Internes Kontrollsystem (IKS)

IKS und Risikomanagement – unterschiedliche Anforderungen mit vielen Gemeinsamkeiten

Ein IKS wird innerhalb eines/r Unternehmens /Organisation als Werkzeug zur Fehlervermeidung und Qualitätssicherung verstanden. Der Fokus der Betrachtung, Überwachung und Steuerung von Risiken liegt beim IKS eher in der Betrachtung der Gegenwart und Vergangenheit.

 

Das Führungsinstrument internes Kontrollsystem umfasst Techniken, Rollen, IT-Systeme und Regeln um

  • mit Hilfe von Kontrollen die Richtlinien einzuhalten und
  • die Gefahr von Schäden für das Unternehmen abzuwehren.
 

Als Grundlage eines IKS dienen häufig etablierte Kontrollmodelle wie z. B. COSO oder COBIT. Der Fokus des Managements liegt hierbei auf dem Bereich „Controlling“.

Basisanforderungen an ein internes Kontrollsystem sind:

  • Transparenz: Die etablierten Konzepte müssen einen Soll-/Ist Vergleich ermöglichen, der auch von externer Seite ermöglicht zu beurteilen ob Prozessverantwortliche nach den Sollanforderungen arbeiten.
  • Trennung von Funktionen: Beispiel: Einkaufsprozess. Die zum Prozess gehörenden Teilprozesse (Bedarfsermittlung bis Bezahlung) sollen nicht von einem Verantwortlichen durchgeführt werden, sondern auf unterschiedliche Verantwortliche verteilt werden.
  • „Vier Augen-Prinzip“: Kein wesentlicher Vorgang in einem IKS soll ohne Gegenkontrolle etabliert werden.
  • „Need to know-Prinzip“: Mitarbeiter sollen nur über diejenigen Informationen verfügen (einschließlich der Berechtigungen in z.B. IT-Systemen), welche sie für Ausführung ihrer Tätigkeit wirklich benötigen.


Ein GRC System ist ein Managementsystem zum Schutz von Informationen und Daten im Unternehmen. Es umfasst Prozesse, Verfahren, Richtlinien, Anforderungen und Ressourcen innerhalb einer Organisation, um die Unternehmenswerte zu schützen und die Risiken zu minimieren. Das enthaltene Risikomanagement bildet hierbei einen Schwerpunkt.

Im Unterschied zum IKS liegt hier der Schwerpunkt der Betrachtung auf dem

  • Identifizieren
  • Vermeiden
  • Reduzieren oder
  • Akzeptieren

von Risiken.

Die Sicht des Risikomanagements ist eher auf die Zukunft ausgerichtet. Der Fokus im Risikomanagement liegt u.a. auf dem Bereich der Optimierung und der Weiterentwicklung des IST-Status.

Dennoch weisen IKS und Risikomanagement Gemeinsamkeiten und Überschneidungen auf.

Beide verfolgen Ziele wie

  • Regeleinhaltung,
  • Vermeidung von Risiken,
  • Zuverlässigkeit von betrieblichen Informationen und
  • Schutz des Unternehmensvermögens.

Die Umsetzung der Governance, Risk und Compliance und des IKS-Systems in einem gemeinsamen Managementsystem empfiehlt sich um Synergieeffekte zu erzielen.

IKS-Software-QSEC

Verbindung von ISMS bzw. GRC und IKS – in einer Management Software

Vorteile und Chancen der Verbindung von internem Kontrollsystem und Risikomanagement aus Sicht des IKS am Beispiel QSEC:

  • Verhinderung von Redundanzen durch zentrale, einheitliche Datenhaltung
  • Multinormen Compliance in einem System
  • Einheitliche und automatisierte Prozesse
  • Integration aller relevanten Geschäftsprozesse
  • Beurteilung der IKS-relevanten Risiken
  • Übersichtliche und transparente IKS-Berichte
  • Rollenbasierte Rechteverwaltung (Prozessverantwortlicher, IKS Koordinator, Risikocontrolling)
  • Überwachung der tatsächlichen Durchführung der Kontrolle
  • Ressourcen–, Zeit- und Kostenersparnisse
  • Valide Daten und umfassende Transparenz für das Management und das Überwachungsorgan

QSEC – eine ISMS & GRC Software mit IMS / IKS-Funktionalität

Die prozessorientierte Softwarelösung QSEC verknüpft alle Aktivitäten zu Governance, Risiko-, Compliance- und Datenschutzmanagement und liefert damit die Basis für den nachhaltigen Aufbau eines internen Kontrollsystems. Durch die Trennung von Verantwortlichkeiten mit entsprechenden Benutzerrechtsstrukturen werden alle Anforderungsprinzipien an ein internes Kontrollsystem gewahrt.

IKS-Software

IKS-Software- IKS-relevante Geschäftsprozesse

IKS-Software

IKS-Software- IKS-relevante Geschäftsprozesse

Fazit

Der Betrieb eines IKS auf Basis des integrierten Managementsystems QSEC liefert ein vollumfängliches Bild über den Risiko- und Sicherheitsstatus einer/s Organisation / Unternehmens, erhöht die Qualität und minimiert Kosten. Das Management kann auf Basis transparenter und valider Daten entscheiden. Der gemeinsame Betrieb von IKS-Software und GRC/ISMS in einem Managementsystem bringt viele Vorteile.