Interne Revision - Governance and Risk Assurance

UNTERNEHMENSPROZESSE

Die formelle Dokumentation von Unternehmensprozessen und internen Kontrollen gewinnt insbesondere im Rahmen des unaufhaltsamen Anstiegs der Digitalisierung von Abläufen an Bedeutung.

Unsere Praxis zeigt, dass Unternehmen, insbesondere auch als Antwort auf gestiegene regulatorische Anforderungen, zunehmend dazu übergehen, bisher informell organisierte Prozesse und Kontrollen zu verschriftlichen und bei dieser Gelegenheit gleich neu durchleuchten und gegebenenfalls anpassen.

Dies trifft nicht nur auf „große“ Unternehmen, deren interne Dokumentation in vielen Fällen ohnehin bereits sehr weit fortgeschritten ist, zu, sondern auch für mittelständische Unternehmen.

Typischer Kick-Off: ERP-Softwareumstellung

Der erfahrungsgemäß häufigste Anlassfall ist die Neubefassung mit Unternehmensabläufen im Rahmen einer ERP-Umstellung, da die neu eingeführten Softwarepakete detaillierte Prozess- und Rollenbeschreibungen voraussetzen.

Partiell oder vollumfänglich?

Die Praxis zeigt weiter, dass die Umsetzung von Risikomanagementprojekten oft nur bereichsweise, nicht aber auf Ebene des Gesamtunternehmens erfolgt.

Unserer Erfahrung nach empfiehlt sich die Vornahme einer Gesamtevaluierung des Risikomanagements anhand von modernen profesionellen Tools als Ausgangspunkt, wobei Folgeevaluierungen durchaus anlassbezogen erfolgen können.

 

INTERNES KONTROLLSYSTEM OHNE RISIKOMANAGEMENT?

Kontrollen als Antwort auf Risiken

 

Interne Kontrollen werden unternehmensseitig implementiert, um unternehmensspezifische Risiken zu adressieren.

Wir stellen in unserer Praxis häufig fest, dass Unternehmen über detaillierte formalisierte Kontrollprozesse verfügen, wobei jedoch die internen Kontrollschritte nicht direkt Risiken zugeordnet sind.

      

Dies bedeutet jedoch im Gegenschuss nicht, dass keine Unternehmensrisiken identifiziert wurden, sondern dass diese korrekt erkannt wurden, jedoch nicht formalisiert bzw. verschriftlicht wurden.

Kalibrieren von Risiken und Kontrollen

Die Kalibrierung von Risiken nach Eintrittswahrscheinlichkeit und potenzieller monetärer bzw. operativer Auswirkung des Risikoeintritts stellt für uns einen unverzichtbaren Schritt dar, um risikovermindernde Prozesse effizient zu gestalten und deren Einhaltung in den richtigen Zeitintervallen zu evaluieren, sowie um interne Kontrollen festzulegen, die Risiken tatsächlich adressieren und nicht nur für ihren Selbstzweck bestehen.

Laufendes Monitoring

Ebenfalls nicht zu unterschätzen ist die Bedeutung der Bildung eines risikoorientierten Denkweise innerhalb des Unternehmens. Dies stellt sicher, dass der Risikomanagementprozess lebendig wird und nicht nur am Papier besteht.

 

EINSATZ DIGITALER TOOLS

Die Neuausrichtung des Risikomanagements erfolgt mittlerweile nahezu zwangsläufig unter Zuhilfenahme professioneller Software - Tools. Diese Tools sind jedenfalls einer klassischen Kombination aus Word/ Excel vorzuziehen, da nur so die Erstellung eines Risikoregisters („risk library“) mit laufender Neuevaluierung des Risikolevels sowie der direkten Zuordnung von Kontrollprozessen möglich ist.

Ein professionelles Risikomanagementtool wie Pentana Risk, das auch von weltweit tätigen Großkonzernen verwendet wird,  ermöglicht die laufende Neuevaluierung und transparente Risikogewichtung und verlinkt direkt Risiken mit risikomitigierenden Kontrollschritten. Dadurch werden Interne Kontrollen in direkten Bezug zu gewichteten Risiken gesetzt.

Weiters ermöglichen moderne Softwaretools die automatische Sicherstellung der Ausübung durch bzw. Delegation von Kontrollschritten bzw. risikomitigierenden Prozesse an „Risk Owners“, die periodisch zur Durchführung der vorgesehenen Prozesse bzw. Kontrollen aufgefordert werden und deren Erledigung samt etwaiger Feststellungen direkt im System bestätigen.