Riskmanagement & IKS News
Dynamisches Risk Handling mit dem IKS
Effizienz, Transparenz und Flexibilität – Schlagworte, die heute jede Organisation prägen sollten. Insbesondere beim Internen Kontrollsystem (IKS) ist ein zeitgemässer Ansatz unumgänglich, um Risiken nicht nur zu managen, sondern proaktiv zu mitigieren.
Von statischen Tabellen zu dynamischen Prozessen
Viele Unternehmen verwalten ihre Kontrollpläne noch immer in statischen Tabellen (Excel!) – ein Modell, das oft zeitaufwendig ist und wenig Spielraum für Echtzeitreaktionen bietet. Die Umstellung auf ein dynamisches, digitales System bietet folgende zentralen Vorteile:
- Echtzeitinformationen: Risiken können frühzeitig erkannt und behandelt werden.
- Verantwortlichkeitsklarheit: Jede Kontrolle wird klar einer Person zugeordnet, was die Nachverfolgbarkeit und Effizienz steigert.
- Flexibilität bei Anpassungen: Änderungen in Prozessen oder Personal können schneller umgesetzt werden.
Der wesentliche Unterschied zwischen einem statischen und dynamischen Massnahmen- und Kontrollsystem liegt in der Komponente Zeit.
| statisch | dynamisch | |
| Kon-troll-/ Mass-nahmen- tätigkeit | Rückblickend, oft (nur) einmal pro Jahr | Unmittelbar (Beginn oder Ende des Prozesses) |
| Aufdeckung Risikoevent | zeitverzögert | zeitnah |
| Information & Datenzugriff aller Lines of Defence | Passiv, angewiesen auf Berichterstattung | Real-time online, jederzeit |
Um die Zeitkomponente in den Griff zu bekommen, müssen Massnahmen- und Kontrollpläne digitalisiert werden.
Die gute Nachricht: Der Aufwand für die Einführung eines IT-Tools hält sich in Grenzen. Erstens gibt es gute und erschwingliche Web-Tools und zweitens lässt sich ein statisches System in den meisten Fällen inhaltlich eins-zu-eins in ein dynamisches übertragen.
Allerdings gibt es Anpassungsbedarf – meistens in den folgenden fünf Elementen.
- Verantwortlichkeiten
In einem dynamischen System gibt es keine funktionalen Verantwortungen. Alle Kontrollen und Massnahmen werden namentlich einer Person oder mehreren Personen (z.B.: Vier-Augen-Kontrollen) zugeteilt. Für Abwesenheiten besteht ein Stellvertreter-Prozess. Bei Stellenwechsel können die Aufgaben gesamthaft übertragen werden.
Wegen der Zeitdimension wird der Unabhängigkeit in statischen Systemen oft nicht genügend Wichtigkeit beigemessen. Bei der Einführung eines dynamischen Systems empfiehlt es sich, jede Kontrolle und Massnahme darauf zu überprüfen, ob sie von Im-Prozess-Beteiligten oder einer unbeteiligten Person durchgeführt werden soll.
Je höher das Risiko, desto eher sollte die Massnahme oder Kontrolle unabhängig erfolgen.
Statt täglicher Dokumentationen ermöglichen automatisierte Systeme stichprobenartige Kontrollen, ohne die Prozesssicherheit zu gefährden.
In statischen IKS werden auch In-Prozess-Kontrollen dokumentiert. Diese Kontrollen werden typischerweise laufend oder einmal täglich durch die an der Produkte-/Dienstleistungserstellung beteiligten Personen durchgeführt.
In-Prozess-Kontrollen sind sinnvoll und nützlich und ein dynamisches IKS macht sie nicht überflüssig. Da die Durchführung der In-Prozess-Kontrollen nicht laufend rapportiert werden kann, resp. dieser Aufwand unökonomisch wäre, müssen In-Prozess-Kontrollen in Stichproben-Kontrollen umgeschrieben werden.
- Kontrolldichte
In statischen Kontroll- und Massnahmenplänen werden die einzelnen Massnahmen und Prozessschritte oft minutiös dokumentiert. Daraus ergibt sich tendenziell eine grosse Menge von Einzelkontrollen und -Massnahmen.
Wenn auf ein dynamisches System umgestellt wird, lohnt es sich Zusammenlegungen zu prüfen, damit die Kontroll- und Massnahmenintensität nicht ein Hindernis für die Auftragstreue wird. Selbstverständlich darf nur zusammengelegt werden, wenn aus Risikomanagementsicht akzeptabel.
Digitale Lösungen bieten strukturierte Möglichkeiten, um die Ergebnisse von Massnahmen und Kontrollen revisionssicher zu dokumentieren.
Schriftliche Aufzeichnung darüber, wie Kontrollen und Massnahmen umgesetzt und welche Ergebnisse erzielt wurden, helfen sicherzustellen, dass Geschäftsprozesse ordnungsgemäss, effizient und risikominimiert ablaufen.
Je höher das Risiko, desto angebrachter die Dokumentation des Massnahmen- und Kontrollnachweises.
Chancen und Grenzen digitaler IKS-Lösungen
Während die Automatisierung von IKS-Prozessen klare Vorteile bringt, wie die Senkung manueller Aufwände und die Verbesserung der Datenqualität, gibt es auch Grenzen:
- Initialer Implementierungsaufwand: Auch wenn viele Tools erschwinglich sind, erfordert die Einführung sorgfältige Planung und Ressourcen.
- Abhängigkeit von Technologie: Die Stabilität und Sicherheit der IT-Infrastruktur spielen eine entscheidende Rolle.
- Individuelle Anpassungen: Jedes Unternehmen hat spezifische Anforderungen, die nicht immer durch Standardlösungen abgedeckt werden.
Fazit: Die Automatisierung und Digitalisierung von IKS-Prozessen ist ein wichtiger Schritt für Unternehmen, die ihre Effizienz und Risikotransparenz steigern möchten. Die Implementierung erfordert jedoch ein bewusstes Vorgehen, um die Balance zwischen Chancen und Herausforderungen zu meistern. Unternehmen, die diesen Wandel erfolgreich gestalten, sichern sich einen klaren Wettbewerbsvorteil.
Praxis-Tipp: Migrieren Sie Ihre Kontroll- und Massnahmenpläne aus statischen Tabellen in ein dynamisches System. Nutzen Sie Web-Tools, die Echtzeitinformationen liefern und die Effizienz Ihrer Prozesse nachhaltig steigern.
Quellen:
Aktualisierung des Artikels «Nur dynamisches Risk Handling bringt Wirkung» vom November 2023 unter teilweiser Verwendung von OpenAI. (2024). ChatGPT 4o
