Auch wenn sich die Aufregung um die europäische DSGVO etwas gelegt hat: Der betriebliche Alltag wird immer stärker reguliert, immer mehr Vorschriften sind zu beachten. Welche Möglichkeiten bieten ERP-Systeme zur Sicherung der Compliance? Der ERP-Hersteller proALPHA hat einige Ansatzpunkte zusammengestellt. Der Überblick zu Compliance aus dem ERP-System:
Compliance aus dem ERP-System – Wie können ERP-Systeme zur Einhaltung von Regularien und Gesetzen beitragen
Am Thema Compliance kommt kein mittelständisches Unternehmen mehr vorbei. Denn Regularien und Vorgaben gewinnen immer mehr an Bedeutung und werden immer stärker wahrgenommen. Ob ein Unternehmen ethisch, nachhaltig und regelkonform wirtschaftet, ist für viele Kunden mittlerweile ein wesentlicher Einflussfaktor ihrer Kaufentscheidung. Dies bestätigt die aktuelle Studie „The Future of Compliance 2018“ der Beratungsgesellschaft Deloitte. Etwa 80 Prozent der Unternehmen, so die Studie, erhalten, zumindest zu Beginn der Kundenbeziehung, Anfragen eines Kunden zum Compliance-Management.
Compliance spielt somit eine wesentliche Rolle für die Wahrnehmung auf dem Markt. ERP-Systeme bieten hier bereits zahlreiche Hebel, um ein regelkonformes Arbeiten zu erleichtern und die geforderten Nachweise zu erbringen:
1. Zentraler Speicher aller relevanten Unterlagen
Seien es Prüfberichte für Medizingeräte oder Prozessbeschreibungen für eine ISO-Zertifizierung: Im Fall eines Audits muss ein Compliance-Nachweis erbracht werden. Ein zentrales Dokumenten-Management-System, in dem sich alle Audit-relevanten Geschäftsunterlagen befinden, schafft hierfür die richtige Basis: Denn hier sind Dokumente nicht nur zuverlässig aufbewahrt und rasch auffindbar. Änderungen an Dokumenten lassen sich über eine Versionierung auch noch nach Jahren einfach nachvollziehen.
2. Regelkonforme Geschäftsprozesse
Damit Regeln eingehalten und Geschäftsprozesse optimiert werden können, bedarf es klarer, Workflow-gestützter Freigabeprozesse und regelbasierter Autorisierungen. So ist beispielsweise sicherzustellen, dass eine Person, die Bestellungen aufgibt, nicht gleichzeitig Schecks ausstellen oder Zahlungen anweisen kann. Zur Fehlervermeidung bei der Dateneingabe sollten zudem Mussfelder und Eingaberegeln definiert werden. Auch Belegprüfungen für Aufträge, Lieferscheine, Rechnungen, Gutschriften und Bestellungen müssen mit Zeitstempel dokumentierbar sein.
3. GoBD und Verfahrensdokumentation
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) verpflichten seit 2015 das Unternehmen zur Erstellung einer Verfahrensdokumentation. Sie muss den Inhalt, Aufbau, Ablauf und die Ergebnisse der Datenverarbeitung in einem System vollständig und schlüssig wiedergeben. Ein Geschäftsprozess Designer wie der von proALPHA bietet die Möglichkeit, Prozesse mit den dazugehörigen Dokumenten zu verknüpfen.
4. Revisionssichere Belegablage
Aus den GoBD ergibt sich noch eine weitere Verpflichtung: Geschäftsdokumente sind revisionssicher aufzubewahren. Belege, die im DMS digitalisiert und archiviert wurden, müssen der Finanzverwaltung jederzeit elektronisch bereitgestellt werden. Um sicherzugehen, dass dieses Vorgehen auch einer Prüfung der Finanzbehörden standhält, sollten Unternehmen nicht ausschließlich auf die Aussagen eines ERP-Anbieters vertrauen. Dieser sollte auch eine Prüfung durch eine Zertifizierungsstelle oder einen anderen neutralen Dritten vorweisen können, wie beispielsweise die Zertifikate für das DMS von proALPHA durch EY und von audicon für die GoBD-Konformität.
5. Konsistente Releasewechsel
Auch bei Compliance um das ERP-System selbst gilt es Vorschriften einzuhalten, etwa bei einem System- oder Releasewechsel. Werden Daten von einer Version der Software auf die nächste übertragen, ist laut GoBD ein Nachweis zu erbringen, dass im Rahmen des Datentransfers keine Daten manipuliert oder verloren gegangen sind.
6. Provenienz-Nachweise für den Export
Nicht nur für das prestigeträchtige „Made in Germany“-Label müssen Unternehmen einen lückenlosen Herkunftsnachweis aller Produktbestandteile erbringen, sondern auch für den Zoll. Hierbei unterstützt eine durchgängige Serien- und Chargennummernverwaltung. Wer Güter – auch innerhalb der EU – exportiert, muss zudem prüfen, ob dafür eine Genehmigung erforderlich ist. Jedem in den Produkten verwendeten Material ist dazu eine Export Controls Classification Number (ECCN) zuzuweisen. Anhand von Kontroll-Listen kann dann zum Beispiel festgestellt werden, ob es sich um Dual-Use-Güter handelt, die sich sowohl zivil wie militärisch einsetzen lassen. Hier ist ein Check der „besonderen Endverwendung“ nach Art. 4 EG-Dual-Use-Verordnung obligatorisch.
7. Terrorismus-Bekämpfung und Sanktionslisten
Jeder Betrieb, egal welcher Größe, unterliegt der EU-Verordnung zur Terrorismusbekämpfung. Dazu müssen Geschäftskontakte mit nationalen und internationalen Sanktionslisten abgeglichen werden und zwar auch, wenn das Unternehmen nur in der EU oder sogar nur in Deutschland aktiv ist. Auch hier gibt es inzwischen IT-Lösungen für den Abgleich. Denn manuell ist dies für die meisten Betriebe nicht mehr zu bewältigen.
8. Informationssicherheit und Datenschutz
Für Geschäftszahlen und Konstruktionsdaten interessieren sich nicht nur Mitarbeiter und Management, sondern auch der Wettbewerb. Gerade weil das ERP-System die Steuerzentrale vieler Geschäftsprozesse ist, muss der Zugang zu Informationen genau geregelt und dokumentiert sein. Dies erfordert ein detailliertes Berechtigungskonzept sowie laufende Prüfmechanismen. Ein internes Kontrollsystem stellt die Einhaltung dieser Vorgaben sicher.
In Sachen Compliance kann ein ERP-System somit eine Dreifach-Funktion übernehmen: Es unterstützt die Einhaltung von Regeln und trägt damit zur Prävention versehentlicher Verstöße bei. Gleichzeitig hilft es bei den nötigen Kontrollen. Last but not least hält es die nötigen Dokumentationen vor. Aber auch wenn das ERP-System hier viel leistet und unterstützt: Ohne das notwendige Bewusstsein bei den Mitarbeitern wird Compliance nicht gelingen.
