Anforderungen an die SAP-Systemsicherheit verlangen regelmäßige (präventive) Kontrollen, welche durch die jeweiligen Fachbereiche durchzuführen sind. Regelwerke unterstützen bei der Umsetzung eines angemessenen und funktionsfähigen internen Kontrollsystems im Unternehmen. Diese können sowohl toolgestützt wie z.B. mittels SAP Access Control, als auch durch manuelle Auswertungen zur Anwendung kommen.
Solche Regelwerke umfassen einerseits Einzelregeln, wie zum Beispiel „Kreditorenrechnung buchen“ bzw. andererseits Regeln für Funktionstrennungskonflikte, wie zum Beispiel „Kreditorenrechnung buchen UND Zahllauf starten“.
Das Risiko im Zusammenhang mit Regelwerken bezieht sich auf die potenziellen negativen Auswirkungen, die sich aus der Nichtbefolgung von festgelegten Richtlinien und Standards ergeben können. Dies kann finanzielle Verluste, Reputationsschäden und rechtliche Konsequenzen umfassen.
Bewertung der Risiken von Regelwerken
Die Basis für die unternehmenseigene Bewertung sind das jeweilige Unternehmens- als auch Prozessrisiko.
Abhängig vom jeweiligen Prozess basieren die Bewertungsgrundlagen auf regulatorischen Vorschriften oder unternehmensinternen Richtlinien, die sich aus dem Risikomanagement bzw. dem Internen Kontrollsystem ergeben.
Wenn im Unternehmen ein Internes Kontrollsystem definiert und implementiert ist, ist dieses bei der entsprechend zutreffenden Regel zusätzlich zu berücksichtigen. In diesem Fall besteht die Möglichkeit, die Auswirkung der Regel gemäß des im Unternehmen zu definierenden Berechnungsverfahrens anzupassen.
In einem ersten Schritt ist die jeweilige Regel aus einem Regelwerk dahingehend zu hinterfragen, ob für diese ein
- betriebswirtschaftliches,
- handelsrechtliches oder
- IT-sicherheitsspezifisches
Risiko anzunehmen ist.
Ergänzend zu den zuvor genannten Kriterien kann jedes Unternehmen weitere Bewertungen vornehmen. Eine solche Bewertung erfolgt unter Einbeziehung unternehmensinterner Kriterien, welche entweder die bestehende Risikoeinstufung verschärfen oder aufgrund eines implementierten Internen Kontrollsystems verringern.
Solche Kriterien können unter anderem sein:
- Betrug inkl. Schadenshöhe
- Risiko aus Geldwäsche
- Datenschutzrechtliche Risiken
- Aufbewahrungspflichten
- Reputationsschaden
Diese unternehmenseigenen Kriterien lassen sich anhand der internen Risikomanagementvorgaben herleiten.
Eine Bewertung des Regelrisikos kann unter folgenden Gesichtspunkten erfolgen:
- Risikovermeidung
- Risikoreduktion
- Risikotransfer
- Risikoübernahme
Unabhängig davon, welche Kriterien bei einer Regel zur Anwendung kommen, ist stets die Vorgehensweise zu dokumentieren, nach der eine entsprechende Risikoeinstufung erfolgt ist.
Fazit
Regelwerke, welche bei der Umsetzung eines angemessenen und funktionsfähigen internen Kontrollsystems im Unternehmen unterstützen, sind nach entsprechenden nachvollziehbaren Kriterien zu bewerten. Dabei spielen sowohl regulatorische, IT-Sicherheitsrelevante aber auch unternehmenseigene Bewertungskriterien eine wesen