GBV als PDF in neuem Fenster öffnen - Durchschaubare

LANXESS
Energizing Chemistry
Gesamtbetriebsvereinbarung zu nachträglichen Transaktionskontrollen im Rahmen
des SAP-Berechtigu ngskonzepts
Zwischen dem Vorstand der LANXESS AG, der Geschäftsleitung der LANXESS
Deutschland GmbH, der LANXESS Accounting GmbH und dem Gesamtbetriebsrat der
LANXESS AG / LANXESS Deutschland GmbH / LANXESS Accounting GmbH wird
nachfolgend beschriebene .Gesamtbetriebsvereinbarung zu nachträglichen
Transaktionskontrollen im Rahmen des SAP-Berechtigungskonzepts" abgeschlossen
1. Präambel
Im Zuge der Zusammenfassung von Transaktionen im LANXESS SAP-System (LXP) in
Sammelrollen lässt es sich nicht immer vermeiden, dass SAP-User durch eine BU- oder GFspezifische
Rolle oder einer Kombination von solchen kritische Aktionen durchführen
können.
Dies macht in einzelnen Fällen die Durchführung nachträglicher Kontrollen erforderlich.
Diese nachträglichen Transaktionskontrollen (second tier controls) sollen die Einhaltung
wichtiger Funktions- und Aufgabentrennungen sicherstellen.
Zu diesem Zweck werden zentrale und dezentrale Explizite Organisatorische Anweisungen
(EOA) erstellt, die Bestandteil der nachträglichen Transaktionskontrollen sind und deren
Einhaltung periodisch automatisiert kontrolliert und ausgewertet wird.
Diese Gesamtbetriebsvereinbarung regelt die automatisierte Kontrolle von EOA bis zu
Auswertungen und möglichen Maßnahmen aus den Auswertungen.
Ziel dieser Gesamtbetriebsvereinbarung ist, eine Regelung zu erzielen, die es einerseits
ermöglicht, die Anzahl der Sammelrollen überschaubar zu halten und die, seitens des
Unternehmens gewünschte, Flexibilität im Umgang mit dem SAP-System zu erhalten,
andererseits aber die Interessen der Beschäftigten hinsichtlich ihrer informationellen
Selbstbestimmung zu wahren sowie Sorge zu tragen, dass personenbezogene Daten von
Beschäftigten nur im Rahmen der Zweckbestimmung des Arbeitsverhältnisses und zur
Erfüllung der Unternehmensaufgaben verarbeitet werden. Die Einhaltung der Bestimmungen
des Bundesdatenschutzgesetzes (BDSG) werden hierbei gewährleistet und die Rechte
sowie die berechtigten Interessen der Mitarbeiter/innen werden gewahrt.
2. Geltungsbereich
Diese Gesamtbetriebsvereinbarung gilt:
persönlich
örtlich
sachlich
für alle Mitarbeiterinnen und Mitarbeiter der LANXESS AG, der LANXESS
Deutschland GmbH, der LANXESS Accounting GmbH, soweit es sich nicht
um Leitende Angestellte im Sinne § 5, Absatz 3 BetrVG handelt
für die Standorte Leverkusen, Dormagen, Uerdingen und Brunsbüttel
für das ERP-SAP-System LXP
3. Allgemeine Rahmenbedingungen I Zweckbestimmung
EOA werden nur ausgesprochen, wenn dies zur SichersteIlung wichtiger
Funktionstrennungen oder Aufgabenaufteilungen erforderlich ist. Eine EOA ist erforderlich
wenn
• Eine Funktionstrennung / Aufgabenteilung gesetzlich gefordert ist oder
GBV .nachträgliche Transaktionskontrollen" Seite 1 von 4

LANXESS
Energizing Chemistry
• eine Nichteinhaltung einer entsprechenden Anweisung ein Risiko für das
Unternehmen bedeutet und
• eine entsprechende Funktionsaufteilung technisch nur mit einem unverhältnismäßig
hohen Aufwand zu realisieren ist
Die Unternehmensleitung wird durch geeignete Maßnahmen sicherstellen, dass eine EOA,
die nicht mehr erforderlich ist, außer Kraft gesetzt wird. Die betroffenen SAP-User werden
über jede Änderung sowie die Außerkraftsetzung einer EOA informiert.
Ziele der nachträglichen Transaktionskontrollen sind:
• Vermeidung von Verstößen gegen gesetzliche Vorschriften
• Vermeidung von finanziellen Nachteilen für das Unternehmen
4. Aufbau des Kontrollsystems
Zur Kontrolle der EOA werden regelmäßig ausschließlich die Transaktionsdaten, die den
Inhalt der EOA betreffen, für den letzten, noch nicht ausgewerteten Zeitraum (in der Regel
monatlich) aus dem SAP-System mit dem Werkzeug DabExporter ausgelesen, auf den dafür
vorgesehenen Rechner der Group Function Internal Auditing übertragen und dort
gespeichert.
Die ausgelesenen Daten werden anschließend in einem automatisierten Prozess mit Hilfe
der Software ACL und darin spezifizierten Skripten auf Regelabweichungen überprüft.
Solche Regelabweichungen werden in eine Ausgabedatei ausgegeben, auf die nur die
Group Function Internal Auditing zugreifen kann.
Regelabweichungen werden den betroffenen Mitarbeiter/innen per Email mitgeteilt. Gemäß
der Anlage 1 werden bei wiederholten Regelabweichungen neben den betroffenen
Mitarbeiter/innen auch deren Vorgesetzte über die jeweiligen so genannten EOA­
Beauftragten sowie die Group Function Human Resources informiert.
Nach Auswertung und Erstellung der Ausgabedatei mit Regelabweichungen werden die
ausgelesenen Transaktionsdaten gelöscht. Die Ausgabedateien mit den Regelabweichungen
sowie die versandten Informationsemails an die betroffenen Mitarbeiter werden - sollten in
der Zwischenzeit keine weiteren Verstöße gegen eine EOA erfolgen - zu
Dokumentationszwecken für max. 1 Jahr nach Feststellung der Regelabweichung
aufbewahrt und anschließend gelöscht.
Eine darüber hinausgehende Weitergabe der o. g. Daten sowie deren Speicherung in
anderen Systemen ist nicht zulässig, soweit dies nicht für ggf. zu ergreifende Maßnahmen
nach Punkt 6 notwendig ist.
Anlage 2 beschreibt den schematischen Ablauf und die Konfiguration des Kontrollverfahrens.
In Anlage 3 werden ein Muster für eine Auswertung sowie der Informationsmails als
Bestandteil dieser GBV dokumentiert.
5. Voraussetzungen für die Durchführung von Kontrollen
Kontrollen werden durchgeführt, nachdem eine EOA in Kraft getreten ist.
Zentrale EOA treten in Kraft, wenn diese im LEXCORE veröffentlicht wurden und der
angegebene Gültigkeitszeitpunkt eingetreten ist. Der Gesamtbetriebsrat wird regelmäßig
über das Inkrafttreten einer zentralen EOA informiert.
Dezentrale EOA treten zu den jeweils festgelegten Gültigkeitsterminen in Kraft, soweit sie
den hiervon betroffenen Mitarbeiter/innen zuvor mitgeteilt wurden. Die Mitteilung an die
betroffenen Mitarbeiter/innen über das Inkrafttreten der dezentralen EOA und der damit
verbundenen Kontrolle erfolgt per Email spätestens eine Woche vor Inkrafttreten. Ebenfalls
GBV "nachträgliche Transaktionskontrollen" Seite 2 von 4

LANXESS
Energizing Chemistry
erhält der/die betroffene Mitarbeiter/in ein Merkblatt, welches über die Systematik der EOA
sowie der Kontrollen informiert (Anlage 4). Der Betriebsrat erhält eine Kopie der Mitteilung.
Die verantwortlichen Vorgesetzten bzw. die zuständigen EOA-Beauftragten sind aufgerufen,
den Mitarbeiter/innen die für sie geltenden dezentralen EOA in einem Gespräch zu erläutern.
Vor Inkrafttreten einer dezentralen EOA und vor Mitteilung an den/die betroffenen
MitarbeiterIin erfolgt eine Vorabprüfung durch die Group Function Internal Auditing. Der
Betriebsrat kann innerhalb von einer Woche nach Erhalt der Information Bedenken gegen
deren Einführung bei der Group Function Internal Auditing anzeigen. Ist eine solche Anzeige
erfolgt, wird der EOA-Beauftragte zusammen mit der Group Function Internal Auditing und
dem Betriebsrat die Erforderlichkeit der beabsichtigten dezentralen EOA in einem Gespräch
diskutieren.
6. Maßnahmen
LANXESS verfolgt die Absicht, die Befolgung der EOA möglichst ohne disziplinarische
Maßnahmen zu erreichen. Um dieses Ziel zu erreichen,
• informiert die Group Function Internal Auditing die SAP-User über neu
hinzukommende zentrale EOA und weist neu hinzukommende SAP-User auf das
Bestehen von solchen EOA hin.
• stellt die Group Function Internal Auditing bei dezentralen EOA sicher, dass diese
sachgerecht erstellt und betroffenen SAP-Usern ordnungsgemäß mitgeteilt werden.
• informiert die Group Function Internal Auditing die SAP-User ggf. über Regelverstöße
gemäß Anlage 1 zu dieser Gesamtbetriebsvereinbarung.
• wird die Group Function Internal Auditing regelmäßig prüfen, ob aus sachlichen
Gründen ein Änderungsbedarf der jeweiligen EOA besteht. Sollte eine EOA oder
Teile der EOA aus diesem Grunde geändert werden, entfalten diesbezüglich zuvor
festgestellte Regelabweichungen keine Wirkung.
Sollten Mitarbeiter/innen trotz mehrfacher Informationsmails gemäß Anlage 1 weiterhin
gegen EOA verstoßen, so können nach Würdigung des jeweiligen Einzelfalls disziplinarische
Maßnahmen gegen diese getroffen werden. Bei der Einzelfallwürdigung werden u. a.
folgende Gesichtspunkte einbezogen:
• Wird die Regelabweichung von einem oder mehreren Usern verursacht
• Ist das Verständnis des Inhaltes der EOA gewährleistet
• Ist bei der Regelabweichung Absicht zu vermuten
• Ist ein Schaden entstanden und wie hoch ist dieser
In Ausnahmefällen, in denen neben den in Punkt 4 aufgeführten Auswertungen weitere
Hinweise auf eine absichtliche oder grob fahrlässige Missachtung der EOA und ein
materieller Schaden für LANXESS vorliegen, können disziplinarische Maßnahmen auch
ohne vorherige Informationsmails an die betroffenen Mitarbeiter/innen eingeleitet werden.
Sinn dieses Ausnahmepassus ist es, disziplinarische Maßnahmen, die auch ohne die
Durchführung der EOA-Kontrollen angezeigt wären, nicht durch die Durchführung von
nachträglichen Transaktionskontrollen auszuschließen.
Bei häufigen Übertretungen einer EOA soll im Hinblick auf die Zweckbestimmung dieser
Gesamtbetriebsvereinbarung untersucht werden, ob eine technische Möglichkeit zur
Vermeidung von Übertretungen technisch und ökonomisch vertretbar eingeführt werden
kann.
GBV .nachträgliche
Transaktionskontrollen"
Seite 3 von 4

LANXESS
Energizing Chemistry
7. Rechte des Betriebsrats
Der Gesamtbetriebsrat hat das Recht, in den Prozess der nachträglichen
Transaktionskontrollen, die damit verbundenen Auswertungen der Group Function Internal
Auditing sowie in die in diesem Zusammenhang versendeten Informationsmails Einblick zu
nehmen. Dem Gesamtbetriebsrat werden zur Kontrolle der Einhaltung dieser
Gesamtbetriebsvereinbarung bei Bedarf entsprechende Auswertungsmöglichkeiten zur
Verfügung gestellt (z.B. zur Auswertung von Zugriffsprotokollen).
Soweit sich im Zusammenhang mit dieser GBV Fragen oder Probleme ergeben, die der
Betriebsrat nach Ausschöpfung der innerbetrieblichen Erkenntnisquellen nicht in der Lage
ist, zu beurteilen und zu entscheiden, so kann er einen Sachverständigen nach Maßgabe
des § 80 Abs. 3 BetrVG hinzuziehen.
Im Übrigen bleiben sonstige Mitbestimmungsrechte des Gesamtbetriebsrats und die
Zuständigkeiten der örtlichen Betriebsräte von dieser Gesamtbetriebsvereinbarung
unberührt.
8. Schlussbestimmungen
Personelle Maßnahmen, die auf einer unzulässigen Anwendung des in dieser
Gesamtbetriebsvereinbarung geregelten Verfahrens basieren, sind zurückzunehmen.
Personenbezogene Erkenntnisse aus einer solchen Anwendung dürfen weder bei internen
Beurteilungen noch bei arbeitsgerichtlichen Verfahren als Beweismaterial verwendet werden.
Bei schwerwiegenden Verstößen gegen das in dieser Gesamtbetriebsvereinbarung
geregelte Verfahren wird das Kontrollverfahren so lange ausgesetzt, bis durch geeignete
Maßnahmen sichergestellt ist, dass eine Wiederholung ausgeschlossen ist.
Alle angeführten Anlagen zu dieser Gesamtbetriebsvereinbarung sind Bestandteil der
Vereinbarung. Veränderungen bedürfen der Zustimmung durch den Gesamtbetriebsrat.
Diese Gesamtbetriebsvereinbarung tritt mit Unterzeichnung in Kraft. Sie kann von den
Vertragsparteien mit einer Kündigungsfrist von sechs Monaten zum Jahresende gekündigt
werden. Nach einer Kündigung behält diese Vereinbarung Gültigkeit bis zum Abschluss einer
neuen Gesamtbetriebsvereinbarung.
Le
1~f- . I )
f~!"LANXESS
AG
LANXESS \i U DeutschlaAd~GmbH \ /
Anlagenübersicht
Anlage 1: Ablaufplan Eskalationsverfahren
Anlage 2: Aufbau des Kontrollsystems (Datenflussplan)
Anlage 3: Muster einer Auswertung mit Informationsschreiben und Merkblatt zum
Informationsschreiben
Anlage 4: Merkblatt zur Erteilung einer dezentralen EOA
GBV "nachträgliche Transaktionskontrollen" Seite 4 von 4