- ERP AUDIT & COMPLIANCE – Teil 2
- 1. Kontext: Warum über Compliance im ERP-Umfeld sprechen?
- 2. Was ist Compliance? Begriff, Herkunft, Ziele
- 3. Woher kommen Compliance-Anforderungen?
- 4. Was bedeutet das konkret im ERP-Umfeld?
- 5. Typische Missverständnisse im Mittelstand
- 6. Einordnung und Ausblick: Wie geht es weiter?
ERP AUDIT & COMPLIANCE – Teil 2
Dieser Beitrag ist Teil unserer Serie rund um das Thema „ERP Audit & Compliance“. In den einzelnen Artikeln beleuchten wir, was einen prüfungsfesten Betrieb von Business Central im Mittelstand aus unserer Sicht ausmacht – fachlich, technisch und organisatorisch.
Was bedeutet Compliance im ERP-Umfeld eigentlich?
Im ersten Beitrag der Serie haben wir die betriebswirtschaftliche Perspektive in den Mittelpunkt gestellt: Warum sich ein strukturierter, prüfungsfester ERP-Betrieb als Investition rechnet. In diesem Beitrag geht es um die begriffliche und inhaltliche Grundlage: Was meinen wir eigentlich, wenn wir von „Compliance im ERP-Umfeld“ sprechen – und warum ist diese Perspektive für Unternehmen mit Business Central im Einsatz relevant? Zusätzlich greifen wir einige aus unserer Sicht zentralen Missverständnisse im Kontext von ERP-Compliance im Mittelstand auf und legen unsere Perspektive dagegen.
1. Kontext: Warum über Compliance im ERP-Umfeld sprechen?
Compliance ist kein neues Thema. Spätestens seit den Bilanzskandalen der frühen 2000er-Jahre haben Gesetzgeber, Aufsichtsbehörden und Prüfungsorganisationen die Regeln für eine ordnungsmäßige Rechnungslegung geschärft und mit spürbaren Sanktionsmechanismen hinterlegt.
Parallel dazu haben sich ERP-Systeme weiterentwickelt: Aus isolierten Buchhaltungsinseln sind integrierte Plattformen geworden, die Finance, Supply Chain und häufig zentrale Teile des Geschäftsmodells tragen. In vielen Unternehmen ist Business Central per se das Informations-Nervensystem – sowohl für die Finanzberichterstattung als auch für operative Prozesse.
Vor diesem Hintergrund ist aus unserer Sicht eine nüchterne Einordnung notwendig:
- Compliance ist nicht nur ein „juristisches Seitenthema“.
- ERP-Systeme sind nicht nur „digitale Aktenordner“.
- Die Verbindung aus beidem entscheidet darüber,
– wie verlässlich die Rechnungslegung ist,
– wie stabil Prozesse laufen und
– wie entspannt oder angespannt Audits erlebt werden.
Trotzdem begegnen uns im Mittelstand nach wie vor zwei Extreme:Entweder wird das Thema Compliance als abstrakte „Konzernwelt“ wahrgenommen – oder es wird auf einzelne sichtbare Aspekte wie die GoBD-Verfahrensdokumentation reduziert. Beide Sichtweisen greifen aus unserer Sicht zu kurz.
2. Was ist Compliance? Begriff, Herkunft, Ziele
Unter Compliance verstehen wir im Unternehmenskontext ganz allgemein die Regeltreue: die Einhaltung von Gesetzen, regulatorischen Vorgaben und selbst auferlegten Regeln. Es geht dabei nicht nur darum, Sanktionen zu vermeiden, sondern auch darum, Risiken für Ihr Unternehmen, dessen Organe und Stakeholder zu begrenzen.
Historisch hat der Begriff vor allem im Umfeld von Bilanzskandalen an Sichtbarkeit gewonnen. Die Reaktion der Gesetzgeber fiel entsprechend deutlich aus:
- strengere Anforderungen an Rechnungslegung und Berichterstattung,
- stärkere Betonung von Verantwortlichkeiten des Managements,
- Ausbau der Sanktionsmechanismen (von Geldbußen bis hin zu persönlicher Haftung).
Die Ziele lassen sich aus unserer Sicht grob wie folgt zusammenfassen:
- Schutz der Integrität der Rechnungslegung
– Stakeholder sollen sich auf Zahlen und Berichte verlassen können. - Risikominimierung
– finanzielle Risiken (Bußgelder, Schadensersatz),
– rechtliche Risiken (Haftung von Organen des Unternehmens),
– Reputationsrisiken (Vertrauensverluste in Markt und Öffentlichkeit). - Transparenz und Nachvollziehbarkeit
– Prozesse und Entscheidungen sollen im Nachhinein nachvollziehbar und belegbar sein.
Compliance ist damit kein Selbstzweck, sondern ein Rahmen, in dem sich Unternehmen bewegen, wenn sie dauerhaft vertrauenswürdig und handlungsfähig bleiben wollen.
3. Woher kommen Compliance-Anforderungen?
Compliance-Anforderungen entstehen aus unterschiedlichen Quellen. Für Unternehmen mit ERP-Systemen – und erst recht mit Business Central als rechnungslegungsrelevantem System – sind insbesondere drei Ebenen relevant:
Ebene 1: Internationale und supranationale Vorgaben
Je nach Struktur und Marktumfeld Ihres Unternehmens können internationale oder supranationale Regelwerke eine Rolle spielen, zum Beispiel:
- EU-Regulierungen (z. B. im Bereich Finanzmarkt, Datenschutz, Nachhaltigkeitsberichterstattung),
- in Einzelfällen auch Vorgaben wie der US-amerikanische Sarbanes-Oxley-Act (SOX), wenn Konzerneinbindung besteht.
Diese Regelungen wirken häufig indirekt auf nationale Gesetze und Prüfstandards ein und erhöhen damit die Anforderungen an Prozesse und Systeme.
Ebene 2: Nationale Gesetze und Normen
Für Unternehmen in Deutschland, in denen Business Central als rechnungslegungsrelevantes System eingesetzt wird, ist insbesondere der nationale Rahmen maßgeblich, u. a.:
- Handelsgesetzbuch (HGB) und Grundsätze ordnungsmäßiger Buchführung (GoB),
- GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff),
- Aktiengesetz (z. B. Sorgfaltspflichten des Vorstands, Anforderungen an internes Kontrollsystem und Risikomanagement),
- weitere gesetzliche Regelungen, die abhängig von Branche und Rechtsform einschlägig sind.
Die Wirtschaftsprüfer greifen zur Auslegung dieser Anforderungen auf Prüfungsstandards zurück, etwa:
- IDW RS FAIT 1 für die Ordnungsmäßigkeit der Buchführung bei Einsatz von Informationstechnologie,
- weitere IDW-Standards für Prüfungsumfang und -tiefe.
Ebene 3: Freiwillige oder selbstauferlegte Rahmenwerke
Neben rechtlich bindenden Regelungen gibt es eine Reihe von Standards, denen sich Unternehmen freiwillig unterwerfen können, z. B.:
- Deutscher Corporate Governance Kodex,
- ISO 27001 (Informationssicherheits-Management),
- ISO 20000 oder ITIL (IT-Service-Management),
- COBIT (IT-Governance),
- COSO (Rahmenwerk für Risikomanagement und internes Kontrollsystem).
Diese Rahmenwerke sind per se nicht verbindlich, können aber:
- Erwartungshaltungen von Wirtschaftsprüfern und Konzernmüttern prägen,
- Grundlage für Zertifizierungen und Trust-Nachweise sein,
- das Design von Prozessen, Rollen und Kontrollen im ERP-Umfeld stark beeinflussen.
4. Was bedeutet das konkret im ERP-Umfeld?
4.1 Wirkungs-Ebenen von Compliance-Anforderungen
Die genannten Anforderungen dürfen nicht auf eine statische Dokumentation beschränkt bleiben. Sie wirken sich konkret auf Prozesse, Daten und Systeme aus – und damit unmittelbar auf Ihr ERP-System.
Aus unserer Sicht lassen sich drei Ebenen unterscheiden:
Ebene 1: Prozesse
- Abbildung von Geschäftsprozessen in Business Central (z. B. Bestellung → Wareneingang → Rechnung → Zahlung),
- Freigabe-Workflows, Vier-Augen-Prinzip, Genehmigungen,
- Rollen und Verantwortlichkeiten (z. B. Trennung von buchender und freigebender Rolle).
Ebene 2: Daten
- Vollständigkeit (alle relevanten Geschäftsvorfälle werden erfasst),
- Richtigkeit (Daten sind plausibel und sachlich korrekt),
- Nachvollziehbarkeit (Änderungen sind nachvollziehbar dokumentiert, keine „unsichtbaren“ Korrekturen).
Ebene 3: Systeme und technische Umgebung
- Business Central selbst (Einrichtung, Berechtigungen, Protokollierung),
- Datenbank, Betriebssystem, Active Directory / Entra ID,
- Umsysteme (Shop, Loyalty, DMS, Reporting),
- Monitoring, Backup, Recovery.
4.2 Unsere Arbeitsdefinition von ERP-Compliance
Aus unserer Sicht meint „Compliance im ERP-Umfeld“ nicht nur die Einhaltung gesetzlicher Anforderungen. Gemeint sind insbesondere auch die Anforderungen, die Wirtschaftsprüfer typischerweise an das rechnungslegungsrelevante System stellen.
Im Kontext von Business Central geht es damit über GoBD-Fragen hinaus und umfasst auch Themen aus dem IDW-Standard RS FAIT 1. Konkret werden in Prüfungen regelmäßig Verfahrensdokumentationen und Nachweise zu Bereichen wie IT-Operations, Access Management oder Backup-Management abgefragt – also Kontrollen, die das ERP-System und sein Umfeld technisch und organisatorisch absichern.
Genau diese Aspekte werden bei einer ersten Auseinandersetzung mit „ERP-Compliance“ aus unserer Erfahrung häufig unterschätzt oder sogar ganz vergessen.
Unter ERP-Compliance verstehen wir daher den Teil der Unternehmens-Compliance, der sich mit:
- rechnungslegungsrelevanten und
- weiteren prüfungsrelevanten Prozessen und Daten
im ERP-System (z. B. Business Central) und seinem Umfeld beschäftigt – inklusive der technischen und organisatorischen Kontrollen, die diese Prozesse absichern sollen.
5. Typische Missverständnisse im Mittelstand
In Gesprächen mit mittelständischen Unternehmen erleben wir immer wieder ähnliche Annahmen, wenn es um Compliance im ERP-Umfeld geht. Einige davon sind aus unserer Sicht nicht zweckmäßig und führen zu einer trügerischen Sicherheit.
5.1 „ERP-Compliance = GoBD-Verfahrensdokumentation – mehr ist das nicht.“
Viele Unternehmen setzen „ERP-Compliance“ im ersten Schritt nahezu vollständig mit der GoBD-Verfahrensdokumentation gleich. Diese ist wichtig und sinnvoll: Sie adressiert die Beschreibung von Prozessen, Systemen und Verantwortlichkeiten.
Demgegenüber greifen Wirtschaftsprüfer regelmäßig weiter. Sie erwarten nicht nur Dokumentation, sondern auch belastbare Kontrollen und Nachweise in Bereichen wie:
- Berechtigungen und Access Management,
- Change Management (Änderungen an Systemen und Prozessen),
- IT-Operations und Backup-Management.
Wer ERP-Compliance auf Verfahrensdokumentation reduziert, hat daher häufig ein lückenhaftes Bild. Aus unserer Sicht ist es zweckmäßig, Doku und Kontrollen gemeinsam zu betrachten.
5.2 „Wenn Business Central ordentlich läuft und der Prüfer bisher nichts gesagt hat, sind wir auf der sicheren Seite.“
Die Annahme, ein fehlendes oder geringes Maß an Findings in vergangenen Prüfungen sei ein verlässlicher Indikator für ein „fertiges“ Compliance-Setup, ist aus unserer Sicht eine eindimensionale Sichtweise.
Prüfungen sind risikoorientiert und stichprobenbasiert. Zudem verändern sich Unternehmensgröße, Systemlandschaft und Prüfungsfokus über die Jahre. Ein ERP-Umfeld, das heute ohne wesentliche Beanstandungen durchkommt, kann perspektivisch Schwachstellen aufweisen – insbesondere, wenn Themen wie:
- Access Management,
- IT-Operations (z. B. Monitoring, Backup),
- Verfahrensdokumentation im IT-Umfeld
bisher nur punktuell betrachtet wurden.
Hier stellt sich weniger die Frage, ob „bisher alles gut gegangen ist“, sondern ob das Kontrollsystem zur aktuellen und perspektivischen Situation des Unternehmens passt.
5.3 „ERP-Compliance ist ein IT-Thema – die kümmern sich darum.“
In der Praxis wird ERP-Compliance häufig in Richtung IT „delegiert“. Technische Kontrollen und Nachweise liegen dort, folgerichtig landet auch das Thema ERP-Compliance oft dort.
Aus unserer Sicht greift diese Sichtweise zu kurz. Relevante Fragestellungen betreffen immer das Zusammenspiel von:
- Fachbereichen (z. B. Finance),
- IT / ERP-Betrieb,
- Management (CFO, Geschäftsführung),
- ggf. interner Revision.
Die inhaltliche Verantwortung – insbesondere im Hinblick auf rechnungslegungsrelevante Prozesse und Kontrollen – liegt letztlich bei der Geschäftsführung bzw. beim CFO. IT kann diese Verantwortung unterstützen, aber nicht allein tragen.
Ein ERP-Compliance-Setup, das nur als „IT-Thema“ geführt wird, läuft Gefahr, fachliche Anforderungen, Verantwortlichkeiten und betriebswirtschaftliche Prioritäten nicht ausreichend abzubilden.
6. Einordnung und Ausblick: Wie geht es weiter?
Zusammengefasst:
- Compliance beschreibt die Regeltreue eines Unternehmens in Bezug auf Gesetze, Vorgaben und selbstauferlegte Standards.
- Diese Regeln wirken konkret auf Prozesse, Daten und Systeme und betreffen damit unmittelbar das ERP-Umfeld.
- ERP-Compliance ist der Teil der Unternehmens-Compliance, der sich mit rechnungslegungs- und prüfungsrelevanten Prozessen im ERP-System (z. B. Business Central) und in seinen Umsystemen befasst – inklusive der technischen und organisatorischen Kontrollen, die diese Prozesse absichern.
- Aus unserer Sicht ist es nicht zweckmäßig, ERP-Compliance auf Verfahrensdokumentation zu reduzieren oder rein in die IT zu „delegieren“.
Im ersten Beitrag der Serie haben wir erläutert, warum es betriebswirtschaftlich sinnvoll ist, in einen prüfungsfesten ERP-Betrieb zu investieren. In den nächsten Beiträgen konkretisieren wir den Rahmen weiter:
- Wir ordnen ein, was GoB, GoBD und der IDW-Standard RS FAIT 1 für IT-gestützte Rechnungslegung in Business-Central-Umgebungen bedeuten.
- Wir stellen ein Stufenmodell vor, das unterscheidet zwischen:
– Unternehmen ohne ERP,
– Unternehmen mit ERP,
– Unternehmen mit ERP und ausgelagerten Prozessen.
Auf dieser Grundlage wird sichtbar, warum mit zunehmender IT-Durchdringung und Outsourcing auch die Anforderungen an Struktur, Kontrollen und Nachweise im ERP-Umfeld steigen.
Wenn Sie den Eindruck haben, dass die Begriffe „Compliance“, „ERP-Compliance“ und „Prüfungsfestigkeit“ in Ihrem Unternehmen unterschiedlich verstanden werden oder bislang eher punktuell adressiert wurden, kann eine kurze, strukturierte Einordnung hilfreich sein. In einem gemeinsamen Austausch können wir mit Ihnen klären, welche Anforderungen für Ihr Business-Central-Umfeld tatsächlich relevant sind, wo Sie bereits gut aufgestellt sind und an welchen Stellen aus unserer Sicht weiterer Handlungsbedarf besteht.
Sie haben Fragen zu Ihrer aktuellen Situation? Dann sprechen Sie uns gerne an – wir ordnen Ihr Setup gemeinsam mit Ihnen ein und erarbeiten einen pragmatischen Einstieg.
Bleiben Sie informiert und abonnieren Sie unseren PROTAKT Blog!
Über den Autor
DR. SVEN ODERMATT · EXECUTIVE BOARD
Vorstandsmitglied und Team Lead Technicals – mein Spielfeld: Development, DevOps und IT-Ops.
Ich kümmere mich seit 2002 um die Implementierung und den Betrieb von organisationsweiten Anwendungssystemen. Im NAV/Business-Central-Umfeld bin ich seit 2017 zuhause – mit Fokus auf einem zuverlässigen ERP-Betrieb und agilen Entwicklungsprozessen, die im Alltag wirklich funktionieren.
Platz für Deine Kommentare