Der US-Warenhausbetreiber Macy's hatte am 25. November überraschend bekanntgegeben, seine Gewinnmitteilung verschieben zu müssen. Das ist an sich bereits ein aufsehenerregender Schritt, den jede Aktiengesellschaft normalerweise tunlichst vermeidet. Der Grund für die Earnings-Call-Verspätung: Ein einzelner Mitarbeiter hatte über einen Zeitraum von rund drei Jahren die Buchhaltungssysteme des Unternehmens manipuliert und so insgesamt bis zu 154 Millionen Dollar unterschlagen.

Macy's stellt in seiner Pressemitteilung zwar klar, dass die betroffene Person inzwischen nicht mehr im Unternehmen tätig ist und es keine Hinweise darauf gibt, dass weitere Angestellte beteiligt waren. Ansonsten hält sich der US-Konzern, der jährlich knapp 24 Milliarden Dollar erwirtschaftet, jedoch bedeckt.

Wir haben mit Experten gesprochen, die einschätzen können, warum das so ist - und wissen, wie sich Vorfälle dieser Art verhindern lassen.

"ERP-Systeme sind darauf nicht ausgelegt"

Laut dem selbständigen Wirtschaftsprüfer und GRC-Spezialisten JR Kunkle sind Kosten, die als Rückstellungen verbucht werden (so wie es im Fall von Macy's passiert ist), grundsätzlich ein besonders schwer zu prüfender und schlecht einsehbarer Bereich. Das gilt nach Meinung des Experten leider nicht nur mit Blick auf Wirtschaftsprüfer und Auditoren, sondern auch für die Enterprise Software, auf die sich CIOs verlassen. Diese Systeme hätten ebenfalls Schwierigkeiten damit, zu identifizieren, wann Geldbewegungen nach den Standard-Buchhaltungsregeln zulässig sind und wann nicht.

"Es ist davon auszugehen, dass die Motivation des Mitarbeiters darin bestanden hat, einen höheren Bonus einzuheimsen", vermutet Kunkle. Dabei dürfte der Innentäter davon profitiert haben, dass die Buchhaltungsprozesse bei einem Konzern von einer Größe wie Macy's besonders komplex sind.

Stefan van Duyvendijk, Industry Principal beim Softwareanbieter FloQast, kennt die Tricks der Accounting-Welt: "Sie wären überrascht, wie lange sich beispielsweise Zahlungen an Lieferanten verzögern lassen. ERP-Systeme und die meisten Reporting-Softwares sind nicht darauf ausgelegt, solche taktischen Nuancen zu erkennen. Ganz zu schweigen von vorsätzlichen, betrügerischen Handlungen. Im Fall von Macy's hat auch KPMG in seiner Funktion als verantwortliches Wirtschaftsprüfungsunternehmen die Unregelmäßigkeiten nicht erkannt."

Die Situation bei Macy's veranschaulicht auch das generelle Problem von Insider-Aktivitäten in Unternehmen, wie Frank Dickson, Group Vice President of Security und Trust bei IDC, festhält: "Böswillige Insider kennen die Systeme oft besser als das Unternehmen selbst. Zum Beispiel achtet jedes Unternehmen auf finanzielle Abweichungen in unterschiedlicher Höhe. Wenn ein Insider diese exakten Schwellenwerte kennt, kann er konsequent direkt unterhalb dieser agieren."

Was CIOs tun können

Aus IT-Perspektive liegt der Kern des Problems also nicht unbedingt in der Schwäche einzelner Systeme, sondern in den Gräben, die sich zwischen diesen bilden. IDC-Experte Dickson erklärt, was CIOs tun können, um solchen Problemen entgegenzuwirken: "Verstärken Sie Ihre Bemühungen in Sachen Governance, Risk & Compliance. Und reißen Sie Mauern ein - etwa zwischen ERPERP-, Buchhaltungssystemen und CybersecurityCybersecurity." Alles zu ERP auf CIO.de Alles zu Security auf CIO.de

Auch Robert Kramer, VP-Analyst bei Moor Insights & Strategy hat diesbezüglich eine eindeutige Meinung: "Die einzige Möglichkeit, so etwas zu verhindern, besteht darin, die internen Kontrollmaßnahmen zu verstärken - zum Beispiel durch Workflows, an denen mehrere Mitarbeiter beteiligt sind." (fm)