In allen Einzelunternehmen, als auch in Konzernen, ist es zwingend erforderlich, Zugriffsrechte zu definieren. Dieses dient nicht nur der Einhaltung rechtlicher Anforderungen, sondern bewahrt die Unternehmen auch vor teils erheblichen Verlusten materieller und nicht materieller Art und nicht zuletzt wird auch das eigene Personal vor unberechtigten Zugriffen in sein Arbeitsgebiet geschützt.

 

Digitalisierung schafft zusätzliches Handlungserfordernis

In der, durch die Digitalisierung immer komplexer werdenden Geschäftswelt, ist dieses auch eine Anforderung an Interne Kontroll Systeme (IKS) und aus dem Sarbanes Oxley Act (SOX oder SOA) resultierend, sofern Unternehmen in den USA Töchterunternehmen haben bzw. an der amerikanischen Börse gelistet sind oder werden wollen.

Tabu: Zugriffsberechtigungen in Personalunion

Damit Zugriffe auf Daten anderer Unternehmen (z. B. Kreditoren / Debitoren) oder des eigenen Unternehmens (Personaldaten / Finanzdaten / Kalkulationen etc.) nicht durch Unbefugte wissentlich oder unwissentlich erfolgen, wird die Berechtigung oft nach Funktionen erteilt. Als Beispiel kann die Funktion des Einkäufers oder Kreditorenbuchhalters herangezogen werden. So ist eine strikte Trennung zwischen den Berechtigungen dieser Funktionsbereiche anzuwenden. Der Kreditorenbuchhalter darf z.B. nicht gleichzeitig in der Lage sein, Zahlungen zu genehmigen und auch auszuführen. Auch ein versehentlicher Fehler, wie z. B. das Setzen einer Zahlungs- oder Liefersperre, kann erheblichen Schaden anrichten.

Stammdaten durch Unabhängigen gegenprüfen

Ein weiterer sehr sensibler Bereich ist die Stammdatenanlage. Diese Form der Datenanlage ist genauestens zu überwachen. Die Anlage der Stammdaten kann nur anhand einer ordentlichen Dokumentation erfolgen. Nach der Anlage sind die eingegebenen Daten durch eine unabhängige dritte Person zu prüfen und freizugeben. Jede Änderung an den Stammdaten ist zu dokumentieren (Ausnahmebericht) und ebenfalls durch eine unabhängige Person zu überprüfen und abzuzeichnen.

Ein "Muss": Eindeutige Benennungen 

Die Berechtigungen sind klar zu definieren. Es muss auch eine eindeutige Zuordnung zu den jeweiligen Fachgruppen und Personen erfolgen. Pauschale Berechtigungsanträge, die lediglich Bezug auf vorhandene Zugriffsrechte einer anderen Person nehmen (z. B. Berechtigungen wie Frau XXXX), sind abzulehnen.

Eindeutigkeit auch in EDV-Anwendungen

Zu beachten sind die rechtlichen, inländische wie auch ausländische Bedingungen (sofern das Unternehmen international aufgestellt ist).

Für die jeweiligen IT-Systeme sind einerseits Berechtigungssysteme / -konzepte vorhanden oder es können auch eigene Dokumentationen anhand von Office-Dokumenten (Word oder Excel) erstellt werden. In jedem Fall ist es sinnvoll, eine Richtlinie klar und deutlich vorzugeben.

Michael F. Böhne - BMS – eMail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. oder Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.  Mobil: + 49 (0)172 291 972 4

Partner im Verbund beratender Unternehmer ( VBU )

Lektorat:
Katharina Daniels Kommunikationsberaterin & Publizistin, Partnerin im VBU 

© Fotolia #85430467, stevecuk