Ebner Stolz kooperiert mit führendem Softwareanbieter für SAP-Berechtigungsprüfung

In je­dem Fall wer­den in den nächs­ten Mo­na­ten und Jah­ren sehr viele Un­ter­neh­men be­ste­hende oder neue SAP S/4 Lösun­gen an den Start brin­gen müssen. Das be­trifft al­lein im Be­reich der Jah­res­ab­schlussprüfun­gen bei Eb­ner Stolz annähernd 200 Un­ter­neh­men- und Un­ter­neh­mens­grup­pen. Doch auch die Nut­zung der SAP-Sys­teme birgt Her­aus­for­de­run­gen. Eine da­von ist das äußerst kom­plexe SAP-Be­rech­ti­gungs­kon­zept. Da­mit die­ses sinn­voll vom Man­dan­ten im Griff und vom Prüfer auch be­ur­teilt wer­den kann, gibt es wie­derum spe­zi­elle Soft­ware­pakte. Die Kom­ple­xität er­gibt sich zum einen aus der viel­di­men­sio­na­len tech­ni­schen Kon­zep­tion der SAP, aber auch aus ei­ner viel­schich­ti­gen Im­ple­men­tie­rung der über­wie­gend be­triebs­wirt­schaft­li­chen Pro­zesse.

© Vertreter des Ebner Stolz GBIT-Teams mit Sebastian Schreiber (Vierter von rechts)

Eb­ner Stolz ar­bei­tet seit lan­gen Jah­ren in die­sem The­men­feld mit der IBS Schrei­ber GmbH, einem SAP-Se­cu­rity-Spe­zia­lis­ten, ver­trau­ens­voll zu­sam­men. Mit einem Ko­ope­ra­ti­ons­ver­trag he­ben beide Un­ter­neh­men ihre Zu­sam­men­ar­beit auf eine neue Ebene. Wa­rum eine ex­tra Soft­ware außer­halb von SAP für diese Be­rech­ti­gungs­kon­zepte er­for­der­lich ist und wie die Zu­sam­men­ar­beit zwi­schen Eb­ner Stolz und IBS Schrei­ber er­folgt, darüber spre­chen wir mit Se­bas­tian Schrei­ber, Ge­schäftsführer der IBS Schrei­ber GmbH, und Hol­ger Klind­worth, Ge­schäftsführer und Part­ner bei Eb­ner Stolz.

Herr Klindt­worth, aus wel­chem Grund sind Be­rech­ti­gungs­kon­zepte bei der Nut­zung von SAP-Soft­ware er­for­der­lich?

Hol­ger Klindt­worth: Ein we­sent­li­ches Kon­zept bei der Si­cher­stel­lung ei­nes Un­ter­neh­mens­er­fol­ges und bei der Ein­hal­tung von ge­setz­li­chen Rah­men­be­din­gun­gen ist die Ein­rich­tung in­ter­ner Kon­troll­sys­teme. Zu in­ter­nen Kon­troll­sys­te­men gehört auch die Ein­rich­tung von Funk­ti­ons­tren­nun­gen. Der Mit­ar­bei­ter im Un­ter­neh­men, der be­stellt, darf nicht Zah­lun­gen auslösen. Der Mit­ar­bei­ter, der eine Gut­schrift in der Ma­te­ri­al­wirt­schaft bucht, darf keine Wa­ren­ein­gangs­kon­trolle durchführen etc. etc. etc.

Dies ist nicht nur im Sinne des Un­ter­neh­mens, son­dern wird auch von Han­dels­recht, Steu­er­recht, Da­ten­schutz, Auf­sichts­recht und ei­gent­lich al­len an­de­ren Rechts­ge­bie­ten - außer viel­leicht vom Schei­dungs­recht, hier ist es ja ir­gend­wie im­ma­nent ver­pflich­tend - ge­for­dert. Habe ich als Un­ter­neh­men keine Funk­ti­ons­tren­nung ein­ge­rich­tet und es er­folgt eine Ver­un­treu­ung, z. B. durch Zah­lung un­be­rech­tig­ter Rech­nun­gen, ist dies z. B. aus Sicht der Fi­nanz­ver­wal­tung gemäß BMF-Schrei­ben aus dem Jahr 2016 ein In­diz für eine bil­li­gend in Kauf ge­nom­mene Steu­er­hin­ter­zie­hung im Rah­men von falsch de­kla­rier­ten Be­triebs­aus­ga­ben.

Jetzt stel­len Sie sich das Ganze für Un­ter­neh­men mit hun­der­ten Mit­ar­bei­tern und Pro­zes­sen in ei­ner kom­ple­xen dy­na­mi­schen Un­ter­neh­mens­or­ga­ni­sa­tion vor. Das funk­tio­niert nur mit ent­spre­chen­den Lösun­gen so­wohl bei der Ein­rich­tung als auch bei der Pflege der Be­rech­ti­gun­gen, aber eben auch bei der Prüfung und Be­ur­tei­lung der An­ge­mes­sen­heit der Funk­ti­ons­tren­nung.

Herr Schrei­ber, wie kann sich der Laie ein sol­ches SAP-Be­rech­ti­gungs­kon­zept vor­stel­len?

Se­bas­tian Schrei­ber: Zunächst sollte ein Be­rech­ti­gungs­kon­zept schrift­lich vor­lie­gen und al­len Ver­ant­wort­li­chen be­kannt sein, be­vor dies tech­ni­sch um­ge­setzt wird. Darin gilt es vor al­len Din­gen, spe­zi­elle Ri­si­ken im Be­rech­ti­gungs­we­sen dar­zu­stel­len und zu de­fi­nie­ren, wie diese Ri­si­ken durch Kon­trol­len mi­ni­miert wer­den. Dazu gehören auch die von Hol­ger be­schrie­be­nen Funk­ti­ons­tren­nun­gen. Es gibt die Möglich­keit, di­verse tech­ni­sche Kon­trol­len, wie bei­spiels­weise Frei­ga­be­work­flows, 4-Au­gen-Prin­zi­pien und die Be­rech­ti­gungs­ver­gabe über IDM Werk­zeuge, in SAP-Sys­teme zu im­ple­men­tie­ren. Des Wei­te­ren gibt es auch or­ga­ni­sa­to­ri­sche Kon­trol­len, wenn eine tech­ni­sche Kon­trolle nicht aus­rei­chend ist, wel­che eben­falls in einem Be­rech­ti­gungs­kon­zept de­fi­niert sein sol­len. Eine große Her­aus­for­de­rung stellt in den Un­ter­neh­men die De­fi­ni­tion der Ri­si­ken dar. In vie­len Fällen ist nicht be­kannt, wel­che Da­ten be­son­ders sen­si­bel sind, wie auf diese zu­ge­grif­fen wird und wie die tech­ni­sche Be­rech­ti­gung im SAP-Sys­tem für die­sen Zu­griff aus­sieht. Das macht das Thema sehr kom­plex und es ist oft schwie­rig, Ver­ant­wort­li­che im Un­ter­neh­men zu fin­den, die sich mit dem Thema be­fas­sen, da dies meist ne­ben dem Ta­ges­ge­schäft er­le­digt wer­den muss. Hier müssen die Ver­ant­wort­li­chen aus den Fach­be­rei­chen Ver­ant­wor­tung über­neh­men – das ist kein rei­nes IT-Thema! Meist fehlt für sol­che Kon­trol­len das tech­ni­sche Know­how in den Fach­be­rei­chen.

Wa­rum benötige ich als SAP-Nut­zer eine spe­zi­elle Soft­ware, um den Über­blick über das Be­rech­ti­gungs­kon­zept zu wah­ren?

Se­bas­tian Schrei­ber: Wie in der letz­ten Ant­wort schon an­ge­ris­sen, se­hen wir un­sere Soft­ware auch als Bin­de­glied zwi­schen IT und Fach­be­reich. Wir ha­ben schon sehr viele Ri­si­ken vor­de­fi­niert, die per Knopf­druck überprüft wer­den können. Zu je­dem die­ser Ri­si­ken ha­ben wir eine Ri­si­ko­be­schrei­bung und wir ha­ben ein Re­por­ting, das für je­den Fach­be­reich sehr verständ­lich ist. Wich­tig ist, dass der Fach­be­reich die Re­ports ver­steht, da­mit die Be­wer­tung der Er­geb­nisse ord­nungsmäßig durch­geführt wer­den kann.

Un­sere Ri­si­ken können pro­blem­los durch wei­tere un­ter­neh­mens­spe­zi­fi­sche Ri­si­ken ergänzt wer­den.

Und… wie ist gewähr­leis­tet, dass diese Soft­ware die er­for­der­li­chen Qua­litäts­stan­dards erfüllt?

Se­bas­tian Schrei­ber: Wir set­zen hier sehr auf Qua­lität und in­ves­tie­ren eine Menge in den Auf- und Aus­bau un­se­rer Re­gel­werke. Hier ha­ben wir un­sere Be­ra­ter, die zu­sam­men mit Kun­den und Part­nern ständig daran ar­bei­ten, un­sere Re­gel­werke zu er­wei­tern und zu ak­tua­li­sie­ren. Außer­dem ha­ben wir die Möglich­keit, au­to­ma­ti­sch zu kon­trol­lie­ren, wel­che Si­cher­heits­ein­stel­lun­gen der Kunde in sei­nem SAP-Cu­st­omi­zing ak­ti­viert hat, um dann auch nur diese zu prüfen (bspw. Vier-Au­gen-Prin­zip etc.).

Außer­dem ha­ben wir un­sere Re­gel­werke und un­sere Ent­wick­lungs­pro­zesse von Eb­ner Stolz nach den re­le­van­ten IDW-Stan­dards zer­ti­fi­zie­ren las­sen.

Herr Klindt­worth, wa­rum ist die Ko­ope­ra­tion zwi­schen Eb­ner Stolz und IBS Schrei­ber sinn­voll und er­for­der­lich, kon­kret: aus wel­chem Grund ist es aus der Sicht der Wirt­schaftsprüfer wich­tig, dass ein funk­tio­nie­ren­des Be­rech­ti­gungs­kon­zept vor­liegt?

Hol­ger Klindt­worth: Wie be­reits erwähnt, ist die Be­ur­tei­lung von Pro­zes­sen und Sys­te­men eng mit dem Be­griff in­ter­nes Kon­troll­sys­tem und da­mit auch mit dem Be­griff der Funk­ti­ons­tren­nung verknüpft. Für uns ist ei­gent­lich jede Prüfung im­mer auch eine Prüfung der Funk­ti­ons­tren­nung. Jetzt ha­ben wir mal ein ty­pi­sches SAP-Sys­tem mit tau­send Be­nut­zern, fünf­zig­tau­send Da­ten­ta­bel­len, hun­der­ten von Pro­zes­sen - hier ist eine ma­nu­elle Prüfung der ver­ge­be­nen Be­rech­ti­gun­gen ma­nu­ell fak­ti­sch nicht möglich, hier brau­chen wir eine soft­ware­tech­ni­sche Un­terstützung. Das ha­ben wir auch in der Ver­gan­gen­heit ge­nutzt, aber durch die Zu­sam­men­ar­beit mit IBS können wir jetzt un­sere Prüfun­gen viel bes­ser auf die Ge­ge­ben­hei­ten beim Man­dan­ten und die Ri­si­ko­lage zu­schnei­den. Mit einem Gleich­nis aus der Lo­gis­tik ge­spro­chen, wir ha­ben jetzt einen Last­wa­gen­her­stel­ler, der uns ge­nau den LKW baut, den wir benöti­gen, um die Güter un­se­res Man­dan­ten zu trans­por­tie­ren, nicht zu groß, nicht zu klein. Auf der an­de­ren Seite ver­set­zen wir IBS in die Lage, durch un­ser in Jahr­zehn­ten an­ge­wach­se­nes Pro­zess-Know how ge­nau die LKWs zu bauen, die auch die Kun­den von IBS benöti­gen und natürlich tei­len wir auch un­ser SAP Know-how.

Hier ha­ben IBS und auch wir viel Er­fah­rung, aber eins ist je­dem Markt­teil­neh­mer klar, der sich pro­fes­sio­nell und im Sinne sei­ner Kun­den/Man­dan­ten mit dem Thema be­schäftigt: Der wahre Wi­der­sa­cher für den IT-Prüfer ist nicht der Wett­be­wer­ber im Markt, die wah­ren Wi­der­sa­cher ha­ben die Na­men Kom­ple­xität und Nach­voll­zieh­bar­keit und natürlich auch Wirt­schaft­lich­keit. Ein of­fe­ner In­for­ma­ti­ons­aus­tausch der Fach­leute auf Au­genhöhe im Sinne von „Quid quo pro“ ist in der Welt der IT-Prüfung drin­gen­der er­for­der­li­cher denn je.

Wie er­folgt die Zu­sam­men­ar­beit zwi­schen IBS Schrei­ber und Eb­ner Stolz? Wel­cher Mehr­wert er­gibt sich da­durch für mit­telständi­sche Un­ter­neh­men?

Se­bas­tian Schrei­ber: Der Mehr­wert er­gibt sich dar­aus, dass wir die Prüfungs­an­for­de­run­gen, die sich aus di­ver­sen Re­gu­la­rien er­ge­ben, durch un­ser ver­ein­tes Know-how sehr ef­fi­zi­ent für die Kun­den um­set­zen können. Das spart Kos­ten, ge­rade auch für Un­ter­neh­men ohne ei­gene Com­pli­ance-Ab­tei­lung.

Gibt es The­men­ge­biete der Ko­ope­ra­tion, die über die Prüfung von SAP-Be­rech­ti­gun­gen hin­aus ge­hen?

Hol­ger Klindt­worth: JA. Wir pla­nen auch eine Un­terstützung bei der Wei­ter­ent­wick­lung der IBS Pro­dukte, ge­rade auch bei der Qua­litäts­si­che­rung und es wird si­cher­lich auch ge­mein­same Ver­an­stal­tun­gen für un­sere Man­dan­ten und die Kun­den von IBS ge­ben. Wir ha­ben bei Eb­ner Stolz auch ei­gene Soft­ware­ent­wick­lung für un­sere Prüfungs­werk­zeuge. Un­sere „Werk­zeug­ma­cher“ und die Ent­wick­ler von IBS nut­zen hier sehr ähn­li­che Ent­wick­lungs­um­ge­bun­gen und Pro­gram­mier­spra­chen. So ist auch hier eine en­gere Zu­sam­men­ar­beit in Zu­kunft vor­ge­se­hen.