Für jedes Prozess-Risiko eine Kontrolle definieren

Kleine und mittelgrosse Unternehmen verlangen heute geeignete Kontrollinstrumente. Dies vor allem, um die zunehmenden Verknüpfungen von Geschäften zu überwachen, die gestiegenen gesetzlichen Vorgaben zu erfüllen und die erfolgreiche Weiterführung der Firma sicherzustellen. Da die verfügbaren Richtli-nien und Instrumente meist grossen Unternehmen angepasst sind und eine präzise Dokumentation der Prozesse voraussetzen, stehen KMU vor einer Herausforderung.

«IKS-Light»

Diese bemerken oft erst während der Einführung eines Internen Kontrollsystems (IKS), dass der Dokumentationsstand der Geschäftsprozesse nicht ausreichend ist, um ein solches Projekt mit dem geplanten Aufwand durchzuführen. Aus einer IKS-Einführung entsteht dann ein Prozessaufnahme- und Optimierungsprojekt, häufig auch mit Vorschlägen für organisatorische Änderungen, das mit viel mehr Aufwand verbunden ist als geplant. In vielen Fällen werden die IKS-Projekte nach überschrittenem Budget erfolglos abgebrochen. Daher ist es wichtig, vor der Definition der Implementierung eines IKS die Grundlagen und Erwartungen der Firma genau zu studieren. Nur so kann ein IKS eingeführt werden, welches den Bedürfnissen, Zielen, Grundlagen und Voraussetzungen des Unternehmens entspricht. Um das zu gewährleisten, ist es wichtig, einen individuellen Projektrahmen festzulegen und geeignete Instrumente einzusetzen.

Das Praxisbeispiel

Der Energie Service Biel / Bienne (ESB) sah sich im Sommer 2014 mit der Herausforderung konfrontiert, dass er ein IKS implementieren wollte, ein Dokumentations- und Optimierungsprojekt der Geschäftsprozesse jedoch für später geplant war. Mithilfe der «i-Risk» GmbH führten die Verantwortlichen ein «IKS-Light» ein, bei welchem ein Managementcockpit zur Überwachung und Steuerung der zentralen Aktivitäten und Kontrollen implementiert wurde. Die bestehenden Geschäftsprozesse jedoch wurden zu diesem Zeitpunkt noch nicht überarbeitet.

In einem zweimonatigen Projekt konnte so ein pragmatisches und effizientes Managementinstrument aufgebaut werden, ohne die Prozesse von Grund auf neu aufzunehmen. Wie bei jedem IKS-Projekt startete man bei einem «IKS-Light» mit der Auswahl der Prozesse und endete mit der Überwachung der Kontrollen. Für den ESB wurde dabei eine Variante verwendet, bei der jede der im Folgenden beschriebenen Phasen spezifisch auf die Bedürfnisse von KMU angepasst ist.

Auswahl relevanter Prozesse

In einem ersten Schritt werden die Geschäftsprozesse ausgewählt, welche der Analyse unterzogen werden. Dabei liegt bei einem «IKS-Light» der Fokus auf der Sicherstellung einer wahrheitsgetreuen finanziellen Berichterstattung. Es gilt daher die Geschäftsprozesse zu identifizieren, welche risikobehaftet und gleichzeitig den grössten Einfluss auf die verschiedenen Positionen in der Bilanz und in der Erfolgsrechnung haben. Anhand der Positionen der Bilanz und Erfolgsrechnung und Best-Practice-Beispielen werden in diesem Schritt typischerweise fünf bis zehn Prozesse mithilfe von qualitativen und quantitativen Risikoaspekten ausgewählt.

Als quantitatives Auswahlverfahren eignet sich beispielsweise die Definition einer Wesentlichkeitsschwelle in Prozent der Bilanzsumme und Erfolgsrechnung. Mithilfe einer solchen Schwelle können auf einfache Art und Weise die wesentlichen Posten in der Bilanz- und Erfolgsrechnung aufgezeigt werden. Wenn diese Posten bekannt sind, können anschlies-send die Geschäftsprozesse, welche einen relevanten Einfluss darauf haben, «rückwirkend» nachvollzogen werden.

Beim ESB wurden durch die Anwendung des beschriebenen Verfahrens sieben relevante Geschäftsprozesse in einem Workshop identifiziert. Dabei wurden jeweils die zentralen Attribute dokumentiert wie Prozessziele, Prozesseigner und Periodizität des Prozesses. Am Prozessablauf wurde jedoch nicht gearbeitet, sondern nur besondere Feststellungen vermerkt, welche zu einem späteren Zeitpunkt angegangen werden können.

Aufnahme und Beurteilung

In einem nächsten Schritt werden zu den ausgewählten Prozessen die zentralen Risiken erfasst, welche eine wahrheitsgetreue finanzielle Berichterstattung gefährden könnten. Dabei ist es besonders wichtig, auch Schnittstellenrisiken zwischen Abläufen zu betrachten. Diese Risiken werden anschliessend bewertet, um eine Priorisierung vorzunehmen.

In einem Workshop wurde beim ESB jeder ausgewählte Prozess durchlaufen und mit einer gezielten Methodik verschiedene Aspekte beleuchtet, welche zu Risiken führen könnten. Zusätzlich wurden diese Risiken anhand einer Best-Practice-Checkliste ergänzt. Nach der Aufnahme der Risiken bewerteten die Verantwortlichen diese nach den drei Kriterien «Eintrittswahrscheinlichkeit», «Schadensausmass» und «Anfälligkeit Betrug». Dabei wurden sowohl Risiken betrachtet, welche aus reinen Missgriffen, Irrungen oder Missverständnissen bei der Prozessausführung entstehen als auch solche, welche aus absichtlichen beziehungsweise betrügerischen Handlungen entspringen.

Definition der Kontrollen

Um die Risiken zu steuern, werden die bestehenden Kontrollen besprochen und überprüft sowie gegebenenfalls neue aufgeführt. Diese können sowohl manueller Natur sein wie beispielsweise die Anwendung des Vier-Augen-Prinzips bei der Verarbeitung von physischen Dokumenten als auch stark IT-unterstützt wie der automatische Abgleich des Haupt- und Nebenbuches im Finanzbuchhaltungssystem. Für jede Kontrolle werden die Verantwortlichkeit und die Periodizität zur Durchführung angegeben.

Typischerweise handelt es ich dabei aber nicht um die Einführung von neuen Kontrollen, sondern mehr um die formelle Dokumentation, klare Zuweisung und die laufende Überprüfung der Durchführung häufig bereits bestehender Kontrollen im Unternehmen. Häufig sind nämlich Kontrollmechanismen vorhanden, jedoch nicht eindeutig definiert oder zugewiesen, weshalb sie ihren eigentlichen Zweck nicht erfüllen können.

Der ESB definierte für jedes Risiko eine Kontrolle, wobei die meisten bereits in der Organisation vorhanden waren. Um präzise, angemessene und einfach umsetzbare Kontrollen zu definieren, verwendete der ESB bei deren Definition die «SMART»-Grundsätze. Nach dieser Methodik wird jede Kontrolle unter der Beachtung von fünf Regeln überprüft und aufgestellt. Somit ist eine einheitliche Definition gewährleistet und die Kontrollen können dort greifen, wo sie auch tatsächlich benötigt werden.

Der Betrieb des IKS

Nach der Definition der Prozesse, Risiken und Kontrollen gilt es, diese im Betrieb anzuwenden. Am Ende jeder Anwendungsperiode findet die Selbstbeurteilung des IKS statt. Hierbei wird die Durchführung der Kontrollen überprüft und gegebenenfalls angepasst. Dabei wird insbesondere auf aufgetretene Fehler und weitere identifizierte Risiken geachtet, die in diesem Fall ergänzt werden können. So bleibt das System dynamisch und passt sich den Veränderungen im Unternehmen regelmässig an.

Der ESB hat entschieden, die Selbstbeurteilung zwei Mal jährlich durchzuführen. Die Geschäftsleitung bewertet dabei die definierten Kontrollen bezüglich «Durchführung» und «Wirkung». Unter Durchführung ist die aufrichtige Bewertung der Häufigkeit und Genauigkeit der Kontrollen zu verstehen. Die Wirkung bezieht sich auf die vom Kontrollverantwortlichen eingeschätzte Wirkung der Kontrollen gegen das definierte Risiko.

Unterstützung durch ein Tool

Um die Implementierung eines IKS und die Durchführung der Kontrollen zu vereinfachen, werden oft Software-Tools verwendet. In vielen Fällen sind diese jedoch umständlich, mit hohen Kosten verbunden und eignen sich nicht für eine pragmatische Umsetzung des IKS. Der ESB führte daher ein Excel-basiertes IKS-Tool ein, welches den Anwender bei der Ausarbeitung sowie bei der Ausführung unterstützt, ohne ihn zu stark einzugrenzen. So können die Ergebnisse des Einführungsprojekts sauber und strukturiert dokumentiert werden sowie laufend Prozesse, Risiken und Kontrollen ergänzt werden.

Die Gesamtübersicht wird durch ein Cockpit gewährt, in welchem auf einen Blick die laufende Durchführung und Überwachung des IKS, das heisst die Bewertung der Risikobeurteilung sowie die Bewertung der Selbstbeurteilung ersichtlich sind. Das Excel-Tool ist individuell auf die Bedürfnisse des ESB abgestimmt und kann jederzeit bei einer Veränderung im Unternehmen angepasst werden.

Fazit

Bevor mit der Implementierung eines IKS begonnen wird, lohnt es sich, den Stand und die Qualität der Prozesse und deren Dokumentation zu analysieren. In einem vollumfänglichen IKS-Projekt werden alle Abläufe eines Unternehmens analysiert. Wenn sich jedoch das Projekt auf die Risiken und Kontrollen in den jeweiligen Prozessen fokussieren soll, stellt ein «IKS-Light» eine sinnvolle Variante dar, um mit reduziertem Aufwand ein anwenderfreundliches System aufzubauen. Dabei hilft es, wenn man Checklisten verwenden kann. Eine Organisation sollte sich nicht durch komplizierte Software-Tools für die Ein- und Ausführung des IKS einschränken lassen. Daher ist ein ausbaufähiges Excel-Tool oft die beste Option für Schweizer KMU. Dieses Managementinstrument erleichtert die Einführung eines IKS anhand von Vorlagen der Prozesse, Risiken und Kontrollen und gewährt dem Anwender einen Gesamtüberblick mithilfe eines Management-Cockpits.

Die Einführung eines IKS kann grossen Mehrwert für ein KMU generieren, wenn die Methodik den vorliegenden Gegebenheiten des Unternehmens entspricht. Um mit diesem System die Sicherstellung einer wahrheitsgetreuen finanziellen Berichterstattung zu erreichen, sollte es an die Firmengrösse und -struktur angepasst werden. Dabei soll verhindert werden, dass ein IKS-Projekt in einem aufwendigen Prozessprojekt endet. In vielen Fällen ist die Auflistung der wesentlichen Prozesse ohne Optimierung der Abläufe ausreichend. Werden dabei Aspekte zur Prozessoptimierung identifiziert, können diese festgehalten werden, um sie zu einem späteren Zeitpunkt sinnvoll umsetzen zu können.