Kontrollen kosten Geld und erfordern Mitarbeiter, Prozesse und technologische Ressourcen. Für eine effektive Gestaltung der internen Kontrollen sollten Sie zunächst eine Risikobewertung durchführen. Verwenden Sie hierzu eine Kombination aus qualitativen und quantitativen Methoden, um Kontrollen zu priorisieren und zu implementieren, die die kritischsten Risiken beilegen. Hierfür ist ein risikobasierter Fokus erforderlich, etwa hinsichtlich der Art und Weise, wie Prüfer an ihre Arbeit herangehen.

Dies erscheint sinnvoll, denn wenn kein Risiko vorhanden ist, sind auch keine Kontrollen notwendig. Risiken und Kontrollen sind eng miteinander verknüpft. Für die Einführung eines soliden Kontrollsystems ist daher eine fundierte Risikobewertung unabdingbar.

1. Priorisieren und bewerten Sie Ihre Risiken nach Wahrscheinlichkeit, Auswirkung und Relevanz

Klassifizieren und kategorisieren Sie Ihre Vermögenswerte nach ihrer Kritikalität. Risk in Focus 2019 zufolge zählen folgende Risiken zu den Top-Risiken (mit wahrscheinlich großen Auswirkungen auf das Geschäft):

(Um mehr über Risikobewertungen zu erfahren, empfehlen wir, das Enterprise Risikomanagement – Integrated Framework des COSO zu beachten und dieses an Ihren Bedarf anzupassen.)

2. Klassifizierung und Kategorisierung nach Art der internen Kontrollen (Prävention, Aufdeckung und Reaktion)

In Bezug auf die Effektivität entspricht die Kategorie 1 der höchsten und 7 der niedrigsten Kontrollkategorie. Je höher die Kategorie, desto schneller kann die Kontrolle der Bedrohung begegnen und die Auswirkungen verringern.

3. Vergessen Sie den Kostenfaktor nicht

Wenn die Kosten für präventive Kontrollen geringer sind als die Kosten für die Behebung des Problems (und die möglichen Folgekosten, die mit den Auswirkungen verbunden sind, für die die Kontrolle konzipiert wurde), dann entscheiden Sie sich für präventive Kontrollen. Die Kosten für den Einsatz einer präventiven Kontrolle umfassen Entwicklung, Installation, Konfiguration, Betrieb und Wartung. Des Weiteren müssen Sie die Kosten für die Schulung von Mitarbeitern und die Überprüfung der Nutzung der Kontrolle berücksichtigen. Eine ähnliche Kostenanalyse ist erforderlich, wenn es um den Einsatz detektivischer und reaktiver Kontrollen geht. Nachdem Sie all diese Kosten berücksichtigt haben, entscheiden Sie über den Einsatz der entsprechenden Kontrolle.

4. Beseitigen Sie überflüssige Kontrollen

Überflüssige Kontrollen sind kostspielig und zeitaufwändig. Daher ist es am besten, Kontrollen für jene Risiken zu identifizieren und zu eliminieren, die durch eine andere Kontrolle abgedeckt werden. Das gilt auch für Kontrollen, die nicht wirklich auf ein bestimmtes Risiko bzw. Ereignis abzielen. Wenn eine Kontrolle überflüssig ist, dürfte sich die Kosteneffizienz verbessern, nachdem man sie beseitigt hat.

5. Richten Sie den Fokus auf die Aufgabentrennung

Wenn ein Mitarbeiter zu viele Befugnisse hat, wird das Auftreten von Betrugsfällen wahrscheinlicher. Daher ist es unerlässlich, dass Pflichten und Aufgaben von verschiedenen Personen erfüllt werden. Ein Mitarbeiter sollte nicht die Befugnis haben, einen neuen Lieferanten anzulegen und gleichzeitig Transaktionen zu dessen Bezahlung einzugeben. Sind Mitarbeiter autorisiert, beide Aufgaben durchzuführen, könnten sie einen Scheinlieferanten anlegen und bezahlen.

In manuellen Systemen werden Mitarbeiter benötigt, die die Arbeit eines anderen Mitarbeiters überprüfen. Aber automatisierte Systeme trennen die Aufgaben nach Rollen. Das bedeutet, dass die Mitarbeiter nur definierte Aufgaben ausführen können, was den Bedarf an manueller Aufsicht verringert.

6. Automatisieren Sie alles

Risikomanagement-Software bietet die beste Möglichkeit, Ihre internen Kontrollen zu automatisieren. Sie priorisiert Risiken nach Schweregrad und Wahrscheinlichkeit. Das bedeutet, dass auch die Kontrollen priorisiert werden. Die Software fasst Ihre Risiken und Kontrollen zusammen und beseitigt doppelte Daten sowie doppelten Arbeitsaufwand.

Zu automatisierten präventiven Kontrollen gehören:

• Die erzwungene planmäßige Aktualisierung von Passwörtern.
• Regelmäßige Überprüfung und Bestätigung der Sicherheitsrichtlinien.
• Zuweisung von Autorisierungsbeträgen und Verhinderung, dass Benutzer übermäßige Beträge eingeben.

Beispiele für automatisierte detektivische Kontrollen:

• Verwenden Sie Intrusion Detection- oder Anti-Virus-Software zur Erkennung risikoreicher Aktivitäten und erstellen Sie automatische Berichte. (Diese können eine Doppelfunktion als korrektive Kontrollen ausfüllen, wenn sie den Eindringling oder Virus beseitigen oder unter Quarantäne stellen.)
• Verwenden Sie ein automatisiertes Audit-System, um Daten auf Abweichungen von Richtlinien und Vorschriften zu überprüfen und heben Sie diese in einem Dashboard hervor. Beispielsweise kann die Lösung Ihre ERP-Daten überprüfen und außerhalb der Bürostunden erfolgte Eingaben markieren. Bei Eintritt eines Risikoereignisses tritt das System automatisch in Aktion. Dann könnte automatisch ein Alarm gesendet werden, um Maßnahmen zu ergreifen.

7. Richten Sie Selbstkontrollverfahren ein

Die Prüfung ist ein nützlicher Mechanismus, um die Wirksamkeit interner Kontrollen zu bewerten. Aber Selbstkontrollverfahren tragen dazu bei, ein wirksames internes Kontrollsystem zu schaffen und aufrechtzuerhalten. Selbstkontrollverfahren erkennen Kontrollversagen rasch, so dass reaktive Kontrollen zum Einsatz kommen können.

Nehmen wir einmal an, Sie verfügen über ein präventives Kontrollverfahren, das die Beträge, die Sie in das Finanzsystem eingeben dürfen, begrenzt. Doch dann passiert etwas Seltsames: Sie können auf einmal einen nicht genehmigten Betrag eingeben. Die reaktive Kontrolle würde sofort eine E-Mail an Ihre Vorgesetzten schicken und sie über die Eingabe informieren. Diese könnten dann umgehend ein Follow-up durchführen. Alle Eingaben ab einem bestimmten Betrag müssten von Ihren Vorgesetzten genehmigt werden, bevor sie ausgezahlt werden.

Wird eine Kontrolle nicht durch ein Selbstkontrollverfahren geschützt, kann ein Versagen der Kontrolle unbemerkt bleiben. (Beachten Sie, dass Selbstkontrolle und ausfallsichere Eigenschaften Voraussetzungen für die übergeordneten Kategorien von Kontrollsystemen sind).

Wenn Sie eine interne Kontrolle auswählen, sollten Sie dokumentieren, wie und warum diese spezielle Kontrolle ausgewählt wurde. Der Berufsverband der IT-Revisoren (ISACA) hat ein Arbeitsblatt zur Auswahl von internen Kontrollen veröffentlicht, das Sie für diese Zwecke verwenden können.

Erfahren Sie, wie ControlsBond Sie dabei unterstützt, das interne Kontrollmanagement zu vereinfachen, die Absicherung zu erhöhen und die Compliance zu automatisieren.