Inhaltsverzeichnis
Prozessorganisation
Wir unterscheiden bei Maßnahmen zur Vermeidung von Risiken die sog.
Kernprozesse (= primäre Prozesse) und
unterstützende (= sekundäre) Prozesse.
Die Kernprozesse sind Wertschöpfungsprozesse des Unternehmens und haben einen unmittelbaren Bezug zum Produkt, welche das Unternehmen verkauft.
Beispiel
Vertrieb, Produktion und der Kundensupport sind Kernprozesse.
Unterstützende Prozesse hingegen tragen lediglich indirekt zur Wertschöpfung bei. Sie haben zwar Bedeutung für einen sicheren Ablauf der Kernprozesse, haben allerdings für sich keinen unmittelbaren Kundennutzen, sondern unterstützen lediglich jene, welche der Kunde wahrnimmt (nämlich die Kernprozesse).
Beispiel
Buchhaltung, Unternehmensleitung und die Kantine sind unterstützende Prozesse.
Wir beziehen uns hier insg. auf die Wertschöpfungskette nach Porter. In ihr soll ein marktfähiges Produkt erstellt werden, so dass der Verkaufswert größer ist als die gesamten Einstandskosten der kompletten Produktionsfaktoren.
Die primären betrieblichen Funktionen erhöhen den Wert der Produktionsfaktoren, wohingegen sekundäre Wertschöpfungsaktivitäten mehrere Funktionen unterstützen, allerdings für sich selbst keine Steigerung im Wert bewirken.
Wichtig ist, dass die primären Aktivitäten Einzelkosten verursachen bzw. verursachen könnten. Die sekundären Aktivitäten hingegen führen nicht zu Einzelkosten, sondern müssen vielmehr über einen Betriebsabrechnungsbogen und die Unterteilung zwischen Hilfskosten- und Hauptkostenstellen zugeschlagen werden, weil es bei ihnen um Gemeinkosten geht.
Risiko-Kontroll-Matrizen
Eine Risiko-Kontroll-Matrix dient dazu, Risiken systematisch darzustellen. Je komplexer das Unternehmen ist, umso komplexer ist auch die Risiko-Kontroll-Matrix. Wichtig ist, dass für einzelne Teilprozesse auch unterschiedliche Risiko-Kontroll-Matrizen angefertigt werden können.
Eine strikte Vorgabe für Risiko-Kontroll-Matrizen gibt es nicht, da diese für jedes Unternehmen unterschiedlich und außerdem branchenspezifisch erstellt werden muss. Der Zweck einer Risiko-Kontroll-Matrix ist es, dem zuständigen Mitarbeiter ein Leitbild des Unternehmens zu verschaffen und dadurch zu gewährleisten, dass sich der Zuständige ein schnelles Bild über die Risiken und die Struktur des Unternehmens machen kann. Die Matrizen können ebenfalls bei Prüfungen zur Dokumentation der internen Abläufe dienen.
Jedes Unternehmen muss eine eigene Risiko-Kontroll-Matrize für seine Prozesse festlegen. Diese müssen Punkte wie z. B. die Prozesse, Subprozesse, Risiken, Ziele und die Komplexität enthalten.
Eine Risiko-Kontroll-Matrix sollte in tabellarischer Form erstellt werden, hier sind die Ziele und die Funktionen zu beschreiben. Des weiteren sollte erfasst werden, wer die Kontrollen durchführt und in welcher Häufigkeit diese stattfinden. Die Dokumentation der Kontrollen ist ebenfalls wichtig für eine funktionsfähige Risiko-Kontroll-Matrix.
Risiko-Kontroll-Matrix für den Beschaffungsprozess
Die Beschaffung ist einer der Kernprozesse in vielen Industrieunternehmen, dieser Kernprozess muss ebenfalls in Subprozesse wie z. B. Bestellungen und Wareneingang, eingeteilt werden. Für die Prozesse und Subprozesse werden gängige Abkürzungen genutzt, bei Bestellungen wäre das z. B. „BE“. In der Risiko-Kontroll-Matrix werden zunächst vom Kernprozess die Abkürzung erfasst und dann vom kontrollierten Subprozess, diese werden chronologisch nummeriert. Für den Kernprozess Beschaffung, speziell in der Bestellung wäre das bei der ersten Kontrollaktivität eine Referenz von: BE-BE-01. Wenn man für die Beschaffung eine Risiko-Kontroll-Matrix erstellen würde, könnte diese beispielsweise wie folgt aussehen:
| Referenz | Ziel | Risiko | Kontrollaktivität |
| BE-BE-01 | Verarbeitung der gesamten Bestellungen | Bestellungen werden nicht alle verarbeitet | Bestellbestätigung durch den Lieferanten Bestellvoraussetzungen für Mitarbeiter |
| BE-BE-02 | Richtige Erfassung von Preis- und Mengenangaben | Tippfehler, Zahlendreher | Vorgaben mit der Bestellbestätigung abgleichen |
| BE-BE-03 | Bestellung kann nur durch autorisierte Mitarbeiter erfolgen | Bestellung durch nichtautorisiserte Mitarbeiter | Zugangscode für autorisierte Mitarbeiter |
Die oben aufgeführte Risiko-Kontroll-Matrix kann noch viel ausführlicher gestaltet und für alle Kern- und deren Subprozesse erstellt werden, wie z. B. für den Kernprozess Produktion und seine Subprozesse wie Lagereingang und Lagerausgang. Dadurch gelingt es Unternehmen, alle Prozesse fortlaufend zu kontrollieren und die Funktionsfähigkeit des Unternehmens zu gewährleisten. Für eine Prüfung hätte man ebenfalls Dokumente der Prozesse zur Vorlage.
Weitere interessante Inhalte zum Thema
-
Erkennung der Risiken eines Unternehmens
Vielleicht ist für Sie auch das Thema Erkennung der Risiken eines Unternehmens (Sicherstellung eines IKS) aus unserem Online-Kurs Interne Kontrollsysteme (IKS) interessant.
