Digitale Risiken und Werte auf dem Prüfstand
06.05.2020
Jahrbuch Risikomanagement 2019. Von Risk Management Association e.V. (Hrsg.). Risikomanagement Schriftenreihe der RMA, Band 4, Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019, 129 Seiten, 34,95 Euro, ISBN 978-3-503-18856-7.
Der Kongress der Risk Management Association, dem führenden deutschen Verband der Risikomanager, hat sich mit Risiken der Zukunft befasst. Digitalisierung ist in aller Munde. Teilweise werden die Chancen diskutiert, aber teilweise eben auch die Risiken. Die vielfältigen Risiken, denen sich Unternehmen ausgesetzt sehen, vereinigt dieser Tagungsband.
Der erste Beitrag des schmalen Bandes hat eine wichtige, aber häufig vergessene Aussage: Risikomanagement (wie auch die anderen GRC-Funktionen) ist kein Selbstzweck. Nur solche risikomitigierenden Maßnahmen dürfen ergriffen werden, deren Nutzen höher sind als seine Kosten. Eigentlich eine Selbstverständlichkeit, aber doch zu häufig vergessen. Einen Weg, dies besser in den Unternehmensalltag zu integrieren zeigt der Autor auch auf: Er plädiert für eine Bandbreitenplanung – ein Zielkorridor für die zu erreichenden Planwerte.
Ein typisches Problem der gesamten Second Line of Defense, also aller GRC-Funktionen, besprechen Brandstätter und Howe in ihrem Beitrag. Berichte der GRC-Funktionen sind häufig fragmentiert, die Interne Revision, der Risikomanager und der Compliance-Manager berichten getrennt an ihre Adressaten. Die Adressaten haken die Berichte häufig nur ab. Zusammenhänge zwischen den einzelnen Berichten werden nicht gezogen. Die Verbindung zu strategischen Entscheidungen, die Auswirkungen auf das Risikoprofil haben, werden daher auch nicht gesehen. Die Autoren fordern die Zusammenarbeit der einzelnen Funktionen. Außerdem wollen sie, dass man von dokumentenorientierten Berichten zu digitalen Berichten kommt. Bevorzugt werden Heatmaps, die die größten Risiken zeigen und eine Drill-down-Funktion haben. Bei dieser Entwicklung, so die Autoren, sollten die Risikomanager (gleiches würden sie sicherlich für Compliance-Manager oder Revisoren konstatieren) eine treibende Rolle übernehmen, damit sie Trusted Business Advisors werden beziehungsweise bleiben können.
Großen praktischen Nutzen hat der Beitrag von Killig et al. Die Autoren vergleichen die derzeit gängigen Standards zum Risikomanagement. Dabei vergleichen sie die IDW Prüfungsstandards 340 und 981, den internationalen ISO Standard 31.000 sowie den COSO Standard ERM und die österreichische Standardreihe 49.000 ff. Dem Unternehmen, das vor der Frage steht, einen dieser Standards für die Zertifizierung zu wählen, ist insbesondere mit einer Tabelle als Entscheidungshilfe gut beraten, in dem die ausgewählten Standards nach vorher diskutierten Kriterien selektiert werden. Klare Empfehlungen der Autoren helfen zusätzlich bei der Wahl eines passenden Standards.
In zwei weiteren Beiträgen befassen sich die Autoren mit der Prüfung durch Aufsichtsrat beziehungsweise Wirtschaftsprüfer, also mit der dritten Verteidigungslinie. Bungartz stellt ein praktisch gut anwendbares Scoringmodell vor, mit dem der Aufsichtsrat die Funktionsfähigkeit des Risikomanagementsystems im Unternehmen feststellen kann. Gleißner und Wolfrum befassen sich mit den Prüfungen durch Wirtschaftsprüfer. Sie vertreten die Ansicht, dass selbst ein Testat nach den beiden einschlägigen deutschen Standards IDW PS 981 und 340 nicht den gesetzlichen Anforderungen genügt. Ihr Petitum stützen sie darauf, dass in diesen Standards nicht danach geprüft wird, ob ein Risikofrüherkennungssystem Kombinationseffekte aus Risiken erkennen kann. Auf der anderen Seite ist es aber unstrittig, dass Kombinationen aus verschiedenen Einzelrisiken dazu führen können, dass bestandsgefährdende Risiken entstehen.
Insgesamt ein wertvoller Sammelband, der neue und wegweisende Erkenntnisse zum Risikomanagement praxisorientiert zusammenfasst.
Prof. Dr. Stefan Behringer, Hochschule Luzern, IFZ – Institut für Finanzdienstleistungen Zug
Quelle: ZRFC Risk, Fraud & Compliance 2/2020
Der erste Beitrag des schmalen Bandes hat eine wichtige, aber häufig vergessene Aussage: Risikomanagement (wie auch die anderen GRC-Funktionen) ist kein Selbstzweck. Nur solche risikomitigierenden Maßnahmen dürfen ergriffen werden, deren Nutzen höher sind als seine Kosten. Eigentlich eine Selbstverständlichkeit, aber doch zu häufig vergessen. Einen Weg, dies besser in den Unternehmensalltag zu integrieren zeigt der Autor auch auf: Er plädiert für eine Bandbreitenplanung – ein Zielkorridor für die zu erreichenden Planwerte.
Ein typisches Problem der gesamten Second Line of Defense, also aller GRC-Funktionen, besprechen Brandstätter und Howe in ihrem Beitrag. Berichte der GRC-Funktionen sind häufig fragmentiert, die Interne Revision, der Risikomanager und der Compliance-Manager berichten getrennt an ihre Adressaten. Die Adressaten haken die Berichte häufig nur ab. Zusammenhänge zwischen den einzelnen Berichten werden nicht gezogen. Die Verbindung zu strategischen Entscheidungen, die Auswirkungen auf das Risikoprofil haben, werden daher auch nicht gesehen. Die Autoren fordern die Zusammenarbeit der einzelnen Funktionen. Außerdem wollen sie, dass man von dokumentenorientierten Berichten zu digitalen Berichten kommt. Bevorzugt werden Heatmaps, die die größten Risiken zeigen und eine Drill-down-Funktion haben. Bei dieser Entwicklung, so die Autoren, sollten die Risikomanager (gleiches würden sie sicherlich für Compliance-Manager oder Revisoren konstatieren) eine treibende Rolle übernehmen, damit sie Trusted Business Advisors werden beziehungsweise bleiben können.
Großen praktischen Nutzen hat der Beitrag von Killig et al. Die Autoren vergleichen die derzeit gängigen Standards zum Risikomanagement. Dabei vergleichen sie die IDW Prüfungsstandards 340 und 981, den internationalen ISO Standard 31.000 sowie den COSO Standard ERM und die österreichische Standardreihe 49.000 ff. Dem Unternehmen, das vor der Frage steht, einen dieser Standards für die Zertifizierung zu wählen, ist insbesondere mit einer Tabelle als Entscheidungshilfe gut beraten, in dem die ausgewählten Standards nach vorher diskutierten Kriterien selektiert werden. Klare Empfehlungen der Autoren helfen zusätzlich bei der Wahl eines passenden Standards.
In zwei weiteren Beiträgen befassen sich die Autoren mit der Prüfung durch Aufsichtsrat beziehungsweise Wirtschaftsprüfer, also mit der dritten Verteidigungslinie. Bungartz stellt ein praktisch gut anwendbares Scoringmodell vor, mit dem der Aufsichtsrat die Funktionsfähigkeit des Risikomanagementsystems im Unternehmen feststellen kann. Gleißner und Wolfrum befassen sich mit den Prüfungen durch Wirtschaftsprüfer. Sie vertreten die Ansicht, dass selbst ein Testat nach den beiden einschlägigen deutschen Standards IDW PS 981 und 340 nicht den gesetzlichen Anforderungen genügt. Ihr Petitum stützen sie darauf, dass in diesen Standards nicht danach geprüft wird, ob ein Risikofrüherkennungssystem Kombinationseffekte aus Risiken erkennen kann. Auf der anderen Seite ist es aber unstrittig, dass Kombinationen aus verschiedenen Einzelrisiken dazu führen können, dass bestandsgefährdende Risiken entstehen.
Insgesamt ein wertvoller Sammelband, der neue und wegweisende Erkenntnisse zum Risikomanagement praxisorientiert zusammenfasst.
Prof. Dr. Stefan Behringer, Hochschule Luzern, IFZ – Institut für Finanzdienstleistungen Zug
Quelle: ZRFC Risk, Fraud & Compliance 2/2020
Programmbereich: Management und Wirtschaft