Update

So schaffen Sie Vertrauen in SAP S/4 HANA


Antoine Wüthrich
Assurance Partner

Erik Trouillet
Assurance Senior Manager

Die neueste Version der ERP-Lösung von SAP umfasst nicht nur neue und leistungsfähigere Funktionen. Sie bietet Ihnen auch eine hervorragende Chance, Ihre Geschäftsprozesse und -strukturen zu überdenken. Doch damit das Potenzial dieser Lösung zu 100% der Weiterentwicklung Ihres Unternehmens zugutekommt, müssen sich Ihre Anspruchsgruppen mit SAP-Anwendungen auf die Informationen und Daten aus SAP S/4 HANA verlassen können. Das bedingt, dass Sie die richtigen Prozess- und IT-Kontrollen etablieren und an Ihre neue IT-Landschaft anpassen. Zudem gilt es, die Balance zwischen den regulatorischen und sicherheitsspezifischen Anforderungen und dem Aufwand für ein effektives und effizientes Funktionieren des Kontrollsystems auszutarieren.

Vertrauen rückt in den Mittelpunkt

Wenn es um die Integration von Prozessen, Finanzreporting, Strategieentscheidungen und die gesamte Wertschöpfungskette geht, spielt in vielen Unternehmen SAP eine Schlüsselrolle. SAP S/4 HANA als jüngste Version trägt zu einer stärkeren Prozessintegration bei, verändert die Businesslogik, optimiert das Datenmodell und ermöglicht ein noch schnelleres Reporting. Zudem enthält es eine Reihe neuer Technologien und Lösungen für den Zugriff, die Bearbeitung und Darstellung von Daten.

Zum Zeitpunkt der Lancierung von SAP S/4 HANA wurden auch diverse Gesetzgebungen zum Thema Datenschutz und andere Compliance Themen erlassen. So tritt zum Beispiel 2019/2020 das revidierte Schweizerische Datenschutzgesetz (SDG) in Kraft. Ähnlich wie die Datenschutz-Grundverordnung (DSGVO) der EU verschärft das DSG den Schutz der Daten und den Zugriff der richtigen Personen auf der richtigen Entscheidungsebene zur richtigen Zeit.

Im Kontext dieser veränderten Technologien, Vorschriften und Geschäftsprozesse müssen Sie Ihr bestehendes Kontrollsystem hinterfragen und anpassen. So bleiben auch die Informationen und Daten aus Ihrem neuen S/4-HANA-System vertrauenswürdig.

Abbildung 1: Mit SAP S/4-HANA verändern sich auch Ihre Kontrollmechanismen.

Kontrollen lassen sich grundsätzlich in zwei Kategorien einteilen: Anwendungs- und IT-Kontrollen. Letztere betreffen den Systembetrieb, also auch kritische Benutzerzugriffe innerhalb der gesamten IT. Anwendungskontrollen hingegen umfassen den Zugriff auf Geschäftsdaten, automatisierte konfigurierbare Kontrollen und manuelle Kontrollen.
IT-Kontrollen zielen darauf ab, die Integrität der Daten zu erhalten und Manipulationen auszuschliessen. Anwendungskontrollen stellen die Einhaltung der Geschäftsprozesse und regulatorischen Anforderungen sicher. Damit ein Kontrollsystem dem Unternehmen maximal nützt, muss es so ausgestaltet sein, dass die Prozesse eingehalten werden und die Nutzer den Kennzahlen vertrauen können – nicht nur, dass die externen Auditoren zufrieden sind. Für eine detaillierte Betrachtung nehmen wir nachfolgend spezifische Bereiche von SAP S/4 HANA unter die Lupe.

Weniger Aufwand dank konfigurierbarer Kontrollen

SAP S/4 HANA bietet verschiedene Möglichkeiten, Geschäftsprozesse zu verbessern und zu vereinfachen. Die meisten Unternehmen nutzen den Wechsel in zweierlei Hinsicht: Die einen nutzen neue Funktionen – etwa zur Optimierung des Return on Investment – als Chance, mit der Einführung von SAP S/4 HANA ihre Geschäftsprozesse zu transformieren; hier geht es also um eine Form des Change Managements. Die anderen reduzieren die Prozesskomplexität ihrer Altsysteme, holen also organisatorische Verbesserungen nach.

Zahlreiche neue Funktionalitäten von SAP S/4 HANA sind fakultativ. Andere hingegen sind obligatorisch und zwingen die Unternehmen, die Geschäftsprozesse anzupassen und ihre Kontrollen neu darauf auszurichten.

Die Auswirkungen auf automatisierte Kontrollen (die je nach Umfang der SAP S/4 HANA Lösung variieren) betreffen spezifische Bereiche, in denen SAP die Funktionalität geändert hat. Dazu einige Beispiele:

  • Neu wird die Funktion des Geschäftspartners verwendet. Diese vereint und ersetzt Kunden, Lieferanten und andere Partner in einer Funktion. Das wirkt sich direkt auf automatisierte und manuelle Kontrollen aus.
  • Automatisierte Kontrollen im Kreditmanagement
  • Integration des Moduls Finance (FI) und Controlling (CO) mit Auswirkungen auf die Reports für den Jahresabschluss

Die neue SAP-Funktionalität Central Finance birgt gewisse Risiken:

  • Korrektheit der Erstzuordnung von Geschäftsfällen und Konten sowie deren Verwaltung im Zeitverlauf
  • Überwachung und Fehlerbehandlung
  • Konfiguration mit Auswirkungen auf Transaktionen im Quell-/Zentralsystem
    - In der Quelle gebuchte Rechnungen können von Central Finance nicht bezahlt/verrechnet werden.
    - Hingegen können in Central Finance gebuchte Rechnungen in Central Finance bezahlt/verrechnet werden.

Unsere SAP-Experten haben bisher über 80 Änderungen identifiziert, weswegen die meisten Unternehmen mit der Einführung von SAP S/4 HANA ihre internen Kontrollen anpassen müssen. Wer den Wechsel zu SAP S/4 HANA als Gelegenheit nutzt, die Schlüsselprozesse zu überarbeiten, muss auch die Kontrollen hinsichtlich Abdeckung neuer oder angepasster Geschäftsrisiken grundlegend prüfen. Hier nur einige Beispiele von Veränderungen, bei denen ein Unternehmen sein Kontrolldesign neu bewerten muss:

  • Kontenplanstandardisierung: Zusammenführung von mehreren Kontenplänen zu einem einzigen Kontenplan
  • Standardisierung und Vereinfachung von Geschäftsprozessen (z. B. manuelle Buchungen, Verwendung von Dokumentenarten in Finanzen)
  • SAP-Berechtigung: Harmonisierung von Zugriffen/Rollen, die zu grösserer/geringerer Verlässlichkeit von Zugriffskontrollen führt
  • Einführung neuer Anwendungen wie beispielsweise Ariba, Successfactors, Concur, Central VIM oder Central Payment

Überprüfen Sie Ihr Kontrollumfeld

Der Wechsel auf SAP S/4 HANA ist im Weiteren eine Chance, das Kontrollumfeld zu vereinfachen. Dafür bietet SAP S/4 HANA diverse Optionen, etwa zur kontinuierlichen Kontrollüberwachung (über Fiori oder Embedded BW) und Betrugserkennung (beispielsweise über Leonardo oder Business Integrity Screening). Mit diesen Optionen lassen sich bestimmte manuelle detektive Kontrollen ersetzen.

Mit SAP S/4 HANA werden die Geschäftsprozesse weniger statisch. SAP wird weitere Versionen von S/4 HANA herausgeben, um ein möglichst breites Prozessspektrum abzudecken. Es werden zahllose weitere Fiori Apps zur Verfügung stehen und der Trend zu Cloudlösungen (wie Ariba, Successfactors, Concur und Fieldglass) wird sich fortsetzen. Sämtliche Änderungen werden sich direkt auf das Verhalten der Endbenutzer im System auswirken und könnten neue Risiken mit sich bringen. So wird es für die internen Kontrollexperten immer schwieriger, sich auf die Stabilität des Kontrollsystems und jährliche Überprüfungen zu verlassen.

Daher führen immer mehr Unternehmen Process-Mining-Funktionen ein. Damit überwachen sie die System- und Prozesskonformität der Endbenutzer. Einige Tools – zum Beispiel Process, Controls & Transaction Analytics (PCT) von PwC – helfen neue Geschäftsprozesspfade von Benutzern zu erkennen. Diese weisen darauf hin, dass Geschäftsprozesse wie etwa die SAP-Konfiguration verändert, neue Tools eingeführt oder erweitert wurden (z. B. Ariba, Concur oder Fieldglass); oder dass die Benutzer schlicht neue Wege finden und gehen.

Abbildung 2: Das Tool «Process, Controls & Transaction Analytics (PCT)» von PwC erkennt neue Benutzerpfade.

Process-Mining-Analysen sind die Grundlagen von Tools wie PCT für das Testen von relevanten Kontrollen. Werden Kontrolllücken festgestellt, analysiert das Tool automatisch die Businesstransaktionen. So bewertet es nicht nur das Problem qualitativ und quantitativ, sondern ermittelt auch die Ursachen und entsprechende Massnahmen.

Kontrollüberwachungstools der nächsten Generation verfügen zudem über Fähigkeiten der künstlichen Intelligenz (KI). Geschäftsanwendungskontrollen, die bisher schriftlich geregelt wurden (z.B. ein Report mit einer Liste aller Lieferanten, die von derselben Person angelegt und genehmigt wurden), werden durch KI erweitert. Das KI-Tool erkennt automatisch ungewöhnliches oder neues Benutzerverhalten. Es fordert die für interne Kontrollen Verantwortlichen auf, das neue Verhalten zu akzeptieren oder abzulehnen. Dies erweitert automatisch das Regelwerk und die regelmässigen Kontrollen.

Daten durch Zugriffsregelung schützen

Die Verwaltung von Zugriffsrechten ist keineswegs trivial. Sie muss sicherstellen, dass die Mitarbeiter ihre Aufgaben ausführen können und dass gleichzeitig die relevanten Datenschutzvorschriften und regulatorischen Anforderungen gewährleistet sind. Die Einführung von SAP S/4 HANA greift substanziell in die gesamte IT-Systemarchitektur ein. Daher gilt es, Aspekte der SAP-Compliance und Zugriffsregelung zu bedenken und die betroffenen Teams einzubeziehen.

Bei der klassischen SAP ERP Lösung greifen die Benutzer über die Benutzeroberfläche (SAP GUI) auf das System zu. Einige Kunden dürften auch SAP Business Warehouse (BW) nutzen. So müssen zwei Berechtigungskonzepte umgesetzt und abgesichert werden (klassisches ERP und BW).

IT-Systemarchitektur (vereinfacht) mit einer klassischen ERP-Lösung

Abbildung 3: IT-Systemarchitektur (vereinfacht) mit einer klassischen ERP-Lösung

 

Unter SAP S/4 HANA kommt das Potenzial der Lösung nur durch den Einsatz von Fiori und BW Tools voll zum Tragen und entlockt dem Reporting einen maximalen Nutzen. Allerdings wird es dadurch schwieriger, den Benutzerzugriff effizient und regelkonform zu verwalten und alle regulatorischen Anforderungen zu erfüllen.

 

IT-Systemarchitektur (vereinfacht) mit SAP S/4 HANA

Abbildung 4: IT-Systemarchitektur (vereinfacht) mit SAP S/4 HANA

Die neue IT-Architektur mit SAP S/4 HANA verlangt nun ein systemübergreifendes und durchgängiges Berechtigungskonzept von mobilen Lösungen über Fiori, SAP S/4 HANA, Embedded BW bis zur SAP-HANA-Plattform. Dieses Konzept muss sicherstellen, dass der Benutzer immer dieselben Unternehmensdaten sieht, ganz gleich über welchen Kanal er zugreift.

Eine regelkonforme Benutzer- und Zugriffsverwaltung mit SAP S/4 HANA enthält die folgenden Bausteine:

  • Repository mit regulatorischen Anforderungen
    Dokumentieren Sie die regulatorischen und operativen Anforderungen an Benutzerrechte und Datenschutz in einem zentralen Repository. Das für die Zugriffsverwaltung zuständige Team muss auf das Repository zugreifen und dieses beispielsweise auch direkt zur Überwachung der Konformität verwenden können.
  • Einheitliches SAP-Berechtigungskonzept für alle Systeme
    Entwickeln Sie ein zentrales, abgestimmtes SAP-Berechtigungskonzept, das den Zugriff auf Daten in SAP S/4 HANA für alle Systeme und Lösungen abdeckt.
  • Businessrollen verwenden
    Verwalten Sie den Benutzerzugriff systemübergreifend mit sogenannten Businessrollen. Diese stellen eine Jobfunktion dar und enthalten die notwendigen Zugriffsrechte in den verschiedenen Systemen zur Ausführung des Jobs. Mit solchen Businessrollen senken Sie das Risiko, dass ein Benutzer zusätzliches Zugriffsrecht auf einen Buchungskreis erhält, das er nicht haben sollte. Gleichzeitig ist es einfacher für die Anwender, Benutzerrollen anhand von Jobfunktionen zu beantragen.
  • Lösungen zur Complianceprüfung einsetzen
    SAP S/4 HANA enthält bereits einige Lösungen zur Überprüfung der Zugriffskonformität. Sie erfordern jedoch oft manuelle Eingaben und stellen kein Repository für regulatorische Anforderungen bereit. Manuelle Konformitätsüberprüfungen in der Zugriffsverwaltung sind zeitaufwendig und ineffizient. Darum empfehlen wir, funktionale Anforderungen an eine effiziente Complianceprüfung in der Zugriffsverwaltung zu sammeln, die Funktionalität bestehender Lösungen im Unternehmen zu analysieren, effizienter zu nutzen und bei Bedarf alternative Lösungen zu prüfen.

SAP Compliance und ein regelkonformes Berechtigungskonzept nach einem Projekt zu etablieren, ist sehr kostspielig. Beispielsweise muss die Testphase nochmals durchgeführt werden und der laufende Betrieb wird beeinflusst. Wird das Thema frühzeitig im Projekt berücksichtigt, wirkt sich das positiv auf den Erfolg des Go-Lives von SAP S/4 HANA aus: Das Zugriffskonzept lässt sich betrieblich effizient gestalten und die regulatorischen, operativen und Datenschutzanforderungen werden eingehalten.
 

Mit Reportingfunktionen Kontrollreports effektiver gestalten

Kontrollreports zu erstellen (z.B. eine Auflistung aller Zahlungen von über CHF 1 Million) und diese dann manuell zu prüfen, ist nicht immer effizient. Viel effektiver und nachhaltiger ist der Einsatz konfigurierbarer und automatischer Kontrollen. Dennoch stehen für viele Fälle keine konfigurierbaren Kontrollen zur Verfügung oder sind nur mit zusätzlichen Tools von externen Anbietern möglich.

Dashboard für eine effiziente Kontrollüberwachung

Abbildung 5: Dashboard für eine effiziente Kontrollüberwachung

SAP S/4 HANA bietet mit dem Embedded BW und mit BW-Tools wie Lumira und der HANA-Plattform eine breitere Palette von Reportingfunktionen.

Konflikte bei der Aufgabentrennung (Segregation of Duties, SoD) lassen sich auf zwei Wegen ermitteln: Entweder werden die Zugriffsrechte des Benutzers analysiert, was noch keine Aussage ermöglicht, ob der SoD auf demselben Geschäftsvorfall stattgefunden hat. Oder es wird mit der Reportingfunktionalität in Echtzeit geprüft, ob ein und dieselbe Person bei einem Geschäftsvorfall einen SoD-Konflikt begangen hat. 

Mit der klassischen SAP ERP Lösung war es nicht oder nur mit hohen Investitionen möglich, eine so grosse Datenmenge über mehrere Tabellen hinweg zu analysieren. Mit SAP S/4 HANA ist es neben der Überprüfung von SoD-Konflikten möglich, den tatsächlichen Missbrauch von Aufgaben zu analysieren. Sie können also präventive SoD-Benutzerzugriffsprüfungen mit dem Transaktionskontrollreporting kombinieren. So erhalten Sie ein vollständiges Bild und reduzieren die Kontrolltätigkeit der Benutzerzugriffsprüfung. Die Nutzung der Reportingfunktionen für Kontrollen erhöht das Vertrauen in Daten und Businesstransaktionen zusätzlich.

Zusammenfassung

Geschäftsleitung und Verwaltungsrat müssen den Zahlen aus den IT-Systemen vertrauen können. Ihr Kontrollsystem muss veränderte Prozesse und Systeme berücksichtigen. Weiter müssen die regulatorischen und sicherheitsspezifischen Anforderungen und der für ein effektives und effizientes Funktionieren des Kontrollsystems erforderliche Aufwand ausgewogen sein. Dazu gibt es viele nützliche Vorlagen und Erfahrungen. Die Einführung von SAP S/4 HANA macht das Management des Kontrollsystems zwar komplexer wenn man nach denselben Prinzipien arbeitet wie mit SAP ERP. Nutzt Ihr Unternehmen jedoch neue Funktionalitäten, neue Reportingmöglichkeiten und adaptiert das Kontrollsystem an die neue Gegebenheit, wird das Management des Kontrollsystems einfacher.

Aus zahlreichen Kundenprojekten wissen wir, dass die spätere Einführung von Kontrollen und Sicherheiten nach dem Rollout von SAP S/4 HANA aufwendig wird und auf Widerstand stossen kann. Übernimmt das Unternehmen ein neues System, ohne die bestehenden Kontrollen oder SAP-Zugriffe zu hinterfragen und anzupassen, sind Probleme vorprogrammiert – nicht nur aufgrund der neuen IT-Systemarchitektur, sondern auch wegen der steigenden regulatorischen Anforderungen. Die Konsequenzen sind mehrfach: aufwendige Folgeprojekte zur Ergänzung oder Entwicklung geeigneter Korrekturmassnahmen zur Reduktion von Ineffizienzen in den Geschäftsprozessen, zur Reduktion des erhöhten Betrugsrisikos und zur Korrektur falscher Daten. Das Management muss daher sicherstellen, dass Aspekte der SAP-Compliance, Sicherheit und Kontrollen in einem SAP S/4 HANA Projekt von Anfang an berücksichtigt werden. Der Verwaltungsrat seinerseits muss immer wieder hinterfragen, ob er sich auf die Daten und Reports verlassen kann und mit welchen Massnahmen das Unternehmen die Integrität gewährleistet. Nur so gewinnt Ihr Unternehmen aus der Einführung von SAP S/4 HANA einen maximalen Mehrwert.

Kontaktieren Sie uns

Antoine Wüthrich

Antoine Wüthrich

Leader ERP & Business Process Excellence, PwC Switzerland

Tel.: +41 58 792 82 27