Internes-Kontroll-System (IKS) - wo fange ich an?

In diesem Blog-Beitrag möchten wir mit Ihnen unsere Erkenntnisse hinsichtlich der Schwierigkeiten bei der Einführung eines “Internen-Kontroll-Systems” (IKS) teilen und wie Sie den Einstieg für Ihr Unternehmen leichter gestalten.

Die Aufgabe ist klar: ein IKS soll eingeführt werden, um eine erfolgreiche Auditierung zu ermöglichen. Aber wo fangen wir an? Bei den Prozessen? Bei den Risiken? Oder bei den Kontrollen? Wir plädieren für Letzteres und legen Ihnen nachfolgend dar, warum.

In der Theorie beginnt alles bei den Risiken. Denn ohne Risiko sollte es auch keine Kontrollen geben. Und viele Risiken haben ihren Ursprung in dem zugrundeliegenden Geschäftsprozess. Aus zahlreichen Einführungsprojekten wissen wir aber, dass sich der Fachbereich gerade am Beginn bei der Erfassung der Risiken besonders schwer tut. Das liegt u.a. daran, dass man für ein adäquates Risikomanagement mit zwei wichtigen Konzepten vertraut sein muss: einerseits mit dem Konzept der sog. Risikomatrix und andererseits mit der Unterscheidung in Brutto- und Nettorisiken.

Bei der Risikomatrix handelt es sich um eine Kreuztabelle mit den Merkmalsausprägungen Eintrittswahrscheinlichkeit und Schadenshöhe. Bei den Werten für die Eintrittswahrscheinlichkeit sind verschiedene Skalierungen denkbar. Gängig sind hierbei beschreibende Adjektive wie bspw. in einer 3x3-Matrix die Werte “selten”, “möglich” und “wahrscheinlich”. Bei der Schadenshöhe wird meist auf Wertgrenzen zurückgegriffen, die in Abhängigkeit der Unternehmensgröße festgelegt werden.

Das zweite wichtige Konzept ist die Unterscheidung in Brutto- und Nettorisiken. Unter dem Bruttorisiko ist der im Alltag selten anzutreffende Sachverhalt zu verstehen, in dem keinerlei Kontrollen existieren. In einem zweiten Schritt definiert oder erfasst man nun Kontrollen, die die Eintrittswahrscheinlichkeit, die Schadenshöhe bei Risikoeintritt oder beides mitigieren (verminderen). Das Nettorisiko beschreibt folglich das akzeptierte (Rest-)Risiko.

Jetzt ist es aber so, dass in jedem Unternehmen und in jeder Abteilung Kontrollen existieren und gelebt werden. Auch wenn sie u. U. nicht ausreichend oder dokumentiert sind. Sehr gut bewährt hat sich der Ansatz, zunächst mit einer Kontrollinventur zu beginnen. Das kann in einer Tabellenkalkulation oder wie wir empfehlen, in einem Ticketsystem wie bspw. Jira von Atlassian erfolgen.

In der Regel erfolgen Kontrollen nicht im luftleeren Raum. Oft fehlt lediglich die Dokumentation und Einwertung des zugrundeliegenden Risikos. Hat man aber erst mal Kontrolle beschrieben und die Frequenz und die beteiligten Personen erfasst, ergibt sich das Risiko oft von selbst. Und häufig liegt dem Risiko ein fehlender, unklarer, undokumentierter oder nicht gelebter Prozess zugrunde. Der Vorteil an diesem Vorgehen ist, dass es intuitiv und relativ einfach ist. Dadurch sind die Einstiegshürden niedriger.

Gerne unterstützen wir Sie bei der Beratung einer IKS-Einführung in Ihrem Unternehmen.