Riskmanagement & IKS News

„Wir haben doch ein IKS – wie konnte das passieren?“ Diese Frage hört man oft nach internen Vorfällen, Zahlungsfehlern oder Compliance-Lücken. Die Antwort: Weil ein Internes Kontrollsystem (IKS) zwar eingeführt wurde, aber nicht gepflegt, nicht verstanden oder nie richtig durchdacht war. Kontrolllücken entstehen nicht aus Böswilligkeit – sondern aus Alltag, Bequemlichkeit, Rollenunklarheit oder Überforderung.

1. Was sind Kontrolllücken – und woher kommen sie?

Kontrolllücken sind Schwachstellen im System, bei denen entweder:

• keine Kontrolle definiert wurde (z.  weil ein Prozess nicht vollständig erfasst wurde),
• eine definierte Kontrolle nicht umgesetzt wird (z.  wegen Personalmangel), oder
• eine Kontrolle nicht wirksam ist, weil sie ignoriert oder umgangen wird.

Typische Ursachen:

• Neue Abläufe (Digitalisierung, Outsourcing) ohne IKS-Anpassung
• Verlassen auf Gewohnheit oder Personen („Das hat immer X gemacht“)
• Nicht dokumentierte Prozesse bei kleinen Teams
• „Papierkontrollen“, die nicht gelebt werden
  
  

Beispiel aus einer Gemeinde: Die Auszahlung von Subventionen erfolgte auf Basis eines alten Excel-Files. Eine Mitarbeiterin nutzte dies für fiktive Zahlungen. Das IKS sah zwar eine Prüfung vor – diese wurde aber nicht mehr durchgeführt, weil die prüfende Person in Pension ging und nie ersetzt wurde.

2. Warum gerade kleine Organisationen besonders gefährdet sind

In KMU, Verwaltungen und Non-Profit-Institutionen ist oft wenig Redundanz vorhanden:

• Eine Person hat viele Rollen (z.  Einkauf und Freigabe)
• Stellvertretungen sind nur auf dem Papier geregelt
• Abhängigkeit von Schlüsselpersonen ist hoch

Das macht die Einrichtung eines IKS nicht überflüssig – sondern umso wichtiger. Nur ein bewusst gepflegtes Kontrollsystem kann verhindern, dass aus Alltag Risiko wird.

3. Wie erkenne ich Kontrolllücken? (Checkliste)

Einige Kontrolllücken sind offensichtlich – andere nur durch systematische Reflexion erkennbar. Hier eine praxisnahe Checkliste für die Identifikation:

Prüffrage	Hinweis auf eine mögliche Lücke
Gibt es Prozesse ohne klare Freigabe?	Gefahr der Eigen-mächtigkeit
Gibt es Verantwortlich-keiten, die nie vertreten sind?	Klare Abhängigkeit
Gibt es Kontrollen, die immer von derselben Person gemacht werden?	Mangel an Vier-Augen-Prinzip
Gibt es Kontrollnach-weise, die nie überprüft werden?	«Alibi-Kontrolle»
Wurden neue Tools/Prozesse seit Einführung nie ins IKS aufgenommen?	Systembruch

Tipp: Machen Sie ein internes Kontroll-Mapping (z. B. auf A3), um zu sehen, wo Pflichten und Kontrollpunkte fehlen oder doppelt sind.

4. Was tun? Praktische Ansätze zur Lückenerkennung und -schliessung

A. Kontrolllandkarte erstellen

• Prozessübersicht mit Kontrollpunkten
• Wer kontrolliert was – wie oft – mit welchem Nachweis?

B. Stichproben einführen

• Besonders bei Selbstkontrollen (z.  Reisekosten, Zahlungen)
• Durch eine unabhängige Stelle, z.  Administration oder Vorgesetzte

C. Systematische IKS-Review jährlich durchführen

• Werden alle Kontrollen noch benötigt?
• Sind neue Risiken entstanden?
• Wird wirklich kontrolliert – oder nur gemeldet?

D. Technische Unterstützung nutzen

• Automatisierte Erinnerungen für Kontrollpflichten
• Digitale Checklisten statt Excel
• Ampel-Reporting für offene Kontrollen

E. Kontrollen vereinfachen, nicht vermehren

• Lieber wenige, klare, wirksame Kontrollen als überladene Excelmonster
• Fokus auf risikoorientierte Prüfung – nicht formale Erfüllung
  
  

Fazit: Ein IKS ist nie „fertig“ – sondern ein lebendiges System

Kontrolllücken entstehen nicht über Nacht. Sie wachsen mit der Organisation – oder mit deren Nachlässigkeit. Wer sein IKS ernst nimmt, nimmt sich regelmässig Zeit für eine ehrliche Standortbestimmung. Die gute Nachricht: Die meisten Lücken lassen sich einfach schliessen – wenn man sie kennt.