IKS mit COTS - worauf muss ich achten? (Teil 1)

Zahlreiche etablierte und neue Anbieter von Standardsoftware (“Commercial-off-the-shelve”, abgekürzt COTS) buhlen um die Gunst der Geschäftskunden, wenn es um die Digitalisierung der Geschäftsprozesse geht. Beispiele sind Microsoft 365, Google Workspace, Atlassian mit ihren Produkten Jira und Confluence oder das relativ neue monday.com.

Doch welche Anforderungen muss eine solche Software bei der Implementierung eines Internen Kontrollsystems (IKS), bestehend aus einem Risikomanagement und eines Internen Kontrollumfelds, erfüllen. Wir sagen es Ihnen.

An erster Stelle steht die Erfassung von Risiken und Kontrollen. Diese erfolgt i. d. R. strukturiert, d.h. man benötgt die Möglichkeit eigene Felder anlegen zu können. Beispiele sind: Risikomatrixwerte (Eintrittswahrscheinlichkeit, Schadenshöhe, Risikowert), Aufbau-und Ablauforganisatorische Zuordnungen oder im Bereich der Kontrollen, ob sich um Schüsselkontrolle handelt, wie die Kontrollfrequenz ist und ob es sich um eine präventive oder detektive Kontrolle handelt.

Wurde ein Risiko oder eine Kontrolle erfasst, müssen diese unter Einhaltung einer Funktionstrennung freigegeben werden. Wichtig ist hierbei, dass die Freigabe über einen Workflow der Person übergeben und die Freigabe mit den Informationen Freigeber und Freigabedatum dokumentiert werden. Des Weiteren müssen die Risiken und Kontrollen regelmäßig einem erneuten und dokumentierten Review unterzogen werden.

Ein operationalisiertes IKS besteht im Wesentlichen aus drei Komponenten. Den Risiken, den Kontrollen und den Kontrolldurchführungen. Kontrollen lassen sich in drei Kategorien unterteilen. In Konfigurationskontrollen (zB Freigabeschwellen bei Bestellungen in einem ERP), in semi-automatische und in manuelle Kontrollen. Bei den halbautomatischen Kontrollen liefert ein vorgelagertes System ein Treffermenge, die bspw. eine Stichprobe anhand gewisser Kriterien darstellt. Und bei manuellen Kontrollen muss eine Person die Kontrolle vollständig manuell durchführen. Ein Beispiel ist hier die Durchsicht und Freigabe einer Zahlungsvorschlagsliste.

Allen drei Kontrolltypen ist gemeinsam, dass sie eine Kontrollfrequenz (wöchentlich, monatlich, jährlich etc) besitzen. Die Softwarelösung muss folglich im Stande sein, den Kontrollkatalog nach den gewissen Kriterien auszuwerten und für die Ergebnismenge müssen Kontrollaufgaben erstellt, zugewiesen und mit einer Fälligkeit versehen werden. Idealerweise werden hierbei nicht nur die Kontrollaufgaben erzeugt, sondern die Person kann zusätzlich Belege für die Kontrolldurchführung verknüpfen oder, noch besser, direkt in der Software speichern.

Lesen Sie im nächsten Teil, welche Anforderungen an die Software im Bezug auf die Alarmierung und die Eskalation in einem IKS gestellt werden, wozu man eine Automatisierung benötigt und worauf es bei der Berechtigungssteuerung ankommt.