SAP S/4HANA-Migration zur Digitalisierung des internen Kontrollsystems nutzen

Unternehmen stehen heute wirtschaftlicher Unsicherheit, Cybergefahren, Lücken in der Lieferkette und sich rasch ändernden regulatorischen Anforderungen gegenüber. In dieser komplexen Risikolandschaft hilft ein wirksames internes Kontrollsystem (IKS) einerseits Risiken zu minimieren und die Einhaltung (Compliance) von Prozessen sicherzustellen. Anderseits kann es Wert schaffen und dazu beitragen, das Unternehmen agil in die Zukunft zu führen. ERP-Implementationsprojekte können beim Aufbau eines effizienten Kontrollsystems eine wichtige Rolle spielen, da sie eine gute Gelegenheit bieten, um bestehende Geschäftsprozesse zu überarbeiten, zu vereinfachen und zu digitalisieren.

Ein guter Moment für ein IKS-Upgrade

Die Einführung eines neuen ERP-Systems – oder die Migration auf eine leistungsfähigere Version wie z.B. SAP S/4HANA – bringt bestimmte Risiken mit sich. Da sich manche Prozesse durch das neue System verändern, wird das bestehende IKS zwangsläufig Lücken aufweisen. Neue Funktionalitäten können bestehende Kontrollen unwirksam machen – so lange bis wirksame Kontrollen definiert und implementiert werden. Meist werden mit der Implementation eines neuen ERP-Systems auch weitere Anwendungen wie ein Kreditorenworkflow eingeführt oder Abhängigkeiten zu Drittparteien geschaffen, was die Komplexität zusätzlich erhöht. Ebenso gilt es, die Datenmigration zu testen und zu validieren sowie den Zugriff auf Daten anzupassen und abzusichern. Darüber hinaus muss sichergestellt werden, dass die neuen oder aktualisierten Geschäftsprozesse alle GRC-Anforderungen (Governance, Risk, Compliance) erfüllen.

Das Transformationsprojekt sollte deshalb als Chance genutzt werden, um die neuen operativen und finanziellen Risiken umfassend zu identifizieren, zu bewerten und ein intelligentes IKS aufzubauen. Dies gilt vor allem auch für die Finanzfunktion, wo die Qualitätssicherung der Prozesse und Daten sowie der Berichterstattung besonders wichtig ist. Die Vorschriften zur Finanzberichterstattung verlangen von Unternehmen interne Kontrollen, um wesentliche Falschdarstellungen und Betrug zu verhindern sowie sensible Finanzinformationen zu schützen. Dabei bietet die Implementierung eines ERP-Systems wie SAP S/4HANA oder Microsoft Dynamics nicht nur die Möglichkeit, bestehende Prozesse zu verbessern und zu rationalisieren, sondern auch die Chance, die internen Kontrollen z.B. durch Nutzung von automatischen Kontrollen zu digitalisieren.

Betrug kann beispielsweise vorgebeugt werden, indem rollenbasierte Sicherheitsfunktionen den unbefugten Zugriff auf Finanzdaten verhindern. Bei Bedarf kann durch Applikationskontrollen ein systemseitig erzwungenes Vieraugenprinzip zur Betrugsprävention beitragen und sicherstellen, dass Änderungen an kritischen Stammdaten zeitnah und korrekt erfasst, geprüft und genehmigt werden. Ein weiterer wesentlicher Vorteil von automatischen Applikationskontrollen besteht darin, dass sie auch das Risiko von Fehlern minimieren, da sie präventiv wirken. Wenn beispielsweise ein Mitarbeiter versucht eine Lieferantenrechnung zu buchen, welche nicht den Unternehmensvorgaben entspricht, wird die Zahlung einer solchen Rechnung automatisch blockiert. Somit werden aufwändige Korrekturmassnahmen verhindert und die Effizienz der Kontrollprozesse erhöht.

Effektive Überwachung der internen Kontrollen mit Unterstützung einer GRC-Lösung

Der Wechsel auf ein neues ERP-System – mit regelmässig neuen Versionen – hat auch zur Folge, dass die Geschäftsprozesse weniger statisch sind und die Stabilität des internen Kontrollsystems über längere Zeitperioden nicht mehr gewährleistet ist. Deshalb setzen immer mehr Unternehmen GRC-Lösungen ein, um die System- und Prozesskonformität automatisch zu überwachen und zu verbessern. Das GRC-System bietet automatisierte Mechanismen, welche die Einhaltung von Richtlinien, Prozessen und internen Kontrollen kontinuierlich prüfen (Continuous Auditing).

Das ermöglicht eine schnellere Identifizierung von potenziellen Risiken und Schwachstellen im IKS, die anschliessend behoben werden können. Auf diese Weise kann ein GRC-System Unternehmen dabei unterstützen, ein robustes und effektives IKS aufzubauen, Compliance-Verstösse zu minimieren und Risiken zu reduzieren.

Fazit

Wird die Aktualisierung und Automatisierung des IKS schon früh im Transformationsprojekt berücksichtigt, können das IKS an die Prozesse angepasst und alle regulatorischen und sicherheitsspezifischen Anforderungen erfüllt werden. Zugleich werden potenziell hohe Kosten eingespart, da die Einführung von Kontrollen nach dem Rollout des ERP sehr aufwendig ist. Das Management des Kontrollsystems wird einfacher, und die Geschäftsleitung und externe Stakeholder können sich von Anfang an auf die Daten des ERP-Systems und auf die Richtigkeit der Berichterstattung verlassen. Ein modernes IKS hilft Organisationen zudem, ihre Finanzprozesse und Risiken besser zu verstehen.

Will ein Unternehmen den maximalen Nutzen aus der Einführung eines neuen ERP-Systems ziehen, sollte es also von Anfang an Aspekte wie Compliance, Sicherheit und Kontrollen in der Transformationsstrategie sowie bei der Umsetzung berücksichtigen. Dazu gehört eine gründliche Risikoanalyse, die prozessübergreifend durchgeführt wird, um mögliche Schwachstellen im System zu identifizieren. Auch die Nutzung existierender Standardfunktionalitäten des ERP-Systems oder Daten können dabei helfen, das IKS zu automatisieren und somit den Compliance- und Sicherheitsanforderungen gerecht zu werden.

Es empfiehlt sich, diese Faktoren bereits in der Planungsphase zu berücksichtigen und in der gesamten Umsetzungsphase kontinuierlich zu überwachen und anzupassen. So kann sichergestellt werden, dass die meist signifikante Investition in solch ein Transformationsprojekt nachhaltig Wert fürs Unternehmen schafft.