Beim näheren Hinsehen gibt es viele Berührungspunkte von Themen wie Internes Kontrollsystem (IKS), Risikomanagement oder Compliance auf der einen Seite und Tätigkeitsfelder des Prozessmanagements wie Prozessoptimierung, Prozessmodellierung oder kontinuierliche Prozessverbesserung (KVP) auf der anderen Seite. Unter dem Akronym GRC werden in Praxis und Wissenschaft Ansätze diskutiert, wie man die Verflechtungen zwischen den GRC-Disziplinen (Governance, Risk and Compliance) mit den GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie) zielorientiert koordiniert. Da solche umfänglichen Modelle schnell Gefahr laufen, durch ihre Komplexität nicht realisierbar zu werden, konzentriere ich mich im Folgenden ganz pragmatisch auf vier Vorteile, die ich sehe, wenn man Risiko- und Prozessmanagement integriert in Unternehmen gestaltet.
1. Transparenz durch einheitliche Prozessdokumentation
Ein erster unmittelbarer Nutzen ist, das Prozessbeschreibungen ein geeignetes Mittel sind, um Regelungen, Anweisungen, Verordnungen, etc. schriftlich zu fixieren. Die Transparenz ist für alle Beteiligte wichtig: Für die Unternehmensleitung, da sie ihrer Verantwortung zur Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien nur nachkommen kann, wenn die aus dem Compliance resultierenden Regelungen allen Betroffenen klar sind. Den Vorgesetzten in den Fachbereichen helfen die Prozessdokumente, ihre gesetzlich und betriebsintern geforderten Führungs- und Kontrollaufgaben wahr zu nehmen. Den Mitarbeitern geben Prozessmodelle Sicherheit bezüglicher ihrer eigenen Aufgaben und Entscheidungsmöglichkeiten. Und den Überwachungsorganen wie Interne Revision, Risikomanager oder Compliance-Officer erleichtern dokumentierte Prozesse ihre Arbeit, weil sie so ihrer objektiven Prüfungs- und Beratungstätigkeit nachkommen können.
Um eventuelles Fehlverhalten bei Prozessdurchführungen feststellen zu können, muss klar sein, wie der richtige Prozess aussieht. Durch die Dokumentation des geregelten Ablaufes ist es für Dritte nachvollziehbar, ob die Prozessbeteiligten die logische Folge von Aufgaben im geregelten Sinne erledigen. Revisoren, Wirtschaftsprüfer und sonstige Kontrollorgane stellen deshalb bei ihren Prüfungen zunehmend klare Anforderungen an eine ordentliche Prozessbeschreibung. Nicht förderlich für die Prozesstransparenz sind beispielsweise prozessuale Regelungen, die mal als Matrix, mal als Fließtext und mal als grafische Ablaufdarstellung festgehalten sind. Und wenn dann für die Prozessmodelle auch noch unterschiedliche Diagrammtypen im Haus kursieren, wird es unordentlich. Erst mit einer nach einheitlichen Konventionen gestalteten Prozessdokumentation ist man Compliance konform. Dazu sollte für die ausgewählte Notation festgelegt werden, welche Diagrammtypen, Sichten, Symbole oder Namenskonventionen für die jeweiligen Prozessebenen, –sichten und -typen im Unternehmen zu nutzen sind.
2. Risikoorientierte Prozessgestaltung
Mit der internationalen ISO Norm “ISO 31000 für Risikomanagement” liegt seit 2008 ein umfassendes Regelwerk vor, wie Unternehmen Risiken aktiv und präventiv kontrollieren. Auch das deutsche Aktiengesetz verpflichtet in § 91 Absatz 2 AktG den Vorstand eines Unternehmens dazu, Risiken durch angemessene Kontrollmaßnahmen frühzeitig zu identifizieren. Im Prozessmanagement sind vor allem die sogenannten operationellen Risiken relevant. Sie umfassen alle technischen, menschlichen und organisatorisch begründeten Soll-Ist-Abweichungen in Prozessen. Zu den von Prozessmitarbeitern zu verantwortenden Risiken zählen ebenso Fehler aus Unachtsamkeit oder Nicht-Wissen wie absichtliche Betrugsfälle, um sich persönlich zu bereichern. Bei IT-Systemen gibt es Gefahren wie fehlerhafte Programmroutinen oder Systemausfälle. Ein unklares Kompetenzsystem, ein mangelndes 4-Augen-Prinzip oder fehlende Informationen im Prozess sind typische organisatorische Risiken.
Um das Risikomanagement bestmöglich umzusetzen, sind bereits beim erstmaligen Prozessdesign oder bei der Prozessoptimierung Risiken und Kontrollen in die Prozessgestaltung zu integrieren. Die Risikosicht ermöglicht es, an Aufgaben, Teilprozessen oder Sachmitteln Risiken und Kontrollen direkt im Prozess zu hinterlegen. Dies kann entweder durch eigene Zeilen in den jeweiligen Symbolen erfolgen. Alternativ kann auch das eigene Risikosymbol an bestehende Aufgaben, Teilprozesse oder Sachmittel angebunden werden. Aufgaben können auch mit dem Lupensymbol als Kontrollaufgaben markiert werden. Es ist ebenfalls möglich, ein oder mehrere Risiken für den gesamten Prozess zu formulieren und am Input des Prozesses zu vermerken. Auch diesen übergreifenden Prozessrisiken können Kontrollen bzw. Kontrollaufgaben gleich bei der Prozessgestaltung zugewiesen werden.
3. Synergien durch Integration von Risikomanagement und Prozesssteuerung
In der Praxis findet man häufig zwei Welten vor: Auf der einen Seite gibt es die meist von Prozessmanagern oder Prozessmanagement-Beratern erstellten ausführlichen Prozessdokumentationen. Auf der anderen Seite pflegen Führungskräfte die für ihren Bereich relevanten IKS-Daten in einer Risiko-Kontroll-Matrix. In diesem meist in einer Tabellenkalkulation geführten Werkzeug sind neben den Risiken und Kontrollen auch weitere Informationen wie finanzielle Auswirkungen des Risikos oder Art, Häufigkeit und Verantwortlichkeit der Kontrolle übersichtlich dargestellt. Werden nun wie unter zweitens vorgestellt die operationellen Risiken mit den dazugehörigen Kontrollen bereits in der Prozessmodellierung berücksichtigt, ergeben sich hier heraus zum Teil erhebliche Einsparpotenziale für die Planung und Überwachung der Risiken und Kontrollen.
Technisch bieten sich hier Komplettlösungen an, die sowohl die GRC-Funktionalitäten als auch die Prozessmodellierung in einer Anwendung integrieren. Nachteilig an solch umfassenden Tools ist meist, dass sie im Vergleich zu spezialisierten Anwendungen in den einzelnen Funktionsbereichen nicht so leistungsfähig sind. Alternativ kann man auf jeweils spezialisierte BPM– und Revisionssoftware setzen, die durch eine gemeinsame Datenbank die Felder für Risiken und Kontrollen integriert nutzen können. Die Arbeit der für das IKS Zuständigen wird unterstützt, indem die prozessimmanenten Risiken und Kontrollen in einer Risiko-Kontroll-Matrix leicht überführt werden können. So können dann zum einen Lücken im IKS durch fehlende Kontrollen für bestimmte Risiken ermittelt werden. Zum anderen werden mögliche mehrfache Kontrollen zum gleichen Risiko aufgespürt. Umgekehrt profitieren Prozessmanager von der technischen Integration, indem sie bei der Prozessmodellierung nicht nur die Risiken und Kontrollen aus dem IKS-System nutzen können, sondern auch alle weiteren Datenbankfelder des Risikomanagementsystems wie Risikoklassen, das “Scoring” der Risiken oder die Verantwortlichen für die Kontrollmaßnahmen.
4. Arbeitserleichterung für die Interne Revision
Schließlich sieht Corporate Governance auch ein internes Überwachungssystem vor, das das Interne Kontrollsystem (IKS) überprüft. Die “Kontrolle der Kontrolle” ist in der Regel Aufgabe der Internen Revision. In Audits wird geprüft, ob die Prozessregelungen, das Risikomanagement und das Interne Kontrollsystem umgesetzt wurden und ob sie zielführend sind. Sie können im Rahmen umfangreicher Systemprüfungen oder stichprobenartiger Einzelfall- oder Funktionsprüfungen erfolgen. Vor allem die ganzheitlich angelegten Operational Audits eignen sich, Prozessrisiken wirkungsvoll zu identifizieren, Schwächen im internen Kontrollsystem aufzuspüren und Ideen zur Prozessoptimierung zu erarbeiten.
Je einheitlicher und durchgängiger eine risikoorientierte Prozessdokumentation im Unternehmen gelebt wird, desto leichter fällt die Arbeit der Internen Revision. Die Prüftätigkeit kann sich ganz auf die inhaltliche Arbeit konzentrieren und wird nicht durch verschiedene Darstellungen der operationellen Risiken abgelenkt. Und auch hier können sich Synergien ergeben, wenn die Auditoren mit einem System arbeiten, dass Schnittstellen zur Prozessdatenbank hat. Die Verantwortlichen aus der Internen Revision, Konzernrevision oder Rechnungsprüfung profitieren davon, wenn in ihre Prüfungspläne oder in ihr Reporting bereits vorliegende Informationen aus den Risiko-Kontroll-Matrizen oder Prozessmodellen automatisch übernommen werden können.
Die Interne Revision hat sich in den letzten Jahren von einer ehemaligen reinen Prüfstelle hin zu einer internen Assistenz der Geschäftsleitung entwickelt, die in Sachen IKS nicht nur unabhängig und objektiv prüft sondern auch ganzheitlich berät. Folglich gibt sie auch Empfehlungen ab, wie das Interne Kontrollsystems sinnvoll ausgestaltet wird oder Prozesse optimiert werden können. Nicht zuletzt durch diesen Wandel werden erhöhte Anforderungen aus dem Bilanzrechtsmodernisierungsgesetz (BilMoG) an die Revisionsarbeit gestellt. So muss diese interne Stabsfunktion unter anderem über einen risikorientierten und standardisierten Planungsprozess verfügen und Art und Umfang der Prüfungshandlungen lückenlos dokumentieren. Neben bereits allgemeinen Vorteilen einer prozessorientierten Prozessdokumentation ist die Risikosicht in Prozessmodellen für die Revisionsarbeit zusätzlich interessant. Will man beispielsweise bestimmte Prüfungen nicht öffentlich machen, können mit Hilfe der Risikosicht Kontrollen zielgruppenspezifisch transparent gemacht werden.
Ausblick
Obwohl die vier aufgezeigten Vorteile eines integrierten Risiko- und Prozessmanagements offensichtlich sind, beobachte ich in der Praxis immer wieder, dass Managementansätze trotz der Synergiepotenziale häufig ein Eigenleben in verschiedenen Bereichen führen. Neben menschlichen Gründen sind häufig auch strukturelle Aspekte Ursachen für das Silodenken. Deshalb beschäftige ich mich in meinem nächsten Blog mit der organisatorischen Frage, wie eine übergreifende Verantwortung für Prozessrisiken aussehen kann. Hier gibt es bereits Rollen und Stellen wie Risikomanger, Compliance-Officer oder Interner Revisor, deren Aufgabenprofil Ähnlichkeiten mit einem Process owner haben.
Sie schreiben: “Auch das deutsche Aktiengesetz verpflichtet in § 91 Absatz 2 AktG den Vorstand eines Unternehmens dazu, Risiken durch angemessene Kontrollmaßnahmen frühzeitig zu identifizieren” …. dies steht nicht in § 91 Absatz 2 AktG …. zudem werden Kontrollmaßnahmen wohl kaum Risiken frühzeitig identifizieren, oder?
Guten Tag, ich habe diese Seite heute für mich “entdeckt”, obwohl mich mit diesem Thema seit langem beschäftige. Sie schreiben sehr gute und sachliche Artikeln. Das Buch hatte ich auch eine Zeit als einen ständigen Begleiter gehabt. Vielen Dank dafür.
Gerne werde ich Ihre Meinung zu der Nomenklatur von Prozessen hören wollen, die sich in der Prozessdokumentation wieder findet.
Es geht darum, was Sie für eine Konstrukt für die ID-Bezeichnugen von Prozessen empfehlen werden. Es gibt versch. Herausforderungen mit diesem Thema. Ebenen, Segmente, Bereiche und vieles mehr.
Sind irgendwelche Konzepte bei Ihnen dafür bekannt?
Vielen Dank