Das interne Kontrollsystem im digitalen Zeitalter

Zugegeben, es gibt sicher spannendere Themen rund um die Digitalisierung. Aber auch im Informationszeitalter braucht eine Organisation immer noch ein internes Kontrollsystem (IKS). Vielleicht mehr denn je, weil sich das «Entwicklungsrad» in allen Bereichen immer schneller dreht (künstliche Intelligenz, Automatisierung, IoT, Gesetzesanforderungen, Anforderungen aller Anspruchsgruppen usw.). Unter diesen Bedingungen geht schnell mal etwas unter, was dann schlimmstenfalls zu einer Rückrufaktion, einer Busse, einem Versicherungsfall, einem Gerichtsfall oder Ähnlichem wird.

Das interne Kontrollsystem

Es gibt viele Definitionen, was ein internes Kontrollsystem ist und können soll. Die etwas trockene Wikipedia-Beschreibung liest sich so: «Ein internes Kontrollsystem (IKS) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns und von Kontrollen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Die Massnahmen können sowohl prozessunabhängig als retrospektive Kontrollen, beispielsweise durch die interne Revision, als auch prozessabhängig als präventive Regeln durchgeführt werden. Als Grundlage eines IKS kommen häufig Kontrollmodelle wie zum Beispiel Coso oder Cobit zum Einsatz.»

Das klingt wenig spannend, und im ersten Moment fällt es schwer, darin eine Gelegenheit für ein Digitalisierungs-Projekt zu sehen, sich von Mitbewerbern abzuheben und dafür auch noch Ressourcen zur Verfügung zu stellen.

Digitalisierung ist der «Hype», aber wie viel wird wirklich gemacht? Die Wahrnehmung des Autors ist, dass viel geredet wird, aber bei der Konkretisierung eher zögerlich zu Werke gegangen wird. Da bietet sich eine IKS-Digitalisierung quasi an. Das IKS besteht meistens aus nicht allzu komplexen Prozessen, sofern überhaupt welche vorhanden sind. Ausserdem sind diese Prozesse nicht direkt wertschöpfend. Das IKS ist also ein idealer Kandidat für ein Digitalisierungs-Pilotprojekt, Unternehmen können nur gewinnen, und sei es nur an Erfahrungen für spätere Digitalisierungen von geschäftskritischen Prozessen.

Mehr als ein «Must-have»

Ein IKS zu haben, bietet per se noch keine Sicherheit. Denn eines zu haben und genau zu wissen, in welchem Zustand es ist, beziehungsweise wie effizient und effektive es arbeitet, das sind zwei verschiedene Dinge. Vorfälle in jüngster Zeit zeigen, dass es trotz vorhandenem IKS zu Ereignissen mit schlechter Presse oder noch grösserem Impact kommen kann. Dies gilt es zu vermeiden.

Längst haben neben den Beratern, die das IKS als Produkt oder Dienstleistung ansehen, viele Unternehmer und Spezialisten aus allen Bereichen entdeckt, dass da durchaus mehr «drinsteckt». Dass es sich um mehr als ein «Must-have» aus Compliance-Sicht handelt, sondern dass es – wenn man es mit der «Chancen/Risiko-Brille» betrachtet – ein Wettbewerbs­vorteil sein kann.

Es kann im Idealfall ein gutes Steuerungsinstrument sein, das hilft, alle Stakeholder-Aspekte besser unter Kontrolle zu haben. Ob man ein verstaubtes IKS hat, das alle Beteiligten als Klotz am Bein betrachten, oder ob man ein integriertes IKS hat, das Entscheidungen und Strategien unterstützt, liegt im Wesentlichen in der Einstellung. Und gemeint ist in diesem Fall die Einstellung der Entscheidungsträger.

Der «Must-have»-Faktor (OR Art. 716a) bleibt bestehen und wird durch zunehmende Regulierungen und Gesetze immer stärker. Mit der General Data Protection Regulation (GDPR), dem neuen Europäischen Datenschutzgesetz, neuen Gesetzen über kritische Infrastruktur etc. ist «unregulated Industry» quasi Geschichte. Und wenn Unternehmen schon ein IKS haben müssen, warum dann nicht eines, das die Geschäftsstrategie unterstützt? Eines, das nicht aus verstaubten Richtlinien besteht, die sowieso keiner kennt und die, die wenigsten wirklich interessieren. Vielmehr eines, das die Unternehmensstrategie und Ziele unterstützt und im Idealfall zur Wertschöpfung beiträgt?

Und zu guter Letzt sollte das ideale IKS auch die Anforderungen (Gesetze, Standards etc.) aller unternehmensrelevanten Bereiche wie Umweltschutz, Datenschutz, Informations- und Cybersecurity, Finanzen, Personalwesen, Sicherheit, Gleichstellung usw. managen können.

Keine isolierte Betrachtung

Isolierte Betrachtungen bringen je länger desto weniger den gewünschten Erfolg. Damit ist gemeint, dass die beste Erfindung / Neuerung, und sei diese noch so innovativ, nur den gewünschten Erfolg bringt, wenn sie auch gesellschaftlich anerkannt wird. Die entsprechenden Risiken sind eben nur über die ganzheitliche, integrierte Betrachtung zu finden.

Das Grundrisiko für alle Mitarbeiter, vom Verwaltungsrat bis hin zum Verkaufspersonal, ist, dass ein eintretender «Vorfall» den eigenen Arbeitsplatz und die  damit verbundenen Vergütungen ge­fährdet. Zudem besteht das Haft­ungs­risiko. Wenn das die einzelnen Mit­ar­beiter nicht interessiert, dann hat ein Unternehmen ein strukturelles Pro­blem. Davon ausgehend, dass es jeden Ein­zelnen interessiert, eröffnet sich mit der Digi­talisierung die Chance, ein IKS ein­zu­führen, das akzeptiert und lebbar ist. Leitende Angestellte und Verwaltungsratsmitglieder haben weiter das Risiko, dass ihre Organhaftpflichtversicherung (Managerhaftpflicht, Directors and Officers Liability [D & O]) Regressan­sprüche stellt, zum Beispiel bei Grob­fahrlässigkeit.

Die Benutzeranforderungen

Bei der Einführung eines digitalen IKS sollte nicht nach der erstbesten Lösung gesucht, sondern eine strukturierte Herangehensweise bevorzugt werden. Wie bei allen Anschaffungen will man am liebsten den Sportwagen und wird nach den ersten Offerten feststellen, dass man auch mit weniger auskommt. Es ist sinnvoll, wie bei einer Projektplanung und -Umsetzung vorzugehen, in Ruhe, aber mit festem Terminplan. Demnach ist der erste Schritt die Dokumentation der Benutzeranforderungen. Dazu gehört, alle Stakeholder zu identifizieren und deren Anforderungen zu dokumentieren. Hierbei ist wichtig, die Anforderungen in der adäquaten Tiefe, also messbar beziehungsweise testbar, zu definieren.

Es kann hilfreich sein, sich an der «Best in Class»-Definition zu orientieren, das heisst am erstmals im Jahr 2018 ver­öffentlichten Gartner Magic Quadrant für «Integrated Risk Management» (IRM). Wenn Unternehmen sich an den Funktionalitäten, die dort gefordert werden, orientieren, dann wird zumindest keine wesentliche Funktionalität übersehen. Es ist zwar nicht wirklich realistisch, ein Tool zu finden, das alles kann, was dort gefordert wird, aber es ist trotzdem ein guter Überblick.

Softfaktor Mensch

Der kritischste Erfolgsfaktor für jedes Digitalisierungsprojekt ist der Faktor Mensch. Digitalisierung schafft in erster Linie Transparenz, oftmals volle, schonungslose Transparenz. Bei den meisten Menschen löst das Unbehagen aus. Es ist daher ratsam, zu kommunizieren, wie die Organisation mit der Transparenz umgehen soll, was erwartet wird und was nicht. Ohne klare Kommunikation der neuen Arbeitsweisen und Regeln finden Mitarbeiter, die unzufrieden sind oder falsche Vorstellungen und Erwartungen haben, Umgehungsstrategien. Eine davon kann sein, dass sie Missstände, die sie kennen, nicht im System erfassen beziehungsweise zu spät erfassen.

Fazit

Ein IKS ist demzufolge ein Muss,  zumindest für jedes Unternehmen, in dem das Geschäftsmodell auf digitalen Prozessen beziehungsweise digitaler Wertschöpfung beruht. Wenn bereits eines vor­handen ist, sollte es im aktuellen Zustand alle nötigen Anforderungen erfüllen und nicht dadurch schaden, dass es zum Beispiel Entscheidungen verlangsamt. Der Faktor Mensch ist nicht zu vernachlässigen, denn selbst eine perfekte technische Lösung ohne Akzeptanz, ja sogar mit passiver Ablehnung nützt nichts. Ein digitales IKS schafft erhöhte Transparenz, und die führt oft zu Ängsten, die im Zuge der Einführung zu managen sind. Die Digitalisierung des IKS beziehungsweise das Aufsetzen eines IKS bietet sich als ideales Pilotprojekt für eine Digitalisierungs-Roadmap an.