Die Compliance-Vorschriften an Großunternehmen werden seit Jahren rigider – und die Firmen haben sich mittlerweile gut darauf eingestellt. Die meisten Schwierigkeiten macht inzwischen die Kontrolle der internen IT-Schwächen.
Wie dereinst Achill tauchen die Firmen gleichsam in ein Unverwundbarkeitsbad. Ebenso wie der antike Held lassen sie dabei aber offenbar eine Stelle bedeckt, die Angriffsfläche bietet. Das zeigt eine Studie von Audit Analytics unter US-amerikanischen Unternehmen mit einem Streubesitz von mehr als 75 Millionen US-Dollar. Demnach gelang es den Firmen im Finanzjahr 2009 zwar, auch ihre IT-Schwächen besser zu kontrollieren. Jedoch hält dieser Posten nicht Schritt mit den Auditing-Fortschritten insgesamt.
Audit Analytics beschreibt hier einen Effekt des Sarbanes-Oxley-Acts – also des US-amerikanischen Pendants zu Basel II in Europa. Das 2002 als Reaktion auf diverse Bilanzskandale verabschiedete Gesetz zwingt Aktiengesellschaften zu wirksamerem internen Controlling und zur jährlichen Kontrolle durch Wirtschaftsprüfer. Laut Studie sank in der Folge der Anteil ineffektiver Kontrollen seit 2004 insgesamt von 15,8 auf 3,3 Prozent – und das stetig.
Der Anteil der von der IT verursachten Reporting- und Controlling-Schwächen ging in diesem Zeitraum ebenfalls zurück: von 3,6 auf 0,9 Prozent. Was auf den ersten Blick wie eine vernachlässigbare Größe wirken mag, ist in Wirklichkeit das Gegenteil. Beide Entwicklungen zusammen betrachtet führen laut Audit Analytics dazu, dass mittlerweile fast jede dritte Schwachstelle von der IT verursacht ist. 2004 war es nicht einmal jede vierte.
Die absolute Verbesserung auch bei der Kontrolle von IT-Schwächen ist offenbar vor allem darauf zurückzuführen, dass beim Reporting stärker auf Business Intelligence (BI) und Performance Management gesetzt wird und fehleranfällige Excel-Spreadsheets dadurch ersetzt werden. Dennoch bleibt gerade der Rückgriff auf Excel eines der größten Risiken in diesem Bereich.
Achillesferse Forecasting
Verbreitet sind weitere Management-Fehler: Häufig werden unrealistische Fristen für die Implementierung neuer Systeme gesetzt, was zu unzureichenden Tests führt. Von der Software automatisch generierte Kontrollberichte werden entweder nicht eingesetzt oder aber nicht auf ihre Richtigkeit hin überprüft. Am falschen Ende gespart wird bei Schulungen der Mitarbeiter. Oft achten Unternehmen nicht darauf, dass der Zugang zu den Systemen sich mit den aus Business-Sicht adäquaten Rollen deckt. Zu ausgeprägte Großzügigkeit in diesem Bereich gefährdet überhaupt die Integrität der Systeme.
Auf ein weiteres Problem machen mehrere Wissenschaftler – unter anderem der University of Arkansas – in einer aktuellen Analyse aufmerksam. Demnach gefährden IT-Schwächen die für den CFO essentielle Gewinnprognose in besonderem Maße.
Die Wahrscheinlichkeit von Forecasting-Fehler ist demnach in Unternehmen mit IT-Problemen dreimal so hoch wie in Firmen, die hier keine relevanten Schwächen aufweisen: 3,6 im Vergleich zu 1,2 Prozent. Dieser Unterschied besteht auch dann, wenn weitere die Prognose bestimmende Messgrößen korrekt sind – etwa Unternehmensgröße, Profitabilität, Volatilität und Wachstumsrate.
Von Bedeutung fürs Forecasting sind insbesondere Schwächen bei Integrität im Data-Processing, daneben auch der Zugang zu Systemen und die IT-Sicherheit.