This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 

Mehr Sicherheit, weniger Risiko: Schritt für Schritt zum optimierten Prozessrisikomanagement

cdoerries
MEGA Partner
MEGA Partner
‎05-12-2023 05:15 PM

Ein gut funktionierendes internes Kontrollsystem schützt Unternehmen vor unerwünschten Überraschungen und ermöglicht es, frühzeitig auf Probleme zu reagieren. Dies schafft Vertrauen bei Investoren, Kunden und Partnern und trägt zur langfristigen Stabilität des Unternehmens bei. Und dennoch wird dem internen Kontrollsystem (IKS) oftmals mit Skepsis begegnet und als Zusatzaufwand ohne Wertbeitrag im operativen Tagesgeschäft verstanden. Im dritten Teil unserer Blogserie zeigen wir Ihnen, weshalb diese Skepsis unberechtigt ist und ein gutes IKS wesentlich zur Prozesssicherheit beiträgt.

DCP Blog Banner Teil 1.png

Warum ist ein Internes Kontrollsystem wichtig?

Ein IKS ist das Rückgrat jeder Organisation. Es spielt eine grundlegende Rolle bei der Gewährleistung der finanziellen Integrität, der Einhaltung von gesetzlichen und regulatorischen Vorschriften und der Sicherung von Vermögenswerten. Warum ist das so wichtig? Nun, Unternehmen stehen in einer Welt, die von Risiken durchzogen ist, sei es in Form von Betrug, menschlichen Fehlern oder wachsender rechtlicher Komplexität. Hier einige Beispiele aus unserem Beratungsalltag:

  • Unzureichende Kontrollmaßnahmen in der Rechnungsstellung führten zu massenhaft versandten falschen Rechnungen. Die Folge waren neben einem reputativen Schaden enorme Prozesskosten zur Korrektur.
  • Durch ein unzureichendes Datenschutzkontrollsystem konnten sensible Kundendaten gestohlen werden, was zu erheblichen rechtlichen und finanziellen Konsequenzen führte.
  • Ein Aktienhändler führte riskante und spekulative Geschäfte durch, die zu enormen Verlusten im Millionenbereich führten. Das Fehlen wirksamer Kontrollen und eine strikte Aufgabentrennung ermöglichten es, dass der Händler weit über seiner Handelskompetenz hinaus agieren konnte.
  • Unterschlagungen durch Mitarbeiter führten zu einem sechsstelligen Schaden sowie einer Rufschädigung.
  • Unzureichende Kontrollen im Rahmen der Bilanzierung führten zum Ausweis falscher Bilanzpositionen, was zu einem Vertrauensverlust bei Investoren führte.

Die genannten Beispiele verdeutlichen, dass das Fehlen eines wirksamen internen Kontrollsystems mit erheblichen Risiken einhergeht. Für Unternehmen sollte es daher vorrangig sein, ein IKS fest in ihren Betrieb zu integrieren und kontinuierlich dessen Wirksamkeit zu überwachen. Auf diese Weise gewährleisten sie, dass sie Risiken erkennen, angemessen darauf reagieren sowie den gesetzlichen Anforderungen entsprechen.

Risikoeffizienz im Fokus: Ein Beispiel aus der Praxis

Eine große Bank aus dem öffentlichen Sektor ist an die Managementberater der Eraneos-Gruppe mit der Problemstellung herangetreten, dass man in den letzten Jahren zwar ein äußerst umfassendes und vor allem angemessenes und wirksames IKS implementiert hat, mit der Menge an Kontrollen, den Kontrollhandlungen und Überwachungsmaßnahmen jedoch erhebliche Ressourcen bindet. Mit dem historisch über Jahre angewachsenen IKS sah man sich mit komplexen, nicht harmonisierten und kostenintensiven IKS-Prozessen konfrontiert.

Unser Ziel war es, das Kosten-Nutzen-Verhältnis auf Grundlage risikoorientierter Entscheidungen zu optimieren (Lean-IKS). Nach einer strukturierten Analyse unter Einbindung des Risikomanagements, Compliance, Revision und Fachbereichen insbesondere aus dem Backoffice konnte speziell mit folgenden Maßnahmen ein Effizienzpotenzial von rund 30% identifiziert und letztendlich auch gehoben werden:

Risikoorientierter Kontrollansatz: Jedes identifizierte Risiko wurde anhand einer Risikomatrix bewertet in Bezug auf Eintrittswahrscheinlichkeit sowie Schadenpotenzial für die Bank und in eine grün/gelb/rot-Skala überführt. Je höher die Einwertung, desto umfassender und häufiger sind Kontrollmaßnahmen durchzuführen um das identifizierte Risiko zu mitigieren. Umgekehrt, werden Kontrollmaßnahmen für „grüne Risiken“ komplett ausgespart.

Automatisierung: Insbesondere in standardisierten Geschäftsprozessen mit hohem Mengendurchsatz haben wir unter Einsatz Robotic Process Automation (RPA) manuelle Kontrollen automatisiert. Zudem wurden in Workflowsystemen verstärkt automatisierte workflowgesteuerte Freigaben implementiert. Dies erfolgte in Kombination mit einem Continious Control Monitoring (CCM) welches in Echtzeit die Kontrollaktivitäten und Freigaben überwacht und nur bei Schwellwertabweichungen und/oder zufallsgesteuerter Stichproben eine manuelle Kontrolle erfordert.

Risikoorientierter Überwachungsansatz: Die besten Kontrollen bringen nichts, wenn diese nicht auch regelmäßig auf Angemessenheit und Wirksamkeit beurteilt werden. Dies erfolgt zumeist durch eine geschäftsprozessunabhängige dritte Person im Fachbereich (1st Line of Defence) oder durch die 2nd LoD im Risikomanagement oder Compliance. Um diese Überwachungstätigkeit fokussiert zu steuern, haben wir die Einzel-Risikoeinwertungen bis auf die zweite Prozessebene des Unternehmens aggregiert und risikoorientiert priorisiert. Nach Pareto-Prinzip wird das Kontrollset der Unternehmensprozesse mit dem höchsten Gesamtbankrisiko einer jährlichen Überwachung unterzogen und der Überwachungsrhythmus bis auf drei Jahre abgestuft.

Nutzung von Risikomanagement-Tools: Ein Risikomanagementtool spielt eine entscheidende Rolle, wenn es darum geht, potenzielle Gefahren und Unsicherheiten in Geschäftsprozessen zu identifizieren, zu bewerten und zu bewältigen. Mit wachsender Unternehmensgröße und dem Ausbau eines IKS kommen auch Excel-Lösungen für das Management von Prozessen, Risiken und Kontrollen an die Grenzen. Spätestens wenn es daran geht, die zuvor beschriebene Überwachung zu unterstützen, spielen integrierte Tool-Lösungen wie zum Beispiel HOPEX ihren wahren Nutzen in Bezug auf Aktualität, Redundanzfreiheit, Audit-Trail und Entlastung in der manuellen Datenpflege aus.

Picture4.pngHOPEX integriert die wichtigen Themengebiete IKS, Risikomanagement und Prozessmodellierung und sorgt somit jederzeit für die Eindeutigkeit der Daten. Dabei ist es nicht nur eine Datenablage, also ein Repository, dass einfach nur sämtliche Prozessdiagramme speichert, sondern „Effizienzplattform“ gleichermaßen: Vorbereitete Bewertungskampagnen, Fragebögen undAktionspläne zur Nachverfolgung erlauben es, direkt und ohne Medienbruch mit den vorhandenen Prozessdaten zu arbeiten statt dafür wiederum auf Email, Excel oder andere Officewerkzeuge zurückgreifen zu müssen. Dashboards und Standardberichte helfen bei der Fortschrittsanalyse und Qualitätssicherung.

Picture7.pngPicture6.pngPicture5.png     Effizienz und konsequentes Risikomanagement schließen sich somit nicht aus. Um sicherzustellen, dass eine kontinuierliche Anpassung an sich ändernde Geschäftsanforderungen und Risiken Rechnung getragen wird, ist die fortwährende Beschäftigung mit der Kontrollumgebung, der Risikobewertung, den Kontrollaktivtäten und deren Überwachung unerlässlich. Quasi in einem fortwährenden Regelkreislauf. Und auch hier ist es natürlich von großem Vorteil, wenn auch das wiederum in der zentralen IKS-Lösung möglich ist, bspw. in Form von Erinnerungen und Aktionsplänen sowie Workflows, statt wiederum Einträge in Outlook vornehmen zu müssen.

In unseren Projekten als Fach- und Managementberater treffen wir auf wiederkehrende Fragestellungen. Nachfolgend einige Best Practices zum Management von prozessintegrierten Risiken:

  1. Risikobewusstsein fördern: Schärfen Sie das Bewusstsein von Mitarbeitenden dahingehend, dass Ihre täglichen Prozesse Risiken beinhalten und welche potenziellen Konsequenzen für das Unternehmen aus einem Schaden erwachsen können.
  2. Risikotransparenz schaffen: Erkannte Prozessrisiken am Geschäftsprozess dokumentieren einschließlich der mitigierenden Kontrollmaßnahme. Achtung: Viele Einzelrisiken auf Ebene des einzelnen Geschäftsprozesses können zu erhöhten Risiken auf Gesamt-/Hauptprozessebene führen – hier spielen integrierte BPM-Tool Ihre Stärken aus. DCP Blog Banner Teil 2.png
  3. Die Schnittstellen in den Fokus nehmen: Geschäftsprozesse machen nicht an Abteilungsgrenzen halt. Genau hier beobachten wir, dass es oft an Transparenz über prozessbasierte Risiken mangelt. Vor allem an den Schnittstellen zu externen Dienstleistern oder anderen Bereichen/Abteilungen fehlen wichtige Informationen.
  4. Verantwortlichkeiten benennen: So simpel dieser Punkt auch klingt, so oft scheitert ein wirksames IKS daran, dass nicht eindeutig geregelt ist, wer im Unternehmen für eine Kontrolldurchführung verantwortlich ist, wer die Risiken und Kontrollen regelmäßig überprüft und an wenn wann zu eskalieren ist.
  5. Die Risikoeffizienz im Blick behalten: Ziel ist es ein möglichst umfassendes Bild über die Risikosituation zu erhalten, also welche Risiken beinhalten meine operativen Unternehmensprozesse. Stellen Sie sich aber immer auch die Frage, wo es mitigierender Maßnahmen insbesondere in Form von Kontrollen bedarf und wo es als vertretbar anzusehen ist, Risiken zu akzeptieren.
  6. Am Ball bleiben: Die Überwachung der Prozessrisikosituation und Anpassung von Maßnahmen ist eine Daueraufgabe. Die beste Risikoidentifikation und das beste Design von Kontrollmaßnahmen nützt nichts, wenn deren Wirksamkeit nicht regelmäßig überwacht wird.
  7. Ein IKS dient nicht der Mitarbeiterüberwachung: Ein IKS soll die Prozesssicherheit erhöhen und die Eintrittswahrscheinlichkeit von Risiken mindern. Das IKS als Instrument der Mitarbeiterüberwachung zweckentfremdenden führt lediglich zu internen Widerständen bis hin zur kontraproduktiven Umgehung des IKS durch die Mitarbeitenden.
  8. Technologie nutzen: Geschäftsprozessmanagement- beziehungsweise Risikomanagement-Systeme helfen bei der Datenanalyse und -visualisierung zur besseren Risikofrüherkennung. Auch bei der Zusammenführung von identifizierten Risiken und Kontrollmaßnahmen sowie dem Kontrolldesign mittels sogenannter Risiko-Kontroll-Matrizen und nachgelagerten Kontrollbewertungen hilft eine Risikomanagementsoftware wie bspw. HOPEX-

Ein gut strukturiertes und wirksames Internes Kontrollsystem (IKS) bringt somit erhebliche Vorteile für Unternehmen mit sich. Es geht darum, die Prozesssicherheit zu Erhöhen und Compliance-Risiken zu senken. Davon profitieren Kunden, Mitarbeiter und Investoren gleichermaßen. Mitpassender Methodik und Stringenz in der Umsetzung sowie dem gezielten Einsatz von automatisierten Testen lassen sich die „Unterhaltskosten“ für ein IKS dauerhaft senken. Das Management von Prozessrisiken und die gleichzeitige Risikoeffizienz schließen sich mit dem passenden Implementierungsansatz nicht gegenseitig aus.

0 Likes
Contributors
Popular Articles
MEGA International © 1994 - 2024. All rights reserved