Social Media ist längst in den Unternehmen angekommen. Doch seit längerer Zeit steht nicht mehr die Vernetzung von Nutzern im Vordergrund. Viele Unternehmen haben die Möglichkeiten der Nutzung, wie z.B. für das HR Recruiting für sich entdeckt. Inzwischen hat sich eine riesige Industrie rund um Social Media etabliert. Angefangen bei Influencern, die Geld für die Präsentation von Produkten in den sozialen Netzwerken bekommen bis hin zu Firmen, wie z.B. Cambridge Analytica, die riesige Datenmengen von Facebook Nutzerprofilen ausgewertet haben, um die öffentliche Meinung zu beeinflussen. Die Chancen und Risiken sind enorm. Doch wie steht es eigentlich um Ihr Unternehmen? Haben Sie schon einmal Social Media geprüft, oder ist es im Prüfungsplan vorgesehen? Dr. Urban Becker, Leiter der Internen Revision bei Melitta hat sich diesem Thema in seiner Masterarbeit angenommen und ein Framework für die Prüfung von Social Media im Rahmen der Internen Revision entwickelt. Im ersten Teil der Serie stellt er die Risiken und Prüfungsansätze aus der Literatur vor. Also bitte Herr Dr. Becker:
Nutzung von Social Media durch Unternehmen
Digitale Medien verändern zunehmend die Kommunikation zwischen Menschen. Auch Social Media als ein Teil der digitalen Medien werden sowohl durch Privatpersonen als auch durch Organisationen und Unternehmen in zunehmendem Maße genutzt. Social Media sind internetbasierte Applikationen, die auf der Ideologie und der technologischen Plattform des Web 2.0 basieren, mit denen es für die Nutzer nicht nur möglich ist, Informationen zu lesen, sondern auch eigene Profile einzustellen und mit anderen Nutzern, mit denen Sie eine Verbindung teilen, zu kommunizieren. Social Media-Anwendungen umfassen zahlreiche Plattformen wie Facebook, Instagram, Google +, Pinterest, LinkedIn, Xing, YouTube, Twitter, Skype, WhatsApp und Wikipedia. Die Anzahl der Nutzer dieser Anwendungen ist seit Jahren stetig gestiegen. Die Social Media-Anwendungen lassen sich nach Kaplan & Haenlein (2010) nach dem Reichhaltigkeitsgrad der Medien und dem Selbstdarstellungsverhalten eines Nutzers klassifizieren.
| Soziale Präsenz / Medienreichhaltigkeit | ||||
| Niedrig | Mittel | Hoch | ||
| Selbst-darstellung / Selbstoffen-barung | Hoch | Blogs, Microblogs (z.B. Twitter) | Social networks (z.B. Facebook) | Virtuelle soziale Welten (z.B. Second Life) |
| Nie-drig | Kollaborative Projekte (z.B. Wikipedia) | Content communities (z.B. YouTube) | Virtuelle Spielwelten (z.B. World of Warcraft) |
Tabelle 1: Social Media nach Reichhaltigkeit und Selbstoffenbarung
Quelle (Kaplan & Haenlein, S. 62)
So ist die Reichhaltigkeit einer Textinformation geringer als die einer Bild- oder Videopräsentation. Die Selbstdarstellung eines Nutzers hängt davon ab, wie viel er in einem Medium über sich selbst offenbart. Die Motive zur Nutzung von sozialen Medien unterscheiden sich daher.
Für den Social Media-Einsatz durch Unternehmen gibt es zwei Zielgruppen:
- Interne Kommunikation mit Mitarbeitern und Führungskräften mit den Einsatzfeldern Wissens-, Content-, Dokumenten- und Projektmanagement.
- Externe Kommunikation in den Einsatzfeldern Public Relation, Marketing, Vertrieb, Service und Informationsbereitstellung, Personalbeschaffung und Beschaffung. Die Ziele für den Einsatz sind vielfältig und umfassen den Aufbau eines Netzwerkes, Erhöhung des Bekanntheitsgrads von Marke und Unternehmen, Positionierung als Arbeitgeber sowie Beeinflussung von Themen.
Relevanz einer Prüfung von Social Media durch die Revision
Die Nutzung von Social Media ist mit neuen Unsicherheiten verbunden, die für Unternehmen bisher nicht relevant waren. Diese Unsicherheiten ergeben sich aus der internen Koordination von Aktivitäten, der Reaktion auf Informationen, die an und über das Unternehmen veröffentlicht werden sowie der bi- und multilateralen Kommunikation mit den Stakeholdern des Unternehmens. Aus diesem Grund gibt es bislang nur wenige Quellen, die sich intensiv mit den Risiken und möglichen Revisionsansätzen von Social Media auseinandersetzen.
Ein aktiver Umgang mit diesen Unsicherheiten kann durch
- ein Risikomanagement oder
- ein Audit erfolgen.
Beim Risikomanagement werden die Aktivitäten durch prozessverantwortliche Mitarbeiter durchgeführt, bei dem Risiken systematisch identifiziert und hinsichtlich der Eintrittswahrscheinlichkeit und dem möglichen Schadensausmaß analysiert und bewertet werden. Daraus werden entsprechend der Wesentlichkeit Maßnahmen zur Risikobewältigung abgeleitet und ein gezieltes Monitoring eingerichtet. Zu diesen Maßnahmen zählen Ansätze zur Vermeidung, Verminderung oder Teilung von Risiken mit anderen Parteien, die dadurch eine vollständige Risikotragung vermeiden.
Bei Audits erfolgt die Bewertung durch unabhängige Personen wie beispielsweise durch die interne Revision eines Unternehmens. Hierzu kommen neben der Revision auch externe Social Media-Experten, Zertifizierungsorganisationen oder auch Wirtschaftsprüfer in Frage. Für eine Zuweisung der Aufgabe eines Social Media-Audits an die Interne Revision gibt es wichtige Argumente. Die interne Revision zeichnet sich im Gegensatz zu den anderen Stellen durch eine gute Integration in das Unternehmen aus, die ermöglicht, dass das gewonnene Wissen im Unternehmen verbleiben kann. Es ist die Mission der Internen Revision den Wert ihrer Organisation durch eine risikoorientierte und objektive Prüfung und Beratung zu erhöhen und zu schützen. Die hohe Qualität der Prüfungsergebnisse wird durch die zu beachtenden Grundsätze der Integrität, der Objektivität, der Vertraulichkeit und der Fachkompetenz gewährleistet.
Nach dem Three-Lines-of-Defense-Modell ergänzt die Interne Revision die Kontrollsysteme der operativen Funktionen (erste Linie) und der Überwachungssysteme (zweite Linie) einer Organisation.
Um auf die wichtigen Prüfungsfelder zu fokussieren, ist auch für die interne Revision eine Risikobetrachtung notwendig. Um die Risiken zu identifizieren, bestehen verschiedene Ansätze:
- Den Einsatz der betrachteten Social Media-Anwendung verstehen und hinsichtlich potenzieller Risiken einschätzen
- Literatur- und Online-Recherche nach Social Media-Risiken
- Adaptieren von Frameworks wie COSO oder COBIT auf die Fragestellungen beim Social Media-Einsatz
- Befragen anderer Revisions- oder Social Media-Spezialisten
Als typische Risikofelder werden in der Literatur beispielsweise die Social Media-Strategie, aufbau- und ablauforganisatorischen Fragen, Vorhandensein und Inhalte von Regelwerken, rechtliche Risiken, Risikomanagement für Social Media, Personalrisiken und die Absicherung gegen IT-Risiken genannt.
Aufgrund der Risikobewertung ist das Social Media-Management in die risikoorientierte Prüfungsplanung einzustellen. Aufgrund der sich daraus ergebenden Bewertung ist Social Media als Prüfungsthema in der zeitbezogenen Prüfungsplanung einzustellen.
Im zweiten Teil dieses Blogs werden Ansätze aus Frameworks betrachtet. Im dritten Teil wird ein durchgängiger Prüfungsansatz vorgestellt, der aus Interviews und Fragebogenauswertungen von Revisions- und Social Media-Experten im Rahmen einer Masterarbeit entwickelt worden ist. Aus den unterschiedlichen Arten von Prüfungen, die von der Revision durchgeführt werden, lassen sich Prüfungen von Social Media den operationellen Audits zuordnen.
Prozessschritte einer Social Media-Prüfung
Die Interne Revision arbeitet prozessorientiert in einem Zyklus aus Prüfungsvorbereitung, Prüfungsdurchführung, Ergebnisabstimmung, Berichtschreibung und Follow-Up. Die Vorbereitung einer Prüfung umfasst Planungsaufgaben und Voruntersuchungen, zu denen beispielsweise die Risikoanalyse eines Prüfungsfeldes, konzeptionelle Tätigkeiten und die Gewinnung von Informationen zählen. Die eigentliche Prüfungsdurchführung basiert auf Interviews, Datenauswertung und der Analyse von Unterlagen, beispielsweise in Form von Stichproben. Sie schließt mit der Abstimmung der Ergebnisse und der Vereinbarung von Maßnahmen ab. Auf Basis der abgestimmten Prüfungsergebnisse und vereinbarten Maßnahmen werden ein Bericht erstellt und die Prüfungsunterlagen dokumentiert. Nach Prüfungsdurchführung wird die Umsetzung der vereinbarten Maßnahmen im Rahmen eines Follow-Up überwacht. Berichtschreibung und Follow-Up sind unabhängig vom Prüfungsthema grundsätzlich für alle Revisionsprüfungen strukturiert zu bearbeiten. Es ist in der Literatur unstrittig, dass auch für Social Media-Prüfungen der „klassische“ Revisionsprozess eingesetzt werden sollte.
Der Einsatz der Revision kann auch für Projekte erfolgen. Eine projektbegleitende Prüfung könnte für die Implementierung eines Social Media-Auftritts eines Unternehmens oder einer Organisation sinnvoll durchgeführt werden. Alternativ kann eine Prüfung nach Abschluss der Implementierung erfolgen, um mögliche Verbesserungsmöglichkeiten des realisierten Zustands aufzuzeigen.
Wie kann die Vorbereitung einer Social Media-Prüfung aussehen?
Auch für Social Media als Prüfungsthema kann der „klassische“ Revisionsprozess aus Risikobewertung mit anschließender Auswahl und Durchführung der Prüfungsaktivitäten auf Basis der bewerteten Risiken eingesetzt werden.
Welche vorbereitenden Schritte sind notwendig, um eine Social Media-Prüfung durchführen zu können?
Um eine Social Media-Prüfung durchführen zu können, ist das Thema Social Media in das Audit Universe aufzunehmen, eine Social Media-Prüfung ist in die konkrete Planung aufzunehmen und die Prüfung ist vorzubereiten:
- Damit Social Media aufgrund einer Bewertung der Prüfungslandkarte (Audit Universe) als relevantes Feld einbezogen werden kann, ist Voraussetzung, dass Social Media als Prüfungsfeld in der Prüfungslandkarte enthalten und mit der dort enthaltenen Systematik bewertet wird.
- In der Jahres- bzw. der Mehrjahresplanung wird auf Basis des Audit Universe für den Planungszeitraum risikoorientiert festgelegt, in welchen Felder Prüfungsaktivitäten durch die Interne Revision durchgeführt werden. Das Ergebnis dieses Planungsschrittes ist beispielsweise die Festlegung, in dem Feld Social Media eine Prüfung durch die Revision durchzuführen. Alternativ hierzu kann auch durch die Unternehmensleitung eine Sonderprüfung von Social Media-Themen angefordert werden.
Welche Aspekte sind bei der eigentlichen Prüfung zu berücksichtigen?
- Bei Betrachtung einer einzelnen Prüfung werden aufbauend auf einem genehmigten Prüfungsplan die durchzuführenden Handlungen konkret geplant. Ergebnis dieses Schrittes ist die Festlegung von Aktivitäten innerhalb der betrachteten Prüfung. Dabei können je nach Zielsetzung entsprechende Prüfungsschwerpunkte festgelegt werden, beispielsweise zu Social Media-Strategie, rechtlichen Fragestellung, Controlling von Social Media oder eine prozessorientierte Analyse.
- Gegebenenfalls ist zur Vorbereitung einer Social Media-Prüfung die Gewinnung und Aufbereitung von weiteren Informationen notwendig, um Ansatzpunkte für die spätere Vertiefung im Rahmen der Prüfung festzulegen.
- Für Social Media-Fragestellungen besteht die besondere Herausforderung für viele Prüfer, dass sie sich zunächst in dieses Themenfeld einarbeiten müssen.
- Typische vorbereitende Tätigkeiten sind die Anforderung von Unterlagen und Zugriffsrechten für relevante Systeme (z. B. Monitoringsystem für Social Media) sowie Datenauswertungen.
- Für die Gewinnung und Verarbeitung von Informationen im Rahmen eines Social Media-Audits bieten sich als Methoden die Führung von Interviews, die Datenanalyse und die Stichprobenerhebung für die Planung des Arbeitsprogramms an.
Hinsichtlich der zeitlichen Planung beginnt die Vor-Ort-Prüfung analog zu anderen Prüfungsthemen mit einer Eingangsbesprechung. Nach Durchführung der Prüfung wird das Prüfungsergebnis im Rahmen der Abschlussbesprechung als Grundlage für den Bericht und das nachfolgende Follow-Up abgestimmt. Die Auftragsdurchführung ist durch die Revisionsleitung zu überwachen und zu steuern.
Haben Sie schon mal ein Social Media Audit durchgeführt? Wenn ja, wie sind Sie vorgegangen?
Quellen:
Kaplan, A. M., & Haenlein, M. (2010). Users of the world, unite! The challenges and opportunities of Social Media. Business Horizons, 53(1), 59-68