IKS und Compliance im Prozessmanagement

Das interne Kontrollsystem (IKS) umfasst Maßnahmen und Verfahren, um das Vermögen eines Unternehmens zu schützen und um rechtliche Vorschriften einzuhalten. Im engeren Sinne bezieht sich das interne Kontrollsystem für Kredit- und Finanzdienstleistungsinstitute auf prozessabhängige Überwachungsmaßnahmen. Ob Funktionstrennung oder das Vier-Augen-Prinzip, ob Aufgaben, Kompetenzen oder Verantwortlichkeiten  regeln – hier sind Prozessmanager, Prozessorganisatoren und Betriebsorganisatoren gefragt. Sie brauchen solide Kenntnisse zu IKS und zu Compliance, damit integrierte Kontrollmechanismen ihre Wirkung entfalten können.

Das ibo Trendforum am 6. Mai 2014 in Frankfurt präsentiert Beispiele aus der Praxis, wie „IKS und Compliance im Prozessmanagement“ integriert werden. Fünf Referenten beantworten schon vor der Tagung die ersten Fragen und geben damit einen Einblick in ihre Vorträge.

  • Bernd Hientzsch Leiter Prozess und Managementsysteme, Infraserv GmbH & Co. Höchst KG, Frankfurt am Main; Bernd Hientzsch auf Xing
  • Dr. Jens Rose Prozess- und Projektmanager, swb Erzeugung GmbH & Co. KG, Bremen
  • Stefan Sebrecht, Qualitäts-, Prozess- und Projektmanagement, R+V Allgemeine Versicherung AG, Wiesbaden; Stefan Sebrecht auf Xing

 

1. Was sind die Merkmale eines guten und wirkungsvollen IKS- und Compliance-Systems?

Bungartz: Ein umfassender und ganzheitlicher Ansatz ist entscheidend für ein wirkungsvolles IKS- und Compliance-Systems. Hierbei ist wichtig  IKS und Compliance als Teil des Ganzen zu sehen. Insbesondere das kulturelle Umfeld, d.h. die Einstellung der Unternehmensführung zum IKS / Compliance (d.h. „Tone at the Top“ / „Management Support“) sind entscheidend.

Hientzsch: Dass es sich so nahe wie möglich an der Realität orientiert. Dazu lässt sich ein vorhandenes integriertes Managementsystem mit seiner Beschreibung der Ablauforganisation (Prozesse) optimal zur Implementierung eines prozessorientierten Ansatzes für IKS und Compliance nutzen.

Rose: Fokussierung auf Wesentliches, strukturelle Konsistenz (Ursache-Wirkungs-Zusammenhänge), prozessuale Integration, Transparenz.

Schomburg: Es berücksichtigt nur die wirklich wichtigen Risiken und bietet ein abgestuftes Vorgehen.

Sebrecht: Das IKS wird von der Organisation als unternehmerischer Mehrwert zur Fehlervermeidung und Qualitätssicherung verstanden, nicht als regulatorische Pflichtübung. Einheitliches standardisiertes Vorgehen, möglichst ohne Medienbrüche. Darstellung der Risiken in Verbindung zum Entstehungsort, erhöhte Sicherheit durch prozessuale Risikoidentifizierung. Kontrollen und Maßnahmen sind effizient und effektiv an den „richtigen“ Stellen im Prozess aufgesetzt. Plausibles Berichtswesen in Richtung Risikomanagement.

 

2. Wie haben Sie in Ihrem Unternehmen Risiken und Kontrollen in Prozessen dokumentiert?

Bungartz: Risiken und Kontrollen werden auf vielfältige Art dokumentiert. Abhängig von konkreten Anforderungen, sind üblicherweise Microsoft Office Anwendungen im Einsatz. Als besonders effektiv hat sich die Unterstützung durch entsprechende Software-Produkte erwiesen. Dabei ist die Auswahl der richtigen Software entscheidend – die falsche Software kann auch kontraproduktive Effekte haben.

Hientzsch: Wir nutzen dazu unser integriertes Managementsystem PRISMA mit seiner vorhandenen Beschreibung der Ablauforganisation und ergänzen diese mit IKS-Punkten die Bezug einen Bezug zu Risiken und Kontrollen herstellen.

Rose: (Noch) nicht systematisch.

Schomburg: Wesentliche operative Risiken sind in der Prozessmodellierung aufgeführt und explizite Kontrollen mit prüfbaren Beschreibungen unterfüttert.

Sebrecht: Das IKS wird im Rahmen des Prozesshauses dargestellt. Die Risiken sind auf Ebene der Aktivitäten, also innerhalb der Flowcharts, am Ort ihrer Entstehung modelliert. Je nach Hinterlegung hängen an den Risiken dann die entsprechenden Kontrollen. Zusätzlich ist jedes Risiko auf einer Risikomatrix ausgewiesen, um Schlüsselrisiken schnell zu erkennen.

 

3. Wer ist in Ihrem Unternehmen für IKS und Compliance zuständig (aufbauorganisatorische Ansiedlung) und wie haben Sie die Zuständigen für IKS und Compliance bestimmt?

Bungartz: Abhängig von der Unternehmensorganisation. Stabstelle der Unternehmensführung bis hin zu ganzen Abteilungen in der funktionalen Linie.

Hientzsch: Wir haben eine Chief Compliance Officer etabliert, er ist in der Zentralfunktion Recht, Revision, Compliance angesiedelt.

Rose: Für Berichterstattung: Bereich Finanzen, für fachliche/inhaltliche Verantwortung: nach Fachbereichen und für Überwachung der Wirksamkeit: Qualitäts-/Prozessmanagement.

Schomburg: Für unseren Bereich IT: ich als Prozessverantwortlicher Compliance und (IKS-) iRM-Manager IT. Es sollte eine Führungskraft mit Berichtsweg zur obersten Leitung sein.

Sebrecht: Die Verantwortung für inhärente Risiken (IKS) trägt der Prozesseigentümer (leitender Angestellter). Der Prozessmanager auf Mitarbeiterebene ist für die Identifizierung von inhärenten Risiken bei der Prozesserhebung zuständig, sein Bewertungsvorschlag im Rahmen der fachlichen Prozessfreigabe ist mit dem Prozesseigentümer abzustimmen (Freigabeworkflow).

 

4. Welche Rolle sollte nach Ihrer Auffassung ein Betriebs- oder Prozessorganisator im Hinblick auf IKS und Compliance haben?

Bungartz: Ein Betriebs- oder Prozessorganisator sollte die Kompatibilität der Prozesse im Blick haben und die Prozesse optimieren. Entscheidend für diese Rolle ist die Sicherstellung der betrieblichen Effizienz- und Effektivität, so dass ein IKS- und Compliance-System nicht die betrieblichen Abläufe behindert.

Hientzsch: Der Betriebsorganisator ist für mich der Leiter einer Organisationseinheit mit der operativen Verantwortung für regelwerkskonformen Betrieb. Er wird dabei von Prozesseignern, die die Prozesse verantworten unterstützt, oder ist sogar selber einer. Prozesseigner managen ihre verantworteten Prozesse gemäß Vorgaben vom Prozesskoordinator des Unternehmens. Der Prozesseigner ist in unsrem Unternehmen in der Pflicht die ggf. in seinen verantworteten Prozessen vorkommenden IKS-Punkte zu beachten.

Rose: Fachlich unabhängige Koordination, Überprüfung und Einforderung von Vollständigkeit, Konsistenz und Anwendung/Umsetzung.

Schomburg: Sicherstellen einer einheitlichen Methodik im Umgang mit Compliance-Anforderungen und –Nichtkonformitäten, Planen und Organisieren von Prüfungen, Überwachen von Aktivitäten, Bericht an die oberste Leitung.

Sebrecht: Identifizierung von inhärenten Risiken im Rahmen von Prozesserhebungen und Analysen, Bewertungsvorschlag hinsichtlich Risikohöhe und Eintrittswahrscheinlichkeit, Beratung bei der Aufsetzung von effizienten und effektiven Kontrollen bzw. Maßnahmen.

 

5. Wie viel IKS und Compliance sind genug?

Bungartz: IKS- und Compliance muss bei einem geeigneten Ansatz nicht übermäßig viel Aufwand bedeuten. Wesentliche Grundelemente sind zu etablieren, die bei einem geeigneten kulturellen Umfeld, die notwendigen Wirkungen entfalten.

Hientzsch: Wenn ein Unternehmen sich sicher sein kann, alle regulatorischen Anforderungen einzuhalten, sich seiner Risiken bewusst ist und diese wirksam überwacht.

Rose: So viel wie nötig, so wenig wie möglich.

Schomburg: „Genug ist dann, wenn man nichts mehr weglassen kann“ gilt auch hier. Compliance-Management darf kein Selbstläufer werden, sondern muss sich immer im Kontext der Wettbewerbsfähigkeit der wertschöpfenden Prozesse sehen. Ausschließlich das Top-Management muss das Level seiner Risikobereitschaft festlegen.

Sebrecht: Der unternehmerische Mehrwert hinsichtlich Fehlervermeidung und Qualitätssicherung sollte im Fokus stehen. Konzentration auf wesentliche Risiken. Der Aufwand, insbesondere beim Berichtswesen, muss dem Nutzen angemessen gegenüberstehen.

 

5 Kommentare

  1. … und wer nicht teilnehmen kann, kann den Live-Tweet auf unserer Homepage (www.ibo.de) oder direkt bei Twitter verfolgen (#iboTF) …

  2. Sehr interessante Einblicke in die Vorträge zur Compliance Officer Ausbildung und der Bedeutung dieses Berufs im Geschäftsleben. Dieser Artikel ist auf jeden Fall lesenswert für alle die sich für Compliance-Systeme interessieren und nicht die Chance hatten am 6. Mai in Frankfurt sein und den Vorträgen zu lauschen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.