Das Interne Kontrollsystem im Digitalen Zeitalter

The world of ICS

Erschienen im KMU-Magazin Nr. 7 / 8. Juli / August 2019 – Strategie & Management

Author Andreas von Grebmer

Zugegeben, es gibt sicher spannendere Themen rund um die Digitalisierung. Aber auch im Informationszeitalter braucht eine Organisation immer noch ein Internes Kontrollsystem (IKS). Vielleicht mehr denn je, weil sich das «Entwicklungsrad» in allen Bereichen immer schneller dreht (Künstliche Intelligenz, Automatisierung, IoT, Gesetzesanforderungen, Anforderungen aller Anspruchsgruppen). Unter diesen Bedingungen geht schnell mal etwas unter, was dann schlimmstenfalls zu einer Rückrufaktion, einer Busse, einem Versicherungsfall, einem Gerichtsfall oder Ähnlichem wird.

«Sie entscheiden, ob Sie diese Reise mit einem Sicherungsseil antreten bzw. fortführen, oder ob Sie doch lieber Free Climbing betreiben möchten.»

Es gibt viele Definitionen was ein Internes Kontrollsystem ist und können soll. Die etwas trockene Wikipedia Beschreibung liest sich so:

«Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns und von Kontrollen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Die Maßnahmen können sowohl prozessunabhängig als retrospektive Kontrollen, beispielsweise durch die Interne Revision, als auch prozessabhängig als präventive Regeln durchgeführt werden. 

Als Grundlage eines IKS kommen häufig Kontrollmodelle wie z. B. COSO oder COBIT zum Einsatz.»

Das klingt wenig spannend und im ersten Moment fällt es schwer darin eine Gelegenheit für ein Digitalisierungs-Projekt zu sehen, sich von Mitbewerbern abzuheben und dafür auch noch Ressourcen zur Verfügung zu stellen.

Digitalisierung ist der «Hype», aber wieviel wird wirklich gemacht? Meine Wahrnehmung ist, dass viel geredet wird, aber bei der Konkretisierung wird eher zögerlich zu Werke gegangen. Da bietet sich eine IKS-Digitalisierung quasi an. Das IKS besteht meistens aus nicht allzu komplexen Prozessen, sofern überhaupt welche vorhanden sind. Ausserdem sind diese Prozesse nicht direkt wertschöpfend. Das IKS ist also ein idealer Kandidat für ein Digitalisierungs-Pilotprojekt, Sie können nur gewinnen und sei es nur an Erfahrungen für spätere Digitalisierungen von geschäftskritischen Prozessen.

Sie können sich auch denken, «Ein IKS? Haben wird, alles o.k.». Aber eines zu haben und genau zu wissen in welchem Zustand es ist, bzw. wie effizient und effektive es arbeitet, das sind zwei verschiedene Dinge. Vorfälle in jüngster Zeit zeigen, dass es trotz vorhandenem IKS zu Vorfällen mit schlechter Presse oder noch grösserem Impact kommen kann. Dies gilt es zu vermeiden.

Längst haben neben den Beratern, die das IKS als Produkt oder Dienstleistung ansehen, viele Unternehmer und Spezialisten aus allen Bereichen, entdeckt, dass da durchaus mehr drinsteckt. Dass es sich um mehr als ein «Must Have» aus Compliance Sicht handelt, sondern, dass es – wenn man es mit der «Chancen/Risiko-Brille» betrachtet – ein Wettbewerbsvorteil sein kann.

Es kann im Idealfall ein gutes Steuerungsinstrument sein, das Ihnen hilft alle Stakeholder Aspekte besser unter Kontrolle zu haben.

 «Ob man ein verstaubtes IKS hat, was alle Beteiligten als Klotz am Bein betrachten, oder ob man ein integriertes IKS hat, dass Entscheidungen und Strategien unterstützt, liegt im wesentlichem in der Einstellung. Und gemeint ist in diesem Fall die Einstellung der Entscheidungsträger.»

Der «Must Have» Faktor (OR Art. 716a) bleibt bestehen und wird durch zunehmende Regulierungen und Gesetze immer stärker. Mit GDPR, dem neuen Europäischen Datenschutzgesetz, neuen Gesetzen über kritische Infrastruktur etc. ist «unregulated Industry» quasi Geschichte. Sie könnten sich auch darauf verlassen, wie oft behauptet wird, dass Unternehmen nach einer Krise oder einem Skandal meist besser dastehen als vorher, aber ist das immer so?

Also wenn Sie schon ein IKS haben müssen, warum dann nicht eines, dass die Geschäft-Strategie unterstützt? Eines das nicht aus verstaubten Richtlinien besteht die sowieso keiner kennt und die wenigsten wirklich interessiert. Wenn ich denn schon eines haben muss, warum nicht eines, dass die Unternehmensstrategie und Ziele unterstützt und im Idealfall zur Wertschöpfung beiträgt? Und zu guter Letzt sollte das ideale IKS auch die Anforderungen (Gesetze, Standards etc.) ALLER Unternehmens relevanten Bereiche wie Umweltschutz, Datenschutz, Informations- & Cybersecurity, Finanzen, Personalwesen, Sicherheit, Gleichstellung usw. managen können.

Isolierte Betrachtungen bringen je länger desto weniger den gewünschten Erfolg. Ich meine damit, dass die beste Erfindung/Neuerung, und sei diese noch so innovativ, nur den gewünschten Erfolg bringt, wenn Sie auch gesellschaftlich anerkannt wird. Die entsprechenden Risiken finden Sie eben nur über die ganzheitliche, integrierte Betrachtung.

Das Grundrisiko für alle Mitarbeiter, vom Verwaltungsrat bis zum Verkaufspersonal ist das ein eintretender «Vorfall» den eigenen Arbeitsplatz und die damit verbundenen Vergütungen gefährdet. Ausserdem besteht das Haftungsrisiko. Wenn das die Einzelnen nicht interessiert, dann hat ein Unternehmen ein strukturelles Problem. Davon ausgehend, dass es jeden einzelnen interessiert, eröffnet sich mit der Digitalisierung die Chance, ein IKS einzuführen was akzeptiert und lebbar ist. Leitende Angestellte und Verwaltungsratsmitglieder haben weiter das Risiko das Ihre Organhaftpflichtversicherung (syno. Managerhaftpflicht, Directors and Officers LiabilityDirectors and Officers Liability (D&O)) Regressansprüche stellt bei z.B. Grobfahrlässigkeit.

«Wenn Sie ein IKS haben und es nicht pflegen und hegen, dann ist das, als ob sich ein Bergsteiger nicht um den Zustand seiner Sicherungsseile kümmert: Sie hätten sie gar nicht mit auf den Berg schleppen müssen.»

Grafik –IKS Quo Vadis

© Andreas von Grebmer

Wie also muss ein IKS aussehen, dass den Herausforderungen der Zukunft gewachsen ist?

Sie sollten jetzt nicht einfach losrennen und sich die erst beste Lösung anschaffen. Damit würden Sie mittelfristig nur ein digitales IKS einführen, was nicht gelebt wird. Gehen Sie es strukturiert an.

Was wollen und was brauchen Sie? Ihre Benutzeranforderungen.

Wie bei allen Anschaffungen will man den Sportwagen und wird nach den ersten Offerten feststellen, dass man mit weniger auskommt. Gehen Sie es als Projekt an, in Ruhe aber mit festem Terminplan.

Also ist der erste Schritt die Dokumentation der Benutzeranforderungen. Hierbei ist, und das ist nichts Neues, wie immer wichtig:

  • Identifizieren Sie ALLE Stakeholder und dokumentieren Sie deren Anforderungen.
  • Definieren Sie die Anforderungen in der adäquaten Tiefe, also nicht «Informationssicherheit muss gewährleistet sein» sondern messbar bzw. testbar.
    • Gespeicherte Informationen sind verschlüsselt
    • Uebertragene Information sind verschlüsselt
    • usw.

Es ist vielleicht hilfreich, sich an der «Best in Class» Definition zu orientieren, das heisst am 2018 erstmals veröffentlichten Gartner Magic Quadrant für «Integrated Risk Management» (IRM). Wenn Sie sich an den Funktionalitäten die dort gefordert werden orientieren, dann geht Ihnen zumindest keine wesentliche Funktionalität durch die Lappen. Ist es realistisch ein Tool zu finden, das alles kann was dort gefordert wird? Nein, aber es ist trotzdem ein guter Überblick.

Der Markt bietet Lösungen die in die Breite und in die Tiefe gehen, das heisst Lösungen die «alles» können, Lösungen die spezifische Sachen können. Mit einer Lösung binden Sie sich doch für einen gewissen Zeitraum, also sollten Sie adäquate evaluieren. Je nach Firmengrösse sollten Sie die Evaluierung schon als Projekt aufsetzen.

Der kritischste Erfolgsfaktor für jedes Digitalisierungsprojekt ist ein Softfaktor, der Faktor Mensch. Digitalisierung schafft in erster Linie Transparenz. Oftmals volle, schonungslose Transparenz. Man denkt jetzt das kann ja nur gut sein. Bei den meisten Menschen löst das Unbehagen aus. Wenn sie dies nicht kontrollieren, zum Beispiel mit einem parallelen Organisational-Change Projekt, dann könnten Sie den Erfolg des Projekts gefährden. Kommunizieren Sie, wie die Organisation mit der Transparenz umgeht, was erwartet wird und was nicht. Ohne klare Kommunikation der neuen Arbeitsweisen und Regeln finden Mitarbeiter, die unzufrieden sind oder falsche Vorstellungen und Erwartungen haben, Umgehungsstrategien. Eine davon kann sein, dass Missstände die sie kennen, nicht im System erfassen, bzw. zu spät erfassen.

Fazit: Ein IKS ist ein demzufolge ein MUST HAVE, zumindest für jedes Unternehmen wo das Geschäftsmodel auf digitale Prozesse bzw. digitaler Wertschöpfung beruht. Wenn Sie eines haben, dann sollten Sie sich vergewissern, ob es im jetzigen Zustand alle nötigen Anforderungen erfüllt. Oder schadet es zurzeit mehr als es nützt, zum Beispiel weil es Entscheidungen verlangsamt. Handeln Sie jetzt, die Konkurrenz schläft in diesem Bereich nicht. Vermeiden Sie den Kardinalsfehler und denken Sie bei dem was Sie tun an den Faktor Mensch. Eine perfekte technische Lösung ohne Akzeptanz, ja sogar mir passiver Ablehnung nützt Ihnen nichts. Ein digitales IKS schafft erhöhte Transparenz und die führt oft zu Ängsten, die Sie im Zuge der Einführung auch managen müssen.

Die Digitalisierung des IKS bzw. das Aufsetzen eines IKS wo keines vorhanden ist, bietet sich als ideales Pilot Projekt für Ihre Digitalisierungs-Roadmap.