Im Fokus: Vertrauen im digitalen Zeitalter

Vertrauen im digitalen Zeitalter: Die Grenzen der traditionellen Verteidigungslinien aufweichen, um Risiken zu mindern und Vertrauen zu stärken?

Richard Thomas
Partner, Internal Audit Services, PwC Schweiz

Paul de Jong
Partner, Operational Risk & Control Solutions, PwC Schweiz

Viele Unternehmen befinden sich momentan mitten in der digitalen Transformation, Vertrauen ist deshalb mehr wert als jemals zuvor. Zum einen muss ein Unternehmen darauf vertrauen können, dass Transformationsprojekte die angepeilten Vorteile erbringen. Zum anderen müssen Anspruchsgruppen wie Kunden und Zulieferer die Sicherheit haben, dass das Unternehmen nach wie vor ein vertrauenswürdiger Geschäftspartner ist, welcher verantwortungsvoll mit ihren Daten umgeht.

Von wesentlicher Bedeutung für den Aufbau und die Wahrung dieses Vertrauens waren bisher die drei klassischen Verteidigungslinien, welche das Operative Management und dessen interne Kontrollmechanismen, die übergreifenden Kontrollfunktionen wie Risikomanagement und Compliance sowie die unabhängigen Prüfungsinstanzen wie die interne Revision umfassen. Bis vor kurzem war die Aufgabenverteilung zwischen den einzelnen Linien klar. Doch jetzt verwischen die Verteidigungslinien und deren Funktionen zusehends, hauptsächlich wegen des Einflusses von neuen Technologien und der digitalen Transformation. In diesem Artikel wollen wir den Fragen nachgehen, wie dieser Balanceakt bewerkstelligt werden kann und ob die traditionelle Aufgabenverteilung zwischen den drei Verteidigungslinien immer noch die beste Strategie ist, um Vertrauen in Unternehmen aufzubauen.

Wie beeinflussen neue Technologien Ihre interne Revision?

Neue Technologien sind ein zweischneidiges Schwert, besonders wenn es um Vertrauen geht. Zwar erschliessen sie neue Möglichkeiten, um Prozesse zu verbessern und Risikokontrollen zu stärken, doch bergen sie gleichzeitig auch neues Gefahrenpotenzial, das sich noch nicht vollständig abschätzen lässt. Um das Potenzial dieser neuen Technologien für die Stärkung von Vertrauen voll ausnützen zu können, müssen Unternehmen Grundsätzliches überdenken und neue Möglichkeiten erforschen, ohne sich dabei unvorhergesehenen neuen Risiken auszusetzen.

Technologien wie Blockchain, robotergesteuerte Prozessautomatisierung, maschinelles Lernen, künstliche Intelligenz, natürliche Sprachverarbeitung (NLP) und prädiktive Analysen bieten Chancen, die traditionellen Verteidigungslinien zu transformieren und das Unternehmen Risiken gegenüber widerstandsfähiger zu machen – und dabei erst noch Kosten einzusparen. Neue Technologien bedeuten aber auch neue Herausforderungen. So steht der internen Revision heute modernste Technologie zur Verfügung, mit der sich viel umfassendere Kontrollen durchführen lassen. Doch was bedeutet es für die erste und zweite Verteidigungslinie, wenn sie technologisch der dritten Linie hinterherhinken? Es kann nicht sein, dass die letzte Verteidigungslinie die stärkste ist, zumal dies auch zu Spannungen im Unternehmen führen kann. Die Transformation lässt sich aber nicht aufhalten und deshalb muss man sich mit deren Konsequenzen auseinandersetzen. In Zukunft dürften Technologien sogar in der Lage sein, vorherzusagen, welche Fehler auftreten werden. Derweil könnten vollständig transparente Blockchain-basierte Geschäftsprozesse bestimmte Audits ganz überflüssig machen. Alles bloss Science-Fiction? Nein, dieses Szenario dürfte schneller Wirklichkeit werden, als Sie denken. Deshalb ist es höchste Zeit, sich mit den Auswirkungen auseinanderzusetzen.

Zwei Beispiele: künstliche Intelligenz und Blockchain

Lassen wir uns diese Ausführungen anhand zweier potenziell wegweisender Technologien und deren Auswirkungen auf Risiko und Kontrolle erläutern.

Beginnen wir mit der künstlichen Intelligenz. Die künstliche Intelligenz dürfte unsere Systeme in Zukunft revolutionieren, doch wie steht es um die Buchhaltung und deren Kontrollen? Das Beschaffungswesen ist ein datenlastiger, höchst verfahrenstechnischer Prozess mit erheblichem Einfluss auf den Unternehmenserfolg. Die klassische Kontrolle ist die Abstimmung von Bestellung, Wareneingang und Rechnung („Three-Way Match“), um sicherzustellen, dass eine Zahlung bzw. eine zu begleichende Rechnung korrekt ist. In der Praxis führt diese Kontrolle vielfach zu Prozessverzögerungen, wird oft umgangen und erfordert deshalb über alle Verteidigungslinien hinweg viel Arbeit, damit die Kontrolle greift. Jetzt stellen Sie sich vor, der ganze Prozess, vom Einkauf bis zur Zahlung, würde mittels künstlicher Intelligenz abgewickelt: Wahl des besten Zulieferers, optimalen Volumens und Zeitpunkts; Überwachung der Einhaltung von Lieferfristen; Austausch mit der künstlichen Intelligenz des Zulieferers, um Rabatte zu verhandeln sowie Unstimmigkeiten in Bezug auf Lieferung, Rechnungsstellung und Zahlung auszuräumen; Prognostizierung und Vermeidung von Prozessfehlern aufgrund bekannter Fehlermuster; und sogar Blockierung möglicher Umgehungsstrategien. So transformieren Sie einen oft trägen und zeitaufwendigen Ablauf in eine wertschöpfende Kontrolle, die Ihrem Geschäft zugutekommt und nahtlos in Ihre operative Prozesslandschaft eingebunden ist. Und wie wirkt sich das auf die zweite und dritte Verteidigungslinie aus? Werden diese für diesen Prozess überflüssig?

Schauen wir dazu ein zweites Beispiel an: Blockchain. In einem Zeitalter, in dem alles in Richtung Kollaboration mit Dritten geht, ist der dezentralisierte Ledger-Ansatz der Blockchain-Technologie potenziell bahnbrechend. Weshalb sollen wir es der Automobilindustrie nicht gleichtun und via elektronischen Datenschnittstellen einen End-to-End-Prozess schaffen, in dem alles gesteuert, nachverfolgt und koordiniert werden kann, auch wenn Dritte daran beteiligt sind? Blockchain geht noch einen Schritt weiter, indem alle involvierten Parteien in (Kopien) des gleichen Ledgers aufgesetzt sind, der sicher und vertrauenswürdig, da nicht manipulierbar, ist. Die Lebensmittelindustrie setzt Blockchain bereits dazu ein, um alle Prozesse in der Lieferkette nachzuverfolgen. Ein Ansatz, der auch von der Uhrenindustrie übernommen wurde. Dies wird im Sinne eines «Disruptive Factor» die Art der Zusammenarbeit zwischen Unternehmen grundsätzlich verändern.

Doch man bedenke die Auswirkungen, welche diese Technologien auf die Kontrollen und die traditionellen Verteidigungslinien haben. Blockchain hinterlässt eine klare Spur, die nicht manipuliert werden kann und deckt viele Buchhaltungstätigkeiten und -kontrollen ab, die zuvor in der Verantwortung der ersten Verteidigungslinie waren. Es handelt sich um «konzipiertes Vertrauen», bei dem operative Fehler ein immer kleiner werdendes Risiko darstellen. Haben die zweite und dritte Verteidigungslinie in diesem Szenario immer noch die Aufgabe, die operative Effizienz zu überwachen oder können sie sich auf andere Risiken und Aufgaben mit grösserer Wertschöpfung konzentrieren?

Möglichkeiten und Herausforderungen sind gleichermassen vielfältig. Unternehmen müssen sich insbesondere zwei Fragen stellen: Kann man den von diesen neuen Technologien generierten Daten und Prognosen vertrauen? Und sind unsere Verteidigungslinien so strukturiert, dass wir von den Vorteilen der neuen Technologien profitieren, aber gleichzeitig den damit verbundenen – bekannten und unbekannten – Risiken begegnen können?

Müssen Sie Ihre traditionellen Verteidigungslinien anpassen? Inwiefern?

Das Ausmass, in dem ein Unternehmen seine Verteidigungslinien mit Blick auf das Zusammenspiel zwischen Transformation und technologischem Fortschritt überdenken muss, hängt von dessen Situation ab, d.h. von seiner digitalen Reife und der Transformationsphase, in der es sich befindet. Unternehmen, die in ihrer Digitalisierung weit fortgeschritten sind, dürften kaum eine Wahl haben, denn ihre elektronischen Instrumente werden nicht nur bestimmen, welche Kontrollen notwendig sind, sondern auch wie diese Kontrollen auszuführen sind. Wie oben erwähnt, impliziert eine neue Technologie wie Blockchain viele unbekannte Faktoren, doch verfügt sie auch über eine dezentralisierte Vertrauensfunktion, die eine andere, hoch automatisierte Blockchain-Überprüfung erfordert. Daher müssen Unternehmen, die auf Blockchain-Technologie setzen, ihre Verteidigungslinien überdenken, um sicherzustellen, dass sie nach wie vor adäquate, aber keine redundanten Aufgaben wahrnehmen. Weniger stark digitalisierten Unternehmen stehen, je nach Situation und Ressourcen, andere Optionen offen.

Zwar können wir Ihnen keine pfannenfertige Lösung anbieten, doch haben wir einige entscheidende Fragen vorbereitet, anhand derer Sie herausfinden können, ob Sie Ihre Verteidigungslinien neu ausrichten sollten, um Vertrauen in die digitale Transformation zu schaffen.

  1. Welche digitale Strategie verfolgen Sie?
  2. Wie verändert diese digitale Strategie Ihr Risikoprofil und die Art der Risiken, die auftreten können?
  3. Verfügt Ihre Organisation über die notwendigen Kompetenzen und ist sie optimal ausgerichtet, um dem neuen Risikoprofil gerecht zu werden?
  4. Haben Sie eine Roadmap, um die Verteidigungslinien effektiv auszugestalten und mit  Ihrem Transformationsprozess abzustimmen?

Viele Unternehmen weltweit beschäftigen sich zurzeit mit eben diesen Fragen. Sie alle operieren in einem sich rasch ändernden Umfeld und haben realisiert, dass ihr bisheriges Kerngeschäft in fünf bis zehn Jahren wohl kaum noch ihr Kerngeschäft sein wird. Deshalb gilt es dringend, Antworten darauf zu finden.

In der Praxis hat sich gezeigt, dass der Prozess am besten angestossen wird, indem verschiedene Anspruchsgruppen zusammengebracht werden, um über die digitale Strategie und notwendige Veränderungen samt deren Auswirkungen auf das Risikoprofil zu beraten. Unserer Erfahrung nach ist es wichtig, bei diesen Gesprächen so viele Parteien wie möglich ins Boot zu holen: Zulieferer, Kunden und Mitarbeitende. Die digitale Transformation beeinflusst das ganze Ökosystem eines Unternehmens. Deshalb bedarf es eines breiten Meinungs- und Interessenspektrums, um eine vollumfängliche Sicht der Risikolandschaft zu erhalten.

Während unserer Zusammenarbeit mit Kunden haben wir es als sehr hilfreich empfunden, ein Soll-Modell für die drei Verteidigungslinien festzulegen und herauszuarbeiten, wie sich die definierten Veränderungen auf das Modell auswirken. Auf der Basis dieser Analyse lässt sich anschliessend eine verlässliche Roadmap erstellen.

Wer übernimmt die Führungsrolle?

Wie bei vielen Themen im Kontext der digitalen Transformation ist Vertrauensbildung eine komplexe Aufgabe, die weit über einzelne Bereiche wie IT oder Risikomanagement hinausgeht. Es ist ein alles umfassender Prozess, der jede Faser der Organisation durchdringt, von der Technologie bis hin zu Human Resources. Es geht dabei auch um das wirksame Management der Interaktionen zwischen verschiedenen Elementen wie Produkten, Geschäftspartnern, Mitarbeitenden und Kunden. Aus diesem Grund sind digitale Transformation und digitales Vertrauen Themen, welche die Unternehmensführung fördern und steuern muss. Sie müssen weit oben auf der Prioritätenliste eines jeden CEO stehen und in alle Bereiche der Organisation getragen werden. Oft sehen wir, dass die praktische Umsetzung der digitalen Transformation in die Hände des Chiefs Digital Transformation Officer, des CFO oder des COO gelegt wird. Die Geschäftsleitung sollte sich während der ganzen Transformationsreise indes ebenfalls aktiv mit dem Verwaltungsrat – insbesondere mit dem Prüfungsausschuss – austauschen, damit alle im Sinne von «All Eyes on Trust» am gleichen Strang ziehen.

Kontaktieren Sie uns

Richard Thomas

Richard Thomas

Territory Leader Internal Audit and Risk Consulting Leader (Trade, Industry, Services), PwC Switzerland

Tel.: +41 79 816 27 00

Paul de Jong

Paul de Jong

Partner, Risk Assurance, PwC Switzerland

Tel.: +41 58 792 7658