Viele CFOs unterschätzen die Risiken, die durch Schatten-IT-Instanzen entstehen können.

aetb/Thinkstock/Getty Images

14.04.15
CFO

Schatten-IT: Wie CFOs die dunkle Seite ausmerzen

Dropbox, Excel, Smartphones: Für Mitarbeiter gibt es viele Möglichkeiten, die offizielle IT-Struktur im Unternehmen zu umgehen. Daraus entstehen Schatten-Systeme, die für CFOs große Risiken darstellen.

Beinahe täglich fällen CFOs Entscheidungen auf Grundlagen von Dokumenten und Daten. Doch nicht immer werden die Zahlen allein auf Basis der offiziellen Unternehmens-IT erstellt. Auswüchse der sogenannten Schatten-IT finden sich in beinahe allen Unternehmen.

Dabei handelt es sich um Programme oder Spreadsheets, die ohne das Wissen der Unternehmens-IT-Verantwortlichen genutzt werden. „Etwa bei der Hälfte der Schatten-Instanzen handelt es sich um klassische Excel-Sheets. Der Rest sind komplexere Lösungen wie Cloud-Services. Oder ein Fachbereich beschafft die Hardware schlicht selbst“, sagt Christopher Rentrop, Informatik-Professor an der Hochschule Technik, Wirtschaft und Gestaltung (HTWG) in Konstanz. Mitarbeiter würden dabei schnelle Lösungen auf praktische Probleme suchen und hätten oft weder Lust noch Zeit, darauf zu warten, dass die Unternehmens-IT eine offizielle Lösung anbietet.

Bis zu 52 Schatten-IT-Instanzen pro Fachbereich

Rentrop hat exemplarisch fünf Unternehmen mit Umsätzen zwischen 300 Millionen Euro und 1 Milliarde Euro in Bezug auf parallele IT-Systeme geprüft. „Wir haben zwischen acht und 52 Schatten-Instanzen pro Fachbereich gefunden. Bei der Hälfte der Schatten-IT Systeme funktionieren die Prozesse ohne diese nicht mehr reibungslos. In diesem Punkt gab es zwischen den betrachteten Unternehmen kaum Abweichungen."

Im Zuge seiner Forschung hat der 41-jährige Rentrop herausgefunden, dass bis zu 50 Prozent der Schatten-IT-Instanzen einen Einfluss auf die Erstellung der Bilanz haben können. Sei es, weil der CFO auf Grundlage fehlerhafter Daten eine Entscheidung trifft oder weil die Darstellung der Bilanz an sich fehlerhaft ist.

Ein weiteres Problem: Daten, die in Schatten-IT-Systemen gepflegt werden, werden in der Regel nicht gegen Benutzermanipulationen gesichert und sind schnell gelöscht. „Häufig werden dadurch Aufbewahrungspflichten nicht eingehalten“, beobachtet Rentrop. Besonders schwerwiegend ist in dem Zusammenhang, dass diese hochrelevanten Systeme nicht durch die internen Kontrollsysteme erfasst wurden.

Hohe Beträge müssen überprüfbar bleiben

Aber wie können Unternehmen ihre Schatten-Systeme aufdecken? Diese sollten Rentrop zufolge zunächst eine Inventur der tatsächlich genutzten Systeme machen. Wenn Schatten-Instanzen vorhanden sind, müssen diese nach dem Risiko bewertet werden. Vor allem rechnungslegungsrelevante Daten dürften Mitarbeiter nicht einfach in Excel verwalten, warnt Rentrop. Diese müssten auditierbar bleiben und revisionssicher abgespeichert werden.

Im letzten Schritt arbeiten Fachbereiche und IT zusammen an der Steuerung der Schatten-IT. „Fachbereich und IT entscheiden gemeinsam, ob die Schatten-Systeme unverändert bleiben können, ob die Leistungserstellung der Systeme optimiert werden kann oder ob die IT das System von Grund auf neu bauen muss.“ Durch die Kooperation werde auch das Risikoverständnis der Fachabteilungen verbessert. „Oft sind die Mitarbeiter der Fachbereiche einfach nicht dafür sensibilisiert, Sicherheitsprobleme zu bedenken.“ So nutzen Mitarbeiter oft Programme, die sie privat kennen, die aber bei gewerblicher Verwendung kostenpflichtig sind. So kann es dann zu einer mitunter teuren Unterlizensierung kommen.

CFOs in der Pflicht

Beim Umgang mit der Schatten-IT nimmt er CFOs in die Pflicht, denn das Problem wird nicht von alleine verschwinden: „Die Schatten-IT wird in den kommenden Jahren noch zunehmen. Der Zugang zu IT-Angeboten wird leichter und es ist schwer, die Web-Services zu kontrollieren.“

CFOs könnten beispielsweise ein internes Qualitätssiegel einführen. „Die IT prüft dann den Datenfluss. Das Controlling sagt, ob die Logik hinter der Rechnung korrekt ist.“ Wichtig sei, dass Finanzchefs ausschließlich geprüfte Daten akzeptieren. „Dadurch wird es für die Fachbereiche schlicht unattraktiv, Daten heimlich zu bearbeiten oder auf andere Plattformen auszulagern“, sagt Rentrop.

jakob.eich[at]finance-magazin.de