Risikomanagement für Geschäftsprozesse zur Absicherung, Stabilisierung und Optimierung des Geschäftsbetriebes
Risiken können auf Ebene des Unternehmens oder auf Ebene der Prozesse analysiert werden. Prozessrisiken können in sämtlichen Bereichen eines Unternehmens auftreten: von der Beschaffung über die Produktion bis hin zum Absatz, aber auch in der Rechnungslegung, der Finanzierung und im Bereich der Steuern. Auf der Ebene der Prozesse bestehen die Risiken darin, dass die einzelnen Geschäftsvorfälle nicht vollständig oder richtig erfasst, nicht geprüft oder genehmigt und in den IT-Systemen nicht ordnungsgemäß verarbeitet und gespeichert werden.
Grundmuster für Risiken in IT-gestützten Prozessen
- Risiko Vollständigkeit: Die relevanten Geschäftsvorfälle werden nicht vollständig erfasst (zum Beispiel: es werden – am zentralen Einkauf vorbei – per Zuruf Bestellungen bei Lieferanten getätigt, die nicht im ERP-System erfasst werden). Ferner besteht das Risiko, dass die im System erfassten Geschäftsvorfälle nicht vollständig zur Weiterverarbeitung angenommen werden, z.B. wenn die Daten aufgrund eines Schnittstellenfehlers unvollständig von einem System zum anderen übertragen werden oder wenn die Daten im System nicht vollständig verbucht werden. Ein anderes Vollständigkeits-Risiko besteht darin, dass Geschäftsvorfälle (z.B. Eingangsrechnungen) doppelt erfasst werden, z.B. weil es keine systemgestützten Kontrollen gibt, die dies wirksam verhindern.
- Risiko Richtigkeit: Neben der Vollständigkeit besteht ein Risiko grundsätzlich darin, dass die notwendigen Angaben zu den Geschäftsvorfällen im ERP-System nicht mit den richtigen Werten erfasst werden, z.B. wenn Rechnungen mit dem falschen Betrag oder Steuerkennzeichen erfasst werden. Die Rechnungen können auch auf den falschen Konten, nicht zeitnah oder nicht periodengerecht gebucht werden. Bei automatisierten Verarbeitungsprozessen (z.B. bei einer systemgestützten Kalkulation von Herstellkosten) wird die Richtigkeit durch die programmierte Verarbeitungslogik in den Systemen sowie durch dessen Parametrisierung bestimmt (z.B. durch das im System hinterlegte Kalkulationsschema). Die Risiken liegen hierbei dann nicht auf der Ebene der Geschäftsvorfälle, sondern auf der Ebene der Parametrisierung und Programmierung des Systems.
- Risiko Gültigkeit: Dieses Risiko beschreibt den Fall, dass Geschäftsvorfälle aufgezeichnet werden, die tatsächlich nicht stattgefunden haben (z.B. bei der Erfassung von fiktiven Umsatzerlösen) oder die nicht zum Geschäft des Unternehmens gehören (z.B. wenn Eingangsrechnungen erfasst und bezahlt werden für Leistungen, die das Unternehmen nicht erhalten hat). Die Gültigkeit wird grundsätzlich dann eingeschränkt, wenn die Geschäftsvorfälle nicht von den zuständigen Personen (im Rahmen des Vier-Augen-Prinzips) genehmigt werden.
- Risiko Zugriffsbeschränkung: Wenn Daten und Programme nicht ausreichend vor einem unautorisierten Zugriff geschützt sind, besteht das Risiko, dass diese absichtlich manipuliert oder unabsichtlich verändert werden. Auch sind vertrauliche Informationen (z.B. aktuelle Geschäftszahlen) nicht mehr ausreichend geschützt.
- Risiko Nachvollziehbarkeit: Ein weiteres Risiko auf Prozessebene besteht auch darin, dass die Veränderungen an den Datenbeständen nicht protokolliert werden. In diesem Fall könnte die Vollständigkeit, Richtigkeit, Gültigkeit und Genehmigung von Geschäftsvorfällen eingeschränkt sein, da die einzelnen Änderungen nicht mehr nachvollzogen werden können. Die Nachvollziehbarkeit ist darüber hinaus auch dann eingeschränkt, wenn automatisierte Verarbeitungsprozesse nicht ausreichend beschrieben sind, z.B. durch eine Programmdokumentation, die es einem Dritten ermöglicht, die wesentlichen Schritte nachzuvollziehen.
Jedes Unternehmen hat Regeln zur Bearbeitung der Geschäftsvorfälle aufgestellt und Kontrollen eingerichtet, um diesen Risiken zu begegnen. Der Unterschied liegt im Formalisierungsgrad. Die einen arbeiten mit konkreten, schriftlichen fixierten Vorgaben in Form von Verfahrensanweisungen oder Richtlinien, die anderen verzichten auf eine Verschriftlichung der Vorgaben, leben jedoch Prozesse, in denen gewisse Regeln eingehalten und Kontrollen berücksichtigt werden. Insofern verfügt jedes Unternehmen, das eine Weile am Markt besteht, über ein gewisses Maß an Risikomanagement. Schon aus Eigeninteresse ist jedes Unternehmen bestrebt Maßnahmen einzurichten, die sicherstellen
- dass die operative Geschäftstätigkeit effektiv und effizient durchgeführt wird, z.B. dass keine Ressourcen verschwendet werden (Kostenkontrolle), das die Qualität der Produkte und Dienstleitungen stimmt und dass die Lieferzeiten eingehalten werden (Kundenzufriedenheit),
- dass Gesetze und Regularien eingehalten werden (Compliance), um bei Nichteinhaltung monetäre Sanktionen, rechtliche Auflagen, Gefährdung von Leib und Leben von Personen, Verschmutzung der Umwelt, zivil- und strafrechtliche Prozesse zu vermeiden,
- dass die IT-Systeme, z.B. die Finanzbuchhaltung oder das Controlling, verlässliche Informationen und Zahlen liefern, die für unternehmensinterne wie externe Entscheidungen eine wichtige Grundlage darstellen. Damit wird soll das Risiko vermieden werden, dass unternehmerischen Entscheidungen auf der Grundlage von aufgrund von nicht validen Daten getroffen werden.
Unser Ansatz
In Zusammenhang mit der Prüfung des Jahresabschlusses beschäftigen wir uns als Wirtschaftsprüfer und Berater regelmäßig mit Prozessen und darin enthaltenen Risiken. Der Wirtschaftsprüfer ist es gewohnt die Risiken für seinen Mandanten in Bezug auf die Richtigkeit der Rechnungslegung zu beurteilen. Wir sind deshalb Spezialisten bezüglich rechnungslegungsbezogener Unternehmensprozesse wie auch wertschöpfender Kernprozesse und kennen deren Risiken. Dieses Wissen stellen wir unseren Kunden zur Verfügung.
Unser Ansatz verfolgt das Ziel, durch ein wirksames Risikomanagementsystem die Unternehmensleitung und die Kontrollorgane in die Lage zu versetzen, ihren gesetzlichen Pflichten nachzukommen. Darüber hinaus soll durch eine starke Risikoorientierung und Komplexitätsreduktion die Unternehmensüberwachung nachhaltig verbessert und durch das Aufdecken von Optimierungspotenzialen ein nachhaltiger Mehrwert geschaffen werden.
Unsere Lösungen decken sowohl die Gesamtorganisation des Internen Risikomanagementsystems, als auch dessen Teilaspekte ab, wie z.B.:
- Interne Kontrollsysteme in der Rechnungslegung
- Compliance Management
- Interne Revision
- Fraud Management
- Notfallplanung
Praktische Umsetzung
Viele Unternehmer oder Führungskräfte stehen vor der Frage, wie das Risikomanagement für Prozesse sinnvoll in die Unternehmensabläufe einbettet werden kann, insbesondere dann, wenn die Prozesse historisch gewachsen sind.
Ein wichtiger erster Schritt ist die schriftlich dokumentierte Aufnahme der vorhandenen Prozesse. Ein Bestandteil der Prozessaufnahme sind die vorhandenen und die potenziellen Risiken sowie die in den Prozessen integrierten Kontrollen. Durch den Abgleich mit einem idealtypischen Prozess und dessen Risiken ist dann leicht erkennbar, wo konkrete Risiken und Schwachstellen liegen, die es zu beseitigen gilt. Diese Aufnahme kann durch das Unternehmen selbst erfolgen. Eine Unterstützung und Begleitung von Experten ermöglicht eine neutrale Verifizierung und Reflexion von gewachsenen internen Abläufen sowie Strukturen. Diese können eine Standortbestimmung im Vergleich zu anderen Unternehmen vornehmen und konkrete Empfehlungen zur Weiterentwicklung systematischer Abläufe aussprechen.
Trotz aller Automatisierung bleibt der Mensch der Risikofaktor Nummer eins. Deshalb ist es erforderlich, die einzelnen Mitarbeiter einzubinden, um ein Verständnis der Risiken zu ermöglichen und Akzeptanz für notwendige Maßnahmen zu schaffen, damit diese auch zukünftig im Unternehmen gelebt werden. Wichtig ist aber auch, dass die Prozesse und notwenigen Maßnahmen unter Berücksichtigung der Größe und Komplexität des Unternehmens angemessen festgelegt werden. Ein wirksames Risikomanagement in den Prozessen darf kein Störfaktor sein und effiziente operative Prozesse nicht verhindern. Entscheidend ist, dass Kontrollmaßnahmen Bestandteil der täglichen Arbeit eines jeden Mitarbeiters werden.
Was leistet ein Risikomanagement in den Prozessen?
Ein Risikomanagement für Prozesse erfüllt nicht nur die gesetzlichen Vorschriften zum Anleger- und Gläubigerschutz, sondern liefert auch einen Mehrwert: ein internes Kontrollsystem sichert Vermögenswerte, verhindert Manipulationsmöglichkeiten und hilft die Geschäftsziele zu erreichen.
Ein weiterer Vorteil ist darüber hinaus die Chance zur Leistungsoptimierung, indem Prozesse effizienter gestaltet und die allgemeine Integrität, z.B. die Zuverlässigkeit der Daten erhöht wird. Eine Analyse von Prozessen deckt Prozessineffizienzen auf. Ferner werden Möglichkeiten zur Automatisierung von Kontrollaktivitäten aufgezeigt, wodurch Fehler oder Abweichungen früher erkannt und eskaliert werden können. Eine IKS- und Prozessanalyse liefert damit einen Wertbeitrag für stabile, integriert und verlässlich arbeitende Geschäftsprozesse.