Montag, 11. August 2014

5 Faktoren für „Bezahlbare Compliance“


Das ERP-System ist oftmals das Herzstück der Business Software eines Unternehmens – welche besonderen Anforderungen es an diese mächtigen Systeme es im Zusammenhang mit der Einhaltung von Verhaltensmaßregeln, Gesetzten und Richtlinien gibt, beantwortet Markus Oman, Geschäftsführer der O.P.P. – Beratung und einer der führenden IT-Rechts-Experten in Österreich im Gespräch mit Confare.

Welche rechtlichen Anforderungen müssen ERP Systeme und deren Betrieb erfüllen? Welche Risiken gibt es?
MO: Der Betrieb solcher zentralen Systeme bringt Risiken in verschiedenen Bereichen mit sich, die erkannt, qualifiziert und gemanagt werden müssen. Insbesondere gehören hierzu:

  • Organisatorische Risiken
  • Infrastrukturelle Risiken
  • Anwendungs- und prozessbezogene Risiken
  • Kosten- und leistungsbezogene Risiken
  • Rechtliche Risiken
Vielfach gibt es Bereiche, in denen sich die betriebswirtschaftlichen, technischen und rechtlichen Anforderungen überschneiden. Besonders diese Überlappungszonen stellen sich in der Praxis sehr komplex dar. Die aktuellen Compliance Anforderungen umfassen vielfach Anforderungen auf die betriebswirtschaftlichen, als auch in die technischen Themenbereiche. Insbesondere sind hier Anforderungen an die Funktionsfähigkeit des IKS (Internes Kontroll System) zu nennen oder auch die Anforderungen der Wirtschaftsprüfung bzgl „Going Concern“. Ebenso sind hier auch die Inhalte des Fachgutachtens für Ordnungsmäßigkeit von EDV-Buchführungen KFS_DV1 (bzw. auch KFS_DV2) und nicht zuletzt die Prüfungsrichtlinien der WP Gesellschaften zu erwähnen. Nicht zuletzt gilt es auch die gesetzlichen Forderungen des UGB (zB §§ 189f , §216 und §274 UGB), der BAO (zB §§ 125 ff BAO, § 131, 132 BAO) und die GOB (Grundsätze ordnungsmäßiger Buchführung) zu erfüllen.

Besonderes Augenmerk ist auf eine zweckmäßige Gestaltung des IKS zu legen. Hierbei gilt es aufgrund der vielfältigen Anforderungen besonders darauf zu achten, dass das Gesamtsystem transparent und funktional wird, aber gleichzeitig auch effizient bleibt.

 Generell ist „bezahlbare Compliance“ das Gebot der Stunde!

Was sollte ein IKS nun zumindest abdecken und was muss daher durch das ERP – System und dessen Prozesse geleistet werden?

MO:

·         Ein Internes Kontrollsystem muss gewährleisten, dass die Aufgaben im Unternehmen (gemäß der Unternehmensziele) ordnungsgemäß erfüllt werden und  eine diesbezügliche Sicherheit schaffen.

·         Durch ein IKS müssen insbesondere die Vollständigkeit und Richtigkeit der geschäftlichen Aufzeichnungen gewährleistet, die vorhandenen Vermögenswerte abgesichert, die betriebliche Leistungsfähigkeit gesteigert und die Geschäftsleitung bei ihrer Überwachungsaufgabe unterstützt werden.

 

·         Das IKS stellt ein internes System aller Überwachungsmaßnahmen dar, die in Arbeits- und Betriebsabläufe integriert sind. Somit sind im Rahmen des IKS-Prozesses alle

ª  Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit,

ª  zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung und

ª  zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften, sicher zu stellen!

Für das ERP-System und seine nachgelagerten Systeme gilt daher, dass es Funktionen zur Verfügung stellen muss, die es ermöglichen, dass Kontrollmaßnahmen auf Risiken und Schwachstellen ausgerichtet sind. Diese Prozesse sind laufend zu überwachen und aktuell (für Dritte nachvollziehbar) zu dokumentieren. Die erforderliche Qualität der Dokumentation bzw. Nachweisbarkeit wird nur durch eine entsprechende Revisionssicherheit erreicht.

Ein wichtiger Aspekt in diesem Zusammenhang ist die Archivierung der verwendeten bzw. erzeugten Informationen, Daten und Dokumente. Und hier beginnt nun das Dilemma, was archivieren und wie, welche Dokumente sollen aufbewahrt werden, wann dürfen Originale entsorgt werden, was sind überhaupt die Originale und darf überhaupt alles für immer aufbewahrt werden?

MO: Die gesetzlichen Vorgaben ergeben sich aus der Verpflichtung zur Transparenz und Nachvollziehbarkeit, den Anforderungen der Ordnungsmäßigkeit, und dies alles ist verpackt in einer Vielzahl von  Gesetzen und der gelebten Judikatur. Eine besondere Rolle kommt den Regelungen des Datenschutzgesetzes zu, da dieses durch seine Schutzfunktion für den Betroffenen zu Konflikten mit den Zielen des Unternehmens führen kann (z.B. Auskunftsrecht § 26, Recht auf Richtigstellung / Löschung § 27, Widerspruchsrecht § 28 versus der diversen Aufbewahrungsanforderungen).

Hinsichtlich des betriebswirtschaftlichen Mehrwertes einer elektronischen Archivierung sollte man ins Kalkül ziehen, dass die Prozesse schneller werden, man also schnell mehr richtige Antworten zu den vorhandenen Dokumenten (wichtiger Teil des Wissens der Organisation) erhält, dadurch die Fehlerquote sinkt, Doppelarbeiten vermieden werden und vor allem man das findet, was man sucht. Des Weiteren werden die Wegzeiten praktisch auf null reduziert und somit ein sehr großer „Return on Investment (ROI)“ erreicht wird, was wiederum die Wettbewerbsfähigkeit verbessert.

Um einen ROI zu erwirtschaften muss bei der Einführung eines eArchives in erster Linie das organisatorische Risiko richtig gehandhabt werden und nicht so sehr das technische. Bevor man also nicht weiß, was man wie wieder finden will und daher wie archivieren muss, ist es nicht sinnvoll, eine technische Umsetzung zu beginnen. Daher ist es essenziell erst nach der Erledigung der „Hausaufgaben“ die notwendigen Systeme auszuwählen. Auch hier gilt nur jene beschaffen die wirklich notwendig sind – vieles ist mit bereits vorhanden „Boardmitteln“ möglich.

Gleiches gilt im Übrigen auch, um ein effizientes Handling der elektronischen Ein- und Ausgangsrechnungen zu ermöglichen.

Welche Aufgaben gilt es daher zu meistern und welche organisatorischen und technischen Maßnahmen sind wichtig, um ERP-Compliance kostengünstig sicher zu stellen?

MO:

1. Kenne deine (wirklichen) Prozesse

2. Definiere smarte und am Unternehmensziel ausgerichtet Sollprozesse

3. Analysiere die tatsächlichen Risiken (ROI; Steuer- Unternehmens- und Datenschutzrecht; Leistungsfähigkeit der IT; langfriste Verfügbarkeit des Anbieters) und stelle sicher, dass die Systeme ein effizientes Management genau dieser Risiken ermöglichen. Auch „zu Tode fürchten“ ist nicht zielführend, sondern nur teuer!

4. Baue so viel wie möglich eigens Know – how über das (neue) System auf.

5. Wähle den „richtigen“ Berater. Fähige Berater sind gut und wichtig, aber ein sehr guter Berater, rationalisiert sich selbst weg!

Im Rahmen des 7. ERP Infotages von Confare, am 9. Oktober in Linz wird es am 10. Oktober auch einen Workshop zum Thema ERP Compliance geben, Anmeldung und Details: http://www.confare.at/11185_DE-7205_ERP_Infotag_2013-Workshop%3a_SAP_Compliance_Control_Management.htm

Keine Kommentare: