Riskmanagement & IKS News
Nur dynamisches Risk Handling bringt Wirkung
Massnahmen- oder interne Kontrollpläne werden typischerweise in einer statischen Tabelle (Excel) nachgeführt. In einem dynamischen System werden die Ergebnisse in Echtzeit gemeldet.
Der wesentliche Unterschied zwischen einem statischen und dynamischen Massnahmen- und Kontrollsystem liegt in der Komponente Zeit.
|
|
statisch |
dynamisch |
|
Kon-troll-/ Mass-nahmen tätigkeit |
Rückblickend, oft (nur) einmal pro Jahr |
Unmittelbar (Beginn oder Ende des Prozesses) |
|
Aufdeckung Risikoevent |
zeitverzögert |
zeitnah |
|
Information & Datenzugriff aller Lines of Defence |
Passiv, angewiesen auf Berichterstattung |
Real-time online, jederzeit
|
Um die Zeitkomponente in den Griff zu bekommen, müssen Massnahmen- und Kontrollpläne digitalisiert werden.
Die gute Nachricht: Der Aufwand für die Einführung eines IT-Tools hält sich in Grenzen. Erstens gibt es gute und erschwingliche Web-Tools und zweitens lässt sich ein statisches System in den meisten Fällen inhaltlich eins-zu-eins in ein dynamisches übertragen.
Allerdings gibt es Anpassungsbedarf – meistens in den folgenden fünf Elementen.
In einem dynamischen System gibt es keine geteilten Verantwortungen. Alle Kontrollen und Massnahmen müssen namentlich einer Person (Ausnahme: Vier-Augen-Kontrollen) zugeteilt werden. Für Abwesenheiten besteht ein Stellvertreter-Prozess. Bei Stellenwechsel können die Aufgaben gesamthaft übertragen werden.
Die Unabhängigkeit der Kontrolle oder Massnahmendurchführung ist eine wesentliche Riskmanagement-Komponente.
Wegen der Zeitdimension wird der Unabhängigkeit statischen System oft nicht genügend Wichtigkeit beigemessen. Bei der Einführung eines dynamischen Systems empfiehlt es sich, jede Kontrolle und Massnahme darauf zu überprüfen, ob sie von Im-Prozess-Beteiligten oder einer unbeteiligten Person durchgeführt werden soll. Je höher das Risiko, desto eher sollte die Massnahme oder Kontrolle unabhängig erfolgen.
In statischen IKS werden auch In-Prozess-Kontrollen dokumentiert. Diese Kontrollen werden typischerweise laufend oder einmal täglich durch die an der Produkte-/Dienstleistungserstellung beteiligten Personen durchgeführt.
In-Prozess-Kontrollen sind sinnvoll und nützlich und ein dynamisches IKS macht sie nicht überflüssig. Da die Durchführung der In-Prozess-Kontrollen nicht laufend rapportiert werden kann, resp. dieser Aufwand unökonomisch wäre, müssen In-Prozess-Kontrollen in Stichproben-Kontrollen umgeschrieben werden.
Kontroll-/Massnahmendichte
In statischen Kontroll- und Massnahmenplänen werden die einzelnen Massnahmen und Prozessschritte oft minutiös dokumentiert. Daraus ergibt sich tendenziell eine grosse Menge von Einzelkontrollen und -Massnahmen.
Wenn auf ein dynamisches System umgestellt wird, lohnt es sich Zusammenlegungen zu prüfen, damit die Kontroll- und Massnahmenintensität nicht ein Hindernis für die Auftragstreue wird. Selbstverständlich darf nur zusammengelegt werden, wenn aus Risikomanagementsicht akzeptabel.
Schriftliche Aufzeichnung darüber, wie Kontrollen und Massnahmen umgesetzt und welche Ergebnisse erzielt wurden, helfen sicherzustellen, dass Geschäftsprozesse ordnungsgemäss, effizient und risikominimiert ablaufen. Je höher das Risiko, desto angebrachter die Dokumentation des Massnahmen- und Kontrollnachweises.
Praxis-Tipp: Wer Risiken wirkungsvoll mitigieren will, ist auf Echtzeitinformationen angewiesen. Leider eignet sich ein statisches System (Excel-Tabellen) nicht dazu. Dynamisieren Sie Ihre Massnahmenpläne und das IKS und migrieren Sie die Excel-Daten in ein passendes Web-Tool!
