Compliance als Investition: Warum sich ein prüfungsfester Business-Central-Betrieb rechnet

In diesem ersten Beitrag richten wir den Blick bewusst auf Ihre betriebswirtschaftliche Perspektive: Warum es sich für Sie lohnt, den Aufbau eines strukturierten, prüfungsfesten ERP-Betriebs als nachhaltige Investition zu verstehen – und nicht nur als notwendige Reaktion auf konkrete Prüfanfragen.

Viele Unternehmen erleben IT- und ERP-bezogene Audits vor allem als zeitintensiv und schwer planbar. Gerade in prüfungspflichtigen Unternehmen, in denen Business Central als rechnungslegungsrelevantes System und als Informations-Nervensystem für Finance und Supply Chain im Einsatz ist, bindet die Begleitung von Prüfungen häufig erhebliche interne Kapazitäten.

In diesem Beitrag ordnen wir das Thema aus unserer Sicht für Sie ein: Welche Kosten durch einen nicht strukturierten, „nicht prüfungsfesten“ ERP-Betrieb entstehen – und welche Effekte Sie erzielen können, wenn Sie in klare Prozesse, dokumentierte Nachweismethoden und (teil-)automatisierte Abläufe investieren. Der Fokus liegt dabei auf der Kombination aus Risiko-Reduktion, Planbarkeit und der spürbaren Entlastung Ihrer beteiligten Teams.

In vielen prüfungspflichtigen Unternehmen ist das ERP-System heute das Informations-Nervensystem des Geschäfts: Finance, zentrale Teile der Supply Chain und häufig auch kundenzentrische Prozesse (z. B. E-Commerce, Logistik) laufen über Business Central oder vergleichbare Systeme.

Gleichzeitig wird das Thema ERP-Compliance im Alltag häufig als „lästige Pflicht“ wahrgenommen. Die jährliche oder mehrjährige IT-Betriebsprüfung ist für viele Organisationen vor allem eines:

• zeitaufwendig,
• schwer planbar,
• mit Unsicherheit und teilweise spürbarer Nervosität verbunden.

Typisch ist eine Situation, in der sich vor einer Prüfung Fragen häufen wie:

• „Was haben wir beim letzten Mal eigentlich genau geliefert?“
• „Woher bekommen wir das aktuelle Organigramm?“
• „Wer kann diese Auswertung ziehen – und in welcher Form braucht der Prüfer sie?“

Hinzu kommen unklare Verantwortlichkeiten:

• „Wer kümmert sich um die Liste der Leaver/Mover?“
• „Warum sind die Findings aus dem vergangenen Jahr eigentlich noch nicht umgesetzt worden?“

Aus unserer Sicht führt diese Gemengelage dazu, dass Audits weniger als fachlich sinnvolle Rückversicherung der eigenen Prozesse wahrgenommen werden, sondern eher als Störung des Tagesgeschäfts mit hohem Ad-hoc-Aufwand.

Der Kern dieses Beitrags lautet daher:
ERP-Compliance besteht im Detail aus vielen kleinteiligen und ehrlich gesagt oft „nervigen“ Aufgabenstellungen. In der Summe ermöglichen diese Aufgaben allerdings einen prüfungsfesten ERP-Betrieb, der Risiken reduziert und die Verlässlichkeit der Unternehmensprozesse erhöht – weit über die Frage hinaus, ob am Ende ein Testat mit oder ohne Finding steht.

Wenn wir von einem „prüfungsfesten“ Betrieb im ERP-Umfeld sprechen, meinen wir nicht ein perfektes, vollständig durchautomatisiertes Governance-Konstrukt. Aus unserer Sicht geht es vielmehr um folgende Eigenschaften:

• Definierte Prozesse statt Ad-hoc-Reaktionen
  Wiederholbare Abläufe für die Erbringung von Nachweisen, für Berechtigungsprüfungen, für Changes und für den Umgang mit Findings.
• Transparenz statt individueller Heldentaten
  Es ist nachvollziehbar dokumentiert,
  • welche Anforderungen es gibt,
  • wie Nachweise erbracht werden,
  • wo diese abgelegt sind und
  • wer wofür verantwortlich ist.
• Risikoreduktion über Audit-Grenzen hinaus
  Ein prüfungsfester Betrieb senkt nicht nur das Risiko von Findings. Er sorgt dafür, dass das ERP-Umfeld entlang definierter Prozesse läuft und damit per se stabiler, nachvollziehbarer und weniger fehleranfällig ist.

Demgegenüber steht ein Betrieb, der zwar „irgendwie funktioniert“, bei dem aber zentrale Elemente fehlen: klare Verantwortlichkeiten, definierte Nachweisprozesse, dokumentierte Methoden. Die Folge ist nicht notwendigerweise ein negatives Testat, aber sehr häufig ein hoher, wiederkehrender Aufwand und eine dauerhaft erhöhte Unsicherheit.

In vielen Unternehmen erleben wir vor der strukturierten Begleitung von IT-Betriebsprüfungen ein ähnliches Muster:

• Eine zentrale Person (oft aus der internen IT) ist über mehrere Wochen relativ stark in die Prüfungsbegleitung eingebunden.
• Ein erheblicher Teil der Zeit geht nicht in die fachliche Auseinandersetzung mit den Inhalten, sondern in Such- und Klärungsaufwände:
  • Wer ist der richtige Ansprechpartner für ein bestimmtes Thema?
  • Wo liegen die relevanten Informationen?
  • In welcher Form und aus welchen Systemen sollen Nachweise gezogen werden?
• Findings aus Vorjahren werden „nebenbei“ adressiert, ohne strukturierten Maßnahmenplan.

Das erzeugt aus unserer Sicht drei Kostenblöcke:

Kostenblock 1: Direkte Aufwände während der Prüfung

• Stark gebundene Kapazitäten über mehrere Wochen,
• hoher Abstimmungsbedarf,
• viele Rückfragen und Klarstellungen mit den Prüfern.

Kostenblock 2: Opportunitätskosten

• Projekte, Upgrades oder Prozessverbesserungen werden verschoben,
• Finance- und IT-Teams sind in einer Phase gebunden, in der sie eigentlich andere Prioritäten haben sollten.

Kostenblock 3: Qualitative Risiken

• Unsicherheit bei Finance, IT und Management: „Wir wissen nicht genau, ob das reicht, was wir tun.“
• ERP-Prozesse laufen eher personen- als prozessgetrieben – was per se ein Risiko für Stabilität und Skalierbarkeit darstellt.

Wir sind der Auffassung, dass „Nicht-Investieren“ in einen strukturierten, prüfungsfesten ERP-Betrieb vor diesem Hintergrund keine neutrale Entscheidung ist. Es ist eine implizite Entscheidung zugunsten von wiederkehrendem Ad-hoc-Aufwand, erhöhter Unsicherheit und Zustandekommen von Prozessen, die sich nicht ohne Weiteres reproduzieren lassen.

Ein prüfungsfester Betrieb besteht nicht aus einem einzelnen Projekt, sondern aus einem Set von ineinandergreifenden Bausteinen. Typischerweise gehören dazu:

• Access Management & Berechtigungen
  Klarheit darüber, wer was darf, wie privilegierte Zugriffe gehandhabt werden und wie Leaver/Mover abgebildet sind.
• Change Management & Nachvollziehbarkeit
  Nachweis, welche Änderungen wann und wie ins System gekommen sind, inklusive Freigaben und Zuständigkeiten.
• IT-Operations, Monitoring & Backup
  Durchgängige Dokumentation von Backup-Konzepten, Recovery-Tests und Betriebsmonitoring.
• Dokumentation von Nachweis-Methoden
  Nicht nur dass ein Nachweis erbracht wird, sondern wie er erzeugt wird:
  • Woher kommen die Daten?
  • Welches Skript wird verwendet?
  • Welche Filterung ist angewendet?
• Zentrale Ablage und wiederholbare Audit-Prozesse
  Nachweise werden nicht in einem „Prüfungsordner final v2 latest“ begraben, sondern so abgelegt, dass sie in Folgejahren als Referenz und Blaupause dienen.

Ein wesentliches Detail: Die Summe dieser Aktivitäten ist zunächst Aufwand. Sie schafft aber eine Struktur, durch die sich Prüfungsrunden perspektivisch deutlich effizienter begleiten lassen. Genau hier liegt der Investitionscharakter.

Zur Veranschaulichung ein anonymisiertes Beispiel aus unserer Praxis.

Ausgangssituation

• Prüfungspflichtiges Unternehmen, Business Central als rechnungslegungsrelevantes System und gleichzeitig Rückgrat zentraler Prozesse in Finance und Supply Chain.
• IT-Betriebsprüfungen wurden über mehrere Jahre ausschließlich durch interne IT und Fachbereiche begleitet.
• Die Prüfungen waren regelmäßig mit einem hohen manuellen Aufwand verbunden:
  • eine Schlüsselperson in der internen IT war über mehrere Wochen stark eingebunden,
  • erheblicher Zeitbedarf für das Auffinden von Ansprechpartnern,
  • Abstimmung der Nachweisformate und der Art der Nachweiserbringung.
• Die größten Pain Points lagen bei:
  • Change Logs (Nachvollziehbarkeit von Änderungen im System),
  • Access/Berechtigungen (privilegierte Zugriffe, Benutzerlisten, Rollen),
  • durchgängiger Backup-Dokumentation (Nachweis, dass Backups nicht nur existieren, sondern auch wiederhergestellt werden können).
• Konkrete, „rote“ Findings standen nicht im Raum. Dominant war eine diffuse Unsicherheit und das Gefühl, vor jeder Prüfung wieder bei null zu starten.

Auslöser

Der Auslöser für die Einbindung externer Unterstützung war weniger ein akutes Testat-Risiko, sondern vielmehr der sehr hohe interne Aufwand bei der Begleitung der Audits. Ziel war es, interne Ressourcen zu entlasten und gleichzeitig zu einem strukturierten, wiederholbaren Prüfungsprozess zu kommen.

Im beschriebenen Beispiel sind wir in mehreren Schritten vorgegangen:

Schritt 1: Gemeinsamer Workshop mit IT-Verantwortlichen und Prüfern
In einem initialen Workshop wurden Scope und Anforderungen gemeinsam mit den Kunden-IT-Verantwortlichen und den Prüfern konkretisiert:

• Welche Themenbereiche sind im Fokus der aktuellen Prüfungsrunde?
• Welche Nachweise werden erwartet – in welcher Form und aus welchen Systemen?
• Wo gibt es auf beiden Seiten Unklarheiten?

Damit wurde früh sichergestellt, dass alle Beteiligten dieselbe Sprache sprechen und Missverständnisse reduziert werden.

Schritt 2: Überführung der Detailanforderungen in strukturierte Tickets
Sämtliche Anforderungen wurden nicht in einer allgemeinen Liste gehalten, sondern in einzelne Work Items überführt. Jede Anforderung erhielt:

• einen eigenen Ticket-Kontext,
• eine klare Beschreibung,
• zuständige Personen und
• einen Status.

Demgegenüber steht eine eindimensionale Sichtweise, bei der Auditanforderungen als „Paket 2, 5, 17“ behandelt werden. Durch die Granularität konnten Kommunikation und Bearbeitung wesentlich zielgerichteter erfolgen.

Schritt 3: Zentrale Dokumentation von Anforderungen und Nachweismethoden
Für jede Anforderung wurde dokumentiert:

• wie der Nachweis erbracht wird (z. B. BC-Report, SQL-Abfrage, PowerShell-Skript),
• welche Datenbasis zugrunde liegt,
• welche Filter oder Einschränkungen angewendet werden.

Diese Dokumentation war aus unserer Sicht der entscheidende Hebel, um in den Folgejahren nicht wieder in die gleiche Suchbewegung zu geraten.

Schritt 4: Zentrale Ablage der Nachweise und Fokus auf Wiederholbarkeit
Alle erzeugten Nachweise wurden strukturiert in einer zentralen Ablage hinterlegt. Ziel war nicht nur, die aktuelle Prüfung zu bestehen, sondern eine Referenzbasis für Folgejahre zu schaffen.

Wo möglich, wurden Nachweise (teil-)automatisiert, beispielsweise durch PowerShell-Skripte. So konnten Exporte oder Auswertungen in späteren Prüfungen mit deutlich weniger manuellem Aufwand reproduziert werden.

Schritt 5: Regelmäßige Abstimmung mit Prüfern und IT-Verantwortlichen
Während und nach der Prüfung wurden offene Punkte im Dialog mit Prüfern und Kunden-IT geklärt. Auf dieser Basis konnten:

• Unklarheiten früh adressiert,
• die Nachweismethoden nachgeschärft und
• etablierte „Sprachregelungen“ gefestigt werden.

Die Effekte dieses strukturierten Ansatzes lassen sich in mehrere Dimensionen einteilen.

01 – Reduzierter Aufwand in Folgeprüfungen

Vor der Umstellung war eine zentrale Kunden-Ressource über mehrere Wochen stark in die Nachweiserbringung involviert – primär getrieben durch Such-, Abstimmungs- und Klärungsaufwände.

Nach der Einführung der strukturierten Nachweisarchitektur konnte der Aufwand in den Folgejahren deutlich reduziert werden. Viele Nachweise waren:

• methodisch beschrieben,
• technisch vorbereitbar,
• und organisatorisch verankert.

Die initiale, aufwendige Erhebung wurde damit zu einer Investition, aus der in den Folgeprüfungen eine spürbare Entlastung entstand.

02 – Klarerer Ablauf, weniger Rückfragen

Mit der Zeit nahm die Zahl der Rückfragen seitens der Prüfer ab. Durch etablierte Kommunikationswege und klare Nachweismethoden entstand ein Prüfungsablauf, der für beide Seiten planbarer wurde.

Sprachlich und inhaltlich wiederkehrende Muster in den Anforderungen konnten genutzt werden, statt jede Prüfungsrunde als Einzelfall zu behandeln.

03 – Reduzierte Unsicherheit und geordnetere ERP-Prozesse

Qualitativ hat sich die Haltung im Unternehmen vor und während der Prüfung spürbar verändert:

• Die Unsicherheit („Haben wir alles? Verstehen wir die Anforderungen?“) hat abgenommen.
• Es hat sich eine gewisse Gelassenheit eingestellt, obwohl die inhaltlichen Schwerpunkte der Prüfer naturgemäß von Jahr zu Jahr variieren können.
• ERP-bezogene Prozesse laufen geordneter und regelbasierter, weil Kontrollen und Nachweise nicht mehr als Zusatzschicht obendrauf, sondern als integraler Bestandteil des Betriebs verstanden werden.

Aus unserer Sicht ist dies ein wesentlicher Teil des „Returns“: Ein prüfungsfester Betrieb wirkt nicht nur im Audit, sondern in der täglichen Steuerung und Stabilität der ERP-Landschaft.

Wir sind der Auffassung, dass ein strukturierter, prüfungsfester ERP-Betrieb insbesondere dort zweckmäßig ist, wo folgende Kriterien zusammentreffen:

• Business Central oder ein vergleichbares ERP ist rechnungslegungsrelevantes System und Teil des Kernprozesses.
• Das Unternehmen ist prüfungspflichtig und steht regelmäßig im Austausch mit Wirtschaftsprüfern.
• ERP-Prozesse sind aufgrund von Wachstum, Internationalisierung oder Systemlandschaft (mehrere Umsysteme, Dienstleister, Integrationen) komplexer geworden.

In diesen Konstellationen sind die wiederkehrenden Aufwände und Risiken eines „nicht prüfungsfesten“ Betriebs aus unserer Sicht höher als die initiale Investition in Struktur, Dokumentation und (Teil-)Automatisierung.

Ein Einstieg in Richtung prüfungsfestem BC-Betrieb muss nicht als Großprojekt aufgesetzt werden. Sinnvoller erscheint uns ein schrittweises Vorgehen:

Schritt 1: Kurze Bestandsaufnahme der letzten Prüfungsrunden

• Welche Themen kamen wiederholt auf?
• Wo war der Aufwand besonders hoch?
• Wo besteht die größte Unsicherheit?

Schritt 2: Fokussierung auf 2–3 Kernfelder. Häufig sind dies:

• Access/Berechtigungen,
• Change-Nachweise,
• Backup-Dokumentation.

Schritt 3: Dokumentation der Nachweismethoden statt nur der Nachweise
Nicht nur „Export XY als PDF ablegen“, sondern klar beschreiben, wie dieser Export erzeugt wird.

Schritt 4: Schrittweise (Teil-)Automatisierung dort, wo es sich anbietet
Beispielsweise über Skripte oder standardisierte Reports, die jährlich wiederverwendet werden können.

Mittelfristig entsteht so ein prüfungsfester ERP-Betrieb, der nicht nur regulatorische Anforderungen erfüllt, sondern die Organisation entlastet, Transparenz erhöht und Risiken reduziert.

Wenn Sie sich in der eingangs beschriebenen Situation wiederfinden – hoher Aufwand, Unsicherheit, wiederkehrender Stress vor IT-Betriebsprüfungen – kann ein solcher Investitionsansatz ein sinnvoller nächster Schritt sein. Entscheidend ist, dass Sie das Thema nicht ausschließlich als Pflichtaufgabe sehen, sondern als Gelegenheit, das ERP-Nervensystem Ihres Unternehmens stabiler, nachvollziehbarer und zukunftsfähiger aufzustellen.

In den weiteren Beiträgen unserer Serie zeigen wir Ihnen, wie sich Themen wie Berechtigungen, Change Management, Monitoring und Backup in einem prüfungsfesten Business-Central-Betrieb konkret ausgestalten lassen.

Wenn Sie Fragen zu Ihrer aktuellen Situation haben, sprechen Sie uns gerne an – wir ordnen Ihr Setup gemeinsam mit Ihnen ein und erarbeiten einen pragmatischen Einstieg.