1. Status Quo ermitteln

Bevor ein neues Kontrollsystem aufgebaut wird, sollte zunächst einmal festgehalten werden, was bei Ihnen im Unternehmen bereits existiert. Welche Kontrollen bestehen bereits? Welche werden vielleicht sogar regelmäßig durchgeführt und evaluiert? Wer ist für die Einrichtung der systemseitigen oder manuellen Prüfungen verantwortlich, und wer für deren Durchführung? Oftmals haben verschiedene Fachbereiche bereits Kontrollen aufgesetzt, die sie eigenständig verwalten. Darüber hinaus haben sicherlich auch weitere Governance-Funktionen schon entsprechende Instrumente im Einsatz, die für Ihr IKS sinnvoll sein und entsprechend integriert werden könnten.

Tragen Sie diese Kontrollen einmal in einer Gesamtliste zusammen, so werden Sie vermutlich feststellen, dass bereits ein recht umfassender Kontrollkatalog besteht, der jedoch noch recht unkoordiniert abgehandelt wird.
 

2. Soll-Zustand bestimmen und Lücken identifizieren

Für das IKS gibt es bereits eine Reihe vorgefertigter Standards, an denen man sich beim Aufbau eines eigenen Systems orientieren kann. Beispiele hierfür sind COSO oder COBIT. Eine Risikoanalyse kann Ihnen helfen die vulnerablen Bereiche Ihres Unternehmens zu erkennen. Darauf aufbauend lässt sich dann die Kontrollumgebung erarbeiten, also den Katalog an angemessenen und wirksamen Kontrollen zusammenzustellen.

Anschließend sollte ein Abgleich zwischen dem Soll- ("Welche Kontrollen sind, gemessen an den dafür relevanten Standards und der Risikoanalyse, notwendig?“) und dem Ist-Zustand („Welche davon gibt es bereits? Decken diese die jeweilige Anforderung komplett ab?“) erfolgen, um zu identifizieren, welche Lücken es gibt.

In Hinblick auf die Unterstützung durch Datenanalyse sollte bereits bei der Erstellung des Kontrollkataloges darauf geachtet werden, dass man automatisierbare Kontrollen als solche kennzeichnet. Ziel muss es sein, dass möglichst viele Prüfhandlungen so automatisiert wie möglich ablaufen, um die vorhandene Zeit möglichst effizient einzusetzen, die manuellen Arbeitsschritte zu minimieren und eine Vergleichbarkeit der Ergebnisse zu gewährleisten.
 

3. Umsetzung der Kontrollen

Gemeinsam mit den Fachbereichen müssen nun die Kontrollen etabliert (also designt, dokumentiert und an die zuständige Stelle delegiert), sowie eingeplant und ausgeführt werden. Dabei ist es wichtig, dass

a)    die Automatisierungspotentiale genutzt werden.
b)    die Dokumentation der Kontrolldurchführungen digital erfolgt und in einem Tool stattfindet, welches kollaboratives Zusammenarbeiten erlaubt, um die Nachverfolgung zu vereinfachen und eine nicht mehr bearbeitbare Excel Flut zu verhindern.
c)    die ausführenden Personen so früh wie möglich involviert werden, um Ownership zu schaffen und die Akzeptanz zu erhöhen.
 

4. Erarbeitung eines Überprüfungskonzeptes auf Wirksamkeit

Die einfache Durchführung der Kontrollen reicht für das Aufsetzen eines IKS jedoch noch nicht aus. Es muss auch die Wirksamkeit des IKS getestet werden, um einerseits den Regularien gerecht zu werden, und andererseits die Sinnhaftigkeit des eigenen IKS sicherzustellen. Denn nur effektive Kontrollen haben einen Nutzen für das Unternehmen und verschaffen die notwendige Sicherheit, dass den identifizierten Risiken adäquat begegnet werden kann.

Somit sollte regelmäßig das Kontrolldesign und die Wirksamkeit überprüft werden, um zu verhindern, dass Kontrollen ins Leere laufen, Änderungen in Geschäftsprozessen eine Anpassung nötig machen, oder grundsätzlich Bemühungen angestellt werden, die keinen Nutzen aufweisen.
 

5. Integration als Erfolgsfaktor: Das Zusammenspiel mit anderen Governance- und Kontrollfunktionen

Als Teil der ersten der drei „Lines of Defense“ sollte das IKS jedoch nicht komplett losgelöst betrachtet werden. Schnittpunkte zwischen IKS, Risikomanagement, IT-Sicherheit und der Internen Revision ergeben sich regelmäßig. Daher ist es sinnvoll, dass diese Funktionen sich auch regelmäßig austauschen. So kann das Ergebnis eines Audits der Internen Revision zur Folge haben, dass weitere Kontrollen eingeführt werden sollten.

Auch mit dem Risikomanagement gibt es deutliche Überschneidungen, gerade wenn – was absolut sinnvoll ist im Rahmen der abteilungsübergreifenden Kollaboration - ein integriertes System verfolgt wird. Wie bereits ausgeführt ist beim Design des IKS der risikoorientierte Ansatz zielführend. Auch wird der generelle Umgang mit den Risiken ohnehin über das Risikomanagement gesteuert und dort die Entscheidung getroffen, ob die potentielle Gefährdungen akzeptiert oder mitigiert werden. Bei der Mitigation der Risiken werden dann entsprechende Maßnahmen festgelegt, die sich wiederum über interne Kontrollen überprüfen lassen; der Kreis schließt sich.

Ähnliche Beispiele lassen sich auch für weitere Governance-Funktionen, wie beispielsweise Informationssicherheit oder Business-Continuity, bringen. Wichtig ist jedoch zu verstehen, dass eine Kooperation der Funktionen, auch wenn sie unabhängig voneinander agieren, angestrebt werden sollte.
 

Fortsetzung folgt!

Im zweiten Teil werden wir uns mit der Automatisierung des IKS unter Einbeziehung von Datenanalysen beschäftigen und Ihnen ein paar hilfreiche Tipps mit auf den Weg bringen, wie Sie den Aufwand für ein effizientes IKS reduzieren können. Haben Sie weitere Fragen zu diesem Blogpost oder benötigen Hilfe bei Ihrem Internen Kontrollsystem? Wir unterstützen Sie gerne bei allen Fragen rund um das Thema IKS und helfen Ihnen beim Aufbau oder auch dem Ausbau eines effizienten und wirksamen Systems. Gerne können Sie sich hierfür bei unserem Berater Philipp Kiencke melden, welcher sich unter anderem auf dieses Thema spezialisiert hat.