Ende September 2017 fand zum ersten Mal das GRC-Forum des österreichischen Controller Instituts statt. Rund 100 Experten, Fach- und Führungskräfte aus den Bereichen Risikomanagement, Compliance Management, Informationssicherheit sowie Controlling und Finance folgten der Einladung in Palais Kempinski in Wien. Der Tag stand ganz unter dem Motto Agilität und Effizienz in Governance, Risk und Compliance.
Risikomanagement der Zukunft
Im Anschluss an die Begrüßung durch Rita Niedermayr (Geschäftsführerin | Österreichisches Controller-Institut), referierte Frank Romeike (Geschäftsführender Gesellschafter und Gründer | RiskNet GmbH) über die Zukunft des Risikomanagements und das Risikomanagement der Zukunft. Er sagte, dass der Fluch des Risikomanagements häufig darin liege, dass es keine Verknüpfung zwischen Strategie und Risiko gibt. Oftmals haben Unternehmen nur ein report-getriebenes Risikomanagement. "Risikomanagement ist oft ein Potemkinsches Dorf", sagte Romeike und meint damit, dass Risikomanagement oberflächlich ausgearbeitet wirkt, aber in der Praxis nicht mehr ist, als eine reine rückspiegelorientierte "Risikobuchhaltung". Dabei besteht insbesondere für disruptive Innovationen und strategische Risiken ein unzureichendes Bewusstsein.
Frank Romeike sprach zunächst über die fünf Stufen der Reifeggradtreppe im Risikomanagement. Im Anschluss stellte er die Frage, was die Herausforderungen im Risikomanagement sind, um ein Risikomanagement der Zukunft zu sein? Er fasste zusammen: Kompetenzen müssen gestärkt, Methoden müssen professionalisiert und die Inseln im Unternehmen müssen beseitigt werden.
Sechs Zielsetzungen im GRC
Samuel Brandstätter (CEO | avedos GRC GmbH) sprach über "Three Lines of Defense Model extended – Die Verantwortung des Managements im Kontext von Performance und Integrität". In seinem Vortrag ging er auf die sechs Zielsetzungen im GRC ein: Strategy, Risk, Control, Securtiy, Compliance und Audit. Brandstätter meinte: "GRC ist damit sehr viel mehr als lediglich die Erfüllung von gesetzlichen und regulatorischen Pflichten, sondern ist die Grundlage ordnungs- und wertorientierter Unternehmensführung". Wichtig ist eine sogenannte GRC-Intelligenz sowie übergreifende Integration von Enterprise Risk Management, IKS oder Datenschutz. Dafür präsentierte er auch einen Aktionsplan, der ein integriertes GRC ermöglichen kann.
Tone from the Top entscheidet über Erfolg von GRC
Ein weiterer Höhepunkt am Vormittag war die Panel Diskussion, bei der unter der Moderation von Karin Exner (Senior Advisor | Controller Institut GmbH) vier Risiko-Experten diskutierten: Eva Maria Schrittwieser (Zentrale Risikomanagerin | Bundesministerium für Finanzen), Peter Viehböck (Head of Internal Audit & Risk Management | Lenzing AG), Friedrich Vodicka (Chief Risk Officer | Verbund AG) und Katharina Zeitlhofer (Head of Risk Management & Internal Audit | PALFINGER AG). Einig waren sich alle vier, dass es besonders drei Punkte gibt, die im Unternehmen für Risikomanagement relevant sind: 1. Tone from the Top, 2. Integrierte Systeme sowie 3. eine Lern- und Fehlerkultur im Unternehmen.
Silodenken muss verschwinden
Patrick Prügger (Geschäftsführer | B&C Industrieholding) sprach über die Erwartungen des Aufsichtsrates. Seiner Meinung nach ist ein großer Unterschied im GRC zwischen Emittenten-Compliance und Compliance-Organisation. Wichtig ist es seiner Meinung nach, dass kein Silodenken im Unternehmen herrscht.
Parallele Streams zur Fokussierung
Im Anschluss an die Mittagspause, die für angeregte Diskussionen über die Vorträge des Vormittags genutzt wurde, konnten sich die Teilnehmer des 1. GRC-Forums für einen von zwei parallelen Streams entscheiden: "GRC-Praxis" oder "Datenschutz und Datensicherheit".
Aus dem Bereich GRC-Praxis wurden unter der Moderation von Markus Hölzl (Managing Director | EY Österreich) zwei Best-Practice-Beispiele präsentiert:
Der Beitrag von Miriam Fitzinger (Accounting Manager | ESIM Chemicals GmbH) behandelte das Thema: ESIM Chemicals - Einführung eines neuen Risikomanagementsystems im Rahmen eines "Spin-off". Bei dem Projekt wurde zunächst ein Risikokatalog erstellt. Die Zielsetzung der Risikoidentifikation war eine regelmäßige, effiziente und vollständige Erfassung aller Einzelrisiken, die Einfluss auf die Unternehmensziele haben, unabhängig davon, ob ihr Aufkommen durch die ESIM Chemicals GmbH beeinflusst werden kann oder nicht. Diese Risikoeinschätzung wird regelmäßig wiederholt.
Im Anschluss präsentierte Stefan Tegischer (Leitung Risikomanagement | Österreichische Post AG) seinen Beitrag "Von der Pflicht zur Kür: Risikomanagement als kontinuierlicher Verbesserungsprozess". Dabei schilderte er die Implementierung der Risikomanagementsoftware avedos.
Die Spezialisierung Datenschutz und Datensicherheit wurde von Drazen Lukac (Associate Partner | EY) moderiert.
Die Datenschutz-Grundverordnung stand ganz im Zeichen dieses Streams. Nach dem Einführungsvortrag durch Thomas Breuss (Pelzmann Gall Rechtsanwälte GmbH) zur neuen Gesetzgebung, präsentierte Judith Leschanz, (Leitung Data Privacy | A1 Telekom Austria AG) das Datenschutzprojekt bei der Telekom Austria. Dort wurde ein Datenschutz-Management-System implementiert.
Blick aus dem Auditorium
Frank Romeike (Geschäftsführender Gesellschafter RiskNET GmbH) diskutierte über die "Zukunft des Risikomanagements" und das "Risikomanagement der Zukunft"
Samuel Brandstätter (CEO, avedos GRC GmbH) sprach über "Three Lines of Defense Model extended"
Pausengespräche: Samuel Brandstätter und Frank Romeike
Samuel Brandstätter (CEO, avedos GRC GmbH), Rita Niedermayr (Geschäftsführerin, Österreichisches Controller-Institut) und Frank Romeike
Einigkeit während der Paneldiskussion: 1. Tone from the Top, 2. Integrierte Systeme sowie 3. eine Lern- und Fehlerkultur im Unternehmen.
Patrick Prügger (Geschäftsführer, B&C Industrieholding) favorisiert die stochastische Szenarioanalyse im Risikomanagement
Rund 100 Teilnehmer beim 1. GRC-Forum in Wien