Ziel eines agilen IKS ist es, Prozessrisiken durch schlanke Kontrollaktivitäten und möglichst geringen administrativen Aufwand zu mitigieren und somit möglichst schnell und kontinuierlich Mehrwert für die Stakeholder im Unternehmen zu schaffen. Nicht zielgerichtete Kontrollaktivitäten, welche die Stabilität und Effektivität von Prozessen nicht fördern und nicht durch regulatorische oder normative Vorgaben gefordert sind, werden aufgehoben und somit Prozesse insgesamt beschleunigt. Darüber hinaus wird durch die Agilisierung erreicht, dass Kontrollaktivitäten schneller umgesetzt und angepasst werden können.Da es sich bei „Agile“ v.a. auch um ein Mindset handelt, lassen sich grundsätzlich alle Aktivitäten des IKS-Regelkreislaufs (s. Abbildung 1) agilisieren. Dabei wird während der einzelnen IKS-Schritte der Fokus u.a. auf Wertorientierung, enge und ergebnisorientierte Kollaboration sowie eine iterative Herangehensweise gelegt.
Die fundierte Projekterfahrung von Deloitte beim Konzipieren, Implementieren und Testing agiler und standardisierter interner Kontrollsysteme hat gezeigt, dass sich insbesondere folgende Vorteile durch die Agilisierung von IKS realisieren lassen:
Sobald ein IKS initial konzipiert und implementiert ist, stellt das regelmäßige Testing von Kontrollaktivitäten einen der wesentlichen Aufwandstreiber für Unternehmen dar. Daher ist es von großem Vorteil, dass insbesondere diese fortlaufende Aktivität mit der richtigen Methodik „agilisiert“ und damit der Mehrwert eines IKS für das Gesamtunternehmen deutlich erhöht werden kann.
Startpunkt für das agile Testing (s. Abbildung 2) ist, analog zu anderen agilisierten Prozessen, das „Product Backlog“. Während dieses Product Backlog auf alle Fälle sämtliche zu testenden Kontrollaktivitäten innerhalb der Organisation beinhalten sollte, können auch andere IKS-relevante Aktivitäten (z.B. Definition von Rollen & Verantwortlichkeiten, Assessment-Workshops, etc.) aufgenommen werden. Die vollumfängliche Abbildung von IKS-Aktivitäten stellt sicher, dass alle anfallenden Aufgaben anhand klar definierter Kriterien
(z.B. Risiko, Mehrwert, Erfüllung regulatorischer Anforderungen) priorisiert und in aufeinander folgende Sprints von 2 bis 4 Wochen aufgeteilt werden können. Die damit verbundene Erstellung von „Sprint Backlogs“ führt zu einer sehr fokussierten Abarbeitung der Kontroll-Testings.
Mit Hilfe von entsprechenden Tool-Lösungen und unter Abhaltung regelmäßiger Abstimmungen erfolgt anschließend das priorisierte, transparente und zielgerichtete Testing der Kontrollaktivitäten durch das IKS-Team (v.a. bestehend aus Kontrollverantwortlichen der 1st LoD und IKS-Vertretern der 2nd LoD). Gleichzeitig erfolgen auch beim agilen Testing nach Abschluss eines Sprints ein entsprechendes Sprint-Reporting, der Sprint Review und die Sprint Retrospective. Insbesondere die beiden zuletzt genannten „Events“ sind dazu gedacht, den Gedanken der kontinuierlichen Verbesserung im IKS-Kreislauf zu etablieren und sowohl die erzielten Ergebnisse als auch die Methodik und Vorgehensweise beim IKS-Testing zu bewerten. Natürlich verfolgt auch das agile Testing das Ziel, am Ende eines jeden Sprints mehrwertstiftende Ergebnisse gegenüber den relevanten Stakeholdern vorweisen zu können. So werden auch bei einer risikobasierten und agilen Vorgehensweise eine revisionssichere Dokumentation der Tests sowie managementgerechte Berichte erstellt.
Dies beinhaltet auch entsprechende Maßnahmen zur Schließung identifizierter Kontrollschwachstellen, welche je nach Risikoausmaß bereits in einem der nächsten Sprints behoben werden können.
Neben der bereits erwähnten Tool-Unterstützung und der Sicherstellung regelmäßiger Touchpoints für die operativen Teammitglieder ist vor allem die Etablierung klarer Rollen & Verantwortlichkeiten im gesamten IKS-Kontext erfolgskritisch. So müssen die Rollen des Product Owners (z.B. Prozess- und somit Risikoverantwortlicher der 1st LoD), des Scrum Masters (potenziell jeder Mitarbeiter mit Agile-Erfahrungen) und des operativen Teams (Vertreter der relevanten 1st und 2nd LoD-Funktionen) klar definiert sowie alle relevanten Stakeholder identifiziert werden, um die effektive und effiziente Erzielung von Arbeitsergebnissen sicherzustellen.
Mit der Agilisierung des IKS sollten Unternehmen auf die an Bedeutung gewinnende Flexibilisierung des Geschäfts- und Betriebsmodells reagieren. Dabei sollten jedoch auch die eigenen Vorteile eines agilen IKS in den Vordergrund gerückt werden: Effiziente Nutzung von Kapazitäten, Verschlankung von Prozessen, höhere Reaktionsfähigkeit auf externe und interne Risiken, Verbesserung von Informationsflüssen und Entscheidungs-findungen sowie die Förderung der Motivation, Eigenständigkeit und Innovationsfähigkeit von Mitarbeitern. Dies sind lediglich beispielhafte Vorteile, welche durch die agile Gestaltung eines IKS und der restlichen GRC-Organisation erreicht werden können, und die letztendlich auch die Attraktivität des Unternehmens für Talente erhöhen.
Werden auch Sie zum proaktiven Antreiber der agilen IKS-Transformation und bilden die Basis für einen langfristigen Wettbewerbsvorteil Ihres Unternehmens. Wir stehen gerne für einen ersten Austausch zum agilen IKS zur Verfügung und unterstützen Sie bei den ersten Schritten in eine agile Zukunft.
Die Anwendung von agilen Arbeitsmethoden ist nicht nur auf die Funktions-weise eines internen Kontrollsystems beschränkt, sondern lässt sich vielmehr auf alle Governance, Risk & Compliance (GRC) Funktionen eines Unternehmens anwenden. Dazu gehören insbesondere Agile Enterprise Risk Management sowie Agile Internal Audit. Als Pionier bei der Anwendung agiler Methoden im GRC-Kontext berät Deloitte Unternehmen bei der initialen Konzeption und anschließenden Implementierung von smarten und agilen Assurance-Funktionen. Dabei stützen wir uns auf unsere umfangreichen Projekt-erfahrungen und unser Netzwerk aus verschiedenen internationalen Experten.