Diese von Mark Nittler, verfasste Workday Story wurde erstmals auf Englisch im Workday-Blog veröffentlicht. Unsere lokalen Leser finden im Folgenden eine deutsche Version des Beitrags.

Die Rolle von Führung, Richtlinienumsetzung und Vorschriftseinhaltung beim Wandel in der Finanzwelt

Wenn Sie an die vielen Dinge denken, die den Puls eines CFO beschleunigen, dann nehmen Governance, Compliance und Audit eher einen hinteren Platz auf der Liste ein. In der Vergangenheit müssen die Prioritätenlisten von Softwaredesignern ähnlich ausgesehen haben, weil Sie Leitungs- und Kontrollfunktionen in den Finanzmodulen klassischer ERP-Software eher nachrangig behandelt oder gar als störend erachteten. Kontrollkonzepte werden weniger dringlich als die Buchungsverarbeitung gesehen, weniger sichtbar als die Finanzberichterstellung und weniger interessant als aussagekräftige Analysen.

Fairerweise muss gesagt werden, dass damals in den 80er Jahren, als die ersten Enterprise-Software-Lösungen entwickelt wurden, Kontrollfunktionen keine Priorität zugedacht wurde. In dieser Zeit gab es noch kein Sarbanes-Oxley, Basel II, COSO/COBIT und keine computergestützte Bilanzprüfung. Und ehrlich gesagt war der technische Fortschritt noch nicht so weit, dass integrierte Kontrollmechanismen überhaupt realisierbar waren. Damals kostete ein Gigabyte Speicherplatz auf heutige Verhältnisse umgerechnet ca. 150.000 Euro, und für die Datenverarbeitungsleistung galten ähnliche Einschränkungen. Systeme waren maximal damit ausgelastet, Journalbuchungen zu erfassen und in Buchungskonten einzuspeisen. Damals gab es kaum eine Notwendigkeit oder Möglichkeit zur Verfeinerung von Kontrollmechanismen. So sehr hat die Welt sich verändert.

Softwaredesigner erachteten die Leitungs- und Kontrollfunktionen in den Finanzmodulen klassischer ERP-Software als eher nachrangig oder gar als störend.

Heute können wir es uns nicht leisten, Leitungsfunktionen hintanzustellen. Die Kosten der Nichteinhaltung von Vorschriften sind einfach zu hoch. Anbieter traditioneller ERP-Lösungen reagierten auf charakteristische Weise, indem Sie Technologien erwarben oder nachträglich Funktionen hinzufügten, die an ihre traditionellen Lösungen „angestückelt“ wurden. Dieser Nachrüstungsansatz zur Richtlinienumsetzung und Vorschriftseinhaltung hat jedoch bestimmte Nachteile, insbesondere die folgenden:

Freiwillige Kontrollmechanismen: Anwender müssen jeden Kontrollmechanismus selbst auswählen, und diesen dann getrennt implementieren. Jede Kontrolle erfordert viele Überlegungen und ist mit einem hohen zeitlichen Aufwand verbunden. Dies hat zur Folge, dass anstelle eines umfassenden Satzes optimaler Kontrollen lediglich ein Minimum an Kontrollen durchgeführt wird. Wenn dem jeweiligen Benutzer die Last auferlegt wird, Kontrollen selbst umzusetzen, ist dadurch praktisch garantiert, dass diese Kontrollen nicht einheitlich umgesetzt werden.

Ineffizienz nachgerüsteter Funktionen: Dadurch, dass sie erst nachträglich entwickelt wurden, machen Kontrollrahmen Prozesse, die nie dafür gedacht waren, diese Arbeitslast zu tragen, besonders schwerfällig, wodurch diese zu alles verlangsamenden Energiefressern werden. Dies wiederum führt dazu, dass die Benutzer die Kontrollmechanismen des Systems deaktivieren und die Richtlinienumsetzung manuell implementieren.

Horrorszenario in Bezug auf Dokumentation: In der heutigen Kontrollumgebung ist die Dokumentation fast ebenso wichtig wie das Vorhandensein dieser Kontrollen. Der traditionelle Ansatz erfordert eine manuelle Dokumentation in Tabellen, Beschreibungen und individuell angepassten Ablaufdiagrammen, die bei jeder Änderung von Hand aktualisiert werden müssen.

Extrem hoher Wartungsaufwand: Die Hauptrisiken bei der Umsetzung von Kontrollen in Enterprise-Systemen entstehen an der Schnittstelle zwischen menschlichen Anwendern und automatisierten Prozessen. Das Nachrüstungs-Kontrollmodell ist nicht vollständig mit dem Personalverwaltungssystem verbunden. Das bedeutet, dass Kontrollparameter manuell aktualisiert werden müssen, um die häufigen personellen oder organisatorischen Veränderungen in heutigen Unternehmen widerzuspiegeln.

Niemals vollständig und niemals umfassend: Da Konzepte wie Workflows erst viele Jahre nach der Entwicklung traditioneller Lösungen eingeführt wurden, waren Kontrollrahmen kein grundlegender Bestandteil der Kernlösungen. Hinzu kommt, dass Kontrollen für bestimmte Prozesse individuell festgelegt werden mussten. Folglich müssen alle neuen oder angepassten Prozesse, Kontroll- oder Audit-Anforderungen aktiv berücksichtigt und separat gehandhabt werden. An einen lückenlosen Kontrollrahmen ist hier also nicht zu denken.

Der Nachrüstungsansatz für Leitung und Kontrolle in traditionellen Lösungen mag früheren Anforderungen mehrheitlich Rechnung getragen haben. Im heutigen Wirtschaftsklima, in dem verantwortungsvolle Unternehmensführung, Transparenz, Regulierung und Ergebnisverantwortung weitaus stärker gefragt sind, kann er sich aber als katastrophal erweisen. Nach Ansicht von Workday muss eine Unternehmenslösung eine solide Grundlage für Leitung und Kontrolle bieten. Wenn man sich nicht auf die Prozesse verlassen kann, mit denen Daten in das System eingegeben werden, dann ist das gesamte System von Grund auf kompromittiert.

Es ist geradezu unmöglich, Kontrollsoftware als Zusatzanwendung in ein vorhandenes Enterprise-System einzubinden.

Zum Beheben dieser Mängel hat Workday auf einem grundlegenden Leitungsprinzip aufgebaut: Leitung und Kontrolle können durch Audits nicht geschaffen werden. Sie können auf deren Vorhandensein testen, aber Sie können sie nicht schaffen. Selbst eine oberflächliche Betrachtung von Kontrollrahmen wie COBIT und COSO macht unmissverständlich klar, dass zur Schaffung einer Umgebung mit effektiver Leitungsfunktionalität alle Kontrollkonzepte und Kontrollfunktionen direkt in die Grundstruktur des Systems eingebettet sein müssen. Es ist geradezu unmöglich, Kontrollsoftware als Zusatzanwendung in ein vorhandenes Enterprise-System einzubinden, und so eine effektive, umfassende, dokumentierbare, wartungseffiziente, wirtschaftliche und prüffähige Kontrollumgebung zu gewährleisten.

Diese Funktionsmerkmale müssen ganz bewusst entwickelt und von Anfang an in das System integriert werden, weshalb für Workday die Möglichkeit, einen kompletten Neuanfang zu machen, so entscheidend für unsere Herangehensweise an die Umsetzung von Leitungsfunktionen war. Im Grunde genommen gab uns dies die Möglichkeit, Kontroll- und Leitungsfunktionen direkt in den Kern unseres Systems zu implementieren. Hier sind die fünf Grundbestandteile, die wir beim Design der Workday Finanzmanagement-Lösung verwendet haben, und die unserer Meinung nach für Finanzverwaltungssysteme erforderlich sind, damit diese die Richtlinienumsetzungsansprüche moderner Unternehmen erfüllen können:

Steuerungselemente, die auf Unternehmensprozessrahmen abgestimmt sind: Alle Geschäftsereignis-Aktivitäten sollten innerhalb eines dedizierten Unternehmensprozessrahmens („Business Process Framework“/BPF) gestaltet und geregelt werden. Kein Vorgang, der nicht als Teil des BPF konzipiert wurde, sollte überhaupt stattfinden.

Vereinheitlicht mit dem Erfassungssystem des Anwenders: Die Schaffung eines effektiven Compliance-Umfelds ist heute nur möglich, wenn die gesamte Unternehmenslösung alle Anwender und deren Rollen, Befugnisse, Genehmigungsgrenzen und Vorgesetzten, und wie diese sich in ihre unterschiedlichen jeweiligen Organisationen einfügen, im Detail abbildet. Ein „Mitarbeiter“ sollte kein Konzept in der Personalverwaltung sein, das losgelöst von der Finanzverwaltung existiert, sondern es muss ein Geschäftskonzept sein, das von der Finanzverwaltung und der Personalverwaltung gleichermaßen anerkannt und umgesetzt wird.

Selbstständige Dokumentation: Im BPF-Tool von Workday sind Geschäftsprozesse klar definiert und werden lückenlos dokumentiert. Jede Prozessänderung wird direkt über das Tool umgesetzt, wodurch die Prozesse selbstständig die entsprechende Dokumentation erstellen. Und da die Datenverarbeitung über das gesamte System hinweg vereinheitlicht ist, hält diese Dokumentation fest, wer eine Änderung vorgenommen hat und wann.

Kontinuierliches Auditing: Moderne In-Memory-Datenstrukturen erlauben neben dem konstanten Echtzeit-Zugriff auf sämtliche Lösungsdaten auch einen kontinuierlichen Zugriff auf eine lückenlose Dokumentation. Audits konzentrieren sich traditionell vor allem auf eine Beurteilung vergangener Geschäftsereignisse sowie die Gewährleistung der Richtlinienumsetzung.

Prüfung des Buchungssystems selbst statt einzelner Buchungen: Das Prüfen von Buchungsvorgängen ist oft der vorrangige Kostentreiber beim Arbeitsaufwand und der Preisgestaltung für die Wirtschaftsprüfung. In Altsysteme war kein tatsächlich allumfassendes Leitungsmodell integriert, weshalb sie die zusätzliche Eingabe von Daten zum Testen von Buchungsvorgängen erforderten. Ein System, das auf einem vereinheitlichten Kontroll- und Leitungsrahmen basiert, unterstützt den wesentlich effizienteren und effektiveren Ansatz, das Buchungssystem selbst zu testen.

Auch wenn Diskussionen über die Implementierung von Leitungs- und Kontrollfunktionen nicht zu den spannendsten Themen der Finanzwelt zählen, ist deren Gewährleistung für Unternehmen dennoch sehr wichtig. Die erfolgreiche Umsetzung von Leitungs- und Kontrollfunktionen kann bei Enterprise-Systemen langfristig gesehen einen enormen Unterschied ausmachen. Dies spielt eine entscheidende Rolle bei der Differenzierung neuer Lösungen von traditionellen ERP-Anwendungen.

Lesen Sie Teil Vier der Blog-Reihe von Mark Nittler, „Der ideale Partner: Wie das Finanzteam bei der Ausarbeitung der Geschäftsstrategie helfen kann.“