Die Bedeutung des Internen Kontrollsystems (IKS) ist branchenunabhängig in den letzten Jahren sehr stark gewachsen. Geschäftsführungen müssen sicherstellen, dass ausreichende, angemessene und vor allem wirksame Kontrollen ihre Organisationen vor Risiken schützen oder zumindest warnen können. Auch das “Three Lines of Defense” Modell hat dazu beigetragen, das IKS im Rahmen des unternehmensweiten, integrierten GRC-Systems als essentiellen Bestandteil zu festigen.
Hinzu kommt, dass bereits bestehende IKS-Systeme immer häufiger tiefgreifenden Überprüfungen unterzogen werden, um Synergie- und Einsparpotenziale bei den Kontrollen zu heben. Im Kern steht die Überlegung, welche Kontrollen über digitale Systeme einfacher, schneller und damit auch effizienter durchzuführen sind als die bislang oft manuell durchgeführten Kontrollaktivitäten.
In der Praxis ist die Digitalisierung von Kontrollen in weiten Bereichen noch nicht angekommen. Risiko-Kontroll-Matrizen (RKM) werden häufig noch über Excel-Tableaus abgebildet mit dem Ergebnis, dass die Inhalte oftmals fehlerbehaftet, inkonsistent, unvollständig und widersprüchlich sind. Die erfassten Daten können nur schwer systematisch ausgewertet werden und das Ergebnis hat meist nur einen sehr eingeschränkten Aussagegehalt. Demgegenüber steht der extrem hohe Zeitbedarf für die Erfassung und Auswertung der Daten, der Bestimmung des Reifegrads des IKS-Systems und der Ermittlung von Angemessenheit und Wirksamkeit der Kontrollen. Dass dies bei den Mitarbeitern häufig zu Frust und einer Ablehnung des IKS-Systems führen, ist verständlich.
Was also tun, damit der Aussagegehalt des IKS sich verbessert und der damit verbundene Zeitaufwand der Mitarbeiter gleichzeitig sinkt oder sich zumindest nicht noch weiter erhöht?
Die Beachtung der folgenden Aspekte in der Konzeptionsphase kann dazu beitragen:
- Ausgereifte und etablierte Prozesslandkarte (PLK)
- Transparente Zielsetzung und praxisbezogene Kontrolldefinition
- Übergreifende Kriterienfestlegung unter Berücksichtigung der Unternehmensstandards
- Einheitlichkeit und Systematisierung als Grundbedingung
1. Ausgereifte und etablierte Prozesslandkarte (PLK)
In einem ersten Schritt ist zu überprüfen, ob es bereits eine vollständige, organisationsweite Aufnahme der Prozesse gibt und – falls ja – diese als Grundlage für die Risikoaufnahme der Risiko-Kontroll-Matrix (RKM) dienen kann. Die RKM liefert einen Überblick über die prozessorientierten Risiken des Unternehmens und die damit verbundenen Kontrollen. Auf Basis der RKM können die prozessbezogenen Kontrollmaßnahmen analysiert und bewertet und ggf. vorhandene Lücken und Inkonsistenzen bereinigt werden.
2. Transparente Zielsetzung und praxisbezogene Kontrolldefinition
Im zweiten Schritt muss geklärt werden, welche Kontrollen im IKS berichtet werden. Sollen alle Kontrollen dargestellt werden? Oder konzentriert man sich besser auf die Schlüsselkontrollen der Organisation? Wie definiert das Unternehmen für sich den Begriff der “Schlüsselkontrolle”? Im Allgemeinen sollen Schlüsselkontrollen messbar, aussagekräftig und unverzichtbar sein. Was das im Einzelfall bedeutet, muss in den Unternehmen einheitlich und für alle Beteiligte transparent festgelegt sein. Zu klären ist auch, wie die Vollständigkeit der relevanten Kontrollen sichergestellt wird. Dafür absolut notwendig ist jedoch im Vorfeld die Festlegung, welche Steuerungsaspekte – also welche lenkenden und präventiven Maßnahmen – mit dem IKS erreicht bzw. umgesetzt werden sollen. Welcher Zielsetzung soll das IKS dienen?
3. Übergreifende Kriterienfestlegung unter Berücksichtigung der Unternehmensstandards
Welche Prozesse in der Organisation als „wichtig“ bzw. “kritisch” betrachtet werden, definiert einen wesentlichen Eckpfeiler des IKS. Als Kriterien – neben ihrer Qualifizierung als Kernprozesse sowie rein monetären Aspekten – können z.B. die Notfallkritikalität eines Prozesses oder auch die Erkenntnisse des Informationssicherheitsmanagements in der Organisation mit einbezogen werden. Ebenso sind Compliance-Aspekte und das spezifische Schadenpotenzial im Hinblick auf Ergebnisgrößen, Image, Liefertreue, etc. zu berücksichtigen. Untersucht werden sollte auch, welche Schnittstellen und Prozessbeteiligte einbezogen werden müssen, wie die Zusammenarbeit an kritischen Schnittstellen definiert ist und ob es hier klare Regelungen gibt, die den Beteiligten bekannt sind und die verstanden werden. In diesem Zusammenhang lohnt sich für die IKS-Evidenzstelle der Blick auf die definierten Kriterien und Vorgaben im Prozessmanagement. Die hier ggf. bereits festgelegten Kriterien können dann in die Überlegungen des IKS einfließen, um eine einheitliche Vorgehensweise im Unternehmen zu gewährleisten. Als Ergebnis dieser Analyse erhält man einen Überblick über die Steuerungsrelevanz der einzelnen Kernprozesse und Anknüpfungspunkte für die Fragestellung “Was soll im Rahmen des IKS gesteuert werden?” und „Wo muss die Risiko-Kontroll-Matrix ansetzen?“.
4. Einheitlichkeit und Systematisierung
Die Konzeptionsphase für das IKS sollte es ermöglichen, die verschiedenen Abteilungen und Bereiche mit ihren jeweils unterschiedlichen Zielsetzungen, Vorgaben, Methoden und Anspruchshaltungen angemessen zu berücksichtigen und die Ergebnisse für das IKS in einer umfassenden Konzeption zusammenzuführen. So ist es von Vorteil, wenn sich das IKS und das Risikomanagement derselben Systematiken und Begrifflichkeiten bedienen. Gleiches gilt für das generelle Prozessverständnis. Auch hier muss die Bedeutung von Begrifflichkeiten unternehmensweit einheitlich definiert sein, damit am Ende nicht Äpfel mit Birnen verglichen werden.
Ein weiterer wichtiger Punkt stellt die Festlegung von eindeutigen Verantwortlichkeiten dar. Wenn hier bereits Festlegungen im Rahmen des Prozessmanagements getroffen worden sind, ist zu klären, ob diese für das IKS nutzbar und auch ausreichend sind: „Ist der Prozessverantwortliche auch der Risiko- und Kontrollverantwortliche?“ und „Wie sollen die Informations- und Kommunikationsprozesse ausgestaltet werden?“. Auf jeden Fall sind Mehrfachbelastungen der Mitarbeiter durch gleichartige Anforderungen von IKS, Risikomanagement, Compliance, etc. und Bereitstellen von gefühlt gleichen Informationen an unterschiedliche Stellen zu vermeiden.
Fazit
Ein internes Kontrollsystem systematisch zu entwickeln und zu steuern ist eine permanente Herausforderung. Wesentliche Erfolgsfaktoren liegen zum einen in der klaren (und gelebten) Definition der Zielsetzungen für das IKS, ihrer Kommunikation sowie Überlegungen zu Synergien, Abgrenzung und Schnittstellen zu anderen Managementsystemen und Kontrollfunktionen (Risikomanagement, Compliance, Notfallmanagement, Informationssicherheit …). Die Verwendung von einheitlich definierten und transparenten Kriterien über die gesamte Organisation hinweg verbessert nachhaltig die Akzeptanz und unterstützt in der Folge zielführende Aussagen zu Angemessenheit und Wirksamkeit des IKS.
Manuela Nuhn ist Partner bei der CP Consultingpartner AG, Köln. Nach ihrem Abschluss zur Diplom-Kauffrau arbeitete sie mehrere Jahre als Beraterin für die BDO AG Wirtschaftsprüfungsgesellschaft und die ifb AG. Sie betreut neben Finanzdienstleistungsinstituten insbesondere Kunden aus den Branchen Industrie, Handel, Dienstleistungen sowie öffentliche Unternehmen bei der Konzeption und Umsetzung von Beratungslösungen im Themenfeld Unternehmenssteuerung.