Risiko Spreadsheets

Vorsicht, Zeitbombe

Riem Sarsam war Redakteurin des CIO-Magazins.
Spreadsheets finden sich auf allen Unternehmensebenen. Der gemeinhin sorglose Umgang damit birgt allerdings ein hohes Risiko für die Firmen.

"Das Geld war weg. Mehrere Millionen Euro hatten sich einfach in Luft aufgelöst. Auch nach intensiver Suche ließen sie sich nicht mehr wieder finden." Für Jörg Asma, Information Risk Manager bei der Berliner Wirtschaftsprüfungsgesellschaft KPMG, keine Überraschung. Sein Mandant hatte seine Geschäftsdaten bei der Umstellung auf ein neues ERP-System in Excel-Tabellen zwischengelagert, um sie anschließend in die neue Lösung zu migrieren. Die Endsummen stimmten zwar auch hinterher noch, die einzelnen Geschäftsvorgänge konnte aber niemand mehr nachvollziehen. Für die Prüfer ein Grund, ihr Testat zu verweigern.

Ein durchaus alltägliches Problem, bestätigt Roland Mittermeir, Professor am Institut für Informatik der Universität Klagenfurt. Denn Spreadsheets finden sich überall. Verwaltungsarbeiten im Finanz- oder Personalbereich werden genauso mit ihrer Hilfe erledigt wie komplexe Analysen aus den Tiefen der Unternehmensdatenbanken. Oft werden sie auch als Frontend für Finanzapplikationen oder Finanzauswertungen und Softwareapplikationen genutzt. "Die meisten Unternehmen glauben, dass ihre Spreadsheets fehlerfrei sind", sagt Mittermeir, Mitglied der European Spreadsheet Risk Interest Group (EuSprig). Doch darin täuschten sie sich, sagt der Experte.

Klare Defizite in puncto Integration

Tabellenkalkulationen wie Excel oder Lotus 1-2-3 haben klare Defizite in puncto Integration der Unternehmensdaten. Hinzu kommt, dass beim Einsatz von Spreadsheets schwer zu entdeckende Fehler entstehen, sei es durch Tippfehler, die Erstellung falscher Bezüge oder durch logische Brüche, wenn falsche Formeln und Auslassungen verwendet werden. Außerdem gibt es gewissermaßen natürliche Barrieren der Programme. Lediglich als individuelles Hilfsmittel für Controller entwickelt, müssen sie mittlerweile als unternehmensweite Reporting- oder Budgetierungs-Tools herhalten. "Programme wie Excel haben dann ihre Grenzen, wenn das Geschäft sehr komplex wird", bestätigt Thomas Schräder, Senior Manager bei Price Waterhouse Coopers (PWC). "Wenn viele Parteien mitspielen und große Datenmengen bewegt werden müssen, geht die Übersichtlichkeit verloren."

Eine Umfrage von PWC mit dem Titel "Corporate Treasury in Deutschland" förderte zutage, dass das Thema von der IT-Abteilung eher stiefmütterlich behandelt wird. Während viele Unternehmen ihre IT-Abteilungen immer stärker zur Unterstützung der Geschäftsprozesse heranziehen und dafür teure Investitionen tätigen, werden die Abläufe in den Finanzabteilungen oft ausgespart. "Das liegt im Wesentlichen an der mangelnden Kommunikation zwischen den Abteilungen", vermutet Schräder. Die Fachabteilung kenne sich mit IT-Themen nicht ausreichend aus, könne also nur mit Schwierigkeiten ihren genauen Bedarf formulieren. Gleichzeitig wissen die wenigsten IT-Mitarbeiter um die Prozesse und Regularien in für sie exotischen Bereichen wie Treasury oder Rechnungswesen.

Historisierung der Daten fehlt

Doch gerade in diesem Bereich bewegen sich vor allem die öffentlich notierten Unternehmen zunehmend auf dünnem Eis. Denn eines der grundsätzlichen Probleme bei der Verwendung von Spreadsheets ist die fehlende Nachvollziehbarkeit von Daten. Die Grundsätze ordnungsmäßiger Buchführung (GoB) in Deutschland, deren gesetzliche Grundlage das Handelsgesetzbuch und die Abgabenordnung bilden, lassen sich mit Programmen wie Excel nur schwer einhalten. Dazu zählt unter anderem, dass nachvollziehbar und eindeutig sein muss, wer wann welche Informationen eingegeben hat. "Die Programme sehen keine Historisierung von Daten vor, und das ist ein großes Problem", beklagt auch KPMG-Mann Asma. Zwar ließen sich ergänzende Kontrollen einbauen, etwa die Aktionen auf einem Server aufzuzeichnen oder das Vier-Augen-Prinzip einzuführen, doch in der Realität fänden derartige Sicherheitsmaßnahmen nur selten statt.

Zur Startseite