Aufrufe
vor 3 Wochen

RISIKO MANAGER 08.2019

  • Text
  • Normalverteilung
  • Insbesondere
  • Beispielsweise
  • Berichterstattung
  • Risiken
  • Informationen
  • Risiko
  • Bitsight
  • Ratingklassen
  • Unternehmen
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

14

14 RISIKO MANAGER 08|2019 Abb. 01 Fragmentierte Abläufe und Berichterstattung AR Risikoprofil aus? Welcher Teil des aktuellen und des geplanten Risikoportfolios dient der Deckung von Risiken des operativen Geschäfts, und welcher Anteil steht für die Deckung von Risiken aus strategischen Initiativen zur Verfügung? » Sind die Risiken der für die Erreichung der Wachstumsziele erforderlichen Initiativen durch genügend Kapital abgesichert? » Welche Wachstumsinitiativen bieten das optimale Risk-Return-Profil? manager konfrontiert, gerade diese so aktuellen Themen adäquat, frühzeitig und insbesondere mit umsetzbaren Maßnahmen hinterlegt, zu erheben und berichten. Dies wird durch die Art und Weise der klassischen Prozessabläufe und letztlich Berichterstattung nicht optimal unterstützt: Durch die überwiegend losgelöste und isolierte Betrachtung von durchaus verknüpften thematischen Hintergründen sind diese Berichte schwer miteinander vergleichbar, und es fehlt der Kontext für Entscheidungen. Besonders die GRC-Aktivitäten laufen in der Regel stark fragmentiert im Unternehmen und werden auch so berichtet. Abb. 01 Der Chancen- und Risikobericht, der Revisionsbericht, der Bericht zum Internen Kontrollsystem, der Compliance-Bericht – all diese Berichte umfassen wesentliche und teilweise überschneidende Sachverhalte, allerdings aus einer jeweils individuellen Perspektive. Das Erkennen von Zusammenhängen und Abhängigkeiten ist in dieser Art der Berichterstattung kaum möglich. Dies führt dazu, dass Listen von Risiken im Wesentlichen nur abgesegnet werden, ohne dass deren Bedeutung in den zur Unternehmensentwicklung getroffenen Entscheidungen erkennbar ist. Hinzu kommt, dass diese fragmentierten Berichte häufig sehr ausführlich sind und in jeweils eigenständigen Formaten bereitgestellt werden. Aufsichtsräte sind also laufend gefordert, auf Basis dieser Flut von fragmentierten, nicht kontextualisierten Informationen über zusammenhängende Sachverhalte zu entscheiden. Von der Pflicht zur Kür Um neben der schieren Pflichterfüllung der gesetzlichen Anforderungen einen Mehrwert für eine nachhaltige, risikobewusste und doch chancenorientierte Unternehmensentwicklung zu liefern, bedarf es eines fundamentalen Paradigmenwechsels. Im Zentrum der Berichterstattung aus den GRC-Prozessen und damit auch der Risikoberichte muss die Bemühung stehen, in folgenden für Aufsichtsrat und Vorstand relevanten Kernfragestellungen konkrete Erkenntnisse als Ergebnis zu liefern: Aus Sicht des Aufsichtsrats: » Wie viel Risiko kann die Organisation finanziell tragen? » Wie hoch ist die Risikobereitschaft aus Sicht der Eigentümer? » Welcher Anteil der Risikotragfähigkeit darf eingesetzt werden, welcher Anteil muss als Puffer bestehen bleiben? » Weist die Gesellschaft ein „gesundes“ Aus Sicht des Vorstands: » Welcher Anteil der Risikotragfähigkeit dient der Absicherung von operationellen Risiken? » Mit welchen Maßnahmen kann dieser reduziert werden, um mehr Risikokapital auf strategische Initiativen allokieren zu können? » Welche Risiken entstehen aus strategischen Maßnahmen, und wie sieht das geplante Gesamtrisikoprofil dadurch aus? Die Aufgabe des Risikomanagers sollte sich dahingehend verlagern, gemeinsam mit der First Line über einen einfachen, inhaltlich getriebenen Ablauf die Antworten auf diese Fragen zu finden und aufzubereiten. Der erforderliche Paradigmenwechsel in der GRC-Berichterstattung kann in sechs Kernzielen zusammengefasst werden, die in der Folge näher beschrieben werden: 1. fokussiert, 2. vernetzt, 3. erkenntnisgebend, 4. zukunftsweisend, 5. digital und 6. kollaborativ. Fokussiert: Von auf Vollständigkeit getrimmter Informationsflut zur Verdichtung auf das Wesentliche Das Ziel muss es sein, die inhaltlich verknüpften Themenblöcke transparent zu machen, um eine erhebliche Erleichterung in der Fülle der verfügbaren Informationen zu erreichen. Verfahren zur Aggregation ergänzen die etablierte, vollumfassende Berichterstattung und machen die darunterlie-

OpRisk 15 genden Informationen über nachgelagerte Pfade weiterhin vollständig verfügbar und beliebig ansteuerbar. Darstellungen, die zur Erfüllung der diversen gesetzlichen Anforderungen notwendig sind, bleiben selbstverständlich erhalten. Für die Risikomanager bedeutet dies, dass die vorhandenen Informationen zunächst eindeutigen Kategorien zugeordnet werden müssen. Als konkretes Beispiel kann hier eine Erweiterung von COSO um Subkategorien genannt werden: » Betrieblich » Einkauf Schlüssellieferanten Lieferantenauswahl Begünstigung von Lieferanten … » Vertrieb/Marketing Kundenakquise, -betreuung & Reklamation Freigabeverfahren Provisionszahlungen … Es ist besonders empfehlenswert, diese Kategorisierung über die verschiedenen GRC-Prozesse hinweg anzuwenden. Das heißt also künftig nicht nur die Risiken dort einzuordnen, sondern beispielsweise auch Kontrollschwächen aus dem Internen Kontrollsystem und Feststellungen der Internen Revision. Dies ist insbesondere vorteilhaft, um sogenannte systemische Schwächen unternehmensweit feststellen zu können. Im nächsten Schritt muss ein geeignetes Verfahren definiert werden, um über diese Struktur die Informationen zu verdichten. Dies gilt sowohl inhaltlich für die einzelnen Einträge (beispielsweise wie einzelne Risiken konkret zusammengeführt werden) als auch im quantitativen Sinn (beispielsweise wie mit Eintrittswahrscheinlichkeiten und Schadenshöhen umgegangen wird, besonders im Fall der Verdichtung). Je nach Reifegrad, Zielsetzung und etablierten Strukturen muss aus einem Werkzeugkasten möglicher Methoden die für den aktuellen Stand und die angestrebte Weiterentwicklung passende gewählt werden. Vernetzt: Von isolierten Informationen durch Kontextualisierung zu Organisations-Insight Auf Basis des oberen Abschnitts können in einem nächsten Schritt ähnliche Ansätze definiert werden, um über erweiterte vereinheitlichte Strukturierungslogiken und angenäherte Bewertungsschemata eine Vernetzung zu ermöglichen. Hier geht es auch darum, die definierten Ansätze über das Risikomanagement hinaus anzudocken. Insbesondere eine Verknüpfung der umsatzrelevanten Kernprozesse macht neue Ansätze zur unternehmerischen Steuerung möglich. Als Beispiel ist eine Betrachtung der einschlägigen Umsatz- und Forecastauswertung in Kombination mit einem auf diesen Zweck zugeschnittenen Risikobericht denkbar. Im konkreten Vorgehen können die Absatz- planung mit dem Risikoinventar synchronisiert werden und entsprechend zutreffende Risiken berücksichtigt werden. Dies kann sowohl auf Ebene einer regionalen Struktur als auch in der Betrachtung einzelner Unternehmensbereiche geschehen. Sofern eine quantitative Anpassung der Planung auf Basis der Risikodaten noch nicht möglich ist, sollte zumindest auf diejenigen Risiken hingewiesen werden, die die Planung beeinträchtigen können. Für die Risikomanager ist hier vor allem wichtig, eine federführende Rolle einzunehmen und für den vernetzten Ansatz zu werben. Es ist empfohlen, mit den Bereichen nach und nach in Kontakt zu treten und die Berichterstattung schrittweise und möglicherweise zunächst auch fallbezogen (beispielsweise nach Prüfaufträgen) anzureichern. Als besonders wichtiger Partner sei hier die Strategieabteilung hervorgehoben. In der engen Verzahnung des Risikomanagements mit der Unternehmensstrategie liegt ein enormer Hebel zur Wahrnehmung des Mehrwerts durch Vorstand und Aufsichtsrat. Als Beispiel kann an dieser Stelle die Einbindung bei strategischen Entscheidungen wie Unternehmensakquisitionen genannt werden. Konkret könnte aus den Risikoinformationen eine zweite Meinung zum Business Case abgeleitet werden. Hierfür sollten die Annahmen detailliert betrachtet und beispielsweise mit Informationen zur Geschäftsentwicklung abgeglichen werden. Weiterhin können Erkenntnisse zu lokalen Gegebenheiten, die unter anderem über Berichte der Internen Revision oder aus dem Internen Kontrollsystem gezogen werden, in diese Betrachtung eingegliedert werden. Erkenntnisgebend: von fragmentierten Berichten zu einem integrierten Gesamt- Lagebild der Organisation Auf die entscheidenden Erkenntnisse kann in der Berichterstattung durch das Aufzeigen von Zusammenhängen und Abhängigkeiten zugesteuert werden. Insbesondere die Ergebnisse aus den GRC-Aktivitäten werden in der Regel stark fragmentiert berichtet. Beispielsweise kann es unternehmerisch wichtige Zusammenhänge geben,

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.