News

Ein Praxisbericht

Verzahnung von Compliance, IKS und Risikomanagement

Uwe Herre, Hans-Jürgen Wieben, Patrick Wolf18.03.2013, 18:34

Als Reaktion auf verschiedene Bilanz- und Korruptionsskandale, neue gesetzliche Vorgaben und verschärfte Erwartungen von wichtigen Stakeholdern haben viele Unternehmen in den letzten Jahren ihre Steuerungs- und Überwachungsinstrumente weiterentwickelt. So wurden neue Systeme zum Umgang mit Risiken (Risiko-Managementsystem, RMS) und zur Sicherstellung der Einhaltung von externen und internen Anforderungen etabliert (Compliance-Managementsystem, CMS) eingeführt. Ebenso wurden Initiativen zur Optimierung des bestehenden internen Kontrollsystems (IKS) gestartet – nicht zuletzt, um den Anforderungen aus §107 Abs. 3 AktG gerecht zu werden, der mit dem Bilanzrechtsmodernisierungsgesetz (BilMoG) eingeführt worden ist.

Im Ergebnis haben diese Initiativen vielerorts zu einer Verbesserung des Reifegrads der Steuerungs- und Überwachungsinstrumente geführt. Zugleich haben sich aber auch neue Herausforderungen ergeben, bspw. die Steigerung der Effizienz von RMS, CMS und IKS sowie die bessere Abstimmung der verschiedenen Risikoinformationen in Berichten.

Als geeigneter Lösungsansatz erweist sich immer mehr eine stärkere Verzahnung von Governance, Risk & Compliance (GRC). Dabei geht es um eine informatorische, methodische, prozessuale, technische und organisatorische Integration der genannten Systeme, auch "iGRC®" genannt. Die praktische Ausgestaltung dieser Methodik wird im Folgenden anhand des Praxisbeispiels der Alpha AG dargestellt. Die Alpha AG ist ein führendes Unternehmen mit Sitz in Deutschland und Geschäftstätigkeit im In- und Ausland.

Ausgangssituation der Alpha AG

Die Alpha AG verfügte vor der Verzahnung über separierte Systeme für Compliance, IKS und Risikomanagement. Die Folge dieser Insellösungen waren parallele, inhaltlich und methodisch nicht abgestimmte Prozesse zur Erhebung und Bewertung von bestimmten Risikoarten sowie von Maßnahmen und Kontrollen (beispielsweise Risiken der Management-Berichterstattung und bestandsgefährdende Risiken nach §91 Abs. 2 AktG). Auch bestanden separierte Berichte an Management und Aufsichtsrat mit teilweise inhaltlichen Überschneidungen. Die technische Unterstützung erfolgte über Office-Lösungen, so dass insbesondere auf Konzernebene zahlreiche manuelle Schritte zur Datenkonsolidierung notwendig waren. Die Verantwortlichkeiten für Compliance, IKS und Risikomanagement lagen organisatorisch getrennt in den Bereichen Recht, Interne Revision und Controlling.  

Dieser Status Quo wurde vom Konzernvorstand in Anbetracht des Kostendrucks und der Unzulänglichkeiten im Reporting als verbesserungswürdig eingestuft. Dies führte zur Entwicklung und Umsetzung eines Konzepts für eine stärkere Verzahnung.

Umsetzung der Integration

Zunächst wurden die bislang separierten Erhebungs-, Bewertungs- und Berichtsprozesse in einem Regelprozess zusammengeführt und um einen Prozess zum Nachweis der Wirksamkeit der wesentlichen Maßnahmen/Kontrollen ergänzt. Risiken aus dem Geschäftsbetrieb, zur Finanzberichterstattung und zu Compliance-Fragestellungen werden nunmehr über einen einheitlichen Regelprozess von den operativen Einheiten und Funktionen abgefragt. Zur besseren Vergleichbarkeit kommt eine harmonisierte Bewertungsmethodik zum Einsatz, die sowohl eine monetäre als auch eine qualitative Einschätzung der Risiken in Bezug auf verschiedene qualitative Schadenkategorien (beispielsweise Reputationswirkung) ermöglicht.

Zur technischen Unterstützung des Regelprozesses wurde ein einheitliches GRC-Tool eingeführt. Es erlaubt eine dezentrale Erfassung aller relevanten Daten und eine zentrale Auswertung und Berichterstattung, weitgehend auf Knopfdruck.

Die Verantwortlichkeiten auf Konzernebene für Compliance, IKS und Risiko-management wurden in einer Funktion gebündelt. Damit wurden Reibungsverluste reduziert, einheitliche Ansprechpartner für alle Fragestellungen rund um die genannten Teilsysteme geschaffen und das entsprechende Know-how zentral an einer Stelle im Unternehmen konzentriert.

Mehrwert eines integrierten Ansatzes

Nach Überführung des Projekts in den Regelbetrieb verfügt die Alpha AG heute über eine angemessene, moderne und gleichzeitig effiziente Methodik, die operativ sehr positiv aufgenommen worden ist.

Der Mehrwert für die Alpha AG:

  • Höhere Effizienz durch Vereinheitlichung von Abläufen und stärkere Automatisierung mit Hilfe einer Standard-Softwarelösung,
  • Erhöhte Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen,
  • Stärkere Verknüpfung der Risikoinformationen mit den Controlling-Informationen (beispielsweise Forecasts) sowie
  • Erfüllung aller relevanten externen und internen Anforderungen zum Schutz von Reputation, Organen und Mitarbeitern. 



Autoren:

Uwe Herre, Partner bei PwC

Dr. Hans-Jürgen Wieben, Manager bei PwC

Patrick Wolf, Manager bei PwC

 


[Bildquelle: © empics - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...