IKS, Risk Management, Corporate Governance

Im Zuge der Überlegung, welche Maßnahmen für die Compliance zu ergreifen sind, rückt zwangsläufig früher oder später der Aspekt des Business Continuity Management in den Fokus. Nicht nur einschlägige Anforderungen an die IT fordern dies (siehe beispielsweise hier), sondern es ist auch als risikokompensierende Maßnahme  ein notwendiges Werkzeug. Der Autor dieses Beitrags stellt und beantwortet diese Frage:

Wie können externe Partner zum Erfolg des Risk- und Business Continuity  Management in Ihrem Unternehmen beitragen?

Das interne Kontrollsystem - das unbekannte Wesen?

COSO (Committee of Sponsoring Organiszations of the Treadway Commission) definiert -unsererseits etwas frei übersetzt- interne Kontrollen wie folgt (im Original hier):

Interne Kontrolle ist ein Prozess, der vom Aufsichtsorgan, dem Management oder anderem Personal einer Organisation durchgeführt oder veranlaßt wird. Dieser Prozess soll mit hinreichender Sicherheit gewährleisten, dass die Ziele im Hinblick auf Effektivität und Effizienz des Geschäftsbetriebs, die Verläßlichkeit der Finanzberichterstattung und Einhaltung von anwendbaren Vorschriften und Gesetzen erreicht werden.

1. Interne Kontrolle ist ein Prozess. Sie ist ein Weg zum Ziel, nicht das Ziel selbst.
2. Interne Kontrolle ist nicht lediglich in Verfahrensanweisungen und Formularen dokumentiert. Interne Kontrolle wird von den Menschen jeder Hierarchieebene eienes Unternehmens umgesetzt.
3. Interne Kontrolle kann der Organisation und dem Management hinreichende, aber nicht absolute Sicherheit geben.
4. Interne Kontrolle ist auf die Erreichung von Zielen in separaten aber überlappenden Kategorien ausgerichtet

Diese zugegebenermaßen etwas sperrige Definition verdeutlicht, dass interne Kontrolle nicht durch Dokumentation entsteht, sondern laufend durch die Menschen in einer Organisation umgesetzt werden muss und sich an Zielen orientiert. Interne Kontrolle ist selbst kein Ziel, sondern muß laufend gelebt werden.

Elemente eines internen Kontrollsystems

Wir möchten Gutes nicht ersetzen oder noch einmal erfinden. Diesem Grundstz folgend empfehlen wir für Grundlageninformationen und aktuelle Themen im Bereich des Risk-Managements die Seite RiskNET.de, mit der compliance-net in keinerlei Beziehung steht.