Basic HTML-Version
CM
Controller
magazin 4/04 - Sandra Belser / Oliver Berchtold
zu ins tal l i eren. Kr i t ische Daten–
veränderungen (z. B. zahlungsrelevante
Stammdaten, Zahlungsdateien usw.) sind
zu protokollieren und organisatorisch
(Vier-Augen-Prinzip) in klar definierten
Rhythmen zu überwachen.
Ebenso ist für den Prozess der Neuan–
lage, Änderung und Löschung von
Benutzerberechtigungen ein standardi–
siertes Verfahren einzuführen. Beispiels–
weise über ein
standardisiertes Form–
blatt,
welches gemäß der Unterschriften–
regelung mit Unterschrift zu genehmi–
gen (Vier-Augen-Prinzip) und entspre–
chend im System durch den Verantwort–
lichen unter der Sicherstel lung der
Funktionstrennung zu erfassen ist.
Die Benutzerberechtigungen sind min–
destens einmal jährlich auf sachliche
Richtigkeit zu überprüfen. Die einzelnen
Anwender sind in Kenntnis zu setzen,
dass die Benutzerberechtigung und die
Passwörter der Geheimhaltung unteriie–
gen (Vermeidung von Missbrauch).
Kontrollen
Kontroll-Listen
Insbesondere bei EDV-gestützten Pro–
ze s s en können Kontrol l -Listen als
Sicherungsmechanismus eingesetzt wer–
den. Zielsetzung ist dabei, frühzeitig auf
mögliche Fehlhandlungen und Unregel–
mäßigkeiten aufmerksam zu werden. In–
nerhalb der Personalabrechnung kann
somit beispielsweise jeweils vor Ausfüh–
rung des tatsächlichen Gehaltslaufes über
sogenannte „EDV-Änderungsprotokolle"
eine Kontrolle aller zahlungsrelevanten
Erfassungen seit dem letzten Gehaltslauf
stattfinden.
Diese
Änderungsprotokolle
werden aus
dem Abrechnungssystem generiert und
dokument ieren sämt l i che zahlungs–
relevanten Erfassungen (Neuanlage, Än–
derung, Austritt etc.), die seit dem letzten
Gehaltslauf stattgefunden haben. Die In–
f orma t i onen auf dem Änderungs –
protokoll können nun auf Ordnungs–
mäßigkeit geprüft werden, das heißt:
» * gibt es zu der Erfassung einen
Buchungsbeleg?
» * sind die Beträge in der richtigen Höhe
erfasst?
»• erfolgte die Freigabe / Entscheidung
der Auszahlung im Vier-Augen-
Prinzip bzw. gemäß der Unter–
schriftenregelung?
»• sind alle Mitarbeiterein- und -aus-
tritte berücksichtigt?
»• sind fiktive Mitarbeiter in den Listen
enthalten?
Dieses Kontrollmedium stellt neben der
Kontrolle der zahlungsrelevanten Daten
vor deren tätsächl i cher Auszahlung
auch einen Mitarbeiterschutz vor Bear–
beitungsfehlern dar Die
Vermeidung von
Bearbeitungsfehlem
sind im Besonde–
ren in der Personalabrechnung von ho–
her Bedeutung.
Bei der Definition solcher
Änderungs–
protokolle in der Personalabrechnung
sind folgende Aspekte zu definieren:
» * Aufbau und Inhalt der Änderungs–
protokolle (Festlegung der zu kon–
trollierenden Felder aus dem Ab–
rechnungssystem).
»• Ze i tpunkt der Ers te l lung der
Änderungsprotokolle. Hier ist zu be–
achten, dass nach Erstellung der Pro–
tokolle keine Änderungen und Neu–
erfassungen im System mehr mög–
lich sein dürfen.
Festlegung der Kontrollverantwort–
lichen und ihrer Kontrollverant–
wortung: Als Kontrollverantwortliche
sollten Interne oder externe Mit–
arbeiter ausgewählt werden, welche
nicht am Prozess der Personalab–
rechnung beteiligt sind. Sie müssen
aber für die Daten sensibilisiert wer–
den, datenschutzrechtlich unterrich–
tet sein und über den Inhalt der
Kontroll-Listen geschult werden.
»• Weiterhin ist der Prüfungsumfang zu
definieren: Vollkontrolle oder Teil-/
St i chprobenkont rol l e . Eine Voll–
kontrolle ermöglicht eine umfassen–
de Absicherung, erfordert jedoch ei–
nen hohen zeitlichen Aufwand.
Systemschnittstellen
Die Systemlandschaft im Personalbereich
hat einen wesentlichen Einfluss auf die
praktische Umsetzung eines Internen
Kontrollsystems. Grundsätzlich kann
zwischen folgenden drei Fällen unter–
schieden werden, die jeweils unterschied–
liche Ansatzpunkte für ein IKS bieten:
»• es exisUert ein nicht integriertes, iso–
liertes Abrechnungssystem;
»• es existiert ein teilintegriertes Ab–
rechnungssystem, das Daten aus
Vo r sys t emen über t e chn i s che
Schnittstellen verarbeitet bzw. an
nachge l ager te Sys t eme zur Ver–
fügung stellt;
es existiert ein vollintegriertes Per-
sonalinformarionssystem (integrier–
te Module zur Personalbeschaffung,
-entwicklung, -abrechnung etc.).
Existiert ein von anderen Systemen iso–
liertes Abrechnungssystem, so laufen die
vorgelagerten Prozesse, die der Infor–
mationsermittlung für die Abrechnungs–
daten dienen, in der Regel in manueller
Form ab (über Papierbelege, E-Mails).
Fokus des IKS ist dabei die Überwachung
der ordnungsgemäßen manuellen Verar–
beitung der Informationen für die Per–
sona l abr echnung im Abrechnungs –
system. Dies soll über die o.a. prozess–
immanenten Kontrollmechanismen (z. B.
monatliche Kontroll-Listen) sichergestellt
werden.
Liegt ein teilintegriertes System mit
Systemschnittstellen zu vorgelagerten
Systemen vor, so erweitert sich der Fokus
des IKS auf die Sicherstellung und Über–
wachung der Vollständigkeit und Konsi–
stenz der Datenübernahmen an den
Systemschnittstellen, z. B. bei der Über–
nahme von Daten aus einem vorgelager–
ten Zeiterfassungssystem. Bei der Ver–
wendung von Schnittstellendateien sind
zusätzlich auch die Zugriffsmöglichkeiten
auf die Schni ttstel lendaten und das
damit verbundene Risiko der Veränder–
barkeit der Daten zu beachten. Die
Sicherstellung der Datenvollständigkeit
und -konsistenz wird über den Einsatz
und Abgleich entsprechender
Schnitt–
stellenende- und -empfangsprotokolle
erreicht.
Liegt ein vollintegriertes Personalinfor–
mationssystem mit Abrechnungsmodul
vor, so ergeben sich bei der Implementie–
rung des IKS noch zusätzliche technische
Fragestellungen zur Realisierung der or–
ganisatorischen Anforderungen. Sämt–
liche Prozesse werden über das System
maschinell abgebildet (Workflows), was
Auswi rkungen auf die Prozessdar –
stellung, den Genehmigungsprozess, das
Benutzerkonzept und die Kontrollmecha–
nismen haben kann. Beispielsweise er–
geben sich andere Umsetzungsformen
für die Einhaltung von definierten Unter–
schriftenregelungen mit entsprechenden
Unterschriftenproben, da das manuelle
Verfahren über Papierbelege durch ent–
sprechende Definition von effizienteren
Workf lows mi t Authent i f izierungs-
mechanismen abgelöst werden kann.
320