Wie Man Interne Kontrollen Einrichtet Und Überwacht, Um Die Einhaltung Sicherzustellen

Bewährte Verfahren zur Einrichtung eines Rahmens für interne Kontrollen und deren praktische Umsetzung mit spezialisierter Software.

Der Begriff „Kontrollen„, ursprünglich im GRC-Bereich (Governance, Risk, Compliance) verwendet, um Mechanismen zur Risikobewältigung und Sicherstellung der Compliance zu beschreiben, wird nun auch breiter auf die strategische Planung angewendet.

Infografik: Implementierung von 5 Kernelementen interner Kontrollen für GRC

In diesem Artikel teilen wir bewährte Verfahren zur Einrichtung von Kontrollen und deren praktischer Anwendung.

Einführung in Interne Kontrollen

Im Wesentlichen ist ein „Kontrolle“ ein Reaktions- oder Präventionsmechanismus, der verwendet wird, um Risiken zu managen und die Einhaltung sicherzustellen.

Beispielkontrolle: „Mitarbeiter hat das Unternehmen verlassen

  • Aktionsplan: E-Mails umleiten
  • Aktionsplan: Kunden benachrichtigen
  • Effektivitätskennzahl: Logins deaktiviert [Evidenzbasiert]
  • Effektivitätskennzahl: % der benachrichtigten Kunden
  • Risiko: Unterbrechung des Arbeitsablaufs
Automating Internal Controls with Functional Scorecards

Komponenten der Kontrolle

Kontrollen haben spezifische Komponenten:

Implementierungsbeispiel

Aus der Automatisierungsperspektive könnte eine Kontrolle sein:

  • So einfach wie ein Aktionsplan mit abgestimmten Fortschrittsmetriken oder
  • So komplex wie eine hierarchische Reihe von Kontrollen und Unterkontrollen, jede mit ihrem eigenen Satz von Metriken, Risikoeinschätzungen, Minderungsplänen, kontextuellen Abhängigkeiten und Verantwortlichen.

Kontrollen haben spezifische Anwendungsbereiche, die definieren, wann bestimmte Kontrollen aktiviert werden sollten.

Lassen Sie uns die Werkzeuge erkunden, die wir für die Implementierung von Kontrollen in der strategischen Planung verwenden können.

1. Definition Von Kontrolle

In der Anfangsphase ist es unser Ziel, die bisherigen Erfahrungen des Managementteams in Kontrollen oder formelle Reaktionsmechanismen angemessen abzubilden.

Allgemeine Eigenschaften

Die Grundlagen zur Identifikation einer Kontrolle bestehen darin, ihr einen aussagekräftigen Namen zu geben und ihren Zweck in der Beschreibung zu erläutern. Definieren Sie:

  • Bedingungen, die die Kontrolle auslösen,
  • Geltungsbereich der Kontrolle.
Implementierungsbeispiel

In BSC Designer:

  1. Verwenden Sie die Schaltfläche Hinzufügen, um ein neues Element zu erstellen.
  2. Identifizieren Sie die Kontrolle über die Felder Name und Beschreibung.
  3. Verknüpfen Sie die Kontrolle mit relevanten früheren Zielen, Veranstaltungen oder regulatorischen Anforderungen.
Wie Ziele und Indikatoren in einer Scorecard Beschreiben
Strategiekaskadierung oder Ausrichtung auf praktischer Ebene

Unterstützende Dokumentation

Komplexere Kontrollen erfordern unterstützende Dokumentation, wie zum Beispiel Richtlinien und Verfahren. Verknüpfen Sie die relevanten Dokumente oder laden Sie sie zur Kontrolle hoch.
Implementierungsbeispiel

In BSC Designer:

  • Dokumente zu einer Kontrolle über den Beschreibung-Dialog hinzufügen.
  • Dokumente zum Aktionsplan der Kontrolle über den Initiativen-Dialog hinzufügen.
Wie Ziele und Indikatoren in einer Scorecard Beschreiben

Benutzerdefinierte Eigenschaften

Organisationen folgen ihren eigenen Standards für die Kontrolldefinition, was spezifische Eigenschaften für Kontrollen oder zugehörige Aktionspläne impliziert.
Implementierungsbeispiel

In BSC Designer:

  • Definieren Sie erforderliche Eigenschaften von Kontrollen über benutzerdefinierte Felder.
  • Die neuen Felder stehen für Kontrollen, Kennzahlen und Initiativen zur Verfügung.
So Definieren Sie Benutzerdefinierte Felder für einen KPI oder eine Initiative auf der Scorecard

Eigentum

Die meisten Kontrollen erfordern ein gewisses Maß an menschlichem Eingreifen. Selbst wenn eine Kontrolle autonom ausgeführt wird, bleibt die Überwachung unerlässlich.
Implementierungsbeispiel

Zum Beispiel können Software-Wartbarkeitskontrollen Updates automatisieren, aber ein IT-Spezialist ist erforderlich, um Konflikte zu lösen, falls ein Update fehlschlägt. In BSC Designer:

  1. Fügen Sie verantwortliche Personen für die Kontrolle als Benutzer hinzu; ordnen Sie die Person einem Team zu.
  2. Weisen Sie die Person oder das Team im Eigentümer-Feld als Eigentümer der Kontrolle zu.

Eigentümer erhalten Benachrichtigungen, die für die Kontrolle relevant sind.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Zertifizierung / Genehmigung

Um die Definition einer Kontrolle oder eines Indikators abzuschließen, kann eine formale Zertifizierung oder Genehmigung erforderlich sein. Das Management bestätigt, dass die interne Kontrolle den regulatorischen und internen Anforderungen entspricht.
Implementierungsbeispiel

In BSC Designer:

  • Nutzen Sie benutzerdefinierte Felder, um Eigenschaften der Kontrolle wie „Zertifizierungsstatus“ und „Zertifiziert von“ zu definieren.
  • Beim Bestätigen der Kontrollen kann das Managementteam diese Eigenschaften aktualisieren.
  • Verwenden Sie Filter in Berichten, um Kontrollen ohne ordnungsgemäße Zertifizierung zu identifizieren.
So Definieren Sie Benutzerdefinierte Felder für einen KPI oder eine Initiative auf der Scorecard

Um eine nicht zertifizierte Kontrolle zu deaktivieren, aber in der Scorecard zu behalten:

  1. Wählen Sie eine Kontrolle aus.
  2. Wechseln Sie zum Tab Leistung.
  3. Aktivieren Sie das Kontrollkästchen Rohdatenanzeige.

Ausrichtung der Kontrollen

Kontrollen existieren nicht isoliert. Stellen Sie notwendige kontextbezogene Verbindungen zwischen verschiedenen Kontrollen, Zielen, Risiken und Veranstaltungen her. Wie im Strategie-Implementierungssystem erläutert, werden Kontrollen in der Strategie über funktionale Scorecards implementiert.
Implementierungsbeispiel

In BSC Designer:

  • Kopieren und Einfügen von Elementen zwischen Scorecards.
  • Wenn Sie dazu aufgefordert werden, verwenden Sie die Option „Verknüpfung nach Kontext“, um zwei Elemente zu verknüpfen.
Strategiekaskadierung oder Ausrichtung auf praktischer Ebene

Katalog der Kontrollen

Erstellen Sie für wiederkehrende Kontrollen eine Bibliothek der Kontrollen. Im Falle eines bestimmten Ereignisses können Sie eine Kontrolle leicht einsetzen, indem Sie sie aus der Bibliothek kopieren. Um die Implementierung der Kontrollen mit der vordefinierten Vorlage synchron zu halten, nutzen Sie die auf der Plattform verfügbare Synchronisationsfunktion.
Implementierungsbeispiel

In BSC Designer:

  1. Erstellen Sie ein Scorecard, das den Kontrollen gewidmet ist.
  2. Verwenden Sie eine hierarchische Struktur, um die Kontrollen zu organisieren.
  3. Kopieren Sie bei Bedarf die Kontrolle in das aktive Scorecard.
Automating Internal Controls with Functional Scorecards

2. Quantifizierung der Kontrollen

Effektivitätskennzahlen

Die Verwendung von Kennzahlen für die Kontrollen macht die Kontrolle spezifischer und vermeidet unterschiedliche Interpretationen. Definieren Sie Kennzahlen zur Verfolgung von:

  • Einhaltung der Standards
  • Effektivität der Kontrolle
  • Fortschritt der Aktionspläne
Implementierungsbeispiel

Zum Beispiel beim Vorfallbericht:

  • Die Effizienz-Kennzahl könnte der „% des geschulten Personals im Vorfallbericht“ sein.
  • Die Effektivitäts-Kennzahl könnte „% der Vorfälle, die nicht ordnungsgemäß kommuniziert wurden“ sein.

In BSC Designer:

  • Verwenden Sie die Hinzufügen-Taste, um Kennzahlen im Kontrollpunkt hinzuzufügen.

Gesamtleistung

Wenn die Effektivitätsmetriken für die Kontrolle definiert sind, kann die Gesamteffektivität der Anwendung der Kontrolle anhand des gewichteten Durchschnitts der Leistung einzelner Metriken berechnet werden.
Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Metrik aus
  2. Wechseln Sie zum Performance-Tab
  3. Ändern Sie das Gewicht der Metrik

Die Leistung/Fortschritt der Kontrolle wird in der entsprechenden Spalte angezeigt.

Creating an Index Indicator with Weighted Metrics

Effizienzmetriken

Je nach Kontext verwenden Sie Frühindikatoren. Im Gegensatz zu Spätindikatoren tragen Frühindikatoren nicht direkt zur Gesamtleistung der Steuerung bei, liefern jedoch wertvolle Einblicke für das Verständnis der Effizienz der Steuerung.

Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Metrik
  2. Wechseln Sie zum Kontext
  3. Ändern Sie den Typ der Metrik zu Frühindikatoren
Früh- vs. Spätindikatoren im BSC Designer

Risiken Schätzen

Eine Kontrolle kann eine Risikodefinition enthalten oder mit Risiken aus einem Risikoregister ausgerichtet werden.

Die Risikoeinschätzung kann:

  • Ein Auslöser für die Durchführung der Kontrolle sein oder
  • Eine Bedingung für die Auswahl eines bestimmten Vorgehens sein.
Implementierungsbeispiel

In BSC Designer:

  1. Erstellen Sie einen neuen Indikator
  2. Ändern Sie dessen Typ zu ‚Risiko‘
  3. Aktualisieren Sie die Risiko-Eintrittswahrscheinlichkeit und Risikoauswirkungs-Indikatoren
Schritte, Um Ein Risiko Zu Einem Ziel Im BSC Designer Hinzuzufügen

Binäre Steuerung

Die möglichen Zustände von binären Indikatoren:

  • Nicht zugewiesen – der Teil der Steuerung wurde noch nicht ausgeführt
  • Ja – um anzuzeigen, dass der Teil der Steuerung erfolgreich ausgeführt wurde
  • Nein – um anzuzeigen, dass der Teil der Steuerung nicht erfolgreich ausgeführt wurde
Implementierungsbeispiel

Beispiel: „Business-Kontinuitätsplan aktualisiert unter Berücksichtigung einer neu identifizierten Bedrohung“ kann mit einem binären Indikator automatisiert werden. In BSC Designer:

  1. Wählen Sie einen Indikator aus
  2. Wechseln Sie zur Registerkarte ‚Allgemein‘
  3. Ändern Sie die Maßeinheiten in „Ja/Nein“
Binary Indicators: An Example of Usage for Internal Controls

Qualitative Kontrolle

Qualitative Indikatoren werden für die Kontrollen verwendet, wenn eine spezifischere quantitative Schätzung noch nicht entwickelt ist oder es nicht kosteneffektiv ist, eine solche zu entwickeln.

Umsetzungsbeispiel

Beispiel: Eine Kontrolle Richtlinienmanagement und Kommunikation kann mit einer qualitativen Metrik Wirksamkeit der Kommunikation von Compliance-Richtlinien mit möglichen Zuständen bewertet werden:

  • Hocheffektiv (100): Mitarbeiter verstehen die Compliance-Richtlinien klar.
  • Mäßig effektiv (60): Einige Mitarbeiter verstehen die Richtlinien.
  • Uneffektiv (10): Mitarbeiter sind im Allgemeinen nicht über die Richtlinien informiert.

In BSC Designer:

  1. Wählen Sie einen Indikator aus
  2. Klicken Sie auf die Schaltfläche Bearbeiten neben den Maßeinheiten, um benutzerdefinierte Maßeinheiten hinzuzufügen
Using Qualitative and Quantitative Measurement Units on Scorecards

Quantitative Kontrolle

Um die Kontrollen spezifischer zu gestalten, werden quantitative oder numerische Indikatoren verwendet. Für quantitative Indikatoren können wir ihre Leistungsformel definieren, z.B. wie der aktuelle Zustand eines Indikators die Leistungsfähigkeit beeinflusst.

Implementierungsbeispiel

Beispiel: Um die Effektivität der Implementierung einer bestimmten Kontrolle zu bewerten, führen wir ein internes Audit durch, um die % der Richtlinieneinhaltung zu verfolgen. In diesem Fall ist die Leistungsformel lineare Maximierung mit Ziel = 100%. Ein weiteres Beispiel kann die Mittlere Zeit zur Erkennung Metrik sein, konfiguriert als lineare Minimierung mit einem Ziel von 24 Stunden.

In BSC Designer:

  • Wechseln Sie zum ‚Leistung‘-Tab, um die Leistungsfunktion zu definieren.
  • Wechseln Sie zum ‚Daten‘-Tab, um den aktuellen Zustand, die Basislinie und das Ziel des Indikators zu definieren.
Practical Use of the Optimization Function for KPIs in BSC Designer

Beweisgesteuerte Steuerung

Beweisanzeigen ändern ihren Status entsprechend der Anzahl der hochgeladenen Dokumente/Beweise.

Implementierungsbeispiel

Zum Beispiel könnte eine Backup- und Wiederherstellungstest-Steuerung das Hochladen von Testergebnissen oder Protokollen als Nachweis für die erfolgreiche Durchführung der Steuerung erfordern.

In BSC Designer:

  1. Wählen Sie einen Indikator
  2. Ändern Sie seine Maßeinheiten auf Beweis
  3. Dokument zum Indikator hochladen, um seinen Status zu ändern

3. Initiativen für Kontrollen

Aktionspläne

Das Anwenden von Kontrollen beinhaltet das Befolgen spezifischer Präventions- oder Reaktionsmaßnahmen, ähnlich wie im klassischen Projektmanagement mit Fälligkeitsterminen, Budgets und verantwortlichen Personen.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie das Initiative-Tool, um Aktionspläne zu den Kontrollen hinzuzufügen.
  • Richten Sie Risiken und Effizienzmetriken an der Initiative aus.
  • Weisen Sie der Initiative einen Verantwortlichen zu; die Person wird Benachrichtigungen erhalten, wenn sich der Status ändert.
How to Add an Initiative to a Goal in Strategic Planning

Aktionsplan Verfolgen

Die Verfolgung der Umsetzung des Aktionsplans ist typischerweise Teil des Kontrollumfangs. Eine der mit der Kontrolle abgestimmten Kennzahlen kann verwendet werden, um den Fortschritt des Aktionsplans zu verfolgen.
Implementierungsbeispiel

In BSC Designer:

  1. Fügen Sie der Kontrolle eine neue Initiative hinzu.
  2. Öffnen Sie den Initiativendialog.
  3. Wählen Sie die Fortschritts-KPI im Feld ‚Abgestimmte KPI‘.
Using KPIs to Track the Progress of an Initiative

4. Kontrollverfolgung Im Laufe Der Zeit

Periodische Kontrollen

Einige Kontrollen erfordern eine periodische Überprüfung. Solche Überprüfungen betreffen sowohl die Mechanik der Kontrolle als auch die periodische Anwendung der Kontrolle. Bestimmte Kontrollen müssen nur einmal aktiviert werden.
Implementierungsbeispiel

Beispiel für die Überprüfung der Mechanik der Kontrolle:

  • Überprüfung von Compliance-Checklisten – jährliche Überprüfung
  • Wissensbewahrung, % – vierteljährliche Überprüfung

Beispiele für die periodische Anwendung der Kontrolle:

  • Schwachstellenscans – monatliche Überprüfung/Update

Beispiele für einmalig initiierte Kontrollen:

  • Erstbewertung des Risikos – einmal zu aktualisieren

In BSC Designer:

  • Verwenden Sie die Update-Intervall-Einstellung des Indikators, um regelmäßige Überprüfungen zu planen.
Stellen Sie die Datenkonsistenz mit Aktualisierungsintervallen sicher

Status der Kontrolle Aktualisieren

Für periodische Kontrollen aktualisieren Sie den Status der für die Kontrolle definierten Kennzahlen.
Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie die Kennzahl einer Kontrolle aus
  2. Wählen Sie ein Datum im internen Kalender
  3. Wechseln Sie zum Tab „Daten“
  4. Geben Sie den neuen Status im Feld „Wert“ ein
Kontinuierliche Überwachung von KPIs im BSC Designer

Vererbung des Zustands von Controls

Einige Indikatoren, die für Controls verwendet werden, übernehmen ihren zuvor bekannten Zustand, während andere nur speziell eingegebene Aktualisierungen verwenden.

Implementierungsbeispiel

Zum Beispiel:

  • % der geschulten Mitarbeiter – ist wahrscheinlich ein inhärenter Indikator, da wir annehmen können, dass der Prozentsatz der im Mai geschulten Mitarbeiter im Juni gleich bleibt oder steigt.
  • Monatlicher Umsatz – ist wahrscheinlich ein nicht-inhärenter Indikator, da wir die tatsächlichen Verkaufsdaten über die Monate verfolgen möchten.

In BSC Designer:

  1. Wählen Sie einen Indikator
  2. Klicken Sie auf die Schaltfläche Werte-Editor
  3. Ändern Sie den Vererbungstyp des Indikators
Zwei Optionen zum Übernehmen des vorherigen Status eines Indikators

5. Berichtssteuerungen

Steuerungen auf Dashboards

Erstellen Sie visuelle Darstellungen von Steuerungen und deren Zuständen. Verfolgen Sie die Entwicklung von Kennzahlen über die Zeit, den Zustand von Risiken und Risikominderungsplänen.
Implementierungsbeispiel

In BSC Designer:

  1. Wechseln Sie zur Dashboard-Registerkarte.
  2. Fügen Sie relevante Diagramme hinzu, einschließlich Gantt-Diagramme für Initiativen, Risikodiagramme und Diagramme, die Steuerungen und deren Zustände auflisten.
Adding a Chart to a Dashboard in BSC Designer

Kontrollen Für Die Risikoabschätzung

Die Spätindikatoren, die die Wirksamkeit der Kontrollen quantifizieren, können verwendet werden, um die Wahrscheinlichkeit oder Wirkung eines Risikos zu quantifizieren.
Implementierungsbeispiel

In BSC Designer:

  • Verbinden Sie den Spätindikator der Kontrolle mit den Risikoauswirkungs- oder Risikoabschätzungs-Kennzahlen im Risikoregister über Daten.
Risiken Identifizieren und Bewerten nach Wirksamkeit der Internen Kontrollen

Steuerelemente in Berichten

Der Zustand der Steuerelemente sowie die Ergebnisse ihrer Implementierung können den beteiligten Stakeholdern gemeldet werden.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie das Menü ‚Bericht‘, um verschiedene Berichte zu erstellen
  • Verwenden Sie die Schaltfläche ‚Planen‘ im Menü ‚Bericht‘, um Berichte automatisch an die Stakeholder zu senden
Report the Status of Goals and KPIs to the Stakeholders

Verantwortlichkeit

Das Aufzeichnen der Ausführungsergebnisse einer Kontrolle ist wichtig für die Verantwortlichkeit und zukünftiges Lernen.
Implementierungsbeispiel

In BSC Designer:

  • Alle Aktivitäten im Zusammenhang mit dem Design und der Ausführung von Kontrollen werden im Audit-Log aufgezeichnet.
  • Der Administrator des Kontos kann auf Audit-Logs über Menü > Benutzer > Audit-Trail zugreifen.
Accountability and Transparency with Audit Trail in Strategic Planning

Praktisches Beispiel für die Verwendung einer Kontrolle

Lassen Sie uns ein praktisches Beispiel besprechen. Betrachten Sie die Kontrolle, die aktiviert wird, wenn ein Mitarbeiter das Unternehmen verlässt.

Beispielstruktur: Ein Beispiel für die Bibliothek der GRC-Kontrollen

Ein Beispiel für die Bibliotheksstruktur für GRC-Kontrollen. Quelle: View Library of GRC Controls online in BSC Designer Library of GRC Controls.

Kontrollbibliothek

In der Kontrollbibliothek habe ich einen HR-Bereich, in dem eine der Kontrollen „Mitarbeiter hat das Unternehmen verlassen“ ist.

Diese Kontrolle hat drei Aktionspläne:

  • E-Mails umleiten.
  • Kunden kontaktieren.
  • Wissensübertragungsplan.

Sie hat auch zwei Metriken:

  • Logins deaktiviert (evidenzbasiert).
  • Prozentsatz der benachrichtigten Kunden.

Eine weitere Metrik wird für die regelmäßige Überprüfung der Kontrollen verwendet:

  • Wissensbewahrung (%)

Ein Risiko ist für die Kontrolle definiert als:

  • Risiko: Unterbrechung des Arbeitsablaufs
  • Minderungsplan: Dokumentation kritischer Funktionen

Events Scorecard

Ich habe ein Scorecard namens „HR-Ereignisse“, in dem relevante HR-Ereignisse protokolliert werden. Das Scorecard ist nach Ereignistyp organisiert.

Anwenden der Kontrolle

Hier sind die Schritte, die zu befolgen sind, wenn ein Mitarbeiter das Unternehmen verlässt:

  1. Erstellen Sie ein neues Ereignis im Events-Scorecard, z.B. „Alex hat das Unternehmen verlassen.“
  2. Kopieren und fügen Sie die entsprechende Kontrolle aus der Kontrollbibliothek in das Events-Scorecard ein.
  3. Die für die Kontrolle verantwortliche Person wird automatisch über neu erstellte Aktionspläne benachrichtigt.
  4. Laden Sie Nachweise (Screenshots) hoch, dass die Logins deaktiviert wurden.
  5. Benachrichtigen Sie Kunden und aktualisieren Sie den Indikator „% der benachrichtigten Kunden“.
  6. Aktualisieren Sie den Status der Aktionspläne auf „In Überprüfung“.

SchulungsprogrammSitzung: 'BSC Designer for Automation of GRC Controls' ist Teil des laufenden Lernprogramms von BSC Designer, das sowohl als Online- als auch als Vor-Ort-Workshop angeboten wird. Erfahren Sie mehr....

Weitere Beispiele

Sie können weitere Beispiele für die Verwendung von Steuerungen in Artikeln über finden:

Nutzen Sie Library of GRC Controls Vorlage

BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:

  1. Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
  2. Verwenden Sie die Scorecard Template Library of GRC Controls Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen.
  3. Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.

Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!

Cite this article as: Alexis Savkin, "Wie Man Interne Kontrollen Einrichtet Und Überwacht, Um Die Einhaltung Sicherzustellen," in Balanced Scorecard-Software mit 23 Vorlagen, Juli 16, 2024, https://bscdesigner.com/de/interner-kontrollen.htm.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.