Sie nutzen Odoo. Sehr gut. Die eigentliche Frage ist nun: Hält Ihr Odoo stand, wenn ein Revisor fragt: „Wer hat was, wann, auf welcher Grundlage gemacht und wer hat validiert?“
In der Praxis glauben viele Genfer KMU, sie hätten ein internes Kontrollsystem, weil „alles in Odoo ist“. Bis zu dem Tag, an dem eine strittige Lieferantenrechnung auffällt oder ein Audit (selbst ein eingeschränktes) einen sauberen Audit-Trail verlangt. Dann entdeckt man zu breite Rechte, fehlende Validierungen, nicht auffindbare Belege oder nachträgliche Änderungen.
Wir werden konkret: Rollen, Funktionstrennung, Workflows, Belege, risikoreiche Einstellungen. Mit Praxisbeispielen und einem Zahlenfall.
Rollen, Odoo-Zugriffsrechte und Funktionstrennung (prüfungspflichtige und nicht-prüfungspflichtige Gesellschaften)
Das interne Kontrollsystem ist keine „Audit-Option“. Es ist zunächst eine organisatorische Pflicht: Der Verwaltungsrat (oder die Geschäftsführung) muss eine angemessene, dokumentierte und kontrollierbare Organisation einrichten. Und wenn Sie einer ordentlichen Revision unterliegen, wird das IKS zum formellen Thema. (Quelle: Gesetzliche Grundlagen, Organisation des VR und Geschäftsbericht (OR, Fedlex))
Odoo „macht“ kein internes Kontrollsystem. Es setzt es um… wenn Sie es richtig konfigurieren.
Wer darf worauf zugreifen? Treuhandlogik (nicht „wir improvisieren“)
In einem KMU sieht man oft folgendes Schema:
- Die Buchhalterin hat alle Rechte, „weil sie vorankommen muss“;
- Der Geschäftsführer hat auch alle Rechte, „für den Fall der Fälle“;
- Der Einkäufer kann Lieferanten anlegen, „sonst blockiert es“.
Ergebnis? Niemand weiß, wer verantwortlich ist, und jeder kann Buchungen machen (oder rückgängig machen).
Die gesunde Logik:
- Anlage (Anfrage/Bestellung),
- Wareneingang (Liefer-/Leistungsnachweis),
- Rechnung (Buchung),
- Zahlung (Geldausgang),
- Validierung (Kontrolle und Freigabe).
Sie brauchen nicht fünf Personen. Aber Sie müssen vermeiden, dass eine Person die gesamte Kette ohne Kontrolle abwickeln kann.
Funktionstrennung: Worauf der Revisor wirklich achtet
Der Revisor sucht nicht Perfektion. Er sucht Kontrollmechanismen.
Typischerweise prüft er:
- Kann die Person, die einen Lieferanten anlegt/ändert, auch eine Rechnung freigeben?
- Kann die Person, die eine Rechnung bucht, diese auch bezahlen?
- Kann man eine Rechnung nach Freigabe ändern, ohne dass dies nachvollziehbar ist?
Wenn die Antwort „ja“ lautet, haben Sie eine Schwachstelle. Und bei ordentlicher Revision kann das im Prüfbericht landen.
Odoo: Gruppen, Rollen und Zugriffsrechte – Was wir im KMU umsetzen
Odoo arbeitet mit Benutzern, Gruppen und Rechten (Lesen/Schreiben/Anlegen/Löschen) pro Anwendung und teils pro Modell. (Quelle: Zugriffsrechte, Rollen und Gruppen in Odoo 18)
Eine einfache und robuste Basis für ein Schweizer KMU:
- Einkauf – Anforderer: legt Bestellanforderungen/RFQ an, keine finale Freigabe.
- Einkauf – Freigeber: gibt Bestellungen gemäß Schwelle frei.
- Buchhaltung – Lieferantenbuchung: erfasst Rechnungen, keine Zahlungsrechte.
- Buchhaltung – Verantwortlicher: validiert Rechnungen, führt Abschlüsse durch.
- Zahlungen/Kasse: bereitet Zahlungen vor, darf keine Lieferanten anlegen.
- Odoo-Admin (sehr eingeschränkt): Einstellungen, keine operativen Tätigkeiten.
Und vor allem: ein Konto = eine Person. Geteilte Konten („buchhaltung@“, „admin@“) sind eine klassische Falle. Ergebnis? Sie verlieren die Nachvollziehbarkeit.
Prüfungspflichtig oder nicht: Gleicher Ansatz, unterschiedliches Niveau
- Ohne Revision: Sie brauchen trotzdem eine Mindestfunktionstrennung, besonders bei Zahlungen und Lieferantenanlage.
- Ordentliche Revision: Erwartet wird ein dokumentiertes IKS, Kontrollen und ein nachvollziehbarer Audit-Trail. (Quelle: Internes Kontrollsystem: Schweizer KMU & Revisionsanforderungen)
Praxisbeobachtung: In Genf steigen viele KMU nach Wachstum in die ordentliche Revision auf (Schwellen, Gruppe, Bankanforderungen). Sie reagieren spät. Und Odoo nach 3 Jahren offener Rechte zu bereinigen, ist schmerzhaft.
Checkliste #1 – Zugriffsrechte und Funktionstrennung (diese Woche erledigen)
- Jeder Benutzer hat ein persönliches Konto (keine geteilten Konten)
- „Administration/Einstellungen“-Rechte auf 1–2 Personen beschränkt
- Lieferantenanlage/-änderung getrennt von Rechnungsfreigabe
- Rechnungserfassung getrennt von Zahlung (mindestens durch Freigabe)
- Freigabeschwellen definiert (Beträge, Kategorien, Ausnahmen)
- Änderungsprotokoll aktiviert und einsehbar
- Vierteljährliche Überprüfung der Zugänge (Ein-/Austritte, Stellenwechsel)
Validierungs-Workflows: Einkauf, Lieferantenrechnungen, Verkaufsworkflow und Vier-Augen-Prinzip
Ein Workflow ist nicht nur ein „Freigeben“-Button. Es ist eine Entscheidungskette. Und in Odoo, wenn Sie die Standardflüsse ohne Regeln lassen, landen Sie schnell wieder bei „jeder macht alles“.
Einkauf: Von der Anforderung zur Bestellung, ohne Abkürzungen
Klassische Schwachstelle beim Einkauf:
- Bestellung wird angelegt,
- sie wird freigegeben,
- Wareneingang erfolgt „auf Papier“,
- und die Rechnung wird ohne Abgleich gebucht.
Konkret heißt das, die Rechnung kann durchgehen, auch wenn:
- die Ware nie angekommen ist,
- der Preis nicht stimmt,
- die Menge falsch ist.
Das Ziel:
- Bestellanforderung (falls genutzt) → RFQ → Bestellung
- Wareneingang (oder Leistungsbestätigung) → Rechnung
- Abgleich Bestellung/Wareneingang/Rechnung (3-Wege-Abgleich, wenn relevant)
Lieferantenrechnungen: Buchhalterische vs. fachliche Freigabe
In vielen KMU gibt die Buchhaltung frei, „weil bezahlt werden muss“. Schlechte Gewohnheit.
Die Freigabe muss zwei Fragen beantworten:
- Ist die Ausgabe legitim und im Rahmen des Budgets/Vertrags? (fachliche Freigabe)
- Ist die Rechnung buchhalterisch und steuerlich korrekt? (buchhalterische Freigabe)
Sie können es einfach halten:
- Der operative Verantwortliche bestätigt die Leistung,
- die Buchhaltung prüft die Konformität (MwSt, Konto, Kostenstelle, Belege).
Vier-Augen-Prinzip: Wann es sich wirklich lohnt
Unserer Meinung nach ist das Vier-Augen-Prinzip sinnvoll, wenn:
- Sie mehrere Kostenstellen haben,
- wiederkehrende Einkäufe mit Verträgen,
- ein Rechnungsvolumen, das „man nicht mehr im Kopf hat“.
Konkretes Beispiel (KMU in Carouge, B2B-Dienstleistungen, 18 Mitarbeitende):
- Schwelle CHF 2’000: einfache Freigabe (Verantwortlicher + Buchhaltung)
- Schwelle CHF 10’000: Freigabe + Geschäftsleitung
- über CHF 25’000: Freigabe + Geschäftsleitung + zweiter Zeichner (Vier-Augen-Prinzip)
Verkaufsworkflow: Ja, auch für das IKS relevant
Wir sprechen über Lieferantenrechnungen, aber der Revisor schaut auch auf den Verkaufszyklus:
- Wer kann einen Kunden anlegen?
- Wer kann eine Verkaufsrechnung ändern?
- Wer kann eine Gutschrift gewähren?
Eine unkontrollierte Gutschrift ist ein versteckter Rabatt. Oder schlimmer.
Gute Praxis:
- Gutschriften unterliegen der Freigabe,
- Zahlungsbedingungen und Kreditlimiten werden kontrolliert,
- gebuchte Rechnungen werden gesperrt.
Schritt für Schritt – Einen sauberen Validierungsworkflow in Odoo (KMU-Version) einrichten
- Kartieren Sie Ihre realen Abläufe (nicht die aus dem Handbuch): Wer fordert an, wer bestellt, wer nimmt an, wer gibt frei, wer zahlt.
- Definieren Sie 2–3 Schwellen (z.B. CHF 2’000 / 10’000 / 25’000) und wer auf welcher Stufe freigibt.
- Trennen Sie „Erfassung“ und „Freigabe“ bei Lieferantenrechnungen.
- Sperren Sie die Lieferantenanlage/-änderung auf eine kleine Gruppe.
- Aktivieren Sie den Abgleich Bestellung/Wareneingang/Rechnung, wenn Sie Lager oder formalisierte Leistungen verwalten.
- Formalisieren Sie Ausnahmen: Notfälle, Rechnungen ohne Bestellung, Abos.
- Testen Sie ein „einfache Betrug“-Szenario: Kann ein Nutzer einen Lieferanten anlegen, eine Rechnung erfassen, freigeben und zahlen? Wenn ja, haben Sie eine Lücke.
- Dokumentieren Sie auf 1 Seite: Rollen, Schwellen, Kontrollen. Dieses Dokument zeigen Sie im Audit.
Belege, Dokumentenmanagement und Audit-Trail (Compliance, Nachvollziehbarkeit, Auditnachweis)
Eine Rechnung ohne Anhang kostet Sie Zeit. Und manchmal Geld.
Das IKS entscheidet sich aus Auditsicht oft an der Fähigkeit, nachzuweisen:
- die tatsächliche Leistung,
- die Freigabe,
- die korrekte Buchung,
- die Nachvollziehbarkeit von Änderungen.
Audit-Trail: Was das in Odoo bedeutet
Ein brauchbarer Audit-Trail ist:
- ein Dokument (Rechnung) ist einer Transaktion zugeordnet,
- datierte Schritte (Anlage, Freigabe, Zahlung),
- ein identifizierter Autor,
- Verknüpfungen zu Bestellung/Wareneingang/Vertrag,
- einsehbare Protokolle.
Wenn Sie die Historie mit E-Mails und Screenshots rekonstruieren müssen, verlieren Sie.
Dokumentenmanagement: Was von einem „sauberen“ KMU erwartet wird
Für Lieferantenrechnungen will man in 30 Sekunden finden:
- Original-PDF der Rechnung,
- Bestellung oder Vertrag (falls zutreffend),
- Nachweis des Eingangs oder der Leistung,
- Freigabe (wer, wann),
- Zahlungsbeleg (Auftrag, Bankauszug, Referenz).
Und ja, auch für eine Rechnung über CHF 180. Denn gerade bei kleinen Rechnungen schleichen sich Fehler ein.
Praxisbeispiel: Die „nachträglich geänderte“ Rechnung
Gesehen in der Praxis: Ein Genfer KMU erhält eine Lieferantenrechnung mit der Zeile „Diverse Kosten“. Die Buchhaltung bucht sie. Zwei Monate später Streit. Die Originalrechnung ist unauffindbar. In Odoo wurde der Anhang durch eine „korrigierte“ Version ersetzt.
Ergebnis? Endlose Diskussion mit dem Lieferanten und Unbehagen im Audit: Sie können nicht mehr beweisen, was ursprünglich eingegangen ist.
Fazit: Keine stillen Ersetzungen. Versionen aufbewahren oder Änderungen klar nachverfolgen.
MwSt: Belege und Satzkonsistenz
Seit 1. Januar 2024 gelten in der Schweiz folgende Sätze:
- 8,1 % (normal)
- 2,6 % (reduziert)
- 3,8 % (Beherbergung)
Bei Lieferantenrechnungen bedeutet das IKS für die MwSt vor allem:
- prüfen, ob der angewandte Satz zur Leistung passt,
- prüfen, ob der Lieferant konsistent ist (MwSt-Nummer, falls relevant),
- improvisierte MwSt-Codes vermeiden.
Ein wiederholter MwSt-Code-Fehler über 12 Monate endet in einer Korrektur beim Abschluss. Und das ist nicht verrechenbare Zeit.
Ark Fiduciaire
Brauchen Sie Hilfe zu diesem Thema?
Unsere Experten stehen Ihnen für eine persönliche Beratung zur Verfügung. Erstes Gespräch kostenlos und unverbindlich.
Tabelle #1 – Was ein „Lieferantenrechnungs“-Dossier enthalten muss (Audit-Version)
| Element | Wo in Odoo | Wer liefert es | Erwartete IKS-Kontrolle |
|---|---|---|---|
| Original-PDF der Rechnung | Anhang an der Rechnung | Lieferant / Buchhaltung | Vorhanden, lesbar, nicht ohne Nachweis ersetzt |
| Bestellung / Vertrag | Bestell-Link oder Anhang | Einkauf / Leitung | Preis-/Konditionskonsistenz |
| Wareneingang / Leistungsnachweis | Lagerbuchung, Stundenzettel, Protokoll | Operativ | Nachweis, dass geliefert/erbracht |
| Freigabe | Status + Protokoll + Freigeber | Leitung / Buchhaltung | Vier-Augen je nach Schwelle |
| Zahlung | Erfasste Zahlung + Referenz | Kasse | Trennung Erfassung/Zahlung |
| Buchhalterische Zuordnung | Buchungen / Kostenstellen | Buchhaltung | Konsistenz mit Kontenplan |
Checkliste #2 – Audit-Trail „Lieferantenrechnungen“
- Jede Rechnung hat ihr Original-PDF als Anhang
- Rechnungen ohne Bestellung sind markiert und begründet (Ausnahme)
- Freigaben sind sichtbar (Freigeber + Datum)
- Änderungen nach Freigabe sind gesperrt oder protokolliert
- Zahlungen sind mit der Rechnung verknüpft (Bankreferenz)
- MwSt-Codes sind standardisiert und geprüft
- Lieferantengutschriften unterliegen denselben Kontrollen
Risikoeinstellungen und typische Fehler in Schweizer KMU
Hier der Kern: Einstellungen, die ein IKS in Odoo aushebeln. Die man in KMU immer wieder findet.
Fehler 1: Zu breite Rechte in der Buchhaltung
Symptom: Mehrere Nutzer können buchen, ändern, stornieren, löschen.
Korrektur:
- Buchung auf kleine Gruppe beschränken,
- Löschen sperren,
- Storno-/Gutschriftenprozess einführen.
Fehler 2: Lieferantenanlage für zu viele offen
Symptom: Der Einkäufer legt „mal schnell“ einen Lieferanten an, ohne Kontrolle, ohne vollständige Daten.
Risiko: Fiktiver Lieferant, Dubletten, Zahlungen an falsche IBAN.
Korrektur:
- Gruppe „Stammdaten Lieferanten“ (1–2 Personen),
- interne Validierung bei IBAN-Änderung,
- periodische Dublettenprüfung.
Fehler 3: Rechnungen ohne Bestellung… und ohne Begründung
Symptom: 60 % der Rechnungen gehen „direkt“ in die Buchhaltung.
Risiko: Nicht genehmigte Ausgaben, explodierte Budgets, Streitfälle.
Korrektur:
- Regel: ab CHF 1’000 (Beispiel) Bestellung Pflicht,
- dokumentierte Ausnahmen (Mieten, Versicherungen, Steuern, Abos).
Fehler 4: Änderungen nach Freigabe (das schleichende Gift)
Symptom: Nach Freigabe werden Konto, Betrag, MwSt geändert.
Risiko: Audit-Trail zerstört.
Korrektur:
- Buchungen nach Freigabe sperren,
- Korrekturen über Anpassungsbuchungen, nicht durch Überschreiben.
Fehler 5: „Sammelzahlungen“ ohne klare Rechnungszuordnung
Symptom: Gruppenzahlungen, fehlende Referenzen, manueller Bankabgleich.
Risiko: Doppelzahlungen, unbezahlte Rechnungen bleiben unentdeckt.
Korrektur:
- Referenzdisziplin,
- regelmäßiger Bankabgleich,
- Trennung Zahlungsvorbereitung/-freigabe.
Fehler 6: MwSt-Journal und improvisierte MwSt-Codes
Symptom: Ein „temporärer“ MwSt-Code wird dauerhaft.
Risiko: Fehler in der Abrechnung, Korrekturen, unnötige Diskussionen.
Korrektur:
- 3–5 Standard-MwSt-Codes,
- vierteljährliche Prüfung,
- gezielte Kontrolle bei „sensiblen“ Lieferanten (Gastronomie, Beherbergung, Mischleistungen).
Tabelle #2 – Einfache Matrix „Rolle vs. Aktion“ (KMU 10–50 Mitarbeitende)
| Aktion | Einkauf | Operativ | Buchhaltung | Kasse | Leitung |
|---|---|---|---|---|---|
| Bestellanforderung anlegen | Ja | Ja | Nein | Nein | Ja |
| Bestellung > CHF 10’000 freigeben | Nein | Nein | Nein | Nein | Ja |
| Wareneingang (Nachweis) | Ja | Ja | Nein | Nein | Nein |
| Lieferantenrechnung erfassen | Nein | Nein | Ja | Nein | Nein |
| Lieferantenrechnung freigeben | Nein | Ja (fachlich) | Ja (buchh.) | Nein | Ja (Schwelle) |
| Zahlung vorbereiten | Nein | Nein | Nein | Ja | Nein |
| Zahlung freigeben (2. Freigabe) | Nein | Nein | Nein | Nein | Ja |
| Lieferanten-IBAN ändern | Nein | Nein | Ja (beschränkt) | Nein | Ja (Kontrolle) |
Praxisfall (Genf): 1’200 Lieferantenrechnungen/Jahr in Odoo absichern
Typisches KMU: Dienstleister in Genf, 25 Mitarbeitende, 1’200 Lieferantenrechnungen/Jahr, 2 Einheiten (GE + VD), heute keine ordentliche Revision, aber Bankvorgabe.
Ursprüngliches Problem (100-fach gesehen):
- 4 Nutzer mit erweiterten Buchhaltungsrechten,
- keine Freigabeschwellen,
- 35 % der Rechnungen ohne Anhang,
- Zahlungen werden von derselben Person vorbereitet und freigegeben,
- doppelte Lieferanten (z.B. „ABC SA“ und „A.B.C. SA“).
Umsetzung (6 Wochen, ohne kompletten ERP-Neustart):
- Getrennte Rollen: Rechnungserfassung (2 Personen), Buchhaltungsfreigabe (1), fachliche Freigabe (Abteilungsleiter), Zahlungen (1) + Freigabe Leitung.
- Schwellen: CHF 2’000 (Abteilungsleiter), CHF 10’000 (Leitung), CHF 25’000 (Doppelunterschrift Leitung).
- Regel: Rechnung > CHF 1’000 ohne Bestellung = begründete Ausnahme + Freigabe Leitung.
- Belege: PDF-Pflicht vor Freigabe.
Messbares Ergebnis nach 3 Monaten:
- Rechnungen ohne Anhang: von 35 % auf 3 %.
- Doppelzahlungen: 2 Fälle/Quartal → 0.
- Zeit für Lieferantenabschluss (Monatsende): -6 Stunden.
- Lieferantenstreitigkeiten: deutlicher Rückgang, da Bestellung/Wareneingang auffindbar.
Vermeidete versteckte Kosten (sehr konkret):
- 6 Std./Monat Abschluss gespart x CHF 120/h (interner Vollkostenansatz) = CHF 720/Monat, also CHF 8’640/Jahr.
- Fehler und Stress nicht eingerechnet.
Periodische Kontrollen: Meine Empfehlung für 2026 (einfach, machbar)
Ein funktionierendes IKS ist eines, das Sie dauerhaft umsetzen können. Also keine Bürokratiemonster.
Monatliche Überprüfung (30–45 Minuten)
- Liste der Rechnungen ohne Bestellung (mit Begründung)
- Top 10 Lieferanten nach Betrag
- Nach Freigabe geänderte Rechnungen (falls erlaubt)
- Zahlungen ohne zugeordnete Rechnung
Vierteljährliche Überprüfung (1–2 Stunden)
- Überprüfung der Benutzerzugänge (Ein-/Austritte)
- Überprüfung der IBAN-Änderungen
- Überprüfung der verwendeten MwSt-Codes (Auffälligkeiten)
- Lieferantendubletten
Jährliche Überprüfung (vor Abschluss)
- „Einfache Betrug“-Test (Szenario)
- Kontrolle der Nummernfolgen (Rechnungen, Buchungen)
- Belegprüfung an einer Stichprobe
IKS-Dokumentation: Das Minimum, das Sie im Audit rettet
Es geht nicht um einen 200-seitigen Ordner.
Was Sie brauchen:
- eine Seite „Wer macht was“ (Rollen),
- eine Seite „Schwellen und Freigaben“,
- eine Seite „Ausnahmen und Behandlung“,
- eine Seite „Periodische Kontrollen“.
Und Sie bewahren die Nachweise auf: Exporte, Protokolle, Odoo-Berichte.
Für IKS-Anforderungen und den KMU-Ansatz können Sie sich auf offizielle Grundlagen stützen. (Quelle: Internes Kontrollsystem: Schweizer KMU & Revisionsanforderungen) und Umsetzungshilfen. (Quelle: Praxishilfe zur Einführung eines IKS (BSV))
Häufige Fehler + Korrekturen (ohne Schönfärberei)
„Wir sind zu klein für Funktionstrennung“
Falsch. Auch mit 5 Personen können Sie mindestens trennen:
- Erfassung vs. Freigabe,
- Zahlungsvorbereitung vs. Freigabe.
„Der Geschäftsführer muss alle Rechte haben“
Nein. Der Geschäftsführer soll überwachen, freigeben, entscheiden. Nicht zwingend gebuchte Buchungen ändern.
„Das machen wir beim Audit“
Schlechte Idee. Im Audit wird nicht „eingeführt“. Sie müssen nachweisen.
„Wir haben die PDFs auf dem Server, nicht in Odoo“
Geht, aber Sie verlieren Suche und Konsistenz. Für die Kontrolle will man das Dokument am richtigen Ort, an die Transaktion angehängt.
„Freigaben bremsen“
Ja, ein wenig. Aber sie verhindern Fehler, die viel mehr bremsen. Und sie schützen die Leitung.
FAQ: Odoo internes Kontrollsystem – Gesetzliche Vorgaben, Best Practices, Anwendungsfälle, typische Fehler
1) Ist ein internes Kontrollsystem für eine GmbH oder AG in Genf Pflicht?
Ja, organisatorisch: Die Leitung muss die Gesellschaft organisieren und eine verlässliche Buchhaltung führen. Bei ordentlicher Revision wird das IKS zum formellen und geprüften Thema. (Quelle: Gesetzliche Grundlagen, Organisation des VR und Geschäftsbericht (OR, Fedlex))
2) Reicht Odoo als „Nachweis“ im Audit?
Odoo hilft sehr, wenn Rechte, Freigaben und Belege sauber geführt sind. Sonst ist Odoo nur ein Erfassungswerkzeug und Sie müssen anderswo nachweisen.
3) Was ist die Mindestfunktionstrennung bei Lieferantenrechnungen?
Unserer Meinung nach: Eine Person erfasst, eine andere gibt frei und die Zahlung wird von einer zweiten Person (Leitung oder Mitzeichner) freigegeben. Wenn Sie zu wenig Personal haben, gleichen Sie das durch dokumentierte periodische Kontrollen aus.
4) Darf man gemeinsame Benutzerkonten behalten, um „schneller zu sein“?
Technisch ja. Aus IKS-Sicht sehr schlechte Idee: Sie verlieren die Zuordnung von Aktionen. Bei Problemen kann niemand entscheiden.
5) Welche MwSt-Sätze müssen 2026 eingestellt und kontrolliert werden?
Die anwendbaren Schweizer Sätze sind 8,1 % (normal), 2,6 % (reduziert) und 3,8 % (Beherbergung). Das IKS besteht vor allem darin, inkonsistente MwSt-Codes zu vermeiden und Ausnahmen zu dokumentieren.
6) Was sind die gravierendsten Odoo-Fehler im Audit?
Die Top 3: Zu breite Rechte (jeder kann alles), Rechnungen ohne zugeordnete Belege und Änderungen nach Freigabe ohne Nachweis. Genau das zerstört den Audit-Trail.