Risikomanagement, Compliance und Interne Kontrollsysteme Vom Papiertiger zum integrierten Managementsystem?

Transkript

1 Risikomanagement, Compliance und Interne Kontrollsysteme Vom Papiertiger zum integrierten Managementsystem? Studie zum Stand der Entwicklung von Risikomanagement, Compliance und IKS in Unternehmen

2 Mehrwert Unternehmensführung Industrie ISO-Standards Managementsystem Entwicklung Nutzen IT-Tools Transparenz Risiko

3 Inhaltsverzeichnis Vorwort der Herausgeber... 4 Zusammenfassung der Ergebnisse / Management Summary... 5 A Konzeption, Methodik und Datenbasis der Studie... 7 B Ergebnisse der Studie...13 I. Allgemeine Fragen zu Risikomanagement, Compliance und IKS Gründe für die Einführung von Risikomanagement Implementierungsgrad von Risikomanagement, Compliance und IKS Umsetzungsverantwortung von Risikomanagement, Compliance und IKS II. Detailfragen zu Risikomanagement, Compliance und IKS Wie werden die Ergebnisse aus Risikomanagement, Compliance und IKS untereinander ausgetauscht? Informationsfl uss der einzelnen Bereiche in Richtung Unternehmensführung Nutzung der Ergebnisse aus Risikomanagement, Compliance und IKS für die Unternehmenssteuerung Nutzen der Weiterentwicklung von Risikomanagement, Compliance und IKS zu einem integrierten System Einsatz von IT-Tools/Systemen für Risikomanagement, Compliance und IKS Einsatz externer Berater im Kontext der implementierten Kontrollfunktionen Existenz von Beschwerde- und/oder Hinweisgebersystem (sog. Whistleblowing ) Anwendung von Normen, z. B. ISO-Standards Raum für eigene Erfahrungen, Anmerkungen, Gedanken, Empfehlungen und Meinungen...37 C Best-Practice -Lösung eines integrierten Risikomanagement-, Compliance- und IKS-System...39 Glossar...46 Elf Fragen zu Risikomanagement, Compliance und IKS...48 Entwicklung von Risikomanagement, Compliance und IKS ( )...49 Danksagung...51 Abkürzungsverzeichnis...52 Abbildungsverzeichnis...54 Literatur...55 Ansprechpartner...57 Herausgeber-Hinweise...58 Unternehmensporträts...59 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 3

4 Vorwort der Herausgeber Sowohl der Gesetzgeber als auch Unternehmen haben die Bedeutung der Einführung von Risikofrüherkennungsund Management-Kontrollsystemen als Steuerungsinstrumente zur Handhabung geschäftsmodellimmanenter Herausforderungen und Risiken erkannt. Neben den klassischen Kontrolleinheiten Rechtsabteilung, interne Revision und Controlling spielen moderne Steuerungssysteme wie das Risikomanagement, das Interne Kontroll System (IKS) und das Compliance Management System (CMS) eine zunehmend wichtige Rolle. Für Finanzdienstleister (u. a. Banken und Versicherungen) bestehen mittlerweile gesetzliche Pflichten zur Schaffung der vorgenannten Systeme als sog. Schlüsselfunktionen der Unternehmen. Vor diesem Hintergrund haben Funk RMCE und Roever Broenner Susat Mazars eine Umfrage zum Thema Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? durchgeführt. Die Befragung fand in der Zeit von Dezember 2015 bis Februar 2016 statt. Mit der Umfrage wollten wir herausfi nden, wie sich die Systeme in der jüngsten Vergangenheit entwickelt und bereits erfolgreich als integriertes Führungssystem Nutzen generiert haben. Die Ergebnisse zeigen, dass die einzelnen Systeme immer noch Insellösungen darstellen. Eine Verknüpfung der Risikoinformationen zur Synergiegewinnung fi ndet nur vereinzelt statt. Einen vorrangigen Nutzen von integrierten Systemen sehen die befragten Unternehmen vor allem in der höheren Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen. Zusammenfassend besteht noch großer Handlungsbedarf im Kontext einer fortschreitenden Integration der Systeme. Hierdurch würde sich für die Unternehmen ein klarer wirtschaftlicher Vorteil durch Kostenoptimierung realisieren. Der Aufwand für die Umsetzung wäre überschaubar. Wir danken an dieser Stelle den Unternehmen, die sich an unserer Befragung beteiligt haben. Durch die große Resonanz ist es uns möglich, fundierte Aussagen zum aktuellen Stand von integrierten Managementsystemen zu treffen. Wir wünschen Ihnen eine spannende Lektüre! Peter Christian Felst Mazars Ulrike Meyer Funk 4 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

5 Zusammenfassung der Ergebnisse/Management Summary 1Gesetzeskonformität wird von den meisten Unternehmen als primärer Nutzen von Risikomanagement gesehen. Die Generierung betriebswirtschaftlicher Vorteile wird als nachrangig bewertet. 2Interne Kontrollsysteme (IKS) und Environment, Health and Safety-Systeme (EHS) sind eher implementiert als klassische Risikomanagement-Systeme. Damit fehlt den Unternehmen ein übergeordnetes System oder eine zusammenhaltende Klammer zur Risikofrüherkennung. Das Business Continuity Management gewinnt zunehmend an Bedeutung. Die Umfrageergebnisse deuten darauf hin, dass insbesondere vergangene Krisensituationen Unternehmen veranlasst haben, sich mit Risikomanagement zu beschäftigen. 3In der Mehrheit der Unternehmen ist das Risikomanagement im Rahmen der Umsetzungsverantwortung nicht in der Unternehmensführung angesiedelt. Hieraus können sich Haftungsrisiken für das Management ergeben. 4Die Mehrheit der befragten Unternehmen tauscht sich über die gewonnenen Erkenntnisse aus Risikomanagement, Compliance und IKS unternehmensintern aus. Ein nicht unerheblicher Teil der befragten Unternehmen nimmt keinen regelmäßigen, sondern nur einen anlassbezogenen Austausch vor. Die Unternehmen nehmen sich so die Möglichkeit, Risiken frühzeitig zu steuern, bevor ein bestandsgefährdendes Ausmaß erreicht wird. 5Eine Berichterstattung bzw. Verbindung der Erkenntnisse aus den jeweiligen Teilsystemen an die Geschäftsleitung fi ndet in den überwiegenden Fällen statt, eine integrierte Berichterstattung in Abstimmung der einzelnen Systeme erfolgt jedoch nur in Ausnahmefällen. 7Die Mehrheit der befragten Unternehmen hat erkannt, dass der primäre Nutzen einer Weiterentwicklung der einzelnen Systeme zu einem integrierten System zu erhöhter Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen führt. Die Befragung zeigt aber auch, dass in Bezug der Verknüpfung der Informationen aus dem Risikomanagement mit dem Controlling noch Verbesserungspotenzial besteht. 8Die Minderheit der Unternehmen nutzt ein IT-Tool/ System für Risikomanagement, Compliance und IKS. Erfahrungsgemäß steigert eine Software die Effi zienz und spart damit administrative Kosten ein. Zudem wird Revisionssicherheit gewährleistet. 9Der Einsatz von externen Beratern hat zugenommen. Gerade angesichts der Komplexität der aktuellen Gesetzeslage und der Ansprüche Dritter (Stake-/Shareholder, Lieferanten, Auftraggeber etc.) verlangen Unternehmen Hilfestellung im Anforderungsdschungel. Weniger als die Hälfte der Unternehmen 10 verfügt aktuell über kein Beschwerde- oder Hinweisgebersystem und hält ein solches auch in naher Zukunft voraussichtlich für nicht relevant. Dadurch werden Chancen zur proaktiven Schadenvermeidung nicht genutzt. ISO-Standards bieten einen geprüften Orien- der eine Objektivierung und 11tierungsrahmen, Vergleichbarkeit von Systemen ermöglicht. Bereits erprobte Standards wie Risikomanagement ISO nutzen nur wenige Unternehmen. Als Folge wird eine Vergleichbarkeit erschwert, Kosteneinsparpotenziale bleiben ungenutzt. 6Die Mehrheit der Unternehmen nimmt keine quantitative Bewertung der Erkenntnisse vor und stellt die gewonnenen Informationen damit nicht in den Kontext der Unternehmensplanung. Der wertorientierte Nutzen der Erkenntnisse wird verschenkt. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 5

6 6 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

7 A KONZEPTION, METHODIK UND DATENBASIS DER STUDIE Auslöser für die von Funk RMCE und Roever Broenner Susat Mazars gemeinsam im Dezember 2015 initiierte Umfrage sind Erkenntnisse aus der Beratungspraxis, die darlegen, dass Risikomanagement, Compliance und IKS in vielen Unternehmen als einzelne Systeme existieren, eine Integration und somit Synergiegewinnung aber nur in wenigen Unternehmen erfolgt. Ziel dieser Umfrage war es herauszufi nden, wie der Stand der Weiterentwicklung dieser einzelnen Systeme in der jüngsten Vergangenheit in der Praxis stattfi ndet oder bereits stattgefunden hat und in welchem Umfang dieses als integriertes Führungssystem mehrwertstiftenden Nutzen generieren kann. Die der Studie zugrunde liegende Umfrage erfolgte anonym und fand zwischen Dezember 2015 und Februar 2016 statt. Grundlage der Ergebnisse bildeten ausgewählte Fragen zum Stand der Entwicklung von Risikomanagement, Compliance und IKS. Insgesamt wurden branchenübergreifend und deutschlandweit 118 Fragebögen vollständig beantwortet. Unternehmen aus mehr als 14 Branchen haben sich an der Umfrage beteiligt (nachstehend in alphabetischer Reihenfolge die Branchen mit den meisten teilnehmenden Unternehmen): Automobilbranche, auch Autoteileherstellung Lebensmittelindustrie Baugewerbe Kunststoffi ndustrie Chemie Papier, Verlag, Druck Dienstleistung Pharmaindustrie Elektroindustrie Textil- und Bekleidungsbranche Energie- und Wasserversorgung Transportwesen Immobilien Sonstige Medizintechnik Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 7

8 In welcher Branche ist Ihr Unternehmen tätig? Automobilbranche, auch Autoteileherstellung Baugewerbe Chemie 4,7 % 7,0 % 9,3 % Dienstleistung 15,1 % Elektroindustrie Energie- und Wasserversorgung Immobilien 4,7 % 7,0 % 7,0 % Medizintechnik Lebensmittelindustrie Kunststoffindustrie Papier, Verlag, Druck Pharma Textil- und Bekleidungsbranche Transportwesen 0,0 % 3,5 % 5,8 % 0,0 % 1,2 % 0,0 % 2,3 % Sonstige (bitte nennen) 32,3 % Abbildung 1: An der Umfrage teilnehmende Branchen Im Bereich Sonstige stammen die Unternehmen überwiegend aus den Branchen Metallverarbeitung, Maschinenbau und Elektronik. 8 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

9 Wie hoch sind die derzeitigen jährlichen Umsätze Ihres Unternehmens? 13 % > 1 Mrd. Euro 2 % Bis unter 10 Mio. Euro 6 % 500 Mio. bis unter 1 Mrd. Euro 27 % 10 bis unter 50 Mio. Euro 31 % 100 bis unter 500 Mio. Euro 21 % 50 bis unter 100 Mio. Euro Abbildung 2: Jährliche Umsätze der Teilnehmer der Umfrage 50 % der Unternehmen, die sich an der Umfrage beteiligt haben, erwirtschaften jährlich Umsatzerlöse von mehr als 100 Mio. EUR. In welcher Rechtsform wird Ihr Unternehmen betrieben? 9 % Sonstige 16 % AG 4 % OHG/KG 31 % GmbH & Co. KG 40 % GmbH Abbildung 3: Rechtsformen der Teilnehmer der Umfrage 56 % der befragten Unternehmen sind Kapitalgesellschaften. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 9

10 Ist Ihr Unternehmen inhabergeführt? 49 % Nein 51 % Ja Abbildung 4: Anteil der inhabergeführten Unternehmen 51 % der befragten Unternehmen sind inhabergeführt. 10 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

11 In welcher Position sind Sie tätig? Vorstand/Geschäftsführung 27,1 % Kaufmännische Leitung 21,2 % Bereich Risikomanagement 10,6 % Bereich Compliance Management 1,2 % Bereich Projektmanagement 2,4 % Bereich Interne Revision 1,2 % Controlling 15,3 % Sonstige Bereichs-, Abteilungsleitung (Finanzen, Recht, Personal) 12,9 % Sachbearbeitung 1,2 % Sonstige 7,1 % Abbildung 5: Position der befragten Mitarbeiter Mehr als 60 % der befragten Personen sind in leitender Position im Unternehmen tätig (Vorstand/Geschäftsführung, kaufm. Leitung oder sonstige Bereichs- oder Abteilungsleitung Finanzen, Recht, Personal). Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 11

12 12 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

13 B ERGEBNISSE DER STUDIE Kapitel B ist entsprechend der Reihenfolge der zugrunde liegenden Fragen gemäß Fragebogen aufgebaut (I. Allgemeine Fragen 1 3 und II. Detailfragen ). Dabei stellt jede Ziffer eine Frage dar. In den Unterkapiteln (Fragen 1 3 im allgemeinen Teil und Fragen 1 8 im detaillierten Teil) werden die Umfrageergebnisse beschrieben und die wichtigsten Aussagen hervorgehoben. Im Abschnitt Hintergrund, der jeweils auf die visuelle Darstellung der Ergebnisse folgt, werden ausgewählte Thesen zu den einzelnen Ergebnissen aus verschiedenen Richtungen beleuchtet und diskutiert sowie ggf. untermauert oder verworfen. I. Allgemeine Fragen zu Risikomanagement, Compliance und IKS 1. Gründe für die Einführung von Risikomanagement Die Gründe für Unternehmen, sich mit Risikomanagement zu beschäftigen, sind vielfältig. Die Zahl der Unternehmen, die ihr Risikomanagement über die gesetzlichen und aufsichtsrechtlichen Mindestanforderungen hinaus weiterentwickelt haben, ist auch im Vergleich zu unserer in 2011/2012 durchgeführten Umfrage 2 stetig angestiegen. Fast 44 % (2011: 20 %) der befragten Unternehmen führen an, dass ihr Risikomanagement integraler Bestandteil des wertorientierten Managements ist; 34 % (2011: 9 %) haben aus einer Krisensituation heraus begonnen, sich mit Risikomanagement zu beschäftigen. Der Großteil der Unternehmen jedoch gibt an, dass bestehende Gesetze, Verordnungen und andere rechtliche Rahmenbedingungen sowie Anforderungen der Wirtschaftsprüfer, des Aufsichtsrates, der Banken, Kunden oder Lieferanten dazu geführt haben, sich mit Risikomanagement zu beschäftigen. Die Initialzündung zur Beschäftigung mit oder Einführung von Risikomanagement kommt weiterhin primär von außen. 1 Vgl. S Vgl. Rödl, Weissman, Studie Risikomanagement im Mittelstand, Funk RMCE, S. 16 ff. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 13

14 Welche Gründe haben Sie veranlasst, sich mit Risikomanagement zu beschäftigen? (Mehrfachauswahl möglich) Bestehende Gesetze, Verordnungen und andere rechtliche Rahmenbedingungen 69,8 % Wertorientiertes Management 43,8 % Anforderung des Wirtschaftsprüfers 35,4 % Anforderung des Aufsichtsrates 24,0 % Anforderung der Bank 11,5 % Anforderungen von Lieferanten, Auftraggebern und/oder Kooperationspartnern (Stakeholdern) 19,8 % Erfahrungen aus Krisensituationen 34,4 % Wir haben kein Risikomanagement 10,4 % Sonstiges (bitte angeben) 12,5 % Abbildung 6: Gründe für die Beschäftigung mit Risikomanagement Hintergrund Dem Aufbau oder Ausbau eines Risikomanagement-Systems sollte ein nachhaltig erkennbarer kaufmännischer Nutzen gegenüberstehen. Die Ergebnisse der aktuellen Umfrage im Vergleich zu 2011 zeigen, dass die befragten Unternehmen die gestiegenen Anforderungen an die Corporate Governance 3 und von Seiten der Share- und Stakeholder in Bezug auf Gesetzeskonformität zwar erkannt haben, den betriebswirtschaftlichen Nutzen im Sinne eines wertorientierten Managements aber noch immer vernachlässigen. Wie aber kann durch das Eingehen von Risiken, aus denen sich auch Chancen realisieren können, ein betriebswirtschaftlicher Nutzen entstehen? Die Risiken eines Unternehmens sind umso höher, je stärker die prognostizierten zukünftigen Ergebnisse schwanken. Die Aufgabe des Risikomanagements ist es u. a., die Schwankungsbreite dieser Ergebnisse zu reduzieren. Hieraus können sich im Einzelnen folgende Vorteile für das Unternehmen ergeben: Verbesserte Plan- und Steuerbarkeit eines Unternehmens Eine prognostizierbare Entwicklung der Zahlungsströme reduziert die Wahrscheinlichkeit, unerwartet auf teure externe Finanzierungsquellen zurückgreifen zu müssen 3 Vgl. URÄG 2008, RLÄG 2004, COSO II ERM, 82 AktG, 22 GmbHG, 243, 243a und 267 UGB, KonTraG, Corporate Governance Kodex, IFRS 7, BilMoG u. a. 14 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

15 Die Verminderung der risikobedingten Schwankungsbreite der zukünftigen Zahlungsströme wirkt sich positiv auf den Unternehmenswert aus Eine stabile Gewinnentwicklung reduziert die Wahrscheinlichkeit eines Konkurses Verschiedene weitere Vorteile 4 Zusätzlichen Nutzen generiert Risikomanagement, wenn die vorhandenen Informationen über die Risiken des Unternehmens auch zur Optimierung der Risikobewältigung genutzt werden. Diese beschränkt sich in vielen Unternehmen noch immer auf den Abschluss von Versicherungen. Die Risikokosten bleiben oft intransparent 5. Hier kann eine Gesamtrisikokostenanalyse helfen, die das Risiko- und Versicherungsmanagement ganzheitlich betrachtet und aus dem Risikomanagement die Vorgaben für eine unternehmensweite Risikobewältigungs- und Transferstrategie ableitet 6. Ökonomisch gesehen ist eine Versicherung dann sinnvoll, wenn die Transferprämien geringer ausfallen als die zur Risikoeigentragung zu kalkulierenden Kapitalkosten 7. Versicherungslösungen als Maßnahme zur Risikobewältigung haben immer einen reaktiven bzw. retrospektiven Charakter: Sie greifen dann, wenn das Kind bereits in den Brunnen gefallen ist. Dass die Bedeutung eines vorausschauenden Risikomanagements in vielen Unternehmen noch nicht präsent ist, zeigen auch die Ergebnisse der vorliegenden Befragung: Knapp 35 % der Unternehmen gaben an, aus Krisen gelernt zu haben und Risikomanagement zu nutzen, um präventiv Schäden abzuwenden 8. Zusammengefasst kommen die Impulse für das Risikomanagement immer noch überwiegend von außen. Positiv zu vermerken ist, dass lediglich 10 % der befragten Unternehmen sich überhaupt nicht mit Risikomanagement beschäftigt haben, wobei diese Zahl im Vergleich zu 2011 (7 %) leicht angestiegen ist. Es bleibt zu hoffen, dass sich hier kein Trend abzeichnet, dass Risiken in der Zukunft weniger betrachtet werden. Weitere individuelle Nennungen zur Frage nach der Beschäftigung mit Risikomanagement: Interne Revision Reines Interesse, Eigeninteresse Absicherung der Mitarbeiter Transparenzbedürfnis Steuerungsinstrument und Priorisierung Management von Unternehmensrisiken ist integraler Bestandteil wirtschaftlichen Handelns Notwendige Impulse für eine sinnvolle Steuerung des Unternehmens Risikomanagement ist Teil unseres QHSE-Managements 9 Gewerbeaufsicht Allgemeine Notwendigkeit 4 Vgl. Lienhard, H., Stroeder, D., Gleißner, W.: Risikomanagement im Mittelstand, RMCE/RKW, 2004, S Vgl. Gleißner., W., Romeike, F.: Risikomanagement: Umsetzung Werkzeuge Risikobewertung, Haufe, 2005, S Löffler, H., Zeitschrift für Risk, Fraud and Compliance, Optimierung der Risikokosten, 2006, S Vgl. Romeike, F. u. a., Wert- und Effizienzsteigerung durch ein Risiko- und Versicherungsmanagement, 2007, S. 2., Management Summary 8 Vgl. Gleißner, W., Romeike, F.: Risikomanagement: Umsetzung Werkzeuge Risikobewertung, S. 5 9 Quality, Health, Safety and Environment Management und EHS werden synonym verwendet. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 15

16 2. Implementierungsgrad von Risikomanagement, Compliance und IKS 62 % der befragten Unternehmen haben bereits ein EHS-System implementiert, knapp 15 % befassen sich derzeit mit der Einführung. Rund 62 % der befragten Unternehmen verfügen bereits über ein vollständig implementiertes IKS. Knapp 54 % der befragten Unternehmen geben an, dass sie bereits ein Risikomanagement-System implementiert haben, während 21 % derzeit dabei sind, ein System einzuführen. Weniger als jedes dritte Unternehmen (ca. 30 %) verfügt über ein Compliance Management System, bei gut 25 % der Unternehmen befindet es sich in der Einführung. Rund 17 % der befragten Unternehmen haben bereits ein Business Continuity Management (BCM) implementiert. Der Umgang mit Unternehmensrisiken kann mithilfe verschiedener Management systeme gestaltet werden. Welche der folgenden Systeme haben Sie in welchem Umfang in Ihrem Unternehmen implementiert? (Mehrfachauswahl möglich) Vollständig eingeführt Derzeit in Einführung Einführung geplant Nicht eingeführt k. A. Risikomanagementsystem Compliance Management System Internes Kontrollsystem Interne Revision EHS (Umweltmanagement, Arbeitssicherheit, Safety) Business Continuity Management Abbildung 7: Implementierung von Managementsystemen Alle Angaben in Prozent Hintergrund Die Ergebnisse der Befragung zeigen, dass der Implementierungsgrad der einzelnen Systeme relativ hoch ist. Besonders hervorzuheben ist der hohe Prozentsatz bei der Einführung von IKS und EHS-Systemen. Erklären lässt sich dies ggf. mit konkreten monetären Sanktionen (z. B. Bußgeld nach OWiG) bei einem Verstoß gegen EHS-Vorschriften. Ähnlich verhält es sich bei IKS: Nach 93 Abs. 2 AktG und 43 Abs. 2 GmbHG können die Organe (Vorstände und Geschäftsführer) der Unternehmen für einen eingetretenen Schaden persönlich haften, wenn sie ihre Sorgfaltspflicht in Bezug auf eine angemessene Ausgestaltung des IKS verletzt haben. 16 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

17 In der jüngsten Vergangenheit wurden aber auch vermehrt Urteile publik, nach denen sich Unternehmensvertreter nicht nur wegen einer Pflichtverletzung bei der Einrichtung eines funktionierenden IKS verantworten mussten, sondern auch für die Nicht-Einführung eines Risikomanagement-Systems bzw. eines Compliance Management Systems haftbar gemacht wurden 10. Grundsätzlich sollte das Risikomanagement der Radar sein, der Gefahren frühzeitig erkennt und gegensteuern hilft, aber auch Chancen aufzeigt. Das Compliance Management hingegen sorgt dafür, dass die Beteiligten ihre Pflichten erfüllen 11. Insoweit ist es auch aus zuvor genannten Gründen verwunderlich, dass immer noch 15 % der befragten Unternehmen über kein Risikomanagement-System verfügen (zzgl. jeweils 5 %, die eine Einführung planen oder keine Angaben hierzu gemacht haben). Business Continuity Management befasst sich mit der Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse, deren Unterbrechung dem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden, zu schützen bzw. alternative Abläufe zu ermöglichen 12. Ziel ist die Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit in Bezug auf Risiken mit hohem Schadensausmaß. Rund 45 % der Unternehmen haben ein BCM eingeführt oder sind dabei, ein entsprechendes System zu implementieren. Diese Werte unserer aktuellen Umfrage decken sich mit dem Ergebnis unserer im Jahre 2012 durchgeführten Kurzumfrage 13, nach der immerhin 45 % der befragten Unternehmen Supply-Chain-Risiken als wichtiges Thema für ihr Unternehmen ansahen. Im Rückschluss zu Frage 1, nach der ca. 34 % der Unternehmen Erfahrungen aus der Krise als Grund für die Auseinandersetzung mit Risikomanagement angaben, wäre zu hinterfragen, ob gerade diese Unternehmen in der Folge auch ein BCM-System eingeführt haben. Im Ergebnis bleibt festzuhalten, dass der Implementierungsgrad der einzelnen Systeme zwar relativ hoch ist, den Unternehmen aber die zusammenhaltende Klammer zur Risikofrüherkennung fehlt. Was nützt ein IKS, wenn das Unternehmen in der Krise nicht handlungsfähig ist? Weitere individuelle Nennungen zur Frage nach den Managementsystemen: Corporate Security (Security & Information Security) Nun ja, was ist letztendlich eingeführt. Grundsätzlich formal vorhanden Energiemanagementsystem ISO 9001, SCC**, ISO 5001 Innovationsmanagement 10 Vgl. z. B. die Siemens/Neubürger-Entscheidung des OLG München 11 RA Prof. Dr. Josef Scherer, 12 Hiles, The definitive Handbook of Business Continuity Management, 1. Aufl., Barnes Supply-Chain-Risikomanagement Funk RMCE, Studie zum Umsetzungsstand in deutschen mittelständischen Unternehmen, 2012, S. 7 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 17

18 3. Umsetzungsverantwortung von Risikomanagement, Compliance und IKS Bei der Mehrheit der befragten Unternehmen ist die Umsetzungsverantwortung für Risiko-, Complianceund Business Continuity Management nicht in der Geschäftsführung angesiedelt. IKS, Interne Revision sowie EHS-Systeme sind im Kontext der Umsetzungsverantwortung überwiegend in einer Stabs- oder Fachabteilung verankert. In welcher Abteilung und in welcher Form ist die Umsetzungsverantwortung für die bestehenden Systeme in Ihrem Unternehmen angesiedelt? (Mehrfachauswahl möglich) Geschäftsführung Zentrale Stabsabteilung Fachabteilung Dezentral k. A. Risiko- Managementsystem Compliance Management System Internes Kontrollsystem Interne Revision EHS (Umweltmanagement, Arbeitssicherheit, Safety) Business Continuity Management Abbildung 8: Ansiedlung der Umsetzungsverantwortung bestehender Systeme Alle Angaben in Prozent Hintergrund Ca. 40 % der befragten Unternehmen (2011: 36 %) gaben an, dass die Umsetzungsverantwortung für das Risikomanagement bei der Geschäftsführung liege. Angesichts der Tatsache, dass die Geschäftsführung die Gesamtverantwortung für die Einrichtung und Einhaltung sowie für die tatsächliche Wirksamkeit des Risikomanagements trägt, ist dieser Wert u. E. zu niedrig. Denn: Vernachlässigt die Geschäftsführung diese Pflicht, setzt sie sich immensen Verlustrisiken und/oder im schlimmsten Falle persönlichen Haftungsrisiken aus 14. Dabei gibt es keinen Ermessensspielraum bei der Einrichtung eines funktionierenden Risiko- bzw. Compliance Management Systems, sondern lediglich in Bezug auf die Ausgestaltung und die Angemessenheit der Maßnahmen. Das System muss dem anerkannten Stand von Wissenschaft und Praxis entsprechen. Die Beweislast liegt bei der Geschäftsführung oder dem Vorstand, die sich von vornherein um Informationen kümmern und die Einrichtung im Fall einer Delegation entsprechend überwachen müssen. Bei Verletzung der Pflichten genügt bereits einfache Fahrlässigkeit, um zivilrechtlich als Geschäftsführer bzw. Vorstand persönlich auf Schadenersatz zu haften. 14 Siehe hierzu auch Ausführungen zu Frage 2, S Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

19 Was der jeweils anerkannte Stand von Wissenschaft und Praxis ist, wurde bisher nur rudimentär durch Gesetze und Rechtsprechung festgelegt. Sind die ISO 31000:2009 (Risikomanagement), die ISO 19600:2014 (Compliance Management) oder COSO I:2014 (Internal Control), die IDW PS 980:2011 (Grundsätze ordnungsgemäßer Prüfung von Compliance Management Systemen) oder COSO II:2014 (ERM) als sogenannte antizipierte Sachverständigengutachten relevant? 15 Gem. BGH und BVerwG können diese eine Vermutungswirkung entfalten, um den anerkannten Stand von Wissenschaft und Praxis widerzuspiegeln. In der Praxis allerdings bleiben die Standards in Teilbereichen häufig gegenüber diesem anerkannten Meinungsbild in Wissenschaft und Praxis zurück 16. Die Unterstützung der Geschäftsführung ist zudem ein zentraler Erfolgsfaktor. Wirksames Risikomanagement erfordert eine Einbeziehung aller Mitarbeiter und eine Verankerung in den Geschäftsprozessen des Unternehmens. Dabei werden operativen Aufgaben auf zentrale und operative Geschäftseinheiten auf allen Unternehmensebenen aufgeteilt 17. Die Freigabe von Ressourcen und der Bezug zu den strategischen Zielen des Unternehmens dagegen können nur durch das Top-Management effektiv gesteuert werden. Ca. 36 % der befragten Unternehmen sehen die Umsetzungsverantwortung für Compliance ebenfalls in der Geschäftsführung. Auch dieser Wert ist u. E. bei Weitem zu niedrig, da die Einrichtung eines Compliance-Systems Chefsache ist: Ein etwaiges mangelhaftes Compliance-System und die unzureichende Überwachung des Systems stellen eine klare Pflichtverletzung des Vorstandes bzw. Geschäftsführers dar 18. Weitere individuelle Nennungen zur Frage nach der Umsetzungsverantwortung und der Art der bestehenden Systeme: Corporate Security Energiemanagementsystem Einkauf Innovationsmanagement 15 Siehe hierzu auch Ausführungen zu Frage 10, S , Anwendung von Normen, z. B. ISO-Standards 16 S Vgl. Rödl, Weissman, Studie: Risikomanagement im Mittelstand, 2011/2012, Funk RMCE, S. 19/20 18 Vgl. S. 1 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 19

20 II. Detailfragen zu Risikomanagement, Compliance und IKS 1. Wie werden die Ergebnisse aus Risikomanagement, Compliance und IKS untereinander ausgetauscht? Rund 51 % tauschen sich regelmäßig und darüber hinaus anlassbezogen unternehmensintern zu Erkenntnissen aus Risikomanagement, Compliance und IKS aus. Knapp 18 % der Unternehmen, bei denen Risikomanagement, Compliance und IKS in einer Abteilung organisiert sind, tauschen sich laufend untereinander aus. In etwa jedem vierten Unternehmen werden die Erkenntnisse aus den einzelnen Bereichen nur anlassbezogen ausgetauscht. In 5 % der befragten Unternehmen findet kein routinemäßiger Austausch statt. Wie fließen Erkenntnisse aus Risikomanagement, Compliance Management und Internem Kontrollsystem in die jeweils anderen Bereiche ein? 5 % Es findet kein routinemäßiger Austausch statt 4 % Keine Angabe 18 % Durch die Organisation von Risikomanagement, Compliance Management und Internem Kontrollsystem in einer Abteilung ist ein ständiger Austausch gewährleistet 22 % Erkenntnisse werden nur anlassbezogen ausgetauscht Abbildung 9: Verwendung der Erkenntnisse einzelner Systeme in anderen Bereichen 51 % Erkenntnisse werden regelmäßig und wenn nötig anlassbezogen ausgetauscht Hintergrund Risiken offenbaren ihr eigentliches Schadenpotenzial in der Regel erst dann, wenn sie in der Wechselwirkung mit anderen Risiken betrachtet werden. Der Austausch der einzelnen Unternehmensbereiche ist daher notwendig, um eine solide Entscheidungsgrundlage bei der Risikobewertung und Maßnahmenentwicklung zu gewährleisten. Unternehmen, die den Austausch nicht fördern, schüren damit Intransparenz und werden ggf. vom Schadensausmaß überrascht. Denkbar wäre auch, dass im Falle von mangelnder Transparenz entsprechende Risikomaßnahmen nicht korrekt oder nur unzureichend aufgebaut werden und nicht richtig greifen. 20 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

21 Lediglich 18 % der Unternehmen haben dies erkannt und einen regelmäßigen Austausch umgesetzt. Erstaunlich ist, dass im Rückschluss zu Frage 4 (Welchen Nutzen sehen Sie für Ihr Unternehmen in einer Weiterentwicklung der einzelnen Systeme zu einem integrierten System?) gerade die erhöhte Transparenz, die effiziente Risikoüberwachung und die Wirksamkeit der Gegenmaßnahmen und Kontrollen als vorrangiger Nutzen angesehen wurden, dies in der Realität aber nicht gelebt wird. Es ist also fraglich, warum wider besseren Wissens die eigentliche Funktion von Managementsystemen nicht genutzt wird. In vielen Unternehmen bestehen historisch gewachsene Strukturen. Dies ist möglicherweise der Grund für die häufig anzufindenden Insellösungen. Die Praxis zeigt aber, dass sich eine Integration ohne großen Mehraufwand bewerkstelligen lässt. Sofern ein Unternehmen bereits einzelne Managementsysteme eingeführt hat und für diese bereits feste Abläufe implementiert sind, ist der zusätzliche Aufwand zum Kommunikationssystem gering und sollte unbedingt vorangetrieben werden, z. B. durch externe Unterstützung. Risikomanagement-Systeme können in einer solchen Situation als Dach -System fungieren und als zusammenhaltende Klammer wirken. Regelmäßige interdisziplinäre Workshops und eine einheitliche Berichterstattung fördern einen schnellen Übergang und stellen eine ideale Brücke dar. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 21

22 2. Informationsfluss der einzelnen Bereiche in Richtung Unternehmensführung In 36 % der befragten Unternehmen erhält die Geschäftsleitung regelmäßig mündliche Berichte zu den Erkenntnissen aus Risikomanagement, Compliance und IKS. Knapp 33 % der befragten Unternehmen fassen die Erkenntnisse jeweils in einzelnen schriftlichen Berichten zusammen. Jedes vierte Unternehmen bündelt die Informationen aller Bereiche in einem schriftlichen Bericht. In 21 % der befragten Unternehmen erhält die Geschäftsleitung anlassbezogen Berichte in mündlicher oder schriftlicher Form. Wie gestaltet sich die Berichterstattung an die Geschäftsleitung? (Mehrfachauswahl möglich) Schriftlicher Bericht über alle Bereiche 25,9 % Schriftlicher Bericht über Risiko- und Compliance Management 8,2 % Schriftlicher Bericht über Risikomanagement und Internes Kontrollsystem 11,8 % Schriftlicher Bericht über Compliance Management und Internes Kontrollsystem 2,4 % Schriftliche zusammengefasste Einzelberichte über Risikomanagement, Compliance Management u. a. Regelmäßiger mündlicher Bericht 32,9 % 36,5 % Anlassbezogener schriftlicher oder mündlicher Bericht 21,2 % Keine Berichterstattung 2,4 % Keine Angabe 3,5 % Abbildung 10: Berichterstattung an die Geschäftsleitung Hintergrund In der Mehrheit der Unternehmen erhält die Geschäftsleitung Informationen zu den Erkenntnissen aus den einzelnen Bereichen. Eine integrierte, also bereichsübergreifend zusammenfassende Berichterstattung findet jedoch nur bei ca. 26 % der Unternehmen statt. Im schlimmsten Fall bedeutet dies, dass der Vorstand bzw. die Geschäftsführung bei dem/der alle Informationen aus den entsprechenden Bereichen zusammenfließen (Silo-Wirkung), zu spät informiert wird und nicht mehr agieren kann, sondern reagieren muss. 22 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

23 Für die Funktionsfähigkeit und Transparenz innerhalb des Risikomanagement-Systems ist es wichtig, dass ein geeignetes Berichtswesen entwickelt, implementiert und bis zum Vorstand bzw. der Geschäftsführung weitergeleitet wird. Berichte sollten Auskunft über wesentliche Risiken sowie deren Veränderungen und Frühwarnindikatoren geben. Zusätzlich sollte aus den Berichten erkennbar sein, wer der Ansprechpartner für ein Risiko bzw. für einen Prozess ist und ob es bereits Maßnahmen oder denkbare Alternativen gibt. Die Berichtsstruktur sowie ihre Inhalte sollten dabei einheitlich festgelegt werden, denn nur so kann sichergestellt werden, dass alle wesentlichen Informationen abgefragt und übersichtliche Ergebnisse generiert werden. Unternehmen sollten sich beim Aufbau des Berichtswesens schon im Vorfeld Gedanken über die Darstellungsform machen, um geeignete Softwareprodukte auswählen zu können. Es gibt bereits sehr praxisfähige Lösungen, die aus dem System heraus automatische Berichte generieren können. Diese sind allerdings in der Regel nicht so individuell wie der Aufbau in Word oder Excel. Es empfiehlt sich daher, genau abzuwägen, wann der Einsatz einer Software und wann der Einsatz von Office-Produkten sinnvoll ist. In der Praxis verwenden Unternehmen meist aus Gründen der Kostenersparnis Standard-Office-Produkte, wie z. B. Word und Excel. Grundsätzlich können hiermit Berichtssysteme aufgebaut werden. Man sollte sich jedoch darüber im Klaren sein, dass eine Berichtskultur mit diesen Produkten langfristig zu höheren Kosten führen kann als mit einem Standard-Softwareprodukt. Der personelle Aufwand der Datenpflege ist erheblich und auch die Fehleranfälligkeit bei der Datenübertragung birgt Probleme. 19 Vgl. Gleißner., W., Romeike, F.: Risikomanagement: Umsetzung Werkzeuge Risikobewertung, Haufe, 2005, S Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 23

24 3. Nutzung der Ergebnisse aus Risikomanagement, Compliance und IKS für die Unternehmenssteuerung 67 % der befragten Unternehmen nehmen eine qualitative Bewertung der Erkenntnisse vor und lassen die Ergebnisse in die Unternehmensplanung einfließen. 40 % der Unternehmen berücksichtigen die Erkenntnisse quantitativ. Bei 28 % der Unternehmen werden die Ergebnisse kaum berücksichtigt oder fließen nur qualitativ in die Fachabteilung ein. In welcher Form werden die Erkenntnisse in den Kontext der Unternehmenssteuerung gestellt? (Mehrfachantworten möglich) Die Erkenntnisse fließen quantitativ in die Unternehmensplanung mit ein 40,0 % Die Erkenntnisse fließen qualitativ in die Unternehmensentwicklung mit ein 67,1 % Die Erkenntnisse werden qualitativ nur in der Fachabteilung berücksichtigt 21,2 % Die Erkenntnisse werden kaum berücksichtigt 7,1 % Keine Angabe 4,7 % Abbildung 11: Verwendung von Ergebnissen im Kontext der Unternehmenssteuerung Hintergrund 40 % der befragten Unternehmen verarbeiten die Informationen quantitativ, stellen auf diese Weise eine Verbindung zur Unternehmensplanung her und haben damit den betriebswirtschaftlichen Nutzen des Risikomanagements erkannt. Der u. E. zu niedrige Wert lässt aber auch den Umkehrschluss zu, dass die Mehrheit der Unternehmen den wertorientierten Nutzen der Erkenntnisse verschenkt. Im Rahmen unserer Studie Risikomanagement im Mittelstand aus dem Jahre 2011 konnte ermittelt werden, dass ein Drittel aller Unternehmen seine Risiken mittels komplexer Verfahren, zum Beispiel auf Grundlage von Szenarioanalysen und Verteilungsfunktionen, bewertet. Ein Denken in Szenarien hilft der Geschäftsführung, Bandbreiten der Risikogeneigtheit zu bestimmen und die Planung zu verbessern. Der Rest der Unternehmen ordnet den Risiken Relevanzklassen zu, bewertet anhand denkbarer Höchstschäden oder Erwartungswerte und analysiert Risiken damit nur eindimensional. Die Risikobewertung stellt in der Risikomanagement-Praxis eine der größten Herausforderungen für Unternehmen dar. Ist die qualitative Benennung von Risiken noch relativ unkompliziert zu bewerkstelligen, geht es bei der quantitativen Risikobewertung darum, den möglichen Planabweichungen eine mengenmäßige Komponente zuzuordnen, die im Kontext der Unternehmenssteuerung berücksichtigt werden kann. Im Gegensatz zur qualitativen Betrachtung 24 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

25 lassen sich im Rahmen der quantitativen Risikoprojektion auf die Unternehmensplanung unterschiedliche Szenarien ableiten und somit die direkten Auswirkungen von Risiken auf die jeweiligen Plandaten aufzeigen. Für einen effizienten und zielgerichteten Risikomanagementprozess ist die Integration aller Fachbereiche unerlässlich. Auf diese Weise wird ein ganzheitlicher Blick auf das Unternehmen ermöglicht und darüber hinaus sichergestellt, dass Risiken jeder unternehmerischen Entscheidung bekannt sind und auch berücksichtigt werden. Eine qualitative Betrachtung der Risiken nur innerhalb einer einzelnen Fachabteilung kann u. E. nicht zielführend sein. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 25

26 4. Nutzen der Weiterentwicklung von Risikomanagement, Compliance und IKS zu einem integrierten System Fast 72 % der Unternehmen führen an, dass der primäre Nutzen einer Weiterentwicklung einzelner Systeme zu einem integrierten System in der gesteigerten Transparenz für das Management bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen besteht. Gut 46 % der befragten Unternehmen halten eine stärkere Verknüpfung der Risikoinformationen mit den Controlling-Informationen (z. B. Forecasts) für wichtig. Knapp 38 % der befragten Unternehmen sehen die gesteigerte Effizienz durch standardisierte Abläufe und eine stärkere Automatisierung (mithilfe einer Standard-Softwarelösung) als wichtigen Punkt. Fast 37 % geben an, dass die Erfüllung aller relevanten externen und internen Anforderungen zum Schutz von Reputation, Organen und Mitarbeitern eine signifikante Rolle für sie spielt. Welchen Nutzen sehen Sie für Ihr Unternehmen in einer Weiterentwicklung der vorher genannten einzelnen Systeme zu einem integrierten System? Höhere Effi zienz durch Vereinheitlichung von Abläufen und stärkere Automa tisierung mithilfe einer Standard-Softwarelösung 37,8 % Erhöhte Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen Stärkere Verknüpfung der Risikoinformationen mit den Controlling- Informationen (z.b. Forecasts) Kostenoptimierung durch integrative Prozesseffizienz und Strahleffekte 28,0 % 46,3 % 72,0 % Erfüllung aller relevanten externen und internen Anforderungen zum Schutz von Reputation, Organen und Mitarbeitern 36,6 % Andere 4,9 % Abbildung 12: Nutzen bei Verwendung eines integrierten Systems Hintergrund Die Mehrheit der befragten Unternehmen hat erkannt, dass die Weiterentwicklung der einzelnen Systeme zu einem integrierten System vorrangig Risikotransparenz schafft, auch in Bezug auf die Wirksamkeit der Steuerungsmaßnahmen und Kontrollen. Die Verknüpfung der Informationen aus den einzelnen Bereichen wird in der Praxis aber immer noch vernachlässigt. Insellösungen verhindern einen effizienten, methodisch einheitlichen Risikoidentifikations-, -bewertungs- und -steuerungsprozess. Die getrennte Betrachtung führt darüber hinaus dazu, dass die gewonnenen Erkenntnisse nicht im Unternehmensplanungsprozess berücksichtigt werden. Da zudem oft verschiedene IT-Systeme zur Dokumentation angewendet werden, ist häufig zusätzlich eine umfangreiche manuelle Zusammenführung und 26 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

27 Aufbereitung der Daten erforderlich. Nicht selten resultiert dies in mehreren, sich teilweise überschneidenden Berichten an die Geschäftsführung. Der Nutzen von integrierten Systemen liegt vor allem im Erzielen von Synergieeffekten. Konkret erreicht wird dies vor allem durch die Erarbeitung eines unternehmensweiten Risikoinventars unter Verwendung einer einheitlichen Methodik, die auch die Anforderungen von Normen und Gesetzen berücksichtigt. Vertreter der zentralen Unternehmensbereiche, wie z. B. Produktion, Vertrieb, Einkauf und Rechnungswesen, identifizieren idealerweise in interdisziplinären Workshops gemeinsam bestandsgefährdende Risiken, Compliance-Risiken und Prozessrisiken 20. Neben der Ressourcenersparnis durch gleichzeitige Bearbeitung aller drei Systeme und die frühzeitige Erkennung von Gefahrenpotenzialen werden so vor allem auch Schnittstellenproblematiken schnell erkannt. Die gemeinsame Diskussion und Abstimmung von Risikosteuerungsmaßnahmen und -kontrollen erfolgt in der Regel automatisch. Die anschließende empfängergerechte Aufbereitung der gewonnenen Erkenntnisse setzt ein integriertes Berichtssystem voraus, das die jeweils benötigten Informationen einheitlich zur Verfügung stellt. Der Lohn: Die Bedrohung strategischer und operativer Erfolgspotenziale kann so wesentlich schneller erkannt und effektiver gesteuert werden 21. Die Integration von Risikomanagement, Compliance und Internen Kontrollsystemen steigert die Effizienz und stiftet Mehrwert durch die bessere Verknüpfung der Risikoinformationen mit den strategischen Prioritäten des Unternehmens. Die Unterstützung durch die Geschäftsführung ist hierbei unerlässlich nur wenn das Management die Idee eines interdisziplinären Prozesses und eine Verankerung in der Unternehmenskultur unterstützt, kann die Verbindung der Systeme erfolgreich sein. Weitere individuelle Nennungen zur Frage nach dem Nutzen eines integrierten Systems: Erkennen von Risikoabhängigkeiten bzw. der Top-down- und Bottom-up-Risikobetrachtung Keinen Nutzen, die Leute sollen arbeiten und sich nicht mit sich selbst beschäftigen Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 27

28 5. Einsatz von IT-Tools/Systemen für Risikomanagement, Compliance und IKS Nur jedes dritte befragte Unternehmen nutzt ein IT-Tool/System für Risikomanagement, Compliance Management und IKS. Knapp 60 % der Unternehmen verfügen über kein softwaregesteuertes System. Nutzt Ihr Unternehmen ein IT-Tool/System für Risikomanagement, Compliance Management und/oder Internes Kontrollsystem? 8 % Keine Angabe 33 % Ja 59 % Nein Abbildung 13: Anwendung eines IT-Tools/Systems für Managementsysteme Hintergrund IT-gestützte Systeme helfen, Prozesse effi zienter zu gestalten und damit Kosten einzusparen. Schon simple Excel- Modelle (die heutzutage durch Add-Ins wie z. B. Crystal Ball sogar ein Simulationsmodell beinhalten können) bringen Struktur in das Reporting und erleichtern die Kommunikation auch in Richtung der Geschäftsleitung. Da der Risikomanagementprozess jedoch keinen einmaligen Ablauf darstellt, sondern regelmäßig neu hinterfragt werden muss, ist es schwer nachzuvollziehen, dass die Mehrheit der Unternehmen ihr Risikomanagement, Compliance Management und IKS ohne jegliche technische (Software-)Unterstützung abbildet. In der Regel können komplexe, unternehmensweite Kausalzusammenhänge zwischen Risikofaktoren einerseits und den von ihnen ausgelösten Wirkungen andererseits kaum noch von einem einzelnen Entscheidungsträger erfasst (und ggf. quantifiziert) werden. Es besteht die latente Gefahr, dass eine bestimmte Entscheidung unerwünschte Folgen oder sogar Schaden nach sich zieht 22. Betrachtet man Frage 6, nach der 40 % der befragten Unternehmen die Erkenntnisse aus den Bereichen quantitativ in die Unternehmensplanung mit einfließen lassen, aber nur 33 % die Ergebnisse mit einem IT-Tool managen, stellt sich die Frage, wie (und wo) das entsprechende Delta an Unternehmen die Informationen aus Risikomanagement, Compliance Management und IKS bündelt und diese kommuniziert. 22 Vgl. Risikomanagement Umsetzung Werkzeuge Risikobewertung, Gleißner, S Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

29 Zu den Vorteilen der Einführung einer Software, die Risikomanagement, Compliance Management und IKS integrativ abbildet, zählen u. a.: Schnellere und qualifiziertere Versorgung der Entscheidungsträger mit risikorelevanten Informationen (z. B. Ad-hoc-Mitteilungen) durch zentrale Zusammenführung der Erkenntnisse einzelner Systeme Erhöhte Transparenz bzgl. Risikosituation und Funktionsfähigkeit der Maßnahmen und Kontrollen Automatisiertes Erinnerungs- und Workfl owmanagement Detaillierte Berechnung der Auswirkungen auf die Unternehmensplanung Umfangreiche Funktionen zur empfängergerechten Berichterstellung Revisionssichere und gesetzeskonforme Dokumentation Mithilfe einer geeigneten Software können die Mitarbeiter des Unternehmens wesentliche Routineaufgaben weitgehend selbst erledigen, sodass lediglich für die Bearbeitung von Spezialthemen qualifizierte Berater herangezogen werden müssen. Aktuell gibt es eine überschaubare Anzahl an IT-gestützten Tools, die die Themen Risikomanagement, Compliance Management und IKS integrativ abbilden 23. Eine Übersicht hierüber stellen u. a. die Fachportale RiskNet (wwww.risknet.de) und 3GRC ( zur Verfügung. Im Vergleich zu unserer Studie von 2011, nach der 55 % der befragten Unternehmen über ein Software-Tool zur Steuerung ihrer Risiken verfügen, sind die Werte der nun vorliegenden Befragung niedriger. Während der Mehrwert einer IT-Unterstützung im Bereich Risikomanagement inzwischen bekannt scheint, befindet sich die Weiterentwicklung zu integrierten, ganzheitlichen Systemen noch im Anfangsstadium. Wir empfehlen Unternehmen in jedem Fall, sich Gedanken über eine Verzahnung ihrer Systeme zu machen. Unsere Erfahrung zeigt, dass die Zusammenführung von Risikomanagement, Compliance und IKS in einer Softwarelösung zu deutlichen Effizienzgewinnen und gesteigerter Informationsqualität führt. Die meisten Anbieter von Software zum Thema Risikomanagement geben an, die Bereiche Governance, Risikomanagement, Compliance und IKS zu unterstützen. Teilweise sind die entsprechenden Features voll in das jeweilige Tool integriert, in einigen Fällen werden sie aber auch als eigenständig nutzbare Komponenten angeboten. Dabei sind alle Tools in der Lage, den Risikomanagement-Prozess oder die Durchführung von Kontrollmaßnahmen in Form von Prozessmodellen zu beschreiben. Risiken sind modellierbar und können Prozessschritten zugeordnet werden. Risiken können nachverfolgt und die Risikohöhe sowie die Eintrittswahrscheinlichkeit erfasst werden. Zudem verfügen einige Tools über Aggregationsmodelle 24 und bieten die unterschiedlichsten Arten von Auswertungen an. Für den Aufbau eines IKS sind in den meisten Tools Rollen und Kontrollen definierbar, wobei die Kontrollen den jeweiligen Risiken in den Prozessen zugeordnet werden können. Tools mit einer Ausführungsumgebung unterstützen zudem die Ausführung interner Kontrollen, können die durchgeführten Kontrollen auswerten und sämtliche Informationen dazu revisionssicher archivieren. Im Bereich der Compliance können die Tools Compliance-Anforderungen und die zugehörigen Quelldokumente revisionssicher hinterlegen und untereinander mit weiteren Elementen verknüpfen. Der Compliance-Status ist darstellbar und kann in Form von Reports ausgegeben werden Vgl. Lienhard, H., Stroeder, D., Gleißner, W.: Risikomanagement im Mittelstand, RMCE/RKW, 2004, S Im Rahmen der Risikoaggregation werden die identifizierten und bewerteten Risiken in den Kontext der Unternehmensplanung gestellt und der Gesamtrisikoumfang berechnet. Dies ermöglicht eine Aussage darüber, ob die Risikotragfähigkeit eines Unternehmens ausreichend ist, um den Risikoumfang tatsächlich zu tragen und damit den Bestand langfristig zu gewährleisten. 25 Fraunhofer Studie Business Process Management Tools, 2014, Jens Drawehn, Monika Kochanowski, Falko Kötter, S diese Studie befasst sich nicht explizit mit GRC-Software und beleuchtet damit nur kursorisch den Markt. U. E. damit nur bedingt repräsentativ. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 29

30 6. Einsatz externer Berater im Kontext der implementierten Kontrollfunktionen 42 % der befragten Unternehmen ziehen in Einzelfällen externe Berater hinzu. Bei spezifischen Rechtsfragen schalten ca. 24 % der befragten Unternehmen einen externen Berater ein. 14 % der befragten Unternehmen verzichten auf Experten-Know-how. Werden Sie in Bezug auf die in Ihrem Haus implementierten Kontrollfunktionen (Internes Kontrollsystem, Risikomanagement, Compliance, Interne Revision) von externen Experten (z. B. Wirtschaftsprüfern, Rechtsanwälten, Unternehmens beratern) beraten? 14 % Wir konsultieren keine externen Berater und werden diese auch in naher Zukunft nicht benötigen 11 % Wir konsultieren externe Berater in Fragen der Struktur unserer Kontrollfunktion (Aufbau- und Ablaufstruktur) 9 % Wir ziehen einzelfallbezogen externe Berater hinzu, gehen aber davon aus, zukünftig externen Sachverstand zu benötigen 42 % Wir ziehen einzelfallbezogen externe Berater hinzu 24 % Wir konsultieren externe Berater bei spezifischen Rechtsfragen Abbildung 14: Beratung durch externe Experten Hintergrund Wissen ist einer der Hauptproduktionsfaktoren innerhalb der modernen Wirtschaft. Unternehmensberatungen tragen mit der Zirkulation ihres Wissens dazu bei 26 ein Faktor, den insgesamt 85 % der befragten Unternehmen nutzen. Dieser Wert ist u. E. außerordentlich hoch und stellt eine Steigerung im Vergleich zur letzten Studie dar (2011: 8 %). Es ist davon auszugehen, dass die aktuelle Regelungswut der Regierung dazu führen wird, dass diese Werte auch in Zukunft wenn auch nicht signifikant steigen werden. Für den Einsatz von Beratern spricht insbesondere, dass ihr Wissen punktuell und für einen begrenzten Zeitraum verfügbar ist. Zudem verhält es sich bei einem Berater wie beim Einsatz von neuen Mitarbeitern. Sie sind in der Regel nicht betriebsblind und können daher Herausforderungen und Verbesserungspotenziale klarer benennen. Ein weiterer Vorteil beim Einsatz von externen Beratern liegt darin, dass diese nicht den Kündigungsgesetzen unterliegen. Schließlich kann ihnen im Allgemeinen nicht entgegengehalten werden, sie verträten bestimmte Positionen und Überzeugungen nur, um ihre eigene Position im Unternehmen zu stärken. 26 Vgl. Treichler, Christoph, Wiemann, Eva, Morawetz, Martin: Corporate Governance und Managementberatung, Strategien und Lösungsansätze für den professionellen Beratereinsatz in der Praxis, S Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

31 In der Regel muss sich das Top-Management daher mit Expertenwissen und einer ungefilterten Meinung ob positiv oder negativ auseinandersetzen. Für 15 % der befragten Unternehmen kommt ein Einsatz externer Berater nicht infrage. Als Hauptgrund hierfür könnten die Kosten gesehen werden. Insbesondere bei langen Projekten und dauerhaften Einsätzen kann es sinnvoller sein, eigene Ressourcen aufzubauen und nur zeitweise bzw. in der Einarbeitungsphase auf einen Berater zurückzugreifen. Zudem kann die Qualität eines Beraters leider häufig erst ex post beurteilt werden. Es ist daher empfehlenswert, nach Referenzen zu fragen und um einen Austausch mit bestehenden Kunden zu bitten. Auch ein Besuch von Veranstaltungen kann ein probates Mittel sein, um die Qualität eines Beraters zu testen der bestehende Kunden- und Besucherkreis wird sicherlich Klartext sprechen. Bei aller Vorbereitung sollten Unternehmen aber auch berücksichtigen, dass der Erfolg eines Projektes auch von der Zusammenarbeit der Mitarbeiter mit dem jeweiligen Berater abhängt. Unternehmen sollten punktuell und anlassbezogen entscheiden, wann ein Berater zum Einsatz kommt. Grundsätzlich ist auch zu empfehlen, Berater nicht ständig zu wechseln. Jedes Projekt erfordert eine Einarbeitungszeit und individuelle Kenntnisse über das Unternehmen. Werden Berater zu häufig ausgetauscht, kann es zu Reibungen- und Qualitätsverlusten kommen. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 31

32 7. Existenz von Beschwerde- und/oder Hinweisgebersystem (sog. Whistleblowing ) Knapp 43 % der befragten Unternehmen verfügen nicht über ein Beschwerde- und Hinweisgebersystem und geben an, ein solches auch in naher Zukunft voraussichtlich nicht zu benötigen. Jedes vierte befragte Unternehmen hat bereits ein internes Beschwerde- und Hinweisgebersystem implementiert. 10 % der befragten Unternehmen verfügen über ein externes Beschwerde- und Hinweisgebersystem. Existiert in Ihrem Hause ein Beschwerde- und/oder Hinweisgebersystem für interne Compliancerelevante Vorfälle (z. B. Untreue, Unterschlagung o.ä.), sog.,,whistleblowing-funktion? Wir verfügen über ein internes Beschwerde- und Hinweisgebersystem 25,0 % Wir verfügen über ein externes Beschwerde- und Hinweisgebersystem 9,5 % Wir verfügen aktuell nicht über ein Beschwerde- und Hinweisgebersystem, erwägen jedoch die Einführung eines derartigen Systems Wir verfügen nicht über ein Beschwerdeund Hinweisgebersystem und werden ein solches auch in naher Zukunft voraussichtlich nicht benötigen Keine Angabe 10,7 % 11,9 % 42,9 % Abbildung 15: Beschwerde und/oder Hinweisgebersystem für Compliance-relevante Vorfälle Hintergrund Beschwerde- und Hinweisgebersysteme helfen, interne Compliance-relevante Vorfälle aufzudecken und Schaden präventiv zu vermeiden. Knapp 43 % der Unternehmen verfügen über kein Beschwerde- und Hinweisgebersystem und geben an, ein solches auch in Zukunft voraussichtlich nicht zu benötigen. Begründet wird der Verzicht auf die Einrichtung eines Beschwerde- und Hinweisgebersystems oftmals mit dem Hinweis, man wolle keine Kultur des Denunziantentums im Unternehmen etablieren. Diese Sichtweise verkennt zunächst, dass das Begehen von Straftaten und Ordnungswidrigkeiten in Unternehmen auch in Bezug auf das Betriebsklima weitaus größeren Schaden anrichtet als vereinzelte unberechtigte Vorwürfe, die an einen geschützten Posteingang gerichtet werden. Darüber hinaus wird unterschätzt, wie häufig Straftaten in Unternehmen vorkommen. Einer unlängst zu diesem Thema veröffentlichten Studie zufolge haben 26 % der deutschen Manager in den letzten Jahren unternehmensin- 32 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

33 terne Betrugsfälle erlebt 27. In der letzten Veröffentlichung des Korruptionswahrnehmungsindexes von Transparency International aus dem Jahre 2015 nimmt Deutschland zwar einen respektablen 10. Platz ein, es muss allerdings auch festgehalten werden, dass der Abstand zu den führenden Ländern Dänemark und Finnland in etwa so groß ist wie der Vorsprung auf Länder wie Katar und Uruguay 28. Ein existierendes Beschwerde- und Hinweisgebersystem leistet als Bestandteil einer Compliance-Kultur einen wertvollen Beitrag, um das Begehen von Straftaten in Unternehmen einzudämmen und proaktiv potenzielle Schäden zu vermeiden. Dies wurde bereits in den 1960er-Jahren durch den amerikanischen Kriminologen Donald R. Cressey mit seinem Fraud Triangle thematisiert 29. Auch der Gesetzgeber hat sich dieser Überzeugung mittlerweile angeschlossen und z. B. für den Bereich der Versicherungsunternehmen mit Wirkung zum 2. Juli 2016 die Schaffung eines Beschwerde- und Hinweisgebersystems verbindlich vorgeschrieben 30. Für Unternehmen, die befürchten, dass Beschwerdefälle nicht ausreichend vertraulich behandelt werden könnten, besteht die Möglichkeit, Beschwerdemanagement und Hinweisgebersysteme von externen Beratern wie z. B. Anwaltskanzleien betreuen zu lassen. Schließlich ist festzuhalten, dass die Existenz eines Beschwerdemanagement- und Hinweisgebersystems auch werblich genutzt werden kann. Das Bekenntnis, sein Geschäft transparent und im Rahmen der geltenden rechtlichen Verpfl ichtungen zu betreiben, stellt für Kunden und Geschäftspartner einen nicht zu unterschätzenden wirtschaftlichen Wert dar. Dies wird auch aus der wachsenden Bedeutung sog. KYC-Systeme ( Know your Customer ) deutlich rma-leidet-unter-betrug/ html Abs. 6 VAG Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 33

34 8. Anwendung von Normen, z. B. ISO-Standards Knapp 60 % der befragten Unternehmen wenden Qualitätsmanagementstandards wie ISO 9000 ff. an. Ca. 29 % der befragten Unternehmen haben einen EHS-Standard, z. B. ISO ff., implementiert. Fast jedes fünfte befragte Unternehmen nutzt einen Risikomanagementstandard wie ISO und ebenfalls jedes fünfte Unternehmen wendet einen eigenen Orientierungsrahmen an. Die unternehmensweite Integration von Managementsystemen wird durch Normen, wie z. B. ISO-Standards, wesentlich unterstützt. Bitte kreuzen Sie die Systeme an, bei denen Sie die folgenden Standards oder Normen anwenden (Mehrfachantworten möglich). Risikomanagement: ISO ,0 % Compliance: IDW 980 und ISO ,5 % IKS: COSO Framework 6,0 % Interne Revision: ISO ,3 % Qualitätsmanagement: ISO 9000 ff. 59,5 % EHS (Enviroment, Health & Safety) ISO ff. 28,6 % British Standard (BS) OHSAS 18001: Standard für internationalen Arbeitsund Gesundheitsschutz ISO für Energiemanagement 6,0 % 14,3 % Business Continuity Management: ISO ,6 % Wir orientieren uns gar nicht an Standards/Normen 6,0 % Wir haben einen eigenen Orientierungsrahmen 19,0 % Keine Angabe 9,5 % Andere Standards/ Normen im Kontext Managementsysteme 8,3 % Abbildung 16: Anwendung von Standards/Normen, die die Integration von Managementsystemen unterstützen 34 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

35 Hintergrund Risiken, die ein Unternehmen erkannt hat, sind Indikatoren für Verbesserungspotenziale und Managementsysteme unterstützen das Unternehmen, diese Potenziale auf strukturierte Weise zu steigern. Vor dem Hintergrund des risikobasierten Ansatzes, dem die aktuellen Revisionen der Qualitätsmanagementnorm ISO 9001:2015 und der Umweltmanagementnorm (EHS) ISO 14001:2015 zugrunde liegen, bietet es sich an, Risikomanagement und IKS-Prozesse mit den objektivierbaren Qualitätsmanagementprozessen der Normen zu hinterlegen. Die Norm ISO 9001:2015, die von 60 % der befragten Unternehmen angewendet wird, und analog dazu ISO 14001:2015, die knapp 30 % umsetzen, verbinden Flexibilität und die Beständigkeit eines Orientierungsrahmens: Ihre Anforderungen sind transparent und weltweit gültig und erlauben somit eine vergleichbare Prüfung von neutraler Seite. Gleichzeitig unterliegen Qualitätsansprüche einem ständigen Wandel, ebenso wie die Einflussfaktoren und die Markt- und Geschäftsrisiken der Unternehmen. Dieser Situation tragen die revidierten Normanforderungen Rechnung, indem sie zentrale Punkte eines zeitgemäßen Managements aufnehmen. Neben dem klaren Verweis auf die Verantwortung der obersten Unternehmensleitung führen sie risikobasiertes Denken als Basis des Qualitätsmanagements ein. Der in der Qualitäts- und der Umweltmanagementnorm strukturierte risikobasierte Ansatz konzentriert sich darauf, dass Unternehmen jene internen und externen Einflüsse identifizieren, bewerten und überwachen, die maßgeblich auf ihren Erfolg einwirken. Hier wird also nicht mehr und nicht weniger als die Strukturierung einer klassischen und unternehmenskritischen Managementaufgabe gefordert: die Steuerung des Unternehmens entsprechend den Chancen und Risiken, in denen es sich bewegt, durch geeignete und effiziente Maßnahmen. Da die Normen ISO 9001:2015 und ISO 14001:2015 zwar definierte Ziele fordern, deren konkrete Inhalte und die Art der Zielerreichung aber offenlassen, können Unternehmen diese Standards als Vehikel für ein unternehmensspezifi sches Risikomanagement anwenden: Die Managementsysteme unterstützen das Unternehmen bei der Erreichung seiner Ziele und bieten dazu belastbare Prozesse. Diese Prozesse wiederum sind unverzichtbare Bestandteile des Risikomanagements, das mittels entsprechender Werkzeuge hilft, Risiken und Chancen zu erkennen, zu bewerten und für die Erreichung der Unternehmensziele nutzbar zu machen. Auch im Bereich der Umsetzung eines Risikomanagements nach ISO nur knapp jedes fünfte Unternehmen (19 %) wendet diesen Standard an gibt es Nutzenpotenziale, die nicht voll ausgeschöpft werden. Die ISO zielt darauf ab, durch einen einheitlichen Bezugsrahmen die unterschiedlichen Ansätze und Definitionen im Bereich des Risikomanagements zu vereinheitlichen. Durch allgemein gehaltene Grundsätze und Leitlinien für Gestaltung, Implementierung und Pfl ege will die Norm Unternehmen und öffentliche Einrichtungen darin unterstützen, ihren Umgang mit Risiken zu vereinfachen und zu standardisieren. Die Umfrageergebnisse belegen, dass sich die Mehrheit der befragten Unternehmen mit Risikomanagement beschäftigt hat. In diesem Kontext ist fraglich, warum auch bei Einsatz eines externen Beraters die verlässliche Qualitätsgüte von auf Risikomanagement bezogenen Standards nur teilweise genutzt wird. Eine mögliche Erklärung liegt darin, dass die Norm ISO keine inhaltliche Anleitung und Unterstützung gibt und keine Zertifizierung vorsieht. So gleichen viele Unternehmen die Begrifflichkeiten mit dem Standard ab, ohne aber eine vollständige Konformität anzustreben. Den prozessualen und qualitätsbezogenen Rahmen ihres Risikomanagements erhalten die Unternehmen über den Qualitätsmanagementstandard ISO 9001:2015. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 35

36 Insgesamt 25 % der befragten Unternehmen geben an, dass sie keine Standards oder einen eigenen Orientierungsrahmen nutzen. Dieser Wert könnte in der Tatsache begründet sein, dass Unternehmen individuelle Systeme benötigen und sich ggf. nur teilweise an den jeweiligen Normen orientieren, um die für das Unternehmen am besten passenden Aspekte zu übernehmen. Weitere individuelle Nennungen zur Frage nach den Qualitätsstandards: ISO SCC ISO TS Risikomanagement: ONR ff. VDA Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

37 9. Raum für eigene Erfahrungen, Anmerkungen, Gedanken, Empfehlungen und Meinungen* Der Umgang mit Risiken hat sich bei uns aufgrund eines Schadens verändert Transparenz ist nun sehr wichtig. Ob ein Schaden dadurch abgefedert werden kann, bleibt abzuwarten. Wir beurteilen die Zusammenarbeit mit Lieferanten auch anhand derer Systeme: Wer kein RM und Compliance-System aufzeigen kann, stellt für uns keinen zuverlässigen Partner dar. Diese ganzen Systeme und Regularien sind doch nur dazu da, um irgendwelchen Beratern Geld in den Rachen zu werfen! Wozu alles ändern, wenn es auch mit einzelnen Systemen gut läuft? Als GF habe ich weder Lust noch Muße, mich durch unterschiedliche Systeme zu arbeiten schnelle Informationen aus einer Hand helfen mir mehr. Im Mittelpunkt steht immer der Mitarbeiter wer nicht motiviert ist, stellt ein Risiko dar. Kein System dieser Welt kann den GMV ersetzen! GMV = gesunder Menschenverstand. Warum gibt es sonst gerade bei den tollen Firmen Siemens, Dt. Bank etc., die sich rühmen, alle Arten von Systemen zu haben, derart viele Skandale? Da scheinen viele Mitarbeiter alle Augen zuzumachen Risiko ist und bleibt ein Bauchgefühl Systeme und Bewertungen schaffen nur eine Scheinsicherheit. Die ganzen Gesetze und Richtlinien stellen mittlerweile ein Problem dar. Wenn ich nicht mal mehr einen Kaffee auf einer Messe ausgeben darf, ist für mich der Bogen überspannt. *Äußerungen der befragten Unternehmen Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 37

38 38 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

39 C BEST-PRACTICE -LÖSUNG EINES INTEGRIERTEN RISIKOMANAGEMENT-, COMPLIANCE- UND INTERNEN KONTROLLSYSTEM Risikomanagement, Compliance und IKS Herausforderungen und Erfolgsfaktoren für ein erfolgreiches Zusammenspiel in der Praxis Verschiedene Bilanz- und Korruptionsskandale, neue gesetzliche Vorgaben und verschärfte Erwartungen wichtiger Stakeholder haben dazu geführt, dass sich der Reifegrad der Steuerungs- und Überwachungssysteme vielerorts verbessert hat. Hieraus ergibt sich eine neue Herausforderung: die Steigerung der Effizienz von Risikomanagement, Compliance und IKS sowie die bessere Abstimmung der verschiedenen Risikoinformationen in Berichten. Risikomanagement und IKS Risikomanagement ist die systematische, aktive, zukunfts- und zielorientierte Steuerung der Risikogesamtposition des Unternehmens 31. Das IKS umfasst alle im Unternehmen planvoll gesetzten Methoden und Maßnahmen, die das Vermögen des Unternehmens sichern, die betriebliche Effizienz und somit die Wirtschaftlichkeit steigern, die Zuverlässigkeit des Rechnungs- und Berichtswesens gewährleisten sowie die Einhaltung der vorgeschriebenen Geschäftsrichtlinien und gesetzlichen Vorschriften sicherstellen. 32 Risikomanagement und IKS beschäftigen sich mit Risiken, Maßnahmen und Kontrollen, dennoch sind die Systeme unterschiedlich. Nach COSO 33 kann das IKS als Teilsystem des Risikomanagement-Systems verstanden werden. Es umfasst die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Regelungen. Die organisatorische Umsetzung dieser Entscheidungen zielt darauf ab, die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit 34 zu gewährleisten und die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften zu sichern. Das IKS unterstützt die Unternehmensleitung dabei, ihre Entwicklungs- und Profitabilitätsziele zu erreichen und Ressourcenverluste zu vermeiden. Im Rahmen der betrieblichen Praxis muss ein optimales Zusammenspiel definiert werden, um Synergien zwischen beiden Systemen zu realisieren. Zwischen Risikomanagement und IKS existieren drei wesentliche Schnittstellen, die die Grundlage für die Umsetzung von Synergien bilden: Beiden Systemen liegt die Risikoidentifikation zugrunde. Aus Effizienzgründen sollte diese nicht unabhängig voneinander erfolgen oder zumindest zwischen den Systemen abgestimmt werden. 31 Denk/Exner_Merkelt/Ruthner: Corporate Risk Management Unternehmensweites Risikomanagement als Führungsaufgabe, 2. Auflage, Linde international, Wien, Klinger/Klinger: ABS der Gestaltung und Prüfung des Internen Kontrollsystems im Unternehmen, 2. Aufl age, Linde, Wien, Committee of Sponsoring Organizations of Treadway Commission 34 Hierzu gehört auch der Schutz des Vermögens, einschließlich Verhinderung und Aufdeckung von Vermögensschädigungen. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 39

40 Das Risikomanagement befasst sich auch mit der Analyse von strategischen Risiken, die man i. d. R. nicht durch Kontrollen, sondern nur mit spezifischen Maßnahmen in den Griff bekommt. Das IKS befasst sich mit operativen Risiken, die über Kontrollen steuerbar sind. Das IKS überwacht darüber hinaus die im Risikomanagement definierten Maßnahmen und ob diese auch tatsächlich umgesetzt werden. Das Aufgabenspektrum des ganzheitlichen Risikomanagements gewinnt daher weiter an Diversität und muss unterschiedlichen Anforderungen gerecht werden: Risikomanagement und IKS werden zusammenwachsen, damit wird die Definition von effizienten Schnittstellen zu einer entscheidenden Aufgabe. Strategische Risiken werden zunehmend zur zentralen Herausforderung. In der Folge wird das Risikomanagement verstärkt Verbindungen mit der strategischen Planung bzw. dem Controlling-System eingehen. Das steigende Interesse des CEOs an der Weiterentwicklung des Risikomanagements unterstreicht dessen zunehmend strategischen Charakter 35. Vorstand und Prüfungsausschuss des AR erhalten mit einem einheitlichen Bericht einen ganzheitlichen Überblick über die Wirksamkeit des Risikomanagements inklusive Compliance und IKS. Die Rolle des Risikomanagers gewinnt an Bedeutung. Risikomanagement und Compliance Ein ausschließlich an Compliance-Anforderungen orientiertes Risikomanagement ist nicht dazu geeignet, strategische Risiken abzubilden und greift daher zu kurz. Compliance ist die Einhaltung aller externen und internen Anforderungen (Gesetze und Richtlinien), die ein systematisches Fehlverhalten verhindern sollen. Das Verhältnis zwischen Risikomanagement und Compliance hat sich grundlegend gewandelt: Früher war der Verstoß gegen Gesetze und Regularien eines der Risiken, die ein Unternehmen im Auge behalten musste neben unzähligen anderen Gefahrenpotenzialen in allen möglichen Geschäftsbereichen und Prozessen. Der Compliance-Abteilung (sofern diese überhaupt existierte) kam daher vielfach nur die Rolle des Erfüllungsgehilfen des Risikomanagements zu. Heute dominiert vielerorts die Compliance-Abteilung, während das Risikomanagement zu einem Instrument herabgestuft wurde, dessen Existenz nur deshalb gerechtfertigt ist, weil seine Abschaffung einen Compliance-Verstoß darstellen würde 36. In der Integration von Compliance und Risikomanagement schlummern erhebliche Synergiepotenziale. Die Einhaltung der gesetzlichen Vorschriften ist eine Selbstverständlichkeit, somit leistet die Compliance einen unverzichtbaren Beitrag zur Risikovermeidung und Existenzsicherung eines Unternehmens. Dennoch kommen integrierte Ansätze in vielen Unternehmen nicht voran. Originäre Wettbewerbsvorteile resultieren aus der Integration ohnehin nur eingeschränkt: Diese entstehen erst, wenn Chancen intelligent genutzt und Risiken sorgfältig gesteuert werden. Ein ganzheitliches Risikomanagement ist und bleibt daher der Schlüssel für die erfolgreiche Zukunft eines Unternehmens. Effizienz zu steigern bedeutet, mit gleichen Mitteln mehr zu erreichen. Sowohl Compliance- als auch Risikomanager beobachten die Entwicklungen im Unternehmen. Um doppelte Prüfungen zu vermeiden und das Beste aus beiden Bereichen zu nutzen, sollten Gedankenstränge und Systeme, die einzeln schon hervorragend funktionieren, miteinander verknüpft werden. Das hilft, organisatorische, prozessuale, methodische und technologische Überschneidungen zu vermeiden. 35 Quelle: Financial Times/Oliver Wymann Global Emerging Risks Survey Steering the Course, Seizing the opportunity, August Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

41 Risikomanagement ist kein Paralleluniversum, sondern ein integraler Bestandteil der zentralen Steuerungsprozesse (Strategie, Mittelfristplanung, Budgetierung, Forecast, Reporting). Integrierte Systeme helfen, steigende regulatorische und individuelle Anforderungen langfristig effizient zu erfüllen. Risikomanagement, Compliance und IKS In der Praxis existieren diese Systeme oft als Insellösungen nebeneinander: Der Compliance Officer verantwortet das Compliance Management, der Risk Manager das Risikomanagement, das IKS das jeweilige Kontrollrisiko mit den entsprechenden Schnittstellen zwischen allen drei Systemen. Jedes System für sich liefert wichtige Erkenntnisse für die Unternehmenslenker. Weil sich die Systeme, Prozesse und Strukturen der einzelnen Systeme überschneiden können, sollten Unternehmen diese Informationen intelligent zusammenführen, damit sie ihren wahren Wert entfalten können. Für das Risikomanagement bleibt es dabei eine Herausforderung, die getroffenen Gegenmaßnahmen im Rahmen des IKS in die Unternehmensprozesse mit einfließen zu lassen und somit deren Wirksamkeit sicherzustellen. Zusammenfassend erhöht eine Verknüpfung der Systeme, Strukturen und Prozesse die Qualität und Effizienz und steigert die Transparenz sowie die Sicherheit über die Steuerungs- und Kontrollmechanismen im Unternehmen. Gleichzeitig arbeiten auch die Systeme selbst effizienter und kostensparender. Unternehmensführung und -überwachung Aufsichtsorgan Personen Geschäftsleitung Pflicht zur Überwachung von Vorstand und Systemen Pflicht zur wirksamen Einrichtung von Systemen Internes Kontrollsystem i. w. S. Risikomanagement-System Compliance Management System Systeme Internes Kontrollsystem i. e. S. (Abschlussprüfungsrelevanz) Abbildung: 17: Risikomanagement, IKS und Compliance Management im Unternehmenskontext Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 41

42 Praxisbeispiel Vorüberlegungen Seit der Einführung verschiedenster Grundsätze für professionelle Führungsprinzipen und sogenannter Best-Practice -Leitfäden ist ein klarer Trend auszumachen, die Management- und Führungssysteme zusammenzuführen bzw. die Systeme zu integrieren und stärker als bisher miteinander zu verbinden. Die Internationale Organisation für Normung ISO hat mit der Einführung einer Spezifikation 38 ihrerseits eine Grundlage für integrierte Führungssysteme geschaffen. Der inhaltliche Aufbau der neueren ISO-Standards wie bspw. ISO 9001 für Qualitätsmanagement, ISO für Risikomanagement oder ISO für Compliance Management wurde angeglichen (High Level Structure). Die Anwendungsfelder werden ebenfalls laufend erweitert und umfassen nicht mehr nur die Wertschöpfungs- und vormals Unterstützungsprozesse, sondern nun auch die Managementund Führungsprozesse. Nach dem ressourcenbasierten Ansatz erhalten auch die für alle Unternehmen unabdingbaren Ressourcen wie Einkauf, Facility, Personal und IT entsprechende Bedeutung (vormals Unterstützungsprozesse). Ziel ist es, die Geschäftsprozesse ganzheitlich darzustellen und zu steuern. So sind zum Beispiel auch Strategieplanungsprozesse oder finanzwirtschaftliche Prozesse nicht länger voneinander losgelöste Disziplinen, sondern Teil eines ganzheitlichen Systems. Dies sind alles Voraussetzungen, um die Management- und Führungsprozesse integrativ zu verwalten. Praxis GmbH, Ausgangslage und Bestandsaufnahme Die Praxis GmbH ist ein mittelständisches Produktionsunternehmen. Das Qualitätsmanagementsystem der Praxis GmbH ist zertifiziert, Kontrollsysteme sind nach den gesetzlichen Vorgaben vorhanden, IT-Systeme werden durch den Wirtschaftsprüfer im Rahmen der Prüfungsstandards einer Analyse unterzogen. Die Grundsätze ordnungsgemäßer Buchhaltung werden ebenfalls eingehalten. Im Zuge der Internationalisierung des Unternehmens wurden an die Geschäftsführung zunehmend auch Compliance-Anforderungen herangetragen. Nach einem erfolgreichen Wachstumspfad und ansehnlicher Unternehmensgröße hat die Geschäftsführung mittlerweile erkannt, dass neue konzeptuelle Strukturen geschaffen werden müssen. Das Risikomanagement wurde bis dato eher situativ und projektbezogen betrieben, interne Revisionstätigkeiten wurden nicht systematisch durchgeführt. Viele Teilsysteme und auch voneinander unabhängig agierende autonome Systeme erschwerten die Steuerung zunehmend. Das Eintreten eines nicht identifizierten Risikos in einem größeren Projekt gab den Ausschlag, die Managementsysteme einer eingehenden Analyse zu unterziehen und Schwachstellen aufzudecken. Kontrollen sollten nicht länger vornehmlich auf finanzwirtschaftliche Prozesse und losgelöst von den Geschäftsprozessen erfolgen. Damit ist die Praxis GmbH kein Einzelfall. Noch viel zu oft wird bei Unternehmen aller Größenordnungen festgestellt, dass bspw. für Geschäftsprozesse außerhalb der Wertschöpfungsprozesse keine der Größe und Komplexität des Unternehmens angemessenen internen Kontrollen bestehen. Ziel der Strukturreform bei der Praxis GmbH war es, sowohl die Transparenz zu verbessern als auch Compliance und Governance bei der Führung und Leistungserbringung zu stärken. Was den Umsetzungsgrad der operationellen Risikomanagement-Systeme und Kontrollsysteme angeht, sind viele Unternehmen noch weit davon entfernt, über effiziente und effektive Führungs- und Steuerungsinstrumente zu verfügen. Es bestehen hohe Ansprüche an Beiräte, Geschäftsführung und Führungskräfte für ein professionelles Management eines Unternehmens. Gilt das auch für mittelständische Unternehmen?, fragen sich viele Geschäftsführer, wir kennen unsere Risiken. Für jedes Unternehmen ist der Anspruch auf ordnungsgemäße und professionelle Führung unabdingbar. Bei kleineren Unternehmen sind die Managementanstrengungen bezogen auf die Gesamtleistung in 38 PAS 99 Specification of common management system requirements as a framework for integration. 42 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

43 der Regel höher als bei größeren. Oder anders ausgedrückt: Wenigen Führungskräften obliegt es, den minimalen betriebswirtschaftlichen Anforderungen gerecht zu werden. Von daher kommt auch oft der Einwand der administrativen Last und der fehlenden Zeit für die Einführung professioneller Systeme. Von außen betrachtet, ist das eine fatale Schlussfolgerung. Können also nur große Unternehmen professionell agieren? Aussagen wie Unsere heutigen Systeme sind nicht schlecht, Wir bilden unsere Kontrollen und Risiken in Excel ab, Wir haben noch keinen Vermerk des Wirtschaftsprüfers oder Wir führen die Kontrollen einmal im Jahr durch sind nicht wirklich vertrauensfördernd für Interessensgruppen verschiedener Art, denen die Zukunftsfähigkeit der Praxis GmbH ein Anliegen ist. Genau bei dieser Fragestellung setzt integriertes Management an. Verbesserungsbereiche und Projektziele, konzeptionelle Überlegungen Wie kann unsere Praxis GmbH Exzellenz bei integrierten Führungs- und Managementsystemen erreichen? Welches sind die Projektziele? Die durch einen externen Berater vorgenommene Strukturanalyse hat die derzeitigen Defizite aufgenommen und Ursachen benannt. Oftmals werden Risiken zwar identifiziert, aber Maßnahmen und Kontrollen noch ungenügend behandelt. Moderne Softwarelösungen bieten zu diesem Zweck integrierte Führungs- und Managementsysteme, primär Risikomanagement-, Kontroll-, Revisions-, Compliance- und Corporate-Governance-Systeme. In dieser Kombination bietet sich der Praxis GmbH eine Plattform, um die Managementsysteme in Richtung «Exzellenz» weiterzuentwickeln. Dabei geht es immer darum, mit der Kombination von Software und breit abgestützten Vorlagen schlanke und zugleich effektive Instrumente zu schaffen, die die Führung und Steuerung des Unternehmens erleichtern und unterstützen. Insgesamt betrachtet, ist der zeitliche Aufwand geringer und die Effektivität wesentlich höher. Es wird empfohlen, die Einführung zeitlich etwas zu strecken. Das QM-System wird bei der Praxis GmbH bewusst ausgeblendet, da bereits Lösungen existieren. Lediglich die Prozessbeschreibungen werden übernommen (Schnittstellen), um Redundanzen zu vermeiden. Der Vernetzung der Teilsysteme, also der integralen Betrachtung der verschiedenen Managementsysteme, misst die Geschäftsführung der Praxis GmbH hohe Bedeutung bei. Seit der Harmonisierung und der konsequenten Prozessorientierung der verschiedenen Normenwerke verfügen Unternehmen über moderne und vernünftige Verhaltensweisen zur Organisation und Führung. Einzelne, voneinander unabhängige Subsysteme sind ineffizient und für die Governance letztlich eher ungeeignet. Welche Vorteile bringt die Integration der Bereiche Corporate Governance, Risikomanagement, Compliance, Internes Kontrollsystem und Revision der Praxis GmbH? Der größte Nutzen liegt in der konsequenten Ausrichtung an Geschäftsprozessen, einheitlichen Verfahren, Instrumenten und Dokumentation. Dadurch und durch Vermeiden von Doppelarbeiten reduziert sich der Verwaltungsaufwand gegenüber Einzelsystemen erheblich was zur Folge hat, dass auch die Akzeptanz durch die Beteiligten steigt. Die Vernetzung der Managementsysteme bringt aber auch Vorteile für die Steuerung des Unternehmens. Zielkonflikte können vermieden oder zumindest reduziert werden. Positive Effekte sind auch bzgl. der Prozess- und Organisationsstrukturen sowie bei der Optimierung der Schnittstellen zu erwarten. In einem Projektkonzept wurden für die Praxis GmbH die einzelnen Schritte zur Umsetzung festgelegt. Die Einführung wurde bewusst auf einen längeren Zeitraum gelegt, um genügend Zeit für die Integration bereits existierender Systeme zu haben, aber auch um die Organisation nicht übermäßig zu belasten. Auch wenn letztlich viel Zeit durch wegfallende Reibungsverluste gewonnen werden kann, so ist in der Initialisierungsphase zuweilen etwas mehr Aufwand erforderlich, bis sich Strukturen etabliert haben. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 43

44 Die Umsetzung Welches waren die konkreten Schritte bei der Einführung der verschiedenen Systeme? Bereits im Rahmen der Bestandsaufnahmen und der anschließenden konzeptionellen Gestaltung wurde konsequent auf die Geschäftsprozesse geachtet. Gemeint sind damit Managementprozesse wie bspw. die Strategieplanung oder die Produktion in Bezug auf Wertschöpfung, aber auch finanzwirtschaftliche Prozesse oder Einkaufsprozesse. Die Prozesse wurden je nach Fragestellung detaillierter betrachtet, etwa in IT-Belangen die Systemverfügbarkeit, die Datensicherheit etc. In vielen Bereichen konnte auf bestehende Prozessbeschreibungen aufgesetzt werden insgesamt waren die Geschäftsprozesse aber unvollständig und mussten an der einen oder anderen Stelle etwas angepasst oder ergänzt werden. Einen weiteren wichtigen Erfolgsfaktor bei der Umsetzung stellte die Zuordnung von Verantwortlichen dar. Damit kann das Management der Systemverantwortlichen (das sind der Risikomanager, der IKS-Manager, der Leiter der Internen Revision etc.) wesentlich unterstützt und von Beginn an Verantwortung delegiert bzw. das Verantwortungsbewusstsein gestärkt, aber auch das Verständnis für integrierte Systeme geschaffen werden. Pro Modul wurden nun entlang der Geschäftsprozesse die Inhalte erarbeitet. Bei integrierten Systemen blieben die Strukturen weitgehend gleich. Einzig beim Risikomanagement wurden zuweilen noch Ursachen definiert, um die Risikoliste kompakter zu gestalten (ein Risiko hat mehrere Ursachen, pro Ursache ggf. mehrere Maßnahmen). Bei der Praxis GmbH wurden folgende Inhalte bei den Modulen definiert: Risikomanagement: Risiken, Ursachen, Maßnahmen Kontrollsystem: Risiken, Kontrollen Compliance Management: Sachverhalt, Maßnahme Interne Revision: Feststellung, Empfehlung Corporate Governance: Tätigkeit, Maßnahme Zum Abschluss wurde der Workfl ow definiert: Welche Aufgaben sollen durch die Verantwortungsgruppen in welchen Zeitabständen erledigt werden? In die Aufgabenliste aufgenommen wurden auch Bewertungen einzelner Teilmodule, sogenannte Assessments, die die kontinuierliche Verbesserung des Gesamtsystems unterstützen sollen. Die Konfiguration der Software wurde entsprechend vorgenommen: Die Rechtevergabe erfolgte nach Verantwortungsgruppen, eine Relevanzskala zur Priorisierung der Risiken und Kontrollen, Sachverhalte und Feststellungen, Checklisten, Risiko- und letztlich auch Fragelisten wurden eingesetzt. Workflow-Tätigkeiten, wiederkehrende aber auch einmalige, mit Datum versehene Aufgaben und Kontrollen wurden mit automatisierten Benachrichtigungen unterstützt. 44 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

45 Nachbetrachtung Durch die einheitliche Struktur der eingeführten Managementsysteme war von Beginn an das Verständnis für die grundsätzliche Funktionsweise vorhanden. Das Erarbeiten der Modulinhalte ging zügig voran; gleichzeitig mit der Datenerfassung konnte auch eine Datenbereinigung stattfinden. So war das IKS bis dahin ein Papiertiger in Excel gewesen, der nie richtig gepflegt wurde. Die Kontrollen wurden wesentlich erweitert und auf die relevanten Themenfelder maßgeschneidert. Die Revisionstätigkeiten wurden mangels einer eigenen Stelle Interne Revision durch Führungsverantwortliche übernommen. Die identifizierten Risiken und deren Ursachen trugen dabei viel zur Identifikation und zur Definition von Feststellungen (also Mängeln) bei. Aufgrund der durchgängigen Definition von Maßnahmen aus den verschiedenen Perspektiven wurden bisherige Doppelnennungen offensichtlich, und das Maßnahmen-Controlling konnte fokussiert werden. Bisher waren Maßnahmen tendenziell periodisch auf Wiedervorlage gesetzt worden, mit bescheidenen Fortschritten. Letztlich konnten auch offensichtliche Mängel, wie fehlende Pläne zur Wiederherstellung der Lieferfähigkeit nach Großereignissen, aber auch schlicht das fehlende Krisenmanagement, aufgedeckt werden. Compliance-Management-Sachverhalte und daraus folgende Maßnahmen konnten in vielen Fällen mit Corporate- Governance-Aufgaben bzw. -Tätigkeiten synchronisiert und nur einmal erfasst werden. Der eingerichtete Workfl ow war für alle Beteiligten eine wertvolle Hilfe, vor allem in der Initialisierungsphase (also in der Bestandsaufnahme, Ersterhebung und der Maßnahmen-/Kontrolldefinition). Das Benachrichtigungsmodul wurde zu Beginn als etwas lästig empfunden, hat aber nach der ersten periodischen Neubeurteilung der Situation das Maßnahmen-Controlling sowie auch das Einhalten von Kontrollaktivitäten wesentlich unterstützt. Entscheidend für den Erfolg des Gesamtsystems werden nun die nachhaltige Umsetzung und Pflege der Systeme sein. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 45

46 Glossar B Business Continuity Management (BCM) BCM befasst sich mit der Entwicklung von Strategien, Plänen und Handlungen, um Tätigkeiten oder Prozesse deren Unterbrechung dem Unternehmen ernsthafte Schäden oder vernichtende Verluste zufügen würden zu schützen bzw. alternative Abläufe zu ermöglichen. C Compliance Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien. Compliance Management System Als Compliance Management System bezeichnet man die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen im Unternehmen. Corporate Governance Corporate Governance (Grundsätze der Unternehmensführung) bezeichnet den Ordnungsrahmen für die Leitung und Überwachung von Unternehmen. Der Ordnungsrahmen wird maßgeblich durch Gesetzgeber und Eigentümer bestimmt. Die konkrete Ausgestaltung obliegt dem Aufsichts- bzw. Verwaltungsrat und der Unternehmensführung. COSO Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. E Environment, Health & Safety (EHS) System Planung, Umsetzung, Überwachung und Optimierung von betrieblichen Prozessen in den Bereichen Umweltmanagement, Gesundheitsschutz und Arbeitssicherheit. ERM Unter ERM (Enterprise Risk Management) versteht man einen unternehmensweiten, ganzheitlichen (holistischen) Ansatz zur Unternehmenssteuerung. Ziel ist die Steigerung des Unternehmenswertes durch das planmäßige Eingehen erwünschter Risiken und das Absichern der Unternehmensziele gegen störende Ereignisse. I Internes Kontrollsystem (IKS) Das IKS ist die Gesamtheit aller organisatorischer Maßnahmen und Kontrollen im Unternehmen zur Einhaltung von Unternehmensrichtlinien und zur Vermeidung von Schäden; einen Teilbereich des IKS stellt das rechnungslegungsbezogene Interne Kontrollsystem dar. 46 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

47 P PAS 99 Spezifikation für integrierte Managementsysteme, auf Grundlage der ISO-Richtlinie zur Erstellung von Normen für Managementsysteme. Q Qualitätsmanagementsystem (QM-System) Eine Methode der Unternehmensführung, die auf die dauerhafte Verbesserung der Unternehmensleistung abzielt. QM-Systeme stellen sicher, dass die Systemqualität, Prozessqualität und die Produktqualität in einer Organisation geprüft und verbessert werden. R Risikomanagement-System (RMS) Systematische Erfassung, Bewertung, Steuerung und Kommunikation von Risiken im Unternehmen. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 47

48 Elf Fragen zu Risikomanagement, Compliance und IKS Allgemeine Fragen 1. Welche Gründe haben Sie veranlasst, sich mit Risikomanagement zu beschäftigen? (Mehrfachauswahl möglich) 2. Der Umgang mit Unternehmensrisiken kann mithilfe verschiedener Managementsysteme gestaltet werden. Welche der folgenden Systeme haben Sie in welchem Umfang in Ihrem Unternehmen implementiert? (Mehrfachauswahl möglich) 3. In welcher Abteilung und in welcher Form ist die Umsetzungsverantwortung für die bestehenden Systeme in Ihrem Unternehmen angesiedelt? (Mehrfachauswahl möglich) Detailfragen 1. Wie fließen Erkenntnisse aus Risikomanagement, Compliance Management und Internem Kontrollsystem in die jeweils anderen Bereiche ein? 2. Wie gestaltet sich die Berichterstattung an die Geschäftsleitung? (Mehrfachauswahl möglich) 3. In welcher Form werden die Erkenntnisse in den Kontext der Unternehmenssteuerung gestellt? (Mehrfachantworten möglich) 4. Welchen Nutzen sehen Sie für Ihr Unternehmen in einer Weiterentwicklung der vorher genannten einzelnen Systeme zu einem integrierten System? (Mehrfachauswahl möglich) 5. Nutzt Ihr Unternehmen ein IT-Tool/System für Risikomanagement, Compliance Management und/oder das Interne Kontrollsystem? 6. Werden Sie in Bezug auf die in Ihrem Haus implementierten Kontrollfunktionen (Internes Kontrollsystem, Risikomanagement, Compliance, Interne Revision) von externen Experten (z. B. Wirtschaftsprüfer, Rechtsanwälte, Unternehmensberater) beraten? 7. Existiert in Ihrem Hause ein Beschwerde- und/oder Hinweisgebersystem für interne Compliance-relevante Vorfälle (z. B. Untreue, Unterschlagung o. ä.), eine sog.,,whistleblowing-funktion"? 8. Die unternehmensweite Integration von Managementsystemen wird durch Normen wie ISO-Standards wesentlich unterstützt. Bitte kreuzen Sie die Systeme an, bei denen Sie die folgenden Standards oder Normen anwenden (Mehrfachantworten möglich). 48 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

49 Entwicklung von Risikomanagement, Compliance und IKS ( ) Die Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 5. März 1998 liegt schon mehr als 17 Jahre zurück und hat viel bewegt. Vor allem in jüngster Vergangenheit hat die Gesetzgebung neue Regeln für integriertes Risikomanagement in Unternehmen, aber auch in Bezug auf die Sorgfaltspflicht der Geschäftsführung festgelegt etwa das im Jahr 2009 in Kraft getretene Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz, BilMoG). Wesentliche Pfeiler der Weiterentwicklung sind der Deutsche Corporate Governance Kodex, nach dem der Vorstand ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen umsetzen soll, oder die 2014 veröffentlichte Norm ISO mit Richtlinien für den Einsatz von Compliance Management Systemen. Die Vielzahl neuer Regeln und die gleichzeitige Verschärfung der Anforderungen, aber auch jüngste Beispiele von Compliance-Verstößen veranlassen Vorstände und Geschäftsführer, sich intensiver mit den Systemen auseinanderzusetzen. Mittlerweile wurde auch erkannt, dass die Normen und Regelwerke nicht nur administrative Last bedeuten, sondern aufgrund der einheitlichen Strukturen und vielfältigen Hilfestellungen, bspw. durch Best-Practice -Guidelines oder Corporate Governance (geschäftspolitische Grundsätze, integriertes Management) Beiräte, Aufsichtsräte Geschäftsführung, Vorstände Compliance Management (Erkennen und Steuern aller Compliance- Sachverhalte) Risikomanagement (Erkennen und Steuern aller wesentlichen Risiken) Internes Kontrollsystem (Regeln und Vorgaben für Organisation und Prozesse) Qualitätsmanagement (Steuern von Qualitätsmerkmalen) Revisionstätigkeiten (unabhängige Prozess- und Kontrollsicht über alle Tätigkeitsbereiche) Abbildung 18: Integration der Bereiche Corporate Governance, Risikomanagement, Compliance, Internes Kontrollsystem, Revision Vgl. Moor, Markus, Mussak, Pirmin, Zeier-Röschmann; Angela: Operationelles Risikomanagement von Schweizer Vorsorgeeinrichtungen Status quo und zukunftsgerichteter Leitfaden für Geschäftsführerinnen und Geschäftsführer, S. 56, Zentrum für Risk & Insurance, Zürich, 2016 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 49

50 Werkzeuge im Bereich Risiko-Assessment einen reellen Mehrwert zur Sicherheit und dadurch Zukunftsfähigkeit eines Unternehmens beitragen können. Nicht zuletzt ist die Gefahr der persönlichen Haftung von Aufsichtsräten und Vorständen ein Grund, sich der Weiterentwicklung der Managementsysteme anzunehmen. Die Praxis zeigt aber auch, dass in vielen Unternehmen Nachholbedarf besteht, wenn es darum geht, die Prozesse der verschiedenen Systeme effektiv zu gestalten und miteinander zu vernetzen. Auch die DV-technische Systemlandschaft lässt oft zu wünschen übrig. In vielen Fällen kann nicht wirklich von einem System die Rede sein. Vor allem in den letzten Jahren bis heute ist die Frage nach der Verzahnung der verschiedenen Systeme deutlich in den Vordergrund getreten. Die Orientierung entlang der Geschäftsprozesse wird heute kaum mehr infrage gestellt. Die Umsetzungsgeschwindigkeit, aber auch das Engagement für die Weiterentwicklung sind indessen noch weit von professionellen integrierten Systemen als Standard entfernt. Zusammengefasst lassen sich folgende Hindernisse bei der erfolgreichen Einführung integrierter Systeme ausmachen. Der womöglich größte Fehler ist, gar nicht erst zu beginnen. Die Überzeugung Wir kennen unsere Risiken oder fehlendes Verständnis für die Zusammenhänge, aber auch fehlende Ressourcen sind die häufigsten Gründe hierfür. Die Unterstützung des Top-Managements ist ausschlaggebend für den Erfolg. Die Umsetzung komplexer Vorhaben bedingt erheblichen Zeit- und Ressourcenaufwand und bringt gleichzeitig strukturelle Änderungen mit sich. Dies stößt immer auf Widerstände oder gar auf eine Verweigerung der einzelnen Fachbereiche. Fehlende Projektstrukturen, zu hohe Anforderungen und Überbelastung führen oft zum Projekt-Abbruch. Das Setzen realistischer (Teil-)Ziele mit ausreichend Zeit für die Umsetzung ist unabdingbar. Fehlende Priorisierung und unzureichende Bestimmung der Wesentlichkeit haben Unübersichtlichkeit und eine Fülle wichtiger Themen zur Folge. Bei allen Managementsystemen ist es zwingend erforderlich, von Anfang an den Fokus auf das Wesentliche zu legen. Konsequente Grenzen in Bezug auf die Wesentlichkeit sind empfehlenswert. Die Geschäftsprozesse Ausgangspunkt und Voraussetzung von integrierten Managementsystemen sind nie vollumfänglich strukturiert, beschrieben und etabliert. Treten im Projektverlauf Lücken auf, fehlt fast immer der pragmatische Ansatz, zu priorisieren und Teilprojekte zu definieren. Fehlende Methodik bei der Systemgestaltung und insbesondere bei der Bestandsaufnahme und der Analyse von Risiken, Compliance-Sachverhalten oder erforderlichen Kontrollen führt zu unbefriedigenden Ergebnissen. In Projekten zur Integrierung sind die vielfältigsten Bereiche auf unterschiedlichen Ebenen entlang der ganzen Geschäftsprozesse involviert. Mangelhafte oder fehlende Kommunikation, aber auch unzureichende Führungskompetenzen des Projektleiters sind oft Gründe, warum Projekte letztlich nicht erfolgreich sind oder sogar eingestellt werden. Zusammenfassend formuliert, besteht trotz 17 Jahren KonTraG in vielen Bereichen und Facetten noch Nachhol- und Verbesserungsbedarf. 50 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

51 Danksagung Unser Dank richtet sich an Bernd Bruhns, Projektmanager, Geschäftsbereich Auditsysteme, DQS GmbH, Deutsche Gesellschaft zur Zertifizierung von Managementsystemen, Frankfurt Nadine Sopart, Account Managerin, Nils Büchner, Consultant, und Dr. Herbert Lienhard, Senior Projektmanager, Funk RMCE, Hamburg, die uns bei der Interpretation der Ergebnisse und der Erstellung der Studie mit ihrem Know-how hilfreich zur Seite standen. DQS GmbH Die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) wurde 1985 als Deutschlands erste und weltweit dritte Managementsystem-Zertifizierungsstelle durch DGQ (Deutsche Gesellschaft für Qualität e. V.) und DIN (Deutsches Institut für Normung e. V.) gegründet. Das Unternehmen mit Hauptsitz in Frankfurt am Main fokussiert als einziger großer Zertifizierer die Auditierung und Zertifizierung von Managementsystemen und Prozessen in Unternehmen und Organisationen. Mit über Mitarbeitern davon rund Auditoren erzielte die Gruppe 2015 einen Jahresumsatz von rund 120 Millionen Euro. Weltweit zählt die DQS mit über 80 Geschäftsstellen in mehr als 60 Ländern und zertifizierten Standorten zu den führenden der Zertifizierungsbranche. Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 51

52 Abkürzungsverzeichnis A Abs....Absatz AG...Aktiengesellschaft AktG...Aktiengesetz B BilMoG...Bilanzrechtsmodernisierungsgesetz bzgl....bezüglich bzw....beziehungsweise bspw....beispielsweise C CEO...Chief Executive Officer COSO... Committee of Sponsoring Organizations of the Treadway Commission D DIN... Deutsches Institut für Normung e. V., Berlin DV-technisch..Datenverarbeitungstechnisch E EHS...Environment, Health and Safety ERM...Enterprise Risk Management EUR...Euro F Funk RMCE...Funk RMCE GmbH, Hamburg G GmbH...Gesellschaft mit beschränkter Haftung GmbHG...GmbH-Gesetz ggf....gegebenenfalls H Hrsg....Herausgeber 52 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

53 I i. e. S....im engeren Sinne i. d. R....in der Regel IFRS... Internationaler Finanz- und Rechnungslegungsstandard IT...Informationstechnologie IKS...Internes Kontrollsystem ISO... Internationale Organisation für Normung (englisch: International Organization for Standardization) i. w. S....im weiteren Sinne K KG...Kommanditgesellschaft KonTraG... Gesetz zur Kontrolle und Transparenz in Unternehmen M Mio....Million, Millionen Q QM-System...Qualitätsmanagementsystem R RLÄG...Rechnungslegungsänderungsgesetz S S....Satz, Seite U u. E...unseres Erachtens UGB...Unternehmensgesetzbuch URÄG...Unternehmensrechtsänderungsgesetz usw....und so weiter V VAG...Versicherungsaufsichtsgesetz Z z. B....zum Beispiel Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 53

54 Abbildungsverzeichnis Abbildung 1 Teilnehmende Branchen der Umfrage... 8 Abbildung 2 Jährliche Umsätze der Teilnehmer der Umfrage... 9 Abbildung 3 Rechtsformen der Teilnehmer der Umfrage... 9 Abbildung 4 Anteil der inhabergeführten Unternehmen Abbildung 5 Position der befragten Mitarbeiter Abbildung 6 Gründe zur Beschäftigung mit Risikomanagement Abbildung 7 Implementation von Managementsystemen Abbildung 8 Ansiedlung der Umsetzungsverantwortung bestehender Systeme Abbildung 9 Verwendung der Erkenntnisse einzelner Systeme in anderen Bereichen Abbildung 10 Berichterstattung an die Geschäftsleitung Abbildung 11 Ergebnisverwendung im Kontext der Unternehmenssteuerung Abbildung 12 Nutzen bei Verwendung eines integrierten Systems Abbildung 13 Nutzung eines IT-Tools/Systems für Managementsysteme Abbildung 14 Beratung durch externe Experten Abbildung 15 Existenz einer Beschwerde und/oder Hinweisgebersystem für interne Compliance-relevante Vorfälle Abbildung 16 Anwendung von Standards/Normen, die die Integration von Managementsystemen unterstützen Abbildung 17 Risikomanagement, IKS und Compliance Management im Unternehmenskontext Abbildung 18 Integration der Bereiche Corporate Governance, Risikomanagement, Compliance, Internes Kontrollsystem, Revision Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?

55 Literatur Gleißner, Werner; Lienhard, Herbert; Stroeder, Dirk H.: Risikomanagement im Mittelstand, Planungssicherheit erhöhen, Rating verbessern, Unternehmen sichern, RKW-Verlag, Eschborn, 2004 Gleißner, Werner; Romeike, Frank: Risikomanagement Umsetzung Werkzeuge Risikobewertung, Haufe Praxisratgeber, Freiburg im Breisgau, 2005 Funk RMCE GmbH, Rödl & Partner GmbH, Weissman & Cie. GmbH & Co. KG, (Hrsg.): Risikomanagement im Mittelstand, Exklusive Benchmark-Studie zu Stand und Perspektiven des Risikomanagements in deutschen (Familien-) Unternehmen. Von Hendrik F. Löffler, Dr. Peter Bömelburg, Raimund Zähres, Tobias Augsten, Marcel Megerle, Georg Beyer und Christian P. Schöffel, Hamburg, Nürnberg, 2011 Funk RMCE GmbH (Hrsg.): Supply Chain Risikomanagement, Benchmark-Studie zum Umsetzungsstand in deutschen mittelständischen Unternehmen. Von Hendrik F. Löffler, Ulrike Meyer und Nadine Sopart, Hamburg, 2012 Funk Gruppe und RiskNET (Hrsg.): Experten-Studie: Wert- und Effizienzsteigerung durch ein integriertes Risikound Versicherungsmanagement. Von York Hillegart, Hamburg, 2007 Weisbecker, Annette, Drawehn, Jens (Hrsg.): Business Process Management Tools 2014 Marktüberblick. Von Jens Drawehn, Monika Kochanowski und Falko Kötter, Fraunhofer Verlag, Stuttgart, 2014 The Definitive Handbook of Business Continuity Management, 2. Auflage, Andrew Hiles, John Wiley & Sons, Chichester, 2007 Denk, Robert, Exner-Merkelt, Karin, Ruthner, Raoul: Corporate Risk Management Unternehmensweites Risikomanagement als Führungsaufgabe, 2. Auflage, Linde International, Wien, 2008 Klinger, Oskar, Klinger, Michael A.: ABS der Gestaltung und Prüfung des Internen Kontrollsystems im Unternehmen, 2. Auflage, Linde, Wien, 2008 Financial Times/Oliver Wymann Global Emerging Risks Survey Steering the Course, Seizing the Opportunity, August 2010 Moor, Markus, Mussak, Pirmin, Zeier Röschmann; Angela: Operationelles Risikomanagement von Schweizer Vorsorgeeinrichtungen Status quo und zukunftsgerichteter Leitfaden für Geschäftsführerinnen und Geschäftsführer. Eine Studie des Zentrums für Risk & Insurance, Zürich, 2016 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem? 55

56 56 Risikomanagement, Compliance und Interne Kontrollsysteme vom Papiertiger zum integrierten Managementsystem?