Ein Beitrag von Dr. Karin Exner
Dr Karin Exner
Contrast Management-Consulting GmbH
Web: http://www.contrast.at
Integration von Corporate Governance, Risikomanagement und Compliance (GRC)…
Der Blog von Ulrich Palmer zur Geschichte des Risikomanagements endete mit einem Ausblick in die Zukunft:
„Mittlerweile geht der Fokus immer mehr von einem reinen Risikomanagementsystem hin zu einer Integration der Anforderungen aus Corporate Governance, Risikomanagement und Compliancesystem. Der gemeinsame Nenner sind hier die Risiken:
• Prozessrisiken aus dem IKS
• Compliancerisiken aus dem Complianceprozess
• Unternehmensrisiken aus dem ERM
Dies bedeutet für die Zukunft eine Weiterentwicklung des Risikomanagements hin zu umfassenden Corporate Governance, Risk und Compliance-Ansatz.“
Diese Entwicklungsrichtung gilt mittlerweile als gesetzt. Wirtschaftsprüfer, Berater, Softwarehäuser und auch Forscher sehen in der intelligenten Verknüpfung von Risikomanagement, Compliance und Governance-Systemen wesentliche Vorteile, da die Verzahnung Synergien schafft und die Qualität steigert. Getrennte Kontroll- und Managementsystemen liefern auch unabgestimmte und häufig sogar widersprüchliche Informationen an die Unternehmensführung. Verantwortet beispielsweise – wie in vielen Unternehmen – der Compliance Officer das Compliance Management und der Risk Manager das Risk Management, so berichtet jeder separat an den Vorstand über seine jeweiligen Aktivitäten. Werden Governance, Risiko- und Compliance-Management als eine Einheit betrachtet, so können die Aktivitäten und Informationen stärker aufeinander abgestimmt und Redundanzen vermieden werden. Dies erhöht einerseits die Effizienz und steigert andererseits die Transparenz und damit die Sicherheit der Steuerungs- und Kontrollmechanismen im Unternehmen.
Ziel der Integration ist es also, die potenziellen Synergieeffekte zwischen Governance, Risiko- und Compliance-Management aufzudecken und diese zu nutzen. Dem liegt die Überlegung zugrunde, dass die Themen ohnehin zusammenhängen bzw. voneinander abhängen: Gutes Risikomanagement braucht eine verantwortungsvolle Unternehmensführung (Governance), und verantwortungsbewusste Unternehmensführung bedeutet auch, jederzeit alle gesetzlichen und sonstigen Vorgaben einzuhalten (Compliance).
Ergebnis der Integration sind idealerweise Effizienzsteigerungen und Kosteneinsparungen durch Integration bzw. Reduktion von Prozessen und Systemen, da organisatorische, prozessuale, methodische und technologische Überschneidungen vermieden werden und im Idealfall gemeinsame Prozesse und Softwarelösungen eingesetzt werden können.
… oder doch nicht?
Aber ist dieses Zusammenwachsen der Disziplinen wirklich die einzige mögliche Entwicklungsrichtung? Wie Risikomanager in aller Welt wissen, ist die Zukunft keineswegs immer so klar antizipierbar, und das gilt selbstverständlich auch für die Zukunft des Risikomanagements. Denn so bestechend die Argumentation der Proponenten der GRC-Integration auch klingt, bei genauerer Betrachtung gibt es doch gut begründete Einwände:
Risikomanagement beschäftigt sich idealerweise nicht nur mit Risiken, sondern auch mit Chancen: Im Fokus stehen interne und externe Business-Risiken, die das Unternehmen wesentlich in seiner Performance beeinflussen. In Governance- und Compliance Systemen werden Chancen typischerweise nicht betrachtet, der Fokus liegt auf der detaillierten Erfassung und Vermeidung von unternehmensin-ternen, steuerbaren Risiken, bspw. aufgrund von illegalem, unethischem Verhalten oder aufgrund von Fehlern bei Routine-Prozessen.
Risikomanagement hat nicht das Ziel der Risikovermeidung, sondern soll Risikotransparenz schaffen, um bewusster mit (mehr) Risiken umgehen zu können. Governance- und Compliance-Systeme zielen letztlich auf Reduktion bzw. gänzliche Vermeidung von Bedrohungen ab.
Risiko- und Chancenmanagement beschäftigt sich mit potenziellen Abweichungen von Erwartungen (=Planungen). Daher ist eine Integration mit den Controllingsystemen (= Planungs- und Steuerungssystemen) mindestens ebenso wichtig wie eine Integration mit Governance- und Compliancesystemen.
Die Synergien zwischen den Systemen sind nicht so groß wie es auf den ersten Blick scheint. Große Synergien bestehen vor allem bei der Risikoverwaltung (Dokumentation von Einzelrisiken, Zu-ordnung von Verantwortlichkeiten und regelmäßige Aktualisierung der Risikolandschaft), weniger bei der Risikobewertung, –aggregation sowie Steuerung von Gesamtrisikopositionen. Risikoaggregation ist die Voraussetzung zur Ermittlung der Risikogesamtposition und damit zur Steuerung nicht nur von Einzelrisiken, sondern von Risikopositionen von Geschäften und Unternehmen. Erst durch die Risikoaggregation kann ermittelt werden, ob das Gesamtrisiko mit Risikoappetit und Risikotragfähigkeit des Unternehmens zusammenpasst.
Die Zukunft ist offen
Die Entwicklung des Risikomanagements ist also nicht so klar, wie es auf den ersten Blick scheint. Klar ist, dass in vielen Unternehmen eine Integration der GRC Systeme zur Effizienzsteigerung sinnvoll sein wird. Andere Unternehmen werden – um bewusst die Gesamtrisikoposition ermitteln und steuern zu können – eine zu starke Integration mit Governance und Compliance nicht anstreben, sondern im Risiko- (und Chancen-)Management bewusst andere Methoden und Systeme anwenden.