Funktionstrennung (Segregation of Duties, auch Separation of Duties) ist im Hinblick auf ERP-Systeme wie SAP ein absoluter Dauerbrenner, denn die Funktionstrennung ist elementarer Bestandteil jedes internen Kontrollsystems. Der heutige Blog Post soll Ihnen Hilfestellung geben, um einschätzen zu können, wie gut Sie in Ihrem Unternehmen bei diesem Thema sind. Ich möchte Ihnen ein Reifegradmodell für die Funktionstrennung vorstellen, welches Sie auch für eine eigene Bewertung Ihrer Firma nutzen können!
Wie entstehen Funktionstrennungen?
Viele Firmen verlassen sich auf betriebswirtschaftliche Standardsoftware, wenn es darum geht, Geschäftsprozesse zu implementieren und betriebswirtschaftliche Daten entlang der Wertschöpfungskette zu integrieren. Dabei ist das Vertrauen in die Systeme nur zu rechtfertigen, sofern diese ausreichend gesichert sind. Um die Systemsicherheit zu gewährleisten, ist u. a. ein Berechtigungskonzept erforderlich, das eine sorgfältig implementierte Funktionstrennung vorsieht. Viele Unternehmen haben Schwierigkeiten, Funktionstrennung geeignet zu implementieren. Eine wesentliche Ursache liegt in der inhärenten Komplexität der ERP-Systeme begründet. Der umfassende Anwendungsbereich und der hohe Grad der Prozessintegration erfordern nicht nur ausgeprägtes betriebswirtschaftliches Prozessverständnis, sondern auch systemspezifisches Know-how. Die hohe Komplexität der Funktionstrennung, das gesteigerte Qualitätsbewusstsein sowie die Forderung nach einem möglichst effizienten Vorgehen lassen den Ruf nach Standards und Bewertungsmethoden für die Funktionstrennung lauter werden. Durch den Einsatz von Reifegradmodellen ist es möglich, die Qualität von Funktionstrennung zu messen. Anhand des erreichten Reifegrades wird für das Management und andere Interessensvertreter deutlich, inwieweit das Unternehmen die Fähigkeit besitzt, Funktionstrennungen in ERP-Systemen erfolgreich umzusetzen. Durch die Definition der Reifegrade wird festgelegt, was als „Good Practice“ zu bezeichnen ist. Ein Reifegradmodell ist somit nicht nur ein Ansatz zur Bewertung, sondern dient außerdem als Rahmen für eine kontinuierliche Verbesserung der Prozesse. In diesem Beitrag wird ein Reifegradmodell für die Funktionstrennung entwickelt, welches als Grundlage für das Management der Zugriffsberechtigungen genutzt werden kann.
Die Grundlagen für Segregation of Duties
Voraussetzung für einen ordnungsgemäßen Betrieb einer betriebswirtschaftlichen Anwendung ist die Vergabe von Benutzerrechten auf Basis eines Berechtigungskonzepts. Im Berechtigungskonzept sollte vorgesehen sein, dass nur notwendige Berechtigungen an die Benutzer vergeben werden, um unberechtigte Zugriffe auf ein System zu vermeiden. So sieht der IDW RS FAIT 1) vor: „Mitarbeitern sind nur die Berechtigungen zu erteilen, die zur Wahrnehmung ihrer Aufgaben erforderlich sind“ (FAIT 1, Tz. 84). In Praxis werden Benutzerrechte anhand von Benutzerrollen vergeben, die jeweils die Rechte aufgabenorientiert bündeln sollten. Im Rahmen der Berechtigungspflege fungiert eine Rolle somit als Verwaltungseinheit.
Die Funktionstrennung stellt einen bestimmten Aspekt des Berechtigungskonzeptes dar. Abgesehen von der Aufgabenwahrnehmung durch die Mitarbeiter wird hier berücksichtigt, dass die wahrzunehmenden Aufgaben bzw. die dazu benötigten Funktionen nicht in einem konfliktären Verhältnis zueinanderstehen. Die Einhaltung von Funktionstrennungsaspekten wird insbesondere auch von den Global Technology Audit Guides (GTAG) vom Institute of Internal Auditors gefordert (insbesondere IIA 2007; GTAG 9: Identity and Access Management, S. 7).
Ursprünglich stammt das Prinzip der Funktionstrennung aus der Organisationstheorie und ist besser bekannt unter der Bezeichnung „Vier-Augen-Prinzip“. Ziel des „Vier-Augen-Prinzips“ ist es, Fehler und Missbrauch bei kritischen Tätigkeiten zu verhindern. Inzwischen ist die Funktionstrennung, oder englisch Segregation / Seperation of Duties (SoD), v. a. als ein grundlegendes Prinzip der Computer-Sicherheit bekannt, auch wenn der explizite Verweis auf die Informationstechnologie in den meisten Fällen fehlt. In seiner einfachsten Form besagt dieses Prinzip, dass eine sensible Aufgabe in zwei Schritte zu unterteilen ist, die von unterschiedlichen Personen vorgenommen werden. Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) definiert Funktionstrennung als Kontrollaktivitäten, durch die gewährleistet wird, dass genehmigende, ausführende, verwaltende und abrechnende Funktionen durch unterschiedliche Personen wahrgenommen werden. Ein typisches Beispiel für eine erforderliche Funktionstrennung ist die Pflege der Kreditorenstammdaten einerseits, sowie das Erfassen von Ausgangszahlungen andererseits. Um zu vermeiden, dass bspw. für Ausgangszahlungen die Bankverbindungen bestimmter Kreditoren manipuliert werden, sind die entsprechenden Berechtigungen an unterschiedliche Personen zu vergeben.
Reifegradmodelle haben ihre Wurzeln im Bereich Qualitätsmanagement. Dabei wird das Konzept zur Qualitätsmessung und als Ansatz zur permanenten Verbesserung genutzt. Die Anwendungsbereiche solcher Modelle sind inzwischen vielfältig. Die Idee des Reifegradmodells besteht darin, die typischen Eigenschaften einer Organisation hinsichtlich eines bestimmten Anwendungsbereiches auf unterschiedlichen Reifegraden zu beschreiben. Dadurch wird deutlich, was bezogen auf den Anwendungsbereich als „Good practice“ bzw. „Bad Practice“ zu bezeichnen ist und wie sich die Abstufungen dazwischen darstellen. Das vielleicht bekannteste Reifegradmodell ist das Capability Maturity Model (CMM) zur Softwareentwicklung. Es wurde bereits 1991 vom Software Engineering Institut (SEI) in der Version 1.0 vorgelegt. Inzwischen wurden vom SEI zusätzliche Referenzmodelle für den Produkteinkauf sowie die Erbringung von Dienstleistungen entwickelt. Allen Modellen sind die Struktur und der inhaltliche Kern gemein. In jedem Modell sind Prozessgebiete definiert. Die Prozessgebiete umfassen Ziele und bewährte Praktiken zur Erreichung dieser Ziele. Alle Praktiken werden weiterhin durch typische Arbeitsschritte und zugehörige Arbeitsergebnisse näher erläutert. Ein weiteres bekanntes Reifegradmodell ist das Business Process Maturity Model (BPMM). Mit diesem Ansatz leistet die Object Management Group (OMG) einen Beitrag zur Bewertung des Prozessmanagements. Das BPMM grenzt sich dahingehend zum CMM ab, dass der Schwerpunkt eindeutig auf der Prozessorientierung des zu bewertenden Anwendungsbereiches liegt. Das CMM hingegen legt den Fokus eher auf die Projektorganisation. Durch die Prozessorientierung ist das BPMM in seiner Anwendung hinsichtlich der Wertschöpfungskette nicht auf ein Unternehmen begrenzt, sondern kann auch unternehmensübergreifend verwendet werden.
Reifegradmodell für die Funktionstrennung
Bei der Entwicklung eines Reifegradmodells ist zunächst ein bestimmter Modelltyp auszuwählen. In der Literatur werden Reifegrad-Raster, Likert-Fragebogen, Hybride Modelle (Kombination aus Reifegrad-Raster und Likert-Fragebogen) und CMM-Modelle unterschieden. Das im Folgenden vorgestellte Reifegradmodell basiert auf dem sog. Likert-Fragebogen. Der Likert-Fragebogen zeichnet sich im Gegensatz zu den anderen Modellen v. a. durch seine geringe Komplexität und einfache Handhabung sowie eine gute Mischung aus Detaillierungsgrad und Präzision aus. Diese Eigenschaften können bei der Anwendung eines solchen Modells für den Erfolg ausschlaggebend sein.
Im ersten Schritt ist die Anzahl der Reifegrade zu bestimmen. Grundsätzlich kann hier eine beliebige Anzahl gewählt werden. In der Regel besitzen die Modelle zwischen drei und sechs Reifegraden. Wir haben uns für fünf Reifegrade entschieden. In einem zweiten Schritt werden Kriterien entwickelt, die zur Bewertung der verschiedenen Reifegrade verwendet werden können. Bei einem Likert-Fragebogen werden die Kriterien anhand von Fragen bemessen. Dabei können die Skalierungen, die zur Beantwortung der Fragen zur Verfügung stehen, abweichen. Die Anzahl der Komplexitätsgrade reicht in unserem Modell je nach Frage von zwei bis fünf. Insgesamt wurden 31 Fragen entwickelt, um den Reifegrad der Funktionstrennung bei betriebswirtschaftlicher Standardsoftware zu ermitteln. Zur besseren Strukturierung des Reifegradmodells werden die Kriterien den Kategorien Regelwerk, Kontrolldurchführung, SoD-Reporting und organisatorische Rahmenbedingungen zugeordnet. Bei der Ermittlung der Reifegrade können grundsätzlich zwei Verfahren unterschieden werden. Zum einen gibt es die Möglichkeit, die Kriterien anhand eines Scoring-Modells zu quantifizieren. Die Zuweisung eines bestimmten Reifegrades erfolgt in diesem Fall aufgrund der ermittelten Punkte. Zum anderen gibt es ein Verfahren, das in der Literatur als „staged“ bezeichnet wird. Hier wird zu jedem Reifegrad angegeben, welche Kriterien mindestens erfüllt sein müssen bzw. in welchem Komplexitätsgrad diese Kriterien mindestens vorliegen müssen. Hinsichtlich der Abstufung der Reifegrade sind die Definitionen so zu verstehen, dass ein Reifegrad immer auch alle Kriterien der darunterliegenden Reifegrade voll erfüllen muss. In unserem Reifegradmodell wird Letzteres verwendet. Im Folgenden werden zunächst die vier Kategorien und die ihnen zugeordneten Kriterien näher erläutert.
Kategorie „Regelwerk“
Das Regelwerk ist die Basis für die SoD-Analyse. Hier werden die zu berücksichtigenden Funktionstrennungen definiert. Sie bilden die Gestaltungsprinzipien für das Design der SoD-Kontrollen. Die Qualität der Funktionstrennung bei betriebswirtschaftlicher Standardsoftware hängt demnach v. a. vom verwendeten Regelwerk ab. Dabei spielen bestimmte Eigenschaften des Regelwerks eine Rolle, die als Kriterien für das Reifegradmodell herangezogen werden können. Dazu gehört die Vollständigkeit des Regelwerks. Bei einer SoD-Analyse können schließlich nur die Konflikte gefunden werden, die vorab auch definiert wurden. Ein weiteres Kriterium neben der Vollständigkeit ist die Aktualität des Regelwerks. Ausgehend von der Risikoidentifikation ist das Regelwerk kontinuierlich hinsichtlich seiner Vollständigkeit und Richtigkeit zu überprüfen, um die Qualität des SoD-Prozesses zu gewährleisten. Dementsprechend ist die Entwicklung einer SoD Matrix auch als permanente Aufgabe zu verstehen. Ein weiterer Aspekt ist die Systemkompatibilität des jeweiligen Regelwerks. Dabei geht es um die Zuordnung der einzelnen Funktionen aus dem Regelwerk zu den entsprechenden Funktionen bzw. Transaktionen des relevanten ERP-Systems. V. a. bei größeren Konzernen mit heterogener IT-Systemlandschaft kann es erforderlich sein, das Regelwerk auf mehrere Systeme anzuwenden, um die Funktionstrennungen vollständig zu gewährleisten. Insgesamt haben wir vier Fragen formuliert, um den Reifegrad der Funktionstrennung für die Kategorie Regelwerk zu bestimmen. Als Maßeinheit (ME) wird entweder die Existenz oder der Komplexitätsgrad (Kgr) verwendet.
Kategorie „Kontrolldurchführung“
In der Kategorie Kontrolldurchführung werden die Kriterien zusammengefasst, die sich mit Richtlinien und Verfahren zur Bewältigung der identifizierten Risiken auseinandersetzen. Den Phasen des SoD-Prozesses folgend lässt sich anhand dieser Kriterien beurteilen, inwiefern die Einhaltung des zuvor definierten Regelwerks mit Hilfe der verschiedenen Kontrollen überprüft wird. Dabei lassen sich im Wesentlichen drei Kriterien unterscheiden, welche zur Messung des Reifegrades der Kontrolldurchführung heranzuziehen sind: der Zeitpunkt, die Art der Kontrolldurchführung sowie die Häufigkeit.
Hinsichtlich des Zeitpunkts der Kontrolldurchführung lassen sich präventive und detektive Kontrollen unterscheiden. So kann mit Hilfe einer Kontrolle entweder verhindert werden, dass das Risiko überhaupt eintritt (ex ante), oder aber im Nachhinein festgestellt werden, ob ein Risiko möglicherweise eingetreten ist (ex post). Idealerweise sollten sich detektive und präventive Kontrollaktivitäten ergänzen, um einen kontinuierlichen Verbesserungsprozess der SoD-Kontrollen zu ermöglichen. Dabei werden die Prozessschwachstellen, die durch detektive Kontrollen aufgedeckt wurden, mit Hilfe der präventiven Kontrollen nachhaltig beseitigt. Durch dieses Zusammenspiel können nicht nur einzelne Unregelmäßigkeiten identifiziert und korrigiert, sondern auch die vorbeugenden Maßnahmen kontinuierlich optimiert werden. Langfristig wird die detektivisch ermittelte Fehlerquote dadurch deutlich reduziert. Dementsprechend können im Sinne einer präventiven Kontrolle den Mitarbeitern bspw. nur die Berechtigungskombinationen zugeteilt werden, die keine Funktionstrennungskonflikte enthalten. In der Praxis kommen bei der Berechtigungsverwaltung in ERP-Systemen überwiegend Rollenkonzepte zum Einsatz. In einer Rolle werden die Berechtigungen zusammengefasst, die zur Bearbeitung einer Aufgabe erforderlich sind. Diese Form der Berechtigungsvergabe ist weniger arbeitsaufwendig und reduziert somit die Fehlerquote im Rahmen der Berechtigungsadministration. In diesem Fall könnte eine präventive Kontrolle bspw. so ausgestaltet sein, dass sich nur Funktionen zu Rollen zusammenfassen lassen, die keine Konflikte enthalten. Auch bei der Pflege der Berechtigungen sind präventive Kontrollen denkbar. Diese bestehen z. B. darin, dass sich nur Funktionen zu Rollen zusammenfassen lassen, die keine Konflikte enthalten. Bei der kompensierenden Kontrolle handelt es sich um einen Spezialfall der detektiven bzw. präventiven Kontrolle. Sofern eine im Regelwerk vorgesehene Kontrolle nicht umsetzbar ist, kann es sinnvoll sein, eine kompensierende Kontrolle durchzuführen, um das durch den Wegfall der ursprünglichen Kontrolle entstandene Risiko zu minimieren. Im Gegensatz zur Prüfung der Berechtigungen können bei den Stamm- und Transaktionsdaten eines ERP-Systems in erster Linie detektivische Kontrollen durchgeführt werden. Die Analyse der Stamm- und Transaktionsdaten ist erforderlich, um sowohl einen möglichen Missbrauch von falsch ausgestalteten Berechtigungen zu prüfen als auch um Fehler bzw. Missbrauch bei kritischen Einzelberechtigungen festzustellen (Ex-Post Analyse). Es wird also nicht untersucht, was ein Mitarbeiter tun könnte, sondern was er getan hat. Auf diese Weise werden Prozessschritte identifiziert, die nicht konform zum definierten Regelwerk durchgeführt wurden. Ein Beispiel für eine mögliche Prozessanomalie im Einkauf ist die Freigabe einer Bestellung und der dazugehörigen Rechnung durch die gleiche Person. Bei regelmäßiger Durchführung der Stamm- und Transaktionsdatenanalyse lassen sich eingetretene Regelverstöße zeitnah aufdecken und korrigieren. Darüber hinaus können mit Hilfe dieser Analysen systematische Schwachstellen in den Prozessen beseitigt werden.
| ERP-System | ||
| Berechtigungen | Stamm-und Transaktionsdaten | |
| Präventive Kontrollen | Detektive Kontrollen | Detektive Kontrollen |
Ein weiteres Merkmal ist die Art der Kontrolldurchführung. So kann zwischen manuellen und automatischen Kontrollen unterschieden werden. Gerade bei SoD-Kontrollen bietet sich ein automatisiertes Vorgehen an. Hierfür lassen sich im Wesentlichen zwei Gründe anführen. Zum einen handelt es sich aufgrund der inhärenten Komplexität von ERP-Systemen häufig um sehr umfangreiche Regelwerke, was bei der Umsetzung der Kontrollen zu berücksichtigen ist. Zum anderen kann die Durchführung der SoD-Kontrollen als sehr strukturiertes Vorgehen bezeichnet werden, bei dem sich eine Automatisierung geradezu anbietet. Durch die Verwendung automatischer Kontrollen wird einerseits die Effizienz gesteigert, andererseits lässt sich die Fehlerquote, die bei einer manuellen Überprüfung eines komplexen Regelwerks aufgrund menschlichen Versagens verhältnismäßig hoch ist, deutlich reduzieren. Zur Automatisierung der Kontrollaktivitäten bietet sich grundsätzlich der Einsatz von Software zur Prüfung der Berechtigungen bei betriebswirtschaftlicher Standardsoftware an. Mit Hilfe dieser Anwendungen kann bspw. ein automatischer Abgleich der vergebenen Berechtigungen mit den definierten Funktionstrennungen vorgenommen werden, um ggf. vorhandene Funktionstrennungskonflikte zu identifizieren.
Unabhängig davon, ob es sich um präventive, detektive, manuelle oder automatische Kontrollen handelt, ist es für die nachhaltige Umsetzung der Funktionstrennung entscheidend, dass die Kontrollaktivitäten regelmäßig und nicht einmalig ausgeführt werden. Denn das Berechtigungsmanagement ist aufgrund von personellen Veränderungen sowie Prozessanpassungen und damit verbundenen Weiterentwicklungen der betriebswirtschaftlichen Standardsoftware ebenfalls ein Bereich, der permanenten Veränderungen unterliegt. Um eine Aussage über die aktuellen Funktionstrennungskonflikte machen zu können und um mögliche Konflikte zeitnah beseitigen zu können, müssen die Funktionstrennungen kontinuierlich überprüft werden
Kategorie „SoD-Reporting“
Die Kategorie SoD-Reporting umfasst sowohl Kriterien, die die Aufbereitung der Analyseergebnisse beschreiben, als auch Kriterien, welche die Bereinigung der identifizierten Funktionstrennungskonflikte adressieren. Es geht bei dieser Kategorie somit auch um die nachhaltige Umsetzung des definierten Regelwerks. Werden bspw. die Ergebnisse der letzten SoD-Analysen miteinander verglichen, lässt sich der Erfolg bzw. Misserfolg der SoD-Aktivitäten im Zeitablauf erkennen. Dies berücksichtigt auch die zeitnahe Beseitigung der identifizierten Konflikte. Dadurch können Indikatoren für mögliche Prozessverbesserungen erkannt werden. Um die Beseitigung der aufgezeigten Schwachstellen strukturiert anzugehen, ist es darüber hinaus sinnvoll, eine Priorisierung der einzelnen Funktionstrennungskonflikte vorzunehmen. Dies geschieht im Idealfall durch eine Risikobewertung der verschiedenen SoD-Konflikte. Dabei ist es wichtig, diese Risikowerte gemäß des Risikomanagementprozesses bei Änderungen des Regelwerks zu hinterfragen und ggf. anzupassen. In Abhängigkeit von den ermittelten Risikowerten sollten Eskalationsmechanismen implementiert sein, die eine Beseitigung der bewerteten Konflikte veranlassen. Es ist sinnvoll, eine Differenzierung der Eskalationsmechanismen unter Berücksichtigung der ermittelten Risikowerte sowie der zeitlichen Entwicklung vorzunehmen. Bspw. ist bei Konflikten, die einen hohen Risikowert aufweisen und bereits über einen längeren Zeitraum bestehen, eine hohe Eskalationsstufe zu wählen, um die Beseitigung mit der entsprechenden Priorität zu initiieren.
Die Ergänzung des Berichtswesens um Kennzahlen zur Prozessverbesserung, z. B. Anzahl der doppelten Zahlungen, erhöht die Akzeptanz eines SoD-Prozesses v. a. bei den Geschäftsbereichsverantwortlichen. Die Fachbereiche bekommen durch diese Kennzahlen neue Einblicke in ihre Geschäftsprozesse. Der daraus resultierende Mehrwert des Reportings sorgt dafür, dass gerade im Hinblick auf das Reifegradmodell eine Institutionalisierung des SoD-Prozesses innerhalb des Unternehmens forciert wird.
Kategorie „Organisatorisches Umfeld“
Bei den Kriterien, die unter der Kategorie „Organisatorisches Umfeld“ zusammengefasst sind, geht es primär darum, das Bewusstsein für das Thema Prozesssicherheit innerhalb des jeweiligen Unternehmens zu bewerten. Diese Kategorie spielt eine große Rolle für die Qualität bei der Durchführung von SoD-Prozessen, da an ihr deutlich wird, inwieweit die Mitarbeiter einer Organisation die Bedeutung der Thematik verinnerlicht haben und dies durch ihre tägliche Arbeit dokumentieren. Auch wenn sog. Computer Assisted Audit Techniques (CAAT) zum Einsatz kommen, um die bereits oben erwähnte Automatisierung der SoD-Aktivitäten zu unterstützen, ist der Einsatz der Mitarbeiter an vielen Stellen immer noch unerlässlich. Denn letztlich sind alle Regelwerke, Kontrollen und Reportings nur so gut wie die Mitarbeiter, die für ihre Konzeption und Umsetzung zuständig sind.
Ein Kriterium zur Bewertung des Reifegrades stellt aus organisatorischer Sicht die Regelung der Verantwortlichkeit dar. Diese gestaltet sich beim Thema Funktionstrennung oftmals problematisch. Typischerweise sind die Mitarbeiter der IT-Abteilung für das Thema „ERP-Sicherheit“ zuständig. Da sie aber nicht Eigentümer der operativen Prozesse sind können sie nur unzureichend beurteilen, wem welche Rechte zuzuweisen sind bzw. wo mögliche Konflikte auftreten können. Den Mitarbeitern der Fachbereiche als Geschäftsprozesseigentümer fehlt i. d. R. das technische Verständnis für die Pflege, Vergabe und Prüfung der Berechtigungen. Daher ist die Funktionstrennung bei betriebswirtschaftlicher Standardsoftware auch eine Aufgabe, die abteilungsübergreifend im Unternehmen verankert sein sollte. Dieser integrative Charakter zeigt sich auch in einem aus Prüfungssicht ordnungsgemäß implementierten Berechtigungsvergabeprozess. Hier liegt die Verantwortung für die Vergabe der Berechtigungen beim jeweiligen Fachvorgesetzten, die Umsetzung erfolgt aufgrund der technischen Komplexität durch die Mitarbeiter der IT-Abteilung. Auch in diesem Prozess sollte also eine gelebte Funktionstrennung zum Ausdruck kommen. Sofern es zu Rollenänderungen im ERP-System kommt, ist eine Zustimmung des Fachvorgesetzten aufgrund der weitreichenden Konsequenzen nicht ausreichend. Für diese Zwecke sind gemäß des Data-Owner-Konzepts sog. Rolleneigner zu definieren, die aufgrund ihrer Kompetenz die Notwendigkeit und die Folgen einer Rollenänderung beurteilen können. Als Rolleneigner kommen leitende Mitarbeiter in Frage, deren Daten zum überwiegenden Teil durch die spezifische Rolle geändert oder ausgelesen werden.
Weitere Kriterien, die Aufschluss über die Wahrnehmung der Aufgabe der Funktionstrennung geben können, sind die Definition von Zielvorgaben sowie die Einbindung der Unternehmensleitung. Sofern sich das Management regelmäßig über die Entwicklung der SoD-Konflikte informiert, kann auf eine erhöhte Priorität dieses Themas innerhalb des Unternehmens geschlossen werden. Vor allem hinsichtlich der Mängelbeseitigung ist eine Unterstützung durch die Unternehmensleitung erforderlich, da derartige Veränderungsprozesse innerhalb des Unternehmens häufig auf Widerstände stoßen. Indem das Management diesem Thema eine erhöhte Aufmerksamkeit widmet, kann es die Einstellung der Mitarbeiter positiv beeinflussen. Werden darüber hinaus Anreize zur Erreichung von Zielvorgaben gesetzt, bspw. durch Prämienzahlungen, die an Kennzahlen gebunden sind, verleiht dieses dem Interesse der Unternehmensleitung an dem Thema Funktionstrennung deutlichen Nachdruck. Des Weiteren kommt dadurch die Intention zum Ausdruck, sich hinsichtlich der Funktionstrennung kontinuierlich verbessern zu wollen. Ein prozessorientiertes Anreiz-System ist ein Indikator für eine ausgereifte Organisation.
In zap Audit ist ein umfangreiches Regelwerk für die Analyse der tatsächlichen Funktionstrennungen in SAP enthalten. Damit zeigen wir Ihnen nicht, was passieren könnte und kein wenn und aber, sondern stattgefundene Funktionstrennung auf Grundlage Ihrer SAP Daten. Mit diesem Vorgehen sind wir absolut einzigartig am Markt.
Im nächsten Blog Post erfahren Sie mehr über die Reifegrade und erhalten auf Wunsch 31 Fragen für ein Self-Assessment.
Dieser Beitrag erschien als Langversion in der Zeitschrift für Interne Revision ZIR 3/10.
