News

Ein Praxisbericht

Verzahnung von Compliance, IKS und Risikomanagement

Uwe Herre, Hans-Jürgen Wieben, Patrick Wolf18.03.2013, 18:34

Als Reaktion auf verschiedene Bilanz- und Korruptionsskandale, neue gesetzliche Vorgaben und verschärfte Erwartungen von wichtigen Stakeholdern haben viele Unternehmen in den letzten Jahren ihre Steuerungs- und Überwachungsinstrumente weiterentwickelt. So wurden neue Systeme zum Umgang mit Risiken (Risiko-Managementsystem, RMS) und zur Sicherstellung der Einhaltung von externen und internen Anforderungen etabliert (Compliance-Managementsystem, CMS) eingeführt. Ebenso wurden Initiativen zur Optimierung des bestehenden internen Kontrollsystems (IKS) gestartet – nicht zuletzt, um den Anforderungen aus §107 Abs. 3 AktG gerecht zu werden, der mit dem Bilanzrechtsmodernisierungsgesetz (BilMoG) eingeführt worden ist.

Im Ergebnis haben diese Initiativen vielerorts zu einer Verbesserung des Reifegrads der Steuerungs- und Überwachungsinstrumente geführt. Zugleich haben sich aber auch neue Herausforderungen ergeben, bspw. die Steigerung der Effizienz von RMS, CMS und IKS sowie die bessere Abstimmung der verschiedenen Risikoinformationen in Berichten.

Als geeigneter Lösungsansatz erweist sich immer mehr eine stärkere Verzahnung von Governance, Risk & Compliance (GRC). Dabei geht es um eine informatorische, methodische, prozessuale, technische und organisatorische Integration der genannten Systeme, auch "iGRC®" genannt. Die praktische Ausgestaltung dieser Methodik wird im Folgenden anhand des Praxisbeispiels der Alpha AG dargestellt. Die Alpha AG ist ein führendes Unternehmen mit Sitz in Deutschland und Geschäftstätigkeit im In- und Ausland.

Ausgangssituation der Alpha AG

Die Alpha AG verfügte vor der Verzahnung über separierte Systeme für Compliance, IKS und Risikomanagement. Die Folge dieser Insellösungen waren parallele, inhaltlich und methodisch nicht abgestimmte Prozesse zur Erhebung und Bewertung von bestimmten Risikoarten sowie von Maßnahmen und Kontrollen (beispielsweise Risiken der Management-Berichterstattung und bestandsgefährdende Risiken nach §91 Abs. 2 AktG). Auch bestanden separierte Berichte an Management und Aufsichtsrat mit teilweise inhaltlichen Überschneidungen. Die technische Unterstützung erfolgte über Office-Lösungen, so dass insbesondere auf Konzernebene zahlreiche manuelle Schritte zur Datenkonsolidierung notwendig waren. Die Verantwortlichkeiten für Compliance, IKS und Risikomanagement lagen organisatorisch getrennt in den Bereichen Recht, Interne Revision und Controlling.  

Dieser Status Quo wurde vom Konzernvorstand in Anbetracht des Kostendrucks und der Unzulänglichkeiten im Reporting als verbesserungswürdig eingestuft. Dies führte zur Entwicklung und Umsetzung eines Konzepts für eine stärkere Verzahnung.

Umsetzung der Integration

Zunächst wurden die bislang separierten Erhebungs-, Bewertungs- und Berichtsprozesse in einem Regelprozess zusammengeführt und um einen Prozess zum Nachweis der Wirksamkeit der wesentlichen Maßnahmen/Kontrollen ergänzt. Risiken aus dem Geschäftsbetrieb, zur Finanzberichterstattung und zu Compliance-Fragestellungen werden nunmehr über einen einheitlichen Regelprozess von den operativen Einheiten und Funktionen abgefragt. Zur besseren Vergleichbarkeit kommt eine harmonisierte Bewertungsmethodik zum Einsatz, die sowohl eine monetäre als auch eine qualitative Einschätzung der Risiken in Bezug auf verschiedene qualitative Schadenkategorien (beispielsweise Reputationswirkung) ermöglicht.

Zur technischen Unterstützung des Regelprozesses wurde ein einheitliches GRC-Tool eingeführt. Es erlaubt eine dezentrale Erfassung aller relevanten Daten und eine zentrale Auswertung und Berichterstattung, weitgehend auf Knopfdruck.

Die Verantwortlichkeiten auf Konzernebene für Compliance, IKS und Risiko-management wurden in einer Funktion gebündelt. Damit wurden Reibungsverluste reduziert, einheitliche Ansprechpartner für alle Fragestellungen rund um die genannten Teilsysteme geschaffen und das entsprechende Know-how zentral an einer Stelle im Unternehmen konzentriert.

Mehrwert eines integrierten Ansatzes

Nach Überführung des Projekts in den Regelbetrieb verfügt die Alpha AG heute über eine angemessene, moderne und gleichzeitig effiziente Methodik, die operativ sehr positiv aufgenommen worden ist.

Der Mehrwert für die Alpha AG:

  • Höhere Effizienz durch Vereinheitlichung von Abläufen und stärkere Automatisierung mit Hilfe einer Standard-Softwarelösung,
  • Erhöhte Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen,
  • Stärkere Verknüpfung der Risikoinformationen mit den Controlling-Informationen (beispielsweise Forecasts) sowie
  • Erfüllung aller relevanten externen und internen Anforderungen zum Schutz von Reputation, Organen und Mitarbeitern. 



Autoren:

Uwe Herre, Partner bei PwC

Dr. Hans-Jürgen Wieben, Manager bei PwC

Patrick Wolf, Manager bei PwC

 


[Bildquelle: © empics - Fotolia.com]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Wechselkursrisiko

"Friedhofsruhe" an den Devisenmärkten?

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.10.04.2019, 12:11

In letzter Zeit habe ich mich häufiger gefragt, ob der Devisenmarkt noch richtig tickt. In der Vergangenheit waren die Wechselkurse stets eine Art Seismograf für die Stimmung und die Erwartungen der...

News

Ausstellung über Emil J. Gumbel

Statistiker der Extreme

Redaktion RiskNET02.04.2019, 07:54

Geboren in München 1891 in ein wohlhabendes liberal-jüdisches Elternhaus, verlebte Gumbel eine für das aufgeschlossene Münchner Lehel typische Kindheit. Nach seiner Schulzeit in St. Anna und am...

Interview

Kybernetik des Menschen lesen

Profiling und die sichtbaren Verhaltensweisen

Redaktion RiskNET27.03.2019, 11:22

Sabrina Rizzo ist ausgewiesene Expertin für "Business und Private Profiling". Das heißt, sie kann Menschen lesen. Eine verkrampfte Hand, ein kleines Zucken im Gesicht oder das Hochziehen...

Interview

Interview Munich Re

Cybercrime, Cyberwar bis Cyber-Terrorismus

Redaktion RiskNET25.02.2019, 13:11

Cyber-Attacken nehmen zu, werden raffinierter und kosten Unternehmen inzwischen Milliarden. Die Bandbreite an Risiken ist groß und erstreckt sich von Cybercrime über Cyberwar bis zum...

Kolumne

Risikoanalyse

Italiens Banken und Target-2

Markus Krall [goetzpartners]15.02.2019, 17:40

Das systemische Risiko heißt so, weil seine Auswirkungen die Stabilität des gesamten Finanz- und Wirtschaftssystems betreffen können. In der Vergangenheit war es in aller Regel so, dass systemische...