Risiko Spreadsheets

Vorsicht, Zeitbombe

08. März 2004
Riem Sarsam ist IDG-Redakteurin und leitet verantwortlich das CIO Leadership Excellence Program (LEP), eine exklusive Fortbildung für IT-Manager, gemeinsam veranstaltet von CIO und der WHU – Otto Beisheim School of Management .
Spreadsheets finden sich auf allen Unternehmensebenen. Der gemeinhin sorglose Umgang damit birgt allerdings ein hohes Risiko für die Firmen.

"Das Geld war weg. Mehrere Millionen Euro hatten sich einfach in Luft aufgelöst. Auch nach intensiver Suche ließen sie sich nicht mehr wieder finden." Für Jörg Asma, Information Risk Manager bei der Berliner Wirtschaftsprüfungsgesellschaft KPMG, keine Überraschung. Sein Mandant hatte seine Geschäftsdaten bei der Umstellung auf ein neues ERP-System in Excel-Tabellen zwischengelagert, um sie anschließend in die neue Lösung zu migrieren. Die Endsummen stimmten zwar auch hinterher noch, die einzelnen Geschäftsvorgänge konnte aber niemand mehr nachvollziehen. Für die Prüfer ein Grund, ihr Testat zu verweigern.

Ein durchaus alltägliches Problem, bestätigt Roland Mittermeir, Professor am Institut für Informatik der Universität Klagenfurt. Denn Spreadsheets finden sich überall. Verwaltungsarbeiten im Finanz- oder Personalbereich werden genauso mit ihrer Hilfe erledigt wie komplexe Analysen aus den Tiefen der Unternehmensdatenbanken. Oft werden sie auch als Frontend für Finanzapplikationen oder Finanzauswertungen und Softwareapplikationen genutzt. "Die meisten Unternehmen glauben, dass ihre Spreadsheets fehlerfrei sind", sagt Mittermeir, Mitglied der European Spreadsheet Risk Interest Group (EuSprig). Doch darin täuschten sie sich, sagt der Experte.

Roland Mittermeir, Professor am Institut für Informatik der Universität Klagenfurt „Die meisten Unternehmen glauben, dass ihre Spreadsheets fehlerfrei sind.“
Roland Mittermeir, Professor am Institut für Informatik der Universität Klagenfurt „Die meisten Unternehmen glauben, dass ihre Spreadsheets fehlerfrei sind.“

Klare Defizite in puncto Integration

Tabellenkalkulationen wie Excel oder Lotus 1-2-3 haben klare Defizite in puncto Integration der Unternehmensdaten. Hinzu kommt, dass beim Einsatz von Spreadsheets schwer zu entdeckende Fehler entstehen, sei es durch Tippfehler, die Erstellung falscher Bezüge oder durch logische Brüche, wenn falsche Formeln und Auslassungen verwendet werden. Außerdem gibt es gewissermaßen natürliche Barrieren der Programme. Lediglich als individuelles Hilfsmittel für Controller entwickelt, müssen sie mittlerweile als unternehmensweite Reporting- oder Budgetierungs-Tools herhalten. "Programme wie Excel haben dann ihre Grenzen, wenn das Geschäft sehr komplex wird", bestätigt Thomas Schräder, Senior Manager bei Price Waterhouse Coopers (PWC). "Wenn viele Parteien mitspielen und große Datenmengen bewegt werden müssen, geht die Übersichtlichkeit verloren."

Eine Umfrage von PWC mit dem Titel "Corporate Treasury in Deutschland" förderte zutage, dass das Thema von der IT-Abteilung eher stiefmütterlich behandelt wird. Während viele Unternehmen ihre IT-Abteilungen immer stärker zur Unterstützung der Geschäftsprozesse heranziehen und dafür teure Investitionen tätigen, werden die Abläufe in den Finanzabteilungen oft ausgespart. "Das liegt im Wesentlichen an der mangelnden Kommunikation zwischen den Abteilungen", vermutet Schräder. Die Fachabteilung kenne sich mit IT-Themen nicht ausreichend aus, könne also nur mit Schwierigkeiten ihren genauen Bedarf formulieren. Gleichzeitig wissen die wenigsten IT-Mitarbeiter um die Prozesse und Regularien in für sie exotischen Bereichen wie Treasury oder Rechnungswesen.

Historisierung der Daten fehlt

Doch gerade in diesem Bereich bewegen sich vor allem die öffentlich notierten Unternehmen zunehmend auf dünnem Eis. Denn eines der grundsätzlichen Probleme bei der Verwendung von Spreadsheets ist die fehlende Nachvollziehbarkeit von Daten. Die Grundsätze ordnungsmäßiger Buchführung (GoB) in Deutschland, deren gesetzliche Grundlage das Handelsgesetzbuch und die Abgabenordnung bilden, lassen sich mit Programmen wie Excel nur schwer einhalten. Dazu zählt unter anderem, dass nachvollziehbar und eindeutig sein muss, wer wann welche Informationen eingegeben hat. "Die Programme sehen keine Historisierung von Daten vor, und das ist ein großes Problem", beklagt auch KPMG-Mann Asma. Zwar ließen sich ergänzende Kontrollen einbauen, etwa die Aktionen auf einem Server aufzuzeichnen oder das Vier-Augen-Prinzip einzuführen, doch in der Realität fänden derartige Sicherheitsmaßnahmen nur selten statt.

Jörg Asma, Information Risk Manager, KPMG „Ergänzende Kontrollen und Sicherheitsmaßnahmen finden nur selten statt.“
Jörg Asma, Information Risk Manager, KPMG „Ergänzende Kontrollen und Sicherheitsmaßnahmen finden nur selten statt.“
Zur Startseite