Agilität und Effizienz in Governance, Risk und Compliance. Am 27. September 2018 öffnete das 2. GRC-Forum des Controller Instituts seine Pforten. Rund 100 Experten, Fach- und Führungskräfte aus den Bereichen Risikomanagement, Compliance Management, Informationssicherheit sowie Controlling und Finance trafen sich im Radisson Blu Royal Palace Schönbrunn in Wien, um sich über Chancen und Risiken im aktuellen Kontext auszutauschen und neue Impulse für die Zukunft mitzunehmen.
Kann Risikoquantifizierung wirklich zur Steuerung eines Unternehmens dienen? Anhand zweier konkreter Risiken – Mitbewerber-Risiko und Feuerrisiko – wird Ihnen der Nutzen von Risikoquantifizierung als Steuerungsinstrument in der Praxis näher gebracht.
Crystal Ball® ist ein Programm zur Analyse und Modellierung von Risiken. Als Excel-Add-In fügt es Excel ein neues Menüband und neue Befehle hinzu. Aber was sollten Controller und Risikomanager wissen, um das Programm schnell und einfach im Alltag einsetzen zu können?
Seit das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) 1998 vom Deutschen Bundestag beschlossen wurde und dann auch in Kraft getreten ist, haben sich erstmalig auch einige österreichische Unternehmungen verstärkt mit der Einführung eines unternehmensweiten Risikomanagements beschäftigt. Dabei gab es unterschiedliche Tendenzen – von einer qualitativen Erfassung der Risiken (dh. seitenlange Aufzählung von identifizierten Risiken) bis zur quantitativen Modellierung der Risiken (bspw. mittels Monte-Carlo-Simulation zur Berechnung eines Earnings at Risk). Nur wenige Unternehmen erkannten bereits damals die Möglichkeit, mit einem gut entwickelten und integrierten unternehmensweiten Risikomanagement, die Finanz- und Steuerungsprozesse aktiv und positiv zu erweitern.
Risikomanagement und Controlling verbinden viele Gemeinsamkeiten: Auf Grundlage einer gleichen Datenbasis entwickeln beide Abteilungen entscheidungsrelevante Reports, Planungen und Kalkulationen. Und im Spannungsfeld von Chancen und Risiken sehen sie sich gleichen Berichtsempfängern, Fachabteilungen oder der Geschäftsführung als Managementberater gegenüber.
Wie sich konkrete Synergien beider Abteilungen erkennen und ausschöpfen lassen, beschreiben die Experten der Risk Management Association (RMA) und des Internationalen Controller Vereins (ICV) in ihrem gemeinsamen Praxisbuch:
Unternehmensweites Risikomanagement hat sich in den letzten Jahren als fixer Bestandteil der Corporate Governance der meisten großen Unternehmen etabliert. Die in den Unternehmen implementierten Risikomanagementsysteme sind aber keineswegs einheitlich, sondern je nach Unternehmen sehr unterschiedlich entwickelt. Ein wesentliches Differenzierungsmerkmal ist die Vorgehensweise bei der Bewertung und Aggregation der Risiken. Hier findet man eine große Bandbreite an Methoden: von einfachen, qualitativen Vorgehensweisen bis hin zu komplexen, quantitativen Ansätzen. Dieser Beitrag stellt unterschiedliche Methoden der Risikobewertung vor, zeigt Zusammenhänge zwischen Risikobewertung und Reifegrad der Risikomanagementsysteme auf und beschreibt die Herausforderungen bei der Risikobewertung in der Praxis.
Die Monte-Carlo-Simulation ist das derzeit umfassendste Instrument für den Umgang mit Unsicherheit. Im Unterschied zu den bisherigen Verfahren, die trotz ihrer Komplexität nur einige wenige Varianten durchrechnen, erlaubt die Monte–Carlo-Methode die Simulation von zehntausenden Varianten. Grundsätzlich werden bei der Monte–Carlo–Simulation für sensitive Variablen Grenz- und Mittelwerte festgelegt. Innerhalb deren wird eine Wahrscheinlichkeitsverteilung angenommen. Zwischen dem festgelegten Minimal- und Maximalwert werden zufällig beliebig viele (i. d. R. tausende) Werte ausgewählt, und für jeden einzelnen wird das Planungsprojekt gerechnet. Da die Auswahl der Werte gemäß ihrer Wahrscheinlichkeit erfolgt, können auch über die Ergebnisse der Berechnungen Wahrscheinlichkeitsaussagen getroffen werden: Man weiß dann z. B., dass der Gewinn mit einer Wahrscheinlichkeit von 20 % zwischen 10 und 12 liegen wird.
Risikomanagementsysteme haben sich als Bestandteil der Corporate Governance in österreichischen Unternehmen etabliert. Das Bedürfnis, Kenntnis bestehender Risiken zu erlangen um diese zu bewerten ist immanent, Aufsichtsgremien signalisieren großes Interesse an den Resultaten und an den abgeleiteten Maßnahmen. Die Reifegrade der bestehenden Risikomanagementsysteme variieren im österreichischen Vergleich stark und in zahlreichen Unternehmen werden sowohl Fragen nach der Weiterentwicklung der Risikomanagementsysteme als auch nach der Steuerungsrelevanz der Ergebnisse gestellt.
Eva Maria Schrittwieser im Gespräch mit Sarah Blaimschein
Warum braucht es Ihrer Meinung nach im Bundesministerium für Finanzen ein Governance-Risk-Compliance-Management?
Das Bundesministerium für Finanzen hat sich bereits vor vielen Jahren zu einer wirkungsorientierten Verwaltungsführung nach den Grundsätzen des New Public Management bekannt. Im Zuge tiefgreifender Veränderungen wurden die Aufbau- und die Ablauforganisation neu gestaltet sowie neue betriebswirtschaftliche Instrumente implementiert. Die Einführung eines Risikomanagements war aus meiner Sicht ein weiterer logischer Schritt. Der gewählte ganzheitliche Ansatz des Governance-Risk-Compliance-Managements soll helfen, die bevorstehenden Herausforderungen zu meistern, Risiken im Entscheidungsprozess zu berücksichtigen und dabei die steigende Komplexität nicht aus den Augen zu verlieren. Das Vertrauen der Bürgerinnen und Bürger sowie der Unternehmen in die öffentliche Verwaltung ist wichtiger denn je. Unsere Gesellschaft verlangt – völlig zu Recht – mehr Verantwortlichkeit und Transparenz zum Beispiel im Umgang mit Steuergeldern. So will das Governance-Risk-Compliance-Management im Bundesministerium für Finanzen auch zur Sicherung der finanziellen Interessen der Republik und zum Erhalt der guten Reputation des Ministeriums beitragen. Die Reputation einer großen Verwaltungseinheit wie dem Bundesministerium für Finanzen hängt auch von den eigenen Mitarbeitern sowie deren Qualifikation und Verhalten ab. Das Governance-Risk-Compliance-Management unterstützt bei der Sensibilisierung der Mitarbeiter in Bezug auf die Risiken in ihren eigenen Aufgabenbereichen und sorgt für die Sicherstellung von Compliance im Ressort.
Komplexer werdende Unternehmensumwelten, die voranschreitende Digitalisierung und neue Geschäftsmodelle – die Anforderungen an die strategische Planung steigen und die Geschäftsführung sieht sich mit neuen Herausforderungen konfrontiert. Integriertes GRC liefert die Leitplanken für risiko- und wertorientierte Unternehmensführung.