Nachlese: 2. GRC-Forum

Agilität und Effizienz in Governance, Risk und Compliance. Am 27. September 2018 öffnete das 2. GRC-Forum des Controller Instituts seine Pforten. Rund 100 Experten, Fach- und Führungskräfte aus den Bereichen Risikomanagement, Compliance Management, Informationssicherheit sowie Controlling und Finance trafen sich im Radisson Blu Royal Palace Schönbrunn in Wien, um sich über Chancen und Risiken im aktuellen Kontext auszutauschen und neue Impulse für die Zukunft mitzunehmen.

Risikomanament Relaunch in der Praxis

Bereits zu Beginn des GRC-Forums steckte Rita Niedermayr (Geschäftsführerin | Österreichisches Controller-Institut) die Ziele des Kongresses genau ab: Gewinnen neuer Erkenntnisse und das Schaffen einer Community, die sich kontinuierlich weiterentwickelt. Im Anschluss übernahm Harald Hauer (Sachgebietsleiter Risiko- und Versicherungsmanagement | Verbund AG) das Wort und sprach über den unternehmensinternen Risikomanagement-Relaunch. Der Verbund hat erkannt, dass man auf das sich wandelnde Marktumfeld (Energiewende/Digitalisierung) reagieren muss. Im Zuge dessen überarbeiteten die Verantwortlichen den Risikomanagement-Prozess. Neben einer intensiveren Integration von strategischen Risiken soll ab dem ersten Quartal 2019 auch eine bessere Verzahnung von Controlling und Risikomanagement sowie eine stärkere Einbindung in die strategischen Entscheidungsprozesse angedacht werden. Auch ein gesteigertes Maßnahmenmanagement inklusive Entscheidungsunterstützung und eine bessere Integration einer Risikokultur stehen auf dem Plan. Mittels adressatenorientiertem Reporting erhofft man sich zudem eine zielgerichtete Kommunikation sowohl intern als auch mit externen Stakeholdern. Hauer: „Wir haben in den letzten Jahren viel dazugelernt. Wir haben unsere Aufgaben aktiv angenommen und wollen gemeinsam mit Experten an weiteren Maßnahmen arbeiten.“

Chancen durch Digitalisierung

Christoph Schwager (Managing Director SRI | RiskNet GmbH) startete mit einer eingängigen Definition des Risikomanagement-Begriffs „Risiko ist eine Unsicherheit von der ich nicht möchte, dass sie mich trifft. Und Management ist die Kunst des Handelns durch Menschen.“ In der Praxis jedoch läge das Verständnis jedes einzelnen, was Risikomanagement bedeutet, weit auseinander. Vor allem in Anbetracht der Datenmengen, die zukünftig zu verarbeiten sind, müssen neue Pläne für das Risikomanagement erstellt werden. Bereits im Jahr 2020 erwarten die IT-Analysten von IDC, dass die Datenmenge auf 44 Zettabyte, das entspricht 44 Milliarden Terabytes, anschwellen wird. „Die Analyse der Daten ist die große Chance des Risikomanagements im Zeitalter der Digitalisierung“, verdeutlicht Schwager. „Schauen Sie sich Risikomanagement systemisch und ganzheitlich an. Arbeiten Sie mit der Information und entwickeln Sie Routine.“

Was bedeutet Digitalisierung für GRC?

Noch am Vormittag diskutierten die drei Experten, Samuel Brandstätter (CEO | avedos GRC GmbH) sowie Harald Hauer und Christoph Schwager über die Chancen und Risiken der Digitalisierung für die GRC-Funktion unter der Leitung von Karin Exner (Senior Adviser | Controller Institut). Obwohl die Herangehensweise der Spezialisten an das Thema sehr unterschiedlich ist, stimmten sie in den folgenden drei Punkten überein: Der Risikomanager muss sich, um mit der Digitalisierung Schritt halten zu können, in erster Linie neue Kompetenzen aneignen, da neue Techniken neue Informationen bringen, die verstanden und ausgewertet werden müssen. Das bedeutet zweitens, dass neue Aufgaben zu bewältigen sind, um ein eindeutiges Reporting zu erstellen, das auf Managementebene auch zu zielgerichteten Entscheidungen führen kann. Zu guter Letzt müssen sich Risikomanager besser vernetzen und kommunizieren, um ihre Potenziale nachhaltig ausschöpfen zu können und um notwendige Informationen, die vielleicht bereits vorhanden sind, verarbeiten zu können. Die Digitalisierung mit all ihren Risiken und Unberechenbarkeiten ist Fluch und Segen zugleich, auch darin waren sich die Experten einig.

Risikomanagement – Cultural Change needed

Frank Gumbinger (CFO | Semperit AG Holding) gab Einblicke in Governance, Risk & Compliance aus der CFO-Perspektive. Er verdeutlichte, dass die Gesetzesänderung am Ende des letzten Jahrtausends die Einführung von Risikomanagement-Systemen erst möglich gemacht hat. Aber: Oftmals wurden diese lediglich formal ausgeführt und blieben sehr negativ behaftet in der Unternehmenskultur verankert: „Risikomanagement wurde aus dem Elfenbeinturm heraus operiert und man fand keinen Zugang. Es war eine geringe Awareness für Risiken vorhanden und auch die Management-Attention war kaum vorhanden“, erläutert Gumbinger. Wichtig für Semperit war es daher, das Risikomanagement komplett neu unter der Prämisse Cultural Change aufzusetzen.

Die Spezialisierungen des 2. GRC-Forums

Wie auch im vergangenen Jahr konnten sich die Teilnehmer nach der Mittagspause für einen von zwei parallelen Streams entscheiden: „Enterprise Risk Management – Trends und Instrumente“ moderiert von Christoph Schwager oder „Compliance und Datenschutz“ begleitet von Drazen Lukac (Associate Partner | EY Österreich).
Karin Jary (Leiterin der Gruppe Leitungsinstrumente | Magistratsdirektion der Stadt Wien) berichtete in ihrem Vortrag über den Einsatz der Pre-mortem-Methode. Hierbei werden Szenarien erdacht, in denen die Annahme zugelassen wird, dass etwas scheitert. Im Folgenden werden die Ursachen dafür identifiziert und Maßnahmen formuliert, um eben diese Katastrophe zu vermeiden. Seit 2013 hat das Team der Stadt Wien bereits 30 Szenarien durchgespielt.
Parallel dazu sprach Paul Bucher (Head of Integrated Risk Management | Uniqa Insurance Group AG) über ein ganzheitliches, integriertes Risiko-& Kontrollsystem. Der Ansatz der Versicherung umfasst ein erwartetes Ergebnis über eine Punktwertplanung durch das Controlling, und erweitert dieses mit der Sichtweise aus dem Risikomanagement durch das Monte Carlo-Modell.
Im Anschluss gab Christoph Schacher (Head of IT Strategy & Controlling | Wienerberger AG) Einblicke in das Datenschutzmanagement im internationalen Konzernumfeld nach dem Inkrafttreten der neuen Datenschutzregelung im Mai 2018.
Philipp Kitzmüller (Risk and Insurance Manager | Lenzing AG) erklärte in seinem Vortrag anhand des Mitbewerber- und Feuerrisikos, inwiefern die Risikoquantifizierung als Steuerungsinstrument für Industrieunternehmen in der Praxis angewendet werden kann.

COSO II – ein Update

Am Nachmittag ging Victoria Pichler (Manager Risk | EY Österreich) auf die Neuerungen des COSO-Risikomanagement-Rahmenwerkes ein. Bereits der Titel „Enterprise Risk Management – Integrating with Strategy and Performance” des Updates verdeutlicht die Neuerungen. Den aktuellen Entwicklungen, wie beispielsweise der Digitalisierung geschuldet, wird somit auch Risikomanagement in einen größeren Unternehmenskontext gefasst. „ERM stellt heute mehr denn je eine Supportfunktion dar, die die Unternehmensperformance positiv beeinflussen soll“, verdeutlicht Pichler im ihrem Vortrag.

Einen hoch interessanten Abschluss bildete Markus Fally (Leiter Interne Revision | Energie Steiermark AG) mit seiner Annäherung an eine Choreographie zwischen Risikomanagement, Compliance und Interner Revision. Er veranschaulichte dabei, was genau unter dem Begriff Interne Revision zu verstehen sei und wie die Überwachungsarchitektur in Unternehmen funktionieren kann. Damit schloss das 2. GRC-Forum erfolgreich und entließ die Riskmanagement- und Compliance-Community topinformiert in den späten Nachmittag.

Last but not least!
Sie interessieren sich für die Themen Governance, Risk Management und Compliance? Unser bewährter Lehrgang Certified Corporate Risk Manager startet wieder am 7. November! Mehr Informationen zum Lehrgang finden Sie hier.

Außerdem: SAVE THE DATE! Das 3. GRC-Forum findet am 24. September 2019 statt.