Special Consulting - Peter Schmid Projektmanagement
Special Consulting - Peter Schmid Projektmanagement
Special Consulting - Peter Schmid Projektmanagement
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
26. August —1. September 2009 | HANDELSZEITUNG | nr. 35 consulting | 59<br />
Risiken besser in den Griff bekommen<br />
Risikomanagement<br />
Wie Verwaltungsräte und<br />
geschäftsleitungen die<br />
Kosteneffizienz und<br />
Wirksamkeit ihrer Risikoüberwachung<br />
erhöhen<br />
können, indem sie die<br />
unternehmensinternen<br />
Risikosteuerungs- und<br />
Kontrollsysteme integrieren.<br />
Simon marti und mark macuS<br />
Die Auswirkungen des jüngsten<br />
Wirtschaftsabschwungs<br />
haben gezeigt, dass es für<br />
Unternehmen entscheidend ist,<br />
die verschiedenen Arten von Risiken,<br />
denen sie ausgesetzt sind,<br />
zu erkennen, zu analysieren und<br />
zu reduzieren.<br />
Aufgrund gesetzlicher und regulatorischer<br />
Anforderungen müssen<br />
sich Unternehmensleitun<br />
gen (Verwaltungsräte, Geschäftsleitungen)<br />
mit einem breiten Spektrum<br />
von Risiken auseinandersetzen.<br />
So verlangen Vorschriften in<br />
der Schweiz (z.B. Schweizer Obligationenrecht<br />
Art. 728a), in Europa<br />
und in den USA die Dokumentation<br />
der Risikosteuerung bezüglich<br />
der Buchführung und Rechnungslegung.<br />
Desgleichen erwarten<br />
Anleger, Interessenvertreter<br />
und gewisse Aufsichtsbehörden<br />
(beispielsweise im Finanzsektor)<br />
von den Unternehmen einen proaktiven<br />
Umgang mit ihren strategischen,<br />
operativen und Rechts/<br />
ComplianceRisiken.<br />
Da die meisten rechtlichen und<br />
regulatorischen Anforderungen<br />
eine bestimmte Risikokategorie<br />
betreffen (strategisch, operativ, finanziell,<br />
Compliance, Finanzberichterstattung)<br />
und häufig zu unterschiedlichen<br />
Zeitpunkten oder<br />
von unterschiedlichen Teams etabliert<br />
wurden, haben Unternehmen<br />
autonome Risikosteuerungs<br />
und Kontrollsysteme aufgebaut,<br />
mit denen sie jede einzelne Risikokategorie<br />
separat behandeln.<br />
Nachteile autonomer Systeme<br />
Zwar hat sich eine separate<br />
Steuerung und Kontrolle der einzelnen<br />
Risikokategorien bisher generell<br />
als die pragmatischste und<br />
effizienteste Methode erwiesen.<br />
Jedoch erkennen die Unterneh<br />
Anzeige<br />
Koordination<br />
die Vorteile einer integrierten methode können in verschiedenen Hinsichten beträchtlich sein.<br />
men vermehrt die mit dieser Aufstellung<br />
verbundenen Nachteile:<br />
• Einzelne Berichte liefern nur bezüglich<br />
einer einzelnen Risikokategorie<br />
konsistente Informationen.<br />
• Unterschiedliche methodische<br />
Ansätze führen zu Inkonsistenzen<br />
über verschiedene Risikokategorien<br />
hinweg.<br />
• Hoher Zeitaufwand für Unternehmensleitung,<br />
um übergeordnete<br />
Sicht wahrzunehmen.<br />
• Mehrfachbehandlung oder Lücken<br />
in der Risikobestimmung<br />
aufgrund von fehlendem einheitlichem<br />
Risikorahmen.<br />
• Unkoordiniertes Vorgehen auf<br />
operativer Ebene.<br />
Es besteht somit ein grosses Potenzial<br />
zur Beseitigung der heute<br />
üblichen Trennung der verschiedenen<br />
Risikosteuerungs und Kontrollsysteme.<br />
Die Vorteile einer integrierten<br />
Methode können hinsicht<br />
lich Risikobewusstsein, Risikokontrolle/reduktion,<br />
Effizienz und Kostenverringerung<br />
beträchtlich sein.<br />
Die Ziele der Integration<br />
Wenn Unternehmen sich für eine<br />
Integration ihrer Risikosteuerung<br />
und kontrolle entscheiden,<br />
stehen verschiedene Ziele im Vordergrund,<br />
wie:<br />
• Erhöhung der Wirksamkeit, das<br />
heisst Sicherstellung, dass alle we<br />
bRuno ARnold<br />
sentlichen Risiken kohärent behandelt<br />
und reduziert werden;<br />
• Erhöhen der Kosteneffizienz<br />
durch Identifizierung und Eliminierung<br />
von Doppelspurigkeiten;<br />
• Freisetzung von Führungskapazitäten<br />
durch gestraffte Prozesse<br />
und Tools;<br />
• Verstärkung des Risikobewusstseins<br />
und damit verbesserte Qualität<br />
der Entscheidungsfindung.<br />
Die Basis für eine integrierte Risikosteuerung<br />
und kontrolle sind<br />
die gemeinsamen Merkmale der<br />
verschiedenen Risikosteuerungs<br />
und Kontrollsysteme. Diese Systeme<br />
bauen alle auf denselben<br />
Elementen auf, welche abgestimmt<br />
und integriert werden können:<br />
• Rahmenwerk zu Risiken und Risikokategorien;<br />
• Grundsatzdokument auf Verwaltungsratsebene<br />
(z.B. Richtlinie);<br />
• periodische Berichterstattung<br />
auf verschiedenen Ebenen;<br />
• spezifische Zuteilung von Rollen<br />
und Aufgaben;<br />
• Prozesse und Tools.<br />
Das Ausmass der gewünschten<br />
Integration der Risikosteuerung<br />
und kontrolle ist in<br />
der Praxis sehr unterschiedlich.<br />
Bei der<br />
Festlegung des Umfangs<br />
der Integration<br />
entscheiden Unternehmen<br />
in der Regel<br />
anhand der folgenden<br />
drei Fragen:<br />
1. Welche Bereiche<br />
der Risikosteuerung<br />
und kontrolle sollen integriert<br />
werden (z.B. nur IKS und<br />
ERM oder sämtliche Bereiche wie<br />
IKS, ERM, Compliance Management<br />
und andere)?<br />
2. Welche der gemeinsamen<br />
Elemente (Richtlinien, Berichte,<br />
Rollen und Verantwortlichkeiten<br />
oder Prozesse und Tools) sollen integriert<br />
werden?<br />
3. In welchem Ausmass sollen<br />
die ausgewählten Elemente integriert<br />
werden? Soll nur der Schlussbericht<br />
für den Verwaltungsrat<br />
oder das Audit Committee integriert<br />
sein oder sollen alle Berichte<br />
auf allen Stufen integriert werden?<br />
Der Integrationsprozess<br />
Die Integration beginnt mit einer<br />
systematischen Analyse der<br />
Ziele eines Unternehmens. Da<br />
Es ist wichtig,<br />
auch die interne<br />
Revision in einen<br />
integrierten<br />
Ansatz mit<br />
einzubeziehen.<br />
raus lässt sich das Rahmenwerk<br />
entwickeln. Auch die verschiedenen<br />
bestehenden Risikosteuerungs<br />
und Kontrollsysteme müssen<br />
hinsichtlich ihrer gemeinsamen<br />
Elemente analysiert werden.<br />
Ab Beginn des Integrationsprozesses<br />
wird von den Unternehmen<br />
oft ein Berater für die Analyse<br />
und Umsetzung der konzeptionellen<br />
und organisatorischen Veränderungen<br />
beigezogen, die sich<br />
mit der Integration ergeben.<br />
Danach muss das Unternehmen<br />
den Umfang der gewünschten<br />
Integration festlegen und die<br />
drei oben aufgeführten Fragen<br />
beantworten, um den Umfang<br />
und den Ressourcenbedarf festzulegen.<br />
Ist der Umfang des Integrationsprozesses<br />
bestimmt, werden<br />
die für die Integration gewählten<br />
Elemente erarbeitet.<br />
Genaue Überwachung nötig<br />
Die Stabilität und die Eignung<br />
der erarbeiteten Elemente werden<br />
in Pilotbereichen oder abteilungen<br />
getestet, bevor das integrierte<br />
Modell im Unternehmen<br />
eingeführt wird. Nach der Einführung<br />
ist eine genaue Überwa<br />
chung nötig, um<br />
mögliche Probleme<br />
des integrierten Modells<br />
festzustellen<br />
und umgehend geeigneteMassnahmen<br />
zu ergreifen.<br />
Die meisten Unternehmenkonzentrieren<br />
sich bei der<br />
Integration auf die<br />
Risikosteuerungs und Kontrolltätigkeiten<br />
der operativ Verantwortlichen.<br />
Es ist jedoch wichtig,<br />
auch die interne Revision in einen<br />
integrierten Ansatz mit einzubeziehen,<br />
die beispielsweise Risikoindikatoren<br />
überwachen oder den<br />
Inhalt und den Prozess der von<br />
der Geschäftsleitung durchgeführten<br />
Risikoanalyse prüfen<br />
kann. Weiter lassen sich die Prüfungsplanung<br />
und berichterstattung<br />
einschliessen, womit sich<br />
weiteres Effizienz und Effektivitätspotenzial<br />
in der integrierten<br />
Risikosteuerung und kontrolle<br />
realisieren lässt.<br />
Simon marti, Partner internal audit, risk<br />
and compliance Services, kPmG Schweiz,<br />
Zürich; mark macus, Senior manager internal<br />
audit, risk and compliance Services, kPmG<br />
Schweiz, Zürich.