"Jedem Topf sein Deckel" titelte das Wirtschaftsmagazin "brand eins" bereits im Jahr 2013. Eine Anspielung an die Welt der Normen und Standards. "Normen vereinfachen unser Leben und bringen die Wirtschaft voran", folgert der Beitrag, um direkt die Herausforderung zu benennen: "Doch bis sich alle Beteiligten auf sie einigen, wird hart gerungen." Das zeigt die Geschichte zu Normen und Standards bis heute. Einer permanenten Suche nach dem Vereinheitlichen menschlichen Zusammenlebens und Arbeitens. Davon nicht ausgenommen ist das Risikomanagement mit all seinen Veränderungen in unserer modernen und gleichzeitig organisierten Welt. Und so wurde im vergangenen Jahr die neue Fassung der Prüfungsstandards IDW PS 340 zur Prüfung des Risikofrüherkennungssystems verabschiedet. Aber der Reihe nach.
Dass Normen das Leben vereinfachen können – wie eingangs beschrieben – zeigten schon die Griechen der Antike. Gesellschaftliche Verhaltensnormen spielten in ihrer Kultur eine zentrale Rolle inmitten einer Welt voller Götter. Sie gaben Halt, Orientierung und sorgten für die notwendige moralische Instanz. Nicht umsonst ist das antike Griechenland prägend für die europäische Zivilisation unserer Zeit.
Standards als Voraussetzung der Zusammenarbeit
Orts- und Zeitwechsel. Auch unsere modernen Gesellschaften beruhen in vielen Bereichen auf Normen und Standards. Ohne sie würde es keine Stromversorgung geben, müssten Server und damit das Internet stillstehen. Wären D-Mark, Lira und Gulden noch fester Bestandteil unserer Portemonnaies. Kämen Züge ohne die europäische Normalspur nicht über die Landesgrenzen. Und auch in puncto Sicherheit sind Normen und Standards in einer vernetzten Welt unabdingbar – von der digitalen Signatur und Verschlüsselung bis zum Informationssicherheits- und Risikomanagement. Allerdings ist eine Standardisierung "selten ein reibungsloser Prozess", wie es der Beitrag "Die Geschichte der Standardisierung in Europa" zeigt. Solche Standardisierungen bringen nach Worten des Autors "oft regionale mit zentralstaatlichen Interessen in Konflikt". Trotz aller Vorbehalte und Interessenkonflikte hebt der Artikel die Standardisierung als Grundvoraussetzung menschlicher Zusammenarbeit hervor: "Und dennoch ist sie eine Voraussetzung für jegliche Form von kultureller oder ökonomischer Zusammenarbeit – sei es auf lokaler, regionaler, nationaler oder supranationaler Ebene. Jede Form von menschlicher Interaktion beruht zu einem gewissen Grad auf Vereinheitlichung, auf gemeinsamen Begriffen und klar umrissenen Bedeutungen, ohne die weder sinnvolle Kommunikation noch Austausch möglich sind." Damit zeigt sich: Normen und Standards können das alltägliche Miteinander im privaten wie im beruflichen Bereich erleichtern.
IDW PS 340, die Wirksamkeit und der praktikable Gesamtprozess
Mit Blick auf Letzteres gab es vor einigen Monaten mit dem IDW PS 340 eine Neufassung. Endlich, so müsste es eigentlich weiter heißen. Denn die erste Verabschiedung des IDW PS 340 datiert von 1999. So schreibt das Institut der Wirtschaftsprüfer (IDW) folgerichtig: "Die Überarbeitung des IDW PS 340 wurde erforderlich, um der seit der Einführung des § 91 Abs. 2 AktG durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 und der seit der Verabschiedung des IDW PS 340 im Jahr 1999 eingetretenen Fortentwicklung der Unternehmenspraxis im Bereich der Einrichtung und Prüfung von Corporate Governance Systemen Rechnung zu tragen."
Für Claudia Howe vom Unternehmen Alyne adressiere der Prüfungsstandard wesentliche Veränderungen und doch sei sie überrascht, dass der Fokus in der Diskussion rund um den IDW PS 340 n.F. sehr stark auf der Quantifizierung und Aggregation von Risiken lag. Damit bezieht sie sich auf den IDW-Aspekt, wonach die "Betonung der Pflichten eines Unternehmens in Bezug auf die Risikotragfähigkeit und Risikoaggregation" explizit in der Neufassung hervorgehoben wird.
"Ich denke, dass die Anforderungen nach einem ganzheitlichen Risikoinventar, voll umfänglich ist in diesem Zusammenhang ein Stichwort, den Unternehmen noch einige Hausaufgaben bereiten wird", erklärt Howe, Head of Sales für den deutschsprachigen Markt bei Alyne.
Die Managerin des Unternehmens, das nach eigenen Aussagen unter anderem Technologien in den Bereichen Cyber-Sicherheit sowie Risikomanagement entwickelt, ergänzt: "Darüber hinaus sollte man sich mit dem Aspekt der Maßnahmennachverfolgung und der Bewertung der Wirksamkeit dieser Maßnahmen stärker auseinandersetzen." Ihrer Meinung nach bestehe auch der Trend über den Prüfungsstandard hinaus, sich die ganze Prozesskette nochmals genauer anzusehen. Damit meint Howe den Gesamtprozess – von der Risikoidentifizierung über eine mögliche Teilautomatisierung bis zur Quantifizierung und Simulation. Im Grunde ein wichtiger Hinweis mit Blick auf ein Gesamtrisikomanagement, das in vielen Organisationen bis dato nicht in dieser Konsequenz betrachtet und vor allem gelebt wird. Doch eben die Sichtweise über den kompletten Prozess samt der Aggregation und Darstellung erleichtern Risikoverantwortlichen und letztendlich den Aufsichtsgremien die Arbeit. Damit darf aber keine Risikobuchhaltung einhergehen, sondern eben die prozessunterstützende Funktion einer Risikomanagementlösung. Die Macher des IDW umreißen es als eine "Konkretisierung der Grundelemente eines Risikofrüherkennungssystems in Anlehnung an die zur Einrichtung und Prüfung von Risikomanagement- und Compliance-Management-Systemen".
Von der wirklichen Digitalisierung des Risikomanagements
Claudia Howe umschreibt es so: "Ich glaube, dass es praktikable Ansätze braucht, um am Ende zu vernünftigen Prüfungsergebnissen zu kommen." Mit Blick auf den neuen Standard sieht sie deshalb weiteren Diskussions- und Klärungsbedarf aller Beteiligten im Sinne des Risikomanagements und tragfähiger Ergebnisse. Alyne arbeitet aktuell unter anderem an neuen Lösungen für Risikomanager. Als Beispiel nennt sie die Überführung der kompletten Systemlandschaft eines weltweit agierenden Unternehmens aus der Automobilindustrie in eine sogenannten Graphdatenbank. Ziel war es, die Systemlandschaft zu visualisieren und gleichzeitig bessere risikobasierte Entscheidungen mithilfe von Szenarien treffen zu können. Howe: "Hierzu haben wir von Alyne Elemente aus dem Machine Learning in ‚coole‘ neue Anwendungen gegossen." Und das sei dann eine wirkliche Digitalisierung von Risikomanagementprozessen, wie es Claudia Howe resümiert.