„Viel hilft viel“ ist ein bekanntes Motto und wird gerne in allen möglichen und unmöglichen Lebenslagen des privaten und beruflichen Umfelds angewandt. Sei es bei übermäßigem Sport, zu viel digitalem Konsum oder im Falle immenser Überstunden im Job sowie der Überregulierung im Organisationsablauf. Hier wie dort wäre weniger mehr und an der einen oder anderen Stelle zielführender. Ein Blick auf die Standardisierungswelt im Risikomanagement- und Prozessumfeld zeigt, dass vieles helfen kann. Gleichzeitig erscheint nicht alles zielführend.
PS 981 und COSO ERM
Das Institut der Wirtschaftsprüfer (IDW) verabschiedete Anfang März 2017 eine Reihe von Prüfungsstandards, darunter den IDW PS 981 zur Prüfung von Risikomanagementsystemen. Der neue Standard wurde durch den IDW-Arbeitskreis „Prüfungsfragen und betriebswirtschaftliche Fragen zu Governance, Risk und Compliance (GRC)“ auf den Weg gebracht und folgt dem Prüfungsstandard PS 980 für Compliance-Management-Systeme.
Gleiches zählt für die aktuelle Version “COSO Enterprise Risk Management – Integrating with Strategy and Performance”. Das 2004 veröffentlichte Framework „ERM – Enterprise Risk Management – Integrated Framework“ wurde im September 2017 aktualisiert veröffentlicht. Inhaltlich geht das Framework zum unternehmensweiten Risikomanagement auf aktuelle Themen ein – wie die zunehmende Komplexität und Globalisierung. Mit der Aktualisierung streben die COSO-Macher eine nachhaltige Organisationsführung, -überwachung und -steuerung an. Die einzelnen Initiativen zu PS 981 und dem COSO-Ansatz sind an sich zu begrüßen, fokussieren sie sich doch stärker auf die sich ändernden Gegebenheiten in einer Welt im Umbruch. Darüber hinaus muss die Frage gestellt werden, wem der scheinbar inflationäre Erlass von Standards hilft – angefangen bei ISO über das IDW bis zu COSO.
Glaubensfrage, Inseln, Redundanzen
Spätestens mit der Verabschiedung der Vorschriften zum Bilanzmodernisierungsgesetz (BilMoG) sowie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hat sich die Haftungslage für Unternehmen und deren Führungspersonal merklich verschärft.
Der Gesetzbegeber fordert neben der ordnungsgemäßen Unternehmensführung auch das Verankern von Früherkennungssystemen zum Risikomanagement. Hierzu gehört vor allem die Überwachung der eingesetzten Systeme auf ihre Wirksamkeit sowie die Risikomanagementsteuerung über die gesamte Organisation. Im Umkehrschluss heißt das: Auf die Leitungsgremien eines Unternehmens kommen jede Menge Aufgaben und Pflichten zu, deren Missachtung zu empfindlichen Strafen führen können. Umso wichtiger sind klare Handlungslinien und Konzepte zum gesamten Chancen- und Risikomanagementprozess. In diesem Kontext können transparente Risikomanagementstandards eine wesentliche Stütze sein, um regulatorische Vorschriften umzusetzen und den Prozessweg zu erleichtern. Im Grunde eine Hilfestellung für Geschäftsführer, den Aufsichtsrat und Risikomanager.
Jede Medaille hat auch eine Kehrseite. Und das ist in diesem Fall die Vielzahl an Standards, die in den letzten Jahren aus dem Boden gestampft wurden. Für jedes erdenkliche Organisationsprozessthema existieren Standards und damit Managementsysteme – angefangen beim Risikomanagement über die Themen Compliance, Informationssicherheit, Business Continuity Management bis zum Notfall- und Qualitätsmanagement. Dass diese ausufernden Standardisierungs- und Regulierungsversuche nicht nur Vorteile mit sich bringen, liegt auf der Hand. Ein Knackpunkt: Begriffe werden in den verschiedenen Standards unterschiedlich definiert sowie wahrgenommen, was nicht selten zu mehr Fragen als Antworten führt. Das Ganze mündet vielfach in einer Art Glaubensfrage – beispielsweise in puncto ISO versus COSO.
Für Unternehmenslenker, die im Vorfeld einen Überblick zu Risikomanagementstandards erhalten möchten, sind „Grabenkämpfe“ um Standard A versus Standard B nicht zielführend, sondern verwirrend.
Ein weiterer kritischer Punkt liegt darin, dass zu viele Managementsysteme zu reinen Insellösungen führen, die nicht miteinander verbunden sind (auf Neudeutsch als “Integrierte Managementsysteme” beschrieben). Das Resultat sind Redundanzen und eine ausufernde Prozess- und Schnittstellenfülle in Organisationen. Und diese unterschiedlichen Standardisierungsansätze, Prozessabläufe und das jeweils dazugehörige „Eigenleben“ der Managementsysteme führen in vielen Fällen zu mehr Überforderung als Transparenz in Unternehmen. Geschweige denn, dass für das Betreiben und die Pflege der jeweiligen Lösung Menschen, sprich Mitarbeiter, notwendig sind. Die Folge ist mehr Unsicherheit in den Führungsetagen und ein unklarer Weg im gesamten Steuerungs- und Überwachungsprozess zu den Themen Risikomanagement, Compliance und Governance.
Fehlende Kultur, kein gelebtes Risikomanagement
In der Unternehmenspraxis vieler Organisationen zeigt sich, dass es trotz bestehender Risikomanagementstandards zu Turbulenzen kommt. Die zunehmende Digitalisierung, geopolitische Risiken sowie eine globale Vernetzung sind keine neuen Herausforderungen und Risikofaktoren. Und doch sind sie die Gründe, weshalb Unternehmen regelmäßig in Schieflage geraten oder scheitern. Experten sehen die Ursachen vor allem in nicht existierenden oder schlechten Prozessen und mangelnden Risikomanagementstrukturen. Der steigende Druck aus den Regulierungsvorschriften tut in Unternehmen ihr übriges und verlangt von Organisationen einen wachsenden Einsatz von Ressourcen, Zeit und Geld.
Dieser Kraftaufwand zur Umsetzung von Standards und Prozessen drängt einen wichtigen Faktor aus dem Sichtfeld der Entscheiderebene. Die Rede ist von einer gelebten Unternehmenskultur, die Grundvoraussetzung für jeden Prozessschritt in einer Organisation ist. Ohne den Mitarbeiter ist diese nicht zu bekommen. Damit platzen die besten Standardisierungs- und Prozessabsichten und das Risikomanagement verkommt nicht selten zu einer rückwärtsgewandten Sicht in Form des reinen Abarbeitens von Excelpunkten. Gelebt sieht anders aus und zukunftsgewandt ist in diesen Fällen wenig bis nichts. Das heißt im Umkehrschluss, dass der Mitarbeiter im Mittelpunkt des Unternehmens stehen muss. Ihn zu schulen und zu sensibilisieren ist eine der größten Herausforderungen, vor denen Organisationen stehen. Zum Wissens- und Awareness-Transfer kommt ein weiterer wichtiger Faktor: Und der heißt, das notwendige Know-how im eigenen Haus zu haben. Ohne einen erfahrenen Risikomanager im Unternehmen oder der externen Unterstützung durch professionelle Risikomanagementberater wird ein organisationsübergreifendes Risikomanagement schwer umsetzbar sein. Dementsprechend muss die Geschäftsleitung hinter dem Thema stehen (Stichwort: Top-down), Risikomanagement als Gesamtprozess initiieren, überwachen und steuern sowie für den notwenigen Wissensaufbau und -ausbau intern sorgen. Im besten Falle mit einem eigenen Risikomanager, externer Unterstützung und Standards als Leitplanken. Damit zeigt sich: Viel hilft nicht immer viel im Standardisierungsumfeld.
Jan Offerhaus ist Mitglied des Vorstands der Risk Management Association e.V. (RMA) und Ansprechpartner für den Arbeitskreis “Risikomanagement-Standards”.
Der Arbeitskreis befasst sich mit Normen und Standards im Bereich des Risiko- und Chancenmanagements. Das Ziel des Arbeitskreises ist die Analyse und Beurteilung bestehender und neuer Normen und Standards (beispielsweise COSO ERM, AS/NZS, ONR 49000ff, ISO 31000ff) im Hinblick auf deren theoretische Fundierung und praktische Anwendbarkeit. Der Erfahrungsaustausch bei der Anwendung und Umsetzung der Regelwerke runden die Tätigkeiten des Arbeitskreises ab.
___________________________________________________________________________________________________________________
Veranstaltungshinweis
Risk Management Congress am 16. und 17. Oktober 2017 in Nürnberg“
Mit ihrem Risk Management Congress veranstaltet die RMA jährlich eine der wichtigsten und renommiertesten Fachkonferenzen zu den Themenfeldern Governance, Risikomanagement und Compliance im deutschsprachigen Raum. 16 Fachvorträge warten in diesem Jahr auf die Teilnehmer der Konferenz in Nürnberg (16. und 17. Oktober 2017). Darunter sind zwei Vorträge zum Themenspektrum der Risikomanagement-Standards. Zum einen ein Vortrag des Leiters des amerikanischen PWC-Teams, das die neue Version von COSO ERM erarbeitet hat. Zum anderen ein Vortrag zu den Neuerungen bei den Prüfungsstandards PS 981 und PS 340.
Weitere Informationen unter: www.rma-ev.org/veranstaltungen/rma-konferenzen/rmc2017