Wie man interne Kontrollen einrichtet und überwacht, um die Einhaltung zu gewährleisten

Der Begriff „Kontrollen“, ursprünglich im GRC (Governance, Risk, Compliance) Bereich verwendet, um Mechanismen zur Risikobewältigung und Sicherstellung der Compliance zu beschreiben, wird nun auch breiter auf die strategische Planung angewendet.

Infografik: Implementierung der 5 Kernelemente interner Kontrollen für GRC

In diesem Artikel teilen wir Best Practices für die Einrichtung von Kontrollen und deren praktische Anwendung.

Einführung in interne Kontrollen

Im Wesentlichen ist eine „Kontrolle“ ein Reaktions- oder Präventionsmechanismus, der zur Risikobewältigung und Sicherstellung der Compliance eingesetzt wird.

Beispielkontrolle: „Mitarbeiter hat das Unternehmen verlassen

  • Aktionsplan: E-Mails weiterleiten
  • Aktionsplan: Kunden benachrichtigen
  • Effektivitätsmetriken: Logins deaktiviert [evidenzbasiert]
  • Effektivitätsmetriken: % der benachrichtigten Kunden
  • Risiko: Unterbrechung des Arbeitsablaufs
Automating Internal Controls with Functional Scorecards

Komponenten einer Kontrolle

Kontrollen haben spezifische Komponenten:

Implementierungsbeispiel

Aus der Automatisierungsperspektive könnte eine Kontrolle sein:

  • So einfach wie ein Aktionsplan mit abgestimmten Fortschrittsmetriken oder
  • So komplex wie ein hierarchisches Set von Kontrollen und Unterkontrollen, jede mit ihrem eigenen Satz von Metriken, Risikoeinschätzungen, Minderungsplänen, kontextuellen Abhängigkeiten und Eigentümern.

Kontrollen haben spezifische Anwendungsbereiche, die definieren, wann bestimmte Kontrollen aktiviert werden sollen.

Lassen Sie uns die Werkzeuge erkunden, die wir zur Implementierung von Kontrollen in der strategischen Planung verwenden können.

1. Definition einer Kontrolle

Im Anfangsstadium ist es unser Ziel, die bisherigen Erfahrungen des Managementteams in Kontrollen oder formale Reaktionsmechanismen umzusetzen.

Allgemeine Eigenschaften

Die Grundlagen der Identifizierung einer Kontrolle umfassen die Vergabe eines aussagekräftigen Namens und die Erklärung ihres Zwecks in der Beschreibung. Definieren Sie:

  • Bedingungen, die die Kontrolle auslösen,
  • Umfang der Kontrolle.
Implementierungsbeispiel

In BSC Designer:

  1. Verwenden Sie die Hinzufügen-Schaltfläche, um ein neues Element zu erstellen.
  2. Identifizieren Sie die Kontrolle über die Namens- und Beschreibungsfelder.
  3. Verknüpfen Sie die Kontrolle mit relevanten früheren Zielen, Ereignissen oder regulatorischen Anforderungen.
How to Describe Goals and Indicators in a Scorecard
Strategy Cascading or Alignment on Practical Level

Unterstützende Dokumentation

Komplexere Kontrollen erfordern unterstützende Dokumentation wie Richtlinien und Verfahren. Verlinken Sie zu den relevanten Dokumenten oder laden Sie sie zur Kontrolle hoch.
Implementierungsbeispiel

In BSC Designer:

  • Fügen Sie Dokumente zu einer Kontrolle über den Beschreibungsdialog hinzu.
  • Fügen Sie Dokumente zum Aktionsplan der Kontrolle über den Initiativen-Dialog hinzu.
How to Describe Goals and Indicators in a Scorecard

Benutzerdefinierte Eigenschaften

Organisationen folgen ihren eigenen Standards zur Definition von Kontrollen, was spezifische Eigenschaften für Kontrollen oder zugehörige Aktionspläne impliziert.
Implementierungsbeispiel

In BSC Designer:

  • Definieren Sie erforderliche Eigenschaften von Kontrollen über benutzerdefinierte Felder.
  • Die neuen Felder werden für Kontrollen, Metriken und Initiativen verfügbar sein.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Eigentümerschaft

Die meisten Kontrollen erfordern ein gewisses Maß an menschlichem Eingreifen. Auch wenn eine Kontrolle autonom läuft, bleibt die Überwachung unerlässlich.
Implementierungsbeispiel

Beispielsweise können Software-Wartungskontrollen Updates automatisieren, aber ein IT-Spezialist wird benötigt, um Konflikte zu lösen, wenn ein Update fehlschlägt.In BSC Designer:

  1. Fügen Sie verantwortliche Personen für die Kontrolle als Benutzer hinzu; ordnen Sie die Person einem Team zu.
  2. Weisen Sie die Person oder das Team als Eigentümer der Kontrolle über das Feld Eigentümer zu.

Eigentümer erhalten Benachrichtigungen, die für die Kontrolle relevant sind.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Zertifizierung / Genehmigung

Um die Definition einer Kontrolle oder eines Indikators abzuschließen, kann eine formelle Zertifizierung oder Genehmigung erforderlich sein. Das Management bestätigt, dass die interne Kontrolle den regulatorischen und internen Anforderungen entspricht.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie benutzerdefinierte Felder, um Eigenschaften der Kontrolle wie „Zertifizierungsstatus“ und „Zertifiziert von“ zu definieren.
  • Beim Testieren der Kontrollen kann das Management diese Eigenschaften aktualisieren.
  • Verwenden Sie Filter in Berichten, um Kontrollen ohne ordnung

    sgemäße Zertifizierung zu identifizieren.

How to Define Custom Fields for a KPI or Initiative on the Scorecard

Um eine nicht zertifizierte Kontrolle zu deaktivieren, aber im Scorecard zu behalten:

  1. Wählen Sie eine Kontrolle aus.
  2. Wechseln Sie zum Leistungs-Tab.
  3. Aktivieren Sie das Kontrollkästchen Rohdaten-Indikator.

Ausrichtung der Kontrollen

Kontrollen existieren nicht isoliert. Stellen Sie notwendige kontextuelle Verbindungen zwischen verschiedenen Kontrollen, Zielen, Risiken und Ereignissen her. Wie im Strategie-Implementierungssystem diskutiert, werden Kontrollen in der Strategie über funktionale Scorecards implementiert.
Implementierungsbeispiel

In BSC Designer:

  • Kopieren und Einfügen von Elementen zwischen Scorecards.
  • Wenn Sie dazu aufgefordert werden, verwenden Sie die Option „Verbindung durch Kontext“, um zwei Elemente zu verknüpfen.
Strategy Cascading or Alignment on Practical Level

Katalog der Kontrollen

Für wiederholte Kontrollen erstellen Sie eine Bibliothek von Kontrollen. Im Falle eines bestimmten Ereignisses können Sie eine Kontrolle einfach aus der Bibliothek kopieren.
Implementierungsbeispiel

In BSC Designer:

  1. Erstellen Sie eine Scorecard, die Kontrollen gewidmet ist.
  2. Verwenden Sie eine hierarchische Struktur, um Kontrollen zu organisieren.
  3. Bei Bedarf kopieren Sie die Kontrolle in die aktive Scorecard.
Automating Internal Controls with Functional Scorecards

2. Quantifizierung von Kontrollen

Effektivitätsmetriken

Die Verwendung von Metriken für die Kontrollen macht die Kontrolle spezifischer und vermeidet unterschiedliche Interpretationen.Definieren Sie Metriken, um zu verfolgen:

  • Einhaltung der Standards
  • Effektivität der Kontrolle
  • Fortschritt der Aktionspläne
Implementierungsbeispiel

Zum Beispiel im Vorfallberichtsverfahren:

  • Könnte die Effizienzmetrik der „% des Personals, das in der Vorfallberichterstattung geschult wurde“ sein.
  • Könnte die Effektivitätmetrik der „% der Vorfälle, die nicht ordnungsgemäß kommuniziert wurden“ sein.

In BSC Designer:

  • Verwenden Sie die Hinzufügen-Schaltfläche, um Metriken innerhalb des Kontrollelements hinzuzufügen.

Gesamtleistung

Wenn die Effektivitätsmetriken für die Kontrolle definiert sind, kann die Gesamteffektivität der Anwendung der Kontrolle durch den gewichteten Durchschnitt der Leistung einzelner Metriken berechnet werden.
Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Metrik aus
  2. Wechseln Sie zum Leistungstab
  3. Ändern Sie das Gewicht der Metrik

Die Leistung/Fortschritt der Kontrolle wird in der entsprechenden Spalte angezeigt.

Creating an Index Indicator with Weighted Metrics

Effizienzmetriken

Je nach Kontext verwenden Sie Frühindikatoren. Im Gegensatz zu Spätindikatoren tragen Frühindikatoren nicht direkt zur Gesamtleistung der Kontrolle bei, sondern liefern wertvolle Einblicke in das Verständnis der Effizienz der Kontrolle.

Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Metrik
  2. Wechseln Sie zum Kontext
  3. Ändern Sie den Typ der Metrik zu Frühindikator
Leading vs. Lagging Indicators in BSC Designer

Risikoeinschätzung

Eine Kontrolle kann eine Risiko-Definition enthalten oder mit Risiken aus einem Risikoregister abgeglichen werden.

Risikoeinschätzung kann sein:

  • Ein Auslöser für die Ausführung der Kontrolle oder
  • Eine Bedingung für die Auswahl eines bestimmten Handlungsverlaufs.
Implementierungsbeispiel

In BSC Designer:

  1. Erstellen Sie einen neuen Indikator
  2. Ändern Sie den Typ zu ‚Risiko‘
  3. Aktualisieren Sie die Indikatoren für Wahrscheinlichkeit und Auswirkung des Risikos
Steps to Add a Risk to an Objective in BSC Designer

Binäre Kontrolle

Die möglichen Zustände binärer Indikatoren:

  • Unzugeordnet – der Teil der Kontrolle wurde noch nicht ausgeführt
  • Ja – um anzuzeigen, dass der Teil der Kontrolle erfolgreich ausgeführt wurde
  • Nein – um anzuzeigen, dass der Teil der Kontrolle nicht erfolgreich ausgeführt wurde
Implementierungsbeispiel

Beispiel: „Business Continuity Plan aktualisiert unter Berücksichtigung einer neu identifizierten Bedrohung“ kann mit einem binären Indikator automatisiert werden.In BSC Designer:

  1. Wählen Sie einen Indikator
  2. Wechseln Sie zum Tab „Allgemein“
  3. Ändern Sie die Maßeinheiten in „Ja/Nein“
Binary Indicators: An Example of Usage for Internal Controls

Qualitative Kontrolle

Qualitative Indikatoren werden für die Kontrollen verwendet, wenn eine spezifischere quantitative Einschätzung noch nicht entwickelt wurde oder es nicht kosteneffektiv ist, eine solche zu entwickeln.

Implementierungsbeispiel

Beispiel: Eine Kontrolle Policy Management and Communication kann mit einer qualitativen Metrik Effectiveness of Communicating Compliance Policies bewertet werden, mit möglichen Zuständen:

  • Hoch

    effektiv (100): Mitarbeiter verstehen die Compliance-Richtlinien klar.

  • Moderat effektiv (60): Einige Mitarbeiter verstehen die Richtlinien.
  • Ineffektiv (10): Mitarbeiter sind im Allgemeinen nicht mit den Richtlinien vertraut.

In BSC Designer:

  1. Wählen Sie einen Indikator
  2. Klicken Sie auf die Schaltfläche Bearbeiten neben den Maßeinheiten, um benutzerdefinierte Maßeinheiten hinzuzufügen
Using Qualitative and Quantitative Measurement Units on Scorecards

Quantitative Kontrolle

Zur Spezifizierung der Kontrollen werden quantitative oder numerische Indikatoren verwendet. Für quantitative Indikatoren können wir deren Leistungsformel definieren, z.B. wie der aktuelle Zustand eines Indikators die Ausgangsleistung beeinflusst.

Implementierungsbeispiel

Beispiel: Um die Effektivität der Implementierung einer bestimmten Kontrolle zu bewerten, führen wir ein internes Audit durch, um den % der Richtlinieneinhaltung zu verfolgen. In diesem Fall ist die Leistungsformel eine lineare Maximierung, mit Ziel = 100%. Ein weiteres Beispiel könnte die Durchschnittliche Zeit bis zur Erkennung Metrik sein, die als lineare Minimierung mit einem Ziel von 24 Stunden konfiguriert ist.

In BSC Designer:

  • Wechseln Sie zum „Leistung“-Tab, um die Leistungsfunktion zu definieren.
  • Wechseln Sie zum „Daten“-Tab, um den aktuellen Zustand des Indikators, die Basislinie und das Ziel zu definieren.
Practical Use of the Optimization Function for KPIs in BSC Designer

Evidenzbasierte Kontrolle

Evidenzindikatoren ändern ihren Zustand entsprechend der Anzahl der hochgeladenen Dokumente/Beweise.

Implementierungsbeispiel

Beispielsweise könnte die Kontrolle Backup- und Wiederherstellungstest erfordern, Testergebnisse oder Protokolle als Nachweis für die erfolgreiche Ausführung der Kontrolle hochzuladen.

In BSC Designer:

  1. Wählen Sie einen Indikator
  2. Ändern Sie die Maßeinheiten in Beweis
  3. Laden Sie Dokumente zum Indikator hoch, um dessen Zustand zu ändern
Automate Evidence Tracking in a GRC Scorecard with Controls

3. Initiativen für Kontrollen

Aktionspläne

Die Anwendung von Kontrollen umfasst die Durchführung spezifischer Präventions- oder Reaktionsmaßnahmen, ähnlich dem klassischen Projektmanagement mit Fälligkeitsdaten, Budgets und verantwortlichen Personen.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie das Initiative-Tool, um Aktionspläne zu den Kontrollen hinzuzufügen.
  • Richten Sie Risiken und Effizienzmetriken mit der Initiative aus.
  • Weisen Sie einen Eigentümer der Initiative zu; die Person erhält Benachrichtigungen, wenn sich der Status ändert.
How to Add an Initiative to a Goal in Strategic Planning

Verfolgung des Aktionsplans

Die Verfolgung der Ausführung des Aktionsplans ist typischerweise Teil des Umfangs der Kontrolle. Eine der mit der Kontrolle ausgerichteten Metriken kann verwendet werden, um den Fortschritt des Aktionsplans zu verfolgen.
Implementierungsbeispiel

In BSC Designer:

  1. Fügen Sie eine neue Initiative zur Kontrolle hinzu.
  2. Öffnen Sie den Initiativen-Dialog.
  3. Wählen Sie die Fortschritts-KPI im Feld „Abgestimmte KPI“ aus.
Using KPIs to Track the Progress of an Initiative

4. Verfolgung von Kontrollen über die Zeit

Periodische Kontrollen

Einige Kontrollen erfordern eine periodische Überprüfung. Solche Überprüfungen umfassen die Mechanik der Kontrolle sowie die periodische Anwendung der Kontrolle. Bestimmte Kontrollen müssen nur einmal aktiviert werden.
Implementierungsbeispiel

Beispiel für die Überprüfung der Mechanik der Kontrolle:

  • Überprüfung von Compliance-Checklisten – jährliche Überprüfung
  • Wissensbewahrung, % – vierteljährliche Überprüfung

Beispiele für die periodische Anwendung der Kontrolle:

  • Schwachstellenscanning – monatliche Überprüfung/Aktualisierung

Beispiele für einmalig initiierte Kontrolle:

  • Erst-Risiko-Bewertung – einmalig zu aktualisieren

In BSC Designer:

  • Verwenden Sie die Update-Intervall-Einstellung des Indikators, um regelmäßige Überprüfungen zu planen.
Ensure Data Consistency with Update Intervals

Aktualisierung des Zustands der Kontrolle

Für periodische Kontrollen aktualisieren Sie den Zustand der Metriken, die für die Kontrolle definiert wurden.
Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Kontrollmetrik
  2. Wählen Sie ein Datum im internen Kalender
  3. Wechseln Sie zum Tab „Daten“
  4. Geben Sie den neuen Zustand im Feld „Wert“ ein
Continuous Monitoring of KPIs in BSC Designer

Vererbung des Kontrollzustands

Einige Indikatoren, die für Kontrollen verwendet werden, erben ihren zuvor bekannten Zustand, während andere nur spezifisch eingegebene Updates verwenden.

Implementierungsbeispiel

Zum Beispiel:

  • % der geschulten Mitarbeiter – ist wahrscheinlich ein ererbter Indikator, da wir davon ausgehen können, dass der Prozentsatz der im Mai geschulten Mitarbeiter im Juni gleich bleibt oder steigt.
  • Monatlicher Umsatz – ist wahrscheinlich ein nicht ererbter Indikator, da wir daran interessiert sind, die tatsächlichen Verkaufsdaten über Monate zu verfolgen.

In BSC Designer:

  1. Wählen Sie einen Indikator
  2. Klicken Sie auf die Schaltfläche Werte-Editor
  3. Ändern Sie den Ver

    erbungstyp des Indikators

Two Options for Inheriting Previous State of an Indicator

5. Berichterstattung von Kontrollen

Kontrollen auf Dashboards

Erstellen Sie visuelle Darstellungen von Kontrollen und deren Zuständen. Verfolgen Sie die Entwicklung von Metriken über die Zeit, den Zustand von Risiken und Risikominderungsplänen.
Implementierungsbeispiel

In BSC Designer:

  1. Wechseln Sie zum Dashboard-Tab.
  2. Fügen Sie relevante Diagramme hinzu, einschließlich Gantt-Diagramme für Initiativen, Risikodiagramme und Diagramme, die Kontrollen und deren Zustände auflisten.
Adding a Chart to a Dashboard in BSC Designer

Kontrollen zur Risikoeinschätzung

Die Spätindikatoren, die die Effektivität der Kontrollen quantifizieren, können verwendet werden, um die Wahrscheinlichkeit oder den Einfluss eines Risikos zu quantifizieren.
Implementierungsbeispiel

In BSC Designer:

  • Verbinden Sie den Spätindikator der Kontrolle mit den Risikoeinschätzungs- oder Risikobewertungsmetriken im Risikoregister durch Daten.
Identify and Assess Risks by Effectiveness of Internal Controls

Kontrollen in Berichten

Der Zustand der Kontrollen sowie die Ergebnisse ihrer Implementierung können den beteiligten Stakeholdern gemeldet werden.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie das Menü „Bericht“, um verschiedene Berichte zu erstellen
  • Verwenden Sie die Schaltfläche „Planen“ im Menü „Bericht“, um Berichte automatisch an die Stakeholder zu senden
Report the Status of Goals and KPIs to the Stakeholders

Rechenschaftspflicht

Die Aufzeichnung der Ausführungsergebnisse einer Kontrolle ist wichtig für die Rechenschaftspflicht und das zukünftige Lernen.
Implementierungsbeispiel

In BSC Designer:

  • Alle Aktivitäten im Zusammenhang mit dem Design und der Ausführung von Kontrollen werden im Prüfprotokoll aufgezeichnet.
  • Der Administrator des Kontos kann über Menü > Benutzer > Audit Trail auf Prüfprotokolle zugreifen.
Accountability and Transparency with Audit Trail in Strategic Planning

Praktisches Beispiel für die Verwendung einer Kontrolle

Lassen Sie uns ein praktisches Beispiel besprechen. Betrachten Sie die Kontrolle, die aktiviert wird, wenn ein Mitarbeiter das Unternehmen verlässt.

Beispielstruktur:
Ein Beispiel für die Bibliothek der GRC-Kontrollen

Ein Beispiel für die Bibliotheksstruktur der GRC-Kontrollen. Quelle: View Bibliothek der GRC-Kontrollen online in BSC Designer Bibliothek der GRC-Kontrollen.

Kontrollen-Bibliothek

In der Kontrollen-Bibliothek habe ich einen HR-Bereich, in dem eine der Kontrollen „Mitarbeiter hat das Unternehmen verlassen“ ist.

Diese Kontrolle hat drei Aktionspläne:

  • E-Mails weiterleiten.
  • Kunden kontaktieren.
  • Wissensübertragungsplan.

Sie hat auch zwei Metriken:

  • Logins deaktiviert (evidenzbasiert).
  • Prozentsatz der benachrichtigten Kunden.

Eine weitere Metrik wird für die periodische Überprüfung der Kontrollen verwendet:

  • Wissensbewahrung (%)

Ein Risiko ist für die Kontrolle definiert als:

  • Risiko: Unterbrechung des Arbeitsablaufs
  • Minderungsplan: Kritische Funktionen dokumentieren

Ereignis-Scorecard

Ich habe eine Scorecard namens „HR-Ereignisse“, in der relevante HR-Ereignisse protokolliert werden. Die Scorecard ist nach Ereignistyp organisiert.

Anwendung der Kontrolle

Hier sind die Schritte, die zu befolgen sind, wenn ein Mitarbeiter das Unternehmen verlässt:

  1. Erstellen Sie ein neues Ereignis in der Ereignis-Scorecard, z.B. „Alex hat das Unternehmen verlassen“.
  2. Kopieren und fügen Sie die entsprechende Kontrolle aus der Kontrollen-Bibliothek in die Ereignis-Scorecard ein.
  3. Die für die Kontrolle verantwortliche Person wird automatisch über neu erstellte Aktionspläne benachrichtigt.
  4. Laden Sie Beweise (Screenshots) hoch, dass die Logins deaktiviert wurden.
  5. Benachrichtigen Sie Kunden und aktualisieren Sie den Indikator „% der benachrichtigten Kunden“.
  6. Aktualisieren Sie den Status der Aktionspläne auf „In Überprüfung“.

Weitere Beispiele

Sie können weitere Beispiele zur Verwendung von Kontrollen in Artikeln finden über:

Was kommt als Nächstes?

  • Melden Sie sich für ein kostenloses Konto bei BSC Designer an, um Zugriff auf die Scorecard-Vorlagen, einschließlich „Bibliothek der GRC-Kontrollen“, die in diesem Artikel besprochen werden, zu erhalten.
  • Folgen Sie unserem “Strategy Strategie-Implementierungssystem, um Stakeholder, strategische Ambitionen und Geschäftsrahmen in eine umfassende Strategie zu integrieren.

Mehr über Strategische Planung

Strategischer Planungsprozess:
BSC Designer software will support your team on all steps of strategic planning.
Beispiele der Balanced Scorecard:
Examples of the Balanced Scorecard with KPIs
Strategiekarten:
8 Steps to Create a Strategy Map By BSC Designer

Cite this article as: Alexis Savkin, "Wie man interne Kontrollen einrichtet und überwacht, um die Einhaltung zu gewährleisten," in Balanced Scorecard-Software mit 23 Vorlagen, Juli 16, 2024, https://bscdesigner.com/de/interner-kontrollen.htm.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.