Der Fall „wirecard“ hat allen Unternehmen wieder vor Augen geführt, wie relevant die Governance der Kontrollprozesse in den Unternehmen ist.
In Fällen wie diesen kommen den kontrollierenden und „unabhängigen Organen“ wie der Compliance-Abteilung oder der Innenrevision entscheidende Bedeutung zu: führen die operativen Finanz-Abteilungen lediglich Transaktionen aus, die ihnen so (hier von betrügerischen Management-Organen) aufgetragen wurden, hätte bereits eine bessere Einsicht in wesentliche und damit risikobehaftete Prozesse ein Aufschluss darüber gegeben, wo es an Kontrolle (z.B. 4-Augen-Prinzip) mangelte. Spätestens ein unabhängiges Organ wie die Innenrevision hätte offensichtlich risikobehaftete assets, wie hier z.B. diese asiatischen Treuhand-Konten, von sich aus und unabhängig stärker unter die Lupe nehmen müssen.
Das Beispiel zeigt also, wie wichtig es ist, daß alle 3 Linien (operations, controls und internal audit) in großen Unternehmen stark ausgeprägt sind, die richtigen Fachleute an Bord haben und – wo sinnvoll – gut zusammenarbeiten.
Handelte es sich für viele Unternehmen lediglich um eine Kann-Option, eine solche Kontroll-Funktion zu etablieren und entsprechend auszustatten, hat der Gesetzgeber nun mit dem Gesetz zur Stärkung der Finanzmarktintegrität (FISG) nochmal reagiert und fordert Unternehmen erneut (nach ähnlichen aber schwächeren Regelungen im BilMoG 2009) dazu gesetzlich auf, einen Haupt-Augenmerk auf interne Kontrollprozesse zu richten.
Im Zuge des FISG verpflichtet der neue § 91 Abs. 3 AktG Vorstände börsennotierter Gesellschaften „darüber hinaus ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames IKS und RMS einzurichten“. Deloitte folgert entsprechend, „dass § 91 Abs. 3 AktG die Pflicht zur Implementierung eines umfassenden RMS im Sinne des Prüfungsstandards IDW PS 981 vorsieht.“ (Quelle: https://www2.deloitte.com/content/dam/Deloitte/de/Documents/audit/FISG-Gesetz-zur-Staerkung-der-Fina..., Seite 2)
Eine wirksame Unterstützung für diese Zwecke ist der langjährige „3 Verteidigungslinien“-Ansatz, der jüngst von der IIA (Institute of Internal Auditors) nochmal neu aufgefrischt und nun in „3-Linien“-Ansatz umbenannt wurde. Was bedeutet das in Essenz?
Die erste Linie ist die operative Fachabteilung, wenn man so will, die Produktion. Hier werden die Kernprozesse des Unternehmens durchgeführt und da, wo Kontrollen sinnvoll sind, mit Hilfe von 4- oder 6-Augen-Prinzipien überwacht. Risiko-Einschätzungen werden hier regelmäßig eingeholt, um früh zu erkennen, ob es Risiken ohne entsprechende Gegenmaßnahmen gibt.
Die zweite Linie überwacht die Governance dieses Prozesses. Sie ist klassischerweise Administrator der RM und IKS-Prozesse und der eingesetzten tools und steuert workflow-basierend regelmäßig Abfragen in die Organisation, die die Risikobewertung als auch den Stand der Gegenmaßnahmen, und hier insbesondere die Wirksamkeit von Kontrollen erfragen. Bei den Kontrollen können sie auch eigene Tests durchführen oder diese durch kontinuierliche Daten-Abfragen automatisieren.
Die dritte Linie erfährt ihre besondere Bedeutung aus der Unabhängigkeit, die sich auch darin manifestiert, daß die Berichtslinie eine andere ist (s. Abbildung 1). Das heißt sie können sich jederzeit eigene Prüfungsziele setzen ohne Geheiß von oben. Damit könnten Fälle von Management-Betrug gar auf C-Level (wie bei wirecard) frühzeitig erkannt und die Aufsichtsorgane (AR, Prüfungsauschuss) involviert werden.
Abbildung 1: 3-Linien-Modell (Quelle: Three-Lines-Model-Updated-German.PDF (diir.de), Seite 6)
Wichtige neue Erkenntnis dieses Ansatzes ist aber, daß es durchaus eine Zusammenarbeit (Ausrichtung, Koordination, Kommunikation) zwischen den Linien geben kann. War die zwischen erster und zweiter Linie eigentlich schon immer vorhanden, so haben sich doch bisher viele Revisions-Abteilungen hinter sog. „chinese walls“ abgeschirmt. Hier erlaubt der neue Ansatz durchaus, stärker zu interagieren, Fach-Expertise aus verschiedenen Abteilungen zusammen zu bringen und so Synergien zu heben. Auch Mehrfacharbeiten können dadurch reduziert werden und damit der Prozess deutlich effizienter über die Bühne gehen.
An dieser Stelle möchte auf die SAP-Lösungen für Governance, Risk und Compliance (SAP GRC) hinweisen. Eine wesentliche Komponente besteht genau darin, die 3 Linien mit den richtigen Werkzeugen auszustatten, um die Kontrollfunktion so einfach und wirksam wie möglich auszuüben.
In Abbildung 2 sieht man auch sehr schön das Zusammenspiel dieser Lösungen. Diese „Durchlässigkeit“ von Teilen der Daten ermöglicht exakt jene Zusammenarbeit und Kollaboration wie sie in dem o.g. Konzept empfohlen wird.
Abbildung 2: SAP Produkte für den 3-Linien-Ansatz
Wenn Sie mehr über diese Suite erfahren wollen, dann empfehle ich Ihnen folgende Information: Cybersecurity and GRC Software | SAP. Des Weiteren werde ich an dieser Stelle auch immer mal wieder auf einige Schwerpunkte unserer Lösungs-Architektur eingehen. Aktuelle Webinar-Empfehlung zu diesem und anderen GRC- und Security-Themen:
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
User | Count |
---|---|
5 | |
5 | |
3 | |
2 | |
2 | |
1 | |
1 | |
1 | |
1 | |
1 |