Die Grundlagen interner Kontrollen
Wir gehen dem Thema “Implementierung interner Kontrollen” auf den Grund und haben mit Jesper Parsberg, Partner bei PwC Risk Assurance gesprochen, der seine 25-jährige Erfahrung im Umgang mit Compliance mit uns teilt. Während wir die neue ComplianceNow Komponente CN Internal Control entwickelt haben, hat uns unter anderem Jespers Team mit seiner langjährigen Expertise unterstützt und uns geholfen zu verstehen, wie der IKS-Prozess aus Prüfersicht ablaufen sollte. Im Interview geht es um Schlüsselkriterien im internen Kontrollprozess, Implementierungsstrategie und die Verknüpfung mit übergeordneten Unternehmensrisiken.
Was ist der Hauptgrund dafür, dass Unternehmen keinen effektiven Kontrollprozess eingerichtet haben?
Es ist vor allem eine Frage der Ressourcen. Ein effektives Internes Kontrollsystem lässt sich mit begrenzten Ressourcen nur schwer einrichten. Wir sehen außerdem häufig, dass viele kritische Geschäftsprozesse manuell ausgeführt werden. Unternehmen ohne Kontrollen sind sich Ihrer Risiken oft gar nicht bewusst.
Was sind die typischen Auslöser für die Implementierung interner Kontrollen?
Häufig sind die Auslöser Fraudfälle oder Vermögensverluste. So entsteht der Bedarf einer Risikoanalyse und damit auch ein Überdenken der internen Kontrollen. Leider führt dies häufig zu mehr manuellem Aufwand und Follow-Ups, beispielsweise zu Transaktionen. Außerdem umfasst die Durchführung nicht alle Geschäftsprozesse.
Die Grundlagen interner Kontrollen
Welche Stakeholder sollten in den Aufbau eines IKS miteinbezogen werden und warum?
Der Prozess muss von Schlüsselpersonen aus verschiedensten Unternehmensbereichen getrieben werden. Das Top-Management ist natürlich wichtig, aber für die Identifikation und das Handling von Risiken braucht es Mitarbeiter aus den verschiedensten Bereichen, um den kompletten Prozess abzubilden. Ist der CFO der einzige Treiber, besteht die Gefahr, dass die Kontrollen vor allem im Bereich Finanzen implementiert werden. Und verschiebt außerdem den Fokus von präventiven auf detektive Kontrollen.
Vor der Einführung eines IKS-Prozesses wird häufig nach dem Business Case gefragt – auf welche Punkte sollte man achten?
Ein Business Case für interne Kontrollen, wird in der Regel nur zusätzliche Kosten aufzeigen. Die Hauptvorteile sind sicherlich die Kenntnis über die eigenen Unternehmensrisiken, eine bessere Prävention und die dadurch entstehende Reduktion der Konsequenzen/ Auswirkungen, wenn diese Risiken eintreten sollten.
Die Grundlagen interner Kontrollen
Was wird typischerweise bei der Einrichtung der unternehmenseigenen Kontrollbibliothek übersehen? Wie lässt sich der Prozess optimieren?
Es kommt oft vor, dass die Themen Funktionstrennung und Zugangsrechte von Beginn an vergessen werden. Das ist recht unglücklich, da es sich dabei um präventive Schlüsselkontrollen für alle Geschäftsprozesse handelt. Auch der Umgang mit automatischen Applikationskontrollen ist schwierig, da diese in die Applikationen eingebaut und damit schwer identifizierbar sind. Im Ergebnis werden daher häufig nur manuelle Kontrollen aufgesetzt. Und das Risiko manueller Kontrollen liegt darin, dass sie von den Verantwortlichen nicht ausgeführt werden.
Unter Einbeziehung des Reifegrades des jeweiligen Unternehmens: wie wählen Sie die relevantesten Kontrollen aus und welche Kontrollen priorisieren Sie?
Ich priorisiere definitiv Kontrollen im Bereich Segregation of Duties (Funktionstrennung) und automatische Applikationskontrollen, da diese den Bedarf an manuellen Kontrollen minimieren. Generell, sollte ein Risk Assessment aufdecken, wo der Fokus liegen muss.
Ist es sinnvoll die übergeordneten Unternehmensrisiken mit den konkreten Kontrollen zu verknüpfen? Und wenn ja, warum?
Ja, natürlich. Das ist ein Schlüsselfaktor, da interne Kontrollen eine Maßnahme sind, um das Gesamtrisiko zu reduzieren.
Welche Herausforderungen kommen nach Einrichtung der Kontrollbibliothek und Aufsetzen des Kontrollprozesses auf die Unternehmen zu?
Die Herausforderung liegt vor allem darin, dass System aufrechtzuerhalten und alle Kontrollen sorgfältig und rechtzeitig auszuführen. Außerdem wird häufig vergessen, die Risikobewertung zu aktualisieren, obwohl es Änderungen bei Anwendungen, Geschäftsbereichen etc. gab.
Welchen Mehrwert können Sie als Prüfer Unternehmen bieten, die ihre Kontrollumgebung auf- oder ausbauen?
Wir können Beratung und Anleitung in oben genannten Prozessen bieten und natürlich das Design und die operative Effektivität der internen Kontrollen testen. In komplexen Umgebungen wie SAP oder D365 haben wir angepasste Lösungen, um SoD und automatische Applikationskontrollen zu bewerten und die Einrichtung zu erleichtern.
Was sind die Hauptunterschiede zwischen der manuellen und der softwareunterstützten Durchführung von Kontrollen?
Bei der Nutzung einer Softwarekomponente verfügt man über eine zentrale Dokumentation und die Möglichkeit nachzuverfolgen ob und wann die Kontrollen durchgeführt wurden.
Was sind die Trends im Bereich IKS für die nächsten zwei Jahre?
Ich sehe einen größeren Fokus auf SoD, eine vermehrte Nutzung von automatischen Applikationskontrollen und eine intensivere Nutzung von Robotergesteuerter Prozessautomatisierung (RPA) für regelbasierte Aufgaben.
Die Grundlagen interner Kontrollen
Folgen Sie uns auf LinkedIn LinkedIn und erhalten Sie sofortigen Zugriff auf unsere neuesten Artikel und Beiträge zu SAP und Compliance.
Sie möchten mehr erfahren?
Wir freuen uns sehr Internal Control unseren Kunden, möglichen Neukunden, Partnern und Netzwerk-Kontakten vorzustellen. Wenn Sie also mehr erfahren möchten, Fragen haben oder eine Live-Demo von CN Internal Control wünschen, kontaktieren Sie uns bitte.
