Governance, Risk Management & Compliance beim Netzwerk Risikomanagement
Governance, Risikomanagement & Compliance oder kurz GRC lautete der thematische Schwerpunkt der Jahrestagung 2019 des Netzwerks Risikomanagement. Tatsächlich hat sich auch in jüngerer Zeit in diversen prominenten Fällen gezeigt, dass sich zwischen den Erwartungen von Stakeholdern und Öffentlichkeit einerseits und faktischer Unternehmensführung andererseits erhebliche Gräben öffnen können – sowohl bei privatwirtschaftlichen Firmen wie etwa der Raiffeisen-Bank als auch bei öffentlich beherrschten Unternehmen wie im Fall der PostAuto.
Governance, Risk Management & Compliance – wie spielen die drei Kräfte der GRC zusammen? Gibt es dabei Unterschiede zwischen öffentlichen und privaten Unternehmen? Könnten internationale Normenwerke das Risikomanagement weiter stärken? Und wie soll dessen Stärke auditiert werden? Zur Abteufung dieser vielschichten Fragen standen vier spannende Fachreferate auf dem Programm der Generalversammlung des Netzwerk Risikomanagement am 27. März 2019 im Beteriebszentrum der Migros Aare.
Frischwaren Logistik bei der Migros
Zunächst liessen sich die rund 90 Teilnehmenden aber von der rasanten Welt der Frischwaren-Logistik in Bann ziehen, wie der diesjährige Gastgeber der Jahrestagung, die Genossenschaft Migros Aare, in ihrem Betriebszentrum Schönbühl (BE) gleich zweifach vor Augen führte: Zum einen liess die rund einstündige Führung durch die Logistikplattform erahnen, wie viel Planung und Präzision nötig sind, damit pro Tag über 400 verschiedene Artikel, darunter rund 200’000 Becher Joghurt oder gegen 100’000 Kisten Früchte und Gemüse an die 126 Migros-Verkaufsstellen in den Kantonen Bern, Solothurn und Aargau punktgenau ausgeliefert werden können.
Planung und Präzision sind zum andern auch jene zentralen Anforderungen, wenn es gilt, die knapp gewordenen Kapazitäten ebendieser Logistikplattform in einem Grossprojekt zu erweitern, und zwar unter laufendem Betrieb. Dass dies auch an das Risikomanagement besondere Ansprüche stellt, erstaunt nicht. Damit in der Vielzahl möglicher kritischer Ereignisse – mit Wirkung auf die finanzielle Performance, die Wettbewerbsposition oder auf Gesellschaft und Umwelt – die relevanten Risiken im Blickfeld bleiben, ist eine systematische Prozessmodellierung unerlässlich. Mindestens ebenso wichtig bleibt aber der enge Kontakt zu den Linienverantwortlichen, wie Christian Müller, Controller und Risikomanager des Projekts, eindrücklich schilderte.
Mehr als ein Governance Experte
Die Sequenz der Fachreferate am Nachmittag eröffnete Dr. Daniel L. Bühr, Partner bei der internationalen Anwaltskanzlei Lalive, mit der Feststellung, dass die Schweiz im Anti-Money Laundering Index (der NGO Basel Institute on Governance) unter 129 Staaten lediglich im Mittelfeld rangiert. Die Bewertung verblüfft, denn sie kontrastiert nicht nur mit dem eigenen Gefühl, sondern beispielsweise auch mit dem grossen Rückhalt, den die Konzernverantwortungsinitiative in der Bevölkerung geniesst. GRC-Fachleute sind sich mittlerweile weltweit einig, dass ein langfristiger Unternehmenserfolg ohne ein GRC-Management nach best practice, die in internationalen Normenwerken konsolidiert wird, nicht mehr zu bewerkstelligen ist.
Denn im Zeitalter anhaltender digitaler Vernetzung, Journalisten-Netzwerken oder auch dem automatischen Informationsaustausch im Rahmen des MCAA ist die Welt nicht nur weiter zusammengerückt, sondern auch transparenter geworden: Rechtsverstösse können somit nicht nur sehr teuer werden, sie werden aufgrund der wachsenden internationalen Zusammenarbeit der Justiz auch eher aufgedeckt. Ein Schlüsselelement einer guten GRC ist neben dem implementierten System das gelebte Vorbild der mittleren und oberen Führungsstufe.
Jonas Vetter, Rechtsanwalt in der Eidg. Finanzverwaltung (EFV), stellt das Thema der Steuerung von Bundesunternehmen zunächst in einen grösseren Kontext: Die Auslagerung von Bundesaufgaben vor rund 20 Jahren in selbständige Firmen fusst auf dem Kerngedanken, dass diese – befreit vom administrativen Korsett der Zentralverwaltung – ihre Leistungen effizienter und marktgerechter erbringen können. Steht der Auslagerungsentscheid einmal fest, muss auch feststehen, nach welchen Prinzipien der Bundesrat seine Verantwortung als beherrschender Eigentümer dieser volkswirtschaftlich bedeutenden Einheiten wahrnimmt und im öffentlichen Interesse lenkt.
Die Aufgabe ist nicht trivial: Es gilt nicht nur, teils gegenläufige Ziele in Einklang zu bringen (Grundversorgung vs. Shareholder-Value), sondern auch, den Unternehmen jene unternehmerische Freiheit zu gewähren, die sie für ihren nachhaltigen Erfolg benötigen. Neben einer soliden rechtlichen Verfassung (langfristig, statisch) ist das Instrument der strategischen Ziele zentral: Der Bundesrat legt damit die dynamischen Vorgaben für jeweils vier Jahre fest, die der Verwaltungsrat als oberstes Führungsorgan namentlich mit Blick auf Leistungen, Finanzen und Personalpolitik zu erreichen hat.
Risikomanagement und Compliance
Risikomanagement und Compliance haben auch in der Steuerung der Bundesunternehmen an Bedeutung gewonnen. Dabei ist in der Risikolandschaft zu unterscheiden zwischen (1) Risiken, die der Bund als Eigentümer und als Garant der Grundversorgungsleistungen trägt, und (2) Risiken, welche die Unternehmung aufgrund ihrer Aufgaben und Ziele selbst verantwortet. Sie werden entsprechend vom RM des Bundes bzw. jenem der Unternehmung bewirtschaftet.
Nachdem die Risiken 2 sich aber auch auf den Bund selbst auswirken können, hat der Bundesrat spezielle Vorkehrungen zu treffen. Gestützt auf seine Steuerungsprinzipien wird er aber nicht in die Kompetenzen der Unternehmung eingreifen. Vielmehr verpflichtet er den Verwaltungsrat mit einem strategischen Ziel, für ein angemessenes RM-System – nach Massgabe internationaler Standards – zu sorgen. Die Zielerreichung wird durch ein unabhängiges Audit verifiziert. Wie gesagt: nicht trivial, aber wichtig.
«Darf die Eidg. Finanzkontrolle (EFK) RM- und Compliance-Prüfungen beim Bund und den Bundesunternehmen durchführen?» führte Brigitte Christ ihr Referat zum Thema RM- und CM-Systeme prüfen – aber wie? mit maliziösem Unterton ein. «Nein!» lautet die unmissverständliche Antwort der Stv. EFK-Direktorin, «sie muss!» Denn das Finanzkontrollgesetzes (FKG, SR 614.0) hält fest, nach welchen Kriterien (Art. 5; z.B. Ordnungsmässigkeit) und in welchen institutionellen Bereichen (Art. 8; z.B. zentrale Bundesverwaltung) die EFK Prüfungen vorzunehmen hat. Gestützt darauf führte sie in den vergangenen Jahren im Bereich GRC Audits durch zum Compliance-Management (CM) der RUAG (2016), zum Risikomanagement der Post sowie der Bundesverwaltung (beide 2018). Zwei Bereiche stehen dabei jeweils im Fokus: Zum einen die Prüfung der RM- bzw. CM-Systeme selbst samt ihren Grundlagen («second line of defence»), zum andern die Geschäftsbereiche, in denen die Systeme praktisch gelebt werden und damit Wirksamkeit entfalten sollen. Letztere zu eruieren ist oft schwierig, doch sind sogenannte «Gummistiefel-Prüfungen», d.h. Prüfungen vor Ort und im direkten Gespräch mit der Führungsstufe dabei meist hilfreich. Methodisch stützt sich die EFK auf internationale Normenwerke (ISO, COSO) sowie den DIIR-Prüfleitfaden, auf Expertenwissen und eine wachsende Erfahrung in der Prüfung von RM-/CM-Systemen sowie – nie zu unterschätzen – auf eine gute Portion gesunden Menschenverstands.
Schluss mit Wohlfühl-Risikomanagement! lautete der Titel des letzten Fachreferats, mit dem Prof. Dr. Bruno Brühwiler, internationaler Risikoexperte und Geschäftsführer der EuroRisk Ltd., seine Informationen zur aktuellen Weiterentwicklung des RM-Normenwerks programmatisch umriss: Nachdem die Revision der ISO 31000-Norm im 2018 erfolgreich abgeschlossen wurde sowie im Lichte des Erfolgs der ONR 49000-Serie und des wachsenden praktischen Wissens aus der RM-Beratung, erwies es sich als naheliegend, die Schaffung einer nunmehr zertifizierbaren RM-Norm im Rahmen der ÖNORM 4900 in Angriff zu nehmen. Zu diesem Schluss kam die Arbeitsgruppe aus einer Reihe ausgewiesener Normen-Experten Deutschlands, Österreichs und der Schweiz mit Erfahrungen und Interessen im Risikomanagement. Die neue Norm hat diversen Ansprüchen zu genügen: Sie muss erstens verbindliche und von unabhängigen Experten eindeutig überprüfbare Anforderungen vorgeben, deren Erfüllung – auf das Format der Organisation zugeschnitten – die Wirksamkeit des Risikomanagements nachweist. Zweitens soll sie das Notfall-, Krisen- und Kontinuitätsmanagement einschliessen. Drittens soll die Norm die ISO Managementsystem-Struktur («High Level Structure») unterstützen und Doppelspurigkeiten, z.B. zwischen RM, CM oder QM, vermeiden. Die Arbeiten am neuen Standard sind weit fortgeschritten; er soll bereits in der zweiten Jahreshälfte 2019 als ÖNORM 4901 verfügbar sein.