In allen Einzelunternehmen, als auch in Konzernen, ist es zwingend erforderlich, Zugriffsrechte zu definieren. Dieses dient nicht nur der Einhaltung rechtlicher Anforderungen, sondern bewahrt die Unternehmen auch vor teils erheblichen Verlusten materieller und nicht materieller Art und nicht zuletzt wird auch das eigene Personal vor unberechtigten Zugriffen in sein Arbeitsgebiet geschützt.
Digitalisierung schafft zusätzliches Handlungserfordernis
In der, durch die Digitalisierung immer komplexer werdenden Geschäftswelt, ist dieses auch eine Anforderung an Interne Kontroll Systeme (IKS) und aus dem Sarbanes Oxley Act (SOX oder SOA) resultierend, sofern Unternehmen in den USA Töchterunternehmen haben bzw. an der amerikanischen Börse gelistet sind oder werden wollen.
Tabu: Zugriffsberechtigungen in Personalunion
Damit Zugriffe auf Daten anderer Unternehmen (z. B. Kreditoren / Debitoren) oder des eigenen Unternehmens (Personaldaten / Finanzdaten / Kalkulationen etc.) nicht durch Unbefugte wissentlich oder unwissentlich erfolgen, wird die Berechtigung oft nach Funktionen erteilt. Als Beispiel kann die Funktion des Einkäufers oder Kreditorenbuchhalters herangezogen werden. So ist eine strikte Trennung zwischen den Berechtigungen dieser Funktionsbereiche anzuwenden. Der Kreditorenbuchhalter darf z.B. nicht gleichzeitig in der Lage sein, Zahlungen zu genehmigen und auch auszuführen. Auch ein versehentlicher Fehler, wie z. B. das Setzen einer Zahlungs- oder Liefersperre, kann erheblichen Schaden anrichten.
Stammdaten durch Unabhängigen gegenprüfen
Ein weiterer sehr sensibler Bereich ist die Stammdatenanlage. Diese Form der Datenanlage ist genauestens zu überwachen. Die Anlage der Stammdaten kann nur anhand einer ordentlichen Dokumentation erfolgen. Nach der Anlage sind die eingegebenen Daten durch eine unabhängige dritte Person zu prüfen und freizugeben. Jede Änderung an den Stammdaten ist zu dokumentieren (Ausnahmebericht) und ebenfalls durch eine unabhängige Person zu überprüfen und abzuzeichnen.
Ein "Muss": Eindeutige Benennungen
Die Berechtigungen sind klar zu definieren. Es muss auch eine eindeutige Zuordnung zu den jeweiligen Fachgruppen und Personen erfolgen. Pauschale Berechtigungsanträge, die lediglich Bezug auf vorhandene Zugriffsrechte einer anderen Person nehmen (z. B. Berechtigungen wie Frau XXXX), sind abzulehnen.
Eindeutigkeit auch in EDV-Anwendungen
Zu beachten sind die rechtlichen, inländische wie auch ausländische Bedingungen (sofern das Unternehmen international aufgestellt ist).
Für die jeweiligen IT-Systeme sind einerseits Berechtigungssysteme / -konzepte vorhanden oder es können auch eigene Dokumentationen anhand von Office-Dokumenten (Word oder Excel) erstellt werden. In jedem Fall ist es sinnvoll, eine Richtlinie klar und deutlich vorzugeben.
Michael F. Böhne - BMS – eMail:
Partner im Verbund beratender Unternehmer ( VBU )
Lektorat:
Katharina Daniels Kommunikationsberaterin & Publizistin, Partnerin im VBU
© Fotolia #85430467, stevecuk