„Ein gutes Risikomanagementsystem hat keine blinden Flecken“

Der „Blick auf das Ganze“ – die Verzahnung von Governance, Risiko, Compliance und Management im Sinne einer nachhaltigen Unternehmensführung – steht bei GRC aktuell stets im Vordergrund. In diesem Sinne gewährt Markus Hölzl einen Einblick hinter die Kulissen von Internal-Audit- und Risikomanagement-Dienstleistungen bei einem Big4-Unternehmen. Mag. Markus Hölzl, Partner bei EY und Leiter Internal Audit & Risk Management, im Interview.

Mag. Markus Hölzl, CFA, CIA ist Partner bei EY
Österreich in Wien und leitet den Beratungsbe-
reich Internal Audit und Risikomanagement.

GRC aktuell: Zum Einstieg eine bewusst provokant formulierte Frage: Weshalb gibt es überhaupt GRC-Management? Anders gewendet: Worin liegt der Nutzen für Unternehmen? Wie sehr ist das GRC-Bewusstsein in österreichischen Unternehmen verankert? Was ist die Best Practice, um eine zukunftsfähige Unternehmung zu gewährleisten?

Markus Hölzl: GRC-Management ist notwendig, um als Unternehmen bzw generell als Organisation erfolgreich zu sein bzw zu bleiben. Viele österreichische Unternehmen sind sehr erfolgreich und operieren und wachsen in einem immer komplexer werdenden, sich schnell wandelnden Umfeld. Bei diesen Rahmenbedingungen braucht es klare Strukturen, eine klare Zuordnung von Rollen und Verantwortlichkeiten und Transparenz, was aktuelle und zukünftige Risiken und Chancen betrifft, um auch eine schnelle Reaktion gewährleisten zu können. Dabei unterstützt ein gutes GRC-Management.

In den letzten Jahren konnte ich einen Anstieg des GRC-Bewusstseins in Unternehmen beobachten: Das Thema hat zunehmend an Bedeutung gewonnen. Derzeit liegen die Herausforderungen für die Unternehmen vor allem darin, die Anforderungen an das GRC-Systems neu zu kalibrieren und festzulegen, welchen Reifegrad man betreffend die unterschiedlichen GRC-Instrumente, wie IKS, Risikomanagement und Internal Audit, erreichen möchte und wie umfassend die Integration dieser Systeme ausfallen soll. Hierzu gibt es meiner Ansicht nach freilich kein Patentrezept, das für jedes Unternehmen und jede Organisation anwendbar und umsetzbar ist. Vielmehr muss individuell das Zielbild definiert werden, um die Zukunftsfähigkeit bestmöglich abzusichern.

GRC aktuell: Welche organisationalen Voraussetzungen sind notwendig (tone at the top, tone from the top), um eine GRC-Organisation nach State of the Art zu implementieren?

Markus Hölzl: Es braucht die volle Unterstützung des Topmanagements und das Commitment, in ein funktionierendes GRC-System auch wirklich investieren zu wollen. Darüber hinaus braucht es Mitarbeiter bzw Projektleiter mit entsprechenden fachlichen, aber noch mehr organisatorischen und kommunikativen Fähigkeiten, welche die GRC-Implementierungen vorantreiben und gemeinsam mit den unterschiedlichsten Fachbereichen zum Erfolg führen können. Solche Projekte sind zu einem hohen Grad „Change-Management“-Projekte.

GRC aktuell: Welcher Reifegrad eines GRC-Managements ist wann wünschenswert? Welche Herangehensweise im Aufbau eines GRC-Managements verspricht nachhaltigen Erfolg?

Markus Hölzl: Der Zielreifegrad hängt von vielen Faktoren wie Größe, Komplexität, Branche, internationaler Ausrichtung und/oder regulatorischen Rahmenbedingungen (wie etwa einer Kapitalmarktorientierung) ab. Aus meiner Sicht wäre es unseriös, ein standarisiertes einheitliches Zielbild zu zeichnen. Ich denke, Unternehmen sind gut beraten, in einem ersten Schritt zu analysieren und festzulegen, welche Zielsetzungen im Detail mit dem zukünftigen GRC-System erreicht werden sollen, sprich die Definition der Erwartungshaltung des Managements. In einem zweiten Schritt geht es darum, den aktuellen Status und Reifegrad zu erheben, um Verbesserungspotenziale zu identifizieren und etwaige Lücken nachhaltig schließen zu können. Hierbei kann eine externe Einschätzung durchaus hilfreich sein, um das Selbstbild durch eine externe Betrachtungsweise zu ergänzen, denn die eigene Einschätzung muss nicht zwingend der Realität entsprechen.

GRC aktuell: Welche Herausforderungen stehen dem GRC-Management hinsichtlich Digitalisierung bevor, wohin wird der Weg weisen? Wie kann man Governance, Risk & Compliance ganz- heitlich in die Unternehmensführung integrieren angesichts eines in vielen Branchen (auch poli-tisch) zunehmend volatilen Umfelds? Wie ist der Zielkonflikt zwischen Innovation und Planungs- sicherheit am besten zu bewältigen?

Markus Hölzl: Betreffend Digitalisierung sehen wir generell sehr unterschiedliche Fort- schritte – große international operierende Unternehmen sind hier sicher weiter als mittelständische Unternehmen. Das gilt generell für alle Digitalisierungsthemen. Dies hat auch eine kürzlich in Österreich von EY durchgeführte Studie zum Digitalisierungsgrad im Mittelstand gezeigt. Bei einer Befragung von 900 mittelständischen Unternehmen gaben lediglich 51 Prozent an, dass digitale Technologien bei ihnen eine große oder zumindest mittelgroße Rolle spielen. Bei größeren Unternehmen sehen wir unterschiedliche Initiativen und Pilotprojekte, was Robotic Process Automation (RPA), Process Mining und Analytics betrifft, die sich zum Teil auch auf GRC-Themen beziehen. Auch wir setzen entsprechende Initiativen für die Internal-Audit-Funktionen, um das Thema Process Mining und Analytics mit den entsprechenden Tools wie EY Optics in die Regelprozesse der Revisionstätigkeit zu integrieren.

Die Integration von Governance, Risk & Compliance gelingt organisatorisch dort am besten, wo die zuständigen Personen und Funktionen „nahe am Topmanagement“ angesiedelt sind und mit anderen Unternehmensfunktionen, die mit Strategieentwicklung, Planung und Steuerung eines Unternehmens betraut sind, eng abgestimmt sind.

GRC aktuell: Wie kann bzw soll der GRC-Manager eine aktive Rolle, als Treiber von digitaler Innovation, einnehmen? Lässt sich die digitale Transformation durch gezieltes Risikomanagement absichern?

Markus Hölzl: Ich denke, ein GRC-Manager sollte primär Transparenz schaffen und in seiner Rolle, die in aller Regel eine Koordinationsaufgabe ist, primär dabei unterstützen, eine möglichst objektive Sicht auf potenzielle Risiken und Chancen zu gewinnen. Wenn die Identifikation von Risiken und Chancen gut gelingt, kann er natürlich indirekt auch Treiber von digitaler Innovation sein.

Ein gutes Risikomanagementsystem zeichnet sich für mich ua dadurch aus, dass es sicher- stellt, möglichst alle wesentlichen Risiken in allen Bereichen und Themenfeldern zu identifizieren, und dass es keine „blinden Flecken“ hat. Dazu zählen auch alle Risiken und Chancen, die durch digitale Transformationen entstehen.

GRC aktuell: Wie werden automatisierte Prozesse die spezifische Arbeit im GRC-/Risikomanagement beeinflussen?

Markus Hölzl: Aktuell gibt es bereits eine Reihe von unterschiedlichen IT-Tools, die den Risikomanagementprozess technisch unterstützen und teilautomatisieren. Es ist davon auszugehen, dass diese Entwicklung weiter voranschreiten wird. Das System bzw die Methode dahinter und die Bewertung von Risiken selbst sehe ich mittelfristig jedoch weiterhin bei den Experten und Führungskräften der Organisation bzw des Unternehmens.

GRC aktuell: Wie sieht aus Ihrer Sicht das Berufsbild eines GRC-Managers aus? Welche Fähigkeiten, Kenntnisse und Skills sollte bzw muss dieser mitbringen?

Markus Hölzl: Ein GRC-Manager muss zunächst ein sehr guter Kommunikator sein und einen offenen, transparenten Umgang mit Risiken und Chancen fördern. Er sollte auch durch- setzungsfähig sein und auf Augenhöhe mit an- deren Führungskräften der Organisation agieren können. Ein möglichst breites Verständnis der Herausforderungen der Organisation und allgemeine betriebswirtschaftliche Kenntnisse sind sicher auch hilfreich. IT- und Digitalisierungs-Know-how gewinnen generell an Bedeutung; außerdem sollte ein Interesse an Innovationsthemen gegeben sein. Sie sehen: Die Anforderungen an einen sehr guten GRC-Manager sind nicht gerade gering. Ich bin allerdings da- von überzeugt, dass es eine unglaublich spannende Rolle und Aufgabe in einem Unternehmen ist.

GRC aktuell: Sehen Sie einen Unterschied zwischen einem GRC-Manager eines privaten Unternehmens und in der öffentlichen Verwaltung?

Markus Hölzl: Viele Elemente sind sehr ähnlich oder identisch. Gewisse Unterschiede ergeben sich bei der Risikodefinition bzw -bewertung, und natürlich sind viele Risiken und Chancen im privaten Sektor andere als in der öffentlichen Verwaltung. Auch dürfen die unter schiedlichen Organisationsstrukturen nicht außer Acht gelassen werden.

GRC aktuell: Wie lässt sich die Rolle eines GRC-Managers in einem KMU gestalten?

Markus Hölzl: In einem kleinen Unternehmen werden die Aufgaben eines GRC-Managers implizit vom Unternehmer selbst oder von der Unternehmensleitung wahrgenommen, da das Eingehen von Risiken eine Kernfrage des Unternehmertums ist. Für mittelständische Unter- nehmen ist es jedoch sicher sinnvoll, eine Person bzw Funktion in der Organisation zu definieren, die einen sehr guten Gesamtüberblick hat und die Herausforderungen und Entwicklungen kennt, diese einordnen kann.

GRC aktuell: Welche Schwerpunkte setzen Sie im Bereich Internal Audit und Risikomanagement bei EY?

Markus Hölzl: Unter dem Titel „Internal Audit of the Future“ beschäftigen wir uns im internationalen EY-Netzwerk mit zwei wesentlichen Fragestellungen: Zum einen, wie uns Innovationsthemen dabei helfen, noch effektiver und effizienter zu werden; zum anderen, wie eine Internal-Audit-Funktion nachhaltig relevant für die zentralen Stakeholder, sprich das Management und den Aufsichtsrat, bleibt. Ganz konkret setzen wir ua mit folgenden Methoden in der Internal-Audit-Tätigkeit an: Weg von Stichprobenprüfungen hin zum Einsatz von Data-Analytics-Tools wie etwa EY Optics; Einsatz von „Process Mining“, dh die Gesamtanalyse und Visualisierung von Abweichungen vom Standardprozess; Fokus auf „High Impact Audits“, dh volle Konzentration auf jene Prüfungsfelder, die einen hohe Relevanz für die Zielerreichung eines Unternehmens oder eine Organisation haben.

Im Bereich Enterprise Risk Management (ERM) setzen wir auf die Integration von Strategie, Controlling und Risikomanagement, da auch der internationale ERM-Standardsetter COSO im Rahmen der Aktualisierung des Risk Management Framework eine starke Verzahnung des Themas Risk Management mit der Strategie und Unternehmenssteuerung einfordert.

GRC aktuell: Welche Bedeutung hat die unternehmensweite Steuerfunktion im GRC-Prozess? Wie wirken Tax-Compliance-Entwicklungen, wie zB die durch das Jahressteuergesetz 2018 eingeführte begleitende Kontrolle (auch bekannt als „Horizontal Monitoring“) und die damit ein- hergehende Etablierung eines Steuerkontrollsystems, auf das Risikomanagement bzw die GRC- Funktion in Unternehmen ein?

Markus Hölzl: Bisher war die Steuerfunktion in aller Regel noch wenig in den allgemeinen GRC-Prozess integriert. Nur bei Fällen von potenziell signifikanten Steuerrisiken gab es hier einen Link ins Enterprise-Risk-Management- System und wenige definierte und dokumentierte Schlüsselkontrollen im IKS. Dies wird sich für die betroffenen Unternehmen durch das „Horizontal Monitoring“ signifikant ändern. Nun bedarf es für die teilnehmenden Unterne men eines umfassenden Tax Risk Assessment und der Definition und Etablierung (inkl nach- vollziehbarer Dokumentation) der relevanten internen Schlüsselkontrollen. Es ist natürlich sinnvoll, jene für das IKS bereits etablierten Prozesse, Methoden und Strukturen nun auch auf die steuerrelevanten Prozesse auszuweiten und – soweit sinnvoll möglich – in gleicher Form an- zuwenden.

GRC aktuell: Stichwort Datenschutz: Wie ist der Befund zum Umsetzungsstand aus Bera-tungsperspektive? Wo liegen die Fallstricke in der Praxis?

Markus Hölzl: Viele Unternehmen haben hier – spät, aber doch – entsprechende Initiativen gesetzt und Projekte durchgeführt, um die Compliance in diesem wichtigen Bereich sicherzustellen. Einer der wesentlichen Fallstricke liegt aber darin, nicht nur einmal ein entsprechendes Datenschutzprojekt aufzusetzen, sondern die notwendigen Maßnahmen im Rahmen eines nachhaltigen Regelprozesses dauerhaft zu etablieren. Es besteht die latente Gefahr, dass einige wesentliche Aspekte durch eine einmalige Auseinandersetzung mit dem Thema nicht aus- reichend abgedeckt sind.

GRC aktuell: Wichtig mit Blick auf nachhaltige Unternehmensführung ist, dass die jeweiligen Rädchen ineinandergreifen. Wie lässt sich ein harmonischer Dreiklang von Risikomanagement, Interner Revision und Compliance erzeugen? Welche Synergien gilt es zu heben? Welche potenziellen Bruchlinien sind dabei im Auge zu behalten – Stichworte: Three Lines of Defense, ERM/ operatives Risikomanagement, Überwachungsarchitektur im Unternehmen, Weg zu Good Governance?

Markus Hölzl: Es gilt, die zum Teil unterschiedlichen Schwerpunkte in Bezug auf das Thema Risiko gut auszubalancieren und aufeinander durch institutionalisierte Gremien und Prozesse inhaltlich und idealerweise auch zeitlich gut abzustimmen. Entsprechende IT-Tools können diese integrierte Sicht gut unterstützen und in die richtigen Bahnen lenken. Es ist aber auch wichtig festzuhalten, dass die Three Lines of Defense unterschiedliche Managementsysteme sind und auch bleiben sollen, die wechselseitig aufeinander einwirken. Auch das im Jahr 2017 aktualisierte COSO Framework Enterprise Risk Management betont die Abgrenzung von ERM und IKS bei gleichzeitiger Wertschätzung der komplementären Natur beider Systeme. Ein kritischer Erfolgsfaktor ist, diese unterschiedlichen Zielsetzungen auch in der jeweiligen Organisation den Führungskräften und Experten zu kommunizieren.

Das Interview ist in der 3. Ausgabe von GRC aktuell erschienen. Weitere Infos finden Sie hier.