Aktuelles aus Wirtschaft, Steuern, Recht und IT. Bremen, 25. Juni 2014

Transkript

1 Aktuelles aus Wirtschaft, Steuern, Recht und IT Bremen, 25. Juni 2014

2 Vortragsthemen und Referenten 1 Wichtige steuerliche Neuerungen 2014 Ralf Lüdeke, RA/FAStR 2 Neues zur Haftung des Geschäftsführers/ Strategien zur Haftungsvermeidung Dr. Michael Beckhusen, RA 3 Compliance-Management für den Mittelstand - ein praxisorientierter Überblick Lutz Lürig, WP/StB. 4 (IT-)Berechtigungsmanagement in der Praxis Im Spannungsfeld zwischen normativen Anforderungen und Flexibilität Gerd zur Brügge

3 Wichtige steuerliche Neuerungen 2014 Bremen, 25. Juni 2014

4 Inhalt A. Neuerungen für Unternehmen B. Update Erbschaftsteuer C. Geplante Änderungen bei der Selbstanzeige D. Künftige Gesetzesvorhaben FIDES Treuhand GmbH & Co. KG Seite 2

5 A. Neuerungen für Unternehmen 1. Update ertragsteuerliche Organschaft (1) EAV 100 % Organschaft Ergebniskonsolidierung durch Organschaft M-GmbH 100 % EAV Voraussetzungen (u. a.) Mehrheit der Stimmrechte (finanzielle Eingliederung) Ergebnisabführungsvertrag (EAV) Gewinn Verlust T1-GmbH T2-GmbH FIDES Treuhand GmbH & Co. KG Seite 3

6 A. Neuerungen für Unternehmen 1. Update ertragsteuerliche Organschaft (2) Verlustausgleichsverpflichtung im EAV Altes Recht: Statischer Verweis Neues Recht: Dynamischer Verweis "Verlustübernahme entsprechend den Vorschriften des 302 AktG vereinbart" "Verlustübernahme durch Verweis auf die Vorschriften des 302 AktG in seiner jeweils gültigen Fassung vereinbart" Bisherige Rechtsunsicherheiten weitgehend beseitigt Aber ggf. Probleme im Übergang Gesetzliche Klarstellung durch AIFM-StAnpG, BGBl. I 2013, S Verwaltungsseitige Klarstellungen: OFD Karlsruhe, Vfg. v , FR 2014, S FIDES Treuhand GmbH & Co. KG Seite 4

7 A. Neuerungen für Unternehmen 1. Update ertragsteuerliche Organschaft (3) Verlustausgleichsverpflichtung - Anwendungsregelung und Handlungsbedarf Fall 1: EAV wird nach erstmals geschlossen Zwingend dynamischer Verweis Fall 2: EAV wurde vor geschlossen und fehlerhafter Verweis Zwingend dynamischer Verweis EAV-Änderung bis erforderlich, aber auch ausreichend Fall 3: EAV vor geschlossen und statischer Verweis FinVerw: Anpassung nicht notwendig, aber: vollständige Rechtssicherheit nur durch Änderung der Verträge erreichbar FIDES Treuhand GmbH & Co. KG Seite 5

8 A. Neuerungen für Unternehmen 2. Verlustabzug nach 8c KStG (1) M-GmbH T-GmbH Erwerber Untergang von Verlustvorträgen bei Übertragung von Anteilen an T-GmbH innerhalb von fünf Jahren 25 % < Übertragung <= 50 % Anteiliger Untergang in Höher der Anteilsübertragung Übertragung > 50 % Vollständiger Untergang Zahlreiche Zweifelsfragen Verlustvortrag - KSt -GewSt FIDES Treuhand GmbH & Co. KG Seite 6

9 A. Neuerungen für Unternehmen 2. Verlustabzug nach 8c KStG (2) Entwurf eines neuen BMF-Schreibens betreffend Zweifelsfragen Unterjähriger Beteiligungserwerb Gewinn bis zum Tag des Beteiligungserwerbs ist grds. mit noch nicht genutztem Verlustvortrag verrechenbar Aber: vorrangige Verrechnung von Gewinnen bis zum Tag des Beteiligungserwerbs und danach erzielten Verlusten Konzernklausel Anteilsübertragungen von oder auf eine natürliche Person bzw. Stiftung sind nicht begünstigt Stille-Reserven-Klausel Keine Berücksichtigung stiller Reserven einer Organgesellschaft beim Organträger FIDES Treuhand GmbH & Co. KG Seite 7

10 A. Neuerungen für Unternehmen 3. Update Betriebsstättenbesteuerung (1) Authorised OECD Approach (AOA) Altes Recht Weitgehend (nur) veranlassungsbezogene Aufwandsverteilung zwischen Stammhaus und Betriebsstätte Neues Recht Nahezu uneingeschränkte Selbständigkeitsfiktion der Betriebsstätte Fremdübliche Abrechnung von Leistungen zwischen Stammhaus und Betriebsstätte Ggf. Verrechnungspreis-Dokumentation erforderlich Zuordnung eines angemessenen Eigenkapitals (Dotationskapital) an Betriebsstätte Anwendungszeitraum: Für Wirtschaftsjahre nach 31. Dezember 2012 Konkretisierungen im BsGaV-Entwurf FIDES Treuhand GmbH & Co. KG Seite 8

11 A. Neuerungen für Unternehmen 3. Update Betriebsstättenbesteuerung (2) Stammhaus Deutschland Entwicklungskosten für IT-Software im Stammhaus IT-Software wird von Stammhaus und Betriebsstätte gemeinsam genutzt Überlassung von IT-Software Betriebsstätte Ausland Altes Recht: Aufteilung der Kosten auf Stammhaus und Betriebsstätte nach Schlüssel Neues Recht: Fiktives fremdübliches Nutzungsentgelt vom Stammhaus an Betriebsstätte zu verrechnen (wie zwischen unabhängigen Unternehmen) FIDES Treuhand GmbH & Co. KG Seite 9

12 A. Neuerungen für Unternehmen 3. Update Betriebsstättenbesteuerung (3) Betriebsstättengewinnaufteilungsverordnung im Entwurf veröffentlicht 1. Schritt: Zuordnung zu Stammhaus oder Betriebsstätte Personalfunktion Vermögenswerte Chancen / Risiken Angemessenes Eigenkapital (Dotationskapital) 2. Schritt: Bestimmung der Geschäftsbeziehungen zwischen Stammhaus aufgrund vorgenommener Zuordnung Zahlreiche Sonderfälle geregelt: Bankbetriebbsstätten Betriebsstätten von Versicherungsunternehmen Bau- und Montagebetriebsstätten FIDES Treuhand GmbH & Co. KG Seite 10

13 A. Neuerungen für Unternehmen 4. Umsatzsteuerliche Organschaft (1) M-GmbH T-GmbH Umsatzsteuerliche Organschaft: Behandlung als ein Unternehmen Voraussetzungen: Eingliederung Finanzielle Eingliederung (Stimmrechtsmehrheit des Organträgers) Wirtschaftliche Eingliederung (Tätigkeit der Organgesellschaft in engem wirtschaftlichem Zusammenhang mit Tätigkeit des Gesamtunternehmens) Organisatorische Eingliederung (tatsächliche Ausführung des Willens des Organträgers durch organisatorische Maßnahmen sichergestellt) FIDES Treuhand GmbH & Co. KG Seite 11

14 A. Neuerungen für Unternehmen 4. Umsatzsteuerliche Organschaft (2) M-GmbH Geschäftsführer: X = T-GmbH + Geschäftsführer: X und Y (gesamtgeschäftsführungsbefugt, d. h. X und Y haben jeweils Vetorecht) FIDES Treuhand GmbH & Co. KG Seite 12

15 A. Neuerungen für Unternehmen 4. Umsatzsteuerliche Organschaft (3) M-GmbH T-GmbH + = Bisher: Organisatorische Eingliederung gegeben, da X eine abweichende Willensbildung auf Ebene der Tochtergesellschaft verhindern kann. FIDES Treuhand GmbH & Co. KG Seite 13

16 A. Neuerungen für Unternehmen 4. Umsatzsteuerliche Organschaft (4) M-GmbH T-GmbH + = BFH, Urt. v : Keine organisatorische Eingliederung, da X ohne die Zustimmung von Y seinen Willen bei der Tochtergesellschaft nicht durchsetzen kann. Somit keine organisatorische Eingliederung. Voraussetzungen der umsatzsteuerlichen Organschaft sind nicht erfüllt. Aber: BMF, Schr. v : Vorläufig keine Anwendung des BFH-Urteils FIDES Treuhand GmbH & Co. KG Seite 14

17 A. Neuerungen für Unternehmen 4. Umsatzsteuerliche Organschaft (5) M-GmbH T-GmbH Mitarbeiter X = Bisher: Leitungsfunktion entsendeter Mitarbeiter erforderlich BMF, Schr. v : Jedes Anstellungsverhältnis beim Organträger genügt Geschäftsführer: X FIDES Treuhand GmbH & Co. KG Seite 15

18 Inhalt A. Neuerungen für Unternehmen B. Update Erbschaftsteuer C. Geplante Änderungen bei der Selbstanzeige D. Künftige Gesetzesvorhaben FIDES Treuhand GmbH & Co. KG Seite 16

19 B. Update Erbschaftsteuer Ausstehende Entscheidung des BVerfG zu Verschonungsregelungen (1) Derzeitige Verschonungsregelungen für Betriebsvermögen Begünstigtes Vermögen: Betriebsvermögen Anteile an Kapitalgesellschaften > 25 % Land- und Forstwirtschaftliches Vermögen Regelverschonung (85 %) und Optionsverschonung (100 %): Regelverschonung Optionsverschonung (Abschlag 85 %) (Abschlag 100 %) Max. Quote des Verwaltungsvermögens 50 % 10 % Lohnsummenfrist 5 Jahre 7 Jahre Mindestlohnsumme 400 % 700 % Behaltensfrist 5 Jahre 7 Jahre Keine Überentnahmen 5 Jahre 7 Jahre Privatvermögen ist nicht entsprechend begünstigt FIDES Treuhand GmbH & Co. KG Seite 17

20 B. Update Erbschaftsteuer Ausstehende Entscheidung des BVerfG zu Verschonungsregelungen (2) BFH v : Weitgehende Verschonung des Erwerbs von Betriebsvermögen stellt verfassungswidrige Überprivilegierung dar Erste Sitzung des BVerfG am Bei Feststellung der Verfassungswidrigkeit durch BVerfG: Änderungen voraussichtlich nur mit Wirkung für die Zukunft Evtl. erneuter Reparaturauftrag an den Gesetzgeber Prognose: Rahmenbedingungen werden sich voraussichtlich eher verschlechtern Zeitnahe Umsetzung bei ohnehin geplanten Übertragungen? FIDES Treuhand GmbH & Co. KG Seite 18

21 B. Update Erbschaftsteuer Aktuelle BFH-Rechtsprechung AdV im Hinblick auf den Vorlagebeschluss des BFH, sofern sonst Liquidation des Nachlasses erforderlich wäre (BFH, Urt. v II B 46/13). Keine Verschonungsregelung bei nur mittelbarer Beteiligung an Kapitalgesellschaften (BFH, Urt. v II R 4/12, ZEV 2013, S. 464) Grundstücksschenkung an ein Kind bei anschließender Weiterschenkung als Zuwendung an das Schwiegerkind (BFH, Urt. v II R 37/11) FIDES Treuhand GmbH & Co. KG Seite 19

22 Inhalt A. Neuerungen für Unternehmen B. Update Erbschaftsteuer C. Geplante Änderungen bei der Selbstanzeige D. Künftige Gesetzesvorhaben FIDES Treuhand GmbH & Co. KG Seite 20

23 C. Geplante Änderungen bei der Selbstanzeige Beschluss der Finanzministerkonferenz Anfang Mai 2014: Verschärfung der Bedingungen für strafbefreiende Selbstanzeige Gesetzentwurf vor Sommerpause geplant Strafzuschläge in Höhe von 5 % ab Steuerhinterziehungsbetrag von EUR (bisher EUR ) 10 % ab Steuerhinterziehungsbetrag von EUR % ab Steuerhinterziehungsbetrag von EUR Zzgl. Hinterziehungszins in Höhe von 6 % Nachzahlungen und Hinterziehungszinsen müssen künftig sofort bei Offenlegung an das Finanzamt entrichtet werden Ausdehnung der Verjährungsfrist auch für einfache Steuerhinterziehung auf 10 Jahre Hinweis auf neues Steuerabkommen zwischen der Schweiz und der EU, insbesondere im Hinblick auf Zinszahlungen FIDES Treuhand GmbH & Co. KG Seite 21

24 Inhalt A. Neuerungen für Unternehmen B. Update Erbschaftsteuer C. Geplante Änderungen bei der Selbstanzeige D. Künftige Gesetzesvorhaben FIDES Treuhand GmbH & Co. KG Seite 22

25 D. Künftige Gesetzesvorhaben Eingetragene Lebenspartnerschaften Verfahrensrechtsänderungsgesetz Selbstanzeige (s. o.) Jahressteuergesetz 2015 Finanztransaktionssteuer FIDES Treuhand GmbH & Co. KG Seite 23

26 Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Ralf Lüdeke, RA/FAStR Birkenstraße Bremen Tel. +49 (421) Fax +49 (421)

27 Neues zur Haftung des Geschäftsführers/ Strategien zur Haftungsvermeidung Bremen, 25. Juni 2014

28 Inhalt A. Überblick zur Haftung des Geschäftsführers B. Neuere Rechtsprechung und Entwicklungstendenzen C. Strategien zur Haftungsvermeidung FIDES Treuhand GmbH & Co. KG Seite 2

29 A. Überblick zur Haftung des Geschäftsführers (1) Organisationsverfassung der GmbH Gesellschafterversammlung Gesellschafter 1 Gesellschafter 2 GmbH evtl. Aufsichtsrat Beirat Dienstvertrag Geschäftsführer FIDES Treuhand GmbH & Co. KG Seite 3

30 A. Überblick zur Haftung des Geschäftsführers (2) Geschäftsführer als Organ der Gesellschaft GmbH ist Fiktion und handelt durch Geschäftsführer Geschäftsführer muss eine natürliche Person sein Geschäftsführer ist nicht frei in seinem Handeln, sondern gebunden an: Gesetz Gesellschaftsvertrag Gesellschafterbeschlüsse Weisungen der Gesellschafter (-versammlung) Dienstvertrag Geschäftsordnung FIDES Treuhand GmbH & Co. KG Seite 4

31 A. Überblick zur Haftung des Geschäftsführers (3) Voraussetzung für persönliche Haftung des Geschäftsführers Haftung setzt einen Anspruch voraus a) Gegenüber GmbH aus Verletzung der Geschäftsführer-Pflichten (Innenhaftung) b) Gegenüber Dritten aus Verletzung gesetzlicher Schutzbestimmungen (z. B. Insolvenzantragspflicht, Veruntreuung von Abgaben) oder Inanspruchnahme vorvertraglichen Vertrauens (Außenhaftung) Verschulden (Vorsatz oder Fahrlässigkeit) bezüglich Pflichtverletzung erforderlich Maßstab ist der pflichtbewusste, selbstständig tätige Leiter eines vergleichbaren Unternehmens, der nicht mit eigenen Mitteln wirtschaftet und daher wie ein Treuhänder fremden Vermögensinteressen verpflichtet ist Haftungsumfang: unbeschränkt und persönlich FIDES Treuhand GmbH & Co. KG Seite 5

32 A. Überblick zur Haftung des Geschäftsführers (4) Beweislast Grundsatz: jeder hat die ihm günstigen Tatsachen darzulegen und zu beweisen (sowohl im Innenals auch Außenhaftungsprozess) Danach hätte Gläubiger Verschulden des Geschäftsführers nachzuweisen Rechtsprechung: Beweislastumkehr im Innenhaftungsprozess Objektive Pflichtverletzung führt zur Vermutung, dass diese auch schuldhaft erfolgte Geschäftsführer muss beweisen, dass er keine Pflichtverletzung begangen oder schuldlos gehandelt hat oder dass der Schaden auch bei rechtmäßigem Alternativverhalten eingetreten wäre FIDES Treuhand GmbH & Co. KG Seite 6

33 A. Überblick zur Haftung des Geschäftsführers (5) Verjährung Ansprüche aus Verstößen gegen das GmbH-Gesetz und Dienstvertrag (Innenhaftung) Verjährungsfrist 5 Jahre ( 43 Absatz 4 GmbHG) Beginn: Schadenseintritt Ansprüche aus Verletzung allgemeiner Pflicht (in der Regel Außenhaftung) 3 Jahre ( 195, 199 BGB) Beginn: Kenntnis des Gläubigers von Schädiger und Schaden FIDES Treuhand GmbH & Co. KG Seite 7

34 B. Neuere Rechtsprechung und Entwicklungstendenzen (1) Urteil Landgericht München I vom Leitsatz 1: Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen erfolgen. Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit. Leitsatz 2: Die Einrichtung eines funktionierenden Compliance-Systems gehört zur Gesamtverantwortung des Vorstands. FIDES Treuhand GmbH & Co. KG Seite 8

35 B. Neuere Rechtsprechung und Entwicklungstendenzen (2) Sachverhalt: Klage der Siemens AG gegen ehemaliges Vorstandsmitglied, das nach Geschäftsordnung für Risikomanagement und Controlling verantwortlich war LG München verurteilt zur Zahlung von Schadensersatz in Höhe von EUR 15 Mio. Begründung: Verletzung von 93 Absatz 1 S. 1 AktG; d.h. Verletzung der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters Im Rahmen der Legalitätspflicht darf ein Vorstandsmitglied keine Gesetzesverstöße anordnen und muss Sorge dafür tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverletzungen stattfinden FIDES Treuhand GmbH & Co. KG Seite 9

36 B. Neuere Rechtsprechung und Entwicklungstendenzen (2) Ableitungen aus dem Urteil: Einigkeit im Schrifttum: Legalitätspflicht besteht grundsätzlich gemäß 43 Absatz 1 GmbHG auch für Geschäftsführer Nicht das Ob der Compliance-Organisation steht zur Disposition, sondern nur die Ausgestaltung der Compliance-Organisation durch Geschäftsführer Kriterien: Unternehmensgröße, Tätigkeitsgebiete (national/international), Mitarbeiterzahl etc. FIDES Treuhand GmbH & Co. KG Seite 10

37 B. Neuere Rechtsprechung und Entwicklungstendenzen (3) Risiko der Geltendmachung von Ansprüchen bei fehlender Compliance-Organisation? Frage: Wer macht bei fehlendem Aufsichtsrat Ansprüche geltend? Gleiches Risiko für Fremdgeschäftsführer, da Geltendmachung durch Gesellschafterversammlung Für Gesellschafter-Geschäftsführer besteht Risiko im Insolvenzfall durch Geltendmachung der Geschäftsführerhaftung durch Insolvenzverwalter FIDES Treuhand GmbH & Co. KG Seite 11

38 B. Neuere Rechtsprechung und Entwicklungstendenzen (4) Gesetzesinitiative Nordrhein Westfalen: Verbandsstrafgesetzbuch (VerbStrG) Grund: bisheriges Strafrecht setzt an strafbarem Verhalten des Inhabers/Organs/Gesellschafters an ( 130 OWiG, 62 GmbHG) Bisher kaum tatsächliche Ahndung über Geldbußen "Haftungsrisiken sind versicherbar und steuerlich abzugsfähig", daher müsse "das Unternehmen selbst in das Zentrum der Strafverfolgung rücken" Eckpunkte Bestrafung des Unternehmens, wenn a) Entscheidungsträger Straftaten begehen und dabei Pflichten des Unternehmens verletzen oder b) Begehung betriebsbezogener Straftaten einfacher Mitarbeiter, wenn diese durch nicht angemessene Aufsichtsmaßnahmen ermöglicht wurden ( 2 Absatz 1 und 2 VerbStrG-E) Begründung für 2 Absatz 1 VerbStrG-E: Mangelhafte Personalauswahl oder unzureichender Aufgabenzuschnitt auf Leitungsebene des Verbandes/Unternehmens FIDES Treuhand GmbH & Co. KG Seite 12

39 B. Neuere Rechtsprechung und Entwicklungstendenzen (5) Sanktionen Verbandsgeldstrafe (maximal 10 % des durchschnittlichen Gesamtumsatzes des Unternehmens auf Basis der letzten 3 Geschäftsjahre) Verbandswarnung mit Strafvorbehalt Öffentliche Bekanntgabe der Verurteilung (bei großer Zahl von Geschädigten) Ausschluss von der Vergabe öffentlicher Aufträge und Ausschluss von Subventionen Verbandsauflösung Aber: Straffreiheit bei Compliance gemäß 5 VerbStrG-E: Das Gericht kann von einer Verbandssanktion absehen, "wenn der Verband ausreichende organisatorische oder personelle Maßnahmen getroffen hat, um vergleichbare Verbandsstraftaten in Zukunft zu vermeiden und wenn ein bedeutender Schaden nicht entstanden oder dieser zum überwiegenden Teil wieder gutgemacht ist". FIDES Treuhand GmbH & Co. KG Seite 13

40 B. Neuere Rechtsprechung und Entwicklungstendenzen (6) Organisationsverfassung der GmbH & Co. KG Gesellschafterversammlung GmbH als Komplementär Kommanditist Dienstvertrag Geschäftsführer GmbH & Co. KG FIDES Treuhand GmbH & Co. KG Seite 14

41 B. Neuere Rechtsprechung und Entwicklungstendenzen (7) BGH Urteil vom Sachverhalt (verkürzt): Geschäftsführer der Komplementär-GmbH unterzeichnet für die GmbH & Co. KG nach erteiltem mündlichen Beratungsauftrag an Rechtsanwaltskanzlei eine schriftliche Honorarvereinbarung über Pauschalhonorar in Höhe von EUR ,00 Organverhältnis zwischen Komplementär-GmbH und GF hat drittschützende Wirkung zugunsten KG (Dienstvertrag nicht notwendig) Komplementär-GmbH muss darauf vertrauen dürfen, dass Geschäftsführer den Angelegenheiten der KG gleiche Sorgfalt widmet wie ihren eigenen KG ist auf Sorgfalt und Gewissenhaftigkeit des Geschäftsführers angewiesen, hat jedoch regelmäßig keine Befugnisse, um unmittelbar auf Geschäftsführer einzuwirken Wichtig: Grundsätze der Beweislastumkehr gelten im Innenhaftungsprozess auch bei Schadensersatzansprüchen der KG gegen Geschäftsführer FIDES Treuhand GmbH & Co. KG Seite 15

42 C. Strategien zur Haftungsvermeidung (1) 1. Einholung von Expertenrat BGH: Keine Pflichtverletzung des Organs, wenn dieses bei unternehmerischer Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln (sogenannte Business Judgement Rule) Dies bedeutet besondere Erkundigungs- und Informationseinholungspflicht des Geschäftsführers, wenn keine eigenen Kenntnisse und Erfahrungen für sachgerechte Beurteilung vorhanden sind Hieraus kann Pflicht erwachsen, sachkundigen Rat einzuholen BGH vom (ISION): Organ kann Pflicht zur Prüfung der Rechtslage und Verpflichtung zur Beachtung von Gesetz und Rechtsprechung nur genügen, wenn unabhängiger, fachlich qualifizierter Berufsträger Rechtsrat erteilt aber: Prüfungsergebnis muss grundsätzlich in schriftlicher Form abgegeben werden Organ muss Ergebnis einer sorgfältigen Plausibilitätskontrolle unterziehen FIDES Treuhand GmbH & Co. KG Seite 16

43 C. Strategien zur Haftungsvermeidung (2) 1. Einholung von Expertenrat Konsequenzen aus Rechtsprechung: Sorgfältige Dokumentation durch Geschäftsführer notwendig (Auswahl und Information des Beraters) Sicherstellung schneller Bearbeitung Plausibilitätskontrolle Handeln des Organs muss anschließend vom Expertenrat gedeckt sein FIDES Treuhand GmbH & Co. KG Seite 17

44 C. Strategien zur Haftungsvermeidung (3) 2. Haftungsbeschränkung im Anstellungsvertrag Herabsetzung des Sorgfalts- und Verschuldensmaßstabs Ausschlussfrist Verkürzung Verjährungsfrist Summenmäßige Haftungsbeschränkungen Abweichende Beweislastverteilung 3. Einholung einer Gesellschafterweisung ("Melden macht frei") 4. D&O Versicherung 5. Ultima ratio: Amtsniederlegung zur Vermeidung zukünftiger Haftung FIDES Treuhand GmbH & Co. KG Seite 18

45 Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Dr. Michael Beckhusen/RA Birkenstraße Bremen Tel. +49 (421) Fax +49 (421)

46 Compliance-Management für den Mittelstand - ein praxisorientierter Überblick Bremen, 25. Juni 2014

47 Inhalt A. Stimmen aus dem Mittelstand B. Compliance und Compliance Management - was ist das genau? C. Compliance-Management im Mittelstand - muss das sein? D. Anforderungen und Ausgestaltung von Compliance Management Systemen (CMS) E. Umsetzung im Mittelstand - CMS mit Augenmaß F. Herangehensweise an ein CMS-Projekt G. Ausblick und Empfehlungen FIDES Treuhand GmbH & Co. KG Vertraulich Seite 2

48 A. Stimmen aus dem Mittelstand. "Wir sind keine Siemens", so etwas brauchen wir nicht.". "Unsere Risiken kenne ich selbst am besten.". "Richtlinien in dem Sinne haben wir nicht. Wir haben eher ein gelebtes Verständnis.". "Wir haben einen Compliance-Beauftragten ernannt. Der wird schon wissen, was zu tun ist." "Die Anforderungen ergeben sich doch aus dem Gesetz. Das müssen unsere Leute doch wissen." "Den Unfug mache ich nicht mit, der hält uns nur vom Geschäftemachen ab." "Es ist bisher immer gutgegangen." "Das prüfen unsere Wirtschaftsprüfer doch sowieso gleich mit." FIDES Treuhand GmbH & Co. KG Vertraulich Seite 3

49 B. Compliance und Compliance Management - was ist das genau? (1) "Compliance" in Deutschland seit Siemens-Korruptionsfällen besonders im Fokus (ca. 2006) Permanent zunehmende Beachtung in Fachpresse, Fachliteratur und öffentlicher Wahrnehmung Immer neue Fälle von Compliance-Verstößen werden in die Medien getragen (Ergo, Lidl,.. ) Thema besonders brisant seit "Neubürger-Siemens-Urteil" aus Dezember 2013 (siehe vorheriger Vortrag) "Compliance" ist kein Modethema, das im Zeitablauf an Bedeutung verliert bzw. nur Großunternehmen betrifft. auch der Mittelstand muss sich damit ernsthaft zu befassen FIDES Treuhand GmbH & Co. KG Vertraulich Seite 4

50 B. Compliance und Compliance Management - was ist das genau? (2) Bedeutung des Begriffes "Compliance" Keine allgemeingültige Definition des Begriffs Compliance. Englisch: "Compliance" = Ordnungsmäßigkeit, Erfüllung, Befolgung" aber von was? Breites Spektrum der Interpretation in der Öffentlichkeit. Häufig wird Compliance nur auf "Anti-Korruption" reduziert. Tatsächlich umfasst Compliance deutlich größeres Spektrum. FIDES Treuhand GmbH & Co. KG Vertraulich Seite 5

51 B. Compliance und Compliance Management - was ist das genau? (3) Wirtschaftsprüfer verstehen unter Compliance allgemein: Compliance = die Einhaltung von Regeln Einhaltung gesetzlicher Bestimmungen Einhaltung selbstgesetzter Regeln (Satzung, Gesellschaftsvertrag, unternehmensinterne Richtlinien) Einhaltung von Richtlinien/Vorgaben von Kunden oder Lieferanten Besondere Bedeutung von Compliance liegt auf der Einhaltung gesetzlicher Bestimmungen. FIDES Treuhand GmbH & Co. KG Vertraulich Seite 6

52 B. Compliance und Compliance Management - was ist das genau? (4) Compliance Management ist ein integraler Bestandteil der Corporate Governance, des unternehmensweiten Risikomanagements und des internen Kontrollsystems. House of Governance FIDES Treuhand GmbH & Co. KG Vertraulich Seite 7

53 B. Compliance und Compliance Management - was ist das genau? (5) Compliance muss gemanaged werden. Zur Umsetzung von Compliance werden Prozesse und Maßnahmen im Unternehmen benötigt. daher: Compliance Management System (CMS) "Grundsätze und Maßnahmen eines Unternehmens zur Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter sowie ggf. von Dritten." Ein Compliance Management System kann sich auch auf Teilbereiche beziehen Geschäfts- oder Unternehmensbereiche (z. B. Einkauf) Rechtsgebiete (z. B. Kartellrecht oder Anti-Korruption). FIDES Treuhand GmbH & Co. KG Vertraulich Seite 8

54 B. Compliance und Compliance Management - was ist das genau? (6) Bereiche für das Compliance Management Anti- Korruption Arbeitsrecht Arbeitssicherheit Steuern Produkthaftung Umweltschutz Datenschutz Kartell- und Wettbewerbsrecht Geldwäsche Zoll- und Außenwirtschaftsrecht Börsenrecht/ Kapitalmarktrecht Sonstige? FIDES Treuhand GmbH & Co. KG Vertraulich Seite 9

55 C. Compliance-Management im Mittelstand - muss das sein? (1) Wozu Compliance Management? 1. Gesetze und Regeln sind per se einzuhalten Zunehmende Regelungsdichte und -komplexität Internationale Ausrichtung (z. B. UK Bribery Act). FIDES Treuhand GmbH & Co. KG Vertraulich Seite 10

56 C. Compliance-Management im Mittelstand - muss das sein? (2) Wozu Compliance Management? 2. Wirtschaftliche Risiken aus Compliance-Verstößen z. B. Bußgelder und Abschöpfung aus Korruptions- und Kartellfällen Reputationsschäden für das Unternehmen bei Regelverstößen Compliance Management als Voraussetzung für Geschäftsbeziehungen FIDES Treuhand GmbH & Co. KG Vertraulich Seite 11

57 C. Compliance-Management im Mittelstand - muss das sein? (3) Wozu Compliance Management? 3. Positive wirtschaftliche Auswirkungen für das Unternehmen Geschäfts-Chancen durch Erfüllung der Anforderungen von Kunden (und teilweise von Lieferanten) nach Sicherstellung Compliance durch CMS Reputationsgewinn durch besonders hohen Stellenwert von Compliance FIDES Treuhand GmbH & Co. KG Vertraulich Seite 12

58 C. Compliance-Management im Mittelstand - muss das sein? (4) Wozu Compliance Management? 4. Persönliche Strafbarkeits- und Haftungsrisiken für die Organe und Mitarbeiter bei Compliance-Verstößen Geschäftsführer trifft eine Sorgfaltspflicht auch GmbH und Personengesellschaften sind betroffen! Aufsichtsräte, Beiräte und Inhaber betrifft eine Überwachungspflicht Neben der persönlichen Strafbarkeit ggf. auch noch Haftungsinanspruchnahme der Organe durch geschädigtes Unternehmen. FIDES Treuhand GmbH & Co. KG Vertraulich Seite 13

59 D. Anforderungen und Ausgestaltung von Compliance Management Systemen (CMS) (1) Es reicht nicht, nur einen Chief Compliance Officer zu ernennen Wesentliche Ziele jedes CMS sind: Prävention (Vorbeugung) Aufdecken/Identifikation ("Detection") Reaktion ("Response") Prävention (Prevention) Reaktion (Response) Einmalige Einrichtung eines CMS reicht nicht aus. Wirksamkeitskontrolle und fortlaufende Verbesserung müssen beachtet werden. Identifikation (Detection) FIDES Treuhand GmbH & Co. KG Vertraulich Seite 14

60 D. Anforderungen und Ausgestaltung von Compliance Management Systemen (CMS) (2) Orientierungsrahmen für CMS-Systeme Förderung Compliance-Kultur Festlegung von Compliance-Zielen Feststellung und Analyse der Compliance-Risiken Erstellung eines Compliance-Programms Compliance- Kommunikation Compliance- Überwachung und Verbesserung CMS Compliance- Kultur Compliance- Ziele Aufbau einer Compliance Organisation Kommunikationsprozess entwickeln Verfahren zur Überwachung und Verbesserung einführen Compliance- Organisation Compliance- Programm Compliance- Risiken FIDES Treuhand GmbH & Co. KG Vertraulich Seite 15

61 D. Anforderungen und Ausgestaltung von Compliance Management Systemen (CMS) (3) Förderung Compliance-Kultur Grundeinstellung und Verhaltensweise des Managements "tone at the top" Kommunizierte Verhaltensgrundsätze ("Code of Conduct" bzw. "Code of Ethics") Umgang mit Verstößen Festlegung von Compliance-Zielen Festlegung von Teilbereichen Festlegung besonders bedeutsamer Rechtsbereiche und Regeln Maßstab: Verstöße in der Vergangenheit Beeinträchtigung der Geschäftstätigkeit bei Verstößen Höhe des Reputations- oder Finanzschadens FIDES Treuhand GmbH & Co. KG Vertraulich Seite 16

62 D. Anforderungen und Ausgestaltung von Compliance Management Systemen (CMS) (4) Feststellung und Analyse der Compliance-Risiken Welche Risiken gefährden die (wesentlichen) Compliance-Ziele? Bewertung: welche Folgen haben Verstöße gegen die bedeutsamen Regelungen Bewertung der Eintrittswahrscheinlichkeit und Schadenshöhe Erstellung eines Compliance-Programms Planung und Implementierung von Maßnahmen zur Einhaltung der Compliance Planung und Implementierung von Maßnahmen zur Zielerreichung Planung von Maßnahmen bei Verstößen Aufbau einer Compliance Organisation Verantwortlichkeiten und Zuständigkeiten bestimmen ("Chief Compliance Officer") Festlegung der Aufbau- und Ablauforganisation FIDES Treuhand GmbH & Co. KG Vertraulich Seite 17

63 D. Anforderungen und Ausgestaltung von Compliance Management Systemen (CMS) (5) Kommunikationsprozess entwickeln Information der Mitarbeiter über das Compliance-Programm Schulungsprogramm Festlegung der Kommunikationswege für Risiken Festlegung der Kommunikationswege für erkannte oder vermutete Verstöße (z. B. "Whistle-Blowing"-System / "Ombudsmann") Verfahren zur Überwachung und Verbesserung einführen Überwachung der Angemessenheit und Wirksamkeit Planung zur Fortentwicklung des CMS FIDES Treuhand GmbH & Co. KG Vertraulich Seite 18

64 E. Umsetzung im Mittelstand - CMS mit Augenmaß (1) Bereits hoher Stellenwert von "Compliance" in Großunternehmen Großunternehmen unterhalten eigenständige und große "Compliance-Abteilungen" Viele Großunternehmen lassen ihr CMS durch Wirtschaftsprüfer beurteilen (Bescheinigung nach IDW PS 980) für den Mittelstand ist das nicht praktikabel FIDES Treuhand GmbH & Co. KG Vertraulich Seite 19

65 E. Umsetzung im Mittelstand - CMS mit Augenmaß (2) Status quo im Mittelstand Compliance ist als wichtiges Thema bekannt. Viele KMU haben sich bisher nicht strukturiert mit individuellen Compliance-Risiken beschäftigt. Andere KMU haben fragmentarische Ansätze oder Insellösungen. In den meisten Fällen keine Dokumentation der vorhandenen Strukturen und Maßnahmen. Im Bedarfsfall schwierig, die Maßnahmen ggü. Dritten nachzuweisen. FIDES Treuhand GmbH & Co. KG Vertraulich Seite 20

66 E. Umsetzung im Mittelstand - CMS mit Augenmaß (3) Kein Patentrezept für den Mittelstand. Praxisleitfäden (Internet + Literatur) und CMS von anderen Unternehmen helfen Übernahme 1:1 nicht sinnvoll! CMS muss maßgeschneidert auf die Verhältnisse im Unternehmens ausgerichtet werden. Unternehmensgröße Risikostruktur Branche Geschäftsmodell (Absatzmärkte, Einkaufsmärkte, Kundenstruktur) Organisationsstruktur und IT-Prozesse Internationalisierungsgrad FIDES Treuhand GmbH & Co. KG Vertraulich Seite 21

67 E. Umsetzung im Mittelstand - CMS mit Augenmaß (4) 100 %-Lösung ist nicht das Ziel Auf wesentliche Compliance-Risiken fokussieren Ideale Struktur Wirtschaftlichkeit und Wesentlichkeit beachten Unnötige Kosten vermeiden Vermeidung Beeinträchtigung der operativen Geschäftstätigkeit durch "Bürokratie" FIDES Treuhand GmbH & Co. KG Vertraulich Seite 22

68 E. Umsetzung im Mittelstand - CMS mit Augenmaß (5) Was sollten Sie unbedingt tun? 1. Systematische Analyse und Bewertung von Compliance-Risiken ("Risk Assessment") 2. Aufnahme des "Status quo" - welche Regelungen, Maßnahmen und Dokumentationen liegen schon vor? 3. Dokumentation verbessern! 4. Ziel-Struktur mit Augenmaß bestimmen 5. Inhaltliche und zeitliche Planung für notwendige Anpassungsmaßnahmen 6. Umsetzung auf ein passgenaues Mindestmaß FIDES Treuhand GmbH & Co. KG Vertraulich Seite 23

69 F. Herangehensweise an ein CMS-Projekt (1) Auftraggeber: Produktionsunternehmen der Lebensmittelindustrie Umsatz > EUR 300 Mio. Produktion und Vertrieb an vier Standorten in Deutschland und Europa Beschaffung der (Roh-)Stoffe in Europa und Asien Der Aufsichtsrat fragt: Wird im Unternehmen "Compliance" sichergestellt? FIDES Treuhand GmbH & Co. KG Vertraulich Seite 24

70 F. Herangehensweise an ein CMS-Projekt (2) Vorgehensweise Gespräche mit Führungskräften aus allen wesentlichen Bereichen Welches sind die wesentlichen Compliance-Risiken? Wie werden diese bisher gesteuert? Sind die Steuerungsmaßnahmen dokumentiert? Durchsicht QS-Handbuch und interne Verfahrensanweisungen Zwischenergebnis: Vorläufige Beurteilung des "Status Quo" und wesentlicher "Lücken" in einem schriftlichen Bericht FIDES Treuhand GmbH & Co. KG Vertraulich Seite 25

71 F. Herangehensweise an ein CMS-Projekt (3) Empfehlungen im Status-Bericht zur weiteren Vorgehensweise Priorität 1 Risikoassessment mit externer Moderation durch Fachleute durchführen Personelle Verantwortlichkeiten bestimmen Priorität 2 Maßnahmen für bereits erkannte wesentliche Regelungslücken vorsehen: hier: Wettbewerbsrecht und UK Bribery Act Kommunikationswege festlegen in beide Richtungen (Schulungskonzept/"Ombudsmann").. Priorität 3 Dokumentation verbessern Code of Conduct einführen FIDES Treuhand GmbH & Co. KG Vertraulich Seite 26

72 G. Ausblick und Empfehlungen Compliance ist nicht nur ein Modethema. Thema, nicht auf die "leichte Schulter" nehmen, wenn etwas passiert, dann ggf. erhebliche Folgen. Systematische Beschäftigung mit Compliance auch als Chance begreifen ("Tue Gutes und rede darüber") Diverse Bestandteile und Maßnahmen sind schon vorhanden; aber noch keine Zuordnung unter Compliance Management. Quick-Check unbedingt durchführen, um "Status Quo" und notwendigen Handlungsbedarf zu erkennen. Compliance Management kostet Zeit und Geld - diese sind gut investiert, wenn dadurch wirtschaftliche Schäden des Unternehmens oder persönliche Haftung des Organs vermieden werden können. FIDES Treuhand GmbH & Co. KG Vertraulich Seite 27

73 Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Lutz Lürig WP/StB Birkenstraße Bremen Tel. +49 (421) Fax +49 (421) FIDES Treuhand GmbH & Co. KG Seite 28

74 (IT-)Berechtigungsmanagement in der Praxis Im Spannungsfeld zwischen normativen Anforderungen und Flexibilität Bremen, 25. Juni 2014 Gerd zur Brügge FIDES IT Consultants

75 Agenda 1. Compliance-Anforderungen und grundsätzliche Strukturen von Berechtigungssystemen am Beispiel von SAP Ansatz zum Aufbau eines Berechtigungsmanagements 2. Vorgehen zum Aufbau einer Berechtigungskonzeption Hinweise und praxiserprobte Hilfsmittel zur Umsetzung FIDES IT Consultants 2

76 Agenda - Teil 1 Compliance-Anforderungen und grundsätzliche Strukturen von Berechtigungssystemen am Beispiel von SAP Ansatz zum Aufbau eines Berechtigungsmanagements 1. Was ist Compliance? 2. Was hat Compliance mit Berechtigungsmanagement zu tun? 3. Was ist Berechtigungsmanagement? 4. Berechtigungsstrukturen am Beispiel SAP 5. Berechtigungsmanagement Fazit FIDES IT Consultants 3

77 Was ist Compliance? Compliance (engl.) Ordnungsmäßigkeit/Befolgung/Einhaltung/Konformität (deut.) Einhaltung gesetzlicher Bestimmungen Einhaltung selbstgesetzter Regeln (Satzung, Gesellschaftsvertrag, unternehmensinterne Richtlinien) Einhaltung von Richtlinien/Vorgaben von Kunden oder Lieferanten alles was der Erreichung der Unternehmensziele, bspw. dem Schutz von Unternehmenswerten und der Sicherheit von Prozessabläufen, dient FIDES IT Consultants 4

78 Schutz von Unternehmenswerten Neben monetären Vermögenswerten können auch immaterielle Güter zu den Unternehmenswerten gehören. Schützenswerte Daten: Kontaktdaten (Kunden/Lieferanten) Personaldaten Preise/Konditionen Rezepturen/Konstruktionszeichnungen/Verfahrenstechnik Unternehmenskennzahlen Schützenswerte Systeme: Customer-Relationship-Management-System (CRM) Enterprise-Resource-Planning-System (ERP) - steht im Fokus der Wirtschaftsprüfung Dokumenten-Management-System (DMS) Management-Informations-System (MIS) FIDES IT Consultants 5

79 Hannoversche Allgemeine vom Hannover 96 von Mitarbeiter betrogen? Hannover. Die Staatsanwaltschaft Hannover ermittelt gegen einen 48 jährigen Mitarbeiter von Hannover 96. Die Strafverfolger werfen dem Mann Betrug und Missbrauch von Dokumenten vor. Der Verdächtige soll den Klub durch gefälschte Rechnungen um Eurobetrogenhaben.[ ] Ende 2011 hatte der Verdächtige im Stadion einen Personalausweis gefunden. Die Staatsanwaltschaft geht davon aus, dass er mit diesem Dokument ein Konto bei einer Internetbank eröffnete. Dabei gab er den Namen auf dem Ausweis, aber seine richtige Adresse an, sagt Behördensprecher Oliver Eisenhauer. Über dieses Konto stellte er im Lauf eines Jahres immer wieder Rechnungen an den Verein. Das Geld sollte für Wartungsarbeiten an Aufzügen bei 96 überwiesen werden, die nie ausgeführt worden waren. Da das Unternehmen, in dessen Namen der 48 Jährige die Rechnungen stellte, tatsächlich existiert, schöpfte zunächst niemand Verdacht. Nach und nach erleichterte der Verdächtige auf diese Weise den Fußballklub um Euro. [ ] Quelle: Hannoversche Allgemeine, , Tobias Morchner und Christian Purbs FIDES IT Consultants 6

80 Sicherheit von Prozessabläufen Beispielprozess Stammdatenpflege Stammdatenpflege (Konditionen) Stammdatenpflege (Bankverbindung) Beispielprozess Bestellung Buchung Zahlung Bestellanforderung Bestellung Auftragserteilung Wareneingang Rechnungsprüfung Buchungserfassung Zahlungsvorschlag Zahlungsausgang Berechtigungen Funktion 1 Funktion 2 Funktion 3 Aus Compliancegründen ist eine Funktionstrennung sicherzustellen, so dass bestimmte Funktionen nicht von derselben Person wahrgenommen werden (z.b. Stammdatenpflege, Bestellung und Rechnungsprüfung/-freigabe, Bestellung und Buchung/Zahlung). Die Funktionstrennung dient der Vermeidung unbeabsichtigter Fehler und der Erschwerung von betrügerischen Handlungen und damit der Sicherheit von systemgestützten Prozessabläufen. FIDES IT Consultants 7

81 Was hat Compliance mit Berechtigungsmanagement zu tun? Berechtigungsmanagement als Schlüsselfunktion Der Zugriff auf Systeme, Prozesse, Daten und Informationen sowie die Steuerung des differenzierten Zugriffs auf diese wird über das Berechtigungsmanagement organisiert. Der Zugriff ist dabei so zu organisieren, dass nur diejenigen Anwender Zugriff erhalten, die es entsprechend ihrer Aufgabe auch sollten (Prinzip der minimalen Berechtigung). Eine geordnete Zugriffsvergabe und eine angemessene Struktur der Berechtigungen bilden den Grundstein zu einer ganzheitlichen Compliance. FIDES IT Consultants 8

82 Was ist Berechtigungsmanagement? Das Berechtigungsmanagement wird hier als Zusammenfassung von Benutzerzugriffsmanagement (User Access Management) Benutzerkontenmanagement (User Account Management) verstanden. Es umfasst alle Maßnahmen zur strukturierten, adäquaten und nachvollziehbaren Definition und Implementierung von Berechtigungen Zuordnung von Berechtigungen zu Benutzern/Benutzergruppen Verwaltung von Benutzer- und Berechtigungsänderungen FIDES IT Consultants 9

83 Aufbau einer Berechtigungsstruktur am Beispiel SAP Benutzer Rollen Profile Berechtigungen Benutzer 1 Rolle 1 Profil 1 Berechtigung 1 Berechtigungsobjekte Berechtigungsobjekt 1 Felder/Werte Benutzer 2 Rolle 2 Profil 2 Berechtigung 2 Berechtigungsobjekt 2 Felder/Werte Sammelrolle 1 Profil 3 Berechtigung 3 Berechtigungsobjekt 3 Felder/Werte Beispiel Ralf Müller Rolle FiBu Debitoren Debitorenbuchhaltung Debitorenstammpflege Debitoren anlegen/ändern Rechnung buchen Mahnlauf starten Stammdaten Buchen Konten Mahnen FIDES IT Consultants 10

84 Komplexität der Berechtigungsstrukturen am Beispiel SAP Berechtigungsrelevante Objekte im SAP Module (rd. 70 inkl. Untermodule und Branchenlösungen) Transaktionen (rd ) Berechtigungsobjekte (rd ) SD FI Berechtigungsfelder (rd ) Tabellen (rd ) Programme/Reports (rd ) Zusätzlich möglicherweise individuelle Objekte PP QM MM PM SAP CO WF AM PS HR IS FIDES IT Consultants 11

85 Analogie in anderen Systemen DATEV (Benutzergruppen, Gruppenrechte, Rechte auf Mandanten, Rechte auf Programme, Rechte auf einzelne Menüpunkte/Funktionen) Navision (Benutzergruppen, Objektrechte auf Tabellen und Berichte, Rechte für einzelne Funktionen; Lesen, Einfügen, Bearbeiten, Löschen und Ausführen; Profile beschreiben die Berechtigungen und besteht aus ein oder mehreren Rollen) Windows Active Directory (Gruppen, Gruppenrechte, Rechte auf Verzeichnisse/Ordner/Dateien, Vollzugriff/Ändern/Löschen/Lesen Ausführen/ Lesen/Schreiben) Großrechnersysteme (Gruppen, Gruppenrechte, Profile, Ressource-Limits, Vollzugriff/Lesen/Schreiben; Besonderheit: keine zwingende Trennung von Anwendungsebene und Betriebssystem-/Datenbankebene) FIDES IT Consultants 12

86 Gründe für die Einführung von (neuen) Berechtigungsstrukturen Bereinigung von risikobehafteten Berechtigungen Umsetzung von Funktionstrennungen Bereinigung von kritischen Zugriffen Behebung von Prüfungsergebnissen Neue Systemimplementierungen oder Roll-Outs Optimierung der Benutzeradministration Hoher Aufwand für die Zuweisung von adäquaten Zugriffsrechten Hoher Supportbedarf für die Benutzeradministration Viele Berechtigungsprobleme durch nicht optimal funktionierendes Rollenkonzept Betriebliche Anforderungen/Neugestaltung der Organisation Neue Berechtigungsstruktur muss Umorganisation wiedergeben Verantwortlichkeit (Daten-Owner) erfordert Transparenz FIDES IT Consultants 13

87 Spannungsfeld bei der Einführung von (neuen) Berechtigungsstrukturen Wirtschaftlichkeit Compliance Administrierbarkeit Funktionsfähigkeit FIDES IT Consultants 14

88 Ursachen und Risiken fehlender oder komplexer Berechtigungsstrukturen Ursachen Risiko Zeitdruck/Budget am Ende von Implementierungsprojekten Anhäufung von Rechten Aufweichen durch Ausnahmen im Zeitverlauf Fehlende Funktionstrennung Organisatorische Änderungen, die nicht differenziert abgebildet werden Schnelle Reaktion fehlende/ komplexe Berechtigungsstrukturen Fehlende Dokumentation Fehlende Transparenz Fehlende Kapazitäten Nicht revisionsgerecht Vertretungsregeln Gesetzlich problematisch Unzureichende Prozesse Hoher Administrationsaufwand FIDES IT Consultants 15

89 Berechtigungsmanagement Fazit Wesentliche Voraussetzungen für ein auch auf Dauer funktionierendes Berechtigungsmanagement ist ein strukturiertes und systematisches Vorgehen beim Aufbau und der Pflege der Berechtigungen und Benutzerkonten. Dies erfordert: Klare Anforderungs-(Berechtigungs-)definition Strukturierte Umsetzung der Anforderungsdefinition im Design und bei der Implementierung Einhaltung eines systematischen Testverfahrens Eindeutig definierte Zuordnung der Berechtigungen zu Benutzern Wirksam implementiertes Verfahren für Antrag, Einrichtung, Aufhebung, Änderung und Schließung von Benutzerkonten und Berechtigungen Dokumentation im Berechtigungskonzept regelmäßiger Review aller Benutzerkonten und entsprechender Berechtigungen FIDES IT Consultants 16

90 Agenda Vorgehen zum Aufbau einer Berechtigungskonzeption Hinweise und praxiserprobte Hilfsmittel zur Umsetzung 1. Phasenmodell - Vorgehensweise 2. Berechtigungsmanagement-Prozess FIDES IT Consultants 17

91 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Ziel und Scope des Projektes definieren Rollen und Verantwortlichkeiten definieren Prüfung Einbindung Personalvertretung und Datenschutzbeauftragter Stakeholder und deren Erwartungen identifizieren Projektorganisation aufstellen Budget-, Zeit- und Ressourcenplanung erstellen Ergebnisse Projektauftrag ist genehmigt Grobe Darstellung sämtlicher in das Berechtigungskonzept einzubeziehender Kernprozesse Kick-off Meeting mit allen Beteiligten durchgeführt Abschluss der Phase: XXX FIDES IT Consultants 18

92 Phasenmodell - Vorgehensweise Alternative Vorgehensweisen Phase I Phase II Phase III Phase IV Phase V Finanzbuchhaltung Einkauf Vertrieb Phasenorientiert Fachbereich Fibu Fachbereich Einkauf Fachbereich Vertrieb Fachbereich Logistik Fachbereich Controlling Phase I Phase II Phase III Phase IV Phase V FIDES IT Consultants Fachbereichsorientiert 19

93 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Aufnahme Prozessanforderungen Detailanalyse etwaiger bestehender Berechtigungsstrukturen Identifikation kritischer Berechtigungsstrukturen Definition der Funktionstrennung Definition Namenskonventionen Festlegung der Basis-, fachspezifischen Sonder -Berechtigungen Erstellung Konzept für Fall-Back- Szenario Definition Prozess Berechtigungsmanagement Ergebnisse Berechtigungskonzeption der einzuführenden Rollen Fall-Back-Konzept Abschluss der Phase: XXX FIDES IT Consultants 20

94 Typische Probleme aus der Praxis Nicht dokumentierte Eigenprogrammierungen Fehlende Möglichkeit zur Nutzungsbeschränkung bei Eigenprogrammierungen Benutzer fühlen sich in ihrer Kompetenz eingeschränkt, obwohl Berechtigungen gar nicht benötigt werden Fehlerhafte Zuordnung von Benutzern zu Bereichen Rollen aufgrund fehlender oder unklarer Organisationsstrukturen Benutzer aus Randbereichen werden nicht berücksichtigt (bspw. Betriebsarzt, Arbeitssicherheit, Werkschutz) Mangelnde Akzeptanz Testen der neuen Rollen FIDES IT Consultants 21

95 Phasenmodell - Vorgehensweise Template Phase Fachkonzept: Transaktionen FIDES IT Consultants Rolle Customer Service Rolle CS Stammdaten Rolle CS Freigabe Rolle CS Bestellungen Transaktion Bezeichnung FD03 Anzeigen Debitor (Buchhaltung) X X X FK03 Anzeigen Kreditor (Buchhaltung) X X X ME21N Bestellung anlegen X ME22N Bestellung ändern X ME23N Bestellung anzeigen X X X X ME2L Einkaufsbelege zum Lieferant X X X X ME2M Einkaufsbelege zum Material X X X X ME2N Einkaufsbelege zur Belegnummer X X X X ME51N Banfen anlegen X ME52N Banfen ändern X ME53N Banfen anzeigen X X X X MM01 Material & anlegen X MM02 Material & ändern X MM03 Material & anzeigen X X X X VA01 Kundenauftrag anlegen X VA02 Kundenauftrag ändern X VA03 Kundenauftrag anzeigen X X X VA05N Liste Aufträge X X X VA41 Kontrakt anlegen X VA42 Kontrakt ändern X VA43 Kontrakt anzeigen X X X VA45N Liste Kontrakte X X X VD01 Anlegen Debitor (Vertrieb) X VD02 Ändern Debitor (Vertrieb) X VD03 Anzeigen Debitor (Vertrieb) X X X 22

96 Phasenmodell - Vorgehensweise Templates Phase Fachkonzept: Organisationselemente Organisationselementematrix Fachbereich: Marketing+Sales Rolle Customer Service Rolle CS Stammdaten Rolle CS Freigabe Rolle CS Bestellungen Organisationselemente Buchungskreis , 0060 Einkaufsorganisation 0001 (nur Anzeige) 0001 (nur Anzeige) 0001 (nur Anzeige) 0001 (nur Anzeige) 0001, 0002, 0002 (nur Anzeige) 0002 (nur Anzeige) , 0006, 0007, (nur Anzeige) 0003 (nur Anzeige) (nur Anzeige) 0007 (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) 0006 (nur Anzeige) 0007 (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) (nur Anzeige) 0009 (nur Anzeige) 0010 (nur Anzeige) 0011 (nur Anzeige) 0012 (nur Anzeige) Einkausfbelegarten alle alle alle ZN*, NB alle Verkaufsorganisation 0001, 0003 (nur Anzeige) 0001, 0003 (nur Anzeige) , 0003 (nur Anzeige) 0001, 0002, 0003, 0005 Werk alle Werke (nur Anzeige) 0101, 0121, 0131, 0134, 0135, 0139, 0143, 0145, 0146, , 0121, 0131, 0134, 0135, 0139, 0143, 0145, 0146, , 0121, 0131, 0134, 0135, 0139, 0143, 0145, 0146, 0147 (außer bei ACTVT=03, da alle Werke) alle Vorschlagswert FIDES IT Consultants 23

97 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Aufbau der Rolle(n) im Entwicklungssystem Erstellung Testplan Pretest durch IT Zuordnung Benutzer/Rollen Ergebnisse Rollen sind aufgebaut Erfolgreicher Pretest durch IT Benutzer sind den zu testenden Rollen zugewiesen Dokumentation Benutzer-Rollen- Zuordnung Abschluss der Phase: XXX FIDES IT Consultants 24

98 Phasenmodell - Vorgehensweise Templates Phase Design: Benutzer-Funktions-Organisationsmatrix Benutzer-Funktions- Organisationsmatrix Fachbereich: Marketing+Sales Benutzer Fachbereich 1M&S 2M&S 3M&S 4M&S 5M&S 6M&S 7M&S 8M&S 9M&S Rolle Customer Service Rolle CS Stammdaten Rolle CS Freigabe Rolle CS Bestellungen X X X X X X X X X FIDES IT Consultants 25

99 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Schulung Testvorgehen Funktions- und Integrationstests durch Fachbereich Etwaige Fehlerbehebung durch IT Retest durch Fachbereich Test Fall-Back-Szenario Ergebnisse Schulungskonzeption Freigabe Rollen für Produktivstart Funktionsfähiges Fall-Back-Szenario Abschluss der Phase: XXX FIDES IT Consultants 26

100 Phasenmodell - Vorgehensweise I. Anforderungsdefinition II. Fachkonzeption III. Design IV. Test V. Implementierung Vorgehensweise Transport ins Produktivsystem Produktivsetzung der Rolle(n) - Zuweisung der neuen Rollen bei gleichzeitigem Entzug sämtlicher Alt- Berechtigungen Definition und Einführung des Prozesses Berechtigungsmanagement Ergebnisse Implementierte Berechtigungskonzeption im Produktivsystem Prozess Berechtigungsmanagement implementiert Abschluss der Phase: XXX FIDES IT Consultants 27

101 Phasenmodell - Vorgehensweise Benutzer-Rolle-Matrix (Gesamtübersicht) Benutzer/Rollen FIDES IT Consultants 28 XXX_BAS_JED_0001_OVERALL XXX_FIN_DEB_0001 XXX_FIN_TAX_0001 XXX_FIN_ZAV_0001 XXX_INS_MWP_0001 XXX_INS_MWP_0001_Werk2 XXX_INS_SHW_0001 XXX_INS_SHW_0001_Werk2 XXX_IT_ADM_0001 XXX_IT_PRG_0001 XXX_LOG_ADM_0001 XXX_LOG_SAB_0001 XXX_MAG_AZU_0001 XXX_MEK_KEY_0001 XXX_MSA_CSA_0001 XXX_MSA_CSA_0001_STAMMDATEN XXX_MSA_KEY_0001 XXX_RED_ABW_0001_EDELMETALL XXX_RED_EDE_0001 XXX_RED_KEY_0001_EDELMETALLE XXX_RME_ABW_0001_PRIMAER XXX_RME_ABW_0001_RECYCLING XXX_TRM_MOM_0001 XXX_WCO_BR1_0001 Gesamtergebnis

102 Berechtigungsmanagement-Prozess Anforderung/ Verbesserung Überwachung/ Auswertung Änderung FIDES IT Consultants 29

103 Vielen Dank für Ihre Aufmerksamkeit. Gerd Malert T M F Gerd zur Brügge g.zurbruegge@fides-it-consultants.de T M F Contrescarpe 97 Am Kaiserkai Bremen Hamburg FIDES IT Consultants