Risiko- und Kontrollmanagement

Ich prüfe, berate und schule.
SellfControl - Logo

SellfControl steht für sich selbst regulierende Managementsysteme

Interne Kontrollsysteme, Risikomanagement und revisionssichere Prozesse sind meine Passion. In Prüfungen, Beratungen und in Seminaren entwickle, implementiere, und überwache ich erfolgreich selbstregulierende Managementsysteme in Unternehmen. Im Auftrag von Wirtschaftsprüfungsgesellschaften, der internen Revision, IT-Abteilung oder von Fachabteilungen, wie zum Beispiel der Finanzbuchhaltung. Branchenübergreifend in (Finanz-) Dienstleistung und Produktion.

Seit nunmehr fast 30 Jahren liefere ich meinen Kunden innovative Lösungen. Risiko- und Kontrollmanagement prüfen und revisionssichere Prozesse implementieren. Kleine und mittlere Unternehmen, aber auch Branchenführer und global agierende Konzerne konnten durch mein Wissen und Handeln ihre Ordnungsmäßigkeit, Wirtschaftlichkeit und Sicherheit signifikant erhöhen.

Prüfend, beratend und in Seminaren. Fachübergreifend im Rechnungswesen, der Revision und Organisation sowie in der IT-Administration.

Meine Kunden profitieren von dieser Vielfalt.

Unternehmensbereiche >>
SellfControl - Unternehmenserfolg

Ein Beispiel aus der Praxis

SellfControl - Logo

Regelwerke für die Prüfung von Berechtigungen in SAP-Systemen mit CheckAud®

Mein Auftraggeber - IBS Schreiber GmbH, Hamburg

Gegründet am 01. Juli 1979, ist die IBS Schreiber GmbH heute einer der führenden Anbieter für SAP- und IT-Sicherheit. Die IBS entwickelt seit 1979 die Prüfsoftware CheckAud®. Berechtigungskonzepte in SAP-Systemen werden damit transparent, leicht prüfbar und kontrollierbar gemacht. Die Anwendung ist wesentlicher Bestandteil im Rahmen eines umfassenden Kontrollmanagements in einem internen Kontrollsystem.

www.ibs-schreiber.de >>
CheckAud for SAP Systems

Die Prüfsoftware CheckAud® for SAPSystems

CheckAud® ermöglicht es, Berechtigungskonzepte in SAP-Systemen transparent, leicht prüfbar und kontrollierbar zu machen. Die Software enthält das komplette Know-how für eine vollständige Prüfung der Berechtigungen des SAP-Systems.

Das in CheckAud® implementierte Regelwerk beinhaltet umfangreiche Abfragen zur Kritikalität von Berechtigungen in den Kernmodulen und spezifischen Branchenlösungen in SAP-Systemen. Innerhalb der Abfragen werden die Risiken zu den kritischen Einzelberechtigungen, sowie zu den kritischen Berechtigungskombinationen, die sich aus prozessualen Funktionstrennungskonflikten ergeben, dargestellt. Die Nutzung von CheckAud® for SAP Systems erlaubt den Aufbau, die  Pflege und die Kontrolle eines konfliktfreien Berechtigungsmanagements.

Die Aufgabe

Neben den fachlichen Erweiterungen sollte CheckAud® zukünftig vermehrt auch in gesetzlich oder aufsichtlich vorgeschriebenen Prüfungen, wie z. B. Revisionsprüfungen, Jahresabschlussprüfungen, etc. Anerkennung finden. Die Nutzung von CheckAud® sollte somit die Anforderungen sowohl als einfaches Kontrollinstrument in der „First Line of Defense“, als auch als etabliertes Prüfinstrument in der „Third Line of Defense“ vollumfänglich erfüllen.

Die je Abfrage mitgelieferten Risikobeschreibungen müssen hierzu revisionsfeste Argumente zum Umgang mit den kritischen Einzelberechtigungen und den kritischen Berechtigungskombinationen liefern. Zur Umsetzung ergaben sich die folgenden Aufgaben:

  • Herleitung von nachvollziehbaren Bewertungskriterien zur Ermittlung der individuellen Kritikalität der Einzelberechtigungen und von Berechtigungskombinationen.
  • Entwicklung einer strukturierten Beschreibung der Risiken und die zusätzliche Herleitung und Darstellung der Kritikalität als nummerischen Wert.
  • Transparente Darstellung der „Bedingungen, die zum jeweiligen Risiko führen“, des „eigentlichen Risikos“ und der „Auswirkungen bei der Berechtigungsvergabe“.
  • Entwicklung neuer Abfragen zu den SAP Modulen FS-CML, FS-CD, IS-U und CO.
  • Identifizierung und Beschreibung von Funktionstrennungskonflikten (Segregation of Duties – SOD’s).
  • Überarbeitung der bestehenden Abfragen zu den Kernmodulen.

Die Ausgangssituation

Das in CheckAud® vorgefundene Regelwerk enthielt zunächst ca.1200 Berechtigungsabfragen. Die Risikobeschreibungen enthielten keine ausreichenden Darstellungen der Auswirkungen auf Unternehmensebene. Die Kritikalität wurde nummerisch in sieben Stufen (Keine –> Kritisch) dargestellt. Kriterien für die Bedeutung und die Einstufung der Kritikalität waren nicht vorhanden.

Berechtigungen in IT-Systemen
SellfControl - Risk Detection Module

Meine Lösung

Alle sieben Kritikalitätsabstufungen wurden beibehalten und um Bewertungskriterien und Sofortmaßnahmen ergänzt.

Die spezifische Risikobewertung der Einzelberechtigungen und der Berechtigungskombinationen erfolgte strukturiert mit Hilfe unseres „Risk Detection Module“. Je Abfrage werden hier der Sachverhalt, bzw. die Bedingungen, die zu dem jeweiligen Risiko führen, detailliert beschrieben.

Individuelle Risikobeschreibungen orientieren sich nun an gesetzlichen und aufsichtlichen Vorgaben, wobei auch Reputationsschäden berücksichtigt werden.

Die jeweiligen Auswirkungen bei der Vergabe der Berechtigungen sind auf Unternehmensebene zusammengefasst. Empfehlungen zum Umgang mit der gewollten, bzw. ungewollten Vergabe der betrachteten Berechtigungen zeigen wirksame Maßnahmen zur Vermeidung oder Verringerung des jeweiligen Risikos auf.

Beeindruckend

Meinem Anspruch folgend, eine vollumfängliche Modulbetrachtung vorzunehmen, habe ich für die Überarbeitung der Abfragen zu den Kernmodulen, sowie die Entwicklung neuer Abfragen für die Module CO, FS-CD, FS-CML und IS-U  insgesamt mehr als 4500 (!) einzelne Transaktionen bewertet.

Durch die funktionale Zusammenfassung der Einzeltransaktionen habe ich ca. 1100 Funktionsbausteine entwickelt und als CheckAud®-Abfragen aufbereitet. Die risikoorientierte Betrachtung der prozessualen Abläufe ergaben zusätzlich mehr als 550 kritische Berechtigungskombinationen.

Die modulspezifischen Plotterausdrucke erreichen hierbei auch schon mal eine Länge von 7,50m!

Das Ergebnis

Die Regelwerke enthalten nicht nur kritische Einzelberechtigungen, sondern auch kritischen Berechtigungskombinationen zu Funktionstrennungskonflikten (Segregation of Duties – SOD’s).

Durch die Darstellungen der Sachverhalte, der Risiken und deren Auswirkungen, im Falle der Berechtigungsvergabe, werden die wesentlichen Fragestellungen zu den jeweiligen Einzelberechtigungen, bzw. Berechtigungskombinationen fach- und abteilungsübergreifend beantwortet.

Die Einstufung der Kritikalität und die Risikobetrachtung der einzelnen Abfragen sind nachvollziehbar aufgebaut und fügen sich so in bestehende Kontrollsysteme nahtlos ein. Der Grad der Einhaltung von gesetzlichen und aufsichtlichen Anforderungen ist detailliert beschrieben. Die detaillierten Handlungsempfehlungen dienen als praktische Hilfen zur Schadensabwehr. Die Anforderungen an ein „Prüfinstrument“ in der „Third Line of Defense“ sind vollumfänglich erfüllt. Prüfer, IT-Administratoren und Fachverantwortliche können somit auf Augenhöhe miteinander kommunizieren.

Die von mir entwickelten Abfragen werden direkt in CheckAud® eingesetzt. Sowohl die Prüfer und Revisoren der IBS Schreiber GmbH, als auch die lizensierten Nutzer der Prüfsoftware CheckAud® for SAP Systems nutzen meine detaillierten Beschreibungen, um die Einhaltung von Governance, Risk and Compliance in den betrachteten Bereichen zu gewährleisten.

Kontrollmanagement – Nachvollziehbar und revisionssicher.

Weitere Referenzen >>

Unternehmensbereiche

Revision

Re|vi|si|on

Prüfung - SellfControl
Übersicht Revision >>

Beratung

Be|ra|tung

Beratung - SellfControl
Übersicht Beratung >>

Seminare

Se|mi|nar(-e)

Seminare - SellfControl
Übersicht Seminare >>

Referenzen

Kunden

Kun|de(n)

SellfControl - Kunden
Im direkten Auftrag, über ehemalige Arbeitgeber oder Kooperationspartner (Auswahl):

Kleine und mittlere Unternehmen, aber auch Branchenführer und global agierende Konzerne.

SellfControl - Projekte, Aufgaben, Lösungen

Projekte, Aufgaben und Lösungen

Prozessmanagement – mehr als 30 Jahre
Interne Risiko- und Kontrollsysteme – mehr als 17 Jahre
Internal Audit / Revision – mehr als 15 Jahre

Beispiele Revision & Geldinstitute >>Beispiele Interne Kontrollsysteme und COSO >>Beispiele Managementsysteme >>Beispiele Prozesse >>Beispiele Software >>
  • EDSCHA
  • GMSH
  • Hamburgische Landesbank
  • HSBC Trinkaus & Burkhardt
  • HSH Nordbank
  • ibo Software
  • Bayer
  • Bayerischer Rundfunk
  • BearingPoint
  • Bundesbank
  • Celanese
  • Commerzbank
  • Daimler Chrysler
  • IBS Schreiber
  • Infonova
  • KAO PSS
  • KPMG
  • Minolta
  • Nortec Electronic
  • OnVista Bank
  • OXEA
  • SAP
  • S-Consit
  • Sparkassen (div.)
  • Volksbanken
  • WSLP Financial Audit
  • etc.

Ihr Ansprechpartner

Joachim Sell

Unternehmer. Inhaber.

Als Spezialist für interne Kontrollsysteme unterstütze ich Sie bei der Bewertung, Anpassung und Implementierung von ganzheitlichen Managementsystemen. Meine Prüfungserfahrung als Revisor und Auditor nutze ich in der Beratung, um Risiken zu erkennen und mit innovativen Lösungsansätzen zum Kontrollmanagement ordnungsmäßige, sichere und wirtschaftliche Abläufe sicher zu stellen. Als Prüfer, Berater und als Dozent.
SellfControl - Firma
SellfControl

Unternehmensberatung Joachim Sell

SellfControl - Adresse
Stipsdorfer Straße 5

23795 Weede

SellfControl - Telefon, Fax
Mobil: 0049 173 20 82 150

Festnetz:  0049 4551 96 77 22

Fax: 0049 4551 96 77 33

SellfControl - Internet
Joachim.Sell@SellfControl.de

www.SellfControl.de

www.kontrollmanagement.de