Claudia, CFO eines mittelständischen Unternehmens, steht vor einem vertrauten Problem: Der Zahlungsfreigabeprozess läuft schleppend, wichtige Lieferantenrechnungen bleiben liegen, und das Team hat begonnen, Freigaben per E-Mail zu erteilen – am offiziellen Workflow vorbei. In einer Excel-Liste werden parallel Zahlungsläufe manuell vorbereitet, weil das ERP-System „zu umständlich" sei. Was als pragmatische Lösung begann, entwickelt sich zum Risiko: Wer hat wann welche Zahlung freigegeben? Wo ist der Audit-Trail? Wurden Vier-Augen-Prinzip und Separation of Duties eingehalten? Gerade bei digitalisierten Rechnungseingängen – etwa mit E‑Rechnung – fallen solche Umgehungen besonders schnell ins Gewicht.
Dieses Verhalten ist kein Einzelfall. Wenn Mitarbeitende Prozesse umgehen, ist das kein Zeichen von Faulheit, sondern ein Symptom für fehlende Prozessbeherrschung – unklare Regeln, schlechte Datenqualität, mangelnde Transparenz oder ineffiziente Systeme. Menschen suchen nach Abkürzungen, wenn offizielle Wege zu langsam oder umständlich erscheinen. In Unternehmen führt dies zu unkontrollierten Änderungen, Schattenrechnungen und Medienbrüchen – mit erheblichen Compliance- und Kostenrisiken.
Die zentrale Frage lautet: Wie lassen sich diese „Workaround-Impulse" in ein kontrolliertes, messbares und revisorisch einwandfreies Vorgehen überführen? Dieser Beitrag zeigt Ihnen praxisnah, wie Sie mit klaren Governance-Strukturen, messbaren KPIs und technischen Leitplanken nachhaltige Steuerung in Finanzprozessen erreichen – am Beispiel des Accounts-Payable-Prozesses.
Bevor wir in Lösungen investieren, müssen wir verstehen, welchen finanziellen Impact unkontrollierte Workarounds haben. Folgende Kostentreiber sind messbar:
Branchenbenchmarks zeigen: Die Kosten pro Rechnung liegen bei manuellen Prozessen zwischen 12 und 18 Euro, bei hochautomatisierten Prozessen unter 5 Euro. Bei 10.000 Rechnungen pro Jahr bedeutet das eine Differenz von 70.000 bis 130.000 Euro jährlich. Workarounds erhöhen diese Kosten zusätzlich: Excel-Nachbearbeitung, doppelte Dateneingabe, Medienbrüche und Klärfälle treiben die Vollkosten weiter in die Höhe.
Bei einem durchschnittlichen Skontosatz von 2 Prozent und einem Rechnungsvolumen von 5 Millionen Euro pro Jahr entspricht dies einem Potenzial von 100.000 Euro. Unternehmen mit schleppenden Freigabeprozessen verlieren typischerweise 30 bis 50 Prozent dieses Potenzials – also 30.000 bis 50.000 Euro jährlich.
Vendor Master Data Fraud (z. B. Bankdatenänderung durch Social Engineering) führt im Schnitt zu Schäden von 50.000 bis 500.000 Euro pro Vorfall. Doppelzahlungen durch fehlende Dublettenprüfung summieren sich bei mittelständischen Unternehmen auf 10.000 bis 30.000 Euro pro Jahr. Fehlbuchungen und Nacharbeit verursachen zusätzliche Kosten von 5.000 bis 15.000 Euro jährlich.
Audit-Findings zu Zahlungsfreigaben, fehlenden Audit-Trails oder SoD-Verstößen führen zu erhöhtem Prüfungsaufwand (zusätzliche 20.000 bis 50.000 Euro pro Jahr) und können im Extremfall zu qualifizierten Bestätigungsvermerken oder verschärften internen Kontrollanforderungen führen.
Finance-Teams, die mit manuellen Workarounds beschäftigt sind, fehlen für wertschöpfende Tätigkeiten wie Cash-Management, Working-Capital-Optimierung oder strategische Analysen. Bei einem Team von 3 FTE entspricht dies einem entgangenen Mehrwert von 50.000 bis 100.000 Euro pro Jahr.
Gesamtpotenzial: Für ein mittelständisches Unternehmen mit 10.000 Rechnungen und 5 Millionen Euro Rechnungsvolumen liegt das quantifizierbare Einsparpotenzial bei 180.000 bis 380.000 Euro jährlich. Die Amortisationszeit für eine strukturierte Prozessoptimierung liegt damit typischerweise bei 12 bis 18 Monaten.
Bevor Sie Lösungen implementieren, müssen Sie verstehen, warum Ihre Teams überhaupt zu Workarounds greifen. In den meisten Fällen liegen die Ursachen in einem oder mehreren der folgenden Bereiche:
Wenn Prozessregeln nicht eindeutig dokumentiert sind oder wenn für jede Sondersituation eine neue Ausnahme geschaffen wird, verlieren Mitarbeitende den Überblick. Sie entwickeln eigene Interpretationen oder bauen parallele Strukturen auf. Das System ist zu komplex geworden, um es regelkonform zu bedienen.
Fehlende, veraltete oder inkonsistente Lieferantendaten, Bankverbindungen oder Kostenstellen führen dazu, dass jede Rechnung manuell nachbearbeitet werden muss. Die Folge: Excel-Listen als „Korrekturschicht" zwischen ERP und Realität. Das ist der klassische Workaround, der sich verselbstständigt.
Wenn das ERP-System keine mobilen Freigaben erlaubt, keine Workflows abbildet oder keine transparenten Dashboards bietet, greifen Entscheider zu E-Mail, Chat oder Telefon. Diese Medienbrüche zerstören die Nachvollziehbarkeit und schaffen Compliance-Risiken.
Wenn nicht klar ist, wer für welchen Prozessschritt verantwortlich ist, entstehen Verzögerungen und informelle Abstimmungen. Diese Ad-hoc-Entscheidungen sind nicht dokumentiert und entziehen sich jeder Kontrolle.
Der Begriff meint im Unternehmenskontext nicht das bewusste Umgehen von Kontrollen im Sinne von Betrug, sondern vielmehr unkontrollierte Änderungen und Workarounds: manuelle Overrides, Excel-basierte Schattenrechnungen, E-Mail-Freigaben oder direkte Datenbankänderungen ohne Change-Prozess.
Compliance im Finance- und Payments-Kontext bedeutet zweierlei: Regelkonformität (Einhaltung interner Policies, Vier-Augen-Prinzip, Separation of Duties) und Nachvollziehbarkeit (lückenloser Audit-Trail, dokumentierte Ausnahmen, revisionssichere Archivierung). Ein Workaround ist dabei nicht per se verboten – entscheidend ist, ob er definiert, genehmigt, dokumentiert und befristet ist. Ein kontrollierter Ausnahmeprozess mit klarem Genehmigungsweg ist legitim; ein informeller „Hotfix" ohne Dokumentation ist es nicht.
Ein Workaround entsteht spontan, ist nicht genehmigt, wird nicht überwacht und hinterlässt keine Spuren. Eine kontrollierte Ausnahme hingegen ist formal beantragt, zeitlich befristet, begründet, genehmigt und wird in Logs und Reports sichtbar. Nur Letztere ist Compliance-konform.
Um das Thema greifbar zu machen, betrachten wir den Purchase-to-Pay-Prozess, insbesondere den Teilprozess Accounts Payable (Kreditorenbuchhaltung). Dieser Prozess umfasst:
Typische Symptome in diesem Prozess sind:
Das Zielbild ist ein durchgängiger, transparenter Workflow mit klaren Rollen, automatisierten Validierungen, lückenlosem Audit-Trail und messbaren KPIs.
Bevor Sie in Lösungen investieren, müssen Sie definieren, woran Sie Erfolg messen. Folgende KPI-Dimensionen sind für CFOs und IT-Leitungen relevant:
| KPI | Beschreibung | Benchmark-Zielwert |
|---|---|---|
| Invoice Cycle Time | Zeit von Rechnungseingang bis Zahlung | Best-in-Class: unter 7 Tage, Standard: unter 10 Tage |
| Touchless Rate (STP) | Anteil automatisch verarbeiteter Rechnungen | Best-in-Class: über 80 Prozent, Standard: über 70 Prozent |
| Time-to-Resolve (Klärfälle) | Durchschnittliche Bearbeitungszeit für Ausnahmen | Best-in-Class: unter 2 Tage, Standard: unter 3 Tage |
Diese KPIs bilden die Baseline. Nur wer misst, kann steuern – und nur wer steuert, kann Compliance nachweisen.
Unabhängig von gesetzlichen Anforderungen sollte jedes Unternehmen ab einer gewissen Größe (über 5 Millionen Euro Rechnungsvolumen oder über 50 Mitarbeitende) folgende Mindestkontrollen implementieren:
Prozessbeherrschung beginnt mit klaren Rollen und Verantwortlichkeiten. Im P2P-Kontext sollten Sie mindestens folgende Rollen definieren:
| Aktivität | Data Owner | AP-Accountant | Control Owner | System Owner |
|---|---|---|---|---|
| Antrag prüfen | R | I | C | I |
| Bankdaten validieren | A | R | I | I |
| Genehmigung erteilen | A | I | C | I |
| Änderung im System | C | R | I | A |
| Log-Review | I | I | R | A |
R = Responsible, A = Accountable, C = Consulted, I = Informed
Kontrollen wirken auf zwei Ebenen:
Präventive Kontrollen (verhindern Fehler und Verstöße):
Detektive Kontrollen (erkennen Abweichungen nachträglich):
Wie gehen Sie systematisch vor, um Workarounds zu eliminieren und Prozessbeherrschung zu erreichen? Folgendes pragmatisches Vorgehensmodell hat sich in der Praxis bewährt:
Ziele: Transparenz schaffen, kritische Risiken identifizieren, erste Maßnahmen einleiten
Lieferables: Symptom-Report, Baseline-KPI-Dashboard, Risiko-Heatmap, Quick-Win-Liste mit Verantwortlichen und Deadlines
Ziele: Standardprozess definieren, Governance implementieren, technische Leitplanken aufbauen
Lieferables: Prozessdokumentation, RACI-Matrix, Kontrollmatrix (präventiv und detektiv), IAM-Konzept, Logging-Spezifikation, Sandbox-Umgebung
Ziele: Neuen Prozess ausrollen, Team befähigen, Monitoring etablieren, kontinuierliche Verbesserung starten
Lieferables: Schulungsunterlagen, Go-Live-Checkliste, KPI-Dashboard (live), Control-Review-Bericht, Lessons-Learned-Dokumentation, Roadmap für kontinuierliche Verbesserung
Damit Prozessbeherrschung nicht bei Analogien bleibt, benötigen Sie konkrete technische und organisatorische Artefakte:
Definieren Sie klar, welche Datenobjekte zwischen Systemen ausgetauscht werden:
Jedes Log-Entry sollte enthalten:
Für kontrollierte Ausnahmen benötigen Sie einen definierten Workflow:
Um Risiken zu managen, müssen Sie sie kennen. Hier die wichtigsten Risikokategorien im P2P-Kontext:
Ausgangslage: Ein mittelständisches Unternehmen (10.000 Rechnungen pro Jahr, 4 Millionen Euro Rechnungsvolumen) führt Zahlungsfreigaben per E-Mail durch, weil das ERP-System keine mobilen Freigaben unterstützt. Die Zahlungsläufe werden in Excel vorbereitet. Es gibt keinen Audit-Trail, und SoD-Regeln werden regelmäßig verletzt.
Intervention: Implementierung eines Workflow-Tools mit mobiler App, Integration ins ERP, automatische SoD-Checks, lückenloser Audit-Trail. Aufwand: 3 Personenmonate (intern) plus 40.000 Euro Lizenzen und Beratung.
Messung (nach 6 Monaten): Anzahl manueller Overrides sinkt von 60 auf 9 pro Monat (minus 85 Prozent), Invoice Cycle Time reduziert sich von 14 auf 9 Tage (minus 36 Prozent), Audit-Findings zu Zahlungsfreigaben sinken von 3 auf 0. Skontoquote steigt von 55 Prozent auf 72 Prozent (plus 31 Prozent), entsprechend 13.600 Euro zusätzlicher Skontonutzung pro Jahr. Prozesskosten pro Rechnung sinken von 12 auf 7 Euro.
Ausgangslage: Lieferanten-Bankdaten können von AP-Mitarbeitern ohne Vier-Augen-Prinzip geändert werden. Es kommt zu einem Beinahe-Schaden (80.000 Euro), als ein Angreifer per E-Mail eine Bankdatenänderung anfordert. Die Zahlung wird erst durch Zufall gestoppt.
Intervention: Vier-Augen-Prinzip für alle Stammdatenänderungen, MFA für Bankdatenänderungen, Änderungs-Log mit Alerts bei Änderungen kurz vor Zahlungslauf (unter 48 Stunden), regelmäßiger Abgleich mit öffentlichen Registern. Aufwand: 1 Personenmonat (intern) plus 5.000 Euro Tooling.
Messung (nach 12 Monaten): Anzahl kritischer Incidents sinkt von 3 auf 0. Vertrauen in Stammdatenqualität steigt (gemessen via Team-Survey: von 60 Prozent auf 92 Prozent). Audit-Bewertung verbessert sich von „mangelhaft" auf „angemessen". Vermiedener Schaden (konservativ): 80.000 Euro.
Ausgangslage: Änderungen an Freigabe-Workflows werden direkt im Produktivsystem vorgenommen, um „schnell zu sein". Es kommt zu 8 Produktionsstörungen pro Jahr (durchschnittlich 4 Stunden Downtime, 6 FTE betroffen), weil Änderungen ungetestet sind.
Intervention: Einrichtung einer Staging-Umgebung (Kosten: 15.000 Euro), Release-Fenster (monatlich), Regression-Tests, Rollback-Plan, Change Advisory Board (CAB). Aufwand: 2 Personenmonate (Setup) plus 0,2 FTE laufend.
Messung (nach 12 Monaten): Anzahl Produktionsstörungen sinkt von 8 auf 2 (minus 75 Prozent), Mean Time to Recovery (MTTR) reduziert sich von 4 Stunden auf 30 Minuten (minus 88 Prozent). Systemverfügbarkeit steigt von 98,5 Prozent auf 99,7 Prozent. Vermiedene Kosten (Downtime × FTE × Stundensatz): ca. 28.000 Euro pro Jahr.
Selbst wenn Kontrollen definiert sind, wirken sie in der Praxis oft nicht. Hier die häufigsten Ursachen:
Wenn jeder alles darf, nützen SoD-Regeln nichts. Prüfen Sie regelmäßig, ob Rechte nach dem Prinzip der geringsten Privilegien (Least Privilege) vergeben sind. Nutzen Sie IAM-Tools mit automatischen SoD-Checks.
Wenn kritische Aktionen nicht geloggt werden oder Logs nach kurzer Zeit gelöscht werden, können Sie Verstöße nicht nachvollziehen. Definieren Sie eine Logging-Strategie mit angemessener Retention (mindestens 7 Jahre für finanzrelevante Transaktionen).
Temporäre Workarounds werden zu permanenten Zuständen, wenn sie nicht aktiv überwacht und zurückgebaut werden. Setzen Sie Ablaufdaten und automatische Erinnerungen. Etablieren Sie einen formalen Exception-Workflow.
Kontrollen müssen regelmäßig überprüft werden. Planen Sie monatliche oder quartalsweise Control-Reviews ein, bei denen Sie Logs, Ausnahmen und KPIs analysieren. Involvieren Sie Internal Audit und Compliance.
Wenn Teams nur auf Geschwindigkeit getrimmt werden, werden Kontrollen umgangen. Balancieren Sie KPIs: Schnelligkeit UND Qualität UND Compliance. Machen Sie Compliance-KPIs Teil der Zielerreichung.
Der Ruf nach Workarounds – ob in komplexen Systemen oder in Finanzprozessen – ist ein Symptom für fehlende Prozessbeherrschung. Wenn Ihre Teams zu Abkürzungen greifen, liegt das meist nicht an mangelnder Disziplin, sondern an unklaren Regeln, schlechten Daten, umständlichen Tools oder fehlenden Verantwortlichkeiten.
Die gute Nachricht: Sie können Prozessbeherrschung systematisch aufbauen. Der Business Case ist klar: Für ein mittelständisches Unternehmen mit 10.000 Rechnungen und 5 Millionen Euro Rechnungsvolumen liegt das quantifizierbare Einsparpotenzial bei 180.000 bis 380.000 Euro jährlich. Die Amortisationszeit liegt typischerweise bei 12 bis 18 Monaten.
Nachhaltige Steuerung entsteht durch Transparenz, klare Verantwortlichkeiten, kontrollierte Änderungen und messbare Outcomes. Wenn Sie diese Prinzipien konsequent umsetzen, verwandeln Sie den Impuls nach Workarounds in einen robusten, zukunftsfähigen Finanzprozess – mit messbarem ROI, reduziertem Risiko und revisionssicherer Compliance. Für eine weitergehende Einordnung von Rollenbildern und Zuständigkeiten kann zudem ein Blick auf Compliance-Manager-Aufgaben hilfreich sein.