Internes Kontrollsystem
Management eines internen Kontrollsystems zur Dokumentation und Überwachung der Vollständigkeit und Effektivität erforderlicher Kontrollen.

Methodische und technische Herausforderungen

Integration von Risikomanagement und IKS
Eine internes Kontrollsystem dient dazu, inherent in den Geschäftsprozessen und dem Geschäftsmodell liegende Risiken strukturiert zu überwachen. Hierzu werden sowohl Risiken aus dem Enterprise Risk Management als auch opationellen Risiken in den Geschäftsprozessen Kontrollen identifiziert die mittels regelmäßiger Bewertung oder automatischer Frühwarn-Indikatoren negative Entwicklungen in Bezug auf diese Risiken identifizierbar machen. Dies führt dazu, dass Risikomanagement und IKS als integriertes Management-System in einem einheitlichen Tool-Framework geführt werden sollten.

Schnittstellen zum Prozessmanagement
Gerade die operationellen Risiken in Geschäftsprozessen erfordern heute eine intensive und regelmäßige Betrachung mittels interner Kontrollen. Um den Kontext dieser Risiken bei der Identifikation adäquater Kontrollen zu berücksichtigen ist ein Rückschluss in den Prozess erforderlich und damit eine fachliche Schnittstelle zur Prozessmodellierung zu empfehlen.

IKS im Kontext von Gesetzen, Standards und regulativen Normen
Eine der größten Herausforderungen besteht in der Erfassung aller bereits im Unternehmen implementierten Kontrollen und zukünftig erforderlicher Kontrollen. Um einen Überblick über die notwendigen Kontrollen zu erhalten empfiehlt es sich bei der Definition von Kontrollen internationale Standards wie COSO oder Länder- und Branchenspezifische Gesetze wie BILMOG (Deutschland) oder URÄG (Österreich) heran zu ziehen. Auch das Themenfeld IT-IKS bietet spezielle Normen die als Basis für Kontrollen in der Informationstechnologie oder als Prüfungs-Standards dienen (wie z.B. CobiT® oder SOX).

Regelmäßige Überprüfung der Vollständigkeit, Qualität und Effektiviät von Kontrollen
Anhand zyklischer Self-Assessments wird durch die Prozess- und Kontroll-Verantwortichen die Qualität der Umsetzung von Kontrollen sowie die Effektivität deren Durchführung überprüft und bewertet. Hierdurck können Kontroll-Defizite erhoben und zentral ausgewertet sowie Gegenmaßnahmen ergriffen werden.

Dokumentation der operativen Durchführung von Kontrollen
Um über wesentliche Kontrollen eine Lückenlose Historie der Durchführung ausweisen zu können ist es sinnvoll nicht nur das Kontroll-Framework sondern auch die operative Kontroll-Durchführung (also die Evidenz) in einem zentralen System zu führen. Dies ermöglicht auch jederzeit eine Gegenüberstellung der Bewertung der Kontroll-Qualität und -Effektivität der Kontroll-Verantwortlichen zu den realen Ergebnissen der Kontroll-Durchführung.

Lösungsbeschreibung

Ein vollständiges IKS zu führen erfordert eine flexibles und adaptierbares IT-System. risk2value® bietet nicht nur diese Flexibilität sondern auch die Möglichkeit das IKS vollständig in der Enterprise Risk Management zu integrieren (siehe Grafik zur Illustration).

risk2value® unterstütz das Führen eines IKS deshalb mit folgenden Möglichkeiten:

• In risk2value® können ein IKS und ein ERM System auf gemeinsamer Datenbasis betrieben werden. Hierdurch müssen Datenstrukturen (wie die Organisations-Struktur) nur einmal gepflegt werden und im Reporting können Ergebnisse sowoh nach Kontrollen als auch nach Risiken, Prozessen oder Organisationsbereichen erstellt werden

• risk2value® ermöglicht es mehrere Kontroll-Kataoge zu führen und Diese auch inhaltlich zu integrieren. So können zusätzlich zu unternehmensspezifischen Kontrollen auch Anforderungen aus Standards wie BILMOG oder COSO abgebildet und geführt werden. Die Bewertung ähnlicher Kontrollen kann druch Verknüpfung auf einmal erfolgen wodurch massive Doppelbewertung verieden werden.

• Durch die Zuordnung der Kontrollen zu Organisationsbereichen oder Prozessen werden Diese regelmäßig von den Verantwortlichen der Prozesse hinsichtlich Qualität und Effektivität bewertet. Darauf basierend kann über Verbesserungsmaßnahmen oder die Einführung zusätzlicher Kontrolen entschieden werden.

• Die laufende Durchführung von Kontrollen kann in risk2value® automatisiert werden. Hierzu werden Workflowprozesse definiert durch die Kontroll-Verantwortliche per Email auf erforderliche Aktivitäten hingewiesen werden und somit der Prozess automatisch vorangetrieben wird.

• Das IKS-Reporting beinhaltet sowohl Reports über die Kontrollen und deren Verknüpfung zu spezifischen Risiken (Risiko/Kontroll-Matrix) sondern auch Berichte über die Qualität, Effektivität und die regelmäßige Durchführung der Kontrollen.

Key Points

• Integration von Risikomanagement- und IKS-Aktivitäten
• Integrierte Abbilung verschiedenster Kontrollkataloge
• Automatisierung der regelmäßigen Erinnerungen an die Durchführung von zykischen Kontrollen
• Regelmäßige Kontroll-Assessments zur Effektivität und Qualität
• Workflowgestütztes Maßnahmenmanagement
• Nachvollziehbarkeit aller Änderungen
• Einfaches und praktikables IKS-Reportig (sowohl operativ als auch über die Effektivität der Kontrollen)

Zurück zur Übersicht der GRC-Lösungen