swissaxis

Riskmanagement & IKS News

Die Kontrolle der Datenströme gehört ins IKS

Data Lineage als Basis für ein effektives Kontrollsystem

Der blinde Fleck im IKS

Die Einführung und Pflege eines internen Kontrollsystems (IKS) zählt zu den zentralen Aufgaben in der Governance von KMU, mittleren Privatorganisationen (MPO) und öffentlichen Institutionen. Doch trotz wachsender regulatorischer Anforderungen bleibt ein essenzieller Aspekt oft unbeachtet: Data Lineage – die systematische Nachverfolgung und Dokumentation von Datenflüssen und -prozessen.

In unserer Beratungspraxis zeigt sich immer wieder, dass viele Organisationen die Risiken, die in den Datenbewegungen entlang ihrer Systeme und Prozesse schlummern, unterschätzen. Wichtige Fragen bleiben ungestellt:

Woher kommen die Daten, und wohin fliessen sie?

Wer hat Berechtigungen, Änderungen vorzunehmen?

Wie steht es um die Datenqualität?


Die Vernachlässigung dieser Aspekte kann dazu führen, dass Risiken unentdeckt bleiben, Kontrollen unwirksam sind und Compliance-Anforderungen nicht erfüllt werden.

Data Lineage: Eine Definition

Data Lineage bezeichnet den Lebenszyklus von Daten – von ihrer Entstehung über die Verarbeitung bis hin zur Speicherung oder Löschung. Sie umfasst die Nachvollziehbarkeit von Änderungen, den Kontext der Datenherkunft und die Transparenz über die verantwortlichen Akteure. Im Kern geht es darum, Datenflüsse sichtbar und steuerbar zu machen.

Praxisbeispiel: Der Datenfluss im Finanzcontrolling einer MPO

Ein mittelständisches Pharmaunternehmen, das sowohl eigene Forschung betreibt als auch externe Entwicklungsdaten integriert, steht exemplarisch für die Herausforderungen. Die Finanzabteilung des Unternehmens setzt auf automatisierte Reports, basierend auf Daten aus verschiedenen Quellen:

  1. ERP-System (Enterprise Ressource Planning) für Produktions- und Logistikinformationen.
  2. CRM-System (Customer Relationship Management) für Vertriebsdaten.
  3. Externe Marktdaten, die in regelmässigen Intervallen zugekauft werden.

Doch die Risiken entlang des Datenflusses wurden nicht betrachtet:

Manuelle Eingriffe: Ein Mitarbeiter passte regelmässig externe Marktdaten an, ohne eine Dokumentation der Änderungen vorzunehmen.

Dateninkonsistenz: Aufgrund fehlender Plausibilitätsprüfungen gelangten fehlerhafte Zahlen in die monatlichen Berichte.

Unklare Zuständigkeiten: Niemand konnte genau sagen, wer für die Endvalidierung verantwortlich ist.

Die Folge: falsche Managemententscheidungen auf Basis unvollständiger oder fehlerhafter Daten – ein vermeidbares Risiko.

Erst die Integration von Data Lineage ins IKS brachte Transparenz und Kontrolle. Folgende Massnahmen wurden implementiert:

  • Visualisierung der Datenflüsse
  • Definition von Berechtigungskonzepten und Verantwortlichkeiten.
  • Automatisierte Kontrollmechanismen zur Sicherstellung der Datenqualität.


Warum Data Lineage ins IKS gehört

Ein wirkungsvolles IKS erfordert vollständige Transparenz über Datenflüsse und die daraus resultierenden Risiken. Data Lineage bietet die Grundlage, um:

  1. Risiken entlang des Datenflusses zu identifizieren – von externen Datenquellen bis zur Verwendung in Berichten.
  2. Kontrollen präziser zu gestalten, da Verantwortlichkeiten und potenzielle Schwachstellen sichtbar werden.
  3. Revisionssicherheit zu gewährleisten, indem Datenbewegungen und -änderungen lückenlos nachvollziehbar sind.


Fazit: Proaktive Integration von Data Lineage

Die praktische Erfahrung zeigt: Ein IKS ohne Berücksichtigung der Data Lineage bleibt unvollständig und angreifbar. Organisationen sollten frühzeitig in Tools und Prozesse investieren, die Datenflüsse transparent machen, Berechtigungen regeln und die Datenqualität sichern. Nur so lassen sich Risiken nachhaltig reduzieren und Compliance sicherstellen.

Die Frage lautet also nicht mehr, ob Data Lineage Teil des IKS sein sollte – sondern wie schnell Organisationen diesen blinden Fleck beseitigen können.

Quellen:
Data Governance Institute: Data Lineage Framework
Müller, J. (2023): Datenqualität im IKS – ein unterschätzter Faktor. Fachjournal für Governance, S. 45-53.
Gartner (2024): Data Management Trends and Best Practices.
OpenAI. (2024). ChatGPT 4o. Verwendet zur Erstellung von Textteilen dieses Artikels.

image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert