Fokusthemen

Risikomanagement, Governance und Aufsichtsrecht

(Re)Organisation und Strategie

> mehr erfahren

Projektmanagement und -leitung

> mehr erfahren

Risikomanagement,
Governance und Aufsichtsrecht

Auszug meiner Leistungen

Analyse und Weiterentwicklung Ihres bestehenden oder Aufbau eines neuen Risikomanagements, bspw.:

  • Check-up Prozess aus Identifikation, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken
  • Review und Weiterentwicklung genutzter Tools und Methoden
  • Konsistenz und Stimmigkeit des eingesetzten Reportings
  • Generierung, Vorhaltung und Nutzung Ihrer Risikomanagement-Daten
  • Überprüfung und Weiterentwicklung der konsistenten und ökonomischen Nutzung von Daten, Anwendungen und Prozessen im (IT)Risikomanagement unter Beachtung aufsichtsrechtlicher Vorgaben (insbes. MaRisk, DORA) sowie Anforderungen aus aufsichtsrechtlichen Prüfungen (bspw. richtige Nutzung einer CMDB / Configuration Management Database)
  • Analyse der Konsistenz und Effektivität eingesetzter Funktionen, bspw. unter Beachtung des „three line of defence-model“ (u. a. Risikomanagement, IKT-Risikokontrollfunktion, Compliance, Interne Revision); Ableitung von Handlungserfordernissen

Ihr Nutzen: Qualitative Weiterentwicklung des Risikomanagements bei Reduzierung des operativen Aufwandes

Analyse und Weiterentwicklung Ihres bestehenden Governance-Frameworks, bspw.:

  • Konsistenz und inhaltliche Stimmigkeit bestehender Rollen und Funktionen sowie Funktionstrennungen und Aufgaben-verteilungen
  • Ausgestaltung der Steuerungssysteme, bspw. des Internen Kontrollsystems
  • GAP-Analyse und Ableitung der Umsetzungsbedarfe bezüglich aufsichtsrechtlicher Anforderungen (bspw. im Kontext von MaRisk, DORA und aktuellen Schwerpunkten aus aufsichts-rechtlichen Sonderprüfungen gemäß § 44 (2) KWG); Beachtung Ihrer spezifischen Anforderungen und Nutzung bestehender Erleichterungsregelungen sowie best practices
  • Vor- und Nachbereitung sowie Steuerung aufsichtsrechtlicher Sonderprüfungen gemäß § 44 KWG (2) oder von Jahres-abschlussprüfungen mit Schwerpunktsetzung gemäß § 30 KWG

Ihr Nutzen: Aufbau von betriebswirtschaftlich effizienten Steuerungssystemen, die verbesserte Entscheidungsgrundlagen liefern und Sicherheit bei der Erfüllung (aufsichts)rechtlicher Anforderungen bieten

Sie können nur steuern, was Sie kennen und
sehen. Was Sie kennen und sehen sollten, hängt
von Ihrer individuellen Situation ab.

Beispiel Risikomanagement

Risiken kennen, verstehen
und sinnvoll steuern.

Kein Unternehmen ist gleich. Für bestimmte Sektoren oder Rechtsformen bestehen mehr oder weniger konkrete Vorgaben zur Ausgestaltung des Risikomanagements (bspw. § 25a Kreditwesengesetz in Verbindung mit den MaRisk/Mindestanforderungen an das Risikomanagement für Banken oder § 91 Aktiengesetz für Aktiengesellschaften), für andere hingegen nicht. Dennoch lohnt es sich auch für Unternehmen, die kein Risikomanagement betreiben müssen, über seinen Einsatz nachzudenken. Wichtig ist dabei immer eine betriebswirtschaftlich sinnvolle Ausgestaltung, kurz gesagt: „So viel nötig und so wenig wie möglich!“, um ein wirtschaftliches Verhältnis aus Aufwand und Nutzen zu realisieren. Es ist beispielsweise überhaupt nicht empfehlenswert Aufwand in die Erstellung und das Betreiben einer Risikomanagementlösung zu investieren, die Risiken betrachtet, die für das Unternehmen nicht oder nur eingeschränkt relevant sind. Sich als Unternehmen in einem strukturierten Prozess darüber Gewissheit zu verschaffen, welche Risiken tatsächlich relevant sind, ist hingegen sehr empfehlenswert. Denn dieser Schritt ist der Ausgangspunkt für den darauffolgenden Risikomanagementprozess. Und wenn dieser Prozess gut aufgesetzt ist, wird das Unternehmen in die Lage versetzt, die wirklich relevanten Risiken in den Blick zu nehmen und steuern zu können.

Ein wichtiger Aspekt in diesem Zusammenhang ist die Risikokultur in einem Unternehmen: „Welche Risiken bin ich bereit einzugehen, welche nicht (und warum) und wie ist der Umgang mit den Risiken?“ Dies klar zu definieren und für die Mitarbeitenden Transparenz darüber zu schaffen, ist eine wichtige Voraussetzung, damit alle im Unternehmen danach handeln können. Dieser Teilbereich des Risikomanagements ist eng mit dem Themenkomplex Unternehmensstrategie verknüpft.

Beispiel Governance / Internes Kontrollsystem

Die Organisation nach innen und
außen stärken und schützen.

Es existieren eine ganze Reihe von Definitionen, Anforderungen und Begriffsbestimmungen zu internen Kontrollsystemen (IKS) in Gesetzen, der Literatur sowie praktischen Rahmenwerken (bspw. gesetzliche Regelungen: § 25a Kreditwesengesetz, § 29 Versicherungsaufsichts-gesetz, § 91 Aktiengesetz; Rahmenwerke: COSO).
Allen gemein ist die Anforderung eines strukturierten Systems von Sicherungselementen, das Risiken möglichst prospektiv begrenzt oder wenigstens retrospektiv die Auswirkungen bei deren Eintritt abmildert. Die konkrete Ausgestaltung hinsichtlich Art, Umfang und Komplexität kann dabei von der Implementierung von Basisbausteinen – bspw. die Einrichtung einiger weniger Kontrollsets – bis hin zu komplexen Systemen, welche die folgenden Punkte umfassen reichen:

      • Kontrollumfeld und die Zielsetzung des IKS
      • Risikoidentifikation und -beurteilung
      • Maßnahmen und Kontrollaktivitäten
      • Informations- und Kommunikationswege
      • Überwachung des IKS.

 

Um ein solch komplexeres IKS wirksam zu implementieren – dies umfasst ausdrücklich auch die wirtschaftlich angemessene Ausgestaltung – braucht es eine ganze Reihe von Eingangsvoraussetzungen, wie bspw.:

      • Kenntnis der eigenen Prozesse (inkl. Auslagerungen), EDV-Systeme und der darin verarbeiteten Informationen
      • Transparenz zu Risiken innerhalb der Prozesse
      • Transparenz zu Risiken, die auf das Unternehmen von außen wirken
      • Kommunizierte Leitlinien zur Risikokultur und zur Bereitschaft, bestimmte Risiken einzugehen (oder auch nicht)

 

Grundsätzlich gilt: Die Größe eines Unternehmens bestimmt die Anforderungen an die Ausgestaltung eines IKS. Darüber hinaus gelten für bestimmte Sektoren (bspw. Banken, Versicherungen) oder Rechtsformen (bspw. Aktiengesellschaften) spezifische Anforderungen.

Auch hier gilt: Kein Unternehmen ist gleich! Je nach spezifischen Voraussetzungen und Anforderungen sollte das IKS an der konkreten Situation des Unternehmens ausgerichtet werden. Dabei sollte es primär die Risiken betrachten, die für das Unternehmen relevant und steuerbar sind. Das sichert die Effizienz und Wirtschaftlichkeit des IKS und sorgt bei seiner richtigen Anwendung dafür, dass

      • nicht relevante Risiken zwar bekannt, in ihre Steuerung aber keine weiteren Ressourcen investiert werden
      • relevante, aber nicht steuerbare Risiken bereits in einer früheren Phase angemessen außerhalb des IKS behandelt werden können.