22.02.2023

Der Aufbau eines effizienten Internen Kontrollsystems im Unternehmen

Teil 2 der Beitragsreihe: Automatisierung eines Internen Kontrollsystems mit Datenanalyse 

Mit dem 2021 erfolgten Erlass des Gesetzes zur Stärkung der Finanzmarktintegrität (FISG) hat der Bundestag eine klare Vorgabe für alle Branchen geschaffen, ein „angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten“ (§91 (3) AktG), sofern es sich um eine börsennotierte Aktiengesellschaft handelt. Vor dieser Neuregelung war die Einrichtung eines internen Kontrollsystems (IKS) lediglich den regulierten Branchen (etwa Banken und Versicherungen) vorgeschrieben. Mit dem Skandal rund um die Insolvenz der Wirecard AG wurde jedoch deutlich, dass weitere, striktere Vorgaben notwendig sind, um den heutigen Anforderungen gerecht zu werden.

Aus diesen Änderungen folgt, dass nun viele Unternehmen gesetzlich verpflichtet sind, ein den genannten Anforderungen entsprechendes IKS aufzubauen. Im ersten Teil unserer Beitragsreihe zum Thema „Aufbau eines Internen Kontrollsystems“ hatten wir uns vor allem mit der Frage beschäftigt, welche Schritte notwendig sind, um ein Internes Kontrollsystem aufzubauen. Dieses liegt nun in Form eines Kontrollkataloges vor; automatisierbare, datengestützte Kontrollen wurden im Teil eins entsprechend erarbeitet und gekennzeichnet. In dem zweiten Teil beleuchten wir diese nun detaillierter und zeigen verstärkt Automatisierungsmöglichkeiten auf Basis von Datenanalysen auf.
 

Warum eine Automatisierung des IKS Sinn ergibt?

Die Durchführung der Kontrollen und das Erkennen von Ausnahmen obliegt in den meisten Fällen weiterhin dem Menschen. Dennoch ist die Mitarbeiterressource in Zeiten von Personal- und Fachkräftemangel ein sehr knappes Gut, welches nach Möglichkeiten nur die Tätigkeiten ausführen sollte, die ein Computer nicht oder nur deutlich schlechter erledigen könnte.

Das beginnt bereits beim Schaffen der für die Analysen notwendigen Datenbasis: Manuelles Extrahieren von Daten aus Systemen wie SAP stellt einen großen Zeitaufwand dar, den es zu verhindern gilt. Auch ist eine Vergleichbarkeit der Auswertungen schwierig, wenn die Extraktionen nicht immer nach demselben Schema erfolgen, und somit die den Analysen zu Grunde liegende Datengesamtheit keinen reproduzierbaren, stabilen Regeln folgt.
 

Welche Kontrollen lassen sich automatisieren?

Nicht alle Kontrollen lassen sich ohne Weiteres mit Datenanalysen automatisieren. Voraussetzung ist natürlich, dass die zu prüfenden Inhalte in digital prüfbarer, strukturierter Form vorliegen. Ist das der Fall, so lässt sich als Faustregel formulieren, dass „binäre Fragestellungen“, also wenn sich eine Frage sehr gut mit Ja oder Nein beantworten lässt und die Regeln dafür entsprechend eindeutig beschreibbar sind, am besten für eine Automatisierung mittels Datenanalyse geeignet sind. 

Um das etwas greifbarer darzustellen, soll ein kleines Beispiel helfen:

Die Unternehmensrichtlinie besagt, dass Einmalzahlungen auf CpD (Conto pro Diverse) nur für Buchungen bis 50 € zulässig sind. 
Die Fragestellung lässt sich mit Ja oder Nein beantworten. 

Ist diese Buchung eine Einmalzahlung, deren Wert über 50 € liegt?
Ebenso lassen sich die Regeln aus der Richtlinie einfach ableiten.

Zahlung ist eine Einmalzahlung und Betrag ist größer als 50 €.
Somit ließe sich diese Fragestellung einfach über eine Datenanalyse abbilden. 

Das soeben beschriebene Beispiel ist bewusst einfach gehalten, um die Faustregel zu verdeutlichen. Natürlich eignet sich die Datenanalyse auch für komplexere Themenstellungen, wie beispielsweise die Prüfung von Steuerkennzeichen oder die fälschlich berechneten Steuern auf Exportgüter; auch umfangreichere Anforderungen lassen sich somit in der Regel gut in Form von digitalen Analysen abbilden.
 

Exkurs: Neue Möglichkeiten durch Künstliche Intelligenz

Auch wenn Datenanalysen basierend auf klar formulierbaren Regeln wünschenswert sind – nicht immer ist diese Voraussetzung gegeben. Die neuen Möglichkeiten, die uns durch die Algorithmen der Künstlichen Intelligenz (KI) eröffnet wurden, helfen dabei, dass auch offenere Fragestellungen, also solche, die sich nicht mit Ja oder Nein beantworten lassen, automatisiert werden können. Zu beachten ist hier jedoch, dass je nach Auswertung, die Zahl der False Positives höher liegen kann, als bei den herkömmlichen Analysen, die eine geschlossene Ja/Nein-Frage abprüfen. Ebenso kann es sein, dass man die KI erst einmal trainieren muss, bis diese von sich aus Kontrollen in ausreichender Qualität ausführen kann.

Als Beispiel kann man hier die Ausreißer-Analyse „unübliche Buchungen“ anführen. Hier ein klares, deterministisches Regelset zu formulieren, welche trennscharf einen üblichen Buchungssatz von einem unüblichen abgrenzt, ist kaum möglich. Die KI erlernt selbstständig beim Vergleichen aller Buchungen, welche davon eher unüblich sind. Diese können unter anderem Fehlbuchungen enthalten, bei denen ein falsches Gegenkonto angegeben, ein falscher Buchungsschlüssel eingetragen oder eine falsche Transaktion verwendet wurde. Natürlich sind als „unübliche Buchungen“ auch Transaktionen denkbar, die in betrügerischer, manipulativer Absicht getagt wurden, und sich in ihrer Struktur bzw. ihren Attributen von „normalen“ Buchungen des Tagesgeschäftes unterscheiden.
 

Was passiert mit den Ergebnissen?

Analyseergebnisse zu produzieren ist das eine, sie weiterzuverarbeiten und eine valide Aussage über die Kontrollen zu habe das andere. Daher ist es mit dem reinen Produzieren von Ergebnissen nicht getan. Vielmehr müssen diese validiert und abgearbeitet werden. Das gilt für alle Arten von Datenanalysen, egal ob deterministisch regelbasiert oder KI-gestützt. Eine Abarbeitung kann die Korrektur von Fehlern, eine Anpassung des Prozesses oder auch eine Änderung am Kontrolldesign bedeuten. Auch kann es sein, dass es bewusste, notwendige Ausnahmen von Regeln gibt, welche durch den Fachbereich rechtmäßig genehmigt wurden. So könnte es auf Grund hohen Zeitdrucks, etwa durch Konventionalstrafen sanktionierte Versäumnisse beim oben genannten CpD-Beispiel nötig sein, eine Ausnahme in Form einer höheren Ausgangszahlung zu genehmigen, da die materiellen Folgen als schwerwiegender zu bewerten sind als das Überschreiten der Regel. Eine gewisse Unschärfe wird somit immer bleiben, auch wenn die Fragestellungen vermeintlich einfach sind.

Die Abarbeitung kann also komplex sein, sollte transparent dokumentiert sein und auf Grund der oft notwendigen abteilungsübergreifenden Zusammenarbeit mit geeigneten kollaborativen Tools geschehen. Gerade bei einer Vielzahl von datengestützten Kontrollen kann die Rundsendung vieler einzelner Dateien an verschiedene zu Versionskonflikten etc. führen. Sinnvoller ist es deshalb, auf professionelle Umgebungen wie Diligent HighBond zu setzen, die sowohl die Kontrollausführung als auch die Ergebnisabarbeitung in Form einer speziellen IKS-Plattform unterstützen; oder aber in einfacheren Szenarien auf teilbare Alternativen mit Microsoft Sharepoint zu setzen.
 

Wie können wir als dab Sie beim Aufbau unterstützen?

„Datenanalyse zu einer Selbstverständlichkeit machen“ lautet die Vision der dab: Daten – Analysen & Beratung GmbH. Seit knapp 20 Jahren entwickeln wir Datenanalysen, insbesondere für SAP-Systeme, welche Fragestellungen aus dem Internen Kontrollsystem umsetzen. Mit den Tools, die wir selbst entwickeln und vertreiben, können wir den gesamten Prozess eines Internen Kontrollsystems in Ihrem Unternehmen effizient abbilden. 

Wir unterstützen Sie dabei, das IKS ganzheitlich in Ihr Unternehmen zu integrieren, das bedeutet, dass wir sowohl die Datenanalyse als auch das IKS-Management mit unseren Softwarelösungen abbilden. Und falls Sie Ihre Kontrollen bereits in entsprechender IKS-Software abgebildet haben und Ihnen nur noch die Datenautomatisierung, etwa im Bereich SAP, fehlt, stehen wir Ihnen mit unseren umfangreichen, sofort einsatzfähigen Kontrollkatalogen und Analyselösungen ebenfalls gerne zur Seite.

Unsere standardisierten Abfragen eignen sich für SAP R/3, ECC ebenso wie für SAP S/4HANA. Unsere Referenzen im Zusammenspiel von IKS und SAP-Systemen sind exzellent und umfassen internationale Konzerne jeder Größenordnung.

Haben Sie Fragen zu unseren Produkten und Services im Kontext des IKS, dann können Sie sich jederzeit gerne an unseren Berater Philipp Kiencke oder Kolleginnen und Kollegen wenden.


Kommentare (0)
Sei der erste, der diesen Blog-Beitrag kommentiert.
Blog Anmeldung

Sie sind nicht angemeldet. Bitte melden Sie sich an um diesen Blogbeitrag zu kommentieren.

anmelden