Das große Ganze | KPMG | AT

Das große Ganze

Das große Ganze

Das Management nicht-finanzieller Risiken stellt Unternehmen zunehmend vor größere Herausforderungen. Denn: Historisch gewachsene Organisationen und Managementsysteme gewährleisten die Anforderungen an eine integrierte Risikosicht nur unzulänglich.

Verwandte Inhalte

Das effektive Management von nicht-finanziellen Risiken gewinnt eine immer größere Bedeutung, nicht nur in stark regulierten Branchen wie Banken und Versicherungen. Operationale Risiken wie IT-Ausfälle, Cyberattacken, Prozessfehler durch Fehlverhalten oder auch Verstöße gegen immer strengere Compliance-Vorschriften stellen in zunehmendem Maße einen wichtigen finanziellen Faktor für Unternehmen dar. Das kann einerseits erhöhte Eigenkapitalanforderungen bedeuten, bei Materialisierung eines Risikos aber auch zu erheblichen finanziellen Verlusten führen.

Einheitliche Frameworks

Umso wichtiger sind ein effektives Erkennen von Risiken und strukturiertes Risikomanagement – und dies auf Basis einheitlicher Frameworks. In der Praxis ist das aber häufig nicht der Fall. Oft gibt es eine historische Aufgliederung von Bereichen, die sich mit nicht-finanziellen Risiken befassen:

  • Das operationale Risikomanagement erstellt Frameworks zur Erfassung und Bewertung von Risiken.
  • Das integrierte Kontrollsystem definiert Anforderungen und Kontrollen für das Rechnungswesen und den effektiven und effizienten Betrieb.
  • Compliance erstellt Regelwerke für die Einhaltung gesetzlicher Vorgaben und überprüft deren Einhaltung.
  • Security Management und Business Continuity Management definieren Policies und Kontrollen für die Erhaltung der Resilienz, Vertraulichkeit und Integrität des Unternehmens.
  • Das Datenschutz-Managementsystem definiert Regeln, um die Sicherstellung der Privacy zu gewährleisten.

Gemeinsames Ziel

So unterschiedlich die fachlichen Themen sind, mit denen sich die einzelnen Bereiche befassen, so haben sie doch einiges gemeinsam: Es geht um die Erfassung und Bewertung von nicht-finanziellen Risiken, die Entwicklung geeigneter Strategien und daraus abgeleiteter Regelwerke und Kontrollen, um diese Risiken gemäß des Risikoappetits des Unternehmens zu reduzieren oder zu transferieren. Außerdem geht es um die laufende Überprüfung der Einhaltung dieser Regeln. Falls sich eines der Risiken materialisiert und es zu einem Vorfall kommt, bedarf es darüber hinaus noch eines geeigneten Vorfalls-Managements: Der Vorfall muss effektiv und strukturiert abgewickelt und geeignet dokumentiert werden, im Rahmen eines kontinuierlichen Verbesserungsprozesses müssen Schlüsse für die zukünftige Vermeidung gezogen werden.

Fehlende Integration

Aufgrund der häufig vorkommenden historischen Fragmentierung der nicht-finanziellen Risikobereiche ist es in der Unternehmenspraxis oft der Fall, dass die zugehörigen Managementsysteme kaum aufeinander abgestimmt oder gar miteinander integriert sind. Jeder Bereich hat seine eigene Methode zur Identifikation und Bewertung von Risiken, Kontroll-Frameworks unterschiedlicher Granularität, welche überdies oft überlappen, sowie unterschiedliche Prozesse zur Überprüfung der Compliance mit den Regeln. Auch die Behandlung von Vorfällen läuft nach unterschiedlichen Methoden ab und wird anders dokumentiert. Häufig werden unterschiedliche Tools und Methoden eingesetzt. Als Konsequenz ist es für Unternehmen schwierig, eine integrierte Sicht auf seine nicht-finanziellen Risiken zu bekommen. Eine gesamthafte Risikosteuerung wird dadurch erschwert oder gar verunmöglicht.

Genau das wird aber durch Regulatorien wie BCBS 239, CRD IV oder Solvency II gefordert. Auch liegt es im Interesse einer gesamthaften Unternehmenssteuerung, nicht nur im Bereich finanzieller Risiken jederzeit ein vollständiges Bild zu haben, sondern auch im Bereich der immer wichtiger werdenden nicht-finanziellen Risiken.

Abstimmung der Methoden

Der Schlüssel zur Erreichung einer integrierten Risikosicht liegt in der Erstellung eines Non-Financial Risk Governance Frameworks. Dieses Framework muss die Anforderungen aller Non-Financial Risk-Bereiche abdecken und diese mittels geeigneter Prozesse, Methoden und Tools unterstützen. Dabei soll jeder Bereich weiterhin die Aufgaben wie bisher wahrnehmen, die zugrundeliegenden Methoden werden aber aufeinander abgestimmt und integriert.

Ein bewährter Ansatz dazu ist die Entwicklung eines übergreifenden Szenario-Managements: Jedem Bereich wird die Verantwortung für definierte Szenarien zugewiesen, welche aber nach gleicher Methode beschrieben und gemanagt werden. Auf diesen Szenarien können in weiterer Folge Kontroll-Frameworks aufgebaut werden, die wiederum dieselbe Struktur, jedoch bereichsspezifisch unterschiedliche Inhalte aufweisen.

Auch die Risikobewertung wird vereinheitlicht: Im Rahmen eines übergreifenden Business Impact Assessments werden die Auswirkungen von Risiken nach einer gemeinsamen Methode erfasst und bewertet. Das kann quantitativ oder qualitativ erfolgen, wesentlich ist die einheitliche Methode. Dadurch wird eine Aggregierung der verschiedenen Risikokategorien bis auf Unternehmensebene möglich, ein vollständiges Non-Financial Risk Reporting wird ermöglicht. Die Verwendung von sogenannten „Governance, Risk & Compliance Tools“ (GRC) erleichtert einen solchen Ansatz erheblich: Sie bilden die Methoden systemgestützt ab und automatisieren Aggregierungen.

Eine organisatorische Zusammenführung der unterschiedlichen Non-Financial Risk-Bereiche ist zwar oft hilfreich und wirkt beschleunigend. Sie ist aber nicht zwingend erforderlich, solange alle Bereiche sich auf die gemeinsamen Methoden und Prozesse verständigen.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden