Riskmanagement & IKS News

Mitarbeiter wissen, dass Kontrollen nützlich sind. Sie kontrollieren ihre Arbeitsschritte selbst – intuitiv oder mit Checkliste – damit ihr Arbeitsergebnis stimmt.

Trotzdem kann die Einführung von Kontrollen die Kontrollierten aber verunsichern. «Ist man nicht mehr zufrieden mit meiner Arbeit? Bis jetzt war doch alles auch ohne Kontrolle gut.»

Kontrollsystem vs. Steuerungssystem

Die Verunsicherung potenziert sich, wenn gleich ein ganzes Kontrollsystem eingeführt wird. Den Einsatz und Nutzen eines internen Kontrollsystems (IKS) zu vermitteln, ist deshalb nicht ganz trivial, auch da die einzelnen Worte des Begriffs eher negativ konnotiert sind.

Zu Intern: Besser als interne Kontrolle wäre Selbst-Kontrolle. Die Kontrollen erhöhen die Verlässlichkeit des Arbeitsbeitrags und zeigen Risikoevents an.

Zu Kontrolle: Das Wort «Controls» – so der ursprüngliche Begriff aus den USA – bedeutet nicht Überwachung, sondern etwas unter-Kontrolle-halten. Das IKS ist kein Big-Brother-is-watching-you-System.

Zu System: Besser wäre gar nicht von System zu sprechen, oder es wenigstens so zu bezeichnen, was es im Idealfall wirklich ist – ein Steuerungs- oder Führungsinstrument.

Das übergeordnete Ziel bei der Einführung oder Erneuerung eines IKS muss es sein, eine Unternehmenskultur zu schaffen, in der die Einhaltung von (Compliance-)Richtlinien in tägliches Handeln integriert ist und von allen als wertvolle Unterstützung für ihre Arbeit empfunden wird.

Management-Verantwortung

In vielen Unternehmen liegt die Verantwortung für das IKS im Finanzbereich. Nicht zuletzt deshalb, weil die Wirtschaftsprüfer jährlich die Existenz des IKS bestätigen müssen. Diese Formalität führt dazu, dass das IKS in den Unternehmen oft als reine «Finanz-Sache» behandelt wird und nicht als Steuerungssystem für das ganze Unternehmen zum Einsatz kommt.
Glücklicherweise gibt es einen Positionsbezug der wichtigsten Berufsorganisation im Thema Überwachung der finanziellen Führung – dem Institute of Internal Auditors (IIA) – dazu. Das IIA hat das IKS nämlich bereits vor drei Jahren zu einem Teil des (unternehmensweiten) Riskmanagements erklärt.

Das IIA schreibt: «Das Leitungsorgan bestimmt die Risikobereitschaft der Organisation und übt die Aufsicht über das Risikomanagement (inkl. der internen Kontrollen) aus.

Das Management

• errichtet und unterhält geeignete Strukturen und Prozesse für das Management des Betriebs und der Risiken (inkl. interner Kontrollen).
• entwickelt, implementiert und verbessert kontinuierlich die Risikomanagementpraktiken (inkl. interner Kontrollen) auf Prozess-, System- und Entitätsebene.

• stellt das Erreichen der Risikomanagement-Ziele sicher, wie z. B. Einhaltung von Gesetzen, Regulierungen und akzeptablem ethischem Verhalten, interne Kontrollen, Informations- und Technologiesicherheit, Nachhaltigkeit und Qualitätssicherung.
• stellt Analysen und Berichte über die Angemessenheit und Wirksamkeit des Risikomanagements (inkl. interner Kontrollen) bereit.»

Jetzt muss die Praxis nur noch der Lehre folgen und die organisatorische Trennung zwischen IKS und Risikomanagement auflösen, womit das IKS als Teil des Riskmanagements endlich von strategischer Bedeutung wird.

Fazit: Trotz offensichtlichem Nutzen wie Qualitätssicherung, Kundenzufriedenheit und Risikominimierung sind Kontrollen bei Mitarbeitenden und auch bei Vorgesetzten unbeliebt, wenn sie sie als Überwachung auf Fehlverhalten empfinden.

Sobald die Mitarbeiter aber als wertvolle Partner am Prozess beteiligt sind, verstehen sie den Nutzen ihres (Kontroll-)Beitrag zur Steuerung und Entwicklung des Unternehmens.

Diese Entwicklung wird unterstützt, wenn das Finanz-IKS zu einem Unternehmens-IKS aufgewertet wird, und es ins Enterprise Risk Management integriert wird.