Die ersten drei Teile dieser Folge und weitere Beiträge zum Thema finden Sie hier.
Das Interne Kontrollsystem einer Organisation wird bevorzugt in einer sogenannten „Kontrollmatrix“ dokumentiert. In diesem Teil unserer Reihe möchten wir nun aufzeigen, welche Elemente eine solche Kontrollmatrix enthalten kann. Die Kontrollmatrix ist natürlich nur eine Dokumentation der Realität und ist in sich nur dann etwas wert, wenn der darin dokumentierte Zustand auch tatsächlich in der Organisation gelebt wird und implementiert ist. Selbstverständlich muss eine solche Kontrollmatrix individuell an die Bedürfnisse und Struktur einer Organisation angepasst werden. Die nachfolgenden Elemente sollten als Startpunkt betrachtet werden und sind „praxiserprobt“.
Da es in hier häufig Missverständnisse gibt, soll Folgendes klargestellt werden: Wichtig ist, dass diese Kontrollen routinemäßig im Geschäftsprozess implementiert sind. Die beschriebenen Kontrollaktivitäten sind nicht das Prüfprogramm zur prozessexternen (z.B. durch die Revision oder Abschlussprüfung) Beurteilung der Wirksamkeit des IKS, sondern stellen die Tätigkeiten dar, die in der Organisation ständig durchgeführt werden. Eine Revision überwacht die Wirksamkeit dieser Mechanismen.
Die Kontrollmatrix ist eine zweidimensionale Abbildung von deutlich komplexeren Strukturen. Daher stößt sie natürlicherweise an Grenzen, die in der Praxis jedoch handhabbar sind. Beispielsweise müssen für Kontrollen, die in mehreren Organisationsteilen eingerichtet sind, entsprechend mehrere Zeilen für die Abbildung herangezogen werden.
Andererseits mag es Fälle geben (z.B. Shared-Services oder Informationstechnologie), in denen eine einzige Kontrolle Einfluss auf mehrere Prozesse oder Organisationseinheiten nimmt. Bei der Dokumentation solcher Sachverhalte muss entsprechend umsichtig vorgegangen werden, damit eine Analyse, Wirksamkeitsprüfung und die laufende Aktualisierung effizient und konsistent erfolgen können.
Prozessbeschreibung
Die Grundlage jeder Kontrollstruktur ist eine Beschreibung des Prozesses, um die Abläufe grundlegend zu verstehen und sachgerechte Kontrollen definieren zu können. Für einen Prüfer (intern oder extern) ist die Prozessbeschreibung immer die erste Adresse, um einen Einstieg zu finden und eine Beurteilung der Kontrollstrukturen vornehmen zu können.
Formale Vorschriften für Prozessbeschreibungen gibt es im Normalfall nicht; Diagramme und Flowcharts werden zwar gern genutzt, sind jedoch aufwändig zu erstellen. In vielen Unternehmen liegen auch Prozessbeschreibungen (grafisch oder nicht grafisch aufbereitet) vor und können als Grundlage herangezogen werden.
Der notwendige Aufwand der Erstellung angemessener Prozessbeschreibungen darf nicht unterschätzt werden.
Organisationsstruktur
Es ist festzulegen, welche Organisationsstrukturen in der Kontrollmatrix reflektiert werden sollen. Denkbar sind hier zum Beispiel Regionen (USA, EMEA, Asien), Gesellschaftsstrukturen (z. B. xyz GmbH, abc Ltd.) oder eine Einteilung nach Zuständigkeiten. Wichtig ist, dass die Einteilung den Reportingerfordernissen genügt und zugleich eine sinnvolle Aufteilung bei der Bewertung des IKS ermöglicht.
Unbedingt ist zu beachten, dass Kontrollen, die für mehrere Organisationseinheiten Gültigkeit besitzen, entsprechend reflektiert sind. Hier erfordern Reporting (für jede betreffende Einheit) und Durchführung (nur ein Mal) einen Kompromiss in der Abbildung, wenn man nicht ein durch eine Datenbank gestütztes System verwendet. Es kann also durchaus angezeigt sein, die Organisationsstruktur mit mehreren Feldern und ggf. Verweisen abzubilden, um den Erfordernissen bei Dokumentation, Auswertung und täglicher Nutzung der Kontrollmatrix zu entsprechen.
Prozessbereich
Typischerweise findet eine Unterscheidung nach Prozessbereichen statt, um das Gesamtsystem in Teilbereiche zu zerlegen und idealerweise eine Abbildung der Zuständigkeiten der Prozesseigner (bzw. „Process Owner“) zu erreichen. In diesem Kontext darf der Hinweis nicht fehlen, dass die Definition von „Process Ownern“ und deren Ausstattung mit Ressourcen (z.B. Zeit) sowie Kompetenzen einen signifikanten Beitrag zum Erfolg von Projekten zur Implementierung eines IKS leistet. Auch die Behebung von Schwächen erfolgt erheblich zuverlässiger, wenn jemand die Verantwortung trägt.
Im Prozessbereich IT ist in vielen Fällen noch eine Untergliederung nach IT-Organisation oder auch Applikation erforderlich, um eine klare Trennung und strukturierte Vorgehensweise sicherzustellen.
An dieser Stelle sei erwähnt, dass es für jede Kontrolle einen Eigner geben sollte, der in weniger komplexen Umfeldern durchaus mit dem Prozesseigner identisch sein kann.
Kontrollziel bzw. Risiko
Hier wird formuliert, welches Ziel im Prozessbereich mit den zugeordneten Kontrollen erreicht werden soll. Die Kontrollziele sollten sich aus den Risiken ableiten; häufig wird auch eine Formulierung des Risikos gewählt und nicht das Ziel formuliert. In vielen Fällen lässt sich das Kontrollziel als „negative“ Formulierung des betreffenden Risikos umsetzen.
Es ist wichtig, dass die Kontrollziele in ihrer Gesamtheit die identifizierten Risiken abdecken und klar mit den zugehörigen Vorschriften verbunden werden; insbesondere, wenn das Kontrollsystem mehrere Vorschriften zugleich erfüllen soll. Eine beispielhafte Formulierung eines Kontrollziels kann lauten: „Es ist sichergestellt, dass nur Eingangsrechnungen gezahlt werden, denen eine genehmigte Bestellung und ein entsprechender Wareneingang zugrunde liegt.“ Das zugehörige „negativ“ formulierte Risiko lautet hier: „Es besteht das Risiko, dass unberechtigte Rechnungen gezahlt werden.“
Vorschrift
Hier sollte hinterlegt werden, welcher Vorschrift ein Kontrollziel bzw. die zugehörigen Kontrollen entsprechen sollen. Dies können durchaus mehrere unterschiedliche Vorschriften sein, die eine Organisation erfüllen muss, also „compliant“ (hier ist der Begriff – falls Sie ihn vermisst haben!) sein muss.
Als Vorschriften sind unterschiedliche denkbar, bspw: SOX, BilMoG, Good Manufacturing Practices, GoB/GoBS, J-SOX oder der FCPA.
Sicher ist es für eine Organisation nicht nur wichtig, diese Vorschriften auch zu erfüllen, sondern auch zu erkennen, wo das Risiko von doppelter Arbeit (und sei es nur zur Dokumentation) besteht und dieses zu vermeiden. Eine zentrale, übergreifende Betrachtung und Zusammenführung aller Aktivitäten zur Erfüllung von Vorschriften ist also sehr sinnvoll, wenn man ohnehin diesbezüglich aktiv ist.
Bewertung Kontrollziel
Hier kann als Ergebnis von Prüfungen/Beurteilungen hinterlegt werden, ob das Kontrollziel erreicht wird.
Diese Einstufung erfolgt sinnvollerweise auf zwei Ebenen:
- Sind die Kontrollaktivitäten, die dem Kontrollziel zugeordnet sind, geeignet, das Kontrollziel zu erreichen? Bei dieser Betrachtung ist davon auszugehen, dass die Kontrollen vollständig wirksam sind. Lautet die Antwort, dass dies nicht der Fall ist, dann liegt ein Problem mit dem Kontrolldesign vor und es kann/Muss (aus Effizienzgründen) möglicherweise von einer weiteren Prüfung der Kontrollaktivitäten abgesehen werden.
- Nach Durchführung der Prüfung der einzelnen Kontrollen ist auf Basis der insgesamt erzielten Ergebnisse zu entscheiden, ob das Kontrollziel erreicht wird; insbesondere, wenn einzelne Kontrollen als nicht wirksam identifiziert werden, ist dieser Schritt von entscheidender Bedeutung und erfordert häufig erhebliches „professional judgement“ und eine entsprechende Erfahrung.
Kontrollaktivität
Hier wird beschrieben, welche Aktivität in der Organisation routinemäßig ausgeführt wird, um einen Beitrag zur Erreichung des Kontrollziels zu leisten. Hierbei ist zu definieren, wer wann welche Arbeiten vornimmt und wie in den verschiedenen möglichen Fällen (Ergebnisse der Kontrolle) zu verfahren ist.
Die Beschreibung muss alle Aspekte beinhalten, die sicherstellen, dass die Aktivität wirksam ist. Wesentlich ist auch, dass sichergestellt ist, dass die zuständigen Mitarbeiter (-gruppen) auch tatsächlich wissen, was zu tun ist; also ist die Information/Kommunikation entsprechend zu berücksichtigen. Dies kann als eigene Aktivität (z.B. Herausgabe von Verfahrens/Arbeitsanweisungen) erfolgen oder durch aktivitätenbezogene Schritte.
Die Kontrollaktivität muss daran ausgerichtet sein, was sie erreichen soll, und nicht ein formaler Schritt sein, der keinen effektiven Beitrag leistet. Kontrollaktivitäten können unterschiedliche Attribute tragen, die eine Erweitungsmöglichkeit der Kontrollmatrix darstellen (s.u.).
Key Control
Hier wird dokumentiert, ob eine Kontrolle wesentlich für die Erreichung des Kontrollziels oder eher von untergeordneter Rolle ist. In vielen Fällen möchten Unternehmen auch Kontrollen festhalten, die keine „Key Controls“ sind. Um jedoch sicherzustellen, dass bei der Prüfung sowie der Behebung von Schwachstellen fokussiert vorgegangen werden kann, ist eine Kennzeichnung der wirklich wichtigen Kontrollen unabdingbar.
In der Vergangenheit wurden in einer Reihe von Unternehmen bereits einige Projekte zur Identifikation solcher wirklich wichtigen Kontrollen durchgeführt. Hier sind erhebliche Effizienzgewinne zu erzielen und insofern sollte diese Betrachtung von Anfang an die notwendige Aufmerksamkeit erhalten.
Bewertung des Kontrolldesigns der einzelnen Kontrolle
Hier wird für die später eventuell notwendige Nachbesserung (“Remediation“) festgehalten, ob die Kontrolle so gestaltet ist, dass sie in sich wirksam sein kann. Sollte dies nicht der Fall sein, muss das Design geändert und neu dokumentiert werden. An dieser Stelle erfolgt noch keine Prüfung, ob sie wirklich eingehalten wird. Sollte das Design Schwächen aufweisen, kann die Prüfung der Wirksamkeit normalerweise ohnehin entfallen.
Kontrolltest
Hier wird das Ergebnis des Tests und ggf. Verweise auf die Testdokumentation und den Prüfungsansatz hinterlegt. Der Testplan (also die Schritte für die Prüfung der Wirksamkeit der Kontrolle) kann hier ebenfalls hinterlegt werden, in komplexeren Umfeldern wird dieser in einem separaten Feld dokumentiert.
Bewertung der Wirksamkeit
Auf Basis der durchgeführten Tests wird hier die Einschätzung der Wirksamkeit der Kontrolle erfasst. Wichtig ist, von vornherein ein Bewertungsschema zu definieren, damit später Auswertungen erstellt werden können und die Ergebnisse vergleichbar sind. In der Praxis haben sich Einschätzungen, die lediglich „wirksam“ und „nicht wirksam“ umfassen, nicht bewährt. Um unterschiedliche Abstufungen von Schwächen abzubilden, sollten weitere Einstufungen vorgesehen werden, wie beispielsweise „wirksam, aber Dokumentationsschwächen“ oder „grundsätzlich wirksam, jedoch Verbesserungspotenzial“. Wichtig ist natürlich, trotz dieser Abstufungen ein ausreichend „strenges“ Bewertungsschema einzuhalten, denn eine verfälschte, zu „milde“ Einschätzung nutzt der Organisation mittelfristig nichts.
Weitere Attribute/Erweiterungsmöglichkeiten
Die dargestellten Merkmale können natürlich um beliebige Attribute ergänzt und erweitert werden. Hier sollte die Frage der Effizienz und des Informationsgewinns gegeneinander abgewogen werden. Nachfolgende Beispiele sollen verdeutlichen, welche Aspekte dies in der Praxis sein können:
Der Prozessbereich kann um ein Element ergänzt werden, das eine Beurteilung beinhaltet, inwieweit die für den Prozessbereich formulierten Kontrollziele dem Prozess und den durch das Unternehmen identifizierten Risiken gerecht werden.
Die Kontrollaktivitäten können nach „präventiven“ (vorbeugenden) und „detektiven" (aufdeckenden) Kontrollen unterschieden werden. Weitere Attribute, die beispielhaft ergänzt werden können, stellen dar, ob die Kontrolle folgenden Zwecken dient:
- Vollständigkeit
- Richtigkeit
- Zeitgerechtheit
- Autorisierung der Geschäftsvorfälle
- Überwachung der tatsächlichen Ausführung von Kontrollaktivitäten („Monitoring Control“)
Zu jeder Kontrolle kann die Vorgehensweise bei der Prüfung der Wirksamkeit der Kontrolle (Testplan) in einem eigenen Feld hinterlegt werden. In einfachen Umfeldern ist dies jedoch i.d.R. verzichtbar.
In dieser Darstellung sind die Konsequenzen aus der Bewertung (insbesondere negativer Testergebnisse) nicht enthalten. Jede Organisation muss selbst definieren, wie mit identifizierten Schwachstellen umgegangen werden soll. Häufig wird im Bedarfsfall eine Verantwortlichkeit und ein Zieldatum für die Beseitigung einer Schwachstelle hinterlegt.
Zusammenfassung
Der hier dargestellte Aufbau einer Kontrollmatrix beinhaltet nicht alle denkbaren Attribute und Strukturen. Er kann jedoch helfen, mit vertretbarem Aufwand eine Dokumentation zu schaffen, mit der Organisationen das Thema beginnen können. Die Limitierungen einer einfachen Tabelle bringen natürlich die Notwendigkeit mit sich, ggf. Einträge doppelt oder redundant zu erfassen, wenn beispielsweise mehrere Vorschriften mit einer Kontrolle erfüllt werden. Ebenso sind übergreifende Themen, wie IT mit besonderer Aufmerksamkeit zu behandeln.
Diese Sachverhalte zeigen auf, dass es sinnvoll sein kann, eines der am Markt verfügbaren Tools einzusetzen. Wir haben geplant, über diese Tools einen gesonderten Beitrag zu veröffentlichen.
Zwar sollte für einen pragmatischen Start nicht die Perfektion der Abbildung im Vordergrund stehen, sondern die Inhalte des implementierten Kontrollsystems, aber die Limitationen einer einfachen Tabelle sind langfristig sicher nicht akzeptabel. Unser beigefügtes Beispiel einer in Microsoft EXCEL abgebildeten Kontrollmatrix soll diesen „Startpunkt“ illustrieren und kann als solcher sicher verwendet werden, auch wenn sie keinen Anspruch auf Perfektion erhebt.
Wir möchten Ihnen demnächst beispielhafte Inhalte und „Best Practices“ sowie schlechte Beispiele von Kontrollen bzw. Kontrollaktivitäten näher bringen. Bitte schreiben Sie uns oder nutzen Sie unser Diskussionsforum. Wir tragen die Beispiele zusammen und hoffen, dass alle unsere Leser davon profitieren können.
Wie immer freuen wir uns über Rückmeldungen! Schreiben Sie uns eine E-Mail!