Article
Agile Controls Governance
Performance und Flexibilität interner Kontrollsysteme durch agile Managementansätze steigern
Die steigende Komplexität der Geschäftswelt und des regulatorischen Umfelds stellen enorme Risikofaktoren für Unternehmen dar. Um schnell und flexibel auf Veränderungen reagieren zu können, werden immer häufiger agile Elemente in die Aufbau- und Ablauforganisation integriert. Damit das IKS, als eines der zentralen Steuerungs- bzw. Überwachungssysteme in der 2nd „Line of Defence“ (LoD) die operativen Bereiche in der 1st LoD schneller und risikoorientierter unterstützen kann, sollte die agile Denk- und Arbeitsweise auch hier etabliert werden. In Zeiten des Wirtschaftsabschwungs können die Effizienzpotenziale eines agilen IKS auch zu Wettbewerbsvorteilen führen.
Was bedeutet „Agiles IKS“?
Ziel eines agilen IKS ist es, Prozessrisiken durch schlanke Kontrollaktivitäten und möglichst geringen administrativen Aufwand zu mitigieren und somit möglichst schnell und kontinuierlich Mehrwert für die Stakeholder im Unternehmen zu schaffen. Nicht zielgerichtete Kontrollaktivitäten, welche die Stabilität und Effektivität von Prozessen nicht fördern und nicht durch regulatorische oder normative Vorgaben gefordert sind, werden aufgehoben und somit Prozesse insgesamt beschleunigt. Darüber hinaus wird durch die Agilisierung erreicht, dass Kontrollaktivitäten schneller umgesetzt und angepasst werden können.Da es sich bei „Agile“ v.a. auch um ein Mindset handelt, lassen sich grundsätzlich alle Aktivitäten des IKS-Regelkreislaufs (s. Abbildung 1) agilisieren. Dabei wird während der einzelnen IKS-Schritte der Fokus u.a. auf Wertorientierung, enge und ergebnisorientierte Kollaboration sowie eine iterative Herangehensweise gelegt.
Wettbewerbsvorteile durch agile interne Kontrollsysteme
Die fundierte Projekterfahrung von Deloitte beim Konzipieren, Implementieren und Testing agiler und standardisierter interner Kontrollsysteme hat gezeigt, dass sich insbesondere folgende Vorteile durch die Agilisierung von IKS realisieren lassen:
- Effiziente Nutzung von Ressourcen (bis zu 20 % Ressourcenreduzierung nach vollständiger agiler Transformation)
- Bessere Abstimmung mit anderen Geschäftsfunktionen und innerhalb des IKS-Teams
- Schnellere Identifikation von aufkommenden Risiken sowie Anpassung an die schnelllebige Risikoumgebung (Risikofrüherkennung)
- Schnellere Kommunikation von Erkenntnissen und erhöhte Qualität des Reportings
- Höhere Effektivität und Effizienz von Kontrollaktivitäten durch iterative Arbeitsweise und kontinuierliche Verbesserung
- Höhere Motivation und Selbstorganisation von Mitarbeitern (u.a. auch Magnet für motivierte Talente)
- Innovativeres und kreativeres Arbeitsumfeld und erhöhte Veränderungsbereitschaft Ein agiles IKS reagiert nicht nur auf sich verändernde Unternehmensprozesse, sondern wird selbst zum Treiber
der Unternehmensentwicklung. Im Folgenden soll anhand des Beispiels „Agiles Kontroll-Testing“ verdeutlicht werden, wie die Agilisierung eines IKS umgesetzt werden kann.
Use Case: Agiles Kontroll-Testing
Sobald ein IKS initial konzipiert und implementiert ist, stellt das regelmäßige Testing von Kontrollaktivitäten einen der wesentlichen Aufwandstreiber für Unternehmen dar. Daher ist es von großem Vorteil, dass insbesondere diese fortlaufende Aktivität mit der richtigen Methodik „agilisiert“ und damit der Mehrwert eines IKS für das Gesamtunternehmen deutlich erhöht werden kann.
Startpunkt für das agile Testing (s. Abbildung 2) ist, analog zu anderen agilisierten Prozessen, das „Product Backlog“. Während dieses Product Backlog auf alle Fälle sämtliche zu testenden Kontrollaktivitäten innerhalb der Organisation beinhalten sollte, können auch andere IKS-relevante Aktivitäten (z.B. Definition von Rollen & Verantwortlichkeiten, Assessment-Workshops, etc.) aufgenommen werden. Die vollumfängliche Abbildung von IKS-Aktivitäten stellt sicher, dass alle anfallenden Aufgaben anhand klar definierter Kriterien
(z.B. Risiko, Mehrwert, Erfüllung regulatorischer Anforderungen) priorisiert und in aufeinander folgende Sprints von 2 bis 4 Wochen aufgeteilt werden können. Die damit verbundene Erstellung von „Sprint Backlogs“ führt zu einer sehr fokussierten Abarbeitung der Kontroll-Testings.
Mit Hilfe von entsprechenden Tool-Lösungen und unter Abhaltung regelmäßiger Abstimmungen erfolgt anschließend das priorisierte, transparente und zielgerichtete Testing der Kontrollaktivitäten durch das IKS-Team (v.a. bestehend aus Kontrollverantwortlichen der 1st LoD und IKS-Vertretern der 2nd LoD). Gleichzeitig erfolgen auch beim agilen Testing nach Abschluss eines Sprints ein entsprechendes Sprint-Reporting, der Sprint Review und die Sprint Retrospective. Insbesondere die beiden zuletzt genannten „Events“ sind dazu gedacht, den Gedanken der kontinuierlichen Verbesserung im IKS-Kreislauf zu etablieren und sowohl die erzielten Ergebnisse als auch die Methodik und Vorgehensweise beim IKS-Testing zu bewerten. Natürlich verfolgt auch das agile Testing das Ziel, am Ende eines jeden Sprints mehrwertstiftende Ergebnisse gegenüber den relevanten Stakeholdern vorweisen zu können. So werden auch bei einer risikobasierten und agilen Vorgehensweise eine revisionssichere Dokumentation der Tests sowie managementgerechte Berichte erstellt.
Dies beinhaltet auch entsprechende Maßnahmen zur Schließung identifizierter Kontrollschwachstellen, welche je nach Risikoausmaß bereits in einem der nächsten Sprints behoben werden können.
Neben der bereits erwähnten Tool-Unterstützung und der Sicherstellung regelmäßiger Touchpoints für die operativen Teammitglieder ist vor allem die Etablierung klarer Rollen & Verantwortlichkeiten im gesamten IKS-Kontext erfolgskritisch. So müssen die Rollen des Product Owners (z.B. Prozess- und somit Risikoverantwortlicher der 1st LoD), des Scrum Masters (potenziell jeder Mitarbeiter mit Agile-Erfahrungen) und des operativen Teams (Vertreter der relevanten 1st und 2nd LoD-Funktionen) klar definiert sowie alle relevanten Stakeholder identifiziert werden, um die effektive und effiziente Erzielung von Arbeitsergebnissen sicherzustellen.
Fazit und Ausblick
Mit der Agilisierung des IKS sollten Unternehmen auf die an Bedeutung gewinnende Flexibilisierung des Geschäfts- und Betriebsmodells reagieren. Dabei sollten jedoch auch die eigenen Vorteile eines agilen IKS in den Vordergrund gerückt werden: Effiziente Nutzung von Kapazitäten, Verschlankung von Prozessen, höhere Reaktionsfähigkeit auf externe und interne Risiken, Verbesserung von Informationsflüssen und Entscheidungs-findungen sowie die Förderung der Motivation, Eigenständigkeit und Innovationsfähigkeit von Mitarbeitern. Dies sind lediglich beispielhafte Vorteile, welche durch die agile Gestaltung eines IKS und der restlichen GRC-Organisation erreicht werden können, und die letztendlich auch die Attraktivität des Unternehmens für Talente erhöhen.
Werden auch Sie zum proaktiven Antreiber der agilen IKS-Transformation und bilden die Basis für einen langfristigen Wettbewerbsvorteil Ihres Unternehmens. Wir stehen gerne für einen ersten Austausch zum agilen IKS zur Verfügung und unterstützen Sie bei den ersten Schritten in eine agile Zukunft.
Ganzheitlicher Service: Agile Governance
Die Anwendung von agilen Arbeitsmethoden ist nicht nur auf die Funktions-weise eines internen Kontrollsystems beschränkt, sondern lässt sich vielmehr auf alle Governance, Risk & Compliance (GRC) Funktionen eines Unternehmens anwenden. Dazu gehören insbesondere Agile Enterprise Risk Management sowie Agile Internal Audit. Als Pionier bei der Anwendung agiler Methoden im GRC-Kontext berät Deloitte Unternehmen bei der initialen Konzeption und anschließenden Implementierung von smarten und agilen Assurance-Funktionen. Dabei stützen wir uns auf unsere umfangreichen Projekt-erfahrungen und unser Netzwerk aus verschiedenen internationalen Experten.
Ihr Ansprechpartner
