Riskmanagement & IKS News

Das IKS ist kein System zur Kontrolle

Das IKS wird von Mitarbeitern besser angenommen, wenn es als Steuerungssystem im ganzen Unternehmen wirkt.

Mitarbeiter wissen, dass Kontrollen nützlich sind, aber die Einführung eines Kontrollsystems kann Verunsicherung auslösen. Besser als «interne Kontrolle» wäre «Steuerung». Steuerung erhöht die Verlässlichkeit der Arbeit und zeigt Risiken auf, ohne Überwachung.

Ein Kontrollsystem betont Regelkonformität und kann zu Widerstand führen. Ein Steuerungssystem fördert die aktive Gestaltung von Prozessen und sieht Mitarbeiter als wertvolle Partner.

In vielen Unternehmen liegt die IKS-Verantwortung im Finanzbereich, was die strategische Bedeutung behindern kann. Das Institute of Internal Auditors (IIA) empfiehlt die Integration des IKS ins unternehmensweite Riskmanagement. Die Praxis sollte der Lehre folgen und die Trennung zwischen IKS und Risikomanagement auflösen.

Fazit: Kontrollen sind unbeliebt, aber bei Einbindung der Mitarbeiter verstehen sie den Nutzen für die Steuerung und Entwicklung des Unternehmens.

 

Das Risiko «Menschliche Schwäche»

Mehr als zwei Drittel der Schäden durch Betrugsfälle in Unternehmen werden von eigenen Mitarbeitern verursacht.

Sie sind meist gut gebildet, zwischen 40 und Mitte 50 Jahre alt, in leitenden Finanzpositionen mit langjähriger Betriebszugehörigkeit. Motive reichen von Spielsucht bis Geltungssucht.

Whistleblowing ist die effektivste Entdeckungsmethode für interne Täter, erfordert jedoch sichere Meldewege.

In der Schweiz waren 32,5% der Unternehmen 2020 von illegalem Verhalten betroffen. Funktionierende Meldesysteme können über 80% des finanziellen Schadens aufdecken. Eine Meldestelle und ein Hinweisgeberprozess sollten in jeder Organisation implementiert werden, um Zivilcourage zu fördern.

Die wichtigsten Präventionsmassnahmen sind Hintergrundprüfungen, klare Verhaltensregeln, interne Kontrollen und Transparenzförderung. Stellvertretereinsatz und Aufgabenrotation sind einfache organisatorische Massnahmen.

Empathisches Interesse der Vorgesetzten am Mitarbeiterverhalten ist entscheidend. Aber ohne den Schutz von Hinweisgebern gibt es kein effizientes Frühwarnsystem gegen Innentäter.

Der Mensch als Risiko im Riskmanagement-Prozess

Persönliche Risikowahrnehmung und Bauchgefühl sind kontraproduktiv in einem soliden RM-Prozess.

Persönliche Risikowahrnehmung beeinflusst, wie Risiken im Unternehmen behandelt werden. Sie besteht aus persönlicher Prägung und eigener Betroffenheit.

Persönliche Prägung entsteht durch Erfahrungen. Betroffenheit beschreibt den persönlichen Bezug zu einer Situation. Beide können den Risikomanagementprozess beeinträchtigen, wenn sie rationales Denken übersteuern.

Kommt dazu, dass Menschen oft intuitiv mit Risiken umgehen, obwohl Intuition fehleranfällig ist. Überoptimismus, Starrheit in früheren Entscheidungen, Vorliebe für Bekanntes, Angst vor Scheitern, Prokrastination, Bedauern von verpassten Chancen und der Anker-Effekt beeinflussen Entscheidungen.

Rationalität dämpft die persönliche Risikowahrnehmung. Selbstverpflichtungen zu transparentem und verlässlichem Verhalten können helfen.

Gruppenentscheidungen können durch unabhängige, anonymisierte Meinungen (Delphi-Methode) oder Gewichtung basierend auf Expertise und Zuverlässigkeit (Experten-Kalibrierung) diszipliniert werden.

 

Nur dynamisches Risk Handling bringt Wirkung

Wenn Risiken wirkungsvoll behandelt oder Risikoevents zeitnah aufgedeckt werden sollen, braucht es einen dynamischen Prozess.

Massnahmen- oder interne Kontrollpläne werden oft statisch in Excel nachgeführt, was zu zeitverzögerten und passiven Prozessen führt. Ein dynamisches System ermöglicht Echtzeitberichterstattung und unmittelbare Reaktionen.

Der Aufwand für die Digitalisierung von Massnahmen- und Kontrollplänen ist überschaubar. Allerdings sind oft Anpassungen erforderlich, insbesondere in den folgenden fünf Elementen:

1. Personen: Jede Aufgabe muss einer Person (nicht Funktion) zugeordnet werden, umgeteilt bei Abwesenheit oder Stellenwechsel.
2. Unabhängigkeit: Im dynamischen System sollte die Unabhängigkeit jeder Massnahme oder Kontrolle überprüft werden, insbesondere bei höherem Risiko.
3. Periodizität/Häufigkeit: In-Prozess-Kontrollen müssen in Stichproben umgewandelt werden, da eine laufende Berichterstattung unökonomisch ist.
4. Kontroll-/Massnahmendichte: Zusammenlegungen sollten geprüft werden, um die Intensität nicht zur Auftragstreue-Hürde zu machen.
5. Nachweisdokumentation: Schriftliche Aufzeichnungen sind entscheidend, besonders bei höherem Risiko.