„Viel hilft viel“ lautet ein bekanntes Sprichwort. Ein Blick auf die Standardisierungswelt im Risikomanagement- und Prozessumfeld bestätigt zwar, dass vieles helfen kann. Gleichzeitig benötigt erfolgreiches Risikomanagement neben Regeln weitere Rahmenbedingungen, wie aktuelle Fälle zeigen.
PS 981 und COSO ERM wurden 2017 aktualisiert
Das Institut der Wirtschaftsprüfer (IDW) verabschiedete Anfang März 2017 eine Reihe von Prüfungsstandards, darunter den IDW PS 981 zur Prüfung von Risikomanagementsystemen. Der neue Standard wurde durch den IDW-Arbeitskreis „Prüfungsfragen und betriebswirtschaftliche Fragen zu Governance, Risk und Compliance (GRC)“ auf den Weg gebracht und folgt dem Prüfungsstandard PS 980 für Compliance-Management-Systeme.
Gleiches zählt für die aktuelle COSO-Version „Enterprise Risk Management – Integrating with Strategy and Performance”. Das 2004 veröffentlichte COSO-Framework „ERM – Enterprise Risk Management – Integrated Framework“ wurde im September 2017 aktualisiert veröffentlicht. Inhaltlich geht das Framework zum unternehmensweiten Risikomanagement auf aktuelle Themen ein – wie die zunehmende Komplexität und Globalisierung. Mit der Aktualisierung streben die COSO-Macher eine nachhaltige Organisationsführung, -überwachung und -steuerung an.
Die einzelnen Initiativen zu PS 981 und dem COSO-Ansatz sind an sich zu begrüßen, fokussieren sie sich doch stärker auf die sich ändernden Gegebenheiten in einer Welt im Umbruch. Darüber hinaus muss die Frage gestellt werden, wem der scheinbar inflationäre Erlass von Standards hilft – angefangen bei ISO über das IDW bis zu COSO.
Standards können Umsetzung von Vorschriften erleichtern
In den letzten Jahren hat sich die Haftungslage für Unternehmen und deren Führungspersonal merklich verschärft. Der Gesetzbegeber fordert neben der ordnungsgemäßen Unternehmensführung auch das Verankern von Früherkennungssystemen zum Risikomanagement. Hierzu gehört vor allem die Überwachung der eingesetzten Systeme auf ihre Wirksamkeit sowie die Risikomanagementsteuerung über die gesamte Organisation. Im Umkehrschluss heißt das: Auf die Leitungsgremien eines Unternehmens kommen jede Menge Aufgaben und Pflichten zu, deren Missachtung zu empfindlichen Strafen führen kann. Umso wichtiger sind klare Handlungslinien und Konzepte zum gesamten Chancen- und Risikomanagementprozess. In diesem Kontext können transparente Risikomanagementstandards eine wesentliche Stützte sein, um regulatorische Vorschriften umzusetzen und den Prozessweg zu erleichtern. Im Grunde eine Hilfestellung für Geschäftsführer, den Aufsichtsrat und Risikomanager.
„Glaubenskriege“ helfen der Unternehmensführung nicht
Jede Medaille hat auch eine Kehrseite. Und diese heißt in diesem Fall die Vielzahl an Standards, die in den letzten Jahren aus dem Boden gestampft wurden. Für jedes erdenkliche Organisationsprozessthema existieren Standards und damit Managementsysteme – angefangen beim Risikomanagement über die Themen Compliance, Informationssicherheit, Business Continuity Management bis zum Notfall- und Qualitätsmanagement. Dass diese ausufernden Standardisierungs- und Regulierungsversuche nicht nur Vorteile mit sich bringen, liegt auf der Hand. Ein Knackpunkt: Begriffe werden in den verschiedenen Standards unterschiedlich definiert sowie wahrgenommen, was nicht selten zu mehr Fragen als Antworten führt. Das Ganze mündet vielfach in einer Art Glaubensfrage – beispielsweise in puncto ISO versus COSO.
Für Unternehmenslenker, die im Vorfeld einen Überblick zu Risikomanagementstandards erhalten möchten, sind „Glaubenskriege“ um Standard A versus Standard B nicht zielführend und verwirrend.
Viele Systeme lassen sich nicht miteinander verbinden
Ein weiterer kritischer Punkt liegt darin, dass zu viele Managementsysteme zu reinen Insellösungen führen, die nicht miteinander verbunden sind (in neudeutsch als integrierte Managementsysteme beschrieben). Das Resultat sind Redundanzen und eine ausufernde Prozess- und Schnittstellenfülle in Organisationen. Und diese unterschiedlichen Standardisierungsansätze, Prozessabläufe und das jeweils dazugehörige „Eigenleben“ der Managementsysteme führen in vielen Fällen zu mehr Überforderung als Transparenz in Unternehmen. Geschweige denn, dass für das Betreiben und die Pflege der jeweiligen Lösung Menschen, sprich Mitarbeiter, notwendig sind. Die Folge ist mehr Unsicherheit in den Führungsetagen und ein unklarer Weg im gesamten Steuerungs- und Überwachungsprozess zu den Themen Risikomanagement, Compliance und Governance.
Standards fokussieren besonders auf Aufbau- und Ablauforganisation
In der Unternehmenspraxis vieler Organisationen zeigt sich, dass es trotz bestehender Risikomanagementstandards zu Turbulenzen kommt. Die zunehmende Digitalisierung, geopolitische Risiken, sowie eine globale Vernetzung sind keine neuen Herausforderungen und Risikofaktoren. Und doch sind sie Gründe, weshalb Unternehmen regelmäßig in Schieflage geraten oder scheitern. Experten sehen die Ursachen vor allem in nicht existierenden oder schlechten Prozessen und mangelnden Risikomanagementstrukturen. Der steigende Druck aus den Regulierungsvorschriften tut in Unternehmen ihr übriges und verlangt von Organisationen einen wachsenden Einsatz von Ressourcen, Zeit und Geld.
Kultur, Werte und Mitarbeiter werden zu oft vergessen
Dieser Kraftaufwand zur Umsetzung von Standards und Prozessen drängt einen wichtigen Faktor aus dem Sichtfeld der Entscheiderebene. Die Rede ist von einer gelebten Unternehmenskultur, die Grundvoraussetzung für jeden Prozessschritt in einer Organisation ist. Ohne den Mitarbeiter ist diese nicht zu bekommen. Damit platzen die besten Standardisierungs- und Prozessabsichten und das Risikomanagement verkommt nicht selten zu einer rückwärtsgewandten Sicht in Form des reinen Abarbeitens von Checklisten. Gelebt sieht anders aus und zukunftsgewandt ist in diesen Fällen wenig bis nichts. Das heißt im Umkehrschluss, dass der Mitarbeiter im Mittelpunkt des Unternehmens stehen muss. Ihn zu schulen und zu sensibilisieren ist eine der größten Herausforderungen, vor denen Organisationen stehen.
Wissen, Chancen, RMA: Risk Management Congress 2017
Die Risk Management Association e. V. (RMA) veranstaltet ihren diesjährigen Risk Management Congress am 16. und 17. Oktober 2017 in Nürnberg. Die Jahreskonferenz steht im Zeichen eines modernen Risikomanagements in Zeiten der Unsicherheiten. Das Themenspektrum reicht von der Entscheidung unter Unsicherheit über neue Risikomanagementstandards bis zum Cyber Risk Management und zu Human Risk Factors.