«Die erfolgreiche Umsetzung eines digitalen Transformationsprogramms gleicht dem Besteigen eines Berges. Es ist unerheblich, ob ich die ‹Direttissima› wähle oder etwas links oder rechts davon hochklettere. Es zählt einzig und allein, dass es aufwärts Richtung Gipfel geht.»
Wichtigste Schritte zum Erfolg
Unserer Erfahrung nach gibt es vier Hauptbereiche, in denen die interne Revision und das Management schon in einer frühen Phase nachhaltig positive Ergebnisse erzielen können. Dabei geht es vor allem darum, die Prozesse und Kontrollen der internen Revision kritisch zu hinterfragen.
1. Automatisierung umfangreicher, repetitiver manueller Aufgaben
Diese Erkenntnis dürfte nicht neu sein. Dennoch werden in vielen Organisationen verhältnismässig einfache Standardaufgaben nach wie vor manuell erledigt. Gemäss einer «umgekehrten Logik» werden solche Arbeiten (beispielsweise der manuelle Abgleich von Feldern verschiedener Datenbanken bei der Prüfung finanzieller und operativer Daten), gerade weil sie so einfach sind, nicht automatisiert. Angesichts des immer schwierigeren wirtschaftlichen Umfelds bietet die Automatisierung solcher Prozesse mittels Robotic Process Automation internen Revisionen raschen Gewinn bei begrenztem Investitionsbedarf. Ein wichtiger positiver Nebeneffekt: Dem Unternehmen stehen dank dieser Entlastung hoch qualifizierte Mitarbeitende für anspruchsvollere Aufgaben mit höherem Mehrwert zur Verfügung.
2. Nutzung und Integration von Transaktionsdaten und Datenanalyse
«Datenanalyse ist nichts Neues, doch wird sie von der internen Revision noch nicht optimal eingesetzt. Wir müssen in dieser Hinsicht mehr tun, beispielsweise Transaktionsdaten nutzen, einen stärker risikobasierten Ansatz verfolgen und Datenanalysen einsetzen, sowohl bei der Planung als auch bei der Durchführung von internen Revisionen.»
Nutzen Sie doch die Datenanalyse, um den Fokus Ihrer internen Revision auf Bereiche mit höherem Risiko zu richten, in denen die interne Revision die grösste positive Wirkung erzielt. Dies gilt sowohl für den jährlichen Revisionsplanungsprozess als auch für einzelne Prüfungen. Best-Practice-Unternehmen verwenden Datenanalysen zur Priorisierung der Bereiche, auf die sich die interne Revision in den nächsten sechs bis zwölf Monaten konzentrieren sollte, sowie zur Bestimmung des erforderlichen Prüfungsumfangs. So haben wir beispielsweise auf Grundlage der Transaktionsanalyse, die wir bei einer Reihe von Kunden durchgeführt haben, bestimmte Einheiten identifiziert, bei denen ein Vor-Ort-Besuch nicht gerechtfertigt ist. Stattdessen werden wir dort eine virtuelle interne Revision durchführen, die auf die angemessene Ausgestaltung (Design) der Schlüsselkontrollen fokussiert. Die Informationen werden sicher an ein zentrales Team übermittelt und etwaige anschliessende Fragen im Rahmen einer Telefon- oder Videokonferenz behandelt. In den Einheiten mit besonders geringem Risiko wiederum wird die Frequenz der internen Revisionen im Vergleich zu risikoreicheren Einheiten reduziert.
3. Kontinuierliche Abstimmung der internen Revision mit anderen Verteidigungslinien
Die digitale Transformation beeinflusst die drei Verteidigungslinien auf unterschiedliche Weise und macht einige Aufgaben potenziell überflüssig. So kann etwa der Einsatz von Künstlicher Intelligenz und Blockchain dazu führen, dass weniger Compliance- und Prüfaktivitäten in Bereichen wie Beschaffung und Supply Chain Management erforderlich sind. Deshalb ist es wichtig, dass die Verteidigungslinien kontinuierlich angepasst werden, um die Risikoabdeckung im Unternehmen zu optimieren. Darüber hinaus werden Redundanzen und unvorhergesehene «weisse Flecken», wo es keine Risikoabdeckung gibt, minimiert. Dies gilt für alle Organisationen, unabhängig von ihrer digitalen Reife. Für Unternehmen, die sich in einer frühen Phase ihrer digitalen Transformation befinden, ist eine enge Abstimmung zwischen den Verteidigungslinien nicht nur zwingend, sondern bietet oft auch frühe Chancen für einen erfolgreichen Transfer. Wenn das Unternehmen beispielsweise über eine robuste Datenanalyse seiner betrieblichen Abläufe verfügt, kann die interne Revision für ihre Prüfaktivitäten auf diese Informationen zurückgreifen.
4. Beziehungen aufbauen, um vertrauenswürdiger Berater zu werden
Bei der internen Revision hat man viel mit Menschen zu tun. Daher ist der Aufbau der richtigen Beziehungen der erste Schritt auf dem Weg, ein vertrauenswürdiger Geschäftspartner zu werden. Ein vertrauenswürdiger Partner zu sein, heisst für die interne Revision, in den Aufbau von Beziehungen mit dem Verwaltungsrat, der Geschäftsführung und den geprüften Stellen zu investieren. Die Entscheidungsträger müssen wissen, wo sie Informationen erhalten und wer ihre vertrauenswürdigen Berater und Ressourcen innerhalb und ausserhalb der Organisation sind. Wenn Ihre derzeitigen Prozesse den Aufbau von Beziehungen nicht fördern, dann nehmen Sie zunächst das Gespräch mit den wichtigsten Anspruchsgruppen auf. So lernen Sie zu verstehen, was deren persönliche Erwartungen an einen «vertrauenswürdigen Berater» sind, wo sie den grössten Wert der internen Revision für sich selbst und die Organisation sehen und was sie sich von der Interaktion mit der internen Revision erhoffen. In solchen Gesprächen können anschauliche Beispiele für mehr Klarheit sorgen. Anschliessend kann die interne Revision einen gezielten Massnahmenplan erarbeiten, um zum vertrauenswürdigen Berater zu werden.
Hindernisse überwinden
In der jährlichen «Risk Assurance»-Umfrage von PwC haben die Teilnehmer wiederholt die schlechte Datenqualität sowie die fehlenden Kompetenzen als die grössten Hemmnisse für die Umsetzung ihrer digitalen Transformation genannt. Unternehmen können diese Herausforderungen bewältigen, indem sie schrittweise Veränderungen einführen. Dazu zählen:
1. Fokus auf die Standardisierung von Prozessen, Kontrollen und Datenflüssen; Automatisierung
Eine gute Datenqualität ist die Grundlage für fundierte Managemententscheidungen. Manche Unternehmen haben wichtige unterstützende Funktionen in Shared-Service-Zentren verlagert. Dieser Schritt hat ihnen erhebliche Vorteile gebracht, weil er ihnen ermöglicht hat, ihre Datenqualität durch Straffung und Standardisierung von Prozessen und verstärkte Kontrollen zu erhöhen. Angesichts der drohenden Wirtschaftsabkühlung ist es besonders wichtig, die Geschäftsprozesse und Kontrollen kritisch zu hinterfragen, um Möglichkeiten für eine umfangreiche Standardisierung und Automatisierung zu prüfen. Die Durchführung eines Pilotprojekts ist besonders hilfreich, um rasche Erfolge zu erzielen und die Geschäftsleitung vom Nutzen von Programmen zur Verbesserung der Datenqualität und anderer digitaler Initiativen zu überzeugen.
2. Fokus auf Menschen, Kultur und Einbezug des Managements
«Ein Unternehmen braucht nicht für alles und jedes einen Experten. Es gibt Kompetenzen, zum Beispiel Cybersicherheit, die man unter Umständen besser externen Experten übertragen könnte. Unternehmen müssen sich auf das konzentrieren, was für die Erreichung ihrer Geschäftsziele entscheidend ist, und externe Experten situativ beiziehen – je nach Fähigkeit, und wann und wo es am sinnvollsten ist.»
Fehlende Kompetenz ist eine bedeutende Herausforderung, die es zu meistern gilt. Es bedarf eines strukturierten Ansatzes, der sicherstellt, dass weder zu viel noch zu wenig in die Erweiterung der für den digitalen Wandel benötigten internen Kompetenzen investiert wird. Es ist schnell gesagt, dass man künftig digital unterwegs sein will. Aber wenn die bestehende Unternehmenskultur Kreativität und Innovationsgeist nicht fördert, dann wird die Digitalisierung wahrscheinlich nicht funktionieren. Hier sind neue Denkansätze gefragt. Insbesondere müssen Unternehmen klären, wie es um ihre aktuelle Unternehmenskultur und ihre Kompetenzen bestellt ist und was sie in puncto Digitalisierung erreichen wollen. Anschliessend gilt es, alles in einer digitalen Roadmap zusammenzuführen, die aufzeigt, wie die Ziele erreicht werden sollen. Letztlich müssen die digitale Strategie und Roadmap vom Topmanagement kommen und vom Verwaltungsrat unterstützt werden, bevor sie von oben nach unten im ganzen Unternehmen eingeführt werden.
