Aufbau eines einheitlichen Risikoverständnisses

Vertane Zeit oder wünschenswerte Vision?

Was wäre, wenn es ein einheitliches Risikoverständnis zum Internen Kontrollsystem (IKS) über alle drei Verteidigungslinien gäbe? Ist das überhaupt mit der Unabhängigkeit der Internen Revision (IR) vereinbar? Wie kann eine solche Veränderung organisiert werden? Welche Hürden gilt es zu beachten? Wo liegt der Nutzen eines solchen Ansatzes? Viele Fragen – aber der Reihe nach.

Die unabhängige Beschäftigung der Stabsabteilungen mit dem in der Organisation etablierten Internen Kontrollsystem (IKS) war und ist seit vielen Jahren die gelebte Praxis. Die erste, zweite und dritte Verteidigungslinie sollen sich bewusst getrennt und unabhängig um Ihre jeweilige Fachdomäne kümmern. Funktionstrennung galt lange als das probate Mittel zur effektiven Gefahrenabwehr.

Aussagen zu Risiken sind nicht vergleichbar

Was auf der Strecke blieb war eine Vergleichbarkeit der Aussagen zum Risiko bei den wesentlichen Prozessen. Sehr zum Nachteil der Geschäftsführung. Bei den Finanzdienstleistern fordern die Bundesbankprüfer aber inzwischen ein einheitliches Risikoverständnis über alle drei Verteidigungslinien. Auch der Weltverband Interne Revision (IIA) widmet sich in seinem 3-Linien-Modell diesem Aspekt. Natürlich unter Wahrung der Funktionstrennung. Wie soll man das denn hinbekommen?

Das Positionspapier des DIIR greift verschiedene Aspekte der Zusammenarbeit zwischen Interner Revision und dem Risikomanagement auf. Dabei werden auch die Vor- und Nachteile, sowie die Varianten einer Zusammenarbeit, benannt. Eine sehr hilfreiche Lektüre, um sich den Möglichkeiten zu nähern und eine Entscheidungsprämisse für das Vorgehen in der eigenen Organisation zu entwickeln.

Bei aller theoretischer Abwägung bleibt die größte Hürde in den Köpfen der handelnden Personen. Was jahrzehntelang galt, soll nun verändert werden? Entsprechend zögerlich und mit vielen Vorbehalten wird sich dem Thema gewidmet. Leider auch allzu schnell wieder davon abgewendet.

Gerade an dieser Stelle muss der Impuls und auch die Vorgabe zum Finden eines Weges von der Geschäftsführung kommen. Diese ist letztlich der größte Nutznießer einer gemeinsamen und in vielen Teilen vereinheitlichten Bewertung der Risikolandkarte im eigenen Haus.

Wo genau liegt die Herausforderung?

„Mein ermitteltes Nettorisiko ist niedrig“. Wir dagegen sehen ein hohes Risiko bei diesem Prozess“. So ungefähr können die Aussagen aus den Bereichen sein. Nur was sagt das aus? Wurde die Bewertung auf dem identischen Geschäftsprozess bzw. -bündel durchgeführt? Sind die Kriterien der Beurteilung abgestimmt? Wann ist denn ein Risiko hoch, mittel oder niedrig?

Eine große Sparkasse in der Mitte Deutschlands berichtete bereits vor sieben Jahren davon, dass Sie die wesentlichen Prozesse und deren Risiken im Team, bestehend aus der ersten, zweiten und dritten Verteidigungslinie, qualifiziert haben. Jeder hat seine Expertise in dieser Festlegung eingebracht, was sehr zielführend war. Der größte Nutzen hat sich aber an einer Stelle eingestellt, wo man es gar nicht vermutet hätte.

Sofort fiel auf, wie unterschiedlich die Bewertungsmaßstäbe einer jeden Stabsabteilung waren. Der eine sprach von IT-Risiken 1 bis 8, der andere von hoch, mittel, niedrig usw. Alleine der Abgleich in der Terminologie und auch die Abstimmung der Ausprägungen führte zu einem völlig veränderten, aber vereinheitlichten Blick auf die Risiken in den Geschäftsprozessen. Ein ganz wertvolles Ergebnis!

Mal eine ganz andere Frage:
Was sind eigentlich die wesentlichen Prozesse?

Auch diese Frage wird innerhalb einer Organisation oftmals sehr unterschiedlich beantwortet. „Wesentlich, sind die Prozesse, wo wir das größte Einsparpotenzial für Mitarbeiterkapazität (MAK) haben“. „Wesentlich, sind die Prozesse, wo die größten unternehmerischen Chancen liegen“. Wesentlich sind alle Prozesse, wo es gilt, die aufsichtsrechtlichen Anforderungen zu erfüllen“. Jeder hat Recht und doch meint jeder etwas völlig anderes.

Wie kommt man jetzt raus aus diesem Dilemma und vor allem wie kommen wir zu einem Ergebnis was allen gerecht wird? Die Lösung kann nur heißen „das Eine tun und das Andere nicht lassen“. Es ist wesentlich den „roten Faden“ einer gemeinsamen Betrachtung zu qualifizieren und doch die Freiheit zu geben, die eigenen Anforderungen bestmöglich zu erfüllen.

In unseren Umsetzungsprojekten zur Einführung der Revisionstools wird zum überwiegenden Teil ein prozessbasierter Prüfkatalog als Basis der Prüflandkarte evaluiert und implementiert. Wenn diese Prozessbündel die „gelebten“ Prozesse des Hauses sind, dann bietet das eine sehr große Chance. Wer will der IR absprechen, dass deren Prüflandkarte die wesentlichen Prozessbündel einer Organisation sind? Letztlich ist sie Basis für die risikoorientierte Mehrjahresplanung und steht unter dem Fokus externer Prüfer und Aufsichtsbehörden.

Als ersten Ansatz die Prüflandkarte verwenden

Vielleicht ist ja eine initiale Bewertung der Prozessbündel einer Prüflandkarte durch das Risikomanagement ein überschaubarer und gangbarer Weg. Ist es nicht besser mit 150 Prozessbündeln zu beginnen, statt sich gleich 2000 vorzunehmen? Wie gefällt Ihnen die Vision, in der Internen Revision einen Prozess zu prüfen, der exakt so in der Organisation vorhanden ist, eine Aussage zur Prozessverantwortung zu erhalten und Aussagen zu den Risiken und Kontrollmaßnahmen zu bekommen, wo die Begrifflichkeiten identisch mit Ihren sind? Wie viel aussagekräftiger wird da eine Bewertung der Netto-Risiken durch mehrere Stabsabteilungen!

Natürlich muss der besondere Fokus einer jeden Stabsabteilung berücksichtigt werden. Auch gibt es Herausforderungen bei der Aggregation der Bewertung von Subprozessen zum Hauptprozess. Komfortabel darf es natürlich auch sein, womit sich die Frage nach automatisierten Überträgen aus den jeweiligen Fachanwendungen stellt und wo die Abgrenzung sein muss. Da wollen und müssen wir ran. Das gilt es herauszufinden und gemeinsam mit den Menschen in diesen Prozessen nach Lösungen zu suchen und zu entwickeln.

Wer sollte das besser können als die ibo Gruppe

Die Themen Prozess-, Personal, Projekt- Change- und Revisionsmanagement sind seit vielen Jahren unsere Steckenpferde. Da kennen wir uns aus. Wissen um die Sorgen und Nöte der handelnden Personen. Da sehen wir aber auch, dass man das Ziel eines einheitlichen Risikoverständnisses von der Prozessverantwortung bis zur Internen Revision nicht mal eben so alleine aus dem Hut zaubern kann. Zu groß sind die Hürden jahrzehntelanger Praxis.

Das ruft nach einer Projektstruktur, einem Umsetzungsplan, vernünftigen Workflows und dem Wissen und der Erfahrung, alle Menschen in einem solchen Veränderungsprozess mitzunehmen.

Ein Zukunftsthema? Ganz sicher, für ibo und seine Kunden!

Wie ist Ihre Meinung zu diesem interessanten Thema? Ich freue mich auf einen anregenden Austausch mit Ihnen.

Weitere Informationen zu unseren Revisionsmanagement-Tools haben wir auf unserer Homepage für Sie zusammengefasst.
Sie möchten zum Thema Sicherheit, Compliance und Revision immer up to date sein? Dann melden Sie sich zu unserem ibo-Newsletter an!