„Risikomanagement ist keine administrative Übung“
Wie gelingt es Risikomanagement in die Unternehmenskultur zu integrieren? Dr. Karin Exner, Teil der fachlichen Leitung des GRC-Forums befragte Mag. Wolfgang Wrumnig, Mitglied des Vorstands und CFO der Siemens AG Österreich zur Risikomanagement-Praxis.
Karin Exner: Wo sehen Sie in Ihrem Unternehmen derzeit die wichtigsten zukünftigen Entwicklungsschritte des Risikomanagements?
Wolfgang Wrumnig: Risikomanagement darf keine isolierte Disziplin im Unternehmen sein. Im Gegenteil, Risikomanagement muss meiner Meinung nach ein integrierter Bestandteil der Unternehmenssteuerung sein, und dabei auch das Chancenmanagement umfassen. Bei Siemens haben wir das bereits geschafft. Nun stellen wir sicher, dass wir die Chancen, die sich auch durch die Digitalisierung und die Datenflut ergeben, im Rahmen des Chancen- und Risikomanagements auch nutzen. Wir greifen auf entsprechende Softwaretools zurück, um die Chancen und Risiken transparent darzustellen.
Exner: Ist für Sie die integrierte Betrachtung von Governance, Risk und Compliance schon an der Tagesordnung oder sehen Sie hier noch große Herausforderungen?
Wrumnig: Die integrierte Betrachtung von Governance, Risk und Compliance ist bei uns schon Realität. Governance stellt sicher, dass die Rahmenbedingungen für das Chancen- und Risikomanagement sowie Compliance vorhanden sind. Die Chancen und Risiken werden regelmäßig überprüft, aktualisiert und in Management-Meetings diskutiert.
Exner: Die Neuauflage des COSO ERM Standard aus 2017 fordert eine verstärkte Integration von Risikomanagement mit der Strategie und dem Performance Management. Ist diese Integration für Sie schon an der Tagesordnung? Inwiefern sind Strategieprozess und Risikomanagement miteinander – prozessual oder organisatorisch – verknüpft? Wie stark sind Risikomanagement und Controlling – prozessual und organisatorisch – integriert?
Wrumnig: Als Siemens Österreich sind wir Teil eines global tätigen Konzerns, wir leisten daher laufend Beiträge für den Strategieprozess in unserem Headquarter. Die Nähe zu den Märkten liefert wichtige Informationen für die globale Unternehmensstrategie. In diesen Prozess ist selbstverständlich auch das Chancen- und Risikomanagement integriert. Auch wenn der Fokus im Chancen- und Risikomanagement in den regionalen Einheiten eher im kurzfristigen Beobachtungszeitraum liegt, wie z.B. Projektrisiken, Schwierigkeiten geeignetes Personal zu finden, etc. sind es aber auch Themen, die eine mittel- und langfristige Perspektive beinhalten, wie z.B. der Markteintritt neuer Wettbewerber. Es gelingt uns in unserem Unternehmen aus meiner Sicht gut, Risikomanagement und Unternehmensteuerung miteinander zu verknüpfen.
Exner: Welche Voraussetzungen müssen erfüllt sein, damit das Risikomanagement im Unternehmen einen wirksamen Beitrag zur Unternehmenssteuerung leisten kann?
Wrumnig: Es ist gefährlich, wenn Risikomanagement nur als administrative Übung gesehen wird. Daher muss Risikomanagement ein integrierter Bestandteil der Unternehmenskultur sein. Der Fokus darf jedoch nicht nur Risiken beinhalten, sondern muss auch die Chancen erfassen, um den vollen Nutzen zu erreichen.
Weiterbildungstipps
3. GRC-Forum | Jahresforum für Governance, Risk und Compliance
Wann? Am 24. September 2019 | Wo? Austria Trend Parkhotel Schönbrunn | Anmeldung
Certified Corporate Risk Manager | Identifikation, Bewertung und Steuerung von Risiken
Wann? Start am 7. November 2019 | Wo? Seminarhotel & Palais Strudlhof, 1090 Wien, Eingang: Strudlhofgasse 10 | Anmeldung
Muss nicht im Rahmen einer Strategieentwickung und eines Strategiereviews, zwangsläufig auch, vor Erstellung eines Maßnahmenplanes, auch eine Strategiebewertung (Mehrjahresplanung, skalierende Vergleiche, u.a. m.) vorgenommen werden und damit wohl zwangsläufig auch eine Risikoeinschätzung (Identifikation, Qantifizierung, Eintrittswahrscheinlichkeit, Vermeidung-Verminderung-Auslagerung-selber tragen)! Zudem schreibt doch der öst. Governance Code, im Rahmen der Berichterstattung an den Aufsichtsrat, vor, die Berichterstattung einschließlich Risiko und Risikomanagement, vorzunehmen. Auch ein Risikoausschuss hat über die Wirksamkeit des IKS und des Risikomanamgements zu befinden. Auch im Lagebericht ist auf die wesentlichen Merkmale des IKS und des Risikomanagements, im Hinblick auf den Rechnungslegungsprozess, einzugehen.
Grundsätzlich sollte man davon ausgehen, dass in den Unternehmen im Rahmen der Strategieentwicklung auch Risiken erfasst und bewertet werden. Außerdem ist – zumindest für die meisten großen Unternehmen – die Risikoberichterstattung an den Prüfungsausschuss gesetzlich verankert.
In der Praxis erleben wir aber, dass die Integration von Strategie und Risikomanagement sehr unterschiedlich gelebt werden kann – von Silo-Ansätzen, die oft auch in unterschiedlichen Vorstandszuständigkeiten begründet sind, bis hin zu starker Integration des Risikomanagers in die Strategieentwicklung sind hier alle Spielarten möglich.
Ebenso kann das Risikomanagementsystem sehr unterschiedliche Entwicklungsstände bzw. Reifegrade aufweisen – von der reinen Compliance-Übung bis hin zu stark in die strategische und operative Steuerung integrierten Systemen ist hier in der Praxis alles möglich.
Im Rahmen des GRC-Forums werden wir Gelegenheit haben, den Grad der Integration der Risikomanagementsysteme in Strategie und in Compliance in unterschiedlichen Unternehmen zu beobachten.