Rethink GRC – mit neuen Impulsen durchstarten

Fast alle Unternehmen sind aktuell mit massiven Veränderungen und Diskontinuitäten konfrontiert: Digitale Transformation, COVID-19-Pandemie und Klimakrise erfordern, dass Unternehmen die Weichen für die Zukunft anders stellen, Geschäftsmodelle überdenken und Unternehmensstrategien neu definieren. GRC-Systeme sind in diesem Umfeld gefordert, sich von der Compliance-Orientierung hin zu wirkungsvollen, integrierten Steuerungsmechanismen zu entwickeln. GRC-Verantwortliche müssen diese Entwicklung in ihren Unternehmen vorantreiben und sinnvolle Entwicklungsschritte setzen. Welche Entwicklungsrichtung zum Unternehmen passt, hängt stark von der Ausgangsposition des GRC-Systems und vom Unternehmensumfeld ab.

1. Reporting und Compliance im Vordergrund, Nutzen fraglich

In vielen Unternehmen hat sich Risikomanagement zu einer Aufgabe entwickelt, die zwar sicherstellt, dass regelmäßig an Vorstand und Aufsichtsrat/Prüfungsausschuss über die Risiken des Unternehmens berichtet wird und die gesetzlichen Anforderungen erfüllt werden. Darüber hinaus leistet es jedoch wenig relevanten Beitrag zur Steuerung des Unternehmens. Folgende Entwicklungen lassen sich in vielen Unternehmen beobachten:

• Enterprise Risk Management wird als notwendige Pflichtübung gesehen, mit Fokus auf Risikoreporting und Compliance.
• Im Mittelpunkt steht die Verwaltung einer Liste von Risiken, die in regelmäßigen Abständen aktualisiert wird.
• Der Großteil der verwalteten Risiken sind vermeidbare, interne Risiken. Strategische Risiken werden häufig ausgeblendet.
• Die Risikobewertung ist primär qualitativ, Ergebnis und fixer Bestandteil des Reporting ist die Risk Map. Diese fördert den isolierten Umgang mit Einzelrisiken und stellt keinen Bezug zu den Unternehmenszielen her.

In der COVID-Krise wurde in vielen Unternehmen deutlich, dass ein derart gestaltetes Risikomanagement wenig Nutzen für die Steuerung des Unternehmens leisten kann und damit von den Führungskräften insgesamt kritisch hinterfragt wird. Auch haben viele Risikomanagement-Organisationen zu wenig Anbindung an das Controlling und die Unternehmensführung, so dass der Zugang zu entscheidungsrelevanten Daten limitiert und die Verflechtung mit der operativen und strategischen Steuerung gering ist. Risikomanagementsysteme sind damit häufig Parallelsysteme, die im besten Fall wenig relevante Zusatzinformationen liefern, im schlechtesten Fall sogar im Widerspruch zu den Entscheidungsgrundlagen und Berichten aus dem Controlling stehen.

2. Mehrere Entwicklungsrichtungen möglich

Um den Nutzen zu steigern, ist daher in vielen Unternehmen eine Weiterentwicklung bzw. sogar Neuausrichtung des Risikomanagements erforderlich. Abbildung 1 bietet einen Überblick über mögliche Entwicklungsrichtungen im Risikomanagement.

Abbildung 1: Entwicklungen im Risikomanagement

Punkt 1: Integration in die Steuerung und das Controlling

Hier entwickelt sich Risikomanagement von einem isolierten Prozess, in dem der Fokus auf operativen Risiken und kurzfristig wirksamen Schadensereignissen liegt, hin zu einem – mit Strategie und Controlling – integrierten Prozess. Werden Risiken als Abweichung von den wesentlichen Zielgrößen der Unternehmensplanung (EBIT, Cash Flow) betrachtet, ergibt sich viel Potenzial für eine Integration in die Unternehmenssteuerung. Durch Abstimmung der Risikomanagementprozesse mit den Steuerungsprozessen, dh. beispielsweise regelmäßige Aktualisierung der Risikobewertung zum Zeitpunkt der Forecasts, und durch Integration der Risikoberichterstattung mit dem (Controlling-)Berichtswesen lässt sich diese Integration noch verstärken. Günstig ist hier auch eine organisatorische Integration, dh. eine organisatorische Einordnung des Risikomanagements in das Controlling, eine Integration der Prozesse und sogar eine Integration der Systeme und Tools.

Punkt 2: Integrated Risk Management (IRM)

IRM ist laut Garner „a set of practices and processes supported by a risk-aware culture and enabling technologies that improve decision making and performance through an integrated view of how well an organization manages its unique sets of risks.” Integrated Risk Management entstand auf der Basis und aus der Kritik an Governance, Risk und Compliance (GRC) Management und bietet Unternehmen ein Framework für die ganzheitliche Identifikation, Analyse, Steuerung und das Management von Risiken. Dabei wird eine intelligente Verknüpfung von GRC-Systemen angestrebt. Dies erhöht einerseits die Effizienz und steigert andererseits die Transparenz und damit die Sicherheit der Steuerungs- und Kontrollmechanismen im Unternehmen. Mit dem Begriff der IRM ist darüber hinaus eine stärkere Digitalisierung und Automatisierung der GRC-Systeme verbunden.

Punkt 3: Strategisches Risikomanagement

Die intensivere Verzahnung von Strategie und Risikomanagement ist insbesondere aufgrund der zunehmenden Bedeutung von – häufig disruptiven – technologischen Veränderungen in vielen Branchen relevant: Investoren, Aufsichtsgremien und weitere Stakeholder können in Branchen, in denen in den nächsten Jahren tiefgreifende Veränderungen erwartet werden, man denke beispielsweise an die Automobilindustrie oder den Energie-Sektor, kein Risikomanagement gebrauchen, das seinen Blick primär auf Unsicherheiten richtet, die das laufende Geschäftsjahr und vielleicht das Folgejahr betreffen. Sie fordern Risikomanagementsysteme, die – neben kurzfristigen Gefahren – auch strategische Risiken stärker in den Vordergrund rücken und untersuchen und aufzeigen wie technologische, gesellschaftliche oder ökonomische Veränderungen wirken. Auch der international führende Risikomanagement-Standard COSO fordert seit der Aktualisierung 2017 eine stärkere Integration von Risikomanagement und Strategie.

Punkt 4: Nachhaltigkeiten

Eng mit dem strategischen Risikomanagement verbunden ist auch die zunehmende Bedeutung des Themas Nachhaltigkeit. Dieses rückt aufgrund der Bedrohung durch die Klimakrise immer mehr in den Fokus der Unternehmensführung und prägt vielfach auch strategische Entwicklungen und Neuausrichtungen der Unternehmen. Damit verbunden sind auch Kapitalmarkt-Anforderungen und Corporate-Social-Responsibility-Regulierungen. Dadurch entsteht die Notwendigkeit, ESG-Risiken (Environmental, Social und Governance-Risiken) in die Berichterstattung und in das unternehmerische Risikomanagement- und interne Kontrollsystem zu integrieren.

Punkt 5: Veränderung des Rollenbilds und der Positionierung

Das Rollenbild der GRC-Verantwortlichen wandelt sich – mit der Entwicklung des Risikomanagement von einer Compliance- hin zu einer Steuerungsaufgabe, von einer Support- hin zur Experten-Funktion – so dass strategische Entscheidungen wesentlich mitgestalten werden können. Neben einem tiefen Verständnis des Unternehmens und des Geschäftsmodells benötigen Risikomanager daher umfangreiche fachliche und persönliche Skills. Die Unternehmensführung ist gefordert, das Risikomanagement im Unternehmen entsprechend zu positionieren, um diese Rolle auch zuzulassen, und eine offene, interaktive Auseinandersetzung über die Risikosituation des Unternehmens zu ermöglichen.

3. Passende Entwicklungsrichtung finden

Selbstverständlich ist Risk Management nicht in allen Unternehmen primär auf Compliance ausgerichtet, vielfach ist die Integration in die Unternehmenssteuerung schon weit fortgeschritten. Auch ist nicht in jedem Umfeld der Zeitpunkt günstig, eine Weiterentwicklung im Risikomanagement zu starten. Welche Entwicklungsrichtung für das jeweilige Unternehmen die richtige ist, hängt ganz wesentlich von der Ausgangsposition im Risikomanagement, vom Umfeld des jeweiligen Unternehmens und vor allem von der. Betroffenheit der Branche durch die aktuelle Krise ab. In der Praxis haben wir in den letzten Monaten folgende Risikomanagement-Typen erlebt (vgl. Abbildung 2):

Abbildung 2: Risikomanagement-Typen

Bei Typ 1 besteht erheblicher Entwicklungsbedarf: Das Reporting- und Compliance-orientierte Risikomanagement-System stiftet wenig Nutzen im Umgang mit der Krise. Der Nutzen wird auch von den Führungskräften stark angezweifelt. Konsequenz kann sein, dass das Risikomanagement noch weiter isoliert bzw. personell ausgedünnt wird. Um dies zu vermeiden, ist eine rasche Neuausrichtung mit stärkerer Integration in Steuerung & Controlling (risikoadjustierte Planung, risikoadjustierter Forecast) zu empfehlen.

Typ 2 stiftet ähnlich wenig Nutzen, hat aber deutlich weniger Änderungsdruck. Entsteht dieser dennoch (durch Aufsichtsratsanforderungen, Kostendruck, Diskontinuitäten im Unternehmensumfeld) sind entsprechende Weiterentwicklungen in alle oben dargestellten Richtungen möglich und sinnvoll.

Typ 3 hat schon ein in die Steuerung integriertes Risikomanagement. In der COVID-Krise trägt dieses erheblich zur Unternehmenssteuerung bei. Der Nutzen wird auch von den Adressaten wahrgenommen. Aktuell besteht in diesen Unternehmen noch eine hohe Beanspruchung (in Controlling und Risikomanagement) aufgrund der Krise, und daher wenig Kapazität für die Weiterentwicklung des eigenen Systems bspw. in Richtung strategisches Risikomanagement oder IRM. Mögliche Entwicklungsschritte sind hier eher eine Beschleunigung der Prozesse (bspw. durch Digitalisierung) und der Identifikation relevanter externer Entwicklungen

Typ 4 ist durch die Krise weniger betroffen, es bleibt daher Kapazität im Risikomanagement für inhaltliche Weiterentwicklung. Auch hier ist – abhängig vom Impuls – eine Weiterentwicklung in mehrere der oben genannten Richtungen möglich und sinnvoll. Aktuell beobachten wir in vielen Unternehmen eine stärkere Integration in die Strategie, da dies vielfach von den Aufsichtsgremien eingefordert wird.

4. Die Zukunft gestalten

Es gibt keine für alle Unternehmen passende Empfehlung zur Weiterentwicklung der GRC-Systeme. Klar ist, dass in vielen Unternehmen eine Integration der GRC Systeme zur Effizienzsteigerung sinnvoll sein wird. Andere Unternehmen werden, – um bewusst die Gesamtrisikoposition ermitteln und steuern zu können, – eine Integration in das Controlling und später vielleicht auch in die strategische Steuerung anstreben. Wesentlich ist dabei für alle eine Analyse der Ausgangsposition und die Entwicklung einer auf Ausgangsposition und Umfeld zugeschnittenen Roadmap zur Weiterentwicklung. Dadurch kann die Zukunft des Risikomanagements aktiv gestaltet und der Nutzen gezielt gesteigert werden.

Literatur:

Committee of Sponsoring Organizations of the Treadway Commission (COSO): Enterprise Risk Management; 2017
https://www.gartner.com/en/information-technology/glossary/integrated-risk-management-irm