Jeder kennt ihn, wahrscheinlich jeder von Ihnen verwendet ihn, aber einige von Ihnen haben sich bestimmt schon mal gefragt: Wie prüfe ich ihn eigentlich? Die Rede ist von keinem geringeren als dem Zahlprogramm in SAP. In diesem Artikel erklären wir, was es damit auf sich hat und wie Sie als Prüfer an die Sache herangehen können.

 

Die Grundlagen des Zahlprogramms in SAP

Zunächst einmal muss man das Zahlprogramm strikt trennen in Zahlungsvorschlag und Zahllauf. In einem ersten Schritt wird der Zahlungsvorschlag erstellt, indem alle fälligen offenen Posten und offenen Posten, für die keine Regulierung möglich sind in einer sogenannten Zahlungsvorschlagsliste zusammengefasst werden.

Sobald eine entsprechende Zahlungsvorschlagsliste erstellt ist, besteht die Möglichkeit gewisse Änderungen daran vorzunehmen. So können z.B. offene Posten aus der Liste entfernt werden, um diese von der Regulierung im Zahllauf auszuschließen. Die Erstellung einer Zahlungsvorschlagsliste kann beliebig oft wiederholt werden, da sie im Gegenzug zum Zahllauf keine Buchungen in SAP ausführt. Somit dient sie lediglich der Zusammenfassung und Verwaltung der offenen Posten.

Nach der Kontrolle der Zahlungsvorschlagsliste kann der Zahllauf angestoßen werden, um die Regulierungsdaten zu erstellen. Als Ergebnis kommen unter anderem sowohl Informationen heraus, um Schecks drucken zu können, als auch Zahlungsdateien (z.B. Lastschriften oder Überweisungen). Parallel zu der Erstellung gleicht SAP die offenen Posten im System aus, wodurch die Posten als reguliert / bezahlt gelten. An dieser Stelle kommt es häufig zum Missverständnis, denn genau genommen sind die Posten zu diesem Zeitpunkt noch nicht bezahlt. Die erstellten Zahlungsdateien müssen zunächst, in der Regel elektronisch, an die Bank übermittelt werden, sodass der Ausgleich erst mit einem gewissen Zeitversatz stattfindet.

 

Welche Kontrollen SAP bereits eingebaut hat

Direkte Abhängigkeiten zwischen dem Zahlungsvorschlag und dem Zahllauf. Das bedeutet:

  1. Belege, die nach dem Zahlungsvorschlag gebucht wurden, aber vor dem Zahllauf, finden ihren Weg nicht in den Zahllauf.
  2. Das Vorgehen gilt ebenfalls für Belege, die eine Zahlsperre zum Zeitpunkt der Erstellung des Zahlungsvorschlags aufweisen, vor dem Zahllauf allerdings wieder entfernt wurde.

Neben der direkten Abhängigkeit zwischen den zwei Programmteilen sperrt SAP zudem verwendete Debitoren und Kreditoren des Zahlungsvorschlags. Nur so kann sichergestellt werden, dass Belege nur von einem einzigen Zahllauf ausgeglichen werden und es zu keinen Überschneidungen mit z.B. einem parallelen Zahllauf kommen oder Veränderungen der Daten geben kann.

 

Warum erwähntes mal wieder nur die halbe Wahrheit ist und was Prüfer tun können

Wie so häufig bei SAP hat die Medaille einmal mehr zwei Seiten. Denn die Verwendung des Zahlungsvorschlags ist keine Pflicht. Erst durch eine explizite Angabe wird dieser durchgeführt und genau da lassen sich schnell Ungereimtheiten oder sogar dolose Handlungen auffinden. Das Szenario ist dabei denkbar einfach:

Wo kein Zahlungsvorschlag durchgeführt wird, kann auch keine Prüfung der Zahlungsvorschlagsliste stattfinden. Ohne Prüfung der Liste können in der Folge nicht autorisierte Belege ganz einfach in den Zahllauf gelangen, die ohne weiteres gezahlt werden.

Doch damit nicht genug. Selbst wenn ein Zahlungsvorschlag durchgeführt und eine Zahlungsvorschlagsliste erstellt wird, gibt es weitere Möglichkeiten für dolose Handlungen. Zum einen sollten Sie als Prüfer daher den definierten Soll Prozess für die Prüfung der Listen genauer unter die Lupe nehmen und zum anderen ist ein Zahlungsvorschlag lediglich ein Testlauf des eigentlichen Zahllaufs. Das bedeutet, dass nicht benötigte Zahlungsvorschläge jederzeit wieder gelöscht werden können. Dieses Vorgehen birgt unter Umständen ein perfektes Einfallstor für eine dolose Handlung, wie Achim Gründel 2016 beschrieben hat:

Im Unternehmen wird die schriftliche Unterzeichnung mit Datum und Unterschrift des Prüfenden auf dem Zahlungsvorschlag vorgeschrieben und es gibt aufgrund der geringen Anzahl an Mitarbeitern im Rechnungswesen keine Funktionstrennung zwischen den Aktivitäten "Beleg buchen" und "Zahllauf durchführen". Unter diesen Umständen wäre es daher möglich, dass ein Mitarbeiter die valide Zahlungsvorschlagsliste ausdruckt und seinem Vorgesetzten zur Unterschrift vorlegt (4 Augen Prinzip). Dieser kann keine Auffälligkeiten feststellen und unterzeichnet. Der Mitarbeiter wiederum löscht daraufhin den Zahlungsvorschlag und bucht eine "eigene" Rechnung in der gleichen Höhe wie einer der Beträge der alten Liste ein und tauscht die Posten im Zahlungsvorschlag einfach aus. Auf diese Weise stimmt am Ende die Gesamtsumme auch überein und der Mitarbeiter hat eine "eigentlich valide" unterschriebene Liste vorliegen. Der Schwindel würde wahrscheinlich niemals auffallen, denn gelöschte Zahlungsvorschläge werden auf dem SAP System komplett gelöscht. Demnach gibt es auch keine Tabelle, die eine Historie aller jemals durchgeführten Zahlungsvorschläge auflistet oder einen entsprechenden Vermerk.

Aus diesem Grund ist es besonders wichtig die internen Regelungen zu prüfen und ggf. entsprechende Maßnahmen zu ergreifen.

Dieser Blog Artikel hat zunächst die Grundlagen des Zahllaufs betrachtet, sodass wir im nächsten Artikel etwas tiefer eintauchen können und die entsprechenden Datenanalysen direkt in SAP durchführen können. Selbstverständlich wieder inklusive der notwendigen SQL Statements und Handlungsempfehlungen zur Auswertung.

 

Quellen:

Gründel, Achim: Betrugsrisiken im SAP-gestützten Auszahlungsprozess (Teil 4): Der automatisierte Zahllauf. In: PRev Revisionspraxis, Boorberg-Verlag Bd. 2 (2016), S. 87–100

Kommentare