Bei der Verantwortung für sechs Millionen Kunden muss die W&W-Gruppe als festen Kern des Geschäftsmodells ein konsequentes und umfassendes Risikomanagement betreiben. Dabei kommt dem internen Kontrollsystem (IKS) eine Schlüsselrolle zu, indem es Geschäftsprozesse und damit möglicherweise verbundene Risiken laufend kontrolliert, um bei Bedarf gegensteuern zu können. „Es liegt in unserem eigenen Interesse, Risiken zu bewältigen und zu minimieren“, betont Dr. Jan Martin Wicke, der als CFO und CRO auch für das Risikomanagement bei W&W verantwortlich ist. „Wir sehen das IKS als Steuerungsinstrument und nicht nur als Pflichtübung, um die vielen regulatorischen und gesetzlichen Anforderungen zu erfüllen.“
Risiken beherrschen und minimieren
Nicht nur mit den immer schärfer werdenden regulatorischen Anforderungen konnte das vorhandene excelbasierte IKS auf Dauer Schritt halten, sondern auch dem eigenen Anspruch der W&W-Vorsorgespezialisten an ein leistungsfähiges Risikomanagement genügte es nicht. Es fehlte in erster Linie eine durchgängige prozessbezogene und damit gesamtunternehmerische Sicht auf Risiken. Des Weiteren ließ die Qualität der Kontrolldokumentation teilweise zu wünschen übrig oder war nicht in ausreichendem Maße vorhanden, was auch zu Defiziten bei der Revisionssicherheit und der laufenden Risikoeinschätzung führte. Außerdem gab es kein standardisiertes und werkzeuggestütztes Alarm- und Eskalationsmanagement und auch kein Managementreporting über den IKS-Status.
Die neu veröffentlichte Forderung der deutschen Finanzaufsicht BaFin, im Rahmen des Risikomanagements (MaRisk VA) mindestens einmal im Jahr die Funktionsfähigkeit der Kontrollen zu überwachen, Kontrollschwächen zu beurteilen und zeitnah zu beseitigen, gab schließlich den zuletzt entscheidenden Ausschlag für die Einführung eines neuen IKS. Um diese regulatorischen Anforderungen zu erfüllen und den Lösungsansatz mit ARIS einzuführen, war es erforderlich, eine zentrale Steuerung und Überwachung des operativen IKS für das gesamte Unternehmen einzurichten. „Die Prozesse, insbesondere die Schnittstellenprozesse zwischen den Einzelabteilungen und Einzelunternehmen müssen einheitlich modelliert werden“, erläutert Josef Kirschbaum, der zuständige Projektleiter. Zudem ging es um die Einrichtung eines Control Processings für Dokumentation und Art der Kontrolle, Kontrollfrequenz, Kontrollzeitraum, Kontrollumfang sowie eines Test Processings. Damit verbunden ist auch eine fortlaufende Einschätzung des Risikos und die standardisierte jährliche Prozessfreigabe durch die Prozessverantwortlichen. Des Weiteren waren monetäre Vorgaben zur Risikorelevanz gefordert und ein konzerneinheitliches Alarm- und Eskalationsmanagement für den Fall von Abweichungen, um darauf aufbauend ein Management Reporting zu erreichen und eine Analyse der Ergebnisse vornehmen zu können.
Workflowbasiertes IKS
Im Rahmen der Weiterentwicklung des IKS entschied sich die W&W-Gruppe für die workflowgestützte Automatisierung mithilfe der ARIS Solution for GRC (Governance, Risk & Compliance) mit dem ARIS Risk & Compliance Manager als Kernkomponente. Bei dieser Wahl spielte neben der Leistungsfähigkeit der Lösung auch die Tatsache eine Rolle, dass der Konzern bereits seit vielen Jahren den ARIS Business Architect und Business Designer für die Modellierung und das Design seiner Prozesslandschaft nutzt.
Somit lässt sich auch eine gute Verbindung zwischen Prozess- und Risikomanagement bewerkstelligen und das IKS wird nicht nur vollständig dokumentiert, auch alle IKS-relevanten Daten wie Risiken, Kontrollen, Verantwortliche und notwendige Aktivitäten werden erhoben und mit der W&W-Prozesslandschaft über die Software verknüpft.
Das Projektteam wählte beim Aufsetzen des IKS eine ressourcenschonende Vorgehensweise und nutzte soweit wie möglich die bereits vorhandenen Daten. Mithilfe von Excel-Templates ergänzten die jeweiligen Fachbereiche dann die noch fehlenden Informationen. „Auf dieser Datenbasis und nach der Beschreibung der nötigen Prozesse, Risiken, Kontrollen, Ziele und Verantwortlichen können dann in ARIS die Prozesse modelliert, die entsprechenden Risiken definiert sowie die risikorelevanten Daten eingetragen werden“, erläutert Kirschbaum.
Bereits nach wenigen Wochen ließ sich ein vollständiger Durchlauf des IKS-Workflows in einem Unternehmensbereich durchführen und damit auch der von MaRisk geforderte Nachweis der Wirksamkeit von Kontrollen erbringen: Die Software informiert die für Kontrollen Verantwortlichen automatisch per E-Mail über durchzuführende Nachweise und führt sie durch alle erforderlichen Aktivitäten. Der ARIS Risk & Compliance Manager gewährleistet die revisionssichere Speicherung aller dabei anfallenden Ergebnisse und Beweismaterialien, sodass unabhängige Dritte wie Wirtschaftsprüfer oder interne Revisoren die Aktivitäten jederzeit nachvollziehen können.
Neben diesen in meist kürzeren Abständen erfolgenden Workflows unterstützt das Tool auch den mindestens einmal pro Jahr stattfindenden „Test of Effectiveness“ (Wirksamkeitstest), also eine Kontrolle der Kontrollen, um die geforderte Funktionsfähigkeit zu prüfen, etwaige Abweichungen zu beurteilen und möglichst zeitnah zu beheben. Schließlich erfolgt zum Jahresende der „Test of Design“, wobei der Prozessverantwortliche die definierten Prozesse, Risiken, Kontrollen und Wirksamkeitstests auf ihre Aktualität und neue Risikoeinschätzung bestätigt. Bei Bedarf werden Prozess und Risiko geändert, angepasst, oft auch optimiert.
Dank der Implementierung eines „doppelten Workflows“ lassen sich neben den eigentlichen Testern der Wirksamkeit auch die Kontrollverantwortlichen in den IKS-Workflow einbinden. Identifiziert bereits ein Kontrollierender während einer Kontrolle etwa ein nicht zu bewältigendes Risiko, wird dies in einem gesonderten Workflow automatisch zur weiteren Klärung an den Kontrollverantwortlichen geleitet.
Hoher ROI
Das Team um Kirschbaum stellte auch eine detaillierte ROI-Betrachtung an und war sehr angenehm überrascht über das Ergebnis: „Normalerweise ist die Einführung eines IKS lediglich mit Kosten verbunden“, stellt der Projektleiter fest. „Doch hier gehen die handfesten fachlichen Vorteile mit massiven Einsparungen und einem positiven ROI bereits zu Beginn der Einführung einher.“ Das IKS bildet über eintausend Teilprozesse ab; wie etwa der Abschluss einer Lebensversicherung oder eines Bausparvertrags, aber auch Terminplanung und -überwachung für den Konzernabschluss. Auf diese Prozesse entfallen für die laufende Risikoüberwachung jeweils mehrmals jährlich unterschiedliche Kontrollen.
Hinzu kommen die jährlichen „Tests of Effectiveness“ sowie verschiedene Prüfungen durch interne oder externe Auditoren. Durch die neue ARIS-Lösung und die workflowgestützte Automatisierung fällt jedoch eine Vielzahl von bisherigen und neuen manuellen Aufgaben wie das Dokumentenhandling, Absprachen über Art und Umfang von Kontrollen und Tests weg oder werden weniger.
Allein dadurch lassen sich jährliche Einsparungen von rund 2,5 Millionen Euro erzielen. Den Return on Investment (Lizenzen, Wartung und Projektkosten) bezifferte das Team nach Abschluss des dreijährigen Projekts auf jährlich gut 153 Prozent.
Zu den fachlichen Vorteilen zählt die unmittelbare Antwortbereitschaft des Managements auf Prüfungsanfragen, Schnelligkeit und Lückenlosigkeit von Risikokontrollen sowie die Vollständigkeit und Revisionssicherheit der Dokumentation.
Das neue IKS beschert der W&W aber auch weitere positive Nebeneffekte. „Das Kontrollsystem ist so aufgebaut, dass auch weitere zu erwartende regulatorische Anforderungen vorausschauend abgedeckt werden“, erklärt Kirschbaum. Infolge der Modellierung der IKS-relevanten Prozesse entsteht eine höhere Transparenz und die Revisionssicherheit intensiviert sich. „Gestützt auf das ARIS-Lösungs- und Methodenportfolio haben wir mit der Software AG unser IKS zu einer exzellenten Lösung weiterentwickelt, denn ein leistungsfähiges IKS zeichnet eine gute Organisation aus“, so das Resümee des CFO und CRO der W&W, Dr. Jan Martin Wicke.