Prozessuale Steuerung statt Kontrollillusion

HUG GmbH

Warum viele "Kontrollen" keine sind

In der Praxis von IKS, Governance und Risikomanagement hat sich ein klassisches Bild etabliert: Prozesse werden durch Kontrollen abgesichert, die in „präventiv“ einerseits und „detektiv“ bzw. „korrigierend“ andererseits unterteilt werden. Diese Typologie entstammt dem traditionellen Ansatz des Internen Kontrollsystems (IKS) und ist insbesondere in der Wirtschaftsprüfung – historisches Stichwort „COSO“ – verbreitet.

 

Doch bei genauerem Hinsehen zeigt sich: Diese Einteilung greift für eine wirksame prozessuale Steuerung zu kurz – und kann sogar in die Irre führen.

kontakt
Prozessuale Steuerung

Vom Kontrollzeitpunkt zur Risikosteuerung: Ein Perspektivwechsel

Die klassische Kontrolllogik fragt: „Wann greift die Kontrolle – vor, während oder nach einem Ereignis?“ Die prozessuale Sicht hingegen fragt: „Wie trägt die Maßnahme zur Zielerreichung bei?“

 

Versteht man Risiko als Abweichung vom Prozessziel (und nicht als potenzielle Fehlerquelle irgendwo im Ablauf), ist entscheidend, ob eine Maßnahme im laufenden Prozess tatsächlich auf Risikoursachen einwirkt. Dann ist sie steuernd. Alles andere ist Begleitmusik.

 

Klarer formuliert: Mathematisch betrachtet ist Risiko die Möglichkeit einer negativen Abweichung von einem geplanten Ziel oder Ergebnis – unter Berücksichtigung von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen. Im Geschäftsprozess ist das Risiko also die negative Abweichung vom erwarteten Prozessergebnis. Das Prozessziel ist das definierte Soll. Daraus ergibt sich: Ein Prozess kennt genau ein Risiko – die Abweichung von seinem Zielergebnis. Im Prozess selbst finden sich keine Risiken, sondern lediglich Risikoursachen. Diese beeinflussen die Eintrittswahrscheinlichkeit. Das Schadenspotenzial liegt im Prozessziel – also im Wertbeitrag des Prozesses zum Unternehmenserfolg.

 

In der Praxis beobachten wir jedoch – nicht zuletzt getrieben durch IKS-Tools, die klassische COSO-Denke und nationale Prüfungsstandards umsetzen –, dass prozessbezogen nicht ein Risiko, sondern häufig eine Vielzahl von Einzelrisiken erhoben, bewertet und dokumentiert werden. Oft geschieht dies aus dem impliziten Zwang heraus, ein möglichst umfangreiches Risikoinventar zu präsentieren, um die Leistungsfähigkeit des IKS zu demonstrieren. Risikomanagementaktionismus. Die Kehrseite: Die Organisation wird zum Risikoverwalter – wenn es sich denn überhaupt um echte Risiken handelt – und verliert den Blick für das Wesentliche: die wirksame Steuerung der wenigen, aber entscheidenden Risikoursachen im Prozess.

Kontrollieren heißt steuern – nicht nachgelagert jammern

Im deutschen Sprachgebrauch wird „Kontrolle“ häufig als nachträgliche Überwachung oder Überprüfung verstanden (nicht zu verwechseln mit dem „Prüfen“, das ausschließlich der Internen Revision vorbehalten ist). Der englische Begriff to control wirkt hier deutlich aktiver – er bedeutet: „steuern“.

 

Es geht darum, Prozesse und ihre Risikoursachen im Hinblick auf die Zielerreichung zu beeinflussen. Kontrolle ist kein statisches Instrument, sondern Teil einer dynamischen Steuerungsarchitektur. Diese Bedeutung verdient auch im prozessualen IKS mehr Beachtung.

Prozessuale Steuerung

Prozessuale Realität: Innerhalb eines Prozesses gibt es nur präventive Steuerung

Ein grundlegender Gedanke: Innerhalb eines Prozesses können Kontrollen immer nur präventiv wirken – denn sie greifen ein, bevor das Ergebnis feststeht.

 

Eine „detektive“ Kontrolle kann es nur außerhalb des Prozesses geben – zu spät, um das konkrete Ziel noch zu beeinflussen. Wenn Normgeber gleichzeitig jedoch den Begriff „Kontrolle“ als „prozessintegriert“ definieren, offenbart sich ein konzeptioneller Widerspruch. Das ist ein bisschen so, als würde man sein Kind in den Brunnen fallen lassen, um hinterher eine Leiter reinzustellen – und anschließend ein Pflaster aufzukleben.

 

Konsequente Prozesslogik bedeutet: Eine Kontrolle kann nur dann als prozessintegrierte Steuerung gelten, wenn sie präventiv auf Ursachen einwirkt.

Zwei Perspektiven: Innen- vs. Außensicht

Ein und dieselbe Methode kann je nach Perspektive unterschiedlich bewertet werden:

 

  • Der Wirtschaftsprüfer sagt vielleicht: „Die unterjährige Buchungskontrolle wirkt präventiv, Tätigkeiten oder Kontrollen im Jahresabschlusserstellungsprozess sind korrigierend.“
  • Das Unternehmen sagt: „Buchung von Eingangsrechnungen ist ein Prozess mit präventiven Kontrollen. Die Erstellung des Jahresabschlusses ist ein eigenständiger Prozess mit eigenen präventiven Kontrollen.“

 

Die WP-Sicht ist objektbezogen (Fokus auf das Ergebnis, den korrekten Abschluss), die Unternehmenssicht prozessbezogen (Fokus auf den Ablauf und dessen Zielerreichung): Jeder Prozess für sich hat ein Ziel, dessen Erreichung durch präventive Kontrollen sichergestellt werden soll.

 

Für wirksame Steuerung ist die Prozesssicht entscheidend.

Prozessuale Steuerung

Die Illusion der Kontrolle: Nachgelagerte Datenkontrollen

Ein Klassiker, gerade im Bankenumfeld: Stichprobenprüfungen von Verträgen oder Daten nach deren Erfassung – häufig als „Kontrollen“ bezeichnet (z. B. die klassische „Datenkontrolle“). Ganze Teams beschäftigen sich täglich damit.

 

Doch aus prozessualer Sicht handelt es sich nicht um Kontrollen:

 

  • Sie greifen nach Prozessende,
  • wirken nicht auf Risikoursachen,
  • entfalten keine Steuerungswirkung im Prozessfluss,
  • dienen allein der Erkenntnisgewinnung.

 

Es sind also keine echten Kontrollen, sondern Lessons-Learned-Prozesse. Nützlich – ja. Steuernd – nein. Hier ist es wieder: das Kind im Brunnen.

 

Diese „Kontrollen“ sind vielmehr eigenständige, nachgelagerte Prozesse, an deren Ende eine Maßnahme steht. Diese soll die Robustheit anderer Prozesse verbessern. Maßnahmen wirken nicht im Prozess, sondern verändern dessen Umfeld – also das inhärente Risiko.

 

Was ist „Datenkontrolle“ dann eigentlich? Qualitätsmanagement. Datenqualitätsmanagement. Nicht mehr, nicht weniger. Keine Kontrolle im Sinne einer prozessintegrierten Steuerung.

Echte Prozesssteuerung braucht neues Denken

Die weit verbreitete Einteilung in präventiv, detektiv bzw. korrigierend mag akademisch hilfreich sein – sie beantwortet aber nicht die zentrale Frage: Wie wirksam ist eine Kontrolle im Prozessfluss?

 

Ein zukunftsfähiges, steuerungsorientiertes IKS braucht:

 

  • Fokus auf Prozessziele,
  • eine konsequent ursachenbezogene Betrachtung der Prozesse („Wo kann was schief gehen?“),
  • integrierte Steuerungsmaßnahmen im Ablauf selbst.

 

Und für die Praktiker gilt: Wo immer sich die Möglichkeit bietet, das IKS methodisch zu entschlacken – zum Beispiel, indem man den Anwendern überflüssige Begrifflichkeiten schlichtweg entzieht und sie nicht mehr sinnlos in Tools auswählen oder dokumentieren lässt –, sollte man das tun. Der Mehrwert aus solchen Einwertungen ist null. Der Aufwand ist vergeudet, häufig sogar irreführend und selten konsistent. Wer diesen Mut zur Vereinfachung hat, wird nicht nur Klarheit gewinnen – die Anwender werden es Ihnen danken.

 

Ihr Wirtschaftsprüfer wird es im Jahr der ersten Prüfung nach dieser Umstellung vermutlich nicht sofort begeistert feiern – vor allem, weil er mit Ihrer neuen Denkweise möglicherweise (noch) nicht vertraut ist. Häufiges häufig, Seltenes selten. Aber das müssen Sie aushalten – mit robusten Oberschenkeln und geradem Rücken. Methodische Freiheit und fachlich-konzeptionelle Sauberkeit sind verteidigbar.

 

Denken Sie an die zwei Perspektiven: Es ist vollkommen in Ordnung, wenn externe Prüfer Kontrollen anders typologisieren als Sie es intern tun – denn es ist ihr Job, die Dinge retrospektiv zu bewerten. Aber Sie müssen nicht deren Job machen. Machen Sie Ihren. Und am besten: richtig.

Nach oben scrollen