Managementprozesse und Managementsysteme zeichnen sich durch ein hohes Maß an Individualität, Heterogenität und vor allem Proprietät bezüglich Methoden, Informationen und der verwendeten IT-Tools aus. Eigentlich sollen Zusammenhänge sowie Wirkungen von Maßnahmen einfach und verständlich aufgezeigt werden. Die Erfahrung zeigt aber, dass letztlich nichts wirklich zusammenpasst. Die öffentlich vorgeführte Hilflosigkeit großer DAX-Unternehmen gerade bei hochbrisanten Fragen, die außerhalb gängiger Controllingsysteme oder BI-Systeme liegen, beweist das Dilemma. Dafür gibt es viele Gründe. Einer ist die mangelnde Integration von Informationen in den Gesamtprozess der Unternehmensführung.
Eine mögliche Lösung wird hier am Beispiel der internen Revision aufgezeigt. Die interne Revision unterstützt mit unabhängigen Prüfungen/Audits die Unternehmensführung bei der Kontrolle im Rahmen wahrzunehmender Managementaufgaben. Auch wenn regulatorische (Mindest-)Anforderungen beispielsweise an das Risikomanagement (MaRisk) für Banken oder Versicherungen und das Kreditwesengesetz (§ 25a Abs. 1 Nr. 1 KWG) beziehungsweise Versicherungsaufsichtsgesetz (§ 64a Abs. 1 VAG) bestimmte Prüfungen und Maßnahmen vorschreiben, ergibt sich schon aufgrund der Notwendigkeit zum wirtschaftlichen Handeln die Einrichtung derartiger Institutionen. Die Aufgaben der internen Revision müssen in engem Zusammenhang zu weiteren Aktivitäten im Unternehmen, wie zum Beispiel dem internen Kontrollsystem (IKS), dem kontinuierlichen Verbesserungsprozesses (KVP) oder dem Qualitätsmanagementsystem betrachtet werden. Alle Tätigkeiten verfolgen das Ziel, das Unternehmen innovativer, ertragsfähiger und stabiler im Markt zu etablieren. Erfolgreichen Unternehmen gelingt dies besser als weniger erfolgreichen. Der Erfolg eines Unternehmens hängt also eng mit der Qualität der Managementtätigkeiten zusammen. Wenn man betrachtet, auf welcher Basis die Unternehmensführung Entscheidungen trifft, fällt auf, dass dies oft auf Basis weniger Informationen unklarer Herkunft und unter hoher Unsicherheit geschieht. Es gibt bis heute kein in der Praxis realisiertes integriertes Managementsystem, mit dem sich Unternehmen aus der Führungsebene heraus integriert planen, steuern und kontrollieren lassen. Der Grund liegt in der ausgesprochen individuellen und komplexen Gestaltung der dazu notwendigen Informationsstruktur, die Aufbau- und Ablauforganisation, aber auch die entsprechenden Managementmethoden inklusive der daraus resultierenden Strategien, Zielen, Aufgaben, Maßnahmen und deren Ergebnisse enthalten muss. Trotzdem, eine solche Datenstruktur lässt sich heute mit den vorhandenen technischen Mitteln aufbauen. Diese ist mehrdimensional, einerseits in Richtung der abzubildenden Aufbau- und Ablauforganisation und andererseits in Richtung der Informationsbeziehungen, die sich aus Risikoanalyse, Revisionsdurchführung, Maßnahmendefinition, Erfolgskontrolle und Wissenskonservierung ergeben. Nachfolgend ist die Basis einer Informationsstruktur für die interne Revision dargestellt.
Alle weiteren Beschreibungen beziehen sich auf die in der Grafik dargestellte Datenstruktur für die Interne Revision, so wie sie in Unternehmen umgesetzt werden kann.
Das Datenmodell gliedert sich in die Bereiche Prüflandkarte/Risikouniversum, Risikoanalyse, Revisionsplanung, Revisionsdurchführung, Checklisten, Maßnahmenverfolgung, Wissensdatenbank, Reporting und das Berechtigungskonzept.
Konsequente Anwendung bewusst definierter Methoden
Die Darstellung der Aufbauorganisation und der Geschäftsprozesse als Bestandteil der Prüflandkarte beziehungsweise des Risikouniversums erfordert die konsequente Anwendung bewusst definierter (Modellierungs-)Methoden, die dem Zweck der strategischen und teilweise auch der operativen Unternehmensführung dienen. Diese Aufgabe wird vom Management oft als Selbstzweck empfunden, ist aber für ein erfolgreiches Revisionsmanagement von höchster Bedeutung. Revisionen referenzieren genau auf diese Objekte, Maßnahmen müssen beispielsweise Geschäftsprozessen oder Abteilungen eindeutig zuordenbar sein.
Die Risikoanalyse bezieht sich auf sehr unterschiedliche Objekte im Unternehmen. Beispielhaft für viele andere seien hier Organisationseinheiten (Abteilungen oder Geschäftsbereiche), bestimmte zur Anwendung kommende Verfahren, Produkte, Anlagen, IT-Systeme oder Geschäftsprozesse des Unternehmens aufgezeigt. Sie prüft und schätzt unter anderem ab, ob definierte Ziele von Abteilungen erreicht werden, Geschäftsprozesse wie beabsichtigt ablaufen und im Sinne der Effizienz/Effektivität verbessert werden müssen. Aus ihr ergeben sich die Revisionsanforderungen, die sicherstellen sollen, dass Kosten aus bestehenden Risiken minimiert werden. Wichtig für das Datenmodell ist die Beziehung zwischen Risikouniversum, Risikoanalyse/Risiko und den daraus identifizierten Revisionsanforderungen.
Die Revisionsanforderungen zeigen auf die eigentliche Revision, die wiederum Bestandteil des Revisionsdetailplans beziehungsweise Revisionsmasterplans ist. Erster enthält die kapazitätsterminierten Revisionen inklusive Prüfobjekt und Prüfer über einen bestimmten Zeithorizont, zweiter alle zyklisch wiederkehrenden Prüfanforderungen.
Eine Revision kann aus mehreren Teilrevisionen bestehen, welche wiederum auf Checklisten zurückgreifen, die aus Fragegruppen und einzelnen Fragen bestehen. Diese wiederum stehen mit einer Norm oder (internen) Richtlinie in Beziehung. Ergebnis einer Revision ist der Prüfbericht.
Aus der Revision oder aus einer einzelnen Frage heraus ergeben sich Maßnahmen, die in Empfehlungs- oder Maßnahmenreports zusammengefasst sind und sich auf eine Organisationseinheit und/oder Geschäftsprozess beziehen können.
Die Grafik zeigt nur eine Minimalstruktur, denkbar sind weitere Beziehungen zwischen Objekten in dem Modell sowie zu beliebig weiteren Informationsobjekten im Unternehmen. Die Beziehungen zwischen den einzelnen Objekten sind bidirektional, das heißt die Beziehungen sind „rückverfolgbar“, es besteht ebenso eine Beziehung von einer Maßnahme über die Revision, Revisionsanforderung, das Risiko bis hin zu der Organisationseinheit, auf die sich die Maßnahme bezieht. Wie die beschriebenen Objekte im Detail in Beziehung stehen, hängt vom Informationsbedarf des Unternehmens ab und muss kundenspezifisch definiert werden.
Die Vernetzung bestimmter Informationsobjekte im Rahmen der Umsetzung bestimmter Aufgaben, hier beschrieben anhand des Revisionsmanagements, erfordert die Erstellung einer aufgabenspezifischen und trotzdem integrierten Datenstruktur. Integriert heißt, dass diese nicht nur einer Aufgabe entsprechen muss, sondern möglichst vielen. Gerade bei Managementaufgaben ist das notwendig und bisher wenig realisiert. Was in Industriebetrieben längst Standard ist, ließ sich bisher in Dienstleistungsunternehmen aufgrund der deutlich komplexeren und oft sehr individuellen Anforderungen an die Datenstruktur nicht so einfach umsetzen. Inzwischen gibt es aber, wie die Ausführung zeigt, mit dem integrierten Managementsystem DHC Vision komfortable und dennoch ganzheitliche Möglichkeiten, diese Herausforderungen zu lösen.
Autor: Dr. Rudi Herterich ist Geschäftsführer von DHC Dr. Herterich & Consultants in Saarbrücken.