesse (Entwicklung, Verwaltung und Überwachung von Berechtigungen) erforderlich.
    Hier sind u.a. die Software-Hersteller gefragt, die erforderlichen Voraussetzungen für eine komfortable Anpassungsmöglichkeit von systemimmanenter Funktionstrennung und der Einrichtung von Workflows (über das Customizing) zu schaffen. Entscheider in Konzernen können über Pilotprojekte schnell Erfahrungswerte für diesen Lösungsansatz schaffen.
    Als Ergebnis werden
    • erhebliche Einsparpotenziale ermöglicht,
    • die Flexibilität des Mitarbeitereinsatzes signifikant erhöht,
    • Kontrollen auf die wesentlichen Risikobereiche fokussiert und
    • insgesamt eine höhere Sicherheitfür das Management in den Geschäftsprozessen geschaffen.
    Zugleich wird ein Bereich transparent, nachvollziehbar und steuerbar dargestellt, der bisher als systemseitiges Spiegelbild des eingerichteten internen Kontrollsystems für Manager der Fachbereiche tendenziell eher undurchsichtig erschien. Der Ansatz ist bei kalkulierbaren Kosten umsetzbar und bietet bei gleichem/erhöhtem Konformitätsgrad erhebliche Einsparpotenziale in einem Bereich, der richtungsweisend für die Herstellung, die Beibehaltung oder Verbesserung der internationalen Wettbewerbsfähigkeit der Unternehmen und Konzerne ist.

    Beitrag als PDF herunterladen

    Freigabe-WorkflowManagement kritischer ERP-Berechtigungensystemimmanente Funktionstrennung





    Das könnte Sie auch interessieren

    Anbieterportal

    software4production GmbH
    Premium

    software4production GmbH

    85567 Grafing

    alle Anbieter
    Sharer Icon: facebookSharer Icon: TwitterSharer Icon: LindekInSharer Icon: XingSharer Icon: EnvelopeSharer Icon: Print
    Banner

    Der neue ERP-Marktführer ist da!

    Lesen Sie, was die 40 aktuellen ERP-Lösungen zu bieten haben.

    Wir verwenden Cookies.

    Um die Seite optimal gestalten und fortlaufend verbessern zu können und zur statistischen Auswertung, verwenden wir Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung.

    Essentielle Cookies

    Cookie Settings
    Speichert Einstellungen, die hier getroffen werden. (1 Jahr)

    Statistik

    Google Analytics | Google LLC | Datenschutz
    Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (2 Jahre)