Besseres Risikomanagement: Interne Kontrollen automatisieren

Bessere Steuerung von internen Risiken und Kontrollen

Ein Internes Kontrollsystem bildet das Fundament für professionelles Risiko- und Compliance-Management in erfolgreichen Organisationen: Es bietet den Vorteil, dass Risiken und Kontrollen direkt für die einzelnen Geschäftsprozesse definiert werden können. In diesem Artikel konzentrieren wir uns auf einen wichtigen Aspekt: Sie erfahren, wie Sie interne Kontrollen aufsetzen und automatisiert auslösen – und wie diese Kontrollprozesse zu einem festen Bestandteil Ihres Risiko- und Kontrollmanagements werden.

Risiko- und Compliance Management in der Praxis

Wie beim Business Process Management handelt es sich auch beim Risikomanagement um eine umfassende Management-Disziplin, die für Unternehmen aller Branchen wichtig ist. Das Risikomanagement gehört vor allem in der Banken- und Versicherungsindustrie fest zum Unternehmensalltag und wird auch in anderen Wirtschaftszweigen zunehmend wichtiger.

Dabei spielt die Erarbeitung eines umfassenden Frameworks für Risiken und Kontrollen eine große Rolle. Unternehmensrisiken systematisch zu identifizieren und ihnen die nötigen Kontrollen zuzuordnen, zählt zu den Schlüsselaufgaben des erfolgreichen Risikomanagements: Es gilt, immer wieder neu zu entscheiden, welche Risiken für Ihr Unternehmen relevant sind und an welchen Stellen in Ihren Prozessen Korrekturen notwendig sind.

Im Rahmen des kontinuierlichen Risikomanagements werden verschiedene Steuerungsaufgaben regelmäßig wiederholt. Dabei stellt ein Internes Kontrollsystem sicher, dass bestimmte zuvor definierte Kontrollprozesse in regelmäßigen Abständen durchgeführt werden.

Die Vorteile eines Internen Kontrollsystems

Durch ein Internes Kontrollsystem steuern Organisationen insbesondere diese drei Aktivitäten:

• Ein umfassendes Framework für Risiken und Kontrollen wird gepflegt
• Interne Kontrollen werden regelmäßig angesetzt
• Aktuelle und vergangene Kontrollen und ihre Ergebnisse werden festgehalten

Ein Framework für Risiken und Kontrollen bildet das Herzstück eines Internen Kontrollsystems. Es umfasst ein Verzeichnis aller identifizierten Risiken, das idealerweise direkt mit den Geschäftsprozessen verknüpft wird.

Bei der Modellierung von Geschäftsprozessen ist es möglich, zunächst alle risikobehafteten Arbeitsschritte zu identifizieren und interne Kontrollen für jedes einzelne Risiko festzulegen.

Wie Sie ein Framework für Risiken und Kontrollen aufsetzen

Mittels interner Kontrollen definieren Sie alle nötigen Aufgaben, um relevante Unternehmensrisiken zu identifizieren rechtzeitig die nötigen Maßnahmen zu ergfreien. Dabei bezieht sich jede Kontrolle typischerweise auf das zu vermeidende Risiko. Für alle Kontrollen werden im IKS verschiedene Eigenschaften definiert:

• Häufigkeit: Wie oft wird eine Kontrolle durchgeführt? (z. B. monatlich oder quartalsweise)
• Typ: Wie wird die Kontrolle in Bezug auf ähnliche Kontrollen klassifiziert? (z. B. Sarbanes-Oxley-Compliance)
• Inhaber/in: Wer definiert den jeweiligen Kontrollprozess?
• Verantwortliche/r: Wer setzt den Kontrollprozess im Unternehmensalltag um?
• Gutachter/in: Wer überprüft das Ergebnis der internen Kontrollen?

In der Praxis benötigen Sie zuverlässige Software-Tools, um alle diese Fragen zu beantworten und um die umgesetzten Kontrollen präzise zu planen.

Software-Lösungen wie Signavios Process Manager helfen Ihnen dabei, Risiko- und Kontrolldefinitionen zu erstellen. So ist es möglich, benutzerdefinierte Attribute zu definieren und alle Risiken und Kontrollschritte mit Ihren Prozessmodellen zu verbinden. So kombinieren Sie ein organisationsweit fest definiertes Framework mit einer softwarebasierten Prozessmanagement-Lösung. Das Ergebnis: Die Risiken und Kontrollen sind fest in ihren Prozessen verankert und jederzeit auf dem aktuellen Stand.

Wie Sie regelmäßige interne Kontrollen automatisieren

Im Rahmen eines durchdachten Internen Kontrollsystems definieren Sie Kontrollen und verknüpfen sie mit den entsprechenden identifizierten Risiken. Dies geschieht natürlich nicht von allein. Um wiederholte Kontrollen in regelmäßigen Abständen zu planen, etwa einmal im Monat, legen Sie konkrete zeitliche Vorgaben für die unterschiedlichen Aufgaben aller beteiligten Mitarbeiter/innen fest.

Das Vorhaben, regelmäßige Kontrollen innerhalb eines IKS manuell zu steuern, ist nicht nur zeitintensiv, sondern auch fehleranfällig. Daher setzen erfolgreiche Organisationen auf ein automatisiertes Timing. Durch Workflow Management haben Sie die Möglichkeit, interne Kontrollen automatisiert zu steuern:

• Sie setzen die Kontrollen innerhalb eines definierten Frameworks für Risiken und Kontrollen um
• Sie starten einen neuen Fall für jede einzelne Kontrolle, in Abhängigkeit von der definierten Häufigkeit (z. B. monatlich)
• Sie weisen Workflow-Tasks für Kontrollen automatisch den verschiedenen Rollen zu
• Automatische E-Mail-Benachrichtigungen werden versandt, um die jeweiligen Verantwortlichen über eine zu bearbeitende Aufgabe zu informieren

Durch diesen Automatisierungsansatz wird der Prozess zuverlässiger und auch kostengünstiger gestaltet und manueller Aufwand gespart. Signavios Tool Workflow Accelerator vereint dabei die Vorteile der Prozessautomatisierung und bietet mehr Transparenz in den Prozessen.

Alle Kontrollen im Blick behalten

Wenn sie interne Kontrollen mittels Workflow-Automatisierung aufsetzen, erhalten Prozessverantwortliche automatisch alle Informationen, die sie für ihren Job benötigen. Durch eine softwaregestützte Lösung gewinnen Sie dabei einen Überblick über aktuelle und ältere Fälle, um Ihre Unternehmensrisiken kontinuierlich zu kontrollieren:

• Offene Fälle für Kontrollen: Sie sehen alle offene Aufgaben auf einen Blick
• Fälle, die innerhalb des letzten Monats ausgeführt wurden: So prüfen Sie, ob alle ausgeführten Vorgänge an allen Stellen compliant sind
• Kontrollen, bei denen Probleme aufgetreten sind: Sie erkennen, welche Aspekte Ihres Risikomanagements noch verbesserungswürdig sind

Am wichtigsten ist allerdings: Durch ein flexibles Reporting erhalten Risikoverantwortliche die Möglichkeit, ihre eigenen Feedback-Mechanismen aufzusetzen. Feedback ist schließlich wichtig, um ein Internes Kontrollsystem kontinuierlich zu verbessern und in das umfassende Risikomanagement der Organisation zu integrieren.

Fazit

Risikomanagement ist als grundlegende Management-Technik in fast allen Organisationen etabliert, doch nur die wenigsten wissen, wie ein Internes Kontrollsystem von automatisierten Kontrollen profitiert. Dies ermöglicht die Signavio Business Transformation Suite: Mit Signavio Workflow Accelerator können interne Kontrollen aufgesetzt und automatisch durchgeführt werden. Überzeugen Sie sich selbst!

Aus dem Englischen übersetzt von Julia Baudisch