Zur Automatisierung von Revisionsdienstleistungen zwecks

Zur Automatisierung von Revisionsdienstleistungen zwecks
Unternehmensüberwachung – Ein Überblick
Nick Gehrke
University of Hamburg
Faculty for Economics and Social Sciences
Information Systems
Von-Melle-Park 9
20146 Hamburg
Germany
Abstract: Die Unternehmensüberwachung im Hinblick auf Ordnungsmäßigkeit
der Finanzberichtserstattung und bestandsgefährdenden Risiken gehört zu den
gesetzlich kodifizierten Pflichten von Vorständen und Geschäftsführern größerer
Kapitalgesellschaften. Die Größe und Komplexität von global agierenden
Unternehmen stellt die Unternehmensführung dabei vor das Problem einer
wirksamen und strukturierten Überwachung des Gesamtunternehmens. Weiterhin
ist auch der Aufsichtsrat gesetzlich dazu verpflichtet, die Geschäftsführung zu
überwachen. Gerade im Hinblick auf die aktuelle Finanzkrise steht die
Machbarkeit und Wirksamkeit einer Kontrolle des Aufsichtsrats über die
Geschäftsführung zurzeit intensiv in der Öffentlichkeit zur Diskussion. Der
vorliegende Beitrag beschreibt überblicksartig die Möglichkeit einer stetigen und
fortwährenden Unternehmensüberwachung durch Automatisierung von
Revisionsdienstleistungen als Antwort auf die geschilderten Kontrollpflichten.
Dabei wird davon ausgegangen, dass Geschäftsprozesse weitestgehend durch
unterstützende Informationstechnologie (Enterprise-Ressource-Planning-Systeme)
abgewickelt werden und deshalb eine Überwachung dieser Systeme einen
wesentlichen Teil der Kontrollpflichten effizient abdeckt. Der Beitrag beschreibt
wie eine solche Überwachung stattfinden kann, welche Adressatengruppen es im
Unternehmen für eine solche Unternehmensüberwachung gibt und für welche
Unternehmen Relevanz besteht. Die dargestellten Revisionsdienstleistungen sind
insbesondere für Beratungsdienstleistungen von Wirtschaftsprüfungsgesellschaften
relevant.
1
Einleitung
Dieser Beitrag beschreibt ein Rahmenwerk zur Unternehmensüberwachung und –
kontrolle. Die hauptsächliche Motivation des Themas kann aus vergangenen
Compliance- und Bilanzskandalen, wie diese sich bspw. bei Enron, Worldcom oder
Siemens in der jüngeren Vergangenheit ereignet haben, abgeleitet werden. Aufgrund der
inzwischen hohen Integration von Geschäftsprozessen und Informationssystemen wird
ein effizienter IT-gestützter Überwachungsansatz entwickelt. Diese Effizienz wird durch
einen hohen Automatisierungsgrad erreicht, da der bereits verfügbare Datenbestand in
den Enterprise-Ressource-Planning-Systemen (ERP-Systeme) des Unternehmens in
Hinblick auf Kontrollfunktionen ausgewertet und aufbereitet wird. Das vorgestellte
Rahmenwerk wird im Folgenden als „Continuous Business Monitoring“ bezeichnet, da
eine fortlaufende Revision von IT-Systemen angestrebt wird. Selbstverständlich können
nicht alle Überwachungsfunktionen in einem Unternehmen durch IT-gestützte Methoden
abgedeckt werden. Manuelle Kontrollprozeduren und die Tätigkeit der Internen Revision
können niemals vollständig ersetzt werden. Jedoch kann durch ein kontinuierliches ITgestütztes Überwachungssystem ein wesentlicher Teil der Überwachung erreicht
werden. Der Beitrag geht folgenden Fragen nach:
•
Wie kann Continuous Business Monitoring (CBM) definiert werden?
•
Welche gesetzlichen und betriebswirtschaftlichen Beweggründe sind für den Einsatz
von CBM vorhanden?
•
Welche Nutzenargumente sprechen für CBM in Bezug auf die Beteiligten?
•
Für welche Unternehmen ist CBM von Relevanz?
•
Wie kann ein CBM System aufgebaut werden und aus welchen Komponenten
besteht es?
2 Begriffsdefinition und Abgrenzungen
Bevor das Thema CBM ausführlich behandelt wird, ist zunächst eine Definition
notwendig. Diese kann wie folgt gefasst werden:
„Continuous Business Monitoring bezeichnet ein Instrument der Geschäftsführung zur
kontinuierlichen, IT-gestützten Steuerung und Überwachung der im Unternehmen
ablaufenden Prozesse. Es basiert auf (teil-)automatisierten, strukturierten Analysen der
in den Informationssystemen des Unternehmens vorhandenen Daten. Durch die
Automatisierung der Analysen können die Analysezyklen eine beliebig hohe Frequenz
annehmen, wodurch eine kontinuierliche Steuerung und Überwachung der
Geschäftsprozesse ermöglicht wird. Somit lässt sich der Status der betrachteten Prozesse
nahezu in Echtzeit ermitteln. Continuous Business Monitoring erstreckt sich dabei von
der Identifikation der Überwachungspunkte über die Implementierung der Analysen bis
zur Interpretation der Ergebnisse sowie der Ableitung und Umsetzung geeigneter
Maßnahmen.“ (siehe auch [Co09], S. 72).
In der Literatur findet sich weiterhin noch der Begriff des Continuous Auditings (CA)
[Co09, S. 69; CI99]. Dabei ist zu beachten, dass CA mit denselben Daten der
Informationssysteme und mit denselben technischen Analysetechniken arbeitet, jedoch
wesentliche Unterschiede bestehen [Co09, S. 72]. Der Hauptunterschied besteht darin,
dass CA keine Managementfunktion, sondern eine Funktion der (internen) Revision
darstellt. CA sollte als die spezielle Sichtweise der Revision (und insofern als
Teilbereich) auf das Konzept des CBM verstanden werden.
Internes Kontrollsystem (IKS)
Internes Steuerungssystem
Internes Überwachungssystem
Prozessintegrierte
Überwachungsmaßnahmen
Organisatorische
Sicherungsmaßnahmen
Kontrollen
Prozessunabhängige
Überwachungsmaßnahmen
Interne
Revision
Sonstige
Abbildung 1: Gliederung des Internen Kontrollsystems und
Wirkungsbereich von CBM
Zwecks
Einordnung
verdeutlicht die Abbildung
zusammenfassend
die
Gliederung
des
Internen
Kontrollsystems [IDW06, R
210]
und
hebt
die
Wirkungsbereiche von CBM
hervor. Der Wirkungsbereich ist
hauptsächlich der Bereich der
prozessintegrierten Überwachungsmaßnahmen. Die Interne
Revision wird durch CBM
ebenfalls unterstützt.
Methoden des CBM wären auch denkbar im Bereich des Internen Steuerungssystems.
Dieser Beitrag soll sich jedoch auf das Überwachungssystem beschränken, da dieses als
eine grundsätzliche gesetzliche Anforderung angesehen werden kann.
2
Motivation und Begründung von Continuous Business
Monitoring
Die Motivation und Begründung für CBM kann aus gesetzlichen und
betriebswirtschaftlichen Gründen abgeleitet werden. Das Gesetz schreibt an
verschiedenen Stellen Kontrollpflichten der Beteiligten vor.
Vorschrift
§ 91 Abs. 2 AktG
Adressat: Geschäftsführung
§238 HGB i.v.m. §140 – 148 AO,
Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme
[Go95, Tz. 4], Adressat:
Geschäftsführung
SOX Section 404 und 302, Adressat:
Geschäftsführung
§25a Abs. 1 KWG, Adressat:
Geschäftsführung
§111 AktG, Adressat: Aufsichtsrat
§107 Abs. 3 Satz 2 AktG-E
(BilMog), Adressat: Aufsichtsrat
Inhalt
Früherkennung bestandsgefährdender Risiken als
Aufgabe der Geschäftsführung
(Risikofrüherkennungssystem) [Lü98, S. 8-14]
Einhaltung und Sicherstellung der
Ordnungsmäßigkeit der Finanzberichtserstattung
Installation & Testierung Internes Kontrollsystem
[SR07, S. 44]
Internes Kontrollsystem bei Banken
Kontrolle der Geschäftsführung durch Aufsichtsrat
Kontrollmöglichkeiten des Aufsichtsrats
Tabelle 1: Gesetzliche Vorschriften zu Kontrollpflichten
An dieser Stelle wird insbesondere auf die Stellung des Aufsichtsrats eingegangen. Eine
durchaus problematische Kontrollfunktion ist gem. § 111 AktG den Aufsichtsräten von
Aktiengesellschaften übertragen worden. Sie sollen die Geschäftsführung kontrollieren.
Diese Überwachungsfunktion ist insofern schwierig wahrzunehmen, als Aufsichtsräte
nicht zwingend im zu überwachenden
Detailinformationen zur Überwachung fehlen.
Unternehmen
arbeiten
und
ihnen
Weiterhin konkretisiert der Gesetzgeber im Rahmen des Entwurfes des
Bilanzrechtsmoderniserungsgesetzes (BilMog) die Überwachungsfunktion des
Aufsichtsrats, was insofern die zunehmende Wichtigkeit dieser Kontrollfunktion
unterstreicht. §107 Abs. 3 Satz 2 AktG Entwurf verdeutlicht die Möglichkeiten des
Aufsichtsrates, indem die Möglichkeit der Einrichtung eines Prüfungsausschusses
eingeräumt wird.1
Auch die Rechtsprechung verlangt nicht nur die Einrichtung eines
Risikomanagmentsystems gemäß §92 Abs (2) AktG, sondern auch dessen
Dokumentation und eine Berichterstattung über die Prüfung der Geschäftsführung an die
Aktionäre [LG07].
Nicht zuletzt aus diesen Gründen ist die Methode des CBM in Kombination mit einer
entsprechend hohen Aggregationsebene der Ergebnisdarstellung für Aufsichtsräte
interessant. Weiterhin liefert die Überwachungsmethodik des CBM stets zeitnahe
Ergebnisse und kommt insofern selbst etwaigen spontanen Informationsbedürfnissen von
Aufsichtsräten nach.
Nicht nur gesetzliche Pflichten motivieren den Einsatz von CBM. Folgende
betriebswirtschaftliche Gründe können für die Anwendung von CBM sprechen:
•
Zunehmende Integration von Geschäftsprozessen in ERP-Systemen („Digitale Spur“
von Geschäftsprozessen).
•
Substitution von manuellen Kontrollhandlungen durch Systemkontrollen und
dadurch Zeit- und Kostenersparnis.
•
Erhebliche Steigerung der Überwachungsfrequenz (nahezu Echtzeit) / Geringe
variable Kosten der Überwachung.
3
Nutzenargumente für Continuous Business Monitoring
Nutzenargumente bezüglich CBM für die am Überwachungsprozess Beteiligten lassen
sich wie folgt skizzieren.
Für den Finanzvorstand (CFO):
•
•
•
Erhöhter Grad an Strukturiertheit des Internen Kontrollsystems.
Automatisierte Überwachung spart Kosten und Zeit in Bezug auf
Kontrollmaßnahmen.
Reduktion des Management-Testing bei Sarbanes-Oxley-pflichtigen (SOX)
Unternehmen durch Automatisierung (zum Management-Testing siehe [PC04, Tz.
40]).
1
Das BilMog wurde in der Sitzung am 03.04.2009 inzwischen vom Bundesrat verabschiedet und soll noch
2009 in Kraft treten.
•
Verringerung des Prüfungsaufwandes des Wirtschaftsprüfers und somit
Verringerung des Prüfungshonorars, sofern der Abschlussprüfer bei der Einführung
von CBM projektbegleitend unterstützt hat.
Für den Leiter der Informationstechnologie (CIO):
•
•
•
Kenntnis von compliancerelevanten Systemeinstellungen (Customizing).
Transparenz bei Systemänderungen in Hinblick auf das Interne Kontrollsystem.
Definierte Systemeinstellungen für alle Systeme / Möglichkeit der
Systemharmonisierung.
Für die Interne Revision (siehe zu Vorteilen der internen Revision auch [Br08]):
•
•
•
•
Entlastung von umständlichen und zeitraubenden Datenaufbereitungen.
Konzentration auf Kernkompetenzen (Prüfung) durch Entlastung aufgrund
Automatisierung.
Revisionsprüfungen erreichen höhere Qualität und Tiefe.
Bessere Kommunikation der Prüfungsergebnisse.
Für die Externe Revision oder den Wirtschaftsprüfer:
•
•
Effizientere Prüfung des Internen Kontrollsystem.
Höhere Verlässlichkeit des Internen Kontrollsystems, da interne Kontrollen im
System eingebettet sind.
Für den Aufsichtsrat:
•
•
•
Hochaggregiertes Berichtswesen ermöglicht Aufsichtsräten eine Einschätzung des
Kontrollsystems.
Zeitnahe Möglichkeit der Überwachung.
Vergleich von Überwachungskennzahlen im Zeitablauf.
4
Treiber für den Einsatz von Continuous Business Monitoring
Nachdem nun der Nutzen des CBM dargestellt wurde, soll an dieser Stelle dargestellt
werden, für welche Unternehmen dieses Konzept relevant sein kann. Die
Implementierung von CBM kann als Investition angesehen werden. Insofern muss
zunächst bei der Implementierung eine Investitionssumme veranschlagt werden, die sich
in den folgenden Jahren durch Kosteneinsparungen amortisiert. Es können technische
und ökonomische Treiber identifiziert werden, die den Einsatz von CBM jeweils
befürworten oder nicht. Als technische Treiber für einen Einsatz von CBM können
angegeben werden [Ne03]: 1. Geringe Anzahl der Systeme (Anzahl Installationen), 2.
Homogenität der Anwendungslandschaft (Anzahl verschiedener Hersteller), 3. Hoher
Grad der Integration der Geschäftsprozesse durch Anwendungen, 4. Grad der Integration
der Anwendungen untereinander; Medienbrüche, 5. Größe der relevanten Systeme
(Anzahl Nutzer) / Hoher Grad an Arbeitsteilung.
Als ökonomische Treiber für CBM lassen sich u. a. aufzählen: 1. Hohe
Öffentlichkeitswirksamkeit des Unternehmens (z.B. DAX-Unternehmen), 2. Hohe
Anzahl der Tochterunternehmen / Hohe Komplexität der Überwachung.
5
Komponenten des Continuous Business Monitoring
5.1 Analysegegenstände
Im Folgenden wird aufgezeigt, aus welchen Komponenten CBM bestehen kann. Hierbei
wird besonderes Augenmerk auf Aspekte der Ordnungsmäßigkeit gelegt und weniger auf
Leistungsgesichtspunkte, da Leistungsindikatoren stärker von Geschäftsmodell und
Branche abhängen als Anforderungen an die Ordnungsmäßigkeit. Aus Sicht des
Kontroll- und Überwachungssystems in Verbindung mit der Verwendung von
geschäftsprozessunterstützenden ERP-Systemen lassen sich Fragestellungen dargestellt
in formulieren (für Komponenten des Internen Kontrollsystems siehe auch: [ID06 R 211,
S. 2000]). Da CBM auf dem vorhandenen strukturierten Informationsgehalt der vom
Unternehmen verwendeten ERP-Systeme aufbaut, können für ein kontinuierliches
Überwachen aufgrund zuvor geschilderter Fragestellungen folgende Datenbestände
herangezogen werden:
Anforderung Kontrollsystem
Kontinuierlich auszuwertender
Datenbestand
Wie wird sichergestellt, dass Geschäftsvorfälle
hinreichend arbeitsteilig abgewickelt werden
und somit das 4-Augen-Prinzip stets
eingehalten wird (Funktionstrennung)
[HeTa07][ID06, R 229, S. 2004]?
Zugriffsrechte aller Systemnutzer,
Berechtigungsrollen
Wie wird sichergestellt, dass das System
grundsätzlich Geschäftsprozesse wie geplant
und integer abwickelt?
Systemeinstellungen (Customizing) mit Bezug
auf das Interne Kontrollsystem (sog.
Anwendungskontrollen [ID06, R 231, S. 2005];
[FA02, Tz. 95]. Diese Systemeinstellungen
steuern den Prozessfluss im System.
Wie wird sichergestellt, dass tatsächliche
Geschäftsvorfälle den Richtlinien und
Vorgaben des Unternehmens entsprechen und
außergewöhnliche Geschäftsvorfälle bemerkt
und verfolgt werden?
Transaktionsbelege:
Buchungsbelege des Rechnungswesens,
Einkaufsbelege, Materialbelege,
Verkaufsbelege
Tabelle 2: Anforderungen an das Kontrollsystem und dafür relevante Datenbestände
Die Anforderungen an das Kontrollsystem weisen sowohl präventive als auch detektive
Maßnahmen auf. Insgesamt ergibt sich ein „Dreisäulensystem“ zur Beschreibung der
Bestandteile von CBM: 1. Zugriffsberechtigungen & Funktionstrennung (präventiv), 2.
Anwendungskontrollen (präventiv), 3. Analyse von Geschäftsvorfällen (detektiv).
Im Folgenden werden die drei Säulen jeweils näher beleuchtet. Die dargestellten
Beispiele wurden während eines Projektes bei einem großen DAX-Mandat entwickelt.
5.1.1 Vorgehensweise und Phasenmodell Um ein CBM für alle genannten Analysegegenstände zu implementieren bedarf es einer
Vorgehensweise, welche in Phasen zu strukturieren ist. Die Abbildung verdeutlicht eine
mögliche Vorgehensweise [WoGe09].
Aktivität 1
Ergebnis
Techniken
Aktivität 4
Ergebnis
Techniken
Geschäftsprozessauswahl
(einmalig)
Liste der zu betrachtenden
Prozesse
Interview, Fragebogen,
Prozessbeobachtung
Technische Spezifikation
des Regelwerks
Technische Regel /
Technische Bedingungen
Kontrollstrukturen in
Programmiersprachen,
Pseudocode, Sourcecode
Aktivität 2
Ergebnis
Techniken
Aktivität 5
Ergebnis
Techniken
Prozessanalyse
(einmalig)
Prozessmodell, Aktivitäten,
Beteiligte
Interview, Fragebogen,
Prozessbeobachtung,
Prozessmodellierungstechniken
Datenextraktion und
Transformation
Standardisierte Datensätze
der für den
Analysegegenstand
notwendigen Informationen
Datenextraktion mit
Datenbankabfragesprachen
(SQL), Extract-TransformLoad Prozess (ETL)
Aktivität 3
Ergebnis
Techniken
Aktivität 6
Ergebnis
Techniken
Analyse, Reporting und
Reaktion
Berichte zu dem
Analysegegenstand auf
verschiedenen
Aggregationsebenen
Auswertung der extrahierten
Daten in Hinblick auf die
technischen Regeln mit
Datenabfragesprachen
(SQL), Report Generatoren
Definition der fachlichen
Regeln
Regelliste/ -matrix für den
Analysegegenstand
Bewertung / Priorisierung
der Regeln
Abbildung 2: Vorgehensweise zur Implementierung von CBM
Die stetige Überwachung der Analysegegenstände kann in sechs Aktivitätsphasen
zerlegt werden. Dabei ist zu beachten, dass die Aktivitäten eins bis vier einmalige
Aktivitäten sind, die zur Implementierung benötigt werden. Die Aktivitäten fünf und
sechs werden kontinuierlich und periodisch (z.B. täglich oder wöchentlich) wiederholt
und stellen insofern den Charakter der kontinuierlichen Überwachung heraus.
In den Aktivitäten eins und zwei (Geschäftsprozessauswahl und Prozessanalyse) wird
zunächst festgelegt, welche Geschäftsprozesse (z.B. Einkauf, Verkauf, Rechnungswesen,
Systemadministration) in die kontinuierliche Überwachung miteinbezogen werden
sollen. Dies sollte anhand von Risikoüberlegungen passieren. Nachdem die Auswahl
feststeht, müssen die Prozessabläufe untersucht und die einzelnen Prozessschritte
innerhalb des Prozesses identifiziert werden. Die Aktivitäten eins und zwei werden im
Folgenden nicht noch einmal für jeden Analysegegenstand erklärt, da es sich insgesamt
um gemeinsame Elemente handelt. Die Aktivitäten drei bis sechs werden im Folgenden
jeweils für den Analysegegenstand genauer beleuchtet und erklärt.
5.1.2
Kontinuierliche Überwachung der Zugriffsrechte und Funktionstrennung Die Funktionstrennung (engl. auch Segregation of Duties) dient der Einhaltung des VierAugen-Prinzips. Es soll hierdurch sichergestellt werden, dass ein Geschäftsprozess oder
mehrere arbeitsteilige Schritte eines Geschäftsprozess nicht von derselben Person
durchgeführt werden, um die Möglichkeit von Fehlern und dolosen Handlungen zu
minimieren ([PS06, Tz. 52]; für die Bedeutung von Wirtschaftskriminalität in
Unternehmen siehe auch: [PW07]). Für eine Analyse der Zugriffsmöglichkeiten sind die
Benutzerberechtigungen in Bezug auf Funktionstrennungsverletzungen zu untersuchen.
Für eine kontinuierliche Überwachung dieser Berechtigungen müssen die Daten der
Berechtigungen kontinuierlich aus dem System extrahiert (Datenexport) und in einer
Auswertelogik, in der Regel eine externe Spezialanalysesoftware, analysiert werden. Für
den
Bereich
der
Analyse
von
Berechtigungen
in
Hinblick
auf
Funktionstrennungsverletzungen gibt es inzwischen Standardsoftware wie z.B. Virsa für
SAP, Approva oder Security Weaver (für eine Übersicht über sog. Compliance-Software
bzgl. Funktionstrennung siehe auch [Ga08]). Der Einsatz dieser Spezialsoftware ist
jedoch mit erheblichem Konfigurationsaufwand verbunden, um den spezifischen
Anforderungen des Unternehmens Rechnung zu tragen. Im Folgenden wird erläutert, wie
die kontinuierliche Überwachung der Funktionstrennung ermöglicht wird.
In der Aktivität 3 (Fachliche Definition der sogenannten Funktionstrennungsmatrix)
wird definiert, wann ein Funktionstrennungskonflikt vorliegt. Dazu werden die in
Aktivität 2 identifizierten Prozessschritte wechselseitig gegenübergestellt und dann
entschieden, ob ein Funktionstrennungskonflikt vorliegt, wenn beide Prozessschritte von
einer Person durchgeführt werden können. Es ergibt sich somit eine Regelmatrix, welche
durch Kombination zweier Prozessschritte die Funktionstrennungsverletzungen definiert.
Relevante Prozessschritte sind hierbei z.B. „Lieferantenstammdatenpflege“,
„Verarbeiten von Eingangsrechnungen“ oder „Verarbeiten von ausgehenden
Zahlungen“. Ein Funktionstrennungskonflikt ergibt sich immer dann, wenn durch
Vereinigung der Prozessschritte in einer Hand ein Risiko denkbar ist. Auf dieser Ebene
wird noch nicht auf technische Einzelheiten der verwendeten ERP-Systeme
eingegangen.
In
der
folgenden
Tabelle
sind
exemplarisch
typische
Funktionstrennungskonflikte für den Einkauf aufgezeigt.
Funktionstrennungskonflikt & Risiko
„Lieferantenstammdatenpflege“ gegen „Verarbeitung von Eingangsrechnungen“: Der Nutzer
könnte Lieferantenstammdaten manipulieren (z.B. Bankdaten) und eine entsprechende
Kreditorenrechnung eingeben und somit Geldmittel aus dem Unternehmen führen.
“Verarbeiten von Eingangsrechnungen” gegen „Verarbeiten von ausgehenden Zahlungen“:
Zahlungen für fingierte Rechnungen könnten durchgeführt werden.
„Lieferantenstammdatenpflege“ gegen „Verarbeiten von ausgehenden Zahlungen“: Der Nutzer
könnte Lieferantenstammdaten manipulieren (z.B. Bankdaten) und im Zahlungslauf Geldmittel
auf falsche Bankkonten überweisen.
Tabelle 3: Beispiele von Funktionstrennungsverletzungen
Zusätzlich zur Definition der Konflikte an sich wäre eine Zuweisung einer Risikoziffer
(z.B. 1 – 10) pro Konflikt denkbar, um der Schwere von Risiken aufgrund
Funktionstrennungskonflikten Rechnung zu tragen.
In der Aktivität 4 (Technische Spezifikation der Regelmatrix) wird das fachliche
Regelwerk auf das verwendete ERP-System technisch abgestimmt. Die einzelnen
Programme der ERP-Software (in z.B. SAP die Transaktionen) müssen den fachlichen
Prozessschritten der Regelmatrix zugeordnet werden, soweit diese relevant sind. Dabei
kommt es in der Regel vor, dass mehrere Programme der Software einem Prozessschritt
zugeordnet werden, da es stets alternative oder redundante Funktionen für denselben
Prozessschritt gibt.
In Aktivität 5 (Datenextraktion) werden zunächst die Benutzer und
Benutzerberechtigungen aus dem Quellsystem extrahiert und der Analysesoftware
zugeführt. In Aktivität 6 (Funktionstrennungsanalyse) wird die technische Regelmatrix
auf den Datenextrakt angewendet und die Funktionstrennungsverletzungen ermittelt.
Auch die Darstellungen dieser Analyse und entsprechende Reaktionen zur
Verminderung von Konflikten gehören in diese Aktivität. Hier sind verschiedene
alternative Darstellungsweisen möglich, die jeweils von der Funktion des
Informationsadressaten abhängen. Auf oberster Ebene und zum Vergleich des Status
verschiedener
(Tochter)firmen
können
die
Kennzahlen
„Anzahl
der
Funktionstrennungsverletzungen“ („Number of violations“) und „Durchschnittliche
Anzahl von Verletzungen pro betroffenem Nutzer“ („Average number of violations per
affected user“) errechnet werden (Abbildung 3). In einem Koordinatensystem kann dann
der Status verschiedener (Tochter)Firmen bzw. Organisationseinheiten verglichen
werden (Benchmarking). Auch Verbesserungen bei der Behebung von
Funktionstrennungskonflikten im Zeitablauf können als Pfad dargestellt werden.
Abbildung 3: Darstellung der
Funktionstrennungskonflike verschiedene
Einheiten an zwei verschiedenen Zeitpunkten
5.1.3
In ständiger Wiederholung von Analyse
und
Bereinigung
aufgrund
der
kontinuierlichen Überwachung wird das
System somit zunehmend frei von
Funktionstrennungskonflikten.
Kleine
Organisationseinheiten haben regelmäßig
Probleme,
ihre
Arbeitsteilung
auszuweiten, um Konflikte zu umgehen. In
diesem Fall sollte ein Prozess für
begründete
Ausnahmebeantragungen
etabliert werden. Ausnahmen sollten dabei
durch alternative Kontrollmaßnahmen
kompensiert werden, um die Kontrollücke
im Berechtigungssystem zu schließen
(kompensierende Kontrollen).
Überwachung der Anwendungskontrollen von Enterprise Ressource Systemen ERP-Systeme nehmen in der betrieblichen Praxis aufgrund spezifischer Anforderungen
von Unternehmen erhebliche Komplexität an. Die Anpassung an diese Komplexität wird
überwiegend durch Systemeinstellungen (Customizing) erreicht, die das
Systemverhalten steuern. Der Ablauf von Prozessabläufen kann somit gesteuert und den
unternehmensspezifischen
Anforderungen
angepasst
werden.
Einige
der
Systemeinstellungen haben Bezug zum Internen Kontrollsystem und können somit
ebenfalls in eine kontinuierliche Unternehmensüberwachung integriert werden. In
diesem Falle wird von Anwendungskontrollen des Internen Kontrollsystems gesprochen.
Durch die Überwachung dieser Anwendungskontrollen wird eine bisher nicht
vorhandene Transparenz der Systemeinstellungen erreicht, welche auch für eine
nachfolgende Harmonisierung des Customizings der verschiedenen zu überwachenden
Systeme Verwendung finden kann.
Aktivität 3 (Fachliche Definition von relevanten Anwendungskontrollen) umfasst eine
fachliche Auswahl von Systemeinstellungen mit relevantem Bezug zum Internen
Kontrollsystem. Folgende Tabelle zeigt mögliche Systemeinstellungen für z.B. ein SAPSystem.
Geschäftsprozess
Systemadministration
Systemadministration
Einkauf
Einkauf
Einkauf
Anwendungskontrolle
Passwortregel
Protokollierung
Doppelte
Eingangsrechnungen
Logistische
Bestellungen
Toleranzwerte
bei
Bestellungen
Systemeinstellung mit Bezug zum Internen Kontrollsystem
Passwortlänge muss hinreichend lang sein und periodisch
geändert werden.
Alle Änderungen von Stammdaten des Rechnungswesens
müssen protokolliert werden.
Das System muss derart eingestellt sein, sodass bei der Eingabe
von Eingangsrechnungen vom System geprüft wird, ob diese
Rechnung bereits eingegeben wurde.
Wenn im System Ware bestellt wird, erwartet das System
aufgrund der Bestellung einen Wareneingang und einen
Rechnungseingang. Diese Vorgänge müssen zwingend vom
Mitarbeiter im System miteinander verknüpft werden.
Bei einer Warenbestellung überwacht das System automatisch
bei Waren- bzw. Rechnungseingang, dass nicht zuviel bzw.
zuwenig an Menge geliefert bzw. an Preis abgerechnet wird.
Tabelle 4: Beispielsystemseinstellungen mit Relevanz zum Internen Kontrollsystem (sogenannte
Anwendungskontrollen) – Fachliche Sicht
Wie in vorstehender Tabelle dargestellt, werden zunächst relevante Einstellungen auf
fachlicher Ebene identifiziert. In Aktivität 4 (Technische Spezifikation) wird festgelegt,
welche technischen Ausprägungen die identifizierten Einstellungen haben sollen und
recherchiert, wie die relevanten Einstellungen im System abgelegt sind, damit diese im
nächsten Schritt strukturiert ausgelesen werden können.
Aktivität 5 und 6 (Auslesen der Systemeinstellungen und Analyse/Berichtswesen) stellt
den eigentlichen sich stets wiederholenden Überwachungsprozess dar. In Aktivität 5
werden die Systemeinstellungen periodisch ausgelesen und dann in Aktivität 6 gegen die
Sollwerte verglichen und dann in Berichten für die Verantwortlichen dargestellt. Im
Rahmen der Analyse kann weiterhin eine Gewichtung der einzelnen Einstellungen
vorgenommen werden, welche jeweils den gegebenen Risikograd darstellt, wenn die
Einstellung nicht wie verlangt eingestellt sein sollte. So ließe sich ein Gesamtpunktwert
oder Score für jedes betrachtete System darstellen, sodass ein Vergleich von Systemen /
Organisationseinheiten im Rahmen eines Benchmarkings ermöglicht würde.
5.1.4 Laufende Überwachung von Geschäftstransaktionen und Prozessen Unter einer Geschäftstransaktion wird nachfolgend ein einzelner Geschäftsvorfall
verstanden, der einen Geschäftsprozess im Unternehmen teilweise oder vollständig
durchläuft (z.B. im Einkaufsbereich von der Bestellung bis zur Zahlung). Ziel bei der
laufenden Überwachung von Geschäftstransaktionen ist es, möglichst frühzeitig
diejenigen Transaktionen zu identifizieren, bei denen einzelne Merkmale oder die
Transaktion als Ganzes gegen ein definiertes Regelwerk verstoßen. Basis für die
Definition des Regelwerks können beispielsweise Ordnungsmäßigkeitskriterien, ein
unternehmensintern definierter Soll-Prozess oder Indikatoren zur Identifikation doloser
Handlungen sein. Die Überwachung der Geschäftstransaktionen kann zwangsläufig nur a
posteriori durchgeführt werden, d.h. nachdem die jeweiligen Transaktionsbestandteile im
Informationssystem des Unternehmens erfasst sind. Die Überwachung der
Geschäftstransaktionen hat daher im Gegensatz zur Überwachung der Zugriffsrechte und
Anwendungskontrollen einen detektiven Charakter. In Aktivität 3 (Fachliche Definition
der Filterregeln) müssen aus fachlicher Sicht Überwachungspunkte entlang der
ausgewählten Prozesse und das zu verwendende Regelwerk definiert werden. Je nach
Ausprägung der relevanten Unternehmensrisiken und der Ausgestaltung des Internen
Kontrollsystems sind für die verschiedenen Unternehmensprozesse unterschiedliche
Überwachungspunkte und Regeln denkbar. Eine enge Verzahnung mit den anderen
CBM-Komponenten ist beispielsweise dadurch erreichbar, dass Funktionstrennung und
Anwendungskontrollen auch auf Transaktionsebene überprüft werden. Damit wäre
sowohl eine präventive also auch eine detektive Überwachung gegeben. Folgende
Tabelle zeigt exemplarisch Überwachungspunkte und Regeln für den Einkauf.
Überwachungspunkt & Untersuchte Transaktionsmerkmale
Zahlungsausgang: Identifikation von Zahlungen, die durch denselben Nutzer verarbeitet
wurden wie die zugehörigen Rechnungen (Funktionstrennung, hier: detektiv).
Bestellung: Identifikation von Bestellungen, bei denen der Bestellwert nachträglich angepasst
wurde, ohne eine erneute Genehmigung.
Rechnungseingang: Identifikation von eingehenden Rechnungen über einer Betragsgrenze
ohne zugehörige Bestellung.
Rechnungseingang: Identifikation von Rechnungen, die eingegangen sind bevor die
zugehörige Bestellung angelegt wurde.
Zahlungsausgang: Identifikation von doppelten Zahlungen.
Tabelle 5: Beispiele für Überwachungspunkte und zu überwachende Transaktionsmerkmale –
Fachliche Sicht
In Aktivität 4 (Technische Spezifikation der Filter) ist zum einen für das regelmäßige
Auslesen der Daten die Art und Weise der Speicherung der relevanten Merkmale der
Transaktionsbestandteile (z.B. Rechnung, Zahlung) im ERP-System zu identifizieren.
Zum anderen muss das fachlich definierte Regelwerk technisch implementiert werden.
Wie die Beispiele in obiger Tabelle zeigen, besteht bei der automatisierten Überwachung
von Geschäftstransaktionen im Gegensatz zur Überwachung der Zugriffsrechte und
Anwendungskontrollen häufig die Notwendigkeit, Verknüpfungen zwischen mehreren
Transaktionsbestandteilen herzustellen, die entlang der Verarbeitungskette der
Geschäftstransaktion entstehen. Dies erhöht die Komplexität für die Datenextraktion und
die Implementierung des Regelwerks.
Zur technischen Kodifizierung des Regelwerks sind grundsätzlich verschiedene
Verfahren anwendbar. Diese sollen nachfolgend kurz skizziert werden.
Filter: Mit Hilfe von booleschen Ausdrücken werden Transaktionen anhand definierter
Merkmale als auffällig identifiziert. Beispiel: Identifikation von Rechnungen über einer
Betragsgrenze ohne zugehörige Bestellung; Zugehöriger Filter: Rechnungsbetrag >
Wertgrenze und Referenz zur Bestellung fehlt.
Scoring-Modell: Bei der Verwendung von Scoring-Modellen werden ausgewählte
Merkmale von Transaktionen betrachtet und die möglichen Merkmalsausprägungen mit
Gewichtungsfaktoren belegt. Die einzelnen Gewichtungsfaktoren werden miteinander
verknüpft und ergeben so einen Gesamtwert für die jeweilige Transaktion.
Transaktionen, die einen definierten Schwellwert unter bzw. überschreiten, werden
genauer betrachtet (Scoringmodelle finden auch Anwendung beim Unternehmensrating,
siehe [StSt03, S. 20]). Die Qualität von Scoring-Modellen hängt im Wesentlichen von
der Auswahl relevanter Merkmale und der Festlegung der Gewichtungsfaktoren ab.
Beispiel: Bewertung von Zahlungen - Untersuchte Merkmale und mögliche
Ausprägungen: Zielland der Zahlung: Vertrauenswürdiges Land (Score=0) / Steuer-Oase
(Score=10) (Als Basis für die Bewertung der Vertrauenswürdigkeit von Ländern kann
beispielsweise der Internationale Korruptionsindex (Corruption Perception Index)
herangezogen werden.); Betrag: pro 10.000 € ein Punkt/Score; Land der Bank und Land
des Zahlungsempfängers sind nicht identisch: ja (Score=10) / nein (Score=0).
Methoden des Data Mining: Data Mining (oder auch Knowledge Discovery in
Databases) bezeichnet einen nicht trivialen Suchprozess zur Identifikation von Mustern,
die bisher unbekannte, potentiell nützliche und verständliche Zusammenhänge in den
untersuchten Daten widerspiegeln [FaPi96, S. 6]. Die Suche soll dabei möglichst
datengetrieben und autonom, d.h. ohne Vorgabe einer zu untersuchenden Hypothese
erfolgen [FaPi96, S. 7]. Übertragen auf den Kontext der kontinuierlichen Überwachung
bedeutet dies, dass mit Hilfe von Data Mining Muster identifiziert werden sollen, die
auffällige Transaktionen charakterisieren. Data Mining bedient sich hierfür der
Methoden und Verfahren aus der Statistik und der künstlichen Intelligenz. Der Vorteil
hier ist, dass die Systemnutzer die genauen Filterregeln nicht kennen können, da keine
statischen Filter existieren. Beispiele: Segmentierungsverfahren (Clusterung) [Pe05, S.
73ff], Abweichungsanalysen (Outlier detection [DuJe92, S. 348]).
Aktivität 5 und 6 (Auslesen der Transaktionsmerkmale und Analyse/ Maßnahmen/
Reaktion) bilden wiederum den eigentlichen kontinuierlichen Überwachungsprozess.
Die Merkmale der zu untersuchenden Transaktionen werden regelmäßig ausgelesen und
automatisiert gegen das definierte Regelwerk geprüft. Für größere Unternehmen mit
mehreren Gesellschaften stellt sich die Aufgabe ein für alle Gesellschaften gültiges und
gleichzeitig effektives Regelwerk zu definieren. Da sich dies i.d.R. als sehr schwierig
darstellt, ergibt sich die Notwendigkeit, Möglichkeiten zur Parametrisierung der Regeln
einzuräumen. Beispielsweise kann sich bei der Analyse, bei der eingehende Rechnungen
über einer betragsmäßigen Wesentlichkeit ohne zugehörige Bestellung identifiziert
werden sollen (siehe Tabelle oben), die Wesentlichkeitsgrenze bei einzelnen
Gesellschaften eines Konzern natürlich deutlich unterscheiden.
Durch die Möglichkeiten der Parametrisierung entsteht jedoch das Problem, dass die
Parameterwerte einen integralen Bestandteil des Regelwerks bilden und direkt die
Filterung von Transaktionen beeinflussen. Mit unsachgemäßen Parameterwerten kann
ggfs. die Wirksamkeit einzelner Regeln eingeschränkt oder gar vollständig aufgehoben
werden. Um die Effektivität des Regelwerks aus Sicht der Geschäftsführung
sicherstellen zu können, müssen daher auch die Parameterwerte überwacht werden (z.B.
durch die interne Revision). Mit der automatisierten Filterung der Transaktionen in
Aktivität 6 (Analyse, Reporting, Reaktion) ist der CBM-Prozess nicht beendet. Alle
selektierten Transaktionen müssen durch einen verantwortlichen Mitarbeiter begutachtet
und eine geeignete Maßnahme ableitet werden. Dies ist insbesondere notwendig, da sich,
im Gegensatz zur Überwachung der Berechtigungen und der Anwendungskontrollen, bei
den Geschäftstransaktionen nicht für alle Überwachungspunkte eindeutige Regeln
definieren lassen. Vor allem Regeln zur Identifikation von dolosen Handlungen können
lediglich Hinweise auf auffällige Transaktionen geben. Inwieweit es sich bei einer
Transaktion tatsächlich um einen dolosen Vorgang handelt, ist nur im Rahmen einer
weitergehenden Untersuchung verifizierbar.
Die Effektivität des Überwachungssystems hängt neben der Qualität des definierten
Regelwerks wesentlich von der menschlichen Bewertung und der Qualität der gewählten
Korrekturmaßnahmen ab. Daher sollte den Mitarbeitern für eine effiziente Bearbeitung
auffälliger Transaktionen eine geeignete Anwendung zur Verfügung gestellt werden, die
alle zu bearbeitenden Transaktionen im Verantwortungsbereich des Mitarbeiters und
deren aktuellen Bearbeitungsstand strukturiert darstellt. Exemplarisch sollen hier die
Anwendungen Continuous Controls Monitoring (CCM) von ACL und die Lösung von
Oversight Systems genannt werden.
Die Bewertung auffälliger Transaktionen wirkt sich auch auf die Ausgestaltung eines
Berichtswesens für diese Komponente des CBM aus. So können einzelne Gesellschaften
nicht nur anhand der Anzahl auffälliger Transaktionen gemessen werden. Vielmehr ist
eine zweidimensionale Betrachtungsweise notwendig. Einerseits sollte das Risiko
berücksichtigt werden, welches aus der Gesamtheit aller auffälligen Transaktionen einer
Gesellschaft resultiert. Hier eignet sich ein Scoring-Modell, welches die Anzahl und
Zusammensetzung der auffälligen Transaktionen berücksichtigt. Die zweite Dimension
sollte den Grad der Bearbeitung der auffälligen Transaktionen durch die Gesellschaft
widerspiegeln. Das durchschnittliche Alter nicht bearbeiteter Transaktionen kann als
Kennzahl verwendet werden. In der nachfolgenden Abbildung sind die beschriebenen
Dimensionen exemplarisch dargestellt.
Durchschnittliches Alter nicht bearbeiteter Transaktionen
in Tagen
45
Gesellschaft 1
40
35
Gesellschaft 2
30
25
20
15
Gesellschaft 3
10
Gesellschaft 4
5
0
0
1
2
3
4
5
6
7
8
9
Risikoeinstufung (Index 1-10)
Abbildung 4: Beispiel-Darstellung für ein Berichtswesen zur
Überwachung von Geschäftstransaktionen für mehrere
Gesellschaften
10
Werden für beide Dimensionen Grenzwerte
definiert, kann eine
Sollkurve
abgeleitet
werden mit deren Hilfe
die
Geschäftsführung
Handlungsbedarfe
für
verschiedene
Gesellschaften
ableiten
kann.
Bei
der
Berechnung der zwei
Dimensionen
sollte
Beachtung finden, dass
Gesellschaften
unterschiedliche
Größen
haben können und eine
Skalierung von Werten
sinnvoll sein kann.
5.2 Gesamtsichtweise auf das Überwachungssystem
Eine Ergebnisdarstellung der einzelnen Teilbereiche reicht nicht aus. Hohe
Entscheidungsträger und der Aufsichtsrat als Adressaten benötigen eine hochaggregierte
Darstellung aller Teilbereiche zusammen. Es muss eine Gesamtbewertung stattfinden,
um den Status des Überwachungsystems des Unternehmens schnellstmöglich zu
erfassen. Hierfür eignet sich ein Scoringmodell, welches alle Einzelergebnisse geeignet
summiert, sodass sich für jede definierte Aggregationsebene ein Prozentwert ergibt.
Abbildung 5: Aggregationsebenen für die Bewertung
der Ergebnisse eines automatisierten
Überwachungssystems im Rahmen von CBM
Als Aggregationsebenen eignen sich
z.B. die folgenden 7 Ebenen: 1.
Konzern, 2. Konzernbereich, 3.
Tochterunternehmen,
4.
Geschäftsprozess, 5. Risiko, 6.
Kontrollziel, 7. Kontrollmaßnahme.
Hinter jeder Kontrollmaßnahme
(unterste Ebene) befindet sich eine
Auswertelogik, welche durch ein
Scoringmodell
die
technische
Ausprägung der Kontrollmaßnahme
bewertet. Die Aggregationsebenen
summieren alle Punkte innerhalb
der Ebene und berechnen einen
Prozentwert. Es ist Aufgabe der
Geschäftsführung
Maßnahmen
festzulegen,
wenn
bestimmte
Schwellwerte unterschritten werden.
6
Fazit
Dieser Beitrag hat die Möglichkeiten einer weitgehend automatisierten
Unternehmensüberwachung im Rahmen eines Continuous Business Monitoring
Konzeptes aufgezeigt. Aufgrund zunehmenden Einsatzes von Informationstechnologie
und vor allem höherer Integration von Informationssystemen gewinnt auch die
Automatisierung von Überwachungsfunktionen innerhalb des Unternehmens an
Attraktivität. Erhöhte Strukturierung und schnellere Verfügbarkeit von Ergebnissen der
Unternehmensüberwachung werden nicht zuletzt durch immer größere Organisationen in
globalen Märkten und stärkerer Öffentlichkeitswirksamkeit aufgrund von z.B.
Wirtschaftskrisen zunehmend notwendiger. Gerade Aufsichtsräte müssen Möglichkeiten
finden, ihrer gesetzlichen Kontrollfunktion nachzukommen und sollten insofern starkes
Interesse haben, hinreichende Überwachungsmaßnahmen zu installieren.
Literaturverzeichnis
[Br08]
Brennan, G.: Continuous Auditing Comes of Age, in: Information Systems Control
Journal 2008, Vol. 1.
[CI99]
CICA/AICPA: Continuous auditing: executive summary, 1999,
http://www.cica.ca/index.cfm/ci_id/989/la_id/1. retrieved : 02.04.2009.
[Co09]
Coderre, D. G: Internal audit. Efficiency through automation. Hoboken, NJ: Wiley,
2009.
[DuJe96]
Dufner, J.; Jensen, U.; Schumacher, E.: Statistik mit SAS, 1. Auf., 1992.
[FA02]
Institut der Wirtschaftsprüfer Stellungnahmen, Grundsätze ordnungsmäßiger
Buchführung bei Einsatz von Informationstechnologie, IDW RS FAIT 1, 2002.
[FaPi96]
Fayyad, U.; Piatetsky-Shapiro, G.; Smyth, P.; et al.: Advances in Knowledge
Discovery and Data Mining. Menlo Park (CA): AAAI Press / The MIT Press, 1996.
[Ga08]
Gartner Research: MarketScope for Segregation of Duty Controls within ERP and
Financial Applications, 2008.
[Go95]
Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter
Buchführungssysteme (GoBS), 7. November 1995 - IV A 8 - S 0316 - 52/95- BStBl
1995 I S. 738, 1995.
[HeTa07] Hendrawirawan, D.; Tanriverdi, H.; Zetterlund, C.; Hakam, H.; Kim, H.; Paik, H: ERP
Security and Segregation of Duties Audit: A Framework for Building an Automated
Solution, Information Systems Control Journal, Vol. 2, 2007.
[ID06]
Institut der Wirtschaftsprüfer, Wirtschaftsprüferhandbuch 2006 Band I, 2006.
[LG07]
Landgericht München, 05.04.2007, 5 HK O 15964/06, in: Betriebsberater 2007, S.
2170 – 2175, 2007.
[Lü98]
Lück, W.: Elemente eines Risiko-Managementsystems, DB vom 09.01.1998, Heft
01/02, Seite 8-14, 1998.
[Ne03]
Nehmer , R.: Continuous Audits: Taking the Plunge, in: Information Systems Control
Journal 2003, Vol. 1., 2003.
[PC04]
PCAOB, Auditing Standard No. 2 – An Audit of Internal Control Over Financial
Reporting Performed in Conjunction with An Audit of Financial Statements, 2004,
Nachfolgeversion: 2008.
[Pe05]
Petersohn, H.: Data Mining, 1. Aufl., 2005.
[PS06]
Institut der Wirtschaftsprüfer, PS 261: Feststellung und Beurteilung von Fehlerrisiken
und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken, Stand
06.09.2006, 2006.
[PW07]
PricewaterhouseCoopers: Economic crime: people, culture and controls - The 4th
biennal Global Economic Crime Survey, 2007.
[SR07]
Status: Recht vom 26.01.2007, Heft 02, Seite 44-44, 2007.
[StSt03]
Steiner, M.; Starbatty, N.: Bedeutung von Ratings in der Unternehmensführung, in:
Achleitner / Everling (Hrsg.), Rating Advisory, 1. Aufl., 2003.
[WoGe09] Wolf, P.; Gehrke, N.: Continuous Compliance Monitoring in ERP Systems - A Method
for Identifying Segregation of Duties Conflicts, Proceedings Konferenz
Wirtschaftsinformatik, Wien, 2009.