Möglicherweise versuchen Sie, mit einem gesicherten Browser auf dem Server auf diese Website zuzugreifen. Aktivieren Sie Skripts, und laden Sie diese Seite dann erneut.
Home
Intern
Deutsch
|
English
Themenspecial: Employer of Record – ein Länderüberblick zu Chancen und Grenzen » |
Weltweit
Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.
✕
Deutschland
Ansbach
Bayreuth
Berlin
Bielefeld
Chemnitz
Dortmund
Dresden
Eschborn
Fürth
Hamburg
Herford
Hof
Jena
Köln
Mettlach
München
Münster
Nürnberg
Plauen
Regensburg
Selb
Stuttgart
Ulm
Weltweit
Ägypten
Algerien
Angola
Argentinien
Aserbaidschan
Äthiopien
Australien
Bahrain
Belarus
Belgien
Bosnien und Herzegowina
Botsuana
Brasilien
Bulgarien
Chile
China
Costa Rica
Dänemark
Deutschland
Ecuador
Estland
Finnland
Frankreich
Georgien
Ghana
Griechenland
Großbritannien
Hongkong (SAR)
Indien
Indonesien
Irland
Italien
Japan
Kambodscha
Kanada
Kasachstan
Katar
Kenia
Kolumbien
Kroatien
Kuwait
Lettland
Libyen
Liechtenstein
Litauen
Luxemburg
Malaysia
Malta
Marokko
Mauritius
Mexiko
Moldau
Mongolei
Mosambik
Myanmar
Namibia
Neuseeland
Niederlande
Nigeria
Nordmazedonien
Norwegen
Oman
Österreich
Pakistan
Paraguay
Peru
Philippinen
Polen
Portugal
Rumänien
Sambia
Saudi-Arabien
Schweden
Schweiz
Serbien
Singapur
Slowakei
Slowenien
Spanien
Südafrika
Südkorea
Taiwan
Tansania
Thailand
Tschechische Republik
Tunesien
Türkei
Uganda
Ukraine
Ungarn
Uruguay
USA
Usbekistan
Vereinigte Arabische Emirate
Vietnam
Zypern
Eigene Niederlassungen von Rödl & Partner
German Professional Services Alliance -
GPSA
�������������������������������������������������������������
(Farben erscheinen beim Mouseover)
Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren
Datenschutzbestimmungen
.
Themenspecials
Internationalisierung: Interviews aus fast 50 Ländern
Employer of Record
Employer of Record
Kapitalkostenermittlung
Ausblick auf 2024
Lieferketten-Compliance
Environmental, Social & Governance
Fachkräfte-Einwanderung und Immigration
Lieferkettengesetz international
Mergers and Acquisitions
Weitere über 130 Themen »
Dienstleistungen
Alles aus einer Hand
Unsere Geschäftsfelder
Rechtsberatung
Steuerberatung
Business Process Outsourcing
Unternehmens- und IT-Beratung
Wirtschaftsprüfung
Interdisziplinäre Dienstleistungen
International Family Offices
Mergers & Acquistions
Mergers & Acquisitions
Newsletter M&A Dialog
Abgeschlossene Transaktionen
Wen wir beraten
Medien
Entrepreneur
Virtual Reality
Rödl & Partner-App
Virtual Reality-Touren
Publikationen
Entrepreneur
Unternehmerbriefing
Gut zu wissen
Newsletter
Broschüren
Investitionsführer
Bücher
Fachaufsätze
Mitteilungen
Downloadcentre
Abgeschlossene Transaktionen
Umfragen
Ansprechpartner
Daten und Fakten
Veranstaltungen
Save the date: Forum Global
M&A Dialog
25. Forum Global 2024
ESG Tag von Rödl & Partner
8. M&A Dialog
Rödl & Partner Steuerkonferenz 2024
Rödl & Partner x LucaNet Event
M&A Campus 2024
Live-Webinarreihe: NextGen Akademie
Coffee Break: Expertenforum Restrukturierung
ESG Roadshow: Ready for CSRD?
Weitere Veranstaltungen
Über uns
Faktenbuch
Unternehmergeist und Werte
Daten und Fakten
Corporate Social Responsibility
Unternehmergeist und Werte
Faktenbuch
Geschäftsführende Partner
Gründer Dr. Bernd Rödl
Standorte weltweit
Soziales Engagement
Projektfundus
Rödl-Mitarbeiter-Stiftung für Kinderhilfe
Partnerschaftsverein Charkiw-Nürnberg
Karriere und Familie
Transparenzbericht
Auszeichnungen
Rechtsanwälte und Steuerrechtler im Profil
Digitale Agenda
Karriere
Themen
Berechtigungsanalyse der IT-Rechte in Verwaltungs- und Geschäftsanwendungen
Erneuerbare Energien
Benchmarking
Digitale Agenda
E-Invoicing
Energyplus
ESG-Tag Rödl & Partner
fgg
International Expert Roundtable
Themen
Zurzeit ausgewählt
Gut zu wissen
Mitarbeiterentsendung
Marken und Intangible Assets richtig bewerten
Altersvorsorge
AOA
ASEAN
Aufsichtsrecht
Außenwirtschaft und Zoll
BilRUG und weitere Reformen
Business Process Outsourcing
China
Corporate Governance
Digitale Kommune
Distressed M&A
Due Diligence
Energiekosten senken
Erneuerbare Energien aktuell
Erneuerbare Energien im Fokus
Erneuerbare Energien international
EU-Fördermittel für deutsche Unternehmen in Polen
Family Offices und vermögende Privatpersonen
GoBD
Immobilienwirtschaft
Internationalisierung
Investieren in Deutschland
Konzernsteuerung in familiengeführten Unternehmensgruppen
Management-Reporting
Mitarbeiterbindung
Mittelstandsfinanzierung
Moderne Arbeitswelt
Naher Osten
Rechnungslegung und Berichterstattung
Rechnungswesen und Steuerung – Ausdauertraining für die Kommunen
Zuletzt verwendet
Assurance & IT in der Gesundheits- und Sozialwirtschaft
Aufsichtsräte und Beiräte
Ausblick 2024
Ausblick auf 2022
Ausblick auf 2023
Automobilzulieferindustrie
Baurecht und Architektenrecht
Betriebliche Altersversorgung
Betriebsprüfung bei steuerbegünstigten Körperschaften
Breitband
Brexit
Compliance
Compliance-Management im Gesundheitswesen
Corporate Litigation
DAC 6
Datenschutz-Grundverordnung
Der Side Letter
Digitalisierung
Digitalisierung Finanzbuchhaltung
Digitalisierung in der Pflegebranche
Doing Business in Africa
Employer of Record
Energieversorgung 4.0
Energiewirtschaft 3.0 – eine Branche im Umbruch
ERP-Umstellung im Mittelstand
ESG
Familienunternehmen
Franchising
Geistiges Eigentum
Green Claims oder Greenwashing?
Grenzüberschreitende Umwandlungen
Homeoffice
Immigration
Indien
Internationale Unternehmensbewertung
Internationaler Anlagenbau in ASEAN
Internationales Arbeitsrecht
Internationales Investitionsschutzrecht
IT-Audit
Jahresrückblick 2018
KAGB
Kapitalkostenermittlung
Kapitalmarktorientierte Unternehmen
Kartellrecht
Konfliktmanagement
Lieferketten-Compliance
Lieferkettengesetz im Asiengeschäft
Lieferkettengesetz international
Life Sciences
Litigation & Arbitration
Microsoft-Lösungen im Mittelstand
Nachfolgeprozess – Unternehmensnachfolge
Nachhaltigkeit
Öffentliche Beteiligungsunternehmen
Organhaftung
Personal-Gesundheits-Sozialwirtschaft
Plastic Tax
Post Merger Integration
Rechtsberatung
Restrukturierung
Risikomanagement im Mittelstand
SAP Mittelstand
Schweiz
Selbstanzeige
Singapur
Start-up-Finanzierung
Steuerberatung
Steuerfallen
Stiftungen
Tax Compliance Gesundheitswirtschaft
Testament - Erbrechtliche Gestaltung der Unternehmensnachfolge
Umsatzsteuer
Umstrukturierung
Unternehmensinterne Ermittlungen
Unternehmenskauf im Ausland
Unternehmenskauf in Deutschland
Unternehmensnachfolge
Unternehmerische Mitbestimmung
USA
Venture-Capital
Verrechnungspreise
Vertrieb
Wegzug aus Deutschland
Whistleblowing
Wirtschaftsprüfung
Berechtigungsanalyse der IT-Rechte in Verwaltungs- und Geschäftsanwendungen
Seiteninhalt
Von Hannes Hahn
veröffentlicht am 3. Juni 2013
Richtlinien, Geschäftsanweisungen, Geschäftsverteilungspläne und Arbeitsplatzbeschreibungen regeln, was eine Mitarbeiterin bzw. ein Mitarbeiter in einer Verwaltung oder in einem kommunalen Unternehmen darf und was nicht. Ob dies jedoch in der den Verwaltungs- und Geschäftsprozessen zugrundliegenden IT auch so umgesetzt ist, ist eine ganz andere Frage. Eine Berechtigungsanalyse auf IT-Ebene klärt, welchen Zugriff die Mitarbeiter in digitaler Hinsicht haben. Der Artikel zeigt, wie man vorgehen kann.
Das jeweilige Berechtigungssystem in Fach-, eGovernmentund doppischen Finanzmanagement- bzw. kaufmännischen ERP-Anwendungen hat die Aufgabe, die fachlichen Rechte auf technischer Ebene so einzuräumen, dass die Anwender ihrer täglichen Aufgaben ohne Hürden nachkommen können. Das Berechtigungssystem stellt aber auch sicher, dass die Anwender gemäß den Verwaltungs- und Unternehmensvorgaben nur auf die für sie relevanten Daten und Funktionen Zugriff haben.
Das Berechtigungssystem ist jedoch oftmals historisch gewachsen bzw. unterliegt laufend Veränderungen. Zudem lauert bei Einführung von neuen Anwendungen die Gefahr, dass man zugunsten von Lauffähigkeit und geringer Supportlast die Rechte zu weit vergibt, um Fehler und Prozessstillstand zu vermeiden. Viele Anwender dürfen am Anfang sehr viel, jedoch werden die Rechte im weiteren Verlauf nicht wieder genommen. Ergebnisse unserer IT-Prüfungen zeigen, dass viele Anwender mit sogenannten Admin-Rechten ihrer täglichen Arbeit nachgehen. Diese Konflikte gehören regelmäßig überprüft und beseitigt.
Aber auch bei Wachstum oder Veränderungen in der Verwaltungs- und Unternehmensstruktur ist es sinnvoll, ein besonderes Augenmerk auf die Deckungsgleichheit von Rechten der Mitarbeiter/-innen in den Verwaltungs- und Geschäftsprozessen und den Rechten als Anwender im System zu legen.
Dazu empfiehlt sich eine regelmäßige Überprüfung des Berechtigungssystems auf IT-technischer Ebene!
Gesetzliche Grundlage
Für Kommunen und Unternehmen gilt nicht nur das Eigeninteresse, sich einen Überblick über das bestehende Berechtigungssystem zu verschaffen. Hierzu bestehen auch gesetzliche Pflichten. Das Bilanzrechtsmodernisierungsgesetz (BilMoG) schreibt für Unternehmen eine Stärkung des internen Kontrollsystems (IKS) vor. Neben einem ordnungsgemäßen IKS gehört die Überwachung der vergebenen Berechtigungen sowie die Erfüllung der Anforderungen der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoB) dazu. Auch bei Kommunen gilt die Erfüllung der Anforderungen an die GoB. So verweisen regelmäßig die landesspezifischen Gemeindeordnungen oder Haushaltskassenverordnungen auf die Einhaltung der GoB (z.B. § 95 Abs. 1 Satz 2 GO NRW) und die Prüfungspflichten bei Einsatz von IT (z. B. § 103 Abs. 1 Satz 6 GO NRW).
Rechteexport
Je nach zu prüfendem System müssen die Rechte zunächst ausgelesen werden. Dies ist in Abhängigkeit des Systems manchmal einfach und manchmal ist es komplex. So werden z.B. die Rechte in Microsoft Dynamics AX erst zu Laufzeit über den Kernel des Systems aufgebaut und dem Anwender wird der Zugriff erlaubt oder verwehrt. Man findet in AX keine Tabelle, die die Rechtevergabe abschließend vorhält und welche man „nur” auslesen muss, um sie prüfen zu können. Dagegen sind die Rechte in Microsoft Navision (die Basis der Anwendungen von Infoma und MPS) in einzelnen Tabellen abgelegt, die relativ aufwandsarm extrahiert werden können.
Rödl & Partner hat als Microsoft-Partner eine Routine entwickelt, diese Rechte z.B. aus AX auszulesen. Ähnliche Routinen liegen auch für andere Systeme wie Microsoft Navision, SAP oder dem Microsoft Active-Directory vor.
Auflösung von Berechtigungsgruppen
In der Regel werden in den IT-Systemen Rechte nicht direkt an einzelne Anwender vergeben, sondern über Berechtigungsgruppen organisiert. In diesen Berechtigungsgruppen werden die einzelnen Rechte verankert (z.B. in einem ERP-System die Leserecht für Sachkonten, Schreibrechte für Rechnungen, etc.) und den einzelnen Anwendern über Mitgliedschaft zugewiesen.
Durch diesen Sachverhalt können im Verlauf der Zeit eine Vielzahl von Berechtigungsgruppen unterschiedlichsten Zuschnitts entstehen. Manche Gruppen werden ordnungsgemäß funktional entwickelt. Manche Gruppen werden der Einfachheit halber anwenderspezifisch eingerichtet. Dies kann zu einem sehr unsystematischen Verbund verschiedener Berechtigungsgruppen und zu einem Chaos auf Anwenderebene führen.
Die Gefahr besteht, dass der Überblick über die Rechte in den Gruppen verloren geht. Dies führt zu nicht gewollten Rechte- Kombinationen bei den Anwendern, wenn diese Mitglied in mehreren Gruppen sind. Daher ist es notwendig, dass die Rechte aus den Gruppen pro Anwender verschnitten und analysiert werden.
Die anwenderbezogene Analyse dieser Rechtevergabe ist oftmals im System sehr umständlich und wird daher nur selten bis gar nicht gemacht. Durch die von uns entwickelte Routine ist diese Analyse aufwandsärmer umzusetzen.
Analysemethode
Nachdem die Rechte ausgelesen wurden, werden verschiedene Analysen vorgenommen. Wir unterscheiden in Mengenanalysen und Konfliktanalysen. Die Mengenanalyse zeigt auf, wer als Anwender in bestimmten Bereichen Rechte hat. Oftmals ist die Vergabe solcher Rechte richtig und notwendig. Es gilt nur zu fragen, ob die Rechtevergabe mit der Rolle des Anwenders in der Verwaltung bzw. im Unternehmen in Einklang steht. Nicht selten haben Anwender den Aufgabenbereich gewechselt, aber die Rechte behalten. Zu den Mengenanalysen gehören z. B.:
Wer hat systemnahe Berechtigungen?
Wer hat Customizing-Rechte?
Wer hat Berechtigungen rund um das Jobsystem/Hintergrundverarbeitung?
Wer hat Berechtigungen rund um das Schnittstellensystem?
Wer hat Berechtigungen rund um die Berechtigungsgruppenverwaltung und die Pflege der Anwender?
Wer hat Berechtigungen von besonderem Umfang (wie bei Key-Usern üblich)?
Diese Mengenanalyse dient als Basis für einen Abgleich mit der in der Verwaltung bzw. im Unternehmen definierten Funktionstrennung. Das Ergebnis der Analyse wird mit dem Organigramm bzw. den Organisationsrichtlinien verglichen.
Danach werden Konflikte innerhalb der Rechtevergabe analysiert. Bei der Konfliktanalyse wird davon ausgegangen, dass bestimmte Rechte mit anderen Rechten im System nicht vereinbar sind. Um eine wirksame Trennung von Funktionen (Vier-Augen- Prinzip) in der Verwaltung bzw. im Unternehmen umsetzen zu können, muss diese auch innerhalb des Berechtigungssystems der Anwendungen umgesetzt sein.
Unsere Analysemethode innerhalb der entwickelten Routine kennt einen „Basisumfang” an zu analysierenden Konflikten. Zu diesen gehört z.B. in Finanzmanagementverfahren der Kommunen oder ERP-Systemen bei kommunalen Unternehmen:
Pflege der Kreditorenbankdaten getrennt von der Kreditorenstammpflege und Erfassung/Bearbeitung der Eingangsrechnungen
Erfassung/Bearbeitung von Bestellungen (Einkauf) getrennt von der Erfassung/Bearbeitung der Eingangsrechnungen
Pflege der Sachkontenbuchungen getrennt von der Buchungserfassung im Hauptbuch, etc.
Dieser Basisumfang kann und sollte um für die Kommunen oder die Unternehmen spezifische interne Kontrollen und Funktionstrennungen angereichert werden. Diese Methode der Konfliktanalyse setzt eine genaue Kenntnis des Rechtesystems voraus, um die gewünschte Funktionstrennung im System analysieren zu können. Über die regelmäßige IT-Prüfung bei unseren Mandanten hat Rödl & Partner viele Anwendungssysteme analysiert und diese der Routinenentwicklung zugeführt.
Handlungsbedarf
Das Analyseergebnis dient als Ausgangsgrundlage für die Ableitung des Handlungsbedarfs. Wir kennen drei Stufen: In einer ersten Stufe müssen den Anwendern kurzfristig die Rechte entzogen werden, die definitiv nicht zum Modell einer ordnungsgemäßen Funktionstrennung passen. Dazu zählen z.B. Entwicklerrechte für die Geschäftsleitung oder Admin-Rechte auf Sachbearbeitungsebene.
In einer weiteren Stufe muss geklärt werden, wie mit Rechtekonflikten umzugehen ist. Dabei kann eine Lösung sein, dass idealerweise der Rechtekonflikt durch Rechteentzug gelöst wird. Es kann aber auch sein, dass die Anwenderrechte so belassen werden und der Konflikt durch eine organisatorische Kontrolle kompensiert wird.
In jedem Falle ist in einer dritten Stufe ein Berechtigungskonzept aufzubauen bzw. ein bestehendes anzupassen. Dieses Berechtigungskonzept ist im Idealfall regelmäßig (jährlich) über die obige Analyse zu verifizieren.
Aus dem Newsletter
Fokus Public Sector
Ausgabe Juni 2013 als PDF lesen
Kontakt
Hannes Hahn
CISA - CSP - DSB, IT-Auditor IDW
Partner, Rödl IT Secure GmbH
+49 221 9499 092 00
Anfrage senden
Deutschland
Weltweit
Search
Menu
