Unter „Excel & Co.„ sind in diesem Artikel Programme gemeint, welche sehr unspezifisch entwickelt worden sind und daher über fast alle Branchen hinweg für eine Vielzahl von Aufgaben gebraucht werden können. Die bekannteste Vertreterin dieser Softwaregattung dürfte Excel sein. Aber auch Access und die Pendans von anderen Office-Suiten wie OpenOffice.org gehören dazu.
Die meisten Unternehmen haben irgend eine Branchenlösung im Einsatz, mit welcher ein grösserer oder kleinerer Teil der Aufgaben aus dem Kerngeschäft erledigt werden kann. Nebenbei gibt es meist zahlreiche Um- und Nebensysteme. Und nicht selten kommen von konstruktiven Mitarbeitern einige „Lösungen“ von Excel & Co. dazu. Excel-Sheets für das, eine kleine Lotus-Datenbank für jenes, ein Makro da und eines dort. Alles, um die Arbeit effizienter zu machen und die Fehlerquellen aus manuellen Eingaben und Berechnungen zu reduzieren.
In diesem Artikel möchte ich der Frage nach gehen, wie gut geeignet denn solche Programme sind, um solche kleinere oder grössere Aufgaben in Unternehmensprozessen auszuführen. Und dies nicht unter dem Aspekt der direkten Funktionen, sondern unter dem Aspekt von allgemeinen Compliance-Anforderungen an eine Software, welche in Unternehmensprozessen (oder Teilen davon) eingesetzt wird.
Es gibt sehr viele mögliche Sichten, bei der Betrachtung von Anforderungen an eine Software und auch viele und unterschiedliche nationale und internationale Gesetzte, Verordnungen und Standards dazu. Eine Auslegung von diesen und eine Betrachtung von Sinn und Unsinn von diesen wäre an dieser Stelle wünschenswert – es würde aber den Rahmen in der zeitlichen und räumlichen Dimension sprengen. Und deshalb messen wir Excel & Co. an dieser Stelle an der Maxime des CAVR-Frameworks. CAVR ist die Abkürzung für Completeness, Accuracy, Validity und Restricted access. Ganz allgemein geht es um den Schutz und die Gewährleistung der Nachvollziehbarkeit. Untersuchen wir nun Excel & Co. mit ein paar Fragen dazu.
Zugriffsbeschränkung und Protokollierung
Bieten diese Programm eine Authentisierung mit genügendem Zugriffsschutz und einer Protokollierung der wichtigen Aktivitäten? Mit Hilfe des Betriebs- resp. Filesystems lassen sich Zugriffsbeschränkung meist realisieren. Eine andere Frage ist, ob dies in der Praxis auch genügend stark durch- und umgesetzt wird. Mit der Protokollierung sieht es aber meist schlecht aus. Eine solche gibt es bei den betroffenen Systemen nicht von Haus aus. Es lässt sich somit nicht nachvollziehen, wer der möglichen Mitarbeitern wann das Excel-Sheet angepasst hat, oder wer eine Funktion zuletzt ausgeführt hat (Letzter File-Zugriff vom Filesystem ist nicht zwingend letzter Makro-Funktionsaufruf etc.). Der Modus zur Änderungsnachverfolgung solcher Produkte ist in der Praxis meist nicht geeignet – solche Funktionen wurden auch zu anderen Zwecken entwickelt (bspw. sind die Makros nicht enthalten).
Vollständigkeit
Ob die Daten vollständig (alle Daten) sind oder dass alle notwendigen Prüfungen/Checks in diesem Schritt gemacht werden, die gemacht werden müssen – dafür kann das entsprechende Programm nichts. Die Frage ist hier viel mehr, ob die Mitarbeiter, welche solche Anwendungen definieren, in jedem Fall wissen was sie tun und was alles zur Vollständigkeit gehört. Hier ist eher der Mitarbeiter das Risiko, als die Software das Problem. Und das Risiko sollte auf keinen Fall unterschätzt werden. Folglich auch nächster Punkt.
Richtigkeit
Werden die Berechnungen richtig gemacht? Wird die richtige Formel mit den richtigen Konstanten verwendet? Auch hier liegt das Problem eigentlich nicht bei den Programmen selber. Aber dennoch bieten sie von Haus aus keine global steuerbaren Prozesse für die Freigabe von Definitionen. Und nur durch Ansätze wie ein Vier-Augenprinzip kann dieses Risiko reduziert werden. Insofern unterstützen diese Programme die Definitionen nicht und werden eher zum Risiko für ein Unternehmen.
Gültigkeit/Zulässigkeit
Wurde eine Transaktion, die durchgeführt wird, überhaupt bewilligt? Wurde eine Limite überschritten? Darf ein Mitarbeiter diesen Schritt für dieses Produkt ausführen? Darf diese Transaktion für jenen Kunden ausgeführt werden? Von Haus aus gibt es bei Excel & Co. keine Unterstützung für solche Prüfungen. Zumal auch die Datenanbindung nicht immer einfach ist. Entsprechend fehlt diese Komponente bei den meisten Anwendungen von Excel & Co.
Konklusion
Excel & Co. sind in vielen Branchen in vielen Unternehmen nicht mehr wegzudenken. Sie leisten häufig einen nicht zu unterschätzenden Beitrag zu den Prozessen – nicht zuletzt auch in sensiblen Bereichen wie Reporting und Risikomanagement. Aber aus Sicht Compliance sind solche selber entwickelten Anwendungen von Excel & Co. ein operationelles Risiko (Stichwort: ORM). Sie genügen einer internen Kontrolle in den meisten Fällen nicht. Wer wann was wie berechnet und vervollständigt oder überwacht, ist nicht sicher von Haus aus nachvollziehbar. Ein ebenfalls grosses Problem von Excel & Co. ist deren dezentrale Haltung. Zentral verlässliche Verzeichnisse/Inventare mit den wichtigsten Metadaten gibt es es meist nicht. Eine genauere Risikoeinschätzung dürfte deshalb in konkreten Fällen ein nicht leichtes Unterfangen sein.
Keine Kommentare:
Kommentar veröffentlichen