Internes Kontrollsystem (IKS): Erfolgsfaktor auch bei der Marktpositionierung

PrintMailRate-it

Digitalisierung ist ein Schlagwort unserer Zeit und eine tragende Säule der vierten industriellen Revolution – kurz „Industrie 4.0” –, die neue Gewinner hervor-, aber auch Verlierer mit sich bringt. Damit Unternehmen sich weiterhin am Markt behaupten können, wird es für sie zunehmend wichtiger, neben Produkt oder Dienst­leistung auch ihre Leistungs­fähigkeit z.B. im Bereich Compliance, Ordnungs­mäßigkeit oder IT-Sicherheit selbstbewusst darzustellen – das interne Kontroll­system kann dabei entscheidende Unterstützung liefern.

    

Die fortschreitende Digitalisierung und Automatisierung lässt sich nicht aufhalten. Von der Entwicklung sind alle Bereiche eines modernen Unternehmens betroffen:
  • Direkte und automatische Kommunikation zwischen den Systemen der Lieferanten und Kunden, z.B. zur Übermittlung von Bestellungen oder Rechnungen;
  • Optimierung der Supply Chain durch Abstimmung von internen und externen Geschäftsprozessen;
  • Verkürzung der Lieferwege bis hin zur Produktion am Zielort, z.B. durch 3D-Drucker;
  • Wahrung einer hohen IT-Sicherheit trotz Koppelung der IT-Systeme von Kunden und Lieferanten oder Nutzung von Cloud-Lösungen.

     

Gleichzeitig steigen durch die Digitalisierung und Automatisierung auch die Ansprüche aller Beteiligten. Kunden erwarten Flexibilität und Schnelligkeit bei der Reaktion auf geänderte Prozesse und Anforderungen. Menge, Art und Vielfalt der Produkte müssen skalierbar sein und bei gleichbleibend hoher Qualität verstärkt einem Individu­alisierungs­gedanken Rechnung tragen. Jedes Unternehmen in der Supply Chain wird mit diesen Erwartungen konfrontiert. Können sie nicht erfüllt werden, besteht das Risiko, gegen stärkere Partner ausgetauscht zu werden.

    

Kommunikation nach außen

Es ist für ein Unternehmen also entscheidend, wie es sich am Markt positioniert und seine Stärken nach außen kommuniziert. Es geht dabei nicht nur um das Produkt oder die Kern­prozesse, sondern in zunehmendem Maße auch um Faktoren wie Compliance, Ordnungsmäßigkeit und IT-Sicherheit.

    

Beispiel Outsourcing: Bei der Auslagerung wichtiger Geschäftsprozesse (z.B. Bestellabwicklung, Rechnungs­eingangs­verarbeitung, Lohnbuchhaltung) oder der IT-Infrastruktur liegen die Verarbeitung, Speicherung, Sicherheit und Verfügbarkeit von Daten, Systemen und Prozessen im Einflussbereich des Dienstleisters. Gleichwohl verbleibt die Verantwortung für die Ordnungs­mäßigkeit und Sicherheit beim auslagernden Unternehmen. Zu deren Verantwortung gehört allerdings auch das Wissen über die Abläufe beim Dienstleister und die Abstimmung beider Risiko- und Kontrollsysteme aufeinander.

 

Die Einhaltung spezieller rechtlicher oder sonstiger Anforderungen betrifft zudem eine immer größere Zahl an Branchen. Im Bankenumfeld sind z.B. mit den MaRisk die Einrichtung einer Risikofrüherkennung und ein hohes IT-Sicherheitslevel Pflicht. Das IT-Sicherheitsgesetz verpflichtet Unternehmen aus kritischen Bereichen wie Energie, Wasserversorgung, Finanzen oder Transport, aber zukünftig auch Betreiber kommerzieller Webangebote zur Erfüllung hoher IT-Sicherheitsanforderungen.

    

Die folgenden Beispiele zeigen, für welche Aspekte die Darstellung nach außen von besonderer Bedeutung ist
  • Konformität der IT-Systeme (auch unter dem Outsourcing-Aspekt) 
    • mit handels- oder steuerrechtlichen Vorgaben (Grundsätze ordnungsmäßiger Buchführung und GoBD, Aufbewahrung von digitalen Unterlagen, Umgang mit elektronischen Rechnungen etc.);
    • mit Industrie-Standards, z.B. PCI-DSS (Kreditkarten), Electronic Data Interchange (EDI) und VDMA (z.B. 24774);
    • mit ISO- und DIN-Normen;
    • mit allgemein anerkannten Frameworks, z.B. COSO, COBIT, ITIL;
    • Erfüllung 
      • der MaRisk;
      • des IT-Sicherheitsgesetzes;
      • des Bundesdatenschutzgesetzes;
    • Konformität im Rahmen von Softwareherstellung inkl. der Sicherheit im Softwareentwicklungsprozess.
    •                     

      Adressatengerechte Dokumentation

Doch wie transportiert man Ordnungsmäßigkeit, Sicherheit, Compliance und den jeweiligen Reifegrad zum Kunden, zum Geschäftspartner oder zu weiteren Stakeholdern? Welche Transparenz und Detailtiefe sind nützlich bzw. notwendig?

     

Als eine geeignete Art der Darstellung hat sich das interne Kontroll­system bewährt. Basierend auf Kriterien, die sich z.B. aus Anforderungen der Stakeholder, von Gesetzen oder Normen ableiten, werden Maßnahmen beschrieben, die zur Zielerreichung bzw. zur Risiko­steuerung eingesetzt werden. Der Umfang der Dokumentation orientiert sich dabei am Adressaten. Während ein Dienstleister üblicherweise ein umfassendes Bild seines dienstleistungsbezogenen internen Kontrollsystems abgeben sollte, genügen in anderen Fällen ausgewählte Aspekte. So kann der Nachweis erbracht werden, dass die eingesetzten Systeme, Anwendungen oder IT-gestützten Prozesse die gewünschten Anforderungen an IT-Sicherheit, Compliance oder andere Themen erfüllen und damit alle Stakeholder zufriedenstellen.

     

Bescheinigung über die Wirksamkeit

Was aber keinesfalls fehlen darf, ist der Nachweis, dass die geschilderten Abläufe auch tatsächlich existieren, dass die Maßnahmen zielgerichtet sind und v.a. dass die eingerichteten Maßnahmen auch funktionieren.

     

Einen solchen unabhängigen Nachweis über die Angemessenheit der Maßnahmen und Kontrollen und ihrer Wirksamkeit über einen bestimmten Zeitraum kann nur ein Wirtschaftsprüfer erbringen. Das Instrument, das ihm dafür zur Verfügung steht, ist die Prüfung der dokumentierten Kontrollen nach anerkannten Prüfungsstandards (IDW PS 951 / ISAE 3402  und IDW PS 880) und die Ausstellung einer aussagekräftigen Bescheinigung. Der IDW PS 880 betrifft Software­produkte. Mit dieser Bescheinigung kann die Qualität der Software­­entwicklungs­prozesse, aber auch der Software bestätigt werden.

     

Die daraus resultierende Gesamtschau des funktionierenden internen Kontrollsystems bietet den Unternehmen die Chance, den Reifegrad der internen Abläufe, die hinter einem Produkt oder einer Dienstleistung stecken, nach innen und außen zu kommunizieren, um auch weiterhin als geschätztes Glied in der Lieferkette wahrgenommen zu werden.

     

zuletzt aktualisiert am 11.01.2017

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Martin Mannes

Certified Information Systems Auditor (CISA)

+49 89 9287 802 93

Anfrage senden

Deutschland Weltweit Search Menu