Compliance Management – Internes Kontrollsystem meets ECM

Compliance Management – Internes Kontrollsystem meets ECM

Ein internes Kontrollsystem bringt Klarheit in den CompliancedschungelNach einer kurzen Einleitung zum Thema Compliance Management (Teil 1: Was bedeutet Compliance?) und dessen verschiedenen Facetten (Teil 2: Aspekte des Compliance Managements) beleuchte ich hier den organisatorischen Rahmen zur Steuerung von Prüfaufgaben. Oder anders gesagt ein Internes Kontrollsystem, kurz IKS. Worum geht das dabei genau und wie kann ein ECM dabei unterstützend wirken?

Compliance Management ist Chef-Sache

Bei inzwischen über 25.000 Regeln allein für eine ordnungsgemäße Geschäftsführung, ist ein durchdachter organisatorischer Rahmen für deren Steuerung und Einhaltung absolute Pflicht. Wer nicht schon ohnehin gesetzlich zum Compliance Management verpflichtet ist und mehr als nur über externe und interne Spielregeln des Unternehmens informieren möchte, installiert in der Regel ein IKS.

Was ist ein Internes Kontrollsystem

Ein Internes Kontrollsystem, IKS oder auch GRC (Governance Risk and Compliance), besteht aus systematisch gestalteten organisatorischen Maßnahmen und Kontrollen im Unternehmen – zur Einhaltung von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können.

Sowohl der Vorstand von Aktiengesellschaften als auch die Geschäftsführung größerer GmbHs muss ein Risikomanagementsystem einrichten und darüber hinaus auch umfassend dokumentieren (AktG, KoTraG, BilMoG). Bleibt die Dokumentation aus, handelt es sich um einen wesentlichen Gesetzesverstoß. In der Regel führt das zur Nichtentlastung des Vorstands.

Die Struktur des IKS nach Prof. Thomas Berndt ACA-HSG – Quelle: http://www.speicherguide.de/management/storage-management/alptraum-der-kmus-25.000-compliance-vorschriften-14923.aspx

Die Struktur des IKS nach Prof. Thomas Berndt ACA-HSG – Quelle: www.speicherguide.de

Aufgaben des Internen Kontrollsystems

Das Überwachungsorgan hat in seinem Bericht mitzuteilen, in welcher Art und in welchem Umfang es die Geschäftsführung der Gesellschaft während des Geschäftsjahres geprüft hat. Dies betrifft z. B. die Zahl der Sitzungen, Angaben über die Häufigkeit der Prüfungen sowie Gegenstand und Methoden der Prüfungen. Bei wirtschaftlichen Schwierigkeiten muss das Überwachungsorgan auch darüber berichten, ob und mit welchem Erfolg er seine Überwachungstätigkeit intensiviert hat. Dies betrifft insbesondere außergewöhnliche Prüfungsmaßnahmen, etwa Anforderungsberichte, Einsicht in Bücher und Dokumente, Beauftragung von Sachverständigen und Entscheidungen über Zustimmungsvorbehalte.

Grundlagen eines IKS

Transparenz

Für Prozesse müssen Sollkonzepte etabliert sein, auf Basis derer Außenstehende beurteilen können, inwieweit Beteiligte konform zu diesem Sollkonzept arbeiten. Gleichzeitig wird dadurch die Erwartungshaltung der Organisationsleitung definiert.

Vier-Augen-Prinzip

In einem gut funktionierenden Kontrollsystem bleibt kein wesentlicher Vorgang ohne (Gegen-)Kontrolle.

Funktionstrennung

Bestimmte Tätigkeiten innerhalb eines Unternehmensprozesses – z. B. der Einkaufsprozess verstanden als Prozess von der Bedarfsermittlung bis zum Zahlungsausgang –  sind von unterschiedlichen Personen wahrzunehmen. Dabei ist zwischen Vollziehenden (z. T. Abwicklung von Einkäufen), Verbuchenden (z. B. Finanzbuchhaltung, Lagerbuchhaltung) und Verwaltenden (z. B. Lagerverwaltung) zu unterscheiden.

Mindestinformation

Mitarbeitern stehen nur diejenigen Informationen zur Verfügung, die sie für ihre Arbeit brauchen. Dies schließt auch die entsprechenden Sicherungsmaßnahmen bei IT-Systemen mit ein.

Die Ziele sichern ALLEN Stakeholdern das Überleben eines Unternehmens – seien es die Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen inkl. IT, die Zuverlässigkeit von betrieblichen Informationen, die Vermögenssicherung oder Regeleinhaltung in Bezug auf Gesetzgebungen zur Sicherung der Reputation.

Das ECM kommt in Spiel

Nachdem geklärt ist, wer was und in welchen Zeiträumen durchzuführen und (gegen) zu prüfen hat, geht es an die technische Umsetzung der Dokumentationen und Kontrollen. Die simpelste Möglichkeit dafür: eine Excel-Tabelle (Beispiel). Das andere Extrem: ein professionelles, aber sehr teures GRC-System. Wer bereits eine ECM-Software im Hause einsetzt, dem bietet sich ein eleganter Mittelweg: Den Beteiligten des IKS kann die technische Unterstützung ihrer anfallenden Prüfaufgaben mit einer einfachen Anwendung aus drei Bauteilen zur Verfügung gestellt werden:

  1. Aufgabenkatalog:
    Im Aufgabenkatalog werden alle regelmäßig auszuführenden Aufgaben mit Hinterlegung der jeweiligen Verantwortlichen, dem Durchführungsrhythmus (z. B. jeden Montag) und einer Word-Protokollvorlage eingetragen. Letztere enthält die Informationen darüber, was zu tun ist, und einen Bereich, in dem die Ergebnisse protokolliert werden.
  2. Aktive Aufgaben (Workflow):
    Wird einer der hinterlegten Termine im Aufgabenkatalog erreicht, wird eine aktive Aufgabe in den Eingangskorb der verantwortlichen Personen gelegt. Diese Person kann sich nun informieren, was zu prüfen ist und nach Erledigung seiner Aufgabe das Protokoll schreiben, ggf. weitere Dokumente hinzufügen und seine Ausführung bestätigen. Ist ein 4-Augen-Prinzip hinterlegt, so erhält auch diese Person noch eine Aufgabe und verfährt entsprechend.
  3. Audit-Trail:
    Die endgültig bestätigten Aufgaben werden im Audit-Trail archiviert und für weitere Analysen, Verbesserungen und Audits ggf. durch Externe bereitgehalten – z. B. für die IT-Compliance nach SAS 70 II für Versicherungen, die auch in den USA tätig sein wollen.
cover Praxis Guide Compliance

Praxis-Guide: „Alles rechtens? Sicher“

Fazit Internes Kontrollsystem

Wie unschwer zu erkennen ist, liegt der Schwerpunkt aller Aufwände eines Internen Kontrollsystems in der Analyse, welche Aspekte aufgrund welcher Gesetze und Risiken besonders zu prüfen sind und diese Prüfungen zu organisieren. In diesem Fall ist der technische Teil meist mit einem geringen Aufwand versehen. Am Ende sichert ein funktionierendes Internes Kontrollsystem das Überleben einer Organisation mit ab.

»Teil 1: Was bedeutet Compliance
»Teil 2: Aspekte des Compliance Managements

» Mehr zum Thema
Lesen Sie unsere Praxis-Guide Alles rechtens? Sicher! – Mit ECM Compliance Management meistern.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *