top of page
Suche

Die Achillesferse des Internen Kontrollsystems: Warum Vollständigkeit mehr ist als nur Risikofokus

  • Jörg Kunze
  • 4. Dez. 2025
  • 2 Min. Lesezeit

Die Lücken-Falle im prozessorientierten IKS

Die Dokumentation eines Internen Kontrollsystems (IKS) ist fundamental für die Sicherstellung von Governance, Risikomanagement und Compliance. Im modernen Verständnis erfolgt diese Dokumentation prozessorientiert. Der Fokus liegt dabei zumeist auf den wesentlichen Prozessen – jenen, die aufgrund ihrer Natur oder ihres Umfangs wesentliche Geschäftsrisiken bergen.

Im Rahmen dieses Ansatzes werden für diese kritischen Prozesse die folgenden Elemente erfasst:

  • Die Prozesse selbst.

  • Die identifizierten Risiken.

  • Die zur Risikominderung implementierten Kontrollen.

Der Gedanke ist effizient: Konzentriere dich auf das, was wirklich wehtut. Doch dieser reduzierte Fokus führt zu einem schwerwiegenden Problem in der Qualitätssicherung und bei der Vollständigkeitsprüfung.

Das Problem der „Horizontalen Leere“

Ein zentraler Anspruch an jedes IKS ist dessen Vollständigkeit. Wenn wir uns bei der Erfassung der Prozesse nur auf die wesentlichen konzentrieren, entsteht ein Bereich der horizontalen Leere. Es fehlen Prozesse in der Dokumentation, die zwar bewusst als unwesentlich eingestuft wurden, aber faktisch im Unternehmen existieren.

Diese Lücke macht die Vollständigkeitsprüfung nahezu unmöglich:

Status eines fehlenden Prozesses

Interpretation durch den Prüfer

Szenario A: Prozess wurde bewertet und als unwesentlich eingestuft.

Interpretation: Absichtliches und korrektes Weglassen (O.K.).

Szenario B: Prozess wurde vergessen oder übersehen.

Interpretation: Eine echte IKS-Lücke (Nicht-O.K.).

Bei einem fehlenden Prozess in der IKS-Dokumentation ist nicht klar, ob dieser Prozess schlicht als unwesentlich erachtet und daher weggelassen wurde (Szenario A) oder ob es sich um eine gefährliche Dokumentationslücke handelt, die möglicherweise erhebliche, unkontrollierte Risiken verbirgt (Szenario B).

Die Lösung: Horizontale Vollständigkeit durch Kennzeichnung

Um dieses Dilemma aufzulösen, ist es sinnvoll, bei der Prozessliste für das IKS eine horizontale Vollständigkeit anzustreben. Das bedeutet, wir erfassen alle Prozesse des Unternehmens, unabhängig davon, ob sie im Sinne des Risikomanagements als wesentlich gelten oder nicht.

Wie das funktioniert:

  1. Vollständige Erfassung: Alle Tätigkeiten und Geschäftsprozesse werden zunächst in einem Prozesskatalog erfasst (siehe dazu auch mein Beitrag zum Hybrid-Ansatz in der Prozessdokumentation).

  2. Markierung: Jeder erfasste Prozess wird mit dem Attribut WESENTLICH oder UNWESENTLICH markiert.

  3. Dokumentation des Verzichts: Prozesse, die als unwesentlich eingestuft werden, werden in der Dokumentation explizit markiert und vom weiteren Kontrolldesign ausgeschlossen.

Die Vorteile dieses Ansatzes:

  • Audit-Sicherheit: Es ist nun dokumentiert, dass jeder Prozess bewusst untersucht und sein Risikopotenzial aktiv bewertet wurde.

  • Klare Abgrenzung: Wir können eine saubere Trennung zwischen bewusst ausgelassenen Prozessen (die als unwesentlich markiert sind) und echten Lücken (Prozesse, die nirgends in der Liste auftauchen) vornehmen.

  • Nachvollziehbarkeit: Sollte sich die Risikolage eines unwesentlichen Prozesses ändern, kann er jederzeit reaktiviert und in das Kontrollsystem integriert werden, ohne dass er neu erfasst werden muss.

Die horizontale Vollständigkeit ist somit keine bürokratische Mehrarbeit, sondern eine fundamentale Qualitätssicherung des IKS-Designs. Sie transformiert das Fehlen eines Prozesses von einem unklaren Risiko zu einer dokumentierten und bewussten Management-Entscheidung.

Aktuelle Beiträge

Alle ansehen

Kommentare

bottom of page