Ihr Warenkorb ist leer
Sie sind Gast
Interview
13.10.2017
Offerhaus: „Ausufernde Standardisierungsvorhaben bringen nicht nur Vorteile mit sich“
ESV-Redaktion Management und Wirtschaft
Das Institut der Wirtschaftsprüfer (IDW) verabschiedete Anfang März 2017 eine Reihe von Prüfungsstandards, darunter den IDW PS 981 zur Prüfung von Risikomanagementsystemen. Zudem wurde jüngst das COSO ERM – Enterprise Risk Management – Integrated Framework aktualisiert veröffentlicht. Was sind aus Ihrer Sicht die wichtigsten Punkte?
Jan Offerhaus: Der neue Risikomanagementstandard wurde durch den IDW-Arbeitskreis „Prüfungsfragen und betriebswirtschaftliche Fragen zu Governance, Risk und Compliance (GRC)“ auf den Weg gebracht und folgt dem Prüfungsstandard PS 980 für Compliance-Management-Systeme, der schon seit 2011 besteht. COSO ERM in der neuen Version wurde im September 2017 veröffentlicht. Inhaltlich geht das Framework zum unternehmensweiten Risikomanagement auf aktuelle Themen ein, unter anderem auf die zunehmende Komplexität und Globalisierung. Mit der Aktualisierung streben die COSO-Macher eine nachhaltige Organisationsführung, -überwachung und -steuerung an.
Wie beurteilen Sie die neuen sowie aktualisierten Standardisierungen im Risikomanagement angesichts sehr vieler bestehender Standards?
Jan Offerhaus: Die einzelnen Initiativen zu PS 981 und dem COSO-Ansatz sind an sich zu begrüßen, fokussieren sie sich doch stärker auf die sich ändernden Gegebenheiten in einer Welt im Umbruch. Darüber hinaus muss die Anmerkung erlaubt sein, wem der scheinbar inflationäre Erlass von Standards hilft – angefangen bei ISO über das IDW bis zu COSO. Grundsätzlich hat sich die Haftungsfrage des Topmanagements spätestens seit der Verabschiedung der Vorschriften zum Bilanzmodernisierungsgesetz (BilMoG) sowie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verschärft. Umso wichtiger sind klare Handlungslinien und Konzepte zum gesamten Chancen- und Risikomanagementprozess. In diesem Kontext können transparente Risikomanagementstandards eine wesentliche Stütze sein, um regulatorische Vorschriften umzusetzen und den Prozessweg zu erleichtern. Im Grunde eine Hilfestellung für Geschäftsführer, den Aufsichtsrat und Risikomanager.
Das klingt stark danach, dass dem Ganzen ein „aber“ folgt?
Jan Offerhaus: Richtig. Jede Medaille hat auch eine Kehrseite. Und diese heißt in diesem Fall die Vielzahl an Standards, die in den letzten Jahren aus dem Boden gestampft wurden. Für jedes erdenkliche Organisationsprozessthema existieren Standards und damit Managementsysteme – angefangen beim Risikomanagement über die Themen Compliance, Informationssicherheit, Business Continuity Management bis zum Notfall- und Qualitätsmanagement. Ausufernde Standardisierungsvorhaben bringen nicht nur Vorteile mit sich. Begriffe werden in den verschiedenen Standards unterschiedlich definiert sowie wahrgenommen, was nicht selten zu mehr Fragen als Antworten führt. Das Ganze mündet vielfach in einer Art Glaubensfrage – beispielsweise in puncto ISO versus COSO.
Und diese „Grabenkämpfe“ sind für Unternehmenslenker, die sich im Vorfeld einen Überblick zu Risikomanagementstandards verschaffen möchten, nicht wirklich zielführend und verwirrend.
Welche kritischen Punkte sehen Sie darüber hinaus bei all den sonstigen Standardisierungsvorhaben?
Jan Offerhaus: Ein weiterer kritischer Punkt liegt darin, dass zu viele Managementsysteme zu reinen Insellösungen führen, die nicht miteinander verbunden sind (in neudeutsch als integrierte Managementsysteme beschrieben). Das Resultat sind Redundanzen und eine ausufernde Prozess- und Schnittstellenfülle in Organisationen. Und diese unterschiedlichen Standardisierungsansätze, Prozessabläufe und das jeweils dazugehörige „Eigenleben“ der Managementsysteme führen in vielen Fällen zu mehr Überforderung als Transparenz in Unternehmen. Geschweige denn, dass für das Betreiben und die Pflege der jeweiligen Lösung Menschen, sprich Mitarbeiter, notwendig sind. Die Folge ist mehr Unsicherheit in den Führungsetagen und ein unklarer Weg im gesamten Steuerungs- und Überwachungsprozess zu den Themen Risikomanagement, Compliance und Governance.
Scheinbar ist die Konzentration auf Standards nicht ausreichend, wenn man auf die permanenten Verfehlungen von Unternehmen schaut?
Jan Offerhaus: Standards sind auch nicht ausreichend. Denn in der Unternehmenspraxis vieler Organisationen zeigt sich, dass es trotz bestehender Risikomanagementstandards zu Turbulenzen kommt. Die zunehmende Digitalisierung, geopolitische Risiken, sowie eine globale Vernetzung sind keine neuen Herausforderungen und Risikofaktoren. Und doch sind sie Gründe, weshalb Unternehmen regelmäßig in Schieflage geraten oder scheitern. Experten sehen die Ursachen vor allem in nicht existierenden oder schlechten Prozessen und mangelnden Risikomanagementstrukturen. Der steigende Druck aus den Regulierungsvorschriften tut in Unternehmen ihr übriges und verlangt von Organisationen einen wachsenden Einsatz von Ressourcen, Zeit und Geld.
Und was braucht es aus Ihrer Erfahrung heraus noch?
Jan Offerhaus: Der Kraftaufwand zur Umsetzung von Standards und Prozessen drängt einen wichtigen Faktor aus dem Sichtfeld der Entscheider-Ebene. Die Rede ist von einer gelebten Unternehmenskultur, die Grundvoraussetzung für jeden Prozessschritt in einer Organisation ist. Ohne den Mitarbeiter ist diese nicht zu bekommen. Damit platzen die besten Standardisierungs- und Prozessabsichten und das Risikomanagement verkommt nicht selten zu einer rückwärtsgewandten Sicht in Form des reinen Abarbeitens von Excel-Punkten. Gelebt sieht anders aus und zukunftsgewandt ist in diesen Fällen wenig bis nichts. Das heißt im Umkehrschluss, dass der Mitarbeiter im Mittelpunkt des Unternehmens stehen muss. Ihn zu schulen und zu sensibilisieren ist eine der größten Herausforderungen, vor denen Organisationen stehen. Zum Wissens- und Awareness-Transfer kommt ein weiterer wichtiger Faktor. Und der heißt das notwendige Know-how im eigenen Haus zu haben. Ohne einen erfahrenen Risikomanager im Unternehmen oder der externen Unterstützung durch professionelle Risikomanagementberater wird ein organisationsübergreifendes Risikomanagement schwer umsetzbar sein. Dementsprechend muss die Geschäftsleitung hinter dem Thema stehen (Stichwort: Top-down), Risikomanagement als Gesamtprozess initiieren, überwachen und steuern sowie für den notwenigen Wissensaufbau und -ausbau intern sorgen. Im besten Falle mit einem eigenen Risikomanager, der externen Unterstützung und Standards als Leitplanken.
Jan Offerhaus ist Mitglied des Vorstands der Risk Management Association e. V. (RMA).
ESV/ms
Jan Offerhaus: Der neue Risikomanagementstandard wurde durch den IDW-Arbeitskreis „Prüfungsfragen und betriebswirtschaftliche Fragen zu Governance, Risk und Compliance (GRC)“ auf den Weg gebracht und folgt dem Prüfungsstandard PS 980 für Compliance-Management-Systeme, der schon seit 2011 besteht. COSO ERM in der neuen Version wurde im September 2017 veröffentlicht. Inhaltlich geht das Framework zum unternehmensweiten Risikomanagement auf aktuelle Themen ein, unter anderem auf die zunehmende Komplexität und Globalisierung. Mit der Aktualisierung streben die COSO-Macher eine nachhaltige Organisationsführung, -überwachung und -steuerung an.
Wie beurteilen Sie die neuen sowie aktualisierten Standardisierungen im Risikomanagement angesichts sehr vieler bestehender Standards?
Jan Offerhaus: Die einzelnen Initiativen zu PS 981 und dem COSO-Ansatz sind an sich zu begrüßen, fokussieren sie sich doch stärker auf die sich ändernden Gegebenheiten in einer Welt im Umbruch. Darüber hinaus muss die Anmerkung erlaubt sein, wem der scheinbar inflationäre Erlass von Standards hilft – angefangen bei ISO über das IDW bis zu COSO. Grundsätzlich hat sich die Haftungsfrage des Topmanagements spätestens seit der Verabschiedung der Vorschriften zum Bilanzmodernisierungsgesetz (BilMoG) sowie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verschärft. Umso wichtiger sind klare Handlungslinien und Konzepte zum gesamten Chancen- und Risikomanagementprozess. In diesem Kontext können transparente Risikomanagementstandards eine wesentliche Stütze sein, um regulatorische Vorschriften umzusetzen und den Prozessweg zu erleichtern. Im Grunde eine Hilfestellung für Geschäftsführer, den Aufsichtsrat und Risikomanager.
Das klingt stark danach, dass dem Ganzen ein „aber“ folgt?
Jan Offerhaus: Richtig. Jede Medaille hat auch eine Kehrseite. Und diese heißt in diesem Fall die Vielzahl an Standards, die in den letzten Jahren aus dem Boden gestampft wurden. Für jedes erdenkliche Organisationsprozessthema existieren Standards und damit Managementsysteme – angefangen beim Risikomanagement über die Themen Compliance, Informationssicherheit, Business Continuity Management bis zum Notfall- und Qualitätsmanagement. Ausufernde Standardisierungsvorhaben bringen nicht nur Vorteile mit sich. Begriffe werden in den verschiedenen Standards unterschiedlich definiert sowie wahrgenommen, was nicht selten zu mehr Fragen als Antworten führt. Das Ganze mündet vielfach in einer Art Glaubensfrage – beispielsweise in puncto ISO versus COSO.
Und diese „Grabenkämpfe“ sind für Unternehmenslenker, die sich im Vorfeld einen Überblick zu Risikomanagementstandards verschaffen möchten, nicht wirklich zielführend und verwirrend.
| Arbeitskreis Risikomanagement-Standards |
| Der Arbeitskreis "Risikomanagement-Standards" befasst sich mit Normen und Standards im Bereich des Risiko- und Chancenmanagements. Das Ziel des Arbeitskreises ist die Analyse und Beurteilung bestehender und neuer Normen und Standards (beispielsweise COSO ERM, AS/NZS, ONR 49000ff, ISO 31000ff) im Hinblick auf deren theoretische Fundierung und praktische Anwendbarkeit. Der Erfahrungsaustausch bei der Anwendung und Umsetzung der Regelwerke runden die Tätigkeiten des Arbeitskreises ab. Weitere Informationen unter: www.rma-ev.org/verein/arbeitskreise/it-risikomanagement |
Welche kritischen Punkte sehen Sie darüber hinaus bei all den sonstigen Standardisierungsvorhaben?
Jan Offerhaus: Ein weiterer kritischer Punkt liegt darin, dass zu viele Managementsysteme zu reinen Insellösungen führen, die nicht miteinander verbunden sind (in neudeutsch als integrierte Managementsysteme beschrieben). Das Resultat sind Redundanzen und eine ausufernde Prozess- und Schnittstellenfülle in Organisationen. Und diese unterschiedlichen Standardisierungsansätze, Prozessabläufe und das jeweils dazugehörige „Eigenleben“ der Managementsysteme führen in vielen Fällen zu mehr Überforderung als Transparenz in Unternehmen. Geschweige denn, dass für das Betreiben und die Pflege der jeweiligen Lösung Menschen, sprich Mitarbeiter, notwendig sind. Die Folge ist mehr Unsicherheit in den Führungsetagen und ein unklarer Weg im gesamten Steuerungs- und Überwachungsprozess zu den Themen Risikomanagement, Compliance und Governance.
Scheinbar ist die Konzentration auf Standards nicht ausreichend, wenn man auf die permanenten Verfehlungen von Unternehmen schaut?
Jan Offerhaus: Standards sind auch nicht ausreichend. Denn in der Unternehmenspraxis vieler Organisationen zeigt sich, dass es trotz bestehender Risikomanagementstandards zu Turbulenzen kommt. Die zunehmende Digitalisierung, geopolitische Risiken, sowie eine globale Vernetzung sind keine neuen Herausforderungen und Risikofaktoren. Und doch sind sie Gründe, weshalb Unternehmen regelmäßig in Schieflage geraten oder scheitern. Experten sehen die Ursachen vor allem in nicht existierenden oder schlechten Prozessen und mangelnden Risikomanagementstrukturen. Der steigende Druck aus den Regulierungsvorschriften tut in Unternehmen ihr übriges und verlangt von Organisationen einen wachsenden Einsatz von Ressourcen, Zeit und Geld.
Und was braucht es aus Ihrer Erfahrung heraus noch?
Jan Offerhaus: Der Kraftaufwand zur Umsetzung von Standards und Prozessen drängt einen wichtigen Faktor aus dem Sichtfeld der Entscheider-Ebene. Die Rede ist von einer gelebten Unternehmenskultur, die Grundvoraussetzung für jeden Prozessschritt in einer Organisation ist. Ohne den Mitarbeiter ist diese nicht zu bekommen. Damit platzen die besten Standardisierungs- und Prozessabsichten und das Risikomanagement verkommt nicht selten zu einer rückwärtsgewandten Sicht in Form des reinen Abarbeitens von Excel-Punkten. Gelebt sieht anders aus und zukunftsgewandt ist in diesen Fällen wenig bis nichts. Das heißt im Umkehrschluss, dass der Mitarbeiter im Mittelpunkt des Unternehmens stehen muss. Ihn zu schulen und zu sensibilisieren ist eine der größten Herausforderungen, vor denen Organisationen stehen. Zum Wissens- und Awareness-Transfer kommt ein weiterer wichtiger Faktor. Und der heißt das notwendige Know-how im eigenen Haus zu haben. Ohne einen erfahrenen Risikomanager im Unternehmen oder der externen Unterstützung durch professionelle Risikomanagementberater wird ein organisationsübergreifendes Risikomanagement schwer umsetzbar sein. Dementsprechend muss die Geschäftsleitung hinter dem Thema stehen (Stichwort: Top-down), Risikomanagement als Gesamtprozess initiieren, überwachen und steuern sowie für den notwenigen Wissensaufbau und -ausbau intern sorgen. Im besten Falle mit einem eigenen Risikomanager, der externen Unterstützung und Standards als Leitplanken.
| Risk Management Congress am 16. und 17. Oktober 2017 in Nürnberg“ |
| Mit ihrem Risk Management Congress veranstaltet die RMA jährlich eine der wichtigsten und renommiertesten Fachkonferenzen zu den Themenfeldern Governance, Risikomanagement und Compliance im deutschsprachigen Raum. 16 Fachvorträge warten in diesem Jahr auf die Teilnehmer der Konferenz in Nürnberg (16. und 17. Oktober 2017). Darunter sind zwei Vorträge zum Themenspektrum der Risikomanagement-Standards. Zum einen ein Vortrag des Leiters des amerikanischen PWC-Teams, das die neue Version von COSO ERM erarbeitet hat. Zum anderen ein Vortrag zu den Neuerungen bei den Prüfungsstandards PS 981 und PS 340. Weitere Informationen unter: www.rma-ev.org/veranstaltungen/rma-konferenzen/rmc2017 |
Jan Offerhaus ist Mitglied des Vorstands der Risk Management Association e. V. (RMA).
ESV/ms