ArtikelCompliance

Wie können ERP-Systeme zur Einhaltung von Regularien und Gesetzen beitragen?

Autor/Redakteur: Wilhelm Baumeister, Product Manager bei proALPHA/gg

Auch wenn sich die Aufregung um die europäische DSGVO etwas gelegt hat: Der betriebliche Alltag wird immer stärker reguliert, immer mehr Vorschriften sind zu beachten. Welche Möglichkeiten bieten ERP-Systeme zur Sicherung der Compliance?

Bild: proALPHA

Am Thema Compliance kommt kein mittelständisches Unternehmen mehr vorbei. Denn Regularien und Vorgaben gewinnen immer mehr an Bedeutung und werden immer stärker wahrgenommen. Ob ein Unternehmen ethisch, nachhaltig und regelkonform wirtschaftet, ist für viele Kunden mittlerweile ein wesentlicher Einflussfaktor ihrer Kaufentscheidung. Dies bestätigt die aktuelle Studie „The Future of Compliance 2018“ der Beratungsgesellschaft Deloitte. Etwa 80 Prozent der Unternehmen, so die Studie, erhalten zumindest zu Beginn der Kundenbeziehung, Anfragen eines Kunden zum Compliance-Management.

©NicoElNino – Fotolia.com

Compliance spielt somit eine wesentliche Rolle für die Wahrnehmung auf dem Markt. ERP-Systeme bieten hier bereits zahlreiche Hebel, um ein regelkonformes Arbeiten zu erleichtern und die geforderten Nachweise zu erbringen:

  1. Zentraler Speicher aller relevanten Unterlagen: Seien es Prüfberichte für Medizingeräte oder Prozessbeschreibungen für eine ISO-Zertifizierung: Im Fall eines Audits muss ein Compliance-Nachweis erbracht werden. Ein zentrales Dokumenten-Management-System, in dem sich alle Audit-relevanten Geschäftsunterlagen befinden, schafft hierfür die richtige Basis: Denn hier sind Dokumente nicht nur zuverlässig aufbewahrt und rasch auffindbar. Änderungen an Dokumenten lassen sich über eine Versionierung auch noch nach Jahren einfach nachvollziehen.
  2. Regelkonforme Geschäftsprozesse: Damit Regeln eingehalten und Geschäftsprozesse optimiert werden können, bedarf es klarer, Workflow-gestützter Freigabeprozesse und regelbasierter Autorisierungen. So ist beispielsweise sicherzustellen, dass eine Person, die Bestellungen aufgibt, nicht gleichzeitig Schecks ausstellen oder Zahlungen anweisen kann. Zur Fehlervermeidung bei der Dateneingabe sollten zudem Mussfelder und Eingaberegeln definiert werden. Auch Belegprüfungen für Aufträge, Lieferscheine, Rechnungen, Gutschriften und Bestellungen müssen mit Zeitstempel dokumentierbar sein.   
  3. GoBD und Verfahrensdokumentation: Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) verpflichten seit 2015 das Unternehmen zur Erstellung einer Verfahrensdokumentation. Sie muss den Inhalt, Aufbau, Ablauf und die Ergebnisse der Datenverarbeitung in einem System vollständig und schlüssig wiedergeben. Ein Geschäftsprozess Designer wie der von proALPHA bietet die Möglichkeit, Prozesse mit den dazugehörigen Dokumenten zu verknüpfen. 
  4. Revisionssichere Belegablage: Aus den GoBD ergibt sich noch eine weitere Verpflichtung. Geschäftsdokumente sind revisionssicher aufzubewahren. Belege, die im DMS digitalisiert und archiviert wurden, müssen der Finanzverwaltung jederzeit elektronisch bereitgestellt werden. Um sicherzugehen, dass dieses Vorgehen auch einer Prüfung der Finanzbehörden standhält, sollten Unternehmen nicht ausschließlich auf die Aussagen eines ERP-Anbieters vertrauen. Dieser sollte auch eine Prüfung durch eine Zertifizierungsstelle oder einen anderen neutralen Dritten vorweisen können, wie beispielsweise die Zertifikate für das DMS von proALPHA durch EY und von audicon für die GoBD-Konformität.
  5. Konsistente Releasewechsel: Auch rund um das ERP-System selber gilt es Vorschriften einzuhalten, etwa bei einem System- oder Releasewechsel. Werden Daten von einer Version der Software auf die nächste übertragen, ist laut GoBD ein Nachweis zu erbringen, dass im Rahmen des Datentransfers keine Daten manipuliert oder verloren gegangen sind.
  6. Provenienz-Nachweise für den Export: Nicht nur für das prestigeträchtige „Made in Germany“-Label müssen Unternehmen einen lückenlosen Herkunftsnachweis aller Produktbestandteile erbringen, sondern auch für den Zoll. Hierbei unterstützt eine durchgängige Serien- und Chargennummernverwaltung. Wer Güter – auch innerhalb der EU – exportiert, muss zudem prüfen, ob dafür eine Genehmigung erforderlich ist. Jedem in den Produkten verwendeten Material ist dazu eine Export Controls Classification Number (ECCN) zuzuweisen. Anhand von Kontroll-Listen kann dann zum Beispiel festgestellt werden, ob es sich um Dual-Use-Güter handelt, die sich sowohl zivil wie militärisch einsetzen lassen. Hier ist ein Check der „besonderen Endverwendung“ nach Art. 4 EG-Dual-Use-Verordnung obligatorisch.
  7. Terrorismusbekämpfung und Sanktionslisten: Jeder Betrieb, egal welcher Größe, unterliegt der EU-Verordnung zur Terrorismusbekämpfung. Dazu müssen Geschäftskontakte mit nationalen und internationalen Sanktionslisten abgeglichen werden, und zwar auch, wenn das Unternehmen nur in der EU oder sogar nur in Deutschland aktiv ist. Auch hier gibt es inzwischen IT-Lösungen für den Abgleich. Denn manuell ist dies für die meisten Betriebe nicht mehr zu bewältigen.
  8. Informationssicherheit und Datenschutz: Für Geschäftszahlen und Konstruktionsdaten interessieren sich nicht nur Mitarbeiter und Management, sondern auch der Wettbewerb. Gerade weil das ERP-System die Steuerzentrale vieler Geschäftsprozesse ist, muss der Zugang zu Informationen genau geregelt und dokumentiert sein. Dies erfordert ein detailliertes Berechtigungskonzept sowie laufende Prüfmechanismen. Ein internes Kontrollsystem stellt die Einhaltung dieser Vorgaben sicher.
iStock.com/TarikVision

In Sachen Compliance kann ein ERP-System somit eine Dreifach-Funktion übernehmen: Es unterstützt die Einhaltung von Regeln und trägt damit zur Prävention versehentlicher Verstöße bei. Gleichzeitig hilft es bei den nötigen Kontrollen. Last but not least, hält es die nötigen Dokumentationen vor. Aber auch wenn das ERP-System hier viel leistet und unterstützt: Ohne das notwendige Bewusstsein bei den Mitarbeitern wird Compliance nicht gelingen.