GRC Berichterstattung: 6 neue Paradigmen

Das Ziel muss es sein, die inhaltlich verknüpften Themenblöcke transparent zu machen, um eine erhebliche Erleichterung in der Fülle der verfügbaren Informationen zu erreichen. Verfahren zur Aggregation ergänzen die etablierte, vollumfassende Berichterstattung und machen die darunterliegenden Informationen über nachgelagerte Pfade weiterhin vollständig verfügbar und beliebig ansteuerbar. Darstellungen, die zur Erfüllung der diversen gesetzlichen Anforderungen notwendig sind, bleiben selbstverständlich erhalten.

Für die GRC-Fachbereiche bedeutet dies, dass die vorhandenen Informationen zunächst eindeutigen Kategorien zugeordnet werden müssen. Als konkretes Beispiel kann hier eine Erweiterung von COSO um Subkategorien genannt werden. Es ist empfehlenswert, diese Kategorisierung über die verschiedenen Prozesse hinweg anzuwenden. Das heißt also künftig nicht nur die Risiken dort einzuordnen, sondern eben auch Kontrollschwächen aus dem Internen Kontrollsystem und Feststellungen der Internen Revision. Dies ist insbesondere vorteilhaft, um sogenannte systemische Schwächen unternehmensweit feststellen zu können. In einem nächsten Schritt muss ein geeignetes Verfahren definiert werden, um über die Struktur die Informationen zu verdichten. Dies gilt sowohl inhaltlich für die einzelnen Elemente (z.B. wie die Verdichtung der einzelnen Risiken konkret erfolgt) als auch im quantitativen Sinne (z.B. wie mit Eintrittswahrscheinlichkeiten und Schadenshöhen umgegangen wird). Je nach Reifegrad, Zielsetzung und etablierten Strukturen muss aus einem Werkzeugkasten möglicher Methoden die für den aktuellen Stand und die angestrebte Weiterentwicklung passende gewählt werden.

Eine Vernetzung kann über erweiterte vereinheitlichte Strukturierungslogiken und angenäherte Bewertungsschemata ermöglicht werden. Hier geht es darum, die definierten Ansätze über die primären GRC-Funktionen hinaus anzudocken. Insbesondere eine Verknüpfung der umsatzrelevanten Kernprozesse mit den GRC und restlichen Stabsfunktionen macht neue Ansätze zur unternehmerischen Steuerung möglich. Als Beispiel ist eine Betrachtung der einschlägigen Umsatz- und Forecastauswertung in Kombination mit einem auf diesen Zweck zugeschnittenen Risikobericht denkbar. Im konkreten Vorgehen kann die Absatzplanung mit dem Risikoinventar synchronisiert werden und entsprechend zutreffende Risiken berücksichtigt werden. Dies kann sowohl auf Ebene einer regionalen Struktur als auch in der Betrachtung einzelner Unternehmensbereiche geschehen. Sofern eine quantitative Anpassung der Planung auf Basis der Risikodaten noch nicht möglich ist, sollte zumindest auf diejenigen Risiken hingewiesen werden, die die Planung beeinträchtigen können. Für die Verantwortlichen der second line ist hier vor allem wichtig, eine federführende Rolle einzunehmen und für den vernetzten Ansatz zu werben. Es ist empfohlen, mit den Bereichen nach und nach in Kontakt zu treten und die Berichterstattung schrittweise und möglicherweise zunächst auch fallbezogen anzureichern.

Als besonders wichtiger Partner sei hier die Strategieabteilung hervorgehoben. In der engen Verzahnung von GRC mit der Unternehmensstrategie liegt ein enormer Hebel zur Wahrnehmung des Mehrwerts durch Vorstand und Aufsichtsrat. Als Beispiel kann an dieser Stelle die Einbindung der Risikomanager bei strategischen Entscheidungen wie Unternehmensakquisitionen genannt werden. Konkret könnte aus den Informationen aus den GRC-Funktionen eine zweite Meinung zum Business Case abgeleitet werden. Hierfür sollten die Annahmen detailliert betrachtet und beispielsweise mit Informationen aus dem Risikomanagement zur Geschäftsentwicklung abgeglichen werden. Weiterhin können Erkenntnisse zu lokalen Gegebenheiten, die unter anderem über Berichte der Internen Revision oder aus dem Internen Kontrollsystem gezogen werden, in diese Betrachtung eingegliedert werden.

Auf die entscheidenden Erkenntnisse kann in der Berichterstattung durch das Aufzeigen von Zusammenhängen und Abhängigkeiten zugesteuert werden. Insbesondere die Ergebnisse aus den GRC-Aktivitäten werden in der Regel stark fragmentiert berichtet. Beispielsweise kann es unternehmerisch wichtige Zusammenhänge geben, die über die klassische Berichterstattung nicht aufgedeckt werden. Typische Beispiele sind:

• Widersprüche in den verschiedenen Ergebnissen: im Risikomanagement wird eine Maßnahme als „umgesetzt“ berichtet und das zu Grunde liegende Risiko in der Bewertung entsprechend reduziert berichtet. Nicht betrachtet wird eine Feststellung der Revision, aus der zu entnehmen ist, dass die Maßnahme nicht geeignet ist, um das Risiko zu adressieren.
• Systemische Schwachstellen: Häufig werden Feststellungen und Schwachstellen jeweils singulär, d.h. auf den konkreten Kontext hin betrachtet. Damit werden wiederholte Auffälligkeiten über Regionen, Geschäftsbereiche oder bei thematisch zusammengehörenden Aspekten vernachlässigt und notwendige übergreifende Maßnahmen können nicht erkannt werden. Diese Punkte werden selbstverständlich im Sinne der Enthaftung derzeit bereits einzeln und aus den verschiedenen Funktionen heraus berichtet – jedoch entsteht erst aus einer integrierten Gesamtschau die Erkenntnis, die für fundierte Entscheidungen erforderlich ist.

Die Veränderung der Berichterstattung hin zu einer vernetzten Betrachtung ist der wesentliche Schlüssel zu größerer Akzeptanz und Impulsgeber in der Entscheidungsfindung – erst hierdurch werden die zusammenhängenden Sachverhalte transparent und bringen die notwendige Erkenntnis zu bestehenden Querverbindungen. Wesentlich ist hier vor allem eine fundierte Abstimmung der Botschaften unter den GRC Funktionen und Verteidigungslinien, damit inhaltlich eine gemeinsame Linie vertreten werden kann.

Traditionell liegt der Fokus der GRC-Berichterstattung an Vorstände und Aufsichtsräte auf der Darstellung des Ist-Standes von Chancen und Risiken, Audit-Feststellungen und beispielsweise internen Kontrollen. Als Rückschau auf die jeweils vergangene Berichtsperiode ist diese Art der Berichterstattung obligatorisch, um regulativen Anforderungen gerecht zu werden und unterstützt vor allem die Aufsichtsfunktion.

Vorstände und Aufsichtsräte treibt jedoch viel mehr die Gestaltung der Zukunft des Unternehmens. In diesen Überlegungen ist der Ist-Stand als Aufsatzpunkt relevant, um über strategische Handlungsoptionen und Initiativen zu entscheiden. Als Unterstützung in diesen Entscheidungen ist der Fokus vor allem auf die Veränderungen des Risikoprofils durch mögliche Strategien und Initiativen zu legen. Dabei sind Fragen wie die Folgenden zu beantworten:

• Wie verändern strategische Initiativen das künftige Risikoprofil der Organisation?
• Welche der Initiativen beinhalten das beste Risk/Return-Profil?
• Welche der Initiativen bergen die größten Chancen unter Berücksichtigung der Auswirkung auf Risikoappetit und –Tragfähigkeit?

Insbesondere in der Vorbereitung und Begleitung strategischer Entscheidungen sind Ansätze wie Szenarioplanungen interessante neue Alternativen. Es bieten sich unterstützend diverse analytische Auswertungen an, die in verschiedenen Varianten dargestellt werden können. So können beispielsweise Massendaten ausgewertet werden und auf dieser Basis erweiterte Erkenntnisse durch Simulationsverfahren und Trendingmechanismen gewonnen und Indikatoren als Entscheidungshilfe bereitgestellt werden. Insbesondere im Umfeld des Risikomanagements ist auch eine Anbindung von externen Daten oft eine nützliche Ergänzung, beispielsweise Daten über die Entwicklung von Märkten.

Für die GRC-Fachbereiche ist es empfohlen, sich zunächst mit bereits im Unternehmen gängigen Ansätzen vertraut zu machen und zu prüfen, inwiefern solche Mechanismen zu den aktuellen Prozessen und Vorgehensweisen passen. Besonders in den Bereichen Controlling, IT und auch im Krisenmanagement sind häufig wertvolle Anregungen und etablierte Verfahren zu finden.

Die Berichterstattung hin zum Aufsichtsrat und Prüfungsausschuss ist stark dokumentengetrieben. Eine zeitgemäße Darstellung über Dashboards und integrierte Berichte weist gegenüber statischen PDF-Formaten jedoch wesentliche Vorteile auf. Die relevanten Informationen sind jederzeit und überall verfügbar und über Drilldown und -through-Funktionalitäten können Granularität und Detailtiefe individuell und nach persönlicher Präferenz gesteuert werden.

Dieser Übergang stellt die Fachbereiche vor einige Herausforderungen. In der Zwischenzeit ist es üblich, die Berichte in elektronischer Form in den sogenannten „Board Rooms“ zur Verfügung zu stellen. Darüber hinaus gehende technologische Möglichkeiten werden nur sehr eingeschränkt genutzt und ihnen wird durchaus mit Skepsis begegnet. Um hier ein Umdenken zu ermöglichen ist ein Wandel notwendig, der nur durch ein zwar konsequentes aber gleichzeitig vorsichtiges Heranführen möglich ist.

Eine wesentliche Voraussetzung hierfür ist, dass sich der Mehrwert quasi von selbst und auf den ersten Blick erschließt. Sobald ein Dashboard Erläuterungen bedarf, wird es konsequenterweise nicht als intuitiv und eingängig empfunden. Das bedeutet, dass die verwendeten Übersichten inhaltlich gut durchdacht, in der Argumentation schlüssig und in der Aufbereitung fehlerfrei sein müssen. Nur so kann sichergestellt werden, dass Vorstand und Aufsichtsrat sofort, ohne weitere Erläuterungen die Zusammenhänge erfassen und in ihre Überlegungen einbeziehen können.

Die gewählte Darstellungsform in der Berichterstattung kann entweder die Aussage hervorheben oder im negativen Fall falsche Schlussfolgerungen vermitteln und so im schlimmsten Fall Entscheider in die Irre führen. Daher dürfen Bestrebungen zur Optimierung der Darstellung in Berichten nicht minder geschätzt werden. Das Ziel muss die Bereitstellung einer transparenten und verlässlichen Entscheidungsgrundlage sein. Nur so erfüllt ein Bericht die Anforderung von einem Entscheider intuitiv korrekt gelesen werden zu können. Um sich einem optimierten Reporting annähern zu können empfiehlt es sich für die Fachbereiche mit einzelnen Beispielen zu starten und bei erfolgtem Commitment des Vorstandes und Aufsichtsrates die Bemühungen weiter auszudehnen.

Die übliche statische Berichterstattung mit aufwändigen Abstimmungsschleifen und Freigabeprozessen lässt wenig Spielraum für echte Kollaboration und inhaltliche Diskussion, gerade auch zwischen den GRC-Funktionen. In der Regel bietet sich nur in den wenigen Minuten der Präsentation der Ergebnisse an den Aufsichtsrat die Gelegenheit zu Fragen und weiterführenden Erklärungen. Moderne Ansätze zur Kommentierung und zum Teilen von Inhalten und Anmerkungen können hier eine wesentliche Veränderung herbeiführen. Dadurch lassen sich Entwicklungen zwischen den Sitzungen besser transportieren und nachvollziehbarer darstellen. Weiterhin wird auch hierüber die Vernetzung und inhaltliche Verknüpfung zwischen den diversen Fachbereichen stark gefördert, bis zur Vorstandsebene.

Hier gilt es verschiedene Aspekte zu bedenken: Einerseits gelten ähnliche Vorbehalte wie bei digitalen Formaten. Andererseits gilt der Grundsatz, dass sämtliche regelmäßige Informationen aus den GRC-Prozessen abgestimmt und von den Verantwortlichen freigeben sein müssen, bevor sie in die Berichterstattung münden. Dennoch bieten kollaborative Ansätze eine Fülle von Möglichkeiten, um die Sitzungen auf einer allgemein bekannten und abgestimmten Informationsbasis und dadurch verstärkt im inhaltlichen Dialog führen zu können. Manche Unternehmen gehen zwischenzeitlich gar bewusst weg von der Informationsflut über E-Mails und hin zu unternehmensweiten Kollaborationsplattformen. Es ist eine Frage der Zeit, bis sich das aus den operativen Einheiten hin zu den Vorständen und Aufsichtsräten durchschlagen wird.

Für die Fachbereiche empfiehlt es sich, diese Entwicklung aktiv zu begleiten und sie mit voranzutreiben, um die genannten Vorteile rasch für sich nutzen zu können. Im ersten Schritt ist es unerlässlich, ein Konzept mit klaren Regeln aufzustellen, um die Bedenken hinsichtlich Freigabe und Informationsfluss zu adressieren. Dafür eignen sich beispielsweise Freigaberoutinen als technische Hürde, die verhindern, dass unabgestimmte Informationen weitergegeben werden. Darüber hinaus ist eine Detaillierung dieser Regelungen über ein Berechtigungskonzept von großer Bedeutung um anschließend eine entsprechende Abbildung dessen in den technisch unterstützen Workflows umsetzen zu können.