Der „Blick auf das Ganze“ – die Verzahnung von Governance, Risiko, Compliance und Management im Sinne einer nachhaltigen Unternehmensführung – steht bei GRC aktuell stets im Vordergrund. In diesem Sinne gewährt Markus Hölzl einen Einblick hinter die Kulissen von Internal-Audit- und Risikomanagement-Dienstleistungen bei einem Big4-Unternehmen. Mag. Markus Hölzl, Partner bei EY und Leiter Internal Audit & Risk Management, im Interview.
Agilität und Effizienz in Governance, Risk und Compliance. Am 27. September 2018 öffnete das 2. GRC-Forum des Controller Instituts seine Pforten. Rund 100 Experten, Fach- und Führungskräfte aus den Bereichen Risikomanagement, Compliance Management, Informationssicherheit sowie Controlling und Finance trafen sich im Radisson Blu Royal Palace Schönbrunn in Wien, um sich über Chancen und Risiken im aktuellen Kontext auszutauschen und neue Impulse für die Zukunft mitzunehmen.
Kann Risikoquantifizierung wirklich zur Steuerung eines Unternehmens dienen? Anhand zweier konkreter Risiken – Mitbewerber-Risiko und Feuerrisiko – wird Ihnen der Nutzen von Risikoquantifizierung als Steuerungsinstrument in der Praxis näher gebracht.
Unternehmensweites Risikomanagement hat sich in den letzten Jahren als fixer Bestandteil der Corporate Governance der meisten großen Unternehmen etabliert. Die in den Unternehmen implementierten Risikomanagementsysteme sind aber keineswegs einheitlich, sondern je nach Unternehmen sehr unterschiedlich entwickelt. Ein wesentliches Differenzierungsmerkmal ist die Vorgehensweise bei der Bewertung und Aggregation der Risiken. Hier findet man eine große Bandbreite an Methoden: von einfachen, qualitativen Vorgehensweisen bis hin zu komplexen, quantitativen Ansätzen. Dieser Beitrag stellt unterschiedliche Methoden der Risikobewertung vor, zeigt Zusammenhänge zwischen Risikobewertung und Reifegrad der Risikomanagementsysteme auf und beschreibt die Herausforderungen bei der Risikobewertung in der Praxis.
Die Monte-Carlo-Simulation ist das derzeit umfassendste Instrument für den Umgang mit Unsicherheit. Im Unterschied zu den bisherigen Verfahren, die trotz ihrer Komplexität nur einige wenige Varianten durchrechnen, erlaubt die Monte–Carlo-Methode die Simulation von zehntausenden Varianten. Grundsätzlich werden bei der Monte–Carlo–Simulation für sensitive Variablen Grenz- und Mittelwerte festgelegt. Innerhalb deren wird eine Wahrscheinlichkeitsverteilung angenommen. Zwischen dem festgelegten Minimal- und Maximalwert werden zufällig beliebig viele (i. d. R. tausende) Werte ausgewählt, und für jeden einzelnen wird das Planungsprojekt gerechnet. Da die Auswahl der Werte gemäß ihrer Wahrscheinlichkeit erfolgt, können auch über die Ergebnisse der Berechnungen Wahrscheinlichkeitsaussagen getroffen werden: Man weiß dann z. B., dass der Gewinn mit einer Wahrscheinlichkeit von 20 % zwischen 10 und 12 liegen wird.
Risikomanagementsysteme haben sich als Bestandteil der Corporate Governance in österreichischen Unternehmen etabliert. Das Bedürfnis, Kenntnis bestehender Risiken zu erlangen um diese zu bewerten ist immanent, Aufsichtsgremien signalisieren großes Interesse an den Resultaten und an den abgeleiteten Maßnahmen. Die Reifegrade der bestehenden Risikomanagementsysteme variieren im österreichischen Vergleich stark und in zahlreichen Unternehmen werden sowohl Fragen nach der Weiterentwicklung der Risikomanagementsysteme als auch nach der Steuerungsrelevanz der Ergebnisse gestellt.
Eva Maria Schrittwieser im Gespräch mit Sarah Blaimschein
Warum braucht es Ihrer Meinung nach im Bundesministerium für Finanzen ein Governance-Risk-Compliance-Management?
Das Bundesministerium für Finanzen hat sich bereits vor vielen Jahren zu einer wirkungsorientierten Verwaltungsführung nach den Grundsätzen des New Public Management bekannt. Im Zuge tiefgreifender Veränderungen wurden die Aufbau- und die Ablauforganisation neu gestaltet sowie neue betriebswirtschaftliche Instrumente implementiert. Die Einführung eines Risikomanagements war aus meiner Sicht ein weiterer logischer Schritt. Der gewählte ganzheitliche Ansatz des Governance-Risk-Compliance-Managements soll helfen, die bevorstehenden Herausforderungen zu meistern, Risiken im Entscheidungsprozess zu berücksichtigen und dabei die steigende Komplexität nicht aus den Augen zu verlieren. Das Vertrauen der Bürgerinnen und Bürger sowie der Unternehmen in die öffentliche Verwaltung ist wichtiger denn je. Unsere Gesellschaft verlangt – völlig zu Recht – mehr Verantwortlichkeit und Transparenz zum Beispiel im Umgang mit Steuergeldern. So will das Governance-Risk-Compliance-Management im Bundesministerium für Finanzen auch zur Sicherung der finanziellen Interessen der Republik und zum Erhalt der guten Reputation des Ministeriums beitragen. Die Reputation einer großen Verwaltungseinheit wie dem Bundesministerium für Finanzen hängt auch von den eigenen Mitarbeitern sowie deren Qualifikation und Verhalten ab. Das Governance-Risk-Compliance-Management unterstützt bei der Sensibilisierung der Mitarbeiter in Bezug auf die Risiken in ihren eigenen Aufgabenbereichen und sorgt für die Sicherstellung von Compliance im Ressort.
Komplexer werdende Unternehmensumwelten, die voranschreitende Digitalisierung und neue Geschäftsmodelle – die Anforderungen an die strategische Planung steigen und die Geschäftsführung sieht sich mit neuen Herausforderungen konfrontiert. Integriertes GRC liefert die Leitplanken für risiko- und wertorientierte Unternehmensführung.
Daten als Rohstoff für den Erkenntnisprozess
Zukunftsprognosen sind so alt wie die Menschheit und haben bis heute nichts von ihrer Faszination verloren. Wenn in der Antike die Römer, Griechen, Chinesen oder Ägypter eine Vorhersage über mögliche Ereignisse von Morgen suchten, berieten sie sich nicht mit ihrem Risikomanager, sondern wandten sich an ihre Orakel. Die modernen Orakel unserer digitalen und vernetzten Zeit heißen Big Data, Datenanalyse und Predictive Analytics. Helfen uns diese Werkzeuge, in einem Heuhaufen aus unstrukturierten Daten relevante Stecknadeln – etwa zukünftige Risiken – zu finden?