Unter dem Titel “Risikomanagement, Compliance und Interne Kontrollsysteme – vom Papiertiger zum integrierten Managementsystem?” haben Funk RMCE und Roever Broenner Susat Mazars eine Umfrage durchgeführt. Die Ergebnisse der 118 vollständig beantworteten Fragebögen sind in einem Management-Summary wie folgt zusammengefasst:
-
- Gesetzeskonformität wird von den meisten Unternehmen als primärer Nutzen von Risikomanagement gesehen. Die Generierung betriebswirtschaftlicher Vorteile wird als nachrangig bewertet.
- Interne Kontrollsysteme (IKS) und Environment, Health and Safety-Systeme (EHS) sind eher implementiert als klassische Risikomanagement-Systeme. Damit fehlt den Unternehmen ein übergeordnetes System oder eine “zusammenhaltende Klammer” zur Risikofrüherkennung. Das Business Continuity Management gewinnt zunehmend an Bedeutung. Die Umfrageergebnisse deuten darauf hin, dass insbesondere vergangene Krisensituationen Unternehmen veranlasst haben, sich mit Risikomanagement zu beschäftigen.
- Die Mehrheit der befragten Unternehmen tauscht sich über die gewonnen Erkenntnisse aus Risikomanagement, Compliance und IKS unternehmensintern aus. Ein nicht unerheblicher Teil der befragten Unternehmen nimmt keinen regelmäßigen, sondern nur einen anlassbezogenen Austausch vor. Die Unternehmen nehmen sich so die Möglichkeit, Risiken frühzeitig zu steuern, bevor ein bestandsgefährdendes Ausmaß erreicht wird.
- Eine Berichterstattung bzw. Verbindung der Erkenntnisse aus den jeweiligen Teilsystemen an die Geschäftsleitung findet in den überwiegenden Fällen statt, eine integrierte Berichterstattung in Abstimmung der einzelnen Systeme erfolgt jedoch nur in Ausnahmefällen.
- Die Mehrheit der Unternehmen nimmt keine quantitative Bewertung der Erkenntnisse vor und stellt die gewonnen Informationen damit nicht in den Kontext der Unternehmensplanung. Der wertorientierte Nutzen der Erkenntnisse wird verschenkt.
- Die Mehrheit der befragten Unternehmen hat erkannt, dass der primäre Nutzen einer Weiterentwicklung der einzelnen Systeme zu einem integrierten System zu erhöhter Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen führt. Die Befragung zeigt aber auch, dass in Bezug auf die Verknüpfung der Informationen aus dem Risikomanagement mit dem Controlling noch Verbesserungspotenzial besteht.
- Die Minderheit der Unternehmen nutzt ein IT-Tool/System für Risikomanagement, Compliance und IKS. Erfahrungsgemäß steigert eine Software die Effizienz und spart damit administrative Kosten ein. Zudem wird Revisionssicherheit gewährleistet.
- Der Einsatz von externen Beratern hat zugenommen. Gerade angesichts der Komplexität der aktuellen Gesetzeslage und der Ansprüche Dritter (Stake-/Shareholder, Lieferanten, Auftraggeber, etc.) verlangen Unternehmen Hilfestellung im “Anforderungsdschungel”.
- Weniger als die Hälfte der Unternehmen verfügt aktuell über kein Beschwerde- oder Hinweisgebersystem und hält ein solches auch in naher Zukunft voraussichtlich für nicht relevant. Dadurch werden Chancen zur proaktiven Schadenvermeidung nicht genutzt.
- ISO-Standards bieten einen geprüften Orientierungsrahmen, der eine Objektivierung und Vergleichbarkeit von Systemen ermöglicht. Bereits erprobte Standards wie Risikomanagement ISO 31000 nutzen nur wenige Unternehmen. Als Folge wird eine Vergleichbarkeit erschwert, Kostensparpotenziale bleiben ungenutzt.
Die ausführliche Studie steht hier zum Download für Sie bereit.