Mit diesen SAP ECC-Tipps übersteht man Compliance Audits
Eine umfassende Funktionstrennung und die Begrenzung manueller Buchungen sind zwei Möglichkeiten, um Finanzdaten in SAP ECC besser zu kontrollieren.
Unternehmen können die Komponente Finanzwesen (FI) innerhalb von SAP ERP Central Component (SAP ECC) verwenden, um bessere Geschäftskontrollen aufzubauen und Finanztransaktionen zu kontrollieren, was nicht nur eine zeitnahe und genaue Finanzberichterstattung und schnellere Konsolidierungen gewährleistet, sondern auch konforme Audits garantiert.
Der Record-to-Report-Geschäftsprozess umfasst die Fähigkeit eines Unternehmens, vollständige und umfassende Details jeder Transaktion im SAP ECC-System zu erfassen, um schließlich innerhalb der Finanzberichterstattung berichten zu können.
Hier sind zehn Tipps, um bessere Kontrollen im Record-to-Report-Prozess aufzubauen.
Konflikte bei der Funktionstrennung verhindern
Eine angemessene Funktionstrennung (Segregation of Duties, SoD) ist für den Rechnungslegungsprozess wichtig. Eine unzureichende Funktionstrennung kann zu nicht genehmigten Journalbuchungen führen, deren Korrektur Zeit benötigen. Bleiben Fehler unentdeckt oder werden nicht behoben, kann dies möglicherweise schlechte Managemententscheidungen aufgrund ungenauer Informationen nach sich ziehen oder betrügerische Handlungen verursachen.
Ein Beispiel für eine Funktionstrennung ist, dass eine Person, die für die Buchung in der Hauptbuchhaltung (General Ledger, FI-GL) verantwortlich ist, FI-Stammdaten anlegen oder pflegen können sollte. Gleichzeitig sollte es der Person, die für die Buchung von anormalen oder hochwertigen Hauptbuchtransaktionen verantwortlich ist, nicht gestattet sein, diese zu genehmigen.
Buchungen auf Funktionsbereiche einschränken
Die überwiegende Mehrheit der Hauptbuchbuchungen erfolgt über die normale tägliche Transaktionsverarbeitung in SAP ECC – oft ohne dass der Benutzer die im Hintergrund erstellten Buchungen mitbekommt. Zum Beispiel buchen Wareneingänge Artikel in den Bestand und erkennen eine Verpflichtung, Lieferanten für diese Artikel zu bezahlen. Ebenso werden Lieferungen an Kunden vom Lager abgezogen und lösen einen Erwartungswert für Kundenzahlungen aus.
Häufig vorkommende Transaktionen wie diese werden täglich durchgeführt, ohne dass ein Benutzer in die FI-Komponente gehen und direkt im Hauptbuch buchen muss. Es ist jedoch unvermeidlich, dass einige Transaktionen manuell gebucht werden müssen, so dass einige Buchhaltungsbenutzer Journalbuchungen anlegen müssen. Diese Möglichkeit sollte eingeschränkt werden, da manuelle Buchungen das Risiko von menschlichen Fehlern erhöhen.
Den Zugriff auf leistungsstarke Transaktionen beschränken
Sie sollten einer begrenzten Anzahl von Personen leistungsstarke Transaktionen zuordnen und diese über Berechtigungen steuern. Auch wenn diese Funktionen nie genutzt werden, stellt die Fähigkeit eines Benutzers, diese Transaktionen durchzuführen, ein Risiko für das Unternehmen dar und wirft Auditprobleme auf.
Zu diesen Transaktionen gehören unter anderem die Möglichkeit, Abrechnungsperioden zu öffnen und zu schließen (Transaktion: S_ALR_87003642), die Möglichkeit, Massentransaktionen zu stornieren (Transaktion: F.80) oder die Möglichkeit, in Perioden zu buchen, die für die meisten Benutzer für die Buchung gesperrt sind (Berechtigungsobjekt: F_BKPF_BUP).
Änderungen an Kreditstammsätzen von Kunden einschränken
Das Kreditmanagement ist auch für das Rechnungswesen und die Finanzberichterstattung von entscheidender Bedeutung, und für die Bewertung von Forderungen gelten besondere Rechnungslegungsvorschriften.
Wenn ein Kunde beispielsweise nur die Hälfte dessen bezahlen kann, was er einem Unternehmen schuldet, dann ist der Wert der Kundenforderung das, was das Unternehmen vernünftigerweise erwartet und nicht der volle Wert. Aus diesem Grund wird das Kundenkreditmanagement in vielen Unternehmen eng von der Finanzabteilung gesteuert.
Änderungen an Lieferantenstammsätzen einschränken
Ähnlich wie Kundendatensätze enthalten auch Lieferantenstammsätze relevante Daten für die Buchhaltung. Spezifische Informationen, wie Ausgleichskonten und Bankdaten, können sowohl für die interne Kontrolle als auch für die Betrugsbekämpfung wichtig sein. Daher ist die Pflege bestimmter Lieferantenstammdatenfelder für die Finanzberichterstattung wichtig.
Wenn ein Unternehmen die Subkomponente Einkauf innerhalb der Materialwirtschaft (MM) verwendet, nutzt es in der Regel auch die Subkomponente zur zentralen Verwaltung von Lieferantenstammdaten mit spezifischen Berechtigungen für Buchhaltungsdetails. Kreditorendaten können auch direkt im FI verwaltet werden. Aufgrund der Funktionstrennung sollte die Erfassung und Pflege von buchhaltungsrelevanten Lieferantendaten getrennt von der Einkaufsfunktion erfolgen.
Änderungen an Bankenstammsätzen einschränken
Bankkontoinformationen sind sehr anfällig für Betrug. SAP ECC bietet eine Vielzahl von Mechanismen, um Änderungen an Bankenstammsätzen einzuschränken. Sie können Sicherheits- oder Berechtigungsberechtigungen festlegen, um Änderungen an einem Bankkonto, einem Kreditkontrollbereich und bestimmten Feldern im Kreditmanagement einzuschränken.
Wichtige Pflichtfelder definieren
Standardmäßig sind die Felder, die das System für die Geschäftsabwicklung oder die Stammdatenerfassung benötigt, nicht alle Felder, die für die vollständige Bearbeitung von Geschäftsvorfällen erforderlich sind.
Sie müssen Felder so konfigurieren, dass es Situationen gibt, in denen zusätzliche Informationen erforderlich sind, um ein hohes Maß an Datenintegrität zu gewährleisten. So können Sie beispielsweise die Eingabe im Feld Ausgleichskonto zwingend vorschreiben, so dass bei jeder Buchung automatisch eine Echtzeitbuchung auf das zugehörige Hauptbuchkonto erfolgt.
Validierungsprüfungen für Hauptbücher anlegen
Neben der Sicherstellung der Dateneingabe in bestimmte Felder validiert das System auch die Dateneingabe nach einfachen oder komplexen Kriterien. Während das System bereits viele Standard Editier- und Validierungsprüfungen enthält, können zusätzliche Validierungs- oder Substitutionsregeln die Kontrollen der Finanzberichterstattung stärken. Die Datenvalidierung für Hauptbucheinträge hilft, die Wahrscheinlichkeit von Fehlern zu begrenzen und kann die Möglichkeit von Betrug und Missbrauch reduzieren.
Angemessene Buchungstoleranzen festlegen
Ein guter Anfang ist die Verwendung von Toleranzgrenzen in SAP ECC. Durch die Definition von Toleranzen lassen sich Buchungen auf einen maximalen Betrag – Euro oder Prozentsatz – für einen einzelnen Beleg oder eine einzelne Position innerhalb eines Belegs begrenzen.
Wenn man eine Toleranz definiert und die Toleranzgruppe leer lässt, wird eine Regel erstellt, die für alle Benutzer gilt. Richten Sie dann eine Toleranzgruppe für eine begrenzte Anzahl von Benutzern ein, die in der Lage sind, die Standardgrenzen zu überschreiten, und beschränken Sie gleichzeitig diese Benutzer, eindeutig fehlerhafte Transaktionen zu buchen.
Die in einer SAP-Standardinstallation definierten Toleranzstufen sind wesentlich höher als die typischen Buchungen der meisten Unternehmen – in der Größenordnung von Hunderten von Millionen Euro – und deshalb achten Auditoren oft darauf, dass die Einstellungen gegenüber dem Standard geändert wurden.
Vorerfassung und Buchung implementieren
Um sicherzustellen, dass alle manuellen Buchungen im Hauptbuch eine Zweitprüfung erhalten, können Unternehmen eine Technik namens Vorerfassung und Buchung einsetzen. Um dies zu implementieren, konfigurieren Sie SAP ECC so, dass Benutzer, die die Möglichkeit haben, Hauptbucheinträge zu erstellen, nicht auch diese Einträge buchen können.
Eine zweite Gruppe sachkundiger Benutzer, die nicht in der Lage sind, Hauptbucheinträge zu erstellen, würde dann jeden vorerfassten Beleg überprüfen und die von ihnen für angemessen gehaltenen buchen. Damit die Technik effektiv ist – und die Auditprüfung besteht – muss der Überprüfungsprozess konsistent, zuverlässig und nicht nur formell sein.