(Steuer-) IKS mit JIRA: Die Umsetzung der RACI-Matrix
Im Hinblick auf die praktische Umsetzung eines Internes Kontrollsystem (IKS) propagieren wir den Ansatz, durch Customzing des Ticket-Systems JIRA von der Firma Atlassian ein IKS zu operationalisieren und damit die Angemessenheit und die Wirksamkeit nachzuweisen (IDW PS 980). Dieser Ansatz eignet sich gleichermaßen für alle Internen Kontrollsysteme, unabhängig davon, ob es sich hierbei um Finzanzbuchhaltungs-, Compliance- oder eben ein Tax-CMS handelt. Die Frage, die uns dabei immer wieder gestellt wird, ist, wie das übliche Konzept der RACI-Matrix praktisch umgesetzt wird. Hierauf gehe ich im Folgenden ein.
Klassisch wird das RACI-Konzept über Meetings und den E-Mail-Verkehr gelebt. Kalendereinladungen und Abstimmungs-E-Mails mit zahlreichen Personen im Verteiler machen hierbei die Runde. In den Anhängen befinden sich meist Powerpoint-Präsentationen und Word- bzw. Excel-Files. Oft stehen die Verantwortlichen („R“ bzw. „Responsible“) als direkte Empfänger in der E-Mail und die weiteren Rollen im CC. Manchmal geben auch ein vorangestellter Buchstabe im Betreff der E-Mail einen Hinweis auf die jeweilige Rolle. Z. B. „A“ (hier: Action) für den Verantwortlichen als direkten Empfänger oder nur kurz „zur Kenntnis“ in der Weiterleitung für Personen, die „informed“ sein müssen. Hierbei verliert man nicht nur schell den Überblick im eigenen Postfach, es hat auch noch einen weiteren Nachteil: essentielle Firmeninformation lagern bisweilen ausschließlich in den E-Mail-Postfächern der Mitarbeiter und Kollegen. Gerade bei deren Ausscheiden gehen oft wichtige Informationen verloren oder sind bspw. während der Urlaubszeit nicht verfügbar. Insbesondere wenn der Datenschutz gegen die Einsicht fremder E-Mail-Postfächer spricht.
Bei der Umsetzung mittels JIRA hingegen ist das Konzept simpel. „Responsible“ im Sinne der Durchführungsverantwortung ist der jeweilige Bearbeiter eines Tickets. Personen, die Accountable sind, haben „ihre“ Tickets über die Beobachtungsfunktion und Filter im Blick. Bei Letzerem handelt es sich um Abfragen auf die Tickets nach bestimmten Kriterien (z. B. Fälligkeit oder Prozess), die man in Dashboards anzeigen oder als E-Mail-Notification abonnieren kann. Und Personen, die „consulted“ werden müssen, werden am besten per Workflow eingebunden. Hierzu fügt man beispielsweise einen Status „Review“ in den Arbeitsablauf eines Tickets ein. So erhält die Person jedes Risiko, jede Kontrolle etc. vor der Live-Schaltung zur Prüfung und Freigabe vorgelegt. Vorteil hier: auch der Reviewprozess selbst wird mit minimalem Aufwand dokumentiert.
Bei „informed“ spielt JIRA dann seine ganze Stärke aus: Interne Kontrollsysteme werden etabliert, um den gesetzlichen Vertretern ein Instrument an die Hand zu geben, die Wirksamkeit eines eingeführten Risikomanagementsystems in der Organisation überwachen zu können. Neben der Möglichkeit, jederzeit einen aktuellen Risiko- und Kontrollkatalog nach bestimmten Kriterien (Prozess, Geschäftsbereich, Riskowert etc.) oder aggegiert anzeigen zu lassen, kann auch die Wirksamkeit jederzeit anschaulich auf Dashboards überprüft werden. Denn in unserem Konzept wird jede Kontrolldurchführung (manuell und automatisiert) als ein Ticket umgesetzt. Und jedes Ticket wird am Ende der Kontrollhandlung mit einem Status versehen (OK / Nicht-OK). Im Prinzip genügt also eine Tortengrafik – durchgeführte Kontrollen je Lösung. Und per Click-through können Missstände zielgerichtet behoben werden.