Viele Unternehmen standen oder stehen noch der Herausforderung gegenüber, ein unternehmensweites Internes Kontrollsystem (IKS) zu implementieren bzw. ihr vorhandenes weiterzuentwickeln, nicht zuletzt weil der Gesetzgeber einen starken Fokus auf dieses Thema legt (z.B. BilMoG). Ist dieses Vorhaben (i.d.R. im Rahmen eines Projektes) abgeschlossen, trägt jedes Unternehmen nun das Risiko, dass unzählige Kontrollen und Kontrollziele erfasst wurden, das IKS an sich jedoch nicht „gelebt“ wird. Dieser Artikel beschäftigt sich mit notwendigen Schritten, die während und nach Beendigung des Projektes zu beachten sind, um zu gewährleisten, dass die erfassten Kontrollziele permanent und umfassend im Blick bleiben und weitestgehend erreicht werden, um somit drohende Risiken, meist die operationellen, dauerhaft zu minimieren.
Die folgende Aufzählung enthält einige dieser Schritte, die im weiteren Verlauf des Artikels (u.a. mit möglichen Lösungsansätzen) noch konkretisiert werden, jedoch erhebt sie keinen Anspruch auf Vollständigkeit. Sie ist angelehnt an die Bausteine "Kontrollumfeld", "Information/Kommunikation" und "Monitoring" des COSO-Frameworks:
- Die wichtigste Voraussetzung für ein Kontrollsystem und sicherlich die, die am schwierigsten umzusetzen ist, ist die Schaffung eines Kontrollbewusstseins im Unternehmen. Wenn nicht eindeutig und über alle Instanzen hinweg kommuniziert wird, was ein Kontrollsystem ist und welchen Zweck es hat, dann kann es zu einer abneigenden Haltung führen, denn der Begriff "Kontrolle" wirkt ohne nähere Erläuterungen, insbesondere in den operativen Bereichen, abschreckend.
-
Die meisten IKS-Projekte verlaufen von der Durchführung her ähnlich. Es werden Prozesse identifiziert, bei denen die Kontrollen erfasst werden sollen. Die Projektleitung und eine Auswahl von Prozessverantwortlichen setzen sich in mehreren Treffen zusammen, überlegen sich – nicht selten unter hohem Zeitdruck –, welche Risiken vorhanden sind bzw. welche Kontrollziele erfüllt werden müssen und ermitteln die dazugehörigen Kontrollen. Diese Methodik ist ein sehr guter erster Schritt, jedoch sollte hier das Unternehmen anschließend eine Qualitätssicherung der erfassten Kontrollen und Kontrollziele durchführen. Können überhaupt die Kontrollen problemlos durchgeführt werden? Sind die erfassten Kontrollen, auch wenn sie gut gestaltet und ausgeführt werden, ausreichend, um das Risiko zu minimieren? Oder führt die erfasste Kontrolle überhaupt zum gewünschten Ergebnis (Z.B.: Die erfasste Kontrolle kann lauten: „Analyse“. Eine Analyse allein jedoch reicht nicht aus, sondern erst die daraus abgeleitete Maßnahme ist wirksam)? Diese und weitere Fragen gilt es zu klären.
- Für eine ordnungsgemäße Durchführung von Kontrollen (und der Prozesse an sich) ist es notwendig sicherzustellen, dass den Mitarbeitern alle notwendigen Informationen in geeigneter Form vorliegen, aber auch, dass Mitarbeiter Informationen an die richtigen Stellen weiterleiten können. Dies setzt entsprechende Kommunikationswege voraus. Aber nicht nur für die Kontrolldurchführung ist ein Informations- und Kommunikationswesen wichtig. In der heutigen Zeit können Prozesse sich sehr schnell ändern oder werden durch Umstrukturierungen neu geschaffen. Dies erfordert ein rechtzeitiges Handeln in Bezug auf die Anpassung des IKS, vor allem wenn gesetzliche Anforderungen die Änderungsursachen sind.
- Ein weiterer wichtiger Erfolgsfaktor für ein effektives IKS ist ein passendes Überwachungssystem. Dies benötigt eine lückenlose Dokumentation der Kontrollen und der Kontrollverantwortlichen, aber auch Informationen zur Kontrollausführung. Aus diesen Informationen sollte im Anschluss ein Gesamtbericht generiert werden, der Aufschluss über die Gesamtkontrollsituation liefert. Für die Durchführung dieser Schritte bietet der Markt spezielle IKS-Anwendungen, welche eingesetzt werden können, da herkömmliche Tabellenkalkulations- und Schreibprogramme hier an ihre Grenzen stoßen.
Förderung des Kontrollbewusstseins
Um die Mitarbeiter eines Unternehmens ausreichend für das Thema IKS zu sensibilisieren, ist es wichtig, ein Schulungskonzept zu erstellen, welches parallel zum Projekt oder direkt im Anschluss angewendet und über die Zeit modifiziert wiederholt wird. Die Möglichkeiten der Ausgestaltung und Umsetzung dieses Konzeptes sind vielfältig und hängen sicherlich auch von der Unternehmensgröße ab. Wichtig ist hierbei, das Schulungskonzept strukturiert bzw. modular aufzubauen. Höhere Managementebenen benötigen andere Kenntnisse als die Mitarbeiter in den operativen Bereichen, die bspw. aktiv das Dokumentations- und Überwachungstool pflegen müssen. Dennoch empfiehlt es sich, zu Beginn der Schulungen einen Grundbaustein für alle Instanzen einzusetzen, bei dem Grundkenntnisse vermittelt werden. Erfahrungen haben gezeigt, dass auch auf Managementebene durchaus Wissenslücken in Bezug auf Kontrollen vorliegen können. Der folgende Abschnitt nimmt Bezug auf die Inhalte, die geschult werden sollten. Die Ausgestaltung und Umsetzung, wie bspw. mit Hilfe von Computerlernprogrammen, bleibt dabei unberücksichtigt.
Der eben erwähnte Grundbaustein sollte grundlegende Kenntnisse vermitteln. Hierzu gehören:
• Definition einer Kontrolle
Kontrolle ist nicht gleich Kontrolle. Das Schulungsziel sollte neben der bloßen Nennung der Definition sein, allen Mitarbeitern aufzuzeigen, dass es nicht Sinn und Zweck ist, ihre Arbeit zu „kontrollieren“, sondern es lediglich darum geht, durch Maßnahmen Kontrollziele zu erfüllen und gleichzeitig Risiken zu minimieren.
• Gesetzliche Grundlagen und Ziele eines IKS
Für die Förderung des Kontrollbewusstseins sollte bei diesem Punkt vor allem der Zweck eines IKS aus Unternehmenssicht hervorgehoben werden. Liegt die Betonung auf den gesetzlichen Anforderungen, besteht die Gefahr, dass der Empfänger das Thema als eine „lästige“ Anforderung sieht. Das Resultat könnte sein, dass man eine gute Dokumentation nur erstellt, um den Prüfer zufriedenzustellen, das IKS dabei aber nicht „gelebt“ wird.
• Wesen eines IKS
Dieser Punkt sollte an dieser Stelle die Funktionsweise eines IKS aufzeigen, d.h. von der Ermittlung der Risiken bzw. Kontrollziele bis hin zum Zweck des Überwachungssystems. Auch sollten die Verantwortlichkeiten genannt werden (wer ist für die Implementierung von Kontrollen zuständig, wer für die Durchführung und wer für die Überwachung?). Orientiert man sich an bekannten Frameworks, wie bspw. COSO, dann sollte dies ebenfalls hier erläutert werden.
• Arten von Kontrollen und Beispiele
Durch die Irreführung des Wortes „Kontrolle“ an sich, ist man ohne nähere Instruktionen dazu geneigt, an nachgelagerte Maßnahmen zu denken, z.B. 4-Augen Prinzip. Es ist daher notwendig, weitere Kontrollarten zu erwähnen und diese auch mit Beispielen zu hinterlegen, bspw. Arbeitsanweisungen oder systemseitige Plausibilitätsprüfungen als präventive Kontrollen.
Weiterführende Schulungsbausteine sollten bedarfsgerecht angeboten werden. Während die Managementebene instruiert werden sollte, dass diese u.a. a) eine Vorbildfunktion hat und das IKS „vorleben“ sollte und b) verantwortlich für die Schaffung eines Kontrollumfeldes ist, müssen die operativen Bereiche wissen, wie man bspw. Kontrollen im System pflegt. Es empfiehlt sich auch, die Mitarbeiter in Bezug auf das Thema „Betrug im Unternehmen“ zu sensibilisieren.
Neben den Schulungen sollte den Mitarbeitern außerdem ein regelmäßiges Feedback über ihre Arbeit, die Entwicklung und den Erfolg des IKS gegeben werden. Dadurch bleibt das Thema präsent und die Mitarbeiter erkennen, dass ihr Bemühen der Förderung eines Gesamtziels dient.
Qualitätssicherung der erfassten Kontrollen und Kontrollziele
Wie zu Beginn erwähnt, sind die Kontrollerfassungen für die Prozesse, im Rahmen eines Projektes, ein erster wichtiger Schritt. Jedoch kann nicht gewährleistet werden, dass diese Kontrollen effektiv oder überhaupt geeignet sind (auch aus wirtschaftlicher Sicht), um die Kontrollziele zu erfüllen. Eine während des Projektes parallele Wirksamkeitsprüfung ist insbesondere in größeren Unternehmen schwer zu realisieren. Daher sollten solche Prüfungen im Anschluss stattfinden, z.B. durch die Interne Revision. Diese kann aber meist aufgrund ihrer Ressourcen nicht alle Kontrollen zeitnah überprüfen. Daher ist es wichtig, eine Verbindung zwischen den Ergebnissen des IKS-Überwachungsprozesses und der Internen Revision herzustellen. Weist das IKS-Monitoring kritische Kontrollen aus, so kann die Interne Revision frühzeitig diese Kontrollen in ihre Planung mit aufnehmen. Natürlich soll die Kommunikation in beide Richtungen erfolgen. Auch die Interne Revision hat sicherlich Informationen, die im IKS berücksichtigt werden sollen.
Einer Qualitätssicherung sollten aber nicht nur die Kontrollen in den hausinternen Prozessen unterzogen werden, sondern auch die Kontrollen in den ausgelagerten Prozessen. Dies ist vor allem wichtig, wenn Unternehmen einer Prüfung nach SSAE16 (bzw. ISAE 3402) unterzogen werden.
Informations- und Kommunikationswesen
Dieses Thema ist unter IKS-Gesichtspunkten ein sehr umfangreiches. Es beginnt bei der Analyse der Unternehmenskultur, die Grundvoraussetzung für ein ordnungsgemäßes Informations- und Kommunikationswesen ist, reicht über eine Bewertung der allgemeinen Informationssysteme, wie bspw. Intranet, und könnte auch Themen wie die anonyme Meldung von Verdachtsfällen („Whistleblowing“) berücksichtigen. Gemeinsam verfolgen diese Punkte das Ziel, wichtige Kontrollinformationen zur Verfügung zu stellen und an die richtige Stelle zu leiten. Problematisch wird es jedoch, wenn in einem Unternehmen organisatorische Änderungen stattfinden oder sich die Gesetzeslage ändert. In diesen Fällen muss sichergestellt werden, dass diese Änderungen zeitnah im IKS Berücksichtigung finden. Entweder müssen die Kontrollen angepasst werden, um die Kontrollziele zu erreichen, oder neue Prozesse verändern die Risikosituation und neue Kontrollziele sind erforderlich.
Für die Sicherstellung einer im Bedarfsfall zeitnahen IKS-Anpassung gibt es mehrere Lösungsansätze. Um rechtzeitig auf externe Veränderungen reagieren zu können, haben viele Unternehmen für wichtige Themengebiete „Beauftragte“ abgestellt, die regelmäßig über dieses Themengebiet Informationen einholen, sei es durch Newsletter oder eigenständige Recherchen. Unternehmensintern kann eine Arbeitsanweisung oder Checkliste helfen. Z.B. hat eine Betriebsorganisation die Aufgabe, bei Umstrukturierungen eine Meldung an den IKS-Beauftragten zu machen, der weitere Schritte einleitet.
Die eben erwähnten Ansätze können sicherlich hilfreich sein, reichen aber i.d.R. nicht aus, um eine ausreichende Sicherheit zu gewährleisten. Die Risiken sind hier, dass der Mitarbeiter in der Flut von Informationen die wichtigen Details überliest, falsche Quellen heranzieht oder dass die o.g. Arbeitsanweisungen im Beispiel nicht zeitnah umgesetzt werden. Abhilfe kann hier z.B. eine technische Unterstützung schaffen, welche ursprünglich für das Compliance Management eingesetzt wird. Das „Compliance Portal“ (eine Lösung der Valial Solution GmbH und Partnerunternehmen) übernimmt die automatische Überwachung von Inhalten aus Webseiten, Emails, Datensätzen in Datenbanken oder auch von Dateien und alarmiert eine verantwortliche Person (z. B. den Kontrollverantwortlichen oder den Compliance Manager), sobald eine Änderung bei den überwachten Inhalten stattfindet. Der Verantwortliche kann zeitnah reagieren und eine Anpassung am IKS vornehmen.
Dokumentation und Überwachung eines IKS
Ein wirksames Überwachungssystem hängt von der Art ab, wie das IKS dokumentiert worden ist, dem Berichtswesen und dem IKS-Dokumentationstool, das zur Unterstützung eingesetzt wird. Die Dokumentation sollte neben der Erfassung der Kontrolle und dem Kontrollziel noch folgende Informationen bereitstellen:
• den Kontrollverantwortlichen
• die Kontrollfrequenz bzw. den Kontrollzeitpunkt
• Information zur Kontrollausführung (Bewertung der Kontrolle)
• die Verbindung der Kontrolle zu dem dazugehörigen Prozess (Zuordnung)
Aus den eben erwähnten Informationen kann ein effektives Berichtswesen aufgebaut werden, welches vor allem die Aufgabe hat, eine Aussage über den Zustand des IKS zu treffen und dabei auf kritische Kontrollen und nicht erreichte Kontrollziele hinzuweisen.
Die Generierung eines Berichtes mit einer Aussage zum IKS und die kontinuierliche Pflege der Dokumentation sind mit den gängigen Tabellenkalkulationsprogrammen kaum durchführbar, vor allem wenn das Unternehmen größere Strukturen mit mehreren Organisationseinheiten aufweist. Hierfür ist der Einsatz eines IKS-Dokumentationstool die bessere Alternative. Ein solches Tool hat vor allem den Vorteil, dass mehrere Organisationseinheiten über ein zentrales System ihre Kontrollen pflegen können und mit Hilfe von Benachrichtigungsfunktionen einzelne Personen (z. B. die Kontrollverantwortlichen) automatisch an einzelne Kontrollen, die einen nicht zufriedenstellenden Zustand aufweisen und eine Überprüfung benötigen, erinnert werden.
Wer die Vorteile eines IKS-Dokumentationstools in der Praxis kennenlernen möchte, hat die Möglichkeit, bei der compliance-net GmbH eine kostenlose und unverbindliche Vorstellung des IKS-Dokumentationstools „compliance app“ zu erhalten und diese auch testhalber in seinem Unternehmen einzusetzen (Hinweis: Dies gilt auch für das „Compliance Portal“).
Zusammenfassung
Die Gefahr, dass das Vorhaben „Implementierung bzw. Weiterentwicklung des eigenen IKS in Bergen von nicht „gelebten“ Papieren endet, ist sehr groß. Sie kann aber durch die Beachtung einiger Schritte, wie bspw. in diesem Artikel beschrieben, begrenzt werden. Die Verankerung eines Kontrollbewusstseins bei den Mitarbeitern und dem Management bildet dabei die Basis und darf nicht unterschätzt werden. Zielgerichtete, richtig eingesetzte Tools können helfen, den gewünschten Projekterfolg dauerhaft zu sichern.