Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Ein digitales Internes Kontrollsystem kann ein Wettbewerbsvorteil sein. (Foto: putilov_denis/stock.adobe.com)
Nachgefragt bei Roxana Meschke

Digitalisierung von Kontrollsystemen: Worauf kommt es an?

ESV-Redaktion Management und Wirtschaft
04.08.2020
Das digitale Interne Kontrollsystem (IKS) von morgen soll freie Ressourcen schaffen, ohne dabei zum Risikofaktor zu werden. Wie das funktionieren kann, beleuchtet Roxana Meschke, Partnerin im Bereich Risk and Controls bei KPMG, im Interview mit der ESV-Redaktion. Lesen Sie in Teil 1, welche Risikofaktoren zu beachten sind, worin der Mehrwert liegt und wie insbesondere kleine Unternehmen vorgehen sollten.


Inwiefern kann ein digitales Internes Kontrollsystem freie Ressourcen schaffen?

Roxana Meschke: Der Begriff digitales Internes Kontrollsystem kann einerseits das Kontrollset für neue digitale Geschäftsmodelle und die digitale Transformation in Geschäftsprozessen selbst umschreiben. Andererseits kann er die Weiterentwicklung des Internen Kontrollsystems von manuellen hin zu automatisierten Kontrollen und die Digitalisierung beziehungsweise die Automatisierung der Prozesse des IKS-Cycles definieren. Vor allem die zweite Perspektive birgt das Potenzial, Freiräume für bereits eingeplante Ressourcen zu schaffen, etwa im Risk Assessment oder in der Wirksamkeitsüberwachung. Die Nutzung von automatisierten Funktionalitäten in den ERP-Systemen (Enterprise-Resource-Planning), digitalen Ablage-Tools, CCM-Ansätzen (Continuous Controls Monitoring) oder auch die Nutzung von RPA (Robotic Process Automation) und KI-Lösungen können dabei helfen, manuelle Dokumentationen, ineffiziente Prozesse und aufwendige Kontrolldurchführungen zu vereinfachen. So kann etwa der manuelle Dokumentationsnachweis durch digitale Footprints ersetzt werden.

Welche Risikofaktoren sind dabei zu beachten?

Roxana Meschke: Ein wesentlicher Risikofaktor bei jeder Art von Digitalisierung ist der Faktor Mensch aufgrund von Angst vor der Änderung und vor einer höheren Transparenz. Um Akzeptanz zu erreichen, ist es zentral, dass die Mitarbeiter abgeholt werden, klar kommuniziert wird und Regelungen festgelegt werden. Zusätzlich ist sicherzustellen, dass Mitarbeiter über die notwendigen Skill-Sets verfügen, um die neuen Systeme zu entwickeln, zu pflegen und zu beurteilen. Außerdem ist darauf zu achten, wie mit der neu gewonnenen Transparenz umgegangen wird. Wie werden identifizierte Schwachstellen geschlossen? Wie werden Auffälligkeiten nachverfolgt und wie kann das Unternehmen klar dokumentieren, dass es allen regulatorischen Anforderungen gerecht geworden ist im Sinne der Sorgfaltspflicht? Weitere Risikofaktoren liegen in der technischen Komponente. Beim Einsatz von RPA- und KI-Lösungen entstehen neue inhärente Risiken, die über eine angemessene Governance zu kontrollieren sind. Nicht zuletzt ist das immanente IT-Risiko aufgrund der Anfälligkeit von Cyber- und Ausfall-Risiken nicht zu vernachlässigen.

Was bleibt unterm Strich als Mehrwert eines digitalen internen Kontrollsystems?

Roxana Meschke: Dazu zählen Effizienz und zusätzliche Sicherheit durch die Entlastung der Mitarbeiter, die Vermeidung von Fehlern und die Erhöhung der Transparenz für eine schnellere und präzisere Analyse der Geschäftsvorfälle. Das digitale IKS kann ein Wettbewerbsvorteil und eine Investition in die Zukunftsfähigkeit des Unternehmens sein, etwa durch schnellere Reaktionszeiten bei Freigaben und besser gesteuertes Lieferantenmanagement. Grundsätzlich bietet sich die IKS-Digitalisierung als Pilotprojekt für die digitale Transformation im gesamten Unternehmen an, da keine wertschöpfenden Prozesse betroffen sind und viel Automatisierungspotenzial vorhanden ist. Insbesondere vor dem Hintergrund der zunehmenden Regulierungen und Gesetze kann ein digitales IKS helfen, die Anforderungen etwa durch die Datenschutzgrundverordnung, Anforderungen zum Schutz kritischer Infrastrukturen, Tax Compliance, CSR (Corporate Social Responsibility) und das geplante Verbandssanktionengesetz umzusetzen.

Wie lassen sich Automatisierungen und Sicherungssystem sinnvoll einbauen? Schließlich ist die Technik noch anfällig für Fehler, die sich zum Teil auch manuell nicht beheben lassen.

Roxana Meschke: Bei der Sicherung von digitalen Lösungen im IKS ist es von hoher Bedeutung, die eigene Governance für RPA- und KI-Lösungen angemessen zu implementieren. Das umfasst nicht zuletzt eine unternehmensweite Richtlinie zum Umgang und zur Entwicklung entsprechender Lösungen und ein auf diese Lösungen ausgerichtetes IT-Operating-Model, etwa im Hinblick auf Zugriffsrechte und Change-Management. Insbesondere bei geschäftskritischen Aktivitäten ist auf redundante Systeme zu achten, da viele Software-Lösungen noch in der Entwicklung sind und damit fehleranfällig sein können. Notwendig ist auch eine angemessene Sicherung der automatisierten Aktivitäten und Kontrollen. Bei der Entwicklung ist darauf zu achten, dass jede automatisierte Aktivität einen angemessenen Nachweis produziert, darunter Log-files und automatisch erstellte unveränderbare PDF-Dateien. Ein kontinuierliches Monitoring der RPA- und KI-Aktivitäten ist entscheidend, um bei Ausfall eines einzelnen Bots schnell reagieren zu können.

Insbesondere kleinere Unternehmen stoßen bei Bemühungen um ein einheitliches internes Kontrollsystem an Grenzen. Nach langen Entwicklungsphasen droht teilweise ein Projektstopp. Woran liegt das?

Roxana Meschke: Die Gründe für ein Scheitern können vielfältig sein. Die Erfahrung zeigt, dass es dennoch einige wiederkehrende Aspekte gibt, die es beim Projektaufsatz zu berücksichtigen gilt. Gegenüber IKS-Projekten bestehen häufig im Vorfeld Vorbehalte wie der zusätzliche Aufwand. Weitere Probleme sind fehlerbehaftete, inkonsistente, unvollständige Excel-Tableaus (RKMs), eingeschränkter Aussagegehalt von Kontrollen, hoher Zeitbedarf, manuelle und zum Teil nur für das IKS durchzuführende Dokumentationen und fehlende Einbettung in existierende Prozessabläufe. Neben diesen erschwerten Startbedingungen kann es bei der Projektdurchführung zu weiteren Herausforderungen kommen. Häufig fehlt ein „tone from the top“ – wenn das Management nicht hinter dem Projekt steht, ist ein Scheitern vorprogrammiert. Außerdem besteht zwar oft eine geregelte Verantwortung bei der Projektdurchführung, die Übernahme der IKS-Verantwortung im nachgelagerten Regelbetrieb ist jedoch ungeklärt. Ein extern beauftragter Berater wird immer nur für einen bestimmten Zeitraum im Unternehmen aktiv sein, im Anschluss muss das IKS jedoch durch die Mitarbeiter weiterleben. Häufig wird zu wenig Zeit für eine ausführliche und frühzeitige Kommunikation eingeplant, um alle relevanten Stakeholder angemessen abzuholen und einzubinden. Nicht zuletzt ist auf den Umfang des zu implementierenden IKS und auf die Durchführbarkeit der entwickelten Kontroll-Aktivitäten zu achten.

Wie sollten betroffene Unternehmen in solchen Fällen vorgehen?

Roxana Meschke: Es ist von grundlegender Bedeutung, ausreichend Zeit auf die Zielsetzung und die Konzeption des IKS zu verwenden. Wenn das Unternehmen schon ein IKS aufbaut, warum dann nicht eines, dass die Geschäftsstrategie und die Ziele unterstützt, auf die für das Unternehmen relevanten Anforderungen eingeht und über digitale Lösungen auch zur Wertschöpfung beiträgt. Außerdem bedarf es in jedem IKS-Projekt der uneingeschränkten Unterstützung durch die Unternehmensführung. Die Verantwortung sollte auf dieser Ebene verortet werden, eine regelmäßige Einbindung muss erfolgen und das Projektteam muss im Bedarfsfall entsprechend unterstützt werden. Schließlich ist eine offene und strukturierte Kommunikation im Unternehmen selbst und insbesondere auch gegenüber den Stakeholdern unumgänglich, um eine hohe Akzeptanz zu schaffen. 

Zur Person

Roxana Meschke ist Partner, Audit, Corporate Governance Services bei der KPMG AG Wirtschaftsprüfungsgesellschaft. Zu ihren Fachgebieten zählen Interne Kontrollsysteme, Risikomanagement und Interne Revision. Sie berät Mandanten bei der Implementierung und Prüfung von Governance-Systemen. Dabei setzt sie sich vor allem mit der Fragestellung auseinander, wie diese Bereiche in der Zukunft aussehen und ist Expertin für Digitalisierungsstrategien von Führungs- und Überwachungsfunktionen.

Lesen Sie in Teil 2 des Interviews, welche Vorteile freiwillige Prüfungsstandards bieten und mit welchen regulatorischen Änderungen zu rechnen ist.

Revision des Internen Kontrollsystems

Herausgegeben von: DIIR - Deutsches Institut für Interne Revision

Das Interne Kontrollsystem (IKS) stellt die Leistungsfähigkeit der eingesetzten Überwachungsinstrumente und -mechanismen von Unternehmen auf den Prüfstand: Mit Kontrollen soll angemessen sichergestellt werden, dass wesentliche Geschäftsprozesse und -aktivitäten möglichst effektiv, effizient und fehlerfrei ablaufen.

Der im DIIR-Arbeitskreis „Revision des Finanz- und Rechnungswesens" entwickelte Praxisleitfaden unterstützt Sie bei der Prüfung der Wirksamkeit des IKS in kaufmännischen Prüfungsgebieten mit prägnanten Darstellungen und vielen Beispielen für Unternehmen aller Größen. Im Fokus u.a.:

  • Inhärente Risiken, die für die involvierten Unternehmensabläufe relevant werden
  • Prozessbezogene Steuerungs- und Kontrollaktivitäten, die von und für die jeweils verantwortlichen Abteilungen aufzuzeigen sind
  • Empfohlene Prüfungsmethoden, die eine praktikable und hinreichende risikoorientierte Prüfungsdurchführung gewährleisten

Mit mehr als 30 einzelnen Prüfungsleitfäden zum Internen Kontrollsystem und allen in diesem Kontext wesentlichen kaufmännischen Prüfungsgebieten.


(ESV/fab)

Programmbereich: Management und Wirtschaft