News

Ein Praxisbericht

Verzahnung von Compliance, IKS und Risikomanagement

Uwe Herre, Hans-Jürgen Wieben, Patrick Wolf18.03.2013, 18:34

Als Reaktion auf verschiedene Bilanz- und Korruptionsskandale, neue gesetzliche Vorgaben und verschärfte Erwartungen von wichtigen Stakeholdern haben viele Unternehmen in den letzten Jahren ihre Steuerungs- und Überwachungsinstrumente weiterentwickelt. So wurden neue Systeme zum Umgang mit Risiken (Risiko-Managementsystem, RMS) und zur Sicherstellung der Einhaltung von externen und internen Anforderungen etabliert (Compliance-Managementsystem, CMS) eingeführt. Ebenso wurden Initiativen zur Optimierung des bestehenden internen Kontrollsystems (IKS) gestartet – nicht zuletzt, um den Anforderungen aus §107 Abs. 3 AktG gerecht zu werden, der mit dem Bilanzrechtsmodernisierungsgesetz (BilMoG) eingeführt worden ist.

Im Ergebnis haben diese Initiativen vielerorts zu einer Verbesserung des Reifegrads der Steuerungs- und Überwachungsinstrumente geführt. Zugleich haben sich aber auch neue Herausforderungen ergeben, bspw. die Steigerung der Effizienz von RMS, CMS und IKS sowie die bessere Abstimmung der verschiedenen Risikoinformationen in Berichten.

Als geeigneter Lösungsansatz erweist sich immer mehr eine stärkere Verzahnung von Governance, Risk & Compliance (GRC). Dabei geht es um eine informatorische, methodische, prozessuale, technische und organisatorische Integration der genannten Systeme, auch "iGRC®" genannt. Die praktische Ausgestaltung dieser Methodik wird im Folgenden anhand des Praxisbeispiels der Alpha AG dargestellt. Die Alpha AG ist ein führendes Unternehmen mit Sitz in Deutschland und Geschäftstätigkeit im In- und Ausland.

Ausgangssituation der Alpha AG

Die Alpha AG verfügte vor der Verzahnung über separierte Systeme für Compliance, IKS und Risikomanagement. Die Folge dieser Insellösungen waren parallele, inhaltlich und methodisch nicht abgestimmte Prozesse zur Erhebung und Bewertung von bestimmten Risikoarten sowie von Maßnahmen und Kontrollen (beispielsweise Risiken der Management-Berichterstattung und bestandsgefährdende Risiken nach §91 Abs. 2 AktG). Auch bestanden separierte Berichte an Management und Aufsichtsrat mit teilweise inhaltlichen Überschneidungen. Die technische Unterstützung erfolgte über Office-Lösungen, so dass insbesondere auf Konzernebene zahlreiche manuelle Schritte zur Datenkonsolidierung notwendig waren. Die Verantwortlichkeiten für Compliance, IKS und Risikomanagement lagen organisatorisch getrennt in den Bereichen Recht, Interne Revision und Controlling.  

Dieser Status Quo wurde vom Konzernvorstand in Anbetracht des Kostendrucks und der Unzulänglichkeiten im Reporting als verbesserungswürdig eingestuft. Dies führte zur Entwicklung und Umsetzung eines Konzepts für eine stärkere Verzahnung.

Umsetzung der Integration

Zunächst wurden die bislang separierten Erhebungs-, Bewertungs- und Berichtsprozesse in einem Regelprozess zusammengeführt und um einen Prozess zum Nachweis der Wirksamkeit der wesentlichen Maßnahmen/Kontrollen ergänzt. Risiken aus dem Geschäftsbetrieb, zur Finanzberichterstattung und zu Compliance-Fragestellungen werden nunmehr über einen einheitlichen Regelprozess von den operativen Einheiten und Funktionen abgefragt. Zur besseren Vergleichbarkeit kommt eine harmonisierte Bewertungsmethodik zum Einsatz, die sowohl eine monetäre als auch eine qualitative Einschätzung der Risiken in Bezug auf verschiedene qualitative Schadenkategorien (beispielsweise Reputationswirkung) ermöglicht.

Zur technischen Unterstützung des Regelprozesses wurde ein einheitliches GRC-Tool eingeführt. Es erlaubt eine dezentrale Erfassung aller relevanten Daten und eine zentrale Auswertung und Berichterstattung, weitgehend auf Knopfdruck.

Die Verantwortlichkeiten auf Konzernebene für Compliance, IKS und Risiko-management wurden in einer Funktion gebündelt. Damit wurden Reibungsverluste reduziert, einheitliche Ansprechpartner für alle Fragestellungen rund um die genannten Teilsysteme geschaffen und das entsprechende Know-how zentral an einer Stelle im Unternehmen konzentriert.

Mehrwert eines integrierten Ansatzes

Nach Überführung des Projekts in den Regelbetrieb verfügt die Alpha AG heute über eine angemessene, moderne und gleichzeitig effiziente Methodik, die operativ sehr positiv aufgenommen worden ist.

Der Mehrwert für die Alpha AG:

  • Höhere Effizienz durch Vereinheitlichung von Abläufen und stärkere Automatisierung mit Hilfe einer Standard-Softwarelösung,
  • Erhöhte Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen,
  • Stärkere Verknüpfung der Risikoinformationen mit den Controlling-Informationen (beispielsweise Forecasts) sowie
  • Erfüllung aller relevanten externen und internen Anforderungen zum Schutz von Reputation, Organen und Mitarbeitern. 



Autoren:

Uwe Herre, Partner bei PwC

Dr. Hans-Jürgen Wieben, Manager bei PwC

Patrick Wolf, Manager bei PwC

 


[Bildquelle: © empics - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Statistik und Intuition

Quantitative Methoden sind mächtige Instrumente

Redaktion RiskNET15.02.2017, 13:35

Nicht nur Risikomanager verwechseln gelegentlich Korrelation mit Kausalität, vernachlässigen Variabilität und Stichprobenfehler oder multiplizieren Eintrittswahrscheinlichkeit mit Schadensausmaß und...

Kolumne

Risikomanagement von Marken

Wenn Innovationen Marken schwächen

Wolfgang Schiller13.02.2017, 18:07

Kein anderes Wort wird heute mehr in der Wirtschaftspolitik, der Wirtschaftspresse und im Marketing verwendet als "Innovation". Versteckt sich dahinter vielleicht ein neues Erfolgskonzept...

Interview

Risk Governance

Stakeholderorientiertes Risk Management aus strategischer Sicht

Redaktion RiskNET25.01.2017, 08:12

Ein Blick in die Praxis zeigt nicht selten ein Dilemma der traditionellen Risikosteuerung in Unternehmen. Auf der operativen Seite der Leistungserstellung steht das eher mechanistische...

Kolumne

Reifegrade im Risikomanagement

Potemkinsches Dorf – oder: Risikokultur leben

Frank Romeike | Christoph Schwager04.01.2017, 11:12

"Kultur isst die Strategie zum Frühstück", so ein Zitat des ehemaligen US-amerikanischen Ökonomen Peter F. Drucker. Gemeint ist der Wert der Unternehmenskultur, der weit über die rein...

Kolumne

Rückblick und Ausblick in Zeiten des Umbruchs

Zeit der Unsicherheit

Andreas Eicher | Frank Romeike [Redaktion RiskNET]23.12.2016, 12:02

"Wie bei der irrwitzigen Wut eines Hundes, der sich in das Bein eines bereits toten Rehs verbissen hat und an dem erlegten Wild rüttelt und zerrt, so dass der Jäger ihn zu beruhigen aufgibt...