Wie Man Interne Kontrollen Einrichtet Und Überwacht, Um Die Einhaltung Sicherzustellen

Bewährte Verfahren zur Einrichtung eines Rahmens für interne Kontrollen und deren praktische Umsetzung mit spezialisierter Software.

Der Begriff „Kontrollen„, ursprünglich im GRC-Bereich (Governance, Risk, Compliance) verwendet, um Mechanismen zur Risikobewältigung und Sicherstellung der Compliance zu beschreiben, wird nun auch breiter auf die strategische Planung angewendet.

Infografik: Implementierung von 5 Kernelementen interner Kontrollen für GRC

In diesem Artikel teilen wir bewährte Verfahren zur Einrichtung von Kontrollen und deren praktischer Anwendung.

Einführung in Interne Kontrollen

Im Wesentlichen ist ein „Kontrolle“ ein Reaktions- oder Präventionsmechanismus, der verwendet wird, um Risiken zu managen und die Einhaltung sicherzustellen.

Beispielkontrolle: „Mitarbeiter hat das Unternehmen verlassen

  • Aktionsplan: E-Mails umleiten
  • Aktionsplan: Kunden benachrichtigen
  • Effektivitätskennzahl: Logins deaktiviert [Evidenzbasiert]
  • Effektivitätskennzahl: % der benachrichtigten Kunden
  • Risiko: Unterbrechung des Arbeitsablaufs
Automating Internal Controls with Functional Scorecards

Komponenten der Kontrolle

Kontrollen haben spezifische Komponenten:

Implementierungsbeispiel

Aus der Automatisierungsperspektive könnte eine Kontrolle sein:

  • So einfach wie ein Aktionsplan mit abgestimmten Fortschrittsmetriken oder
  • So komplex wie eine hierarchische Reihe von Kontrollen und Unterkontrollen, jede mit ihrem eigenen Satz von Metriken, Risikoeinschätzungen, Minderungsplänen, kontextuellen Abhängigkeiten und Verantwortlichen.

Kontrollen haben spezifische Anwendungsbereiche, die definieren, wann bestimmte Kontrollen aktiviert werden sollten.

Lassen Sie uns die Werkzeuge erkunden, die wir für die Implementierung von Kontrollen in der strategischen Planung verwenden können.

1. Definition Von Kontrolle

In der Anfangsphase ist es unser Ziel, die bisherigen Erfahrungen des Managementteams in Kontrollen oder formelle Reaktionsmechanismen angemessen abzubilden.

Allgemeine Eigenschaften

Die Grundlagen zur Identifizierung einer Steuerung umfassen die Vergabe eines aussagekräftigen Namens und die Erklärung ihres Zwecks in der Beschreibung. Definieren Sie:

  • Bedingungen, die die Steuerung auslösen,
  • Umfang der Steuerung.
Implementierungsbeispiel

In BSC Designer:

  1. Verwenden Sie die Hinzufügen-Schaltfläche, um einen neuen Eintrag zu erstellen.
  2. Identifizieren Sie die Steuerung über die Felder Name und Beschreibung.
  3. Verknüpfen Sie die Steuerung mit relevanten vergangenen Zielen, Ereignissen oder regulatorischen Anforderungen.
Wie Ziele und Indikatoren in einer Scorecard Beschreiben
Strategiekaskadierung oder Ausrichtung auf praktischer Ebene

Unterstützende Dokumentation

Komplexere Kontrollen erfordern unterstützende Dokumentation, wie Richtlinien und Verfahren. Verlinken Sie die relevanten Dokumente oder laden Sie sie zur Kontrolle hoch.
Implementierungsbeispiel

In BSC Designer:

  • Fügen Sie einem Kontrollpunkt Dokumente über den Beschreibungsdialog hinzu.
  • Fügen Sie dem Aktionsplan des Kontrollpunkts Dokumente über den Initiativen-Dialog hinzu.
Wie Ziele und Indikatoren in einer Scorecard Beschreiben

Benutzerdefinierte Eigenschaften

Organisationen folgen ihren eigenen Standards der Kontrolldefinition, was spezifische Eigenschaften für Kontrollen oder damit verbundene Aktionspläne impliziert.
Implementierungsbeispiel

In BSC Designer:

  • Definieren Sie erforderliche Eigenschaften von Kontrollen über benutzerdefinierte Felder.
  • Die neuen Felder werden für Kontrollen, Kennzahlen und Initiativen verfügbar sein.
So Definieren Sie Benutzerdefinierte Felder für einen KPI oder eine Initiative auf der Scorecard

Eigentum

Die meisten Kontrollen erfordern ein gewisses Maß an menschlichem Eingreifen. Selbst wenn eine Kontrolle autonom ausgeführt wird, bleibt die Überwachung unerlässlich.
Implementierungsbeispiel

Zum Beispiel können Software-Wartbarkeitskontrollen Updates automatisieren, aber ein IT-Spezialist ist erforderlich, um Konflikte zu lösen, falls ein Update fehlschlägt. In BSC Designer:

  1. Fügen Sie verantwortliche Personen für die Kontrolle als Benutzer hinzu; ordnen Sie die Person einem Team zu.
  2. Weisen Sie die Person oder das Team im Eigentümer-Feld als Eigentümer der Kontrolle zu.

Eigentümer erhalten Benachrichtigungen, die für die Kontrolle relevant sind.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Zertifizierung / Genehmigung

Um die Definition einer Kontrolle oder eines Indikators abzuschließen, kann eine formelle Zertifizierung oder Genehmigung erforderlich sein. Das Management bestätigt, dass die interne Kontrolle den regulatorischen und internen Anforderungen entspricht.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie benutzerdefinierte Felder, um Eigenschaften der Kontrolle wie „Zertifizierungsstatus“ und „Zertifiziert von“ zu definieren.
  • Beim Bestätigen der Kontrollen kann das Managementteam diese Eigenschaften aktualisieren.
  • Verwenden Sie Filter in Berichten, um Kontrollen ohne ordnungsgemäße Zertifizierung zu identifizieren.
So Definieren Sie Benutzerdefinierte Felder für einen KPI oder eine Initiative auf der Scorecard

Um eine nicht zertifizierte Kontrolle zu deaktivieren, sie aber im Scorecard zu behalten:

  1. Wählen Sie eine Kontrolle aus.
  2. Wechseln Sie zum Leistung-Tab.
  3. Aktivieren Sie das Kontrollkästchen Rohdatenindikator.

Ausrichtung der Kontrollen

Kontrollen existieren nicht isoliert. Stellen Sie notwendige kontextuelle Verbindungen zwischen verschiedenen Kontrollen, Zielen, Risiken und Ereignissen her. Wie im Strategie-Implementierungssystem besprochen, werden Kontrollen über funktionale Scorecards in der Strategie implementiert.
Implementierungsbeispiel

In BSC Designer:

  • Kopieren und Einfügen von Elementen zwischen Scorecards.
  • Wählen Sie bei Aufforderung die Option Verbindung durch Kontext, um zwei Elemente zu verknüpfen.
Strategiekaskadierung oder Ausrichtung auf praktischer Ebene

Katalog der Kontrollen

Erstellen Sie für wiederkehrende Kontrollen eine Bibliothek der Kontrollen. Im Falle eines bestimmten Ereignisses können Sie eine Kontrolle leicht einsetzen, indem Sie sie aus der Bibliothek kopieren. Um die Implementierung der Kontrollen mit der vordefinierten Vorlage synchron zu halten, nutzen Sie die auf der Plattform verfügbare Synchronisationsfunktion.
Implementierungsbeispiel

In BSC Designer:

  1. Erstellen Sie ein Scorecard, das den Kontrollen gewidmet ist.
  2. Verwenden Sie eine hierarchische Struktur, um die Kontrollen zu organisieren.
  3. Kopieren Sie bei Bedarf die Kontrolle in das aktive Scorecard.
Automating Internal Controls with Functional Scorecards

2. Quantifizierung der Kontrollen

Effektivitätsmetriken

Die Verwendung von Metriken für die Kontrollen macht die Kontrolle spezifischer und vermeidet unterschiedliche Interpretationen. Definieren Sie Metriken, um Folgendes zu verfolgen:

  • Einhaltung der Standards
  • Wirksamkeit der Kontrolle
  • Fortschritt der Aktionspläne
Implementationsbeispiel

Zum Beispiel im Vorfallbericht:

  • Die Effizienz-Metrik könnte „% des Personals, das im Vorfallbericht geschult wurde“ sein.
  • Die Effektivitäts-Metrik könnte „% der Vorfälle, die nicht ordnungsgemäß kommuniziert wurden“ sein.

In BSC Designer:

  • Verwenden Sie die Hinzufügen-Schaltfläche, um Metriken innerhalb des Kontrollelements hinzuzufügen.

Gesamtleistung

Wenn die Wirksamkeitsmetriken für die Kontrolle definiert sind, kann die Gesamtwirksamkeit der Anwendung der Kontrolle unter Verwendung des gewichteten Durchschnitts der Leistung der einzelnen Metriken berechnet werden.
Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Metrik aus
  2. Wechseln Sie zum Leistungs-Tab
  3. Ändern Sie das Gewicht der Metrik

Die Leistung/Fortschritt der Kontrolle wird in der entsprechenden Spalte angezeigt.

Creating an Index Indicator with Weighted Metrics

Effizienzkennzahlen

Je nach Kontext verwenden Sie Frühindikatoren. Im Gegensatz zu Spätindikatoren tragen Frühindikatoren nicht direkt zur Gesamtleistung der Steuerung bei, liefern jedoch wertvolle Einblicke in das Verständnis der Effizienz der Steuerung.

Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie eine Kennzahl aus
  2. Wechseln Sie zu Kontext
  3. Ändern Sie den Typ der Kennzahl zu Frühindikator
Früh- vs. Spätindikatoren im BSC Designer

Risikoschätzung

Eine Kontrolle kann eine Risikodefinition enthalten oder mit Risiken aus einem Risikoregister abgestimmt sein.

Die Risikoschätzung kann sein:

  • Ein Auslöser für die Durchführung der Kontrolle oder
  • Eine Bedingung für die Auswahl eines bestimmten Handlungsweges.
Implementierungsbeispiel

In BSC Designer:

  1. Erstellen Sie einen neuen Indikator
  2. Ändern Sie seinen Typ in ‚Risiko‘
  3. Aktualisieren Sie die Indikatoren für Risiko-Wahrscheinlichkeit und -Auswirkung
Schritte, Um Ein Risiko Zu Einem Ziel Im BSC Designer Hinzuzufügen

Binärsteuerung

Die möglichen Zustände von binären Indikatoren:

  • Nicht zugewiesen – der Teil der Kontrolle wurde noch nicht ausgeführt
  • Ja – um anzuzeigen, dass der Teil der Kontrolle erfolgreich ausgeführt wurde
  • Nein – um anzuzeigen, dass der Teil der Kontrolle nicht erfolgreich ausgeführt wurde
Implementierungsbeispiel

Beispiel: „Business-Continuity-Plan aktualisiert unter Berücksichtigung einer neu identifizierten Bedrohung“ kann mit einem binären Indikator automatisiert werden. In BSC Designer:

  1. Wählen Sie einen Indikator aus
  2. Wechseln Sie zum Reiter ‚Allgemein‘
  3. Ändern Sie seine Maßeinheiten zu „Ja/Nein“
Binary Indicators: An Example of Usage for Internal Controls

Qualitative Kontrolle

Qualitative Indikatoren werden für die Kontrollen verwendet, wenn eine spezifischere quantitative Schätzung noch nicht entwickelt wurde oder deren Entwicklung nicht kosteneffektiv ist.

Implementierungsbeispiel

Beispiel: Eine Kontrolle Richtlinienmanagement und Kommunikation kann mit einer qualitativen Metrik Effektivität der Kommunikation von Compliance-Richtlinien mit möglichen Zuständen bewertet werden:

  • Hocheffektiv (100): Mitarbeiter verstehen die Compliance-Richtlinien klar.
  • Mäßig effektiv (60): Einige Mitarbeiter verstehen die Richtlinien.
  • Uneffektiv (10): Mitarbeiter sind im Allgemeinen nicht über die Richtlinien informiert.

In BSC Designer:

  1. Wählen Sie einen Indikator aus
  2. Klicken Sie auf die Schaltfläche Bearbeiten neben den Maßeinheiten, um benutzerdefinierte Maßeinheiten hinzuzufügen
Using Qualitative and Quantitative Measurement Units on Scorecards

Quantitative Kontrolle

Um die Kontrollen spezifischer zu gestalten, werden quantitative oder numerische Indikatoren verwendet. Für quantitative Indikatoren können wir ihre Leistungsformel definieren, z. B. wie der aktuelle Zustand eines Indikators die Leistungsfähigkeit beeinflusst.

Implementierungsbeispiel

Beispiel: Um die Effektivität der Implementierung einer spezifischen Kontrolle zu bewerten, führen wir ein internes Audit durch, um die % der Richtlinieneinhaltung zu verfolgen. In diesem Fall ist die Leistungsformel eine lineare Maximierung mit einem Zielwert von 100%. Ein weiteres Beispiel könnte die Metrik Durchschnittliche Erkennungszeit sein, die als lineare Minimierung mit einem Zielwert von 24 Stunden konfiguriert ist.

In BSC Designer:

  • Wechseln Sie zum ‚Leistung‘-Tab, um die Leistungsfunktion zu definieren.
  • Wechseln Sie zum ‚Daten‘-Tab, um den aktuellen Zustand, die Basislinie und das Ziel des Indikators zu definieren.
Practical Use of the Optimization Function for KPIs in BSC Designer

Evidenzbasierte Kontrolle

Evidenzindikatoren ändern ihren Status entsprechend der Anzahl der hochgeladenen Dokumente/Nachweise.

Implementierungsbeispiel

Zum Beispiel könnte Backup- und Wiederherstellungstestkontrolle das Hochladen von Testergebnissen oder Protokollen als Nachweis für die erfolgreiche Durchführung der Kontrolle erfordern.

In BSC Designer:

  1. Wählen Sie einen Indikator aus
  2. Ändern Sie seine Maßeinheiten zu Evidenz
  3. Laden Sie ein Dokument zum Indikator hoch, um seinen Status zu ändern
Automatisieren Sie die Nachverfolgung von Nachweisen in einer GRC-Scorecard mit Kontrollen

3. Initiativen für Kontrollen

Aktionspläne

Die Anwendung von Kontrollen beinhaltet das Befolgen spezifischer Präventions- oder Reaktionsmaßnahmen, ähnlich wie im klassischen Projektmanagement mit Fälligkeitsterminen, Budgets und verantwortlichen Personen.
Umsetzungsbeispiel

In BSC Designer:

  • Verwenden Sie das Initiative-Werkzeug, um Aktionspläne zu den Kontrollen hinzuzufügen.
  • Richten Sie Risiken und Effizienzkennzahlen mit der Initiative aus.
  • Weisen Sie der Initiative einen Verantwortlichen zu; die Person wird Benachrichtigungen erhalten, wenn sich der Status ändert.
How to Add an Initiative to a Goal in Strategic Planning

Aktionsplan Verfolgen

Die Verfolgung der Umsetzung des Aktionsplans ist typischerweise Teil des Kontrollumfangs. Eine der mit der Kontrolle abgestimmten Kennzahlen kann verwendet werden, um den Fortschritt des Aktionsplans zu verfolgen.
Implementierungsbeispiel

In BSC Designer:

  1. Fügen Sie der Kontrolle eine neue Initiative hinzu.
  2. Öffnen Sie den Initiativendialog.
  3. Wählen Sie die Fortschritts-KPI im Feld ‚Abgestimmte KPI‘.
Using KPIs to Track the Progress of an Initiative

4. Steuerung Des Trackings Im Laufe Der Zeit

Periodische Kontrollen

Einige Kontrollen erfordern eine periodische Überarbeitung. Solche Überarbeitungen betreffen die Mechanik der Kontrolle sowie die periodische Anwendung der Kontrolle. Bestimmte Kontrollen müssen nur einmal aktiviert werden.
Implementierungsbeispiel

Beispiel für die Überarbeitung der Mechanik der Kontrolle:

  • Überarbeitung von Compliance-Checklisten – jährliche Überarbeitung
  • Wissensbewahrung, % – vierteljährliche Überarbeitung

Beispiele für die periodische Anwendung der Kontrolle:

  • Schwachstellenscans – monatliche Überarbeitung/Aktualisierung

Beispiele für einmal initiierte Kontrollen:

  • Erste Risikobewertung – einmal zu aktualisieren

In BSC Designer:

Stellen Sie die Datenkonsistenz mit Aktualisierungsintervallen sicher

Aktualisieren des Kontrollstatus

Für periodische Kontrollen aktualisieren Sie den Zustand der Metriken, die für die Kontrolle definiert wurden.
Implementierungsbeispiel

In BSC Designer:

  1. Wählen Sie die Metrik einer Kontrolle aus
  2. Wählen Sie ein Datum im internen Kalender aus
  3. Wechseln Sie zum Reiter ‚Daten‘
  4. Geben Sie den neuen Status im Feld ‚Wert‘ ein
Kontinuierliche Überwachung von KPIs im BSC Designer

Vererbung des Kontrollzustands

Einige für Kontrollen verwendete Indikatoren werden ihren zuvor bekannten Zustand erben, während andere nur speziell eingegebene Aktualisierungen verwenden.

Implementierungsbeispiel

Zum Beispiel:

  • % der geschulten Mitarbeiter – ist wahrscheinlich ein inhärenter Indikator, da wir annehmen können, dass der Prozentsatz der im Mai geschulten Mitarbeiter im Juni gleich bleibt oder steigt.
  • Monatlicher Umsatz – ist wahrscheinlich ein nicht inhärenter Indikator, da wir daran interessiert sind, tatsächliche Verkaufsdaten über Monate hinweg zu verfolgen.

In BSC Designer:

  1. Wählen Sie einen Indikator aus
  2. Klicken Sie auf die Schaltfläche Werte-Editor
  3. Ändern Sie den Vererbungstyp des Indikators
Zwei Optionen zum Übernehmen des vorherigen Status eines Indikators

5. Berichtssteuerungen

Steuerungen auf Dashboards

Erstellen Sie visuelle Darstellungen von Steuerungen und deren Zuständen. Verfolgen Sie die Entwicklung von Kennzahlen über die Zeit, den Zustand von Risiken und Risikominderungsplänen.
Implementierungsbeispiel

In BSC Designer:

  1. Wechseln Sie zur Dashboard-Registerkarte.
  2. Fügen Sie relevante Diagramme hinzu, einschließlich Gantt-Diagramme für Initiativen, Risikodiagramme und Diagramme, die Steuerungen und deren Zustände auflisten.
Adding a Chart to a Dashboard in BSC Designer

Kontrollen Für Die Risikobewertung

Die Spätindikatoren, die die Effektivität der Kontrollen quantifizieren, können verwendet werden, um die Wahrscheinlichkeit oder den Einfluss eines Risikos zu quantifizieren.
Implementierungsbeispiel

In BSC Designer:

  • Verbinden Sie den späten Teil der Kontrolle mit den Risikoeinfluss- oder Risikobewertungskennzahlen im Risikoregister durch Daten.
Risiken Identifizieren und Bewerten nach Wirksamkeit der Internen Kontrollen

Steuerelemente in Berichten

Der Zustand der Steuerelemente sowie die Ergebnisse ihrer Implementierung können den beteiligten Stakeholdern gemeldet werden.
Implementierungsbeispiel

In BSC Designer:

  • Verwenden Sie das Menü ‚Bericht‘, um verschiedene Berichte zu erstellen
  • Verwenden Sie die Schaltfläche ‚Planen‘ im Menü ‚Bericht‘, um Berichte automatisch an die Stakeholder zu senden
Report the Status of Goals and KPIs to the Stakeholders

Verantwortlichkeit

Das Aufzeichnen der Ausführungsergebnisse einer Kontrolle ist wichtig für die Verantwortlichkeit und zukünftiges Lernen.
Implementierungsbeispiel

In BSC Designer:

  • Alle Aktivitäten im Zusammenhang mit dem Design und der Ausführung von Kontrollen werden im Audit-Log aufgezeichnet.
  • Der Administrator des Kontos kann auf Audit-Logs über Menü > Benutzer > Audit-Trail zugreifen.
Accountability and Transparency with Audit Trail in Strategic Planning

Praktisches Beispiel für die Verwendung einer Kontrolle

Lassen Sie uns ein praktisches Beispiel besprechen. Betrachten Sie die Kontrolle, die aktiviert wird, wenn ein Mitarbeiter das Unternehmen verlässt.

Beispielstruktur: Ein Beispiel für die Bibliothek der GRC-Kontrollen

Ein Beispiel für die Bibliotheksstruktur für GRC-Kontrollen. Quelle: View Library of GRC Controls online in BSC Designer Library of GRC Controls.

Kontrollbibliothek

In der Kontrollbibliothek habe ich einen HR-Bereich, in dem eine der Kontrollen „Mitarbeiter hat das Unternehmen verlassen“ ist.

Diese Kontrolle hat drei Aktionspläne:

  • E-Mails umleiten.
  • Kunden kontaktieren.
  • Wissensübertragungsplan.

Sie hat auch zwei Metriken:

  • Logins deaktiviert (evidenzbasiert).
  • Prozentsatz der benachrichtigten Kunden.

Eine weitere Metrik wird für die regelmäßige Überprüfung der Kontrollen verwendet:

  • Wissensbewahrung (%)

Ein Risiko ist für die Kontrolle definiert als:

  • Risiko: Unterbrechung des Arbeitsablaufs
  • Minderungsplan: Dokumentation kritischer Funktionen

Events Scorecard

Ich habe ein Scorecard namens „HR-Ereignisse“, in dem relevante HR-Ereignisse protokolliert werden. Das Scorecard ist nach Ereignistyp organisiert.

Kontrolle Anwenden

Hier sind die Schritte, die zu befolgen sind, wenn ein Mitarbeiter das Unternehmen verlässt:

  1. Erstellen Sie ein neues Ereignis im Events Scorecard, z.B. „Alex hat das Unternehmen verlassen.“
  2. Kopieren und fügen Sie die entsprechende Kontrolle aus der Kontrollbibliothek in das Events Scorecard ein.
  3. Die für die Kontrolle verantwortliche Person wird automatisch über neu erstellte Aktionspläne benachrichtigt.
  4. Laden Sie Nachweise (Screenshots) hoch, dass die Logins deaktiviert wurden.
  5. Benachrichtigen Sie die Kunden und aktualisieren Sie den Indikator „% der benachrichtigten Kunden“.
  6. Aktualisieren Sie den Status der Aktionspläne auf „In Überprüfung“.

SchulungsprogrammSchulungssitzung: 'BSC Designer für die Automatisierung von GRC-Kontrollen' wird im Rahmen unseres laufenden Lernprogramms angeboten und ist in einem BSC Designer-Abonnement enthalten.

Schulungssitzungen werden wöchentlich über Zoom abgehalten und bieten praktische Einblicke sowie persönliche Anleitung. Nach Abschluss erhalten die Teilnehmer ein Teilnahmezertifikat. Entdecken Sie alle verfügbaren Schulungssitzungen hier.

Weitere Beispiele

Sie können weitere Beispiele für die Verwendung von Steuerungen in Artikeln über finden:

Nutzen Sie Bibliothek der GRC-Kontrollen Vorlage

BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:

  1. Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
  2. Verwenden Sie die Scorecard Template Bibliothek der GRC-Kontrollen Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen.
  3. Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.

Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!


Cite this article as: Alexis Savkin, "Wie Man Interne Kontrollen Einrichtet Und Überwacht, Um Die Einhaltung Sicherzustellen," in Balanced Scorecard-Software mit 23 Vorlagen, Juli 16, 2024, https://bscdesigner.com/de/interner-kontrollen.htm.

Schreibe einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..