Das
ERP-System ist oftmals das Herzstück der Business Software eines Unternehmens –
welche besonderen Anforderungen es an diese mächtigen Systeme es im
Zusammenhang mit der Einhaltung von Verhaltensmaßregeln, Gesetzten und Richtlinien
gibt, beantwortet Markus Oman, Geschäftsführer der O.P.P. – Beratung und einer
der führenden IT-Rechts-Experten in Österreich im Gespräch mit Confare.
Welche
rechtlichen Anforderungen müssen ERP Systeme und deren Betrieb erfüllen? Welche
Risiken gibt es?
MO: Der Betrieb solcher
zentralen Systeme bringt Risiken in verschiedenen Bereichen mit sich, die
erkannt, qualifiziert und gemanagt werden müssen. Insbesondere gehören hierzu:- Organisatorische
Risiken
- Infrastrukturelle
Risiken
- Anwendungs-
und prozessbezogene Risiken
- Kosten-
und leistungsbezogene Risiken
- Rechtliche Risiken
Besonderes Augenmerk ist auf eine zweckmäßige
Gestaltung des IKS zu legen. Hierbei gilt es aufgrund der vielfältigen Anforderungen
besonders darauf zu achten, dass das Gesamtsystem transparent und funktional
wird, aber gleichzeitig auch effizient bleibt.
Generell ist „bezahlbare Compliance“ das Gebot der Stunde!
Was sollte ein IKS nun zumindest abdecken und was
muss daher durch das ERP – System und dessen Prozesse geleistet werden?
MO:
·
Ein Internes Kontrollsystem muss gewährleisten,
dass die Aufgaben im Unternehmen (gemäß der Unternehmensziele) ordnungsgemäß
erfüllt werden und eine diesbezügliche
Sicherheit schaffen.
·
Durch ein IKS müssen insbesondere die Vollständigkeit
und Richtigkeit der geschäftlichen Aufzeichnungen gewährleistet, die
vorhandenen Vermögenswerte abgesichert, die betriebliche Leistungsfähigkeit
gesteigert und die Geschäftsleitung bei ihrer Überwachungsaufgabe unterstützt
werden.
·
Das IKS stellt ein internes System
aller Überwachungsmaßnahmen dar, die in Arbeits- und Betriebsabläufe integriert
sind. Somit sind im
Rahmen des IKS-Prozesses alle
ª Grundsätze, Verfahren und
Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit,
ª
zur Ordnungsmäßigkeit und Verlässlichkeit der internen
und externen Rechnungslegung und
ª zur Einhaltung der für das
Unternehmen maßgeblichen rechtlichen Vorschriften, sicher zu stellen!
Für das ERP-System und seine nachgelagerten Systeme gilt daher, dass es
Funktionen zur Verfügung stellen muss, die es ermöglichen, dass Kontrollmaßnahmen
auf Risiken und Schwachstellen ausgerichtet sind. Diese Prozesse sind laufend
zu überwachen und aktuell (für Dritte nachvollziehbar) zu dokumentieren. Die
erforderliche Qualität der Dokumentation bzw. Nachweisbarkeit wird nur durch
eine entsprechende Revisionssicherheit erreicht.
Ein wichtiger Aspekt in diesem Zusammenhang ist die
Archivierung der verwendeten bzw. erzeugten Informationen, Daten und Dokumente.
Und hier beginnt nun das Dilemma, was archivieren
und wie, welche Dokumente sollen aufbewahrt werden, wann dürfen Originale
entsorgt werden, was sind überhaupt die Originale und darf überhaupt alles für
immer aufbewahrt werden?
MO: Die gesetzlichen Vorgaben ergeben sich aus der
Verpflichtung zur Transparenz und Nachvollziehbarkeit, den Anforderungen der
Ordnungsmäßigkeit, und dies alles ist verpackt in einer Vielzahl von
Gesetzen und der gelebten Judikatur. Eine besondere Rolle kommt den
Regelungen des Datenschutzgesetzes zu, da dieses durch seine Schutzfunktion für
den Betroffenen zu Konflikten mit den Zielen des Unternehmens führen kann (z.B.
Auskunftsrecht § 26, Recht auf Richtigstellung / Löschung § 27,
Widerspruchsrecht § 28 versus der diversen Aufbewahrungsanforderungen).
Hinsichtlich
des betriebswirtschaftlichen Mehrwertes einer elektronischen Archivierung sollte
man ins Kalkül ziehen, dass die Prozesse schneller werden, man also schnell
mehr richtige Antworten zu den vorhandenen Dokumenten (wichtiger Teil des
Wissens der Organisation) erhält, dadurch die Fehlerquote sinkt, Doppelarbeiten
vermieden werden und vor allem man das findet, was man sucht. Des Weiteren
werden die Wegzeiten praktisch auf null reduziert und somit ein sehr großer
„Return on Investment (ROI)“ erreicht wird, was wiederum die
Wettbewerbsfähigkeit verbessert.
Um einen ROI
zu erwirtschaften muss bei der Einführung eines eArchives in erster Linie das
organisatorische Risiko richtig gehandhabt werden und nicht so sehr das
technische. Bevor man also nicht weiß, was man wie wieder finden will und daher
wie archivieren muss, ist es nicht sinnvoll, eine technische Umsetzung zu
beginnen. Daher ist es essenziell erst nach der Erledigung der „Hausaufgaben“
die notwendigen Systeme auszuwählen. Auch hier gilt nur jene beschaffen die
wirklich notwendig sind – vieles ist mit bereits vorhanden „Boardmitteln“
möglich.
Gleiches gilt im Übrigen auch, um ein
effizientes Handling der elektronischen Ein- und Ausgangsrechnungen zu
ermöglichen.
Welche Aufgaben gilt es
daher zu meistern und welche organisatorischen und technischen Maßnahmen sind
wichtig, um ERP-Compliance kostengünstig sicher zu stellen?
MO:
1. Kenne
deine (wirklichen) Prozesse
2. Definiere
smarte und am Unternehmensziel ausgerichtet Sollprozesse
3.
Analysiere die tatsächlichen Risiken (ROI; Steuer- Unternehmens- und
Datenschutzrecht; Leistungsfähigkeit der IT; langfriste Verfügbarkeit des
Anbieters) und stelle sicher, dass die Systeme ein effizientes Management genau
dieser Risiken ermöglichen. Auch „zu Tode fürchten“ ist nicht zielführend,
sondern nur teuer!
4. Baue so
viel wie möglich eigens Know – how über das (neue) System auf.
5. Wähle den
„richtigen“ Berater. Fähige Berater sind gut und wichtig, aber ein sehr guter Berater,
rationalisiert sich selbst weg!
Im Rahmen des 7. ERP Infotages von
Confare, am 9. Oktober in Linz wird es am 10. Oktober auch einen Workshop zum
Thema ERP Compliance geben, Anmeldung und Details: http://www.confare.at/11185_DE-7205_ERP_Infotag_2013-Workshop%3a_SAP_Compliance_Control_Management.htm
Keine Kommentare:
Kommentar veröffentlichen