Als Reaktion auf verschiedene Bilanz- und Korruptionsskandale, neue gesetzliche Vorgaben und verschärfte Erwartungen von wichtigen Stakeholdern haben viele Unternehmen in den letzten Jahren ihre Steuerungs- und Überwachungsinstrumente weiterentwickelt. So wurden neue Systeme zum Umgang mit Risiken (Risiko-Managementsystem, RMS) und zur Sicherstellung der Einhaltung von externen und internen Anforderungen etabliert (Compliance-Managementsystem, CMS) eingeführt. Ebenso wurden Initiativen zur Optimierung des bestehenden internen Kontrollsystems (IKS) gestartet – nicht zuletzt, um den Anforderungen aus §107 Abs. 3 AktG gerecht zu werden, der mit dem Bilanzrechtsmodernisierungsgesetz (BilMoG) eingeführt worden ist.
Im Ergebnis haben diese Initiativen vielerorts zu einer Verbesserung des Reifegrads der Steuerungs- und Überwachungsinstrumente geführt. Zugleich haben sich aber auch neue Herausforderungen ergeben, bspw. die Steigerung der Effizienz von RMS, CMS und IKS sowie die bessere Abstimmung der verschiedenen Risikoinformationen in Berichten.
Als geeigneter Lösungsansatz erweist sich immer mehr eine stärkere Verzahnung von Governance, Risk & Compliance (GRC). Dabei geht es um eine informatorische, methodische, prozessuale, technische und organisatorische Integration der genannten Systeme, auch "iGRC®" genannt. Die praktische Ausgestaltung dieser Methodik wird im Folgenden anhand des Praxisbeispiels der Alpha AG dargestellt. Die Alpha AG ist ein führendes Unternehmen mit Sitz in Deutschland und Geschäftstätigkeit im In- und Ausland.
Ausgangssituation der Alpha AG
Die Alpha AG verfügte vor der Verzahnung über separierte Systeme für Compliance, IKS und Risikomanagement. Die Folge dieser Insellösungen waren parallele, inhaltlich und methodisch nicht abgestimmte Prozesse zur Erhebung und Bewertung von bestimmten Risikoarten sowie von Maßnahmen und Kontrollen (beispielsweise Risiken der Management-Berichterstattung und bestandsgefährdende Risiken nach §91 Abs. 2 AktG). Auch bestanden separierte Berichte an Management und Aufsichtsrat mit teilweise inhaltlichen Überschneidungen. Die technische Unterstützung erfolgte über Office-Lösungen, so dass insbesondere auf Konzernebene zahlreiche manuelle Schritte zur Datenkonsolidierung notwendig waren. Die Verantwortlichkeiten für Compliance, IKS und Risikomanagement lagen organisatorisch getrennt in den Bereichen Recht, Interne Revision und Controlling.
Dieser Status Quo wurde vom Konzernvorstand in Anbetracht des Kostendrucks und der Unzulänglichkeiten im Reporting als verbesserungswürdig eingestuft. Dies führte zur Entwicklung und Umsetzung eines Konzepts für eine stärkere Verzahnung.
Umsetzung der Integration
Zunächst wurden die bislang separierten Erhebungs-, Bewertungs- und Berichtsprozesse in einem Regelprozess zusammengeführt und um einen Prozess zum Nachweis der Wirksamkeit der wesentlichen Maßnahmen/Kontrollen ergänzt. Risiken aus dem Geschäftsbetrieb, zur Finanzberichterstattung und zu Compliance-Fragestellungen werden nunmehr über einen einheitlichen Regelprozess von den operativen Einheiten und Funktionen abgefragt. Zur besseren Vergleichbarkeit kommt eine harmonisierte Bewertungsmethodik zum Einsatz, die sowohl eine monetäre als auch eine qualitative Einschätzung der Risiken in Bezug auf verschiedene qualitative Schadenkategorien (beispielsweise Reputationswirkung) ermöglicht.
Zur technischen Unterstützung des Regelprozesses wurde ein einheitliches GRC-Tool eingeführt. Es erlaubt eine dezentrale Erfassung aller relevanten Daten und eine zentrale Auswertung und Berichterstattung, weitgehend auf Knopfdruck.
Die Verantwortlichkeiten auf Konzernebene für Compliance, IKS und Risiko-management wurden in einer Funktion gebündelt. Damit wurden Reibungsverluste reduziert, einheitliche Ansprechpartner für alle Fragestellungen rund um die genannten Teilsysteme geschaffen und das entsprechende Know-how zentral an einer Stelle im Unternehmen konzentriert.
Mehrwert eines integrierten Ansatzes
Nach Überführung des Projekts in den Regelbetrieb verfügt die Alpha AG heute über eine angemessene, moderne und gleichzeitig effiziente Methodik, die operativ sehr positiv aufgenommen worden ist.
Der Mehrwert für die Alpha AG:
- Höhere Effizienz durch Vereinheitlichung von Abläufen und stärkere Automatisierung mit Hilfe einer Standard-Softwarelösung,
- Erhöhte Transparenz für das Management und das Überwachungsorgan bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen,
- Stärkere Verknüpfung der Risikoinformationen mit den Controlling-Informationen (beispielsweise Forecasts) sowie
- Erfüllung aller relevanten externen und internen Anforderungen zum Schutz von Reputation, Organen und Mitarbeitern.
Autoren:
Uwe Herre, Partner bei PwC
Dr. Hans-Jürgen Wieben, Manager bei PwC
Patrick Wolf, Manager bei PwC
[Bildquelle: © empics - Fotolia.com]