Die Zeiten, in denen Unterlagen in Papierform weitergereicht oder Einzelbelege mühsam abgestimmt wurden, gehen zu Ende. Zunehmend werden auch interne Kontrollsysteme (IKS) digitalisiert. Wie Unternehmen durch bessere Nutzung der existierenden IT-Systeme, den Einsatz von Robotics für repetitive Prozess- und Kontrollschritte und andere Instrumente ihre Zukunftsfähigkeit sicherstellen, erklärt Roxana Meschke, Partnerin im Bereich Risk and Controls bei KPMG und Expertin rund um das Thema Digitalisierung von internen Kontrollsystemen und Prüfungsstandards.
DB: Trotz der fortschreitenden Digitalisierung auf allen Ebenen haben einige mittelständische Unternehmen ihre Bemühungen um ein einheitliches IKS nach langen Entwicklungsphasen gestoppt. Woran liegt das?
Meschke: „Die Einführung eines formalen, einheitlichen internen Kontrollsystems (IKS) birgt Herausforderungen. Eine erfolgreiche Umsetzung gelingt nur, wenn das Management-Team vollständig hinter dem Projekt steht, eine klare Regelung der IKS-Verantwortung nach der Implementierung definiert ist und eine frühzeitige sowie kontinuierliche Kommunikation erfolgt.
Während des Projekts ist zudem darauf zu achten, dass die Unternehmenskultur berücksichtigt wird. Erfahrungsgemäß wird in mittelständischen Unternehmen Vertrauen besonders großgeschrieben. In einem gesunden Unternehmen existieren in der Regel bereits zahlreiche, informelle Kontrollen. Es ist wichtig diese aufzugreifen, zu priorisieren und auf einen Mehrwert ausgerichtet zu formalisieren. Mitarbeiter sollten nicht mit Kontroll- und Dokumentationspflichten überfordert werden. In der Praxis sehen wir jedoch oftmals redundante, stark manuelle und auf wenig Mehrwert ausgerichtete Kontrolltätigkeiten.“
DB: Und dennoch ist die Digitalisierung der internen Kontrollsysteme nicht aufzuhalten …
Meschke: „Generell ist zu beobachten, dass der Wunsch nach einem einheitlichen und belastbaren IKS zunimmt und insbesondere für das Management sowie Aufsichtsgremien an Bedeutung gewinnt. Gründe hierfür sind zum einen die steigende Regulatorik in einer Vielzahl von Unternehmensbereichen, wie etwa durch die DSGVO oder Tax Compliance sowie externe Anforderungen in Form von Lieferanten-Audits, Lieferketten-Transparenz etc. Zum anderen wächst die Unsicherheit durch Disruption, Globalisierung und den daraus entstehenden Risiken. Ein einheitliches IKS kann helfen, auf diese Entwicklungen zu reagieren und dabei die Sicherheit und die Effizienz in den Geschäftsprozessen zu gewährleisten.“
DB: Das bedeutet, Sie raten auch kleineren Mittelständlern zum digitalen IKS?
Meschke: „Die Sorgfaltsverpflichtung der Geschäftsführung bzw. des Vorstands und die daraus resultierenden Anforderungen gelten bei mittelständischen Unternehmen (§43 GmbHG) genauso wie bei börsennotierten Großunternehmen (§93 AktG). Trotz häufig vorhandener informeller Kontrollstrukturen im Mittelstand ist es schwierig bis unmöglich, bei Bedarf einen angemessenen Nachweis dieser informellen Strukturen vorzulegen. Insbesondere durch die vielfach ansteigende Regulatorik wird dieser Nachweis jedoch zunehmend durch unterschiedliche Stakeholder gefordert. Auch das risikoreichere Umfeld fordert Unternehmen dazu auf, den Geschäftsbetrieb hinsichtlich Vermögenschutz, Prävention von Korruption bzw. Betrug, richtige Berichterstattung und operatives Wachstum sicherzustellen. Ein formales, einheitliches IKS kann hier helfen – zum einen schafft es einen Handlungs- und Regelungsrahmen für Mitarbeiter und stärkt die Compliance-Kultur im Unternehmen. Zum anderen schafft es Prozess-Transparenz, hilft bei der Risikosteuerung und kann in Summe zu einer besseren Entscheidungsfindung führen. Dafür ist jedoch ein individuell auf das Unternehmen ausgerichtetes IKS notwendig, das moderne, digitale Trends aufgreift und effizient gestaltet ist.“
DB: Wie sieht ein modernes, voll digitalisiertes IKS aus? Genügen da bereits einfache digitale Lösungen auf Kontrollebene?
Meschke: „Kontrollen zu digitalisieren, ist der erste Schritt auf dem Weg hin zu einem vollständig digitalisierten IKS. Workflow-Technologien, Robotics Process Automation sowie die Ausschöpfung automatisierter Systemkontrollen und des Customizings gelten als digitale Lösungen mit viel Potenzial, um den manuellen Kontrollaufwand zu reduzieren. Für ein voll digitalisiertes IKS ist es jedoch wichtig, dass die Digitalisierung weitergeht. Zum einen ist es notwendig über die digitale Transformation der IKS-Prozesse selbst nachzudenken, d.h. wie können Datenanalysen oder Robotics Process Automation im Scoping und Risk Assessment angewendet werden? Welche Chancen bieten digitale Lösungen bei der Wirksamkeitsüberwachung? Zum zweiten definiert sich ein voll digitalisiertes IKS darüber, dass Kontrollen nicht nur digitalisiert durchgeführt werden, sondern dass sie sich in die Geschäftsprozesse integrieren und letztendlich operative Entscheidungen vereinfachen und unterstützen. Ansätze hierfür sind z.B. Continuous Monitoring sowie digitale Corporate Governance-Plattformen, die an das ERP-System angeschlossen sind, Daten in Echtzeit überwachen können und die Kontrollverantwortlichen informieren.
Ein wichtiger Erfolgsfaktor ist bei all dem eine ganzheitliche und in andere Transformationsprojekte integrierte IKS-Digitalisierungsstrategie, die insbesondere auch den Sicherheitsaspekt der neuen digitalen Lösungen berücksichtigt. In der Folge wird die Wirksamkeitsüberwachung des Unternehmens effizienter, reduziert den hohen Ressourcenaufwand in den operativen Prozessen und Sicherheit, um der zunehmenden Komplexität in den Geschäftsprozessen zu begegnen.“
DB: Ein Teil der Kontrollaktivitäten beziehungsweise der Aktivitäten im IKS-Kreislauf sind repetitiv und manuell. Könnten hier auch Robotic Process Automation Modelle zur Anwendung kommen?
Meschke: „Robotic Process Automation (RPA) bietet insbesondere bei repetitiven Tätigkeiten und regelbasierten Entscheidungen viel Potenzial. Vor allem detektive Kontrollen, die nachgelagert im Prozess überwachend eingesetzt werden oder Kontrollen, die Datenabzüge benötigen, bieten sich hier an. Über RPA abgebildete automatisierte Datenabzüge und vordefinierte Datenanalysen können die Aussagekraft der Kontrollen erhöhen sowie den Ressourcenaufwand minimieren. Ein weiterer Aspekt ist die Übertragbarkeit einmal konzipierter Bots in andere Tochtergesellschaften, um damit Skaleneffekte zu erzielen. Voraussetzung ist jedoch ein einheitliches ERP-System sowie standardisierte Prozessabläufe.“
DB: Welche Herausforderungen gibt es bei RPA?
Meschke: „Insgesamt ist beim Einsatz von RPA darauf zu achten, dass neue Risiken entstehen können. Ein einmal programmierter Bot greift auf einen festen Code zurück und ist daher bei Änderungen im Prozess oder im System anfällig. Vor allem für geschäftskritische Kontrollaktivitäten ist es daher notwendig, die eingesetzten Bots kontinuierlich zu überwachen und ggf. redundant aufzubauen, um Ausfallrisiken einzugrenzen. Weitere wichtige Aspekte beim Einsatz von RPA sind z.B. Anforderungen an das Berechtigungskonzept sowie Log-Funktionalitäten, um die Aktivitäten der einzelnen Bots später nachvollziehen zu können.
Neben RPA sind Machine Learning und KI-Ansätze aktuelle Bestandteil vieler Diskussionen zur Digitalisierung. Für das IKS vieler Unternehmen scheinen diese Lösungen jedoch noch nicht geeignet, da für ihre Implementierung sehr große Datenmengen notwendig sind und diese bei den gängigen Kontrollaktivitäten häufig noch nicht vorliegen.“
DB: Wie schafft das digitale interne Kontrollsystem von morgen freie Ressourcen, ohne zum Risikofaktor zu werden?
Meschke: „Digitale IKS-Lösungen können an mehreren Stellen freie Ressourcen schaffen. Die Durchführung von digitalen Kontrollaktivitäten in den Geschäftsprozessen wird durch automatisch abgelegte Dokumentationen, automatisierte Analysen oder workflowbasierte Freigaben effizienter, während gleichzeitig die Sicherheit bzw. Reduktion der Risiken steigt. Darüber hinaus ermöglicht die Digitalisierung und Automatisierung, die reine Kontrollanzahl zu reduzieren, indem bestimmte Prozessrisiken von vornherein ausgeschlossen bzw. gesenkt werden können.
Auch in den IKS-Abteilungen können Ressourcen geschont und für andere, analytischere Aufgaben genutzt werden. Insbesondere die Reduktion des Aufwands für die Wirksamkeitsüberwachung steht hier im Fokus: Anstatt eine Vielzahl von Stichproben anzufordern, reicht für digitale Kontrollen eine Überprüfung der technischen Funktionalität und der System-Einstellungen. Gleichzeitig werden durch die digitale Prüfung die Ressourcen der Kontrollverantwortlichen in den operativen Prozessen geschont.
Um die Risiken der Digitalisierung zu minimieren, ist der Aufbau von technischer Kompetenz in der IKS-Abteilung notwendig. Darüber hinaus sollte die Wahl von zu automatisierenden Aktivitäten nach Kosten-Nutzen-Aspekten und unter Berücksichtigung einer dezidierten Risiko-Analyse erfolgen. Der Aufbau einer angemessenen Governance-Struktur rund um die eingesetzten digitalen Lösungen gilt als einer der wichtigsten Aspekte, um die Chancen zu nutzen und gleichzeitig neue Risiken unter Kontrolle zu halten.“
DB: Welchen weiteren Hürden gibt es außerdem für ein modernes IKS?
Meschke: „Ein modernes IKS beschränkt sich nicht nur darauf, möglichst digital zu sein. Vor dem Hintergrund der aktuell ansteigenden Komplexität in den Geschäftsmodellen sowie der Disruption und der Geschwindigkeit in allen Unternehmensbelangen gewinnt auch die Anpassungsfähigkeit und die Flexibilität von internen Kontrollsystemen einen immer höheren Stellenwert.
Darüber hinaus sind die Mitarbeiter und die gelebte Kultur in Unternehmen, trotz aller Formen der Automatisierung und Digitalisierung, ein zentrales Element guter und gelebter Corporate Governance. Eine starke Unternehmenskultur, geprägt von Wertschätzung und einem hohen Verständnis von Integrität, ist ein fundamentales Bindeglied und darf auch bei zunehmend digitaleren Prozessen nicht vernachlässigt werden.
Durch die ansteigende Regulatorik mit Auswirkungen auf eine Vielzahl von Geschäftsbereichen sollte sich das IKS von der reinen Finanzberichterstattungsperspektive, die in vielen Unternehmen noch die Grundlage darstellt, lösen. Immer mehr Prozessrisiken sind operativ oder stehen im Zusammenhang mit Compliance-Anforderungen. Die Trends rund um Nachhaltigkeit und Business Continuity oder die Diskussionen um das Lieferkettengesetz oder das Verbandssanktionengesetz erfordern eine Weiterentwicklung der internen Kontrollen im Unternehmen. Hier sind alle Corporate Governance-Funktionen gefordert zusammen zu arbeiten und integrative Ansätze zu erarbeiten, um trotz steigender Risiken eine effiziente und effektive Governance für das gesamte Unternehmen sicherzustellen.“
Vielen Dank für das Interview!
Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.