Kurzbeschreibung:
Aufgrund der Wirtschaftsskandale von Enron und Worldcom wie auch Parmalat und zahl-reichen weiteren Unternehmen bestand Handlungsbedarf zur Sicherung einer ordnungs-gemäßen Finanzberichterstattung. Deshalb wurde in verschiedenen nationalen und inter-nationalen Gesetzen ein internes Kontrollsystem (IKS) vorgeschrieben. Das interne Kontrollsystem sieht prozessbezogene Steuerungs- und Überwachungsmaßnahmen in einem Unternehmen vor. Die Identifizierung der Risiken, die Etablierung der entgegenwirkenden Kontrollen und die Verknüpfung mit den betroffenen Geschäftsprozessen, stellen einen wesentlichen Bestandteil des internen Kontrollsystems dar. Eine sorgfältige IKS-Prozessdokumentation leistet sowohl zur Transparenz und Nachvollziehbarkeit des IKS, als auch zum Nachweis der Wirksamkeit einen wesentlichen Beitrag. Infolge steigender Komplexität der Geschäftsprozesse bei gleichzeitiger Anforderung an die Flexibilität, liegt die Notwendigkeit einer Standardisierung bei der Geschäftsprozessmodellierung.
In der vorliegenden Arbeit wird einerseits auf das Fehlen einer detaillierten Regelung der Berücksichtigung von Risiken und Kontrollen in den Geschäftsprozessen der internen Kontrollsysteme aufgezeigt und andererseits eine generische Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen entwickelt.
Inhaltsverzeichnis
1 Vorwort
2 Einleitung
2.1 Ausgangssituation
2.2 Forschungsgegenstand
2.3 Problemstellung
2.3.1 Fehlen einer Standardisierung der Geschäftsprozessmodellierung
2.3.2 Fehlen der Berücksichtigung von Risiken im Prozessmanagement
2.3.3 Fehlen der Definitionen über die Dokumentationsform trotz gesetzlicher Bestimmungen
2.3.4 Forschungsfrage
2.3.5 Abgrenzung
3 Theoretische Grundlagen
3.1 Zentrale Begriffserklärungen rund um den Forschungsgegenstand
3.1.1 Methoden zur IKS-Geschäftsprozessmodellierung
3.1.1.1 Definition Methode
3.1.1.2 Bestehende Methoden zur IKS-Geschäftsprozessmodellierung
3.1.2 Geschäftsprozessmodellierung
3.1.2.1 Definition Geschäftsprozessmodellierung
3.1.2.2 Definition Prozessmodell
3.1.2.3 Detaillierungsgrade bei der Geschäftsprozessmodellierung
3.1.2.4 Definition Standardisierung von Geschäftsprozessen
3.1.3 Internes Kontrollsystem (IKS)
3.1.3.1 Definition und Ziel des IKS
3.1.3.2 Allgemeine IKS-Dokumentation
3.1.3.3 Detaillierungsgrad dieser prozessbezogenen IKS-Dokumentation
3.1.3.4 Standardisierung von IKS-Dokumentationen
3.1.3.5 Bestehende Studien über die umgesetzte Praxis des IKS
3.1.4 Risikomanagement und dessen Abgrenzung zum IKS
3.1.4.1 Definition und Ziel des Risikomanagements
3.1.4.2 Differenzierung von Risikomanagement und IKS
4 Gesetzliche Rahmenbedingungen
4.1 IKS in Österreich
4.1.1 Aktiengesetz
4.1.2 GmbH-Gesetz
4.1.3 Unternehmensgesetzbuch
4.1.4 Corporate Governance Kodex
4.1.5 IT-Kontrollumfeld des IKS
4.1.6 Sonstige und branchenspezifische gesetzliche Regelungen
4.2 IKS in der Schweiz
4.3 IKS in Deutschland
4.3.1 Aktiengesetz
4.3.2 Kreditwesengesetz
4.3.3 IT-Kontrollumfeld des IKS
4.3.4 Mindestanforderungen an das Risikomanagement
4.3.5 Artikelgesetz KontraG
4.4 IKS in UK
4.5 IKS in der Europäische Union (EU)
4.5.1 8. EU-Richtlinie
4.5.2 Basel II & III
4.5.3 Solvency II
4.6 IKS in den USA (SOX)
4.7 IKS in Japan
4.8 IKS in weiteren Staaten
4.9 Zusammenfassung der nationalen und internationalen gesetzlichen Rahmenbedingungen
5 Normen und Standards zum IKS
5.1 Risikomanagement ONR 4900f
5.2 COSO-Regelwerk
5.2.1 COSO in Österreich
5.2.2 COSO in der Schweiz
5.2.3 COSO in Deutschland
5.2.4 COSO in den USA
5.3 CobiT
5.4 ITIL
6 Empirischer Teil - Forschungsdesign
6.1 Datenerhebung und Vorgehen
6.1.1 Vorbereitung
6.1.2 Berücksichtigung bereits erfolgter Experteninterviews
6.1.3 Leitfragenkatalog
6.1.4 Durchführung
6.1.5 Nachbereitung
6.2 Auswertungskonzept
6.2.1 Kategorienschema für die qualitative Inhaltsanalyse der Experteninterviews
6.2.2 Auswahl der Experten
6.2.3 Vorgehen der Datenauswertung der Experteninterviews
7 Empirische Studie über den Status Quo
7.1 Standardisierung der Geschäftsprozessmodellierung
7.2 Standardisierung der Geschäftsprozessmodellierung anhand eines Prozessebenenmodells
7.3 Methoden und Standards in internen Kontrollsystemen (IKS)
7.4 Abgrenzung zwischen IKS und Risikomanagement
7.5 Geschäftsprozessmodellierung von prozessbezogenen IKS-Informationen
7.6 Einbindung von prozessbezogenen IKS-Informationen in ein Prozessebenenmodells zur standardisierten Geschäftsprozessmodellierung
7.7 Zusammenfassung der Expertenaussagen
8 Grundlegendes zur neu entwickelten Methode
8.1 Anforderungen und Ziele der neu entwickelten Methode
8.1.1 Generischer Methodenansatz
8.1.2 Einheitlicher Dokumentationsstandard
8.1.3 Fokussierung auf die Geschäftsprozessmodellierung
8.1.4 Konzentration auf die Dokumentation prozessbezogener Risiken und Kontrollen
8.1.5 Allgemeiner Einsatz
8.2 Standardisierte Geschäftsprozessmodellierung anhand des Prozessebenenmodells (PrEMo)
8.2.1 Anforderungen an ein Prozessebenenmodell
8.2.2 Aufbau und Einordnung
8.2.3 Verknüpfung der Unternehmensstrategie mit den Geschäftsprozessen
8.2.4 Geschäftsprozessebene
8.2.4.1 Prozesslandkarte
8.2.4.2 Detaillierungsstufen der Geschäftsprozessebene
8.2.4.3 Prozessbausteine
8.2.5 Standardisierungsebene
8.2.6 Detailprozessebene
8.2.6.1 Prozessvarianten
8.2.6.2 Prozesskategorien
8.2.6.3 Prozesszustände
8.2.6.4 Beispiel einer Prozessmatrix
8.2.6.5 Detaillierung
8.2.7 Business Service Ebene
8.2.7.1 Business Service, Service-orientierte Architektur (SOA)
8.2.7.2 Standardisierte Prozessautomatisierung
8.2.7.3 Standardisierte IT-Dokumentation
9 Darstellung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung
9.1 Identifizierung der IKS-Prozesse
9.2 IKS-Kernprozesse
9.2.1 Herstellung einer Beziehung zwischen den IKS-Kernprozessen und den Unternehmensprozessen
9.2.2 Vermeidung doppelter Prozessdefinitionen
9.3 Identifizierung der Risiken
9.4 Identifizierung der Kontrollziele und Kontrollen
9.5 Kontrollarten
9.5.1 Manuelle Kontrollen
9.5.2 IT-Kontrollen
9.5.3 Managementkontrollen
9.5.4 Überwachungskontrollen
9.5.5 Namenskonventionen für Risiken und Kontrollen
9.6 Dokumentation der Risiken, Kontrollen und deren Verbindung
9.6.1 Risiko-Kontrollmatrix
9.6.2 Integration der Risiken und Kontrollen in die Prozesse
9.6.3 Integration von IKS-Informationen in bestehende Prozessdokumentationen
9.6.3.1 Einbettung der Risiko-Kontrollmatrix und der IKS-Kernprozesssicht in die Unternehmensprozesse
9.6.3.2 Herstellung der Gesamtzusammenhänge definierter IKS-Informationen
9.7 Darstellung der IKS-Kernprozesssicht und Geschäftsprozesssicht
9.7.1 IKS-Kernprozesssicht
9.7.2 Zusammenfassende Gegenüberstellung der IKS-Kernprozess- und Geschäftsprozesssicht
9.8 Darstellung der Bilanzdatenflüsse
9.9 Darstellung der generellen IT-Kontrollen (ITGC)
9.10 Integration der Konten in die Prozessdokumentation
9.11 Darstellung des IKS-Change Management Prozesses
9.12 Zusammenfassung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung
9.13 Zusätzliche Standardisierungsmöglichkeiten von IKS-Prozessinformationen durch Anwendung des Prozessebenenmodells
9.13.1 Standardisierung mittels Prozessbausteine
9.13.2 Standardisierung mittels Musterprozesse
9.13.3 Standardisierung mittels IT-Services
9.14 Zusammenfassung der Standardisierungsmöglichkeiten zur IKS-Geschäftsprozessmodellierung
9.15 Gegenüberstellung der entwickelten Methode mit den gesetzlichen Mindestanforderungen
9.16 Nutzen der neu entwickelten Methode
9.17 Evaluierung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung
10 Zusammenfassung der Ergebnisse
10.1 Konsolidierung der verschiedenen Ergebnisse
10.2 Beantwortung der Forschungsfrage
10.3 Ausblick
Zielsetzung & Themen
Die Arbeit befasst sich mit der Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen innerhalb von Internen Kontrollsystemen (IKS), um der mangelnden Standardisierung und den Unklarheiten bei der Dokumentation im IKS-Umfeld entgegenzuwirken.
- Standardisierte Geschäftsprozessmodellierung mittels eines Prozessebenenmodells (PrEMo).
- Integration von prozessbezogenen Risiken und Kontrollen in Unternehmensprozesse.
- Analyse gesetzlicher Rahmenbedingungen (z.B. SOX, 8. EU-Richtlinie) für das IKS.
- Methodische Verknüpfung von Unternehmensstrategie, Geschäftsprozessen und IT-Services.
- Einsatz von Prozessbausteinen, Musterprozessen und IT-Services zur Standardisierung.
Auszug aus dem Buch
8.2.6.1 Prozessvarianten
Erstens gibt es Prozesse, die ähnliche Handlungsschritte beinhalten, wobei der darauf bezogene Handlungsgegenstand derselbe bleibt. Dies wäre als Prozessvariante zu kategorisieren.
Bergsmann legt folgend fest: „Überall, wo ein und dieselbe Leistung durch eine etwas anders geartete Ablauffolge erbracht wird, die Leistung als Ergebnis des Geschäftsprozesses zum Adressieren des auslösenden Bedarfs jedoch dieselbe ist, liegt eine Prozessvariante vor.“
Ein Beispiel hierzu wäre, wenn zu ein und demselben Produkt unterschiedliche Geschäftsfälle zu beschreiben sind. So wäre bei einem Produkt A der Geschäftsfall Order, Storno, Kündigung, Störung, Auskunft, Beschwerde, Verrechnung usw. darzustellen. Dieser Sichtweise würde man dann ein größeres Augenmerk schenken, wenn in der Prozesslandkarte keine Selektion nach den Geschäftsfällen getroffen wurde. Andere Beispiele unterschiedlicher Handlungen bezogen auf gleichem Handlungsgegenstand wären, wenn Unterscheidungen nach Standorten, Abteilungen, Know-how/Skills, Mengen, Service Level Agreements (SLA), Auftragseingangsschienen (Fax, Mail, Webportal, Vertrieb, Formular, Shop, Drittanbieter etc.), Kampagnenarten, Kundensegmente usw. zu beschreiben wären.
In der Unternehmenspraxis ist es kaum möglich, einen detailliert beschriebenen Standardprozess überall für jeden Geschäftsfall völlig identisch umzusetzen. Daher ist es sinnvoll, Prozessvarianten zu definieren, die je nach Geschäftsfall oder Besonderheit zur Anwendung kommen. Die Bildung von Prozessvarianten trägt dabei zur Reduzierung von Komplexität, Änderungsaufwand, Durchlaufzeiten und Kosten bei. Eine Variantenbildung bietet sich an, wenn z.B. Geschäftsfälle aufgrund ihres variierenden Volumens bzw. ihrer schwankenden Komplexität nicht sinnvoll mit einem Standardprozess ausgesagt werden kann.
Zusammenfassung der Kapitel
1 Vorwort: Der Autor erläutert seine Motivation und Erfahrungen, die zur Erforschung einer standardisierten Geschäftsprozessmodellierung von IKS-Informationen führten.
2 Einleitung: Beschreibt die Ausgangssituation, die Problemstellung des fehlenden IKS-Standards und definiert die Forschungsfrage.
3 Theoretische Grundlagen: Definiert zentrale Begriffe wie Geschäftsprozessmodellierung, internes Kontrollsystem (IKS) und Risikomanagement sowie deren Abgrenzung.
4 Gesetzliche Rahmenbedingungen: Analysiert nationale und internationale Vorschriften wie das Aktiengesetz, GmbH-Gesetz, 8. EU-Richtlinie und SOX in Bezug auf das IKS.
5 Normen und Standards zum IKS: Behandelt relevante Rahmenwerke wie ONR 4900f, COSO, CobiT und ITIL und deren Eignung für das IKS.
6 Empirischer Teil - Forschungsdesign: Erläutert die Datenerhebungsmethode mittels leitfadengestützter Experteninterviews und das Auswertungskonzept.
7 Empirische Studie über den Status Quo: Fasst die Ergebnisse der Experteninterviews zur aktuellen IKS-Praxis und Standardisierungsmöglichkeiten zusammen.
8 Grundlegendes zur neu entwickelten Methode: Definiert die Anforderungen und Ziele der entwickelten Methode zur standardisierten Geschäftsprozessmodellierung.
9 Darstellung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung: Detailliert die Umsetzung der Methode inklusive Identifizierung von Prozessen, Risiken und Kontrollen.
10 Zusammenfassung der Ergebnisse: Konsolidiert die Erkenntnisse und beantwortet die Forschungsfrage.
Schlüsselwörter
Internes Kontrollsystem, IKS, Geschäftsprozessmodellierung, Risikomanagement, Standardisierung, Prozessmanagement, Sarbanes-Oxley Act, SOX, 8. EU-Richtlinie, Risikokontrollmatrix, Prozessebenenmodell, PrEMo, Compliance, Prozessbausteine, IT-Kontrollen.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit widmet sich der Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen in internen Kontrollsystemen (IKS).
Was sind die zentralen Themenfelder?
Die Arbeit verknüpft die Bereiche Prozessmanagement, internes Kontrollsystem (IKS), Risikomanagement und Compliance unter dem Aspekt einer durchgängigen Dokumentation und Modellierung.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist es zu klären, wie eine generische Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen des IKS gestaltet sein muss, da es hierfür bisher keinen detaillierten Standard gibt.
Welche wissenschaftliche Methode wird verwendet?
Es wurde eine Literaturrecherche durchgeführt, ergänzt durch eine empirische Studie in Form von Experteninterviews zur Erhebung des Status Quo in der Praxis.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil befasst sich mit den theoretischen Grundlagen, den gesetzlichen Rahmenbedingungen, relevanten Standards (wie COSO oder CobiT) sowie der detaillierten Beschreibung der neu entwickelten Methode, einschließlich ihrer praktischen Anwendung.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit ist zentral durch Begriffe wie internes Kontrollsystem (IKS), Geschäftsprozessmodellierung, Standardisierung, Risikomanagement, Compliance und das Prozessebenenmodell (PrEMo) geprägt.
Warum ist das Prozessebenenmodell (PrEMo) für das IKS relevant?
PrEMo dient als strukturiertes Grundgerüst, das hilft, Geschäftsprozesse auf verschiedenen Ebenen abzubilden und IKS-relevante Informationen (Risiken und Kontrollen) konsistent in die Prozessdokumentation zu integrieren.
Welchen Beitrag leistet die Risiko-Kontrollmatrix?
Sie fungiert als zentrales Bindeglied, indem sie Kontrollziele, Risiken und die zugehörigen Kontrollmaßnahmen in einem spezifischen Prozess kontextualisiert und so die Wirksamkeitsprüfung und Dokumentation erleichtert.
- Citation du texte
- MBA, MSc Franz Ringswirth (Auteur), 2012, Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen (IKS), Munich, GRIN Verlag, https://www.grin.com/document/210253
