„Die Digitalisierung ist unsere größte Herausforderung“
Seit Februar 2018 besteht das Referat IKS-Management (internes Kontrollsystem-Management) bei der AOK Baden-Württemberg. Das neue Referat befindet sich noch in der Entwicklungsphase und ist derzeit dabei, sich im Unternehmen zu platzieren und die Prozesse des IKS zu implementieren. DGUV Forum sprach mit René Eisenhardt, dem Leiter des Referats.
Wer hat das IKS entwickelt und den Impuls dazu gegeben?
Das IKS wurde durch den Hinweis unseres Wirtschaftsprüfers aber auch durch Informationsveranstaltungen, als notwendiger, neuer Aspekt erkannt und eingeführt. Entwickelt wurde es im Rahmen eines gemeinsamen Projekts in Zusammenarbeit mit einer Beratungsfirma.
Was hat Sie bewogen, die Leitung des Referats zu übernehmen?
Ich habe damals als Mitarbeiter der Organisationsentwicklung an diesem Projekt mitgearbeitet und empfand das Thema als sehr spannend und wichtig für unser Unternehmen, da das IKS mit sehr interessanten, übergreifenden Themen zu tun hat. Die Entscheidung, das Referat übernehmen zu wollen, fiel dann sehr schnell.
Was sind die grundlegenden Aufgaben des IKS?
Das ist zum einen die prozessuale Analyse der Risiken in unseren Geschäftsprozessen. Die Vorgehensweise ist hier, dass wir uns alle Prozesse der AOK Baden-Württemberg anschauen und uns an jedem Prozessschritt die Frage stellen, wo ein Risiko besteht und ob dieses wesentlich für das Unternehmen ist. Bei wesentlichen Risiken schauen wir, wie hoch der maximale Schaden für das Unternehmen wäre, wenn das Risiko eintreten würde. Anschließend überlegen wir, wie eine Kontrolle dieses Risiko effektiv und effizient minimieren könnte. Am Ende des Jahres wird daraus ein Bericht für den Vorstand erstellt. In diesem sind alle wesentlichen Risiken und die dazugehörigen Kontrollen mit unserer Einschätzung aufgeführt. Anhand verschiedener Kriterien, die im IKS-Handbuch zu finden sind, bewerten wir die Kontrollen im Hinblick auf die Ausgestaltung, Effektivität und Wirtschaftlichkeit. Am Ende erhalten so der Vorstand und die Prozesseigner einen umfassenden Überblick über die Unternehmenssituation. Den Fachbereichen sowie Stabsstellen geben wir damit die Möglichkeit, ihre Prozesse frühzeitig selbstständig zu optimieren.
Wie werden die Kontrollen unterschieden und welche Arten gibt es?
Wir unterscheiden in verschiedene Richtungen. Zum einen nach dem Automatisierungsgrad, also in manuelle, halbautomatische und automatische Kontrollen. Und zum anderen, wann eine Kontrolle durchgeführt wird. Es gibt präventive Kontrollen, die durchgeführt werden, bevor ein Risiko entstehen kann und das Risiko komplett abgewendet wird. Es gibt aber auch detektive Kontrollen, die erst im Nachhinein durchgeführt werden, wie zum Beispiel Auswertungen. Präventive Kontrollen sind sicherer, da sie ein Risiko im Vorfeld vermeiden, aber auch aufwändiger und damit meistens teurer. Pro Risiko ist abzuwägen, welche Art von Kontrolle am besten geeignet ist.
Die Vorgehensweise ist hier, dass wir uns alle Prozesse der AOK Baden-Württemberg anschauen und uns an jedem Prozessschritt die Frage stellen, wo ein Risiko besteht und ob dieses wesentlich für das Unternehmen ist.
Welche Strategien verfolgt derzeit das IKS und wo sehen Sie Handlungsbedarf?
Für uns ist Transparenz im ganzen Unternehmen besonders wichtig, sodass sowohl das Management über alle wesentlichen Risiken informiert ist, als auch alle Beschäftigten wissen, wo Risiken in ihren Arbeitsabläufen bestehen und wie die Kontrollen durchzuführen sind. Uns liegt besonders viel daran, alle Kontrollen genau zu definieren. Meine Strategie zielt gerade darauf ab, mittelfristig ohne viel Aufwand, eine bessere Risikostruktur im Unternehmen zu erzeugen. Handlungsbedarf sehe ich derzeit bei der Klarheit und Genauigkeit von Prozessbeschreibungen. Diese sollen noch verständlicher formuliert und einheitlicher werden.
Wie wird sich das IKS entwickeln?
Das IKS steht schlussendlich vor derselben Herausforderung wie viele andere Bereiche, und das ist vor allem die Digitalisierung. Es wird um die Frage gehen, wie wir Risiken in vollautomatischen Prozessen minimieren, denn nur gut programmierte und eingestellte Systeme verringern die Fehleranfälligkeit. Das heißt, unser IKS wird sich auch stärker in den Bereich der IT-Systeme verlagern, bis hin zu der Frage, die irgendwann im Raum stehen wird: „Wie gehe ich im Rahmen von IKS mit einer KI und zum Beispiel dem Kontrollmechanismus des Vieraugen-Prinzips um?“ Das sind Fragen, mit denen wir uns auseinandersetzen müssen und die uns auch mittelfristig fordern werden. Auf diesem Gebiet wird sich viel entwickeln.
Herr Eisenhardt, wie wird sich Ihrer Meinung nach das Regelwerk verändern?
Unser Regelwerk wird sich stark verändern, weg von manuellen Kontrollen zu automatisierten Kontrollen. Manuelle Tätigkeiten werden immer weniger und somit auch manuelle Kontrollen. Ein großer Vorteil von automatisierten Kontrollen ist, dass es keine Flüchtigkeitsfehler und keinen Arbeitsdruck gibt, da das System immer die gleichen Schritte durchführt. So werden Zeitmangel, Zeitdruck, aber auch unzureichende Unterweisung und Qualifikation bei manuellen Kontrollen vermieden. Das IKS hat eine starke kulturelle Auswirkung, daher ist natürlich auch die Unternehmenskultur zu beachten. Ein modernes IKS muss sowohl die Sicherheit und Effizienz eines Unternehmens gewährleisten, als auch unsere Unternehmenswerte wie Vertrauen, Mut oder Wertschätzung widerspiegeln. Das bedeutet für uns bei der AOK Baden-Württemberg, dass wir uns intern sehr stark mit der Unternehmens-, Organisations- und Personalentwicklung abstimmen, wenn wir neue Themen angehen. Eine hohe Akzeptanz des Themas im gesamten Unternehmen ist uns sehr wichtig.
Sind branchenübergreifende Projekte und Arbeitsgruppen zum Austausch geplant?
Ja, wir haben branchenübergreifende Arbeitsgruppen. Allerdings wird das Thema IKS in den Unternehmen sehr heterogen angegangen, sodass hier große Unterschiede bestehen und der Austausch daher punktuell stattfindet.
Können Sie sich vorstellen, dass das IKS bei der AOK in der Zukunft nicht mehr benötigt wird?
Nein! Warum kann ich mir das nicht vorstellen? Risiken bestehen immer sowie die Frage der Risikovermeidung. Daraus leitet sich die Frage nach einer Kontrolle und der Beurteilung einer Kontrolle ab, beides wird immer notwendig sein. Das IKS ist auch eine Form der Professionalisierung des Umgangs mit Kontrollen. In der Vergangenheit wurden Kontrollen oft eingeführt, ohne im Vorfeld zu hinterfragen, ob diese zweckmäßig und wirtschaftlich sind oder weil nun in IT-Systemen die Möglichkeit bestand, eine Kontrolle durchzuführen.
Wir wollen hier strukturierter vorgehen, da wir uns immer fragen, ob es überhaupt ein Risiko an dieser Stelle gibt, das wir minimieren müssen. Diese Systematik und Herangehensweise wird zukünftig immer wichtiger.
Meine Strategie zielt gerade darauf ab, mittelfristig ohne viel Aufwand, eine bessere Risikostruktur im Unternehmen zu erzeugen. Handlungsbedarf sehe ich derzeit bei der Klarheit und Genauigkeit von Prozessbeschreibungen.
Lassen Sie uns auf die nächsten 10, 25 Jahre blicken: Welche Entwicklungen kommen auf das IKS zu?
25 Jahre kann keiner einschätzen. Für zehn Jahre ist es schon sehr gewagt, eine Prognose zu treffen. In zehn Jahren werden wir uns sehr stark mit dem Thema KI in Verbindung mit Risiken und Kontrollen befassen. Bis hin zu der Frage, wer verantwortet, was mein Computer macht? Wie schaffen wir es, effizient und wirtschaftlich, die Arbeit von Computern oder von KIs zu kontrollieren. Dabei werden selbstverständlich weiterhin Menschen als Beschäftigte den Mittelpunkt bilden und das IKS wird sich daher ebenso stark mit der Frage nach Compliance auseinandersetzen müssen. Bis hin zum Thema „Whistleblowing“ im Unternehmen und welchen Nutzen dieses daraus ziehen kann, dass Fehler frühzeitig aufgedeckt werden und Mitarbeiterinnen und Mitarbeiter bereit sind, darauf hinzuweisen. Das IKS ist natürlich darauf angewiesen, dass Informationen zugänglich sind und die Kultur im Unternehmen so ausgeprägt ist, dass die Informationen weitergegeben werden.
Wie muss sich die Arbeit des IKS verändern, um auch in den nächsten 25 Jahren zu gewährleisten, dass die Sicherheit des Unternehmens durch das IKS gesichert bleibt?
Also eines ist sicher, das IKS muss sich immer an die Unternehmenskultur anpassen. Wichtig ist auch, sich die Entwicklung von anderen Unternehmen anzuschauen. Da muss man unbedingt auf dem Laufenden bleiben und auch mal über den Tellerrand schauen. Es gibt eine Reihe von öffentlichkeitswirksamen Beispielen der vergangenen Jahre, in denen durch ein funktionierendes IKS größerer finanzieller sowie Reputationsschaden von einzelnen Unternehmen hätte abgewendet werden können. Zu hohe Zielerwartungen ohne offene Fehlerkultur können zu falschen Lösungen führen. Hier setzt das IKS durch seine auf Transparenz ausgelegte Arbeitsweise an, um diese Risiken zu vermindern. So gesehen muss das IKS nicht nur nach außen, sondern auch nach innen schauen. Ein Austausch mit dem eigenen Unternehmen ist daher ebenso wichtig wie mit anderen Unternehmen.
Wie sehen Sie das IKS innerhalb des Unternehmenszusammenhangs?
Als Berater, als Unterstützer, aber auch als Entscheider, da wir manche übergreifenden Tätigkeiten verantworten. So war es uns möglich eine unternehmensweite Regelung zu schaffen, durch die unsere Kundinnen und Kunden statt Originalbelegen auch Kopien oder elektronische Belege bei uns einreichen können. Dadurch sind wir kundenfreundlicher und schneller in der Bearbeitung der Kundenanliegen. Möglich war dies durch eine neue, jährliche Stichprobe. Wir haben dadurch für das ganze Unternehmen eine Effizienzsteigerung erreicht und gleichzeitig die Sicherheit nicht abgesenkt.
Für die einzelnen Prozesse sehe ich uns als Berater und als Unterstützer, wenn es darum geht, zu erkennen, wo wir einen Optimierungsbedarf haben und wie wir es schaffen, prozessübergreifende und einheitliche Regelungen zu gestalten. Das IKS ist damit ein wichtiger Teil der Unternehmenssicherheit und wichtig für das Top-Management, da es die Risikosituation darstellt und bewertet sowie Motor für stetige Verbesserungen und Prozessoptimierungen ist. Außerdem hat es einen wesentlichen Anteil daran, Unternehmenswerte, wie Vertrauen, Wertschätzung und Respekt, erlebbar zu machen.
Das Interview führte Tamara Schuy