Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Transkript

1 Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein

2 Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen Anforderungen (Gesetze & Richtlinien); Maßnahmen, die ein systemisches Fehlverhalten verhindern sollen unterstützt bei der Risikosteuerung Risikomanagement ist ein Prozess, der von der Unternehmensführung, dem Management oder anderen Mitarbeitern gesteuert und ausgeübt wird zielt darauf ab, potentielle Ereignisse (Risiken und Chancen!) zu erkennen, die das Unternehmen maßgeblich beeinflussen Risiken erheben, bewerten und überwachen, um die Erreichung der Unternehmensziele zu gewährleisten. 2

3 Aktuelle Studie zeigt, dass Bedeutung weiter zunimmt 58 Teilnehmer 4 Kategorien mit... Non-FS und FS... insgesamt 28 Merkmale(n) CEOs, CFOs, Compliance Officer, Revision, Rechnungswesen-Leiter Abfrage von Ist-Zustand (Reifegrad) und Verbesserungspotenzial 3

4 Kategorie Organisationsstruktur (Merkmale) 70 % der Befragten kommunizieren ihre Prinzipien zu Corporate Governance ( Tone at the top ) extern über Geschäftsberichte, Intranet oder Vorträge 51 % sehen vor allem in der internen Prüfung ihres Risikomanagements mittleres oder hohes Verbesserungspotenzial Wertbeitrag der Aktivitäten wird als wichtig eingestuft und daher nicht durch Bewertungen gemessen oder hinterfragt Abweichungen in FS vor allem in der besseren Einschätzung bei der Integration, Rolle Compliance Officer 4

5 Kategorie Mitarbeiter (Merkmale) 70% haben eine Führungsebene, die Wertgrundsätze rund um Risikomanagement & Compliance vermittelt ( Leitbild ) Bei 63% der Befragten werden Sanktionen unstrukturiert vorgenommen oder im Anlassfall bestimmt ( Sanktionen ) Die Hälfte der Teilnehmer/innen sieht Optimierungspotenzial und laufenden Weiterentwicklungsbedarf im Risikobewusstsein angesichts steigender Anforderungen Abweichungen in FS: kein Unternehmen ohne Code of Conduct, höherer Handlungsbedarf: Richtlinien managen 5

6 Kategorie Prozesse (Merkmale) 57% haben Kontrollaktivitäten für operative und strategische Risiken eingeführt ( Umfang & Ausrichtung des internen Kontrollsystems - IKS ) Über zwei Drittel sehen Handlungsbedarf bei der Analyse von Vereinbarungen mit Dritten 54% haben keine optimale Anzahl an Schlüsselkontrollen; 62% sehen keine standardisierte Vorgehensweise zur Bewältigung von Risiko- und Kontrolländerungen Abweichungen in FS: besser bei IKS Umfang, höherer Verbesserungsbedarf bei Wirksamkeitsprüfung in Banken 6

7 Kategorie Technologie (Merkmale) Guter Entwicklungsfortschritt beim Umgang mit der Funktionstrennung in Systemen oder in Prozessen ( Aufgaben- und Funktionstrennung ) Nur 27% der Befragten haben ein schriftliches Dateneigner- Konzept, das auf Wirksamkeit überprüft wird. Hier wird hoher Handlungsbedarf gesehen ( Dateneigner ) 76% haben keine unternehmensweite Strategie für Erhebung von Automatisierungspotenzial in ihren Kontrollen Abweichungen in FS vor allem in der besseren Einschätzung bei Superusern, Dateneigner-Konzept Compliance und IKS in Österreich Oktober

8 Risikomanagement als kontinuierlicher Prozess Risiko = Gefahr einer Fehlentscheidung oder die Möglichkeit einer negativen künftigen Entwicklung bzw. das nicht Nutzen einer positiven Chance Die Risikostrategie formuliert Ziele & Ausrichtung, definiert damit die Eckpunkte des eigentlichen Risikomanagementprozesses Definiere Risikostrategie 1. Erfassen 2. Bewerten 3. Steuern > > Erfasse Risiken Risikomanagementprozess Bewerte Risiken Steuere Risiken Kontrolle und Überwachung < < 8

9 1. Erfassung: Risiken & Compliance Anforderungen Introduction of new technology Lack of innovation New competitors Price competition Reliance on suppliers Selection of suppliers Reliability of the suppliers Duration of service contracts Raw material prices Technology Competing companies Risk related effects from environment Possible influence of the company Procurement market Strategy and goals COMPANY Business Employees and organiprocesses sation Capital market/ Finance Legal and political environment Selling market Customers Long-term raising of capital Risk of refinancing Currency risk Loss of receivables Equity holding risks Price pressure Customer satisfaction Customer structure Credit risks Consumer protection EU-Legislation (e.g. EU sponsorships) Legal disputes Contract law Environmental compliance 9

10 2. Bewertung: Unternehmensweite Risikomatrix Schadenhöhe katastrophal wesentlich xx Mio. überwachen kritisch beobachten xx Mio. mittel xx Mio. Schadenerwartungswert a) xx Mio. b) xx Mio. gering xx Mio. 0% 25% 50% 75% < 100% Eintrittswahrscheinlichkeit (innerhalb 3 Jahren) unwahrscheinlich möglich voraussichtlich wahrscheinlich sicher 10

11 3. Risikosteuerung durch Compliance & Kontrollen Vermeide das Risiko unterlassen Reduziere das Risiko interne Maßnahmen, Prozessverbesserung, Internes Kontrollsystem (IKS) Teile das Risiko überwälzen auf andere, z.b. Versicherungen, Vertragspartner Akzeptiere das Risiko bewusstes Tragen des Risikos Ergebnis Maßnahmen durch Risikoverantwortliche ( Risk Owner ) evaluiert und getroffen Risiko innerhalb der definierten Toleranzgrenzen gesteuert 11

12 Teilnehmerstimmen 12

13 Danke für die Aufmerksamkeit! a.o.univ.prof. Dr. Alexander Redlein IFM der TU Wien Dr. Barbara Redlein Consulting & Risk Services, PwC Wien