Ihr Warenkorb ist leer
Sie sind Gast
Nachgefragt bei: Oliver Bungartz
14.12.2018
Bungartz: „RMS und CMS sollten niemals in Konkurrenz zueinander stehen”
ESV-Redaktion COMPLIANCEdigital
Fortsetzung des Interviews. Den ersten Teil lesen Sie hier auf ESV.info.
Im Three Lines of Defense Modell steht das Risikomanagement auf der gleichen Stufe wie die Compliance. Stehen RMS und CMS in Konkurrenz zueinander oder unterstützen Sie sich gegenseitig?
Oliver Bungartz: Das RMS und das Compliance Management System (CMS) sollten niemals in Konkurrenz zueinanderstehen und sich immer gegenseitig unterstützen. Je nach Rahmenwerk und zugrundeliegendem Modell des RMS ist das CMS ein Bestandteil des RMS. Nach dem Committee of Sponsoring Organizations of the Treadway Commission (COSO), auf dem u.a. auch der IDW PS 981 basiert, stellt Compliance eine Zielrichtung des RMS dar. Wird die potentielle Nichteinhaltung einer internen oder externen Regelung, d.h. ein Verstoß gegen Gesetz und/oder interne Richtlinien, als Risiko für ein Unternehmen betrachtet, ist diese Sichtweise gut nachvollziehbar.
Wie grenzt sich das Risikomanagement von anderen Funktionsbereichen wie dem IKS ab?
Oliver Bungartz: Die Abgrenzung des RMS von anderen Funktionsbereichen bzw. Elementen der Corporate Governance ist entscheidend für die Effizienz und Effektivität der Unternehmensüberwachung. Dem Rahmenwerk von COSO folgend, könnten Thesen im Zusammenspiel der Elemente einer Corporate Governance formuliert werden:
Risiken sind vielfältig, der Einkauf ist anderen Risiken ausgesetzt als die IT oder die Finanzen. Mit welchen allgemeinen Mitteln können Risiken effizient identifiziert werden?
Oliver Bungartz: Für die wirksame und effiziente Identifizierung von Risiken in allen Unternehmensbereichen und Funktionen ist ein richtig konzipiertes und wirksames RMS das richtige Mittel. Über eine systematische Risikobeurteilung wird sichergestellt, dass ein organisationsweites RMS etabliert wird, welches alle wesentlichen Unternehmensbereiche und alle signifikanten Unternehmensfunktionen einbezieht. Innerhalb der Unternehmensfunktionen wie z.B. Einkauf und IT müssen bei der Risikoidentifizierung die entsprechenden Experten involviert werden. Hierbei können externe Informationen und Sachverständige hinzugezogen werden – letztlich liegt aber das entscheidende Risikoverständnis für die einzelnen Bereiche im Unternehmen selbst.
Kann das RMS anhand von Kennzahlen effizient überwacht werden?
Oliver Bungartz: Das RMS kann wie jedes andere System durch Kennzahlen effizient überwacht werden. Zahlreiche Rahmenwerke und Standards wie z.B. COSO und der IDW PS 981 haben Prinzipien und Grundelemente für das RMS entwickelt, die im Rahmen eines Scoring-Modells herangezogen werden können, um einen Basiswert als Kennzahl der Wirksamkeit des RMS zu berechnen.
Kennzahlen im Bereich wirtschaftskriminelle Handlungen („Fraud”) sowie den einzelnen Komponenten eines RMS wie
Wie zuverlässig können diese erhoben werden?
Oliver Bungartz: Die Zuverlässigkeit der Kennzahlen hängt wiederum von der Wirksamkeit und Ausgestaltung des RMS ab. Viele Informationen zur Berechnung der Kennzahlen werden durch das RMS selbst generiert. Auch wenn in der Beurteilung des RMS meist subjektive Aspekte einfließen, ist die Wirksamkeit des RMS zuverlässig zu beurteilen. Dies ist letztlich die persönliche Aufgabe des Aufsichtsrats, welche einen entsprechenden Sachverstand erfordert und nicht delegierbar ist.
(ESV/ps)
Im Three Lines of Defense Modell steht das Risikomanagement auf der gleichen Stufe wie die Compliance. Stehen RMS und CMS in Konkurrenz zueinander oder unterstützen Sie sich gegenseitig?
Oliver Bungartz: Das RMS und das Compliance Management System (CMS) sollten niemals in Konkurrenz zueinanderstehen und sich immer gegenseitig unterstützen. Je nach Rahmenwerk und zugrundeliegendem Modell des RMS ist das CMS ein Bestandteil des RMS. Nach dem Committee of Sponsoring Organizations of the Treadway Commission (COSO), auf dem u.a. auch der IDW PS 981 basiert, stellt Compliance eine Zielrichtung des RMS dar. Wird die potentielle Nichteinhaltung einer internen oder externen Regelung, d.h. ein Verstoß gegen Gesetz und/oder interne Richtlinien, als Risiko für ein Unternehmen betrachtet, ist diese Sichtweise gut nachvollziehbar.
Wie grenzt sich das Risikomanagement von anderen Funktionsbereichen wie dem IKS ab?
Oliver Bungartz: Die Abgrenzung des RMS von anderen Funktionsbereichen bzw. Elementen der Corporate Governance ist entscheidend für die Effizienz und Effektivität der Unternehmensüberwachung. Dem Rahmenwerk von COSO folgend, könnten Thesen im Zusammenspiel der Elemente einer Corporate Governance formuliert werden:
- Das RMS beinhaltet ein Internes Kontrollsystem (IKS), womit das IKS ein Teil des RMS ist.
- Die Compliance ist sowohl eine Zielrichtung des RMS als auch des IKS.
- Die Interne Revision überwacht das RMS und damit das IKS.
- Der Vorstand ist verantwortlich für die Einrichtung von RMS, IKS und Interner Revision.
- Der Aufsichtsrat beurteilt die Wirksamkeit von RMS, IKS, Interner Revision und Abschlussprüfung.
- Der Abschlussprüfer prüft u.a. das RMS sowie das IKS und berücksichtigt dabei die Interne Revision.
- Der Abschlussprüfer und die Interne Revision berichten an den Vorstand, welcher wiederum an den Aufsichtsrat berichtet.
| Zur Person |
| Als Leiter des Bereichs „Risk Advisory Services (RAS)” für RSM in Deutschland operiert Dr. Oliver Bungartz mit der Verantwortung für RAS in Kontinental-Europa innerhalb des globalen Netzwerks RSM International, dem derzeit sechstgrößten Zusammenschluss von Gesellschaften in den Bereichen Wirtschaftsprüfung, Steuern und Beratung mit ca. 43.000 Mitarbeitern in über 120 Ländern. Schwerpunkte seiner Tätigkeiten sind neben der Implementierung und Optimierung von Risikomanagementsystemen (RMS) vor allem Dienstleistungen im Bereich der Internen Revision, der Internen Kontrollsysteme (IKS), der Aufsichtsratstätigkeit sowie der Compliance und Corporate Governance. |
Risiken sind vielfältig, der Einkauf ist anderen Risiken ausgesetzt als die IT oder die Finanzen. Mit welchen allgemeinen Mitteln können Risiken effizient identifiziert werden?
Oliver Bungartz: Für die wirksame und effiziente Identifizierung von Risiken in allen Unternehmensbereichen und Funktionen ist ein richtig konzipiertes und wirksames RMS das richtige Mittel. Über eine systematische Risikobeurteilung wird sichergestellt, dass ein organisationsweites RMS etabliert wird, welches alle wesentlichen Unternehmensbereiche und alle signifikanten Unternehmensfunktionen einbezieht. Innerhalb der Unternehmensfunktionen wie z.B. Einkauf und IT müssen bei der Risikoidentifizierung die entsprechenden Experten involviert werden. Hierbei können externe Informationen und Sachverständige hinzugezogen werden – letztlich liegt aber das entscheidende Risikoverständnis für die einzelnen Bereiche im Unternehmen selbst.
Kann das RMS anhand von Kennzahlen effizient überwacht werden?
Oliver Bungartz: Das RMS kann wie jedes andere System durch Kennzahlen effizient überwacht werden. Zahlreiche Rahmenwerke und Standards wie z.B. COSO und der IDW PS 981 haben Prinzipien und Grundelemente für das RMS entwickelt, die im Rahmen eines Scoring-Modells herangezogen werden können, um einen Basiswert als Kennzahl der Wirksamkeit des RMS zu berechnen.
Kennzahlen im Bereich wirtschaftskriminelle Handlungen („Fraud”) sowie den einzelnen Komponenten eines RMS wie
- Governance und Kultur,
- Strategie und Zielfestlegung,
- Ereignisidentifikation,
- Risikobeurteilung,
- Risikosteuerung,
- Kontrollaktivitäten,
- Information, Kommunikation und Berichterstattung sowie
- Überwachung und Anpassung
Wie zuverlässig können diese erhoben werden?
Oliver Bungartz: Die Zuverlässigkeit der Kennzahlen hängt wiederum von der Wirksamkeit und Ausgestaltung des RMS ab. Viele Informationen zur Berechnung der Kennzahlen werden durch das RMS selbst generiert. Auch wenn in der Beurteilung des RMS meist subjektive Aspekte einfließen, ist die Wirksamkeit des RMS zuverlässig zu beurteilen. Dies ist letztlich die persönliche Aufgabe des Aufsichtsrats, welche einen entsprechenden Sachverstand erfordert und nicht delegierbar ist.
 |
Risikomanagement für Aufsichtsräte Die Überwachung der Wirksamkeit des Risikomanagementsystems (RMS) zählt zu den elementaren Pflichten des Aufsichtsrats. Gefordert vom Deutschen Corporate Governance Kodex, nimmt das Aktiengesetz die Mandatsträger auch rechtlich in die Verantwortung.
Die vorgestellten Beurteilungsmethoden, viele Arbeitshilfen und Checklisten unterstützen Sie dabei, die entscheidenden Stellschrauben leistungsfähiger RMS schneller zu erkennen und zielgerichtet zu kontrollieren. |
(ESV/ps)