Die Interne Revision am Scheideweg - pwc.de · PDF Die Interne Revision am Scheideweg Unsere...

www.pwc.de/internal-audit

Die Interne Revision am Scheideweg

Unsere Studie gibt Ihnen einen Einblick in die aktuelle Situation der IR 2012.


Unsere Studie gibt Ihnen einen Einblick in die aktuelle Situation der IR 2012.


Herausgegeben von der PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft

Von Wolfgang Meier und Jochen Esch

Unter Mitarbeit von Dorothea Mertmann und Kathrin Kersten

August 2012, 48 Seiten, 10 Abbildungen, Softcover

Vervielfältigungen, Mikroverfilmung, die Einspeicherung und Verarbeitung in elektronischen Medien sind ohne Zustimmung der Herausgeber nicht gestattet.

Die Inhalte dieser Publikation sind zur Information unserer Mandanten bestimmt. Sie entsprechen dem Kenntnisstand der Autoren zum Zeitpunkt der Veröffentlichung. Für die Lösung einschlägiger Probleme greifen Sie bitte auf die in der Publikation angegebenen Quellen zurück oder wenden sich an die genannten Ansprechpartner. Meinungsbeiträge geben die Auffassung der einzelnen Autoren wieder.

© August 2012 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. „PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige Gesellschaft.

Die Interne Revision am Scheideweg 5

Inhaltsverzeichnis

Inhaltsverzeichnis

Abbildungsverzeichnis ............................................................................................ 6

A Kernaussage ................................................................................................... 71 Wachsende Bedeutung des Risikomanagements ............................................. 7

B Vorstellung der Studienergebnisse und Diskussion ......................................... 91 Die komplexe Risikolandschaft von heute ....................................................... 92 2012: Aussicht auf aktuelle Risiken .............................................................. 103 Was macht die Risiken riskanter? ................................................................. 114 Viele Risiken werden als nicht gut gesteuert eingeschätzt ............................ 125 Bedarf an Abstimmung zwischen Fachbereichen und IR .............................. 136 Größe und Branche des Unternehmens sind entscheidend ........................... 157 Aktives Vorgehen ist erfolgsrelevant ............................................................. 16

C Erwartungen der Stakeholder an die IR ........................................................ 171 Stakeholder schätzen den Beitrag der IR....................................................... 182 Stakeholder erwarten mehr .......................................................................... 203 Stakeholder wollen alle kritischen Risikobereiche im Fokus haben .............. 214 Stakeholder wollen koordinierte „Line of Defense“ ....................................... 235 Stakeholder wollen einen fundierten und objektiven Standpunkt ................ 246 Bessere Abstimmung als Reaktion auf steigende Erwartungen ..................... 25

D Die angestrebte Stufe der IR ......................................................................... 261 Navigieren durch die neue Risikolandschaft ................................................. 272 Vermittlung umfassender Erkenntnisse ........................................................ 323 Kommunikationsprozesse entflechten und strukturieren ............................. 34

E Überwindung der Hindernisse ..................................................................... 361 Widerstand innerhalb der Unternehmenskultur und -organisation .............. 362 Die Rolle des CAE ......................................................................................... 373 Fehlende Ressourcen und Fachkenntnisse .................................................... 374 Personalrotation ........................................................................................... 38

F Konsequenzen für Ihr Unternehmen ............................................................. 40

G Forschungsansatz ......................................................................................... 43

Danksagung .......................................................................................................... 45

Ihre Ansprechpartner ............................................................................................ 46

6 Die Interne Revision am Scheideweg

Abbildungsverzeichnis

Abbildungsverzeichnis

Abb. 1 Die 15 meistgenannten Risikobereiche .................................................. 9

Abb. 2 Bewertung der Qualität des Risikomanagements der Unternehmen für das jeweilige Risikofeld? .................................... 14

Abb. 3 Am schlechtesten und am besten gesteuerte Risikobereiche nach Branchengruppen ................................................ 15

Abb. 4 Wichtigkeit des Beitrags der IR bei der Überwachung einzelner Risiken ................................................................................. 18

Abb. 5 Risikobereiche, um die sich die IR zu wenig kümmert .......................... 20

Abb. 6 Risikobereiche, in denen Stakeholder und CAEs einen Ausbau der Kapazitäten der IR wünschen oder planen ......................... 22

Abb. 7 Die drei Lines of Defense ...................................................................... 23

Abb. 8 Erreichen der neuen Stufe .................................................................... 27

Abb. 9 Die Herausforderung des höheren Niveaus bewältigen ........................ 42

Abb. 10 Unternehmen mit denen für die Studie gesprochen wurde .................. 43


Kernaussage

A Kernaussage

Weltweit sind die Risiken unternehmerischen Handelns gestiegen – die Stakeholder erwarten daher, dass sich die Interne Revision aktiv in die Risikosteuerung einbringt.

Die Risiken unternehmerischen Handelns sind weltweit gestiegen. Wie die letzten Jahre gezeigt haben, treten Krisen heute nicht nur häufiger auf, sie haben meist auch größere, oft globale Auswirkungen, die die Unternehmen vor immer wieder neue Herausforderungen stellen. Zudem erschweren verschärfte Regulierungen den Unternehmen, sich auf ständig wandelnde Risiken angemessen einzustellen.

Vor diesem Hintergrund überrascht also nicht, dass die Mehrheit der 1.530 Führungs kräfte aus 16 Branchen und 64 Ländern, die an der Studie über die Interne Revision 2012 teilgenommen haben, angibt, ihr Unternehmen sei heute mit mehr Risiken konfrontiert als je zuvor. Da Handel, Wertschöpfungsketten und Finanz-märkte zunehmend global verzahnt sind, treten Risiken oft schnell und unerwartet auf – und nicht selten mit erheblichen Auswirkungen auf die Geschäfts tätigkeit, den Ruf und letztlich das Überleben der Unternehmen. Dies hat dazu geführt, dass die Unternehmen mehr denn je darauf bedacht sind, die Ausrichtung, Steuerung und Kommunikation ihres globalen Risikoprofils zu verbessern.

1 Wachsende Bedeutung des Risikomanagements

Zum achten Mal hat PwC ihre jährliche Studie über die Interne Revision (IR) durchgeführt. Im Mittelpunkt standen dabei die zunehmende Bedeutung des Risiko managements und die steigenden Erwartungen an den Beitrag, den die IR dazu leistet. Während in früheren Untersuchungen nur die Revisions-verantwortlichen, die Chief Audit Executives (CAEs), befragt wurden, haben wir in die vorliegende Befragung auch weitere Führungskräfte sowie Prüfungs-ausschuss vorsitzende und Vorstände einbezogen. Erfragt wurde ihre Meinung zu den kritischsten Risiken und zu dem Beitrag, den sie bei deren Bewältigung von der IR erwarten. Über 660 dieser Stakeholder und 870 CAEs haben an der Befragung teilgenommen; zudem führten wir mit fast 100 CAEs und Stakeholdern persönliche Interviews.

Die vorliegende Studie beleuchtet die gestiegenen Erwartungen der Stakeholder und ermittelt, an welcher Stelle die Stakeholder sich eine Beteiligung der IR an der Gestaltung des Risiko managements wünschen, um das Ziel eines größtmöglichen Mehrwerts zu erreichen.

Die Mehrheit der 1.530 befragten Führungs kräfte berichtet, sie seien heute mit mehr Risiken konfrontiert als je zuvor.


Kernaussage

Ferner gehen wir der Frage nach, wie sich führende IR-Funktionen auf die gestiegenen Stakeholder-Erwartungen eingestellt haben. Sie decken einen größeren Umfang von Risiken ab und kommunizieren ihre fachlichen Einblicke. Dadurch haben sie ein Niveau erreicht, das unabhängig von Branche, Land und Unternehmens größe einen neuen Maßstab für die IR-Funktionen setzt. Stakeholder und CAEs haben erkannt, dass die IR das Risikomanagement ihrer Organisation nur dann wirksam unterstützen kann, wenn die Mindestanforderungen an ihre Leistung steigen. In der heutigen, sich ständig verändernden Risikolandschaft kann sich die IR nicht mehr damit begnügen, auf Ereignisse zu reagieren. Vielmehr muss sie eine strategische Denkweise annehmen, die Risiken frühzeitig erkennt und die dabei hilft, das Unternehmen optimal auf neue Bedrohungen wie auch Chancen vorzubereiten.

Durch die Nutzung ihrer Kernkompetenzen, die Entwicklung vertrauensvoller Beziehungen und die Vermittlung umfassender Erkenntnisse haben führende IR-Funktionen unter Beweis gestellt, dass sie für ihre Unternehmen einen wertvollen Beitrag leisten können.


Vorstellung der Studienergebnisse und Diskussion

B Vorstellung der Studienergebnisse und Diskussion

Neuausrichtung der IR mit dem Ziel, Mehrwert zu schaffen.

1 Die komplexe Risikolandschaft von heute

Die Stakeholder von Unternehmen befassen sich heute intensiver mit branchen- und länderübergreifenden Risikofragen und versuchen, ihre unternehmensweite Risiko bereitschaft klarer zu definieren und zu kommunizieren. Diesen Trend zeigen die Antworten der 1.530 Teilnehmer unserer Studie: Die große Mehrheit von ihnen (80 %) sieht steigende Risiken auf ihre Organisation zukommen.

Die Umfrageergebnisse und Interviews zeichnen das Bild einer wachsenden und sich rasch verändernden Risikolandschaft, in der neue Risiken auftretenund sich die mit den klassischen Risiken verbundenen Herausforderungenweiterentwickeln. Stakeholder und CAEs überdenken daher die Rang folge der dringlichsten Risiken für ihre Unternehmen. Neben der Sorge um die anhaltende wirtschaftliche Unsicherheit, die zunehmenden Regulierungs anforderungen und die volatilen Finanzmärkte nennen die Unternehmen klassische Felder wie Fraud und Ethik, M&A, Großprojekte, neue Produkteinführungen und Business Continuity als die fünf wichtigsten Risikobereiche.

Wie aus den Antworten auf unsere Frage nach den kritischsten Risiken der Organisation hervorgeht, sind praktisch alle erhobenen Risiken jeweils für Hunderte von Umfrageteilnehmern von entscheidender Bedeutung. Abbildung 1 zeigt die 15 kritischsten Risiken, also jene, die von den Teilnehmern am häufigsten genannt wurden.

Abb. 1 Die 15 meistgenannten Risikobereiche

Wirtschaftliche Unsicherheit

Nachwuchs und PersonalNeue Produkteinführungen

Regulierungen und staatliche Vorgaben

Reputation und Marke Fraud und Ethik

WettbewerbVerschiebungen an den

HandelsmärktenBusiness Continuity

FinanzmärkteEnergie und

RohstoffkostenM&A und Joint Ventures

Datenschutz und Datensicherheit

Staatliche Ausgaben und Besteuerung

Großprojekte



2 2012: Aussicht auf aktuelle Risiken

Die erheblichen globalen Risiken, die 2011 zum Tragen kamen, sowie ihre Auswirkungen beschäftigen die Führungskräfte, die wir nach ihren Ansichten zu den zentralen Risiken für ihre Unternehmen befragt haben – unabhängig von der Unternehmensgröße, Branche oder Land. Zu diesem komplexen Risiken, mit denen Unternehmen heute konfrontiert sind, gehören insbesondere:

Wachsende Unsicherheit an den Wirtschafts- und FinanzmärktenKnapp drei Viertel der Unternehmen sehen in der wirtschaftlichen Unsicherheit ihr größtes Risiko. Erhebliche Sorge bereitet die Krise im Euro-Währungsgebiet, die die lokalen Volkswirtschaften potenziell zu Fall bringen kann, weltweit finanzielle Turbulenzen verursacht und eine weitere globale Rezession auslösen könnte.

Auch wenn diese Krise abgewendet werden sollte, betrachten die Risikomanager die Auswirkung der volatilen Währung und die damit verbundene Unsicherheit weiterhin skeptisch. „Viele unserer Produkte werden in Euro verkauft und ihre Preise werden in Euro festgelegt“, äußert ein internationaler Hersteller. „Viele Ausgangsmaterialien werden hingegen in US-Dollar abgerechnet, sodass die Eurokrise an den ausländischen Märkten großen Einfluss auf unsere Geschäftstätigkeit hat.“

Stärkere Regulierung und Veränderungen der staatlichen VorgabenDa die Regierungen nach wie vor auf die Finanzkrise reagieren, der Forderung der Öffentlichkeit nach mehr gesellschaftlicher Verantwortung der Unternehmen nachkommen und in einigen Ländern immer massiver intervenieren, ist auch die Überregulierung weiterhin eine der größten Sorgen. Manager in den USA halten im Jahr 2012 aufgrund der bevorstehenden Wahlen große politische Veränderungen in ihrem Land für denkbar. Bereits jetzt müssen sich US-amerikanische Unternehmen mit umfangreichen regulatorischen Veränderungen in Form von Verschärfungen der finanziellen Regulierung durch den Dodd-Frank Act und Änderungen im Gesundheits wesen durch den Patient Protection and Affordable Care Act auseinandersetzen. Auf globaler Ebene haben viele Unternehmen zudem mit der Einhaltung des UK Bribery Act zu kämpfen.

Bedrohung der Datensicherheit und ReputationFast täglich ist von Verstößen gegen den Datenschutz zu hören. Entsprechend besorgt betrachten die Manager die Themen Datensicherheit und Datenschutz. Aufgrund der intensiveren Nutzung von Social Media, mobilen Geräten und Cloud Computing wächst die potenzielle Bedrohung eines Missbrauchs von Kundendaten und der damit verbundenen Rufschädigungen weiter an.

Datenschutz- und Sicherheitsrisiken, die als Themen bislang in die Domäne der IT verwiesen wurden, gewinnen als neue strategische Bedrohung in einer zunehmenden digitalen Welt immer mehr an Bedeutung. „Mit der globalen Vernetzung verlangen unsere Kunden einen stärkeren Fokus auf die Themen Daten-sicherheit, Cloud Computing, Regulierungsdaten und die finanziellen Kosten des Risiko managements“, so Microsoft-Finanzvorstand Peter Klein.



1 Weiterführende Informationen zu diesen und anderen Risiken sowie möglichen Handlungsstrategien enthält auch unser Bericht „Risk in Review 2012: Rethinking Risk Management for New Market Realities“.

M&A-RisikenAuch bei der Gründung neuer strategischer Allianzen und Joint Ventures, vor allem in den Schwellenländern (eine Strategie, die laut unserer Studie Annual Global CEO Survey von 2012 in diesem Jahr 28 % der Unternehmen weltweit verfolgen wollen), müssen Unternehmen gegen zahlreiche Risiken gewappnet sein. Zusätzlich zu den unterschiedlichen aufsichtsrechtlichen Regelungen und landesspezifischen Vorgaben sind die Unternehmen möglicherweise auch mit Amtsträgern konfrontiert, die für ihre Hilfe bei Transaktionen oder für die Beseitigung von Hürden eine „Gegenleistung“ verlangen. Die damit verbundenen ethischen und rechtlichen Fragen erfordern ein fundiertes Verständnis lokaler Kulturen und Geschäfts praktiken sowie einschlägiger Gesetze, vor Ort wie auch im Heimatland (z. B. US Foreign Corrupt Practices Act und UK Bribery Act). Unternehmen, die in Schwellen ländern tätig werden, können auch auf Nachwuchs- und personal-bezogene Risiken treffen, hinsichtlich des Wettbewerbs mit lokalen Unternehmen um Mitarbeiter mit besonders wertvollen Qualifikationen1.

3 Was macht die Risiken riskanter?

Die enge Verzahnung von globalem Handel, Finanzmärkten und Wertschöpfungs-ketten hat dazu geführt, dass Risiken unerwartet auftreten und mit weitreichenden Auswirkungen auf den Ruf und sogar das Überleben von Unternehmen einhergehen. „Die Geschäftstätigkeit ist so global gestreut“, betont Microsoft-CFO Peter Klein, „dass es eine permanente Herausforderung ist, diese mit den unterschiedlichen Kulturen und Geschäftsmodellen in Einklang zu bringen und die notwendigen Tools und Technologien zu entwickeln, um mit der anhaltenden globalen Diversifizierung Schritt zu halten.“

Die Manager sehen in der Komplexität, Unvorhersehbarkeit und Vielfalt der Risiken die Hauptgründe dafür, dass sich ihr Risikoprofil geändert hat. Für sie ist die Steuerung kritischer Risiken weiterhin eine zentrale Herausforderung. Dies lässt sich auch durch eine Reihe von Schlagzeilen aus dem Jahr 2011 verdeutlichen:

„70 Millionen Kunden von Datendiebstahl im Sony-PlayStation-Network betroffen“• Der Hackerangriff auf das Sony-PlayStation-Network im April 2011 richtete einen Schaden von über 171 Millionen US-Dollar an. Analysten zufolge könnte dieser Betrag aufgrund der Kosten von Ermittlungen, Entschädigungen, entgangenem Geschäft und zusätzlichen Investitionen in die Datensicherheit noch viel höher ausfallen.„News of the World wegen Skandal eingestellt“ •Das alteingesessene britische Boulevardblatt News of the World wurde nach einem großen Abhörskandal, an dem Mitarbeiter beteiligt gewesen waren, von seinem Eigentümer News International geschlossen, um den Schaden für den Konzern zu begrenzen.„Lieferengpässe bei Smartphone-Teilen nach Erdbeben in Japan“ •Infolge von Erdbeben, Tsunami und Reaktorunglück in Japan im März 2011 mussten viele Hightechbetriebe vorübergehend geschlossen werden, darunter auch eine Produktionsstätte für ein wichtiges Polymer, das weltweit in 70 % aller Lithium-Ionen-Akkus verwendet wird. Die nachfolgenden Lieferengpässe betrafen Technologieunternehmen auf der ganzen Welt, darunter Nokia, RIM, Sony Ericsson und, in geringerem Umfang, Apple und Samsung.

Komplexität, Unvorhersehbarkeit und Vielfalt der Risiken sind die Hauptgründe dafür, dass Manager glauben, ihr Risiko-profil habe sich geändert.



Die Manager, mit denen wir gesprochen haben, wiesen auch darauf hin, dass die Geschwindigkeit, mit der solche Informationen öffentlich bekannt werden, das Vertrauen in die Qualität des Risikomanagements schwächt. Wie Kanwardeep Ahluwalia, Leiter Financial Risk Management beim Rückversicherer Swiss Re, feststellt: „In einer Welt immer schnellerer Kommunikation und sofortiger Übertragung ist es denkbar, dass allein infolge der Wahrnehmung zunehmender Risiken eine zusätzliche Dimension der Komplexität entsteht [...], aber vielleicht glauben wir auch nur deshalb, die Risiken seien gewachsen, weil wir mehr über sie wissen.“

4 Viele Risiken werden als nicht gut gesteuert eingeschätzt

Angesichts der sich laufend verändernden Risikolandschaft ist weniger als die Hälfte (45 %) der Befragten damit zufrieden, wie ihre kritischsten Risiken gesteuert werden – obwohl 74 % von ihnen über etablierte ERM-Prozesse (ERM – Enterprise Risk Management) verfügen. Dieses relativ geringe Vertrauen der Teilnehmer signalisiert, dass die Stakeholder das Gefühl haben, ihre Organisation könne Risiken nicht wirksam steuern und müsse ihre Bemühungen sowohl beim Risiko-management selbst als auch bei der Kommunikation der Ergebnisse verstärken. Aus diesem Grund müssen die CAEs sicherstellen, dass die IR die Risikolandschaft des Unternehmens kennt und sich in den kritischen Bereichen mit den Stakeholdern abstimmt. Nur so ist die Revisionsfunktion in der Lage, Risiken zeitnah zu begegnen, Erkenntnisse über deren Auswirkungen zu vermitteln und konkrete Empfehlungen zur Verbesserung der Unternehmensleistung abzugeben.

Bei unserer Analyse fällt auf, dass sowohl die Stakeholder als auch die CAEs die Finanzmärkte als das am besten gesteuerte Risiko ansehen: 63 % der Befragten beurteilen ihr Risikomanagement auf diesem Gebiet als gut.

Ihr Vertrauen mag das Ergebnis harter Arbeit sein: Seit vier Jahren – dem Beginn der Rezession im Jahr 2008 – kämpfen die Unternehmen mit allen Mitteln gegen die Turbulenzen an den Finanzmärkten. Sie mussten ihre Unternehmen durch zusammengebrochene Kreditmärkte, starke Währungsschwankungen, volatile Aktienmärkte und andere mögliche Katastrophen steuern und sind so im Umgang mit finanziellen Herausforderungen versierter geworden. Die Komplexität der Probleme an den Finanzmärkten hat zwar nicht abgenommen, aber die Unternehmen fühlen sich eher in der Lage, diese zu bewältigen.

Während die Unternehmen damit beschäftigt waren, finanzielle Gefahren abzuwenden, haben sich die geschäftlichen Realitäten weiter verändert. Eine besondere, langfristige Bedrohung ist die Gewinnung und Bindung von Personal in einem globalen, technologieorientierten Markt, in dem einerseits Kernkompetenzen in den Bereichen Technik und IT stark nachgefragt werden und andererseits das Angebot an Arbeitskräften knapp ist. Die Befragten stufen durchgängig nachwuchs- und personalbezogene Risiken als gravierend ein, doch nur 23 % haben Vertrauen in die Fähigkeit ihres Unternehmens, dieses Risiko gut zu steuern.

Weniger als die Hälfte der Befragten ist mit der Steuerung ihrer kritischsten Risiken zufrieden.



Wie in unserem Annual Global CEO Survey von 2012 näher ausgeführt wird, herrscht ein intensiver Wettbewerb um Humankapital, und viele Unternehmen stehen unter dem Druck, ein aktiveres Talentmanagement zu betreiben. Die dabei verwendeten Modelle und Strategien können sich erheblich von jenen unterscheiden, die ihre Organisation in der Vergangenheit zum Erfolg geführt haben. Wurden etwa Positionen im Ausland früher mit Expatriates besetzt, so könnte heute eher die Gewinnung qualifizierter lokaler Kräfte mit den notwendigen Fach- und Sprach kenntnissen ein wichtiger Erfolgsfaktor sein. Die Nachwuchs- und Personalrisiken werden in den Schwellenländern zusätzlich verschärft, dass die Mitarbeiterbindung dort relativ gering ist und lokale Unternehmen zunehmend damit beginnen, Spitzenkräfte durch höhere Gehälter und Leistungen zu locken und dabei auch an deren Loyalität appellieren. Somit könnte es dazu kommen, dass der Umfang und die Vielfalt der Veränderungen, die sich gegenwärtig vollziehen, mit den aktuellen Talentmanagement-Programmen nicht mehr ausreichend zu bewältigen sind – was bei den Stakeholdern und CAEs zu einem nur gering ausgeprägten Vertrauen in die Steuerung dieses Risikos führt.

5 Bedarf an Abstimmung zwischen Fachbereichen und IR

Da in die vorliegende Studie erstmals auch die Stakeholder einbezogen wurden, konnten wir die Ansichten von Stakeholdern und CAEs auf Makroebene miteinander vergleichen. Die Ansichten sind hier für einzelne Unternehmen nicht unbedingt repräsentativ, liefern jedoch Anhaltspunkte für Bereiche, in denen eine Übereinstimmung erreicht wird, und solche, in denen ein stärkerer Dialog zwischen Stakeholdern und CAEs erforderlich ist.

Warum ist ein abgestimmtes Risikomanagement so wichtig? Dass die IR wirklich effektiv sein kann, muss im Unternehmen eine Kultur geschaffen werden, in der Stakeholder und CAEs einen intensiven Dialog über Unternehmensrisiken führen, ihre Zielvorstellungen austauschen und einen gemeinsamen Standpunkt zur Rolle der IR im Hinblick auf die kritischsten Risiken erarbeiten. Angesichts der zahlreichen Risiken, mit denen die Unternehmen heute konfrontiert sind, ist eine abgestimmte Strategie für die kritischsten Risiken unverzichtbar, wenn es darum gehen soll, die Ressourcen der IR sinnvoll und effektiv einzusetzen. Ohne eine solche Abstimmung kann es geschehen, dass die CAEs Ressourcen nicht gezielt in denjenigen Bereichen einsetzen, die die Stakeholder für besonders kritisch halten – und dadurch die Chance versäumen, einen Mehrwert für das Unternehmen zu schaffen.



Abb. 2 Bewertung der Qualität des Risikomanagements der Unternehmen für das jeweilige Risikofeld?

Reputation und Marke

Finanzmärkte


Wettbewerb

Energie und Rohstoffkosten

Fraud und Ethik

Verschiebungen an den Handelsmärkten

Merger&Akquisition

Regulierung und staatliche Vorgaben

wirtschaftliche Unsicherheit

neue Produkteinführungen

Großprojekte

Business Continuity

staatliche Ausgaben und Besteuerung

64 %62 %

58 %47 %

58 %54 %

56 %53 %

53 %55 %

53 %35 %

52 %

50 %33 %

48 %49 %

44 %

38 %

40 %

32 %

27 %37 %

33 %30 %

32 %39 %

30 %18 %

41 %

Nachwuchs und Personal

Stakeholder CAEs

gutes Risikomanagement

47 % der Stakeholder und 40 % der CAEs geben an, dass ihre Geschäftsrisiken gut gesteuert werden. Bei den einzelnen Risiken (siehe Abb. 2) sind sechs Bereiche mit größeren Abweichungen der Befragungsergebnisse festzustellen, wobei die Stakeholder ein größeres Vertrauen in das Risikomanagement als die CAEs zeigen. Am stärksten gehen die Meinungen bei der Steuerung von Risiken im Zusammen-hang mit Fraud und Ethik auseinander: 53 % der Stakeholder, aber nur 35 % der CAEs sind hier vom Risikomanagement ihres Unternehmens überzeugt. Ähnlich unterschiedlich fällt das Vertrauen in das Risikomanagement bei den Themen M&A und Joint Ventures aus. 50 % der Stakeholder, aber nur 33 % der CAEs beurteilen diesen Bereich positiv.

Obgleich diese Unterschiede zahlreichen Faktoren geschuldet sein können, erscheint diese Differenz doch als ein deutlicher Aufruf an die Stakeholder und CAEs, einen kontinuierlichen Dialog darüber zu führen, wie gut die Risiken ihrer Meinung nach gesteuert werden. Eine mangelhafte wechselseitige Abstimmung



kann zur Folge haben, dass die IR ihre Ressourcen suboptimal einsetzt und sich nicht genügend auf die Risiken konzentriert, die für das Unternehmen am kritischsten sind. Angesichts der sich ständig verändernden Risikolandschaft genügt es nicht mehr, dass die IR nur informiert wird. Sie muss auch die Gewissheit haben, dass sich ihre Tätigkeit auf die Bereiche konzentriert, in denen tatsächlich die größten Risiken für das Unternehmen bestehen.

6 Größe und Branche des Unternehmens sind entscheidend

Die Umfrageteilnehmer haben generell relativ wenig Vertrauen in das Risiko-management ihres Unternehmens. Die Betrachtung der Einzelergebnisse zeigt allerdings, dass die Unternehmensgröße bei der Einschätzung eine Rolle spielt: Insgesamt ist das Vertrauen in die Qualität des Risikomanagements bei Unternehmen mit einem Umsatz von 10 Milliarden US Dollar und mehr um 20 % höher als bei Unternehmen mit einem Umsatz unter 10 Milliarden US-Dollar. Die Studien ergebnisse bestätigen hier unsere Erfahrung:

Größere Unternehmen verfügen über ausgereiftere Verfahren und Instrumente zur Unterstützung des Risikomanagements. Ein effektives Risikomanagement ist in kleineren und mittelständischen Unternehmen jedoch keinesfalls weniger wichtig. Trotz des höheren Vertrauens der Befragten aus großen Unternehmen besteht auch hier noch beträchtlicher Spielraum für Verbesserungen. Auch wenn die Größe offensichtlich eine Rolle spielt – für CAEs kleiner wie auch großer Unternehmen stellt sich dieselbe Frage: Welche zusätzlichen Anstrengungen sollte die IR unternehmen, um das Vertrauen in das Risikomanagement (wieder) zu stärken?

Die konkrete Rolle der IR mag dabei, je nach Unternehmensgröße, unterschiedlich sein, ein grundsätzlicher Handlungsbedarf ist aber unbestritten.

Eine nach Branchen differenzierte Analyse der Umfrageergebnisse hat ferner bestätigt, dass die kritischsten Risiken und das Vertrauen der Stakeholder in die Fähigkeit, diese zu bewältigen, auch in Abhängigkeit von der Branche variieren. Bei den Nachwuchs- und Personalrisiken sind sich die Befragten allerdings einig, dass diese am schlechtesten gesteuert werden. Abbildung 3 zeigt die drei besonders schlecht und die drei besonders gut gesteuerten Risiken, aufgeschlüsselt nach Branchen.

Abb. 3 Am schlechtesten und am besten gesteuerte Risikobereiche nach Branchengruppen

Finanzdienstleistungen CIPS1 Gesundheitswesen TICE2

am schlechtesten gesteuert

Nachwuchs und Personal•staatliche Ausgaben und •BesteuerungGroßprojekte•

Nachwuchs und Personal•Großprojekte•Business Continuity•

Nachwuchs und Personal•Business Continuity•Fraud und Ethik•

Nachwuchs und Personal•Business Continuity•Einführung neuer Produkte•

am besten gesteuert

Finanzmärkte•Datenschutz und •DatensicherheitWettbewerb•

Finanzmärkte•Wettbewerb•Reputation und Marke•

Reputation und Marke•Regulierung und staatliche •Vorgabenstaatliche Ausgaben und •Besteuerung

Wettbewerb•Regulierung und staatliche •VorgabenFinanzmärkte•

1 Consumer Industrial Products and Services (gewerbliche Konsumgüter und Dienstleistungen)2 Technology, Information, Communications and Entertainment (Technologie, Information, Kommunikation und Unterhaltung)



7 Aktives Vorgehen ist erfolgsrelevant

Die Umfrageergebnisse deuten auch darauf hin, dass ein besseres Risiko-management sich auf die Ertragslage auswirkt. Von den Befragten aus Unternehmen, die sich – unabhängig von ihrer Größe oder Branche – durch eine bessere Ertragslage als vergleichbare Unternehmen auszeichnen, haben 53 % hinsichtlich der 15 wichtigsten Risiken Vertrauen, dass diese gut gesteuert werden. Im Vergleich dazu sind bei den Befragten aus Unternehmen, die finanziell schlechter dastehen, nur 25 % dieser Ansicht.

Jüngste Erfahrungen zeigen, dass in einer Welt allgegenwärtiger Medienpräsenz die Planung des Umgangs mit negativen Ereignissen ebenso wichtig ist, wie die Identifizierung und Steuerung des eigentlichen Risikos. Führende Unternehmen unterscheiden sich in ihrem Risikomanagement; sie haben von einer reaktiven auf eine aktive Denkweise umgestellt, die Risiken antizipiert und dazu beiträgt, die Organisation auf neue Bedrohungen wie auch Chancen vorzubereiten. Diese Unternehmen heben sich dadurch ab, dass sie ihre Risiken besser verstehen und steuern, sich durch den Aufbau finanzieller Puffer schützen, Redundanzen in die Wertschöpfungskette einbauen und ihre Risiken aktiv managen. Kurzum: Sie sind besser darauf vorbereitet, auf Risiken zu reagieren oder die daraus entstehenden Chancen zu nutzen.

Diese strategische Denkweise sollte sich die IR zu eigen machen. „Statt nur zu fragen, was falsch laufen könnte, sollte man sich auch überlegen, was richtig laufen muss, damit Systeme, Verfahren und Geschäftsleitung darauf fokussiert sind, die Unternehmens strategie in einem breiten Spektrum möglicher Situationen und externer Szenarien erfolgreich umzusetzen“, so Jason Pett, Leiter Internal Audit bei PwC in den USA.

Bei Unternehmen mit einer besseren Ertragslage als vergleichbare Betriebe glauben 53 % der Befragten, dass die 15 wichtigsten Risiken gut gesteuert werden. Bei den Unternehmen, die finanziell schlechter dastehen als vergleichbare Betriebe, sind es nur 25 %.


Erwartungen der Stakeholder an die IR

C Erwartungen der Stakeholder an die IR

Die Botschaft der Stakeholder ist unmissverständlich: Da die Risiken steigen und das zunehmende Bewusstsein für diese Risiken für die Investoren von wachsender Bedeutung ist, wollen sie mehr Sicherheit bezüglich der Fähigkeit ihrer Unternehmen, gegenwärtigen und künftigen Risiken erfolgreich zu begegnen. In den Interviews äußerten die Stakeholder immer wieder, dass sie die Fähigkeit der IR schätzen, Risiken zu identifizieren, ihre Auswirkungen einzuschätzen und Verfahren und Kontrollen zu deren Steuerung zu empfehlen.

Wie aus den Umfrageergebnissen hervorgeht, erwarten die Stakeholder von der IR in erster Linie die Erfüllung ihrer klassischen Aufgabe – die Prüfung der finanziellen Kontrollen und der Compliance. Nur knapp dahinter folgt jedoch die Beratung über Risiken und Kontrollen. Um das Vertrauen der Stakeholder zu stützen und als wichtiger Geschäftspartner angesehen zu werden, der einen konstruktiven Beitrag leistet, muss die IR einen Punkt erreichen, an dem sie beide Erwartungen gleich gut erfüllt: die Durchführung klassischer Prüfhandlungen und die Vermittlung umfassender Kenntnisse und fachlicher Perspektiven.

Im nachfolgenden Abschnitt geht es um die Einschätzungen der Stakeholder zum Beitrag der IR und um die Bereiche, in denen sie sich einen höheren Beitrag wünschen.

der Stakeholder halten den Beitrag der IR zur Überwachung der Datenschutz- und

Datensicherheitsrisiken für sehr wichtig.69 %



Abb. 4 Wichtigkeit des Beitrags der IR bei der Überwachung einzelner Risiken

Großprojekte

Fraud und Ethik


Business Continuity

M&A und Joint Ventures



Finanzmärkte







67 %

69 %

30 %71 %

59 %27 %

39 %

38 % 49 %39 % 54 %

40 % 42 %45 % 47 %

26 % 54 %30 % 58 %

36 %47 %

42 %38 %

26 % 50 %21 % 64 %

21 % 46 %15 % 59 %

19 % 46 %19 % 48 %

10 % 50 %10 % 59 %

44 %11 %9 % 56 %

39 %11 %10 % 50 %

40 %46 %

10 %5

8 % 35 %41 %6 %

7 % 34 %38 %5

26 %

Wettbewerb

Stakeholder (sehr wichtig)

Stakeholder (wichtig)

CAEs (sehr wichtig)

CAEs (wichtig)

1 Stakeholder schätzen den Beitrag der IR

Die Stakeholder äußerten wiederholt, dass sie der IR eine zentrale Rolle bei der Überwachung der wichtigsten Risiken beimessen. Von den Befragten, die Fraud und Ethik sowie Datenschutz und Datensicherheit als ihre wichtigsten Risiken nennen, würdigt die große Mehrheit von 97 % bzw. 96 % den Beitrag der IR. Interessanterweise gibt es in diesen beiden Risikobereichen auch die größte Übereinstimmung in der Gesamteinschätzung von Stakeholdern und CAEs.

Über drei Viertel der Befragten, die Business Continuity, Großprojekte, M&A, Regulierung und staatliche Vorgaben sowie Reputation und Marke als ihre wichtigsten Risiko bereiche einstufen, bewerten den Beitrag der IR zur Überwachung dieser Risiken ebenfalls als „wichtig“ oder „sehr wichtig“.

Dass ein Risiko bisher kein Thema für die IR war, sollte diese nicht daran hindern, hier künftig einen Schwerpunkt zu setzen.



Tatsächlich gibt es nur zwei Risikobereiche (Verschiebungen an den Handels-märkten und Wettbewerb), in denen weniger als 50 % der Stakeholder die Rolle der IR für „wichtig“ halten. Das Fazit: Die Mehrheit der Stakeholder erwartet, dass die IR der Organisation aktiv bei der Überwachung und Steuerung ihrer kritischsten Risiken hilft.

Während die Wichtigkeit der IR insgesamt relativ hoch bewertet wird, gibt es nur zwei Bereiche (Fraud und Ethik, Datenschutz und Datensicherheit), in denen über 50 % sowohl der Stakeholder als auch der CAEs der IR eine „sehr wichtige“ Rolle bescheinigen.

Bei den Datenschutz- und Datensicherheitsrisiken besteht eine deutlich abweichende Auffassung bezüglich der Wichtigkeit der IR: Während beim Gesamtwert die Abweichung zwischen Stakeholdern und CAES nur 2 % beträgt, ist die Quote der Befragten, die die Rolle der IR in diesem Risikobereich als „sehr wichtig“ beurteilen, bei den Stakeholdern um 17% höher als bei den CAEs.

Unserer Erfahrung nach kann die unterschiedlich bewertete Wichtigkeit der Rolle der IR mehrere Gründe haben, unter anderem die, dass das Risiko des Daten-schutzes und der Datensicherheit bisher nicht in den Zuständigkeitsbereich der IR fiel und/oder sie nicht die notwendigen fachlichen Kompetenzen besitzt, um in diesem Bereich effektive Prüfungen vorzunehmen und Verbesserungen zu empfehlen. Angesichts der schnellen Entwicklungen in diesem Risikobereich ist fast zu erwarten, dass sich die Einschätzung der Stakeholder und CAEs über die kritische Bedeutung der Rolle der IR noch nicht hundertprozentig deckt – ein weiterer Indikator dafür, dass sich die Risikolandschaft in einem raschen Wandel befindet. CAEs und Stakeholder müssen weiter daran arbeiten, Einigkeit zu erzielen über die Auswirkung dieses Risikos auf ihr Unternehmen und welche konkrete Rolle die IR dabei spielen soll.

Eine genauere Auswertung der Daten zeigt, dass die CAEs bei praktisch allen Risiken die Rolle der IR als wichtiger einstufen. Dies könnte andeuten, dass die CAEs selbst ihre Rolle in diesem Bereich als zwar als wesentlich ansehen, die Stakeholder diesen Beitrag aber noch nicht als so wertvoll einschätzen.

Im ungünstigeren Fall könnte dies ein Indikator dafür sein, dass die IR die potenzielle Wichtigkeit ihrer Rolle zwar versteht, aber etwas sie daran hindert, sich einzubringen und einen sinnvollen Beitrag zu leisten. In beiden Fällen müssten CAEs und Stakeholder überlegen, was die IR tun muss, um sich in kritische Risikobereiche einzubringen, oder – wenn sie sich bereits einbringt – was sie tun sollte, um mehr Gewicht zu erhalten um einen größeren Beitrag zum gesamten Risikomanagement zu leisten.

Fast jeder der Befragten möchte, dass sich die IR weiterhin oder verstärkt auf die wesentlichen Risikobereiche konzentriert.



Abb. 5 Risikobereiche, um die sich die IR zu wenig kümmert



Wettbewerb




Großprojekte





Business Continuity

Finanzmärkte


33 %

32 %

31 %

29 %

29 %

25 %

25 %

23 %

22 %

21 %

21 %

20 %

18 %

16 %

12 %Fraud und Ethik

2 Stakeholder erwarten mehr

Mehr als 20 % der Stakeholder meinen, dass sich die IR um die meisten der abgefragten Risiken zu wenig kümmert (siehe Abb. 5). Dieses Ergebnis zeigt, dass die Erwartungen der Stakeholder in vielen Feldern, die nicht zum klassischen Tätigkeitsbereich der IR gehören, gestiegen sind – so etwa bei Nachwuchs und Personal, neuen Produkteinführungen und wirtschaftlichen Unsicherheiten. Dass ein Risiko bisher kein Schwerpunkt der IR ist, sollte sie jedoch nicht davon abhalten, ihre Fähigkeiten einzubringen. „Einige sind der Auffassung, dass die IR in Bereichen wie Innovation oder Kartellrecht nichts zu suchen hat“, meint der CAE eines führenden Technologieunternehmens. „Es stimmt, dass wir in diesen Bereichen kein profundes Wissen haben. Aber wir können die Transparenz der Risiken sicherstellen und dafür sorgen, dass die Geschäftsleitung alle notwendigen Informationen erhält.“



Die hier vorgestellten Ergebnisse spiegeln zwar eine Makroperspektive, lassen aber den Schluss zu, dass die IR in vielen Unternehmen nicht den richtigen Stellenwert einnimmt oder nicht die Ergebnisse liefert, die die Stakeholder hinsichtlich ihrer kritischsten Risiken erwarten. Ein regelmäßiger Dialog zwischen Stakeholdern und CAEs ist unverzichtbar, wenn gewährleistet sein soll, dass die IR sich auf diejenigen Bereiche konzentriert, die den Erwartungen der Stakeholder entsprechen, und ihre Ressourcen gezielt dort einsetzt.

3 Stakeholder wollen alle kritischen Risikobereiche im Fokus haben

Neben der Auffassung der Stakeholder, dass der IR insgesamt eine wichtige Rolle zufällt und viele Risikobereiche nicht genügend Aufmerksamkeit erhalten, wurde in den Gesprächen und Umfrageergebnissen deutlich, dass sich die IR-Funktionen im Rahmen ihres Mandats um alle genannten Risiken kümmern, zugleich aber einen Schwerpunkt auf die kritischsten Risiken ihres Unternehmens legen sollten.

Die Forderung nach einer insgesamt erhöhten Aufmerksamkeit zieht sich quer durch die Umfrageergebnisse: 65 % der Stakeholder möchten, dass die IR eine wichtigere Rolle bei der Überwachung von Risiken übernimmt. Bei der Frage, auf welche konkreten Bereiche sich die IR gleich stark, stärker oder weniger stark konzentrieren sollte, zeigte sich, dass sich praktisch niemand dafür aussprach, den Fokus auf die zentralen Risiken zu beschränken. Dies ist ein weiterer wichtiger Indikator für die gestiegenen Erwartungen der Stakeholder an die IR in einer sich verändernden Risikolandschaft.

der Stakeholder möchten, dass die IR ihre Ressourcen im Umgang mit Datenschutz-

und Datensicherheitsrisiken ausbaut.46 %

Wie aus Abbildung 6 hervorgeht, äußern die Stakeholder und CAEs nahezu übereinstimmend, dass die IR ihre Kapazitäten in allen 15 zentralen Risiko-bereichen aufrechterhalten oder ausbauen sollte. In puncto Fraud und Ethik sowie Business Continuity ist die Zahl der CAEs, die sich hier einen Kapazitätsausbau wünschen, um 16 % bzw. 10 % höher als die der Stakeholder. Da beide Risiko-bereiche schon seit geraumer Zeit auf der Tagesordnung stehen, ist es nachvollziehbar, dass die CAEs eine größere Notwendigkeit sehen, sie stärker zu überwachen. Diese Risiken sind zwar komplex und gewinnen rasch an Bedeutung, doch durch die Bindung von zu vielen Ressourcen wird die Aufmerksamkeit von anderen Risikobereichen abgelenkt, die die Stakeholder als wichtiger einstufen. Angesichts begrenzter Ressourcen muss die IR diese in Übereinstimmung mit den Erwartungen der Stakeholder so gezielt wie möglich einsetzen. Wenn sie sich zu sehr mit den „falschen“ Bereichen beschäftigt, kann dieser Aufwand leicht auf Kosten eines kritischeren Geschäftsrisikos gehen und die Organisation wird unnötigen Gefahren ausgesetzt.



Abb. 6 Risikobereiche, in denen Stakeholder und CAEs einen Ausbau der Kapazitäten der IR wünschen oder planen

46 %52 %

31 %47 %

22 %32 %

24 %

21 %

27 %

22 %

32 %34 %

22 %

29 %

24 %

23 %

33 %

21 %

23 %29 %

26 %

19 %12 %

10 %19 %

14 %12 %

11 %7 %

27 %



Fraud und Ethik

Business Continuity



Finanzmärkte

Großprojekte




Wettbewerb




Stakeholder CAEs

Die IR-Funktion sollte sich um alle in der Studie behandelten Risikobereiche kümmern, ihren Schwerpunkt aber auf die größten Risiken des Unternehmens legen.

„Klare Verantwortlichkeiten bei der Identifizierung, Steuerung und Überwachung von Risiken sind von großer Bedeutung.“

Dr. Oliver Porsche, Vorsitzender des Prüfungsausschusses, Volkswagen



Abb. 7 Die drei Lines of Defense

1. Line of DefenseDas operative Management eines Bereichs ist für das operative Risikomanagement und die internen Kontrollen verantwortlich.

2. Line of DefenseRisikomanagement und ComplianceFunktionen sind für die Einführung und Überwachung von Richtlinien und Standards verantwortlich.

3. Line of DefenseDie IR ist für die objektive Prüfung und Beratung in den Bereichen Governance, Risikomanagement und Compliance verantwortlich.

Vorstand/Aufsichtsrat

Senior Management

4 Stakeholder wollen koordinierte „Line of Defense“

Das Risikomanagement wird häufig in Form von „Lines of Defense“, also „Verteidigungs linien“, beschrieben. Gemeint sind damit die verschiedenen Ebenen von Aktivitäten, die gewährleisten, dass Risiken effizient und wirksam gesteuert und auf die vom Management und anderen Beteiligten vorgesehene Weise überwacht werden. Stakeholder schätzen die Rolle der IR als dritte „Line of Defense“ – als objektive Prüfungsfunktion –, bewerten aber die Fähigkeit der IR, effektive Koordinierungs arbeit zwischen der ersten und zweiten Linie zu leisten, als ebenso wichtig.

Als dritte „Line of Defense“ beurteilt die IR im Auftrag des Vorstands, wie gut die Governance , Risiko management- und Compliance-Prozesse des Unternehmens – vor allem als erste und zweite Line of Defense – funktionieren. Dennis Powell, Vorsitzender des Audit Risk Committee bei Intuit, ist einer von vielen befragten Managern, die von der IR eine koordinierte Vorgehensweise erwarten: „Die IR muss die Bereiche identifizieren, in denen die Kontrollen nicht wie vorgesehen funktionieren und in denen das Risikomanagement nicht so stark ist, wie es erforderlich wäre.“

Die Bedeutung der ersten Line of Defense wird von Dr. Oliver Porsche, Vorsitzender des Prüfungsausschusses von Volkswagen, betont: „[…] Meiner Meinung nach ist es für ein erfolgreiches Risikomanagement wichtig, dass die Risiken von den operativen Einheiten identifiziert werden. Die operativen Einheiten kennen ihre Risiken und die entsprechenden Steuerungsmaßnahmen am besten. Daher haben wir eine klare Funktions trennung zwischen der Identifizierung, der Steuerung und dem Monitoring von Risiken. Unsere konzernweite Risk- und Compliance-Funktion identifiziert die kritischen Risiken in enger Abstimmung mit den operativen Einheiten und unsere IR spielt eine wichtige Rolle für die unabhängige Überwachung unserer Risiken. Diese Funktions trennung sichert qualitativ hochwertige Ergebnisse des Risikomanagements, die die Basis für die Überwachung des Unternehmens durch das Management bilden.“

Die dritte Line of Defense ist am wirkungsvollsten, wenn die erste und zweite Linie ausgereift sind. Ist die zweite Linie nicht vorhanden oder nicht ausreichend entwickelt, sollte unserer Erfahrung nach die Kompetenz der IR dazu genutzt werden, die Risiken zu identifizieren und einen Anstoß für ein besseres Risiko-management in den einzelnen Geschäftsbereichen des Unternehmens zu geben.



Letztlich liegen jedoch die Zuständigkeit für die erste und zweite Linie und die Gesamtverantwortung für das Risikomanagement bei der Geschäftsführung.

„Man muss das Risikomanagement in seine Strategie einbetten“, meint David Burritt, Vorsitzender des Prüfungsausschusses bei Lockheed Martin. „Die IR ist ideal geeignet, über Risikomanagementprozesse und -systeme zu beraten, aber es ist die fachliche Seite, die bereit sein muss, bei auftretenden Risiken aktiv zu werden.“

Die Stakeholder schätzen zwar die Rolle der IR als dritte Line of Defense, jedoch besteht noch erheblicher Nachholbedarf bei der Koordinierung mit der zweiten Linie. 74 % der in der Studie vertretenen Unternehmen verfügen über fest etablierte Gruppen zur Steuerung ihrer Risiken; dabei glauben jedoch weniger als 50 % der Befragten, dass ihre IR-Funktion mit diesen Gruppen gut koordiniert ist.

Eine bessere Koordinierung zwischen der zweiten und dritten Linie leistet einen Mehrwert in beide Richtungen: Die IR profitiert von den Anregungen, die ihr dabei helfen, sich auf die richtigen Risikobereiche zu konzentrieren, und die Risiko management- und Compliance-Abteilungen profitieren von der umfassenden Sicht der IR auf das Unternehmen und ihrer Fähigkeit, die Risiko-management maßnahmen in einen Gesamtzusammenhang zu bringen. „Der Mehrwert der IR besteht in ihrer ganzheitlichen Betrachtung des Unternehmens“, so Leslie Heisz, Vorsitzende des Prüfungsausschusses bei Ingram Micro. Die Bedeutung der Abstimmung mit der Risikomanagementfunktion unterstreicht auch Andrea Cummings, Vizepräsidentin der IR bei BlueScope Steel. Ihre IR-Abteilung „berücksichtigt bei der Revisionsplanung das konzernweite Risikoprofil, um die wichtigsten Schwerpunktbereiche für den Jahresrevisionsplan zu ermitteln. Insbesondere überprüft die IR die vom Management vorgeschlagenen Maßnahmen zur Risikominderung im Hinblick auf ihre Wirksamkeit.“

Mit der zunehmenden Ausgestaltung der Risikomanagementfunktionen müssen sich CAEs und Stakeholder darüber einigen, wie die Lines of Defense koordiniert werden sollen. Durch die Koordinierung und Abstimmung wird die IR befähigt, Risiken besser zu identifizieren, gründlichere Risikobewertungen durchzuführen und letztlich eine stärke Rolle im Rahmen des gesamten Risikomanagements zu übernehmen.

5 Stakeholder wollen einen fundierten und objektiven Standpunkt

Bei der Frage nach den wichtigsten Erwartungen an die IR nennt die überwiegende Mehrheit (88 %) der Stakeholder unter den ersten drei Erwartungen finanzielle Kontrollen und Sicherstellung der Compliance. Die Beratung zu Risiken und Kontrollen wird fast ebenso hoch bewertet und liegt bei 82 % der Befragten ebenfalls unter den ersten drei Nennungen.

Unsere Interviews ergaben, dass die Stakeholder sich fundierte Erkenntnisse von der IR wünschen. Ein CFO sagte uns: „Man sollte von den CAEs erwarten dürfen, dass sie angemessene Kontrollmechanismen zur Minderung von Risiken sicherstellen. Außerdem sollten sie über besonderes Fachwissen zur Empfehlung von Kontrollen verfügen.“ Die Empfehlungen zur Ausgestaltung von Kontrollen werden insgesamt hoch bewertet. Viele Stakeholder, mit denen wir sprachen, wünschen sich aber auch, dass die Erkenntnisse der IR etwas umfassender dargestellt werden. Sie sind auf der Suche nach Erkenntnissen, die Antwort geben auf die Frage „Was bedeutet dies für mein Geschäft?“ und die es dem Unternehmen ermöglichen, Zusammenhänge zu erkennen und damit effektiver zu arbeiten.

Weniger als 50 % der Befragten glauben, dass ihre IR-Funktionen gut mit anderen Risiko- und Compliance-Funktionen koordiniert sind.



Es erscheint logisch, dass sich die Stakeholder von der IR sowohl Sicherheit als auch fundierte Erkenntnisse wünschen. Die Studie zeigt darüber hinaus aber auch, dass Objektivität offenbar die Eigenschaft der IR ist, die die Stakeholder am meisten schätzen: 85 % von ihnen betrachten diese als eine der drei wertvollsten Eigenschaften der IR.

Da der Objektivität der IR aus Sicht der Stakeholder eine hohe Priorität zukommt, sind wir diesem Thema in den Interviews weiter auf den Grund gegangen. Dabei betonen die Stakeholder nicht nur die grundsätzliche Notwendigkeit der Objektivität der IR, sondern unterstreichen zudem, dass diese aus ihrer Sicht kein Hindernis für eine enge und wertvolle Partnerschaft mit der IR darstellt. Vielmehr geht es darum, das richtige Gleichgewicht zu finden. William Osborn, Vorsitzender des Prüfungsausschusses von Caterpillar, ist der Meinung, dass die IR-Funktion in seinem Unternehmen diesen Balanceakt erfolgreich gemeistert hat. „Ihr ist die Gratwanderung zwischen entschiedenem Auftreten bei Problemen einerseits und Hilfestellung für die Mitarbeiter bei der Vermeidung von Problemen andererseits gelungen“, erklärt Osborn. Er sieht dieses Gleichgewicht als wertvoll an und ergänzt: „Es besteht ein Spannungsverhältnis, und ich bin fest davon überzeugt, dass man den Spagat schaffen und beides können muss.“

6 Bessere Abstimmung als Reaktion auf steigende Erwartungen

Da nur 45 % der Befragten ihre kritischsten Risiken für gut gesteuert halten, ist der Bedarf für eine neue und erweiterte Rolle der IR noch sehr groß. Nun ist es an der IR, die an sie gestellten Herausforderungen anzunehmen.

Unabhängig von der Unternehmensgröße, Branche oder geografischen Lage rechnet die Mehrheit der CAEs damit, dass ihre Budgets in den nächsten zwölf Monaten unverändert bleiben oder sogar gekürzt werden. Wie wir erfahren haben, wünschen sich die Stakeholder jedoch, dass die IR ihre Kapazitäten in Anbetracht der sich verändernden Risikolandschaft ausbaut.

Anhand von Umfrageergebnissen, Interviews und eigenen Erfahrungen konnten wir feststellen, dass viele IR-Funktionen führender Unternehmen Möglichkeiten finden, die höheren Erwartungen ihrer Stakeholder zu erfüllen – sowohl im Hinblick auf einen höheren Wertbeitrag in den klassischen Kontroll- und Compliance-Bereichen als auch im Hinblick auf den aktiven Umgang mit den kritischsten Risikobereichen, denen die Unternehmen heute ausgesetzt sind. Durch einen optimalen Einsatz ihrer Ressourcen in den richtigen Geschäftsbereichen zeigen die IR-Funktionen, dass sie mit gleichen oder auch geringeren Ressourcen mehr erreichen können. Für Unternehmen, die sich auf dem Niveau vergleichbarer Unternehmen oder auch darunter befinden, lautet die Frage, wie sie – mit begrenzten Ressourcen – das neue Niveau erreichen können, das sie aufgrund der veränderten Risikolandschaft und höheren Stakeholder-Erwartungen anstreben müssen.

Die Stakeholder glauben, dass die Objektivität der IR kein Hindernis für die Rolle als wertvoller Geschäfts partner und Lieferant umfassender Erkenntnisse darstellt.

der Befragten geben an, dass die Mehrheit ihrer kritischsten Risiken gut gesteuert wird. 45 %


Die angestrebte Stufe der IR

D Die angestrebte Stufe der IR

Die Aufgabe für die IR wird auch in Zukunft stets die Prüfung von Compliance und finanziellen Risiken umfassen. Doch die Risiken haben sich verlagert und die Erwartungen sind gestiegen. Somit müssen alle IR-Funktionen ein neues Niveau erreichen: Sie müssen Prüfungen zu einem breiteren Spektrum von kritischen Risiken vornehmen, komplexe Erkenntnisse verständlich kommunizieren und sich zugleich vollständig nach den Erwartungen der Stakeholder ausrichten. Fähigkeiten und Praktiken der IR, die noch vor wenigen Jahren als führend galten, sind heute selbstverständlicher Bestandteil der erwarteten Leistungen. Dieses Niveau ist höher als das bestehende Niveau, und die IR-Funktionen müssen ihre Messlatte anheben, um die zunehmenden Stakeholder-Erwartungen zu erfüllen.

In den Gesprächen mit Stakeholdern und CAEs und in unserer Zusammenarbeit mit verschiedenen IR-Funktionen wird immer wieder die Wichtigkeit von acht Kernaspekten deutlich, die unabhängig von Umfang oder Größe der IR-Abteilung für eine effektive Arbeit ausschlaggebend sind (siehe Abb. 8).

Wir stellten diese Aspekte vor zwei Jahren in unserem Weißbuch Maximizing Internal Audit vor. Bei den Recherchen für die diesjährige Ausgabe hörten wir immer wieder, dass sie nicht nur nach wie vor wichtig, sondern inzwischen auch untrennbar mit einer effektiven Arbeitsweise der IR-Funktionen verbunden sind. Mit anderen Worten: Sie bilden das Fundament für das Niveau, auf dem die IR agieren muss.



1 Navigieren durch die neue Risikolandschaft

Ein wesentliches Element bei der Bewältigung der Herausforderungen der neuen Risikolandschaft ist die Ausrichtung der IR-Aktivitäten auf die kritischsten Risiken des Unternehmens. Dies beginnt mit der Entwicklung eines strategischen Verständnisses der Geschäftstätigkeit, der Koordinierung der bestehenden Risiko-management funktionen innerhalb der Organisation und der Sicherstellung eines direkten Bezugs aller Dienstleistungen zu den kritischen Risiken.

Strategisch denken und handelnDie vom Institute of Internal Auditors erstellten International Standards for the Professional Practice of Internal Auditing (IPPF) betonen eine risikobasierte Top-down-Planung , die sich an den Zielen der Organisation orientiert und die Beiträge des oberen Managements und der Vorstände berücksichtigt. In der Praxis sind jedoch große Unterschiede in den Risikobeurteilungen der IR, den Schwerpunkten ihrer Revisionspläne sowie im Umfang und in der Qualität der Ressourcen, die für IR-Aufgaben eingesetzt werden, festzustellen. Laut unserer Studie nutzen nur rund 55 % der Unternehmen bei der Erstellung ihrer Revisionspläne und der Ressourcenplanung einen definierten, risikobasierten Top-down-Ansatz. Dies liegt weit unter den Anforderungen der IPPF – und unter dem Niveaus, mit dem CAEs sich zufriedengeben sollten.

Die beste risikobasierte Top-down-Planung beginnt damit, die aus Sicht der Geschäftsleitung wichtigsten Prioritäten zu bestimmen, die damit verbundenen Risiken zu identifizieren und anschließend durch eine gründliche Analyse zu ermitteln, wie die IR diese Risiken effektiv in ihre Planung einbeziehen kann.

Eine risikobasierte Top-down-Planung beginnt mit der Ermittlung der für die Geschäftsleitung wichtigsten Prioritäten.

Abb. 8 Erreichen der neuen Stufe

Das neue Niveau einer effektiveren IR

Navigieren durch die neue Risiko landschaft

strategisch denken und •handelnNutzung der zweiten „Line of •Defense“Ressourcen gezielt einsetzen•

Vermittlung umfassender Erkenntnisse

Geschäftstätigkeit •verstehenBeratung und Vermittlung •von Best Practices von Spezialisten profitieren•

Kommunikationsprozesse entflechten und strukturieren

Vertrauen schaffen durch •kontinuierlichen Dialogeinfachere und verständliche •BerichteZusammenhänge herstellen•

gestiegene StakeholderErwartungen

neue Risiko

landschaft

Grundlagen

acht Kernaspekte

1. Fokus auf kritische Risiken und Themen

2. Ausrichtung des Wertbeitrags und der Stake holderErwartungen

5. Ermöglichung einer Kultur der Kunden orientierung

3. Talentmodell an Wertbeitrag anpassen

4. Ausbau und Pflege von Beziehungen zu Stakeholdern

6. Erbringung kosteneffizienter Leistungen

7. Effiziente Nutzung von Technologien

8. Förderung von Qualitätsverbesserungen

Acht wichtige Faktoren



Parallel zur Top-down-Risikobewertung verwendet die IR unternehmensspezifische Datenanalysen, um den Prüfungsumfang gezielter zu definieren und nach Prioritäten zu ordnen. Der so entstandene risikobasierte Revisionsplan wird dann mit den Stakeholdern bis hinauf zur Vorstandsebene diskutiert, damit eine vollständige Übereinstimmung bezüglich des Ansatzes erreicht werden kann.

Unsere Studie ergab, dass dieser Prozess bei bestimmten Finanzdienst leistungs-unternehmen etwas anders abläuft: Hier müssen alle prüffähigen Einheiten aufgrund von Vorschriften alle drei bis vier Jahre (je nach Größe des Instituts) einer internen Revision unterzogen werden. Dennoch haben die innovativsten Finanzinstitute eine Möglichkeit gefunden, einen risikobasierten Top-down-Ansatz in ihren Auftrag zur Abdeckung des zu prüfenden Bereichs einzubeziehen, wodurch sie nicht nur die aufsichtsrechtlichen Vorschriften erfüllen, sondern bei den kritischsten Risiken auch eine bessere Abstimmung mit ihren Stakeholdern erreichen.

Wie wir festgestellt haben, profitieren zahlreiche führende Finanzdienstleistungs-unternehmen von einem Top-down-Ansatz, weil sie auf diese Weise ihre Prüfungs-schwerpunkte besser auf bestimmte Risiken (z. B. Betrug im Handelsverkehr, unabhängige Preisüberprüfungen, Sicherheitenverwaltung) konzentrieren können, als dies bei einem turnusmäßigen Bottom-up-Ansatz der Fall wäre.

Nutzung der zweiten „Line of Defense“Fundierte Risikobewertungen, die sich mit der neuen Risikolandschaft auseinander-setzen, verlangen von der IR strategischeres Denken und Handeln bei der der Nutzung der zweiten „Line of Defense“ sowie der Interaktion mit ihr. Um hier unterschiedliche Standpunkte zu überbrücken und Einigkeit mit den Stakeholdern zu erzielen, sind Engagement und Ausdauer erforderlich. Am Ende steht ein Revisions plan, der die Ressourcen gezielt in den Bereichen einsetzt, in denen die größten Risiken wie auch Vorteile für das Unternehmen liegen.

Nicht alle Risiken sind gleich, und bei einigen – wie wirtschaftliche Unsicherheit, Wettbewerb oder Nachwuchs und Personal – ist es besonders schwierig, konkrete Verfahrensweisen zu entwickeln. Doch selbst diese Risiken beinhalten für die IR Möglichkeiten, sich enger mit der zweiten „Line of Defense“ abzustimmen, Einblick in die Maßnahmen zur Steuerung dieser Risiken zu nehmen und so zu unterstützen.

Ein Beispiel ist der Bereich Nachwuchs und Personal, in dem das Risikomanagement am schlechtesten bewertet wird. Was sollte die IR hier tun? Betrachtet man dieses Risiko genauer, so stehen dahinter wirtschaftliche Unsicherheiten, die Personal-abbau und/oder die Einstellung von Zeitarbeitskräften und freien Mitarbeitern zur Folge haben. Die globale Expansion macht es aber unumgänglich, die Personal beschaffungs- und Mitarbeiterbindungspolitik an die Erfordernisse der neuen Talent pools anzupassen. Da diese Talentpools sich verlagern und immer mehr potenzielle Mitarbeiter aus Schwellenländern einschließen, müssen die Ausbildungs programme nicht nur auf sprachliche, sondern auch auf kulturelle Unterschiede in den Geschäftspraktiken hin angepasst werden. Die IR kann und sollte sich in diesen Bereichen mit der zweiten „Line of Defense“ abstimmen, ihre Sicht weise einbringen und das geplante Vorgehen beurteilen. Noch wichtiger ist, dass die IR darauf vorbereitet ist, ihre Revisionspläne zeitnah an die Maßnahmen der Geschäftsleitung anzupassen, um sicherzustellen, dass die möglichen Risiken angemessen berücksichtigt werden.

Risiken sind nicht statisch. Deshalb muss die IR flexibel sein.



Zudem kann die IR eine wichtige Rolle als Moderator von ERM-Prozessen spielen, die eine Abstimmung mit einer breiten Basis von Stakeholdern über die kritischsten Risiken des Unternehmens ermöglichen. Treiber dieses Prozess ist der CAE, der in vielen führenden Unternehmen innerhalb der Führungsebene eine wichtige Rolle einnimmt.

Ressourcen gezielt einsetzenDie Risikoüberwachung und -prüfung in einem gesamtstrategischen Risiko-beurteilungs prozess zu verankern, führt nicht nur zu einer besseren Abstimmung zwischen der IR und den Fachbereichen, sondern hilft auch, die Prüfungen während des Jahres zu priorisieren und auf bestimmte Bereiche zu konzentrieren. Risiken sind jedoch nicht statisch, und die besten IR-Abteilungen wissen, dass sich die Ausgangslage immer ändern kann und sie daher flexibel sein müssen. Kai Monahan, Senior Vice President und CAE bei Nationwide Insurance, betont: „Unser Unternehmen vertraut darauf, dass Geschäftsleitung und IR ihren Kurs korrigieren, wenn wir nicht auf die richtigen Bereiche ausgerichtet sind.“

Bei General Motors werden die Revisionspläne im Jahresverlauf regelmäßig geändert. „Wenn ich den jährlichen Revisionsplan Anfang des Jahres meinen Kunden und dem Prüfungsausschuss vorlege“, so General Auditor und Chief Risk Officer Brian Thelen, „kann ich nur eines garantieren: Wenn wir uns am Ende des Jahres den Plan erneut ansehen, werden die durchgeführten Prüfungen aufgrund der Dynamik unseres Geschäfts klar vom ursprünglichen Plan abweichen.“ Immer wieder entstehen neue strategische Ziele, treten neue Risiken auf oder erweisen sich Risiken in einem bestimmten Bereich als geringer als erwartet.

Bei Veränderungen muss die IR schnell reagieren und dem Gebot der Stunde entsprechend handeln. Brian Thelen hat die Erfahrung gemacht, dass der Prüfungsausschuss von General Motors wie auch andere Stakeholder positiv auf einen flexiblen Plan reagieren. „Ich bin noch nie auf Widerstand gestoßen, solange ich die Stakeholder über die Änderungen und die Gründe für diese informiert habe. Unsere Kunden verstehen, dass wir in einem sich laufend verändernden Umfeld tätig sind. Das Festhalten an einer statischen Risikosicht kann dazu führen, dass Ressourcen nicht angemessen eingesetzt werden.“

Wenn Risiken sich verschieben und der Fokus der IR angepasst werden muss, ist es entscheidend, dass die CAEs den Stakeholdern diese Veränderung ihrer Revisions-pläne und die Gründe dafür nachvollziehbar erläutern.

Hierzu David Burritt, Vorsitzender des Prüfungsausschusses bei Lockheed Martin: „Wenn ein Unternehmen den Fehler begeht, die IR auf reine Rechnungs legungsfragen zu reduzieren, wird die IR das Geschäft nie gut genug verstehen, um der Ursache von Problemen auf den Grund gehen zu können.“ Diese Einschätzung teilen auch viele andere Stakeholder und CAEs, die uns gegenüber immer wieder geäußert haben, dass die Unternehmen dann den größten Nutzen erzielen, wenn die IR ihren Fokus und ihre Ressourcen auf die kritischsten Risiken des Unternehmens hin ausrichtet.

Es gibt Risiken, die zwar eine Herausforderung darstellen, zugleich aber konkretere Maßnahmen der IR zulassen. In unseren Interviews äußerten sich die CAEs vielfach dazu, mit welchen Maßnahmen sie das angestrebte Niveau erreichen: Entweder, indem sie diese Risiken erstmals mit einbeziehen, oder indem sie ihre Herangehensweise an die Risiken überdenken, um den Stakeholdern detaillierte Erkenntnisse zu vermitteln.

Um wirksam zu sein und einen Mehrwert zu schaffen, müssen sich die IR-Funktionen auf die wichtigsten und dringlichsten Risiken des Unternehmens konzentrieren.



Die vier Bereiche, die von den CAEs am häufigsten thematisiert wurden, waren Großprojekte, M&A, Datenschutz und Datensicherheit sowie Fraud und Ethik. Hier sei angemerkt, dass zwei dieser Risiken – Großprojekte und M&A – auch unter den Risiken mit dem schlechtesten Risikomanagement genannt wurden. Dies belegt, dass einige CAEs bereit sind, sich der schwierigen Aufgabe zu stellen, durch dieses heikle Fahrwasser zu navigieren. Bei zwei weiteren, von den CAEs genannten, Risikobereichen – Datenschutz- und Datensicherheit sowie Fraud und Ethik – halten es die Stakeholder für besonders wichtig, dass diese einen Schwerpunkt der IR bilden. Hier zeigt sich eine Übereinstimmung der CAEs mit ihren Stakeholdern.

Risiken von GroßprojektenFür zahlreiche Manager gehört das Risiko, das große operative Verbesserungs- und Technologieprojekte begleitet, zu den fünf kritischsten Risiken ihres Unternehmens. Viele von ihnen befinden sich in mehrjährigen ERP-Projekten (ERP – Enterprise Resource Planning), die allesamt – sofern sie nicht genau überwacht und gesteuert werden – mit dem Risiko von Betriebsstörungen, Budgetüberschreitungen und anderen Bedrohungen verbunden sind.

Unserer Erfahrung nach geht die IR hier initiativ vor, indem sie eigene Mitarbeiter in die Projektteams integriert und es diesen so ermöglicht, bei Geschäftsprozessen und Kontrollen auf die fundierten Fachkompetenzen der IR zurückzugreifen. Die Beurteilung des Gesamtprojekts im Hinblick darauf, ob es ordnungsgemäß geleitet und überwacht wird, ist eine andere Möglichkeit der IR, aktiv zu werden und einen Einblick in das zu vermitteln, worauf es den Stakeholdern ankommt.

M&A-RisikenDie Risiken im Zusammenhang mit Fusionen und Übernahmen – genauer gesagt, die Beurteilung der Notwendigkeit solcher Maßnahmen und der Risiken, die mit der Integration neuer Geschäftsbetriebe verbunden sind – werden von den Umfrageteilnehmern, vor allem im Kontext der aufstrebenden Märkte, häufig genannt. Laut Annual Global CEO Survey planen 28 % der Unternehmen weltweit, im kommenden Jahr durch grenzüberschreitende Fusionen oder Übernahmen zu expandieren. Es gibt verschiedene Möglichkeiten, wie die IR enger in die hiermit verbundenen Risiken eingebunden werden kann – zum Beispiel bei der Beurteilung von Strategien, durch ihre Einbeziehung in die Due-Diligence-Teams im Vorfeld der Transaktion oder bei der Beurteilung der betrieblichen Integration und des realisierten Nutzens nach der Fusion.

Datenschutz und DatensicherheitDatenschutz und Datensicherheit ist der am häufigsten genannte Bereich, in dem sich die Befragten mehr Engagement der IR wünschen. Nach Meinung von 46 % der Stakeholder sollte die IR ihre Fähigkeiten auf diesem Gebiet ausbauen. Tatsächlich weitet sich dieses Risiko so schnell aus, dass die meisten Unternehmen nicht mit der Entwicklung Schritt halten können. Die Komplexität steigt, hauptsächlich bedingt durch die rasche Verbreitung von Technologien, die zunehmende Menge der im Unternehmen gespeicherten personenbezogenen Daten und die immer raffiniertere Vorgehensweise von Datendieben. Führende IR-Experten, mit denen wir gesprochen haben, versuchen dieses Risiko in den Griff zu bekommen, indem sie ihre Kontrollen durch zusätzliche Vorgaben und Aufsichtsfunktionen unterfüttern, das Wissen einbringen, das benötigt wird, um Lücken aufzudecken, und Empfehlungen für die sinnvolle Schließung dieser Lücken unterbreiten.



Fraud und EthikFraud und Ethik wurden von den CAEs als ein Risikobereich genannt, in dem sie ihre Kapazitäten am ehesten erhalten und ausbauen wollen. Der Bereich rangiert auch ganz oben auf der Liste der Risiken, bei denen die CAEs eine Beteiligung der IR für „sehr wichtig“ halten. Nur 53 % der Stakeholder und 35 % der CAEs beurteilen das Risikomanagement in diesem Bereich aktuell als gut. Die Unternehmen haben also noch einiges zu tun, um hier ein höheres Vertrauen zu schaffen.

Bei Ingram Micro hat es sich für Leslie Heisz, Vorsitzende des Prüfungsausschusses, bewährt, dass die IR in kritische Projekte wie die Einführung von ERP-Programmen einbezogen wurde. Diese Beteiligung habe den Prüfungsausschuss befähigt, seiner Überwachungsaufgabe effektiver nachzukommen:

„Der Ausschuss wird dadurch auf wichtige Prozesssachverhalte aufmerksam gemacht.“

„In den vergangenen zwei Jahren haben wir drei der größten Übernahmen bewältigt, die es bei Caterpillar je gab. Wir haben Kapital in nie da gewesener Höhe investiert, um unsere Präsenz in den entwickelten und aufstrebenden Märkten auszubauen. Diesen Chancen stehen auch Risiken gegenüber, und die IR muss darauf vorbereitet sein. Wir verfügen jetzt über einen Prozess, bei dem die übernahmebedingten Integrationsmaßnahmen bereits Monate vor der Umsetzung der Transaktion beurteilt werden. Auf diese Weise wollen wir präventiv Empfehlungen abgeben – gefolgt von fundierten Prüfungen, die ungefähr ein Jahr nach der Übernahme stattfinden.“Matt Jones, CAE, Caterpillar

„Ein wichtiger Beitrag der IR besteht darin, ihr Wissen bei der Umsetzung neuer Prozesse zu nutzen, damit diese von Anfang an effektiv ablaufen.“Kai Monahan, CAE, Nationwide Insurance

In die Komplexität des Risikobereichs Fraud und Ethik spielen mehrere Faktoren hinein, darunter die verschiedenen regionalen Korruptionsbekämpfungsgesetze wie der UK Bribery Act und der US Foreign Corrupt Practices Act in den USA sowie die Verfahrens vorschriften zur Verhinderung der Geldwäsche (anti-money laundering) im USA Patriot Act. Da die Nichteinhaltung dieser Vorschriften schwere Folgen hat – unter anderem Reputationsschäden, möglicher Ausschluss bei der Vergabe öffentlicher Aufträge und damit verbundene Rechtskosten sowie negative Auswirkungen auf das Investorenvertrauen –, überrascht es nicht, dass führende IR-Funktionen die Themen Fraud und Ethik im Fokus haben. Um diesen Risiko-bereich abzudecken, bilden einige CAEs interne Expertenteams. Andere wiederum holen sich zur Gewährleistung der Compliance externe Hilfe. Ein Unternehmen, mit dem wir sprachen, berichtete über den Umfang seiner Verfahren zum Thema Geldwäsche. Diese erstreckten sich auf sämtliche Governance-Maßnahmen,

„Man sollte von CAEs erwarten dürfen, dass sie die Verfügbarkeit angemessener Kontrollmechanismen zur Minderung von Risiken sicherstellen. Zudem sollten sie über besonderes Fachwissen verfügen, um Kontrollen empfehlen zu können.“

Peter Klein, CFO, Microsoft



Richtlinien und Verfahren rund um die „Know Your Customer“-Kontrollen (z. B. Due-Diligence-Prüfung von Kunden und erweiterte Due-Diligence-Verfahren), die Überwachung von Geldwäschesanktionen sowie die Schulung und Aufklärung zum Thema Geldwäsche. Angesichts der Komplexität dieser Bestimmungen zieht das Unternehmen in großem Umfang externe Sachverständige zurate.

Steve Shelton, CAE bei KBR, erläuterte ein anderes Risiko zu einem besonderen Schwerpunktbereich seiner Abteilung: „Aufgrund der erheblichen Antikorruptions-risiken für unser Unternehmen habe ich ein Spezialteam zusammengestellt, das unsere Risiken in diesem Bereich nachhaltig reduziert hat.“

2 Vermittlung umfassender Erkenntnisse

Die Stakeholder äußern, dass die Prüfung und Berichterstattung über Risiko-management und Kontrollen die oberste Priorität der IR sein sollte. Sie legen zugleich aber auch großen Wert auf deren Fähigkeit, die Risiken des Unternehmens zu beurteilen und Erkenntnisse zu vermitteln, die zur Verbesserung des Risikomanagements beitragen.

Geschäftstätigkeit verstehenUm sich in der neuen Risikolandschaft zurechtzufinden, muss die IR ein solides Verständnis der strategischen Geschäftsziele sowie der Initiativen zu deren Umsetzung haben – ein Prozess, mit dem die IR bei HCA vertraut ist. HCA erstellt seinen Revisionsplan nach einer Reihe von gemeinsamen Sitzungen mit allen Mitgliedern des Top-Managements und des Vorstands, in denen die mit den Zielen und Initiativen des Unternehmens verbundenen Risiken identifiziert werden.

Um sich die Akzeptanz der fachlichen Seite zu verschaffen, muss die IR die Herausforderungen des Unternehmens nachvollziehen, konstruktive Gespräche führen und verstehen, welche Auswirkungen ihre Feststellungen auf die allgemeineren Risiken der Organisation haben. Indem sie zeigt, dass sie das Geschäft und seine strategische Richtung wirklich versteht, erhöht die IR die Wahrscheinlichkeit, zukünftig verstärkt in strategische Geschäftsinitiativen einbezogen zu werden.

Von Spezialisten profitierenDa die Risiken rasch komplexer werden, müssen die IR-Funktionen sicherstellen, dass sie ihre Erfahrungen und ihr Fachwissen konstant erweitern und vertiefen, um kritische Risiken so jederzeit angemessen bewältigen zu können. Profundes Fachwissen steigert den Wert der von der IR erbrachten Dienstleistungen und erhöht zugleich die Glaubwürdigkeit der empfohlenen Maßnahmen wie auch der IR-Abteilung insgesamt. Der Rückgriff auf externe Spezialisten ist dabei effizienter als die Einstellung von IR-Mitarbeitern, die dann pro Jahr nur eine oder zwei Prüfungen zu bestimmten Spezialthemen durchführen.

Beratung und Vermittlung von Best PracticesLaut IPPF ist die IR dafür verantwortlich, die strategischen, operativen, finanziellen und Compliance-bezogenen Risiken des Unternehmens zu beurteilen. Sie wird seit Langem für ihre objektive Sichtweise und Expertise im Bereich der internen Kontrollen geschätzt. Angesichts der zunehmenden Komplexität der Risiken wünschen sich die von uns befragten Stakeholder, dass die IR über die bloße Identifizierung von Risiken hinausgeht und ein klares Verständnis für komplexe Situationen und Sachverhalte zeigt und praktische Empfehlungen und Ratschläge gibt.



Mit anderen Worten: Sie möchten, dass aus den Prüfungsleistungen, die die IR zu erbringen hat, relevante Erkenntnisse gewonnen werden. Um diese Erwartung erfüllen zu können, müssen die IR-Spezialisten den Mut und die Fähigkeit besitzen, mehr als nur die offensichtlichen Fragen zu stellen. Viele CAEs hören die Forderung nach solchen Fähigkeiten offenbar direkt von ihren Stakeholdern, denn 52 % wollen in den kommenden zwölf Monaten Ressourcen für mehr Beratungsleistungen bereitstellen.

Zahlreiche CAEs, mit denen wir gesprochen haben, betrachten die Bereitstellung fundierter Erkenntnisse als einen wesentlichen Schritt hin zur Einbeziehung ihrer Funktion in das allgemeine Risikomanagement. „Um sich bei der Geschäftsleitung und den Stakeholdern Akzeptanz zu verschaffen und einen Beitrag zum Kern-geschäft zu leisten, ist es nötig, Probleme nicht nur zu identifizieren, sondern auch Vorschläge zu deren Lösung zu unterbreiten, ohne die Transparenz oder Objektivität zu beeinträchtigen“, meint Melvin Flowers, der für die IR zuständige Vizepräsident bei Microsoft. „Es ist ganz wichtig, dass die IR die fachlichen Themen versteht und einen Mehrwert schafft, der über die Umsetzung des Revisionsplans hinausgeht.“

Darüber hinaus war zu hören, dass Prüfung und Beratung sich keinesfalls gegenseitig ausschließen. „Rund 40 % unserer Arbeit entfällt auf Beratung und 60 % auf Prüfungs leistungen“, erklärt Kai Monahan von Nationwide Insurance. „Wenn man eine Prüfung durchführt, kann man dabei auch Beratungsleistungen zur Verbesserung von Kontrollen sowie andere Anregungen einbringen.“

Zudem verlassen sich die flexibelsten und anpassungsfähigsten IR-Abteilungen nicht auf einen Standardkatalog von Ansätzen und Vorlagen, sondern entwickeln eigene Konzepte, mit denen sie die Erfordernisse neuer Anforderungen erfüllen. Bei Google vermittelt CAE Lisa Lee umfassende Erkenntnisse, indem sie die Revisoren dazu anhält, ihr Wissen über die Geschäftsstrategie mit den zugrunde liegenden Risiken zu verknüpfen, um so für jeden Sachverhalt die bestmögliche Vorgehensweise zu entwickeln. „Wir haben eine festgelegte Methodik“, erläutert sie, „aber nicht viele wiederverwendbare feste Vorlagen oder Prüfungsleitfäden, denn ich möchte, dass unsere Revisoren jeden Auftrag einzeln betrachten. Welches Ziel verfolgen wir damit, was wollen wir erreichen und wie können wir am besten dorthin gelangen?“

der CAEs wollen mehr Ressourcen für Beratungsleistungen bereitstellen.52 %



3 Kommunikationsprozesse entflechten und strukturieren

Die Kommunikation der Prüfungsschwerpunkte, Aktivitäten und Sichtweise der Revision ist eine wichtige Grundlage für eine effektive IR-Funktion. Angesichts der zunehmend komplexen geschäftlichen Rahmenbedingungen wird es immer wichtiger, sich bei kritischen Risiken genau abzustimmen. Entsprechend wächst die Notwendigkeit einer effektiven und effizienten Kommunikation.

Vertrauen schaffen durch kontinuierlichen DialogEine Mehrheit der Stakeholder hält das persönliche Gespräch für die nützlichste Form der Kommunikation mit der IR. Dieser direkte Austausch ermöglicht den zentralen Stakeholdern ein schnelles Regieren auf Probleme, die ihr Wissen und Handeln erfordern, er hilft bei der Klärung von Fragen und lässt eine Diskussion über Fragen der Auslegung zu. An zweiter Stelle werden Präsentationen vor dem Aufsichtsrat genannt und an dritter Stelle einzelne Prüfberichte.

In den Interviews nannten fast alle Prüfungsausschussvorsitzenden die persönliche Interaktion als wichtigstes Instrument der Kommunikation mit dem CAE. Im Einzelnen wird dabei besonderer Wert auf informelle, persönliche Gespräche gelegt, denn sie seien unverzichtbar für den Aufbau einer guten Beziehung zum CAE, die es dann ermögliche, sich bei wichtigen Anliegen jederzeit auf dem kurzen Weg zu verständigen.

Die meisten befragten CAEs bevorzugen ebenfalls den persönlichen Austausch. Einer meinte: „Ich hätte gern informellere Gespräche mit unserem Prüfungs ausschuss, in denen er mir berichten kann, was er im Unternehmen beobachtet, was ihm Sorge bereitet und worüber wir seiner Meinung nach besorgt sein sollten. Solche Gespräche helfen enorm, sich besser kennenzulernen und eine Vertrauensbasis zu schaffen.“

Die Risiken sind vielfältig und dementsprechend komplex sind auch die Prüfungs ergebnisse. Wenn hier frühzeitig persönliche Gespräche über wichtige Feststellungen stattfinden, kann das dazu beitragen, die Prüfungsergebnisse entsprechend zu vermitteln.

Einfachere und verständlichere BerichteDie Stakeholder äußerten auch den Wunsch, dass die IR ihre Ergebnisse aus der Prüfung von Risikomanagementaktivitäten prägnant und leicht verständlich präsentieren solle. Mit der zunehmenden Anzahl und Komplexität der Risiken wächst auch die Herausforderung, eine effektive und effiziente Form der Kommunikation zu etablieren. Die Fähigkeit, Ergebnisse in einer sich verändernden Risikolandschaft effektiv zu kommunizieren, wird zusätzlich durch die sehr unterschiedlichen Erwartungen der Stakeholder an eine effektive Kommunikation erschwert. Für einige von ihnen genügen ausführliche Prüfungsberichte, andere wünschen sich zusammenfassende Präsentationen und wieder andere möchten die Prüfergebnisse im persönlichen Gespräch erörtern. Stakeholder und CAEs verbringen immer mehr Zeit damit, über den Prozess der Risikobewertung zu beraten. Damit legen sie das Fundament für ein besseres Verständnis dafür, wie sich die Prüfergebnisse auf das Unternehmen auswirken können.



Aus Sicht der von uns befragten CAEs kommt es heute maßgeblich darauf an, die Botschaften an den Prüfungsausschuss so zu vereinfachen, dass die Zusammen-hänge zwischen den Ergebnissen und den aus ihnen resultierenden Risiken sowie deren Auswirkungen klar und verständlich dargestellt sind. Einige bevorzugen dabei den Storyboard-Ansatz als Mittel, um den Ausschuss zu informieren und sein Augenmerk auf die zentralen Themen zu lenken. Ein Prüfungs ausschuss-vorsitzender formulierte es so: „Der Prüfungsausschuss betrachtet das Unternehmen quasi aus der Vogelperspektive, denn nur so kann er den notwendigen Überblick behalten. Alle Meldungen müssen deshalb schnell, unmissverständlich, klar und in einer Sprache, die wir schnell verarbeiten können, bei uns ankommen.“

Als Reaktion auf die Komplexität des Berichtswesens vereinfachen führende CAEs bei offiziellen Terminen ihre Präsentationen durch einen verstärkten Einsatz von Grafiken, Diagrammen und Kennzahlen. Zudem straffen sie ihre schriftlichen Berichte, um mehr Zeit für die Diskussion zu schaffen.

Zusammenhänge herstellenEinige Stakeholder berichten von der zunehmenden Verwendung von Trend-analysen als einer Möglichkeit, ähnliche Feststellungen miteinander zu verbinden und die potenziellen Risiken des Unternehmens transparent abzubilden. William Osborn von Caterpillar merkt dazu an: „Eine Anzahl von Feststellungen in einem bestimmten Bereich mag per se nicht signifikant sein. Betrachtet man diesen Aspekt aber unternehmensweit und stellt fest, dass dieselben Punkte immer wieder auftreten, so kann dies auf systemische Probleme hinweisen, die angegangen werden müssen. Wenn die IR in der Lage ist, diese Muster zu erkennen, kann sie die Geschäfts-leitung beraten, bevor Kontrollen versagen, riskante Ereignisse auftreten und das Unternehmen die Konsequenzen tragen muss.“

Trendberichte können die Probleme wirksam aufdecken, die in vielen verschiedenen Teilen des Unternehmens auftreten, und bei der Beurteilung länder-übergreifender Risiken helfen – was für multinationale Unternehmen im Hinblick auf ein schnelles Reagieren immer wichtiger wird. Trenddaten können zentral gesammelt und anschließend ausgewertet werden. Mithilfe der Schlussfolgerungen können dann Verbesserungen im gesamten Unternehmen initiiert werden. Wenn über verschiedene Länder oder Geschäftseinheiten hinweg ähnliche Risiken identifiziert werden, lassen sie sich möglicherweise mit einer einzigen Lösung bewältigen.

Die Überwachung und Prüfung von Risiken auf Basis strategischer Top-down-Risiko bewertungen, die Konzentration von Ressourcen auf kritische Risiken, die Vermittlung umfassender Erkenntnisse und der Einsatz effektiver Kommunikations-methoden – all dies ist Teil der IR-Tätigkeit um sich in ihrer Rolle entsprechend zu positionieren. Häufig muss sie aber zuerst Hindernisse wie den Widerstand innerhalb der eigenen Organisation oder Unternehmenskultur überwinden, um dorthin zu gelangen. Im Fokus des folgenden Abschnitts stehen die größten Hindernisse, die es der IR erschweren, das neue Niveau zu erreichen.

Im Interview bezeichnet die Mehrzahl der Prüfungsausschussvorsitzenden die persönliche Interaktion als das wichtigste Mittel der Kommunikation mit dem CAE.


Überwindung der Hindernisse

E Überwindung der Hindernisse

Selbst vorbildliche Unternehmen berichten, dass sie bei der Veränderung der Rolle der IR Hindernisse überwinden mussten. Stakeholder und CAEs nennen übereinstimmend den Widerstand innerhalb der Organisation und Unternehmenskultur als häufigstes Hemmnis, gefolgt von fehlenden Ressourcen und Kompetenzen innerhalb der IR und dem Fehlen eines Mandats.

Doch auch ohne einen Impuls von außen oder ein Mandat von den Stakeholdern haben viele CAEs gezielt daran gearbeitet, die Arbeitsweise der IR zu verändern. Sie haben sich damit auseinandergesetzt, wie sie ihrem Unternehmen am besten dabei helfen können, seine kritischen Risiken zu überwachen, und anschließend ein entsprechendes Modell für die Prüfungsschwerpunkte und den Personal-einsatz entwickelt. Diese CAEs haben eine IR auf der Grundlage von Konzepten und Funktionen geschaffen. Im Gegensatz dazu beschränken IR-Funktionen in Unternehmen, die schlechter als vergleichbare Betriebe abschneiden, ihren Tätigkeits schwerpunkt nach unseren Erkenntnissen meist auf das mit den verfügbaren Ressourcen und fachlichen Kompetenzen Machbare. Ihre Tätigkeit orientiert sich routinemäßig an Mitarbeiterzahlen, Budgetvorgaben und vorhandenen Ressourcen. Diejenigen hingegen, die nach einem Konzept arbeiten, stellen sich zwar einer schwierigeren Aufgabe, leisten aber auch einen größeren Beitrag und haben Mittel und Wege gefunden, Hindernisse zu überwinden.

1 Widerstand innerhalb der Unternehmenskultur und -organisation

Die aus der Unternehmenskultur und -organisation resultierenden Heraus-forderungen sind vielschichtig und ihre Bewältigung kann nur mithilfe von Beziehungen gelingen, die von Respekt und Vertrauen geprägt sind und in denen die Stakeholder den Beitrag der IR verstehen und schätzen. „Die Beziehung der IR zu den Stakeholdern muss auf gegenseitigem Respekt und Vertrauen beruhen“, meint der CAE eines führenden Technologieunternehmens.

Und er fügt hinzu: „Eine IR, die nur kontrollieren will, braucht innerhalb der Organisation nicht viel Respekt oder Vertrauen zu gewinnen. Wollen die Revisions-experten den Bereichsleitern jedoch bei der Verbesserung ihres Risiko managements helfen, müssen sie Vertrauen aufbauen und überholte Denkmuster ablegen.“

Für die IR-Funktion beim Softwareunternehmen Adobe Systems sind selbst auch „kleine Erfolge [...] ganz wesentlich für die Schaffung von Vertrauen“, so CAE Eric Allegakoen. „Jedes kleine Projekt sollte einen sinnvollen Beitrag zu diesem Ziel leisten. Wenn wir den Managern bei der Optimierung ihrer Prozesse helfen, kann die IR ihr Image verändern und wird nicht mehr nur als eine ‚Betriebspolizei‘ angesehen, die Verstöße ahndet.“

Indem sie ihre Kernkompetenzen nutzt, vertrauensvolle Beziehungen entwickelt, veraltete Auffassungen überwindet und umfassende Erkenntnisse verständlich vermittelt, kann sich die IR Respekt verschaffen und sich aktiv in die Belange des Unternehmens einbringen.



2 Die Rolle des CAE

57 % der Befragten geben Hindernisse innerhalb der Unternehmensorganisation und -kultur als Hauptgrund dafür an, weshalb die IR keine bedeutendere Rolle spielt. Vor diesem Hintergrund ist es wichtig zu verstehen, welchen Wert Unternehmen auf die Rolle des CAE legen. Erfahrungsgemäß wird in Unternehmen, die der IR einen hohen Stellenwert beimessen, diese Position mit einem Mitarbeiter aus dem Management besetzt, der intern hohes Ansehen genießt. David Burritt, Vorsitzender des Prüfungsausschusses bei Lockheed Martin, berichtete uns: „Die Rolle des CAE ist von zentraler Bedeutung. Mitarbeiter können bereits an der Person, die die IR leitet, erkennen, wie die Geschäftsleitung diese Funktion bewertet.“

Wenn der CAE ein respektiertes Mitglied der Geschäftsleitung ist, so ist die Wahrscheinlichkeit deutlich größer, dass die Aktivitäten der IR, die Erwartungen der Stakeholder und die wichtigsten Geschäftsziele aufeinander abgestimmt sind. Unsere Studie ergab, dass in rund 80 % der befragten Unternehmen, die sich durch hervorragendes Risikomanagement auszeichnen und eine bessere Ertragslage als vergleichbare Betriebe erbringen, der CAE aktiv in die Geschäftsleitung einbezogen ist. Bei Unternehmen im unteren Ertragsbereich geben nur 60 % der Befragten an, dass der CAE als aktiver Partner an Sitzungen der Geschäftsleitung teilnimmt. Eine solche Beteiligung ist natürlich elementar für eine positive Wahrnehmung der IR, die überhaupt erst zu einer hochkarätigen Besetzung der CAE-Funktion geführt hat.

3 Fehlende Ressourcen und Fachkenntnisse

Während die CAEs sich bemühen, die Nachwuchs- und Personalrisiken ihrer Organisation anzugehen, bekommen sie zugleich die Auswirkungen dieses Risikos selbst zu spüren, sobald sie den eigenen Talentpool auffüllen wollen. Viele, mit denen wir sprachen, halten den Markt für nicht fähig, ihren Bedarf an Mitarbeitern mit fundierten, vielseitigen und spezialisierten Fähigkeiten effektiv abzudecken – was jedoch eine unerlässliche Voraussetzung für die Bearbeitung komplexer Sach verhalte wäre, von länderübergreifender aufsichtsrechtlicher Compliance bis hin zu konkreten Bedrohungen des Datenschutzes und der Datensicherheit. Die Anforderungen der aufstrebenden Märkte verändern die Qualifikationsprofile ebenfalls. So sind Strategien zur Eindämmung von Betrug und Korruption, die im Westen greifen, in vielen aufstrebenden Märkten möglicherweise nicht sehr wirksam, weil dort andere Kontrollen und Ansätze erforderlich wären. Diverse Manager aus aufstrebenden Märkten sagten uns, dass ihre IR-Funktionen sich schnell lokales Wissen aneignen mussten, um mit den lokalen Gepflogenheiten umgehen zu können.

„Kleine Erfolge sind ganz wesentlich für die Schaffung von Vertrauen. Jedes kleine Projekt sollte einen sinnvollen Beitrag zu diesem Ziel leisten.“

Eric Allegakoen, CAE, Adobe Systems



IR-Funktionen, die sich weiterentwickelt haben, erstellen und realisieren ihre Pläne mit dem Ziel, genau die Erfahrungen und Kenntnisse zu gewinnen, die ihre Teams für eine erfolgreiche Tätigkeit auf internationaler Ebene benötigen. Die innovativsten IR-Abteilungen verwenden hierzu überwiegend zwei Ansätze: die Personalrotation und das Co-Sourcing.

4 Personalrotation

Viele Unternehmen arbeiten seit Langem mit Personalrotation, um ihre IR um fachliche Fähigkeiten zu bereichern und High Potentials breitere Erfahrungen und Entfaltungs möglichkeiten im Unternehmen zu geben. Heute hilft dieser Ansatz dabei, qualifizierte Mitarbeiter bei Talentknappheit gezielter einzusetzen. Zwei Strategien für die Personalrotation scheinen sich bewährt zu haben:

Formelle Rotationsprogramme: Rotationsprogramme funktionieren am besten, •wenn sie vom Unternehmen offiziell unterstützt werden. Unserer Erfahrung nach kommt in Organisationen, in denen dies gelingt, ein hoher Prozentsatz der Mitarbeiter aus den verschiedenen Geschäftsbereichen des Unternehmens und kehrt nach einer gewissen Einsatzdauer wieder in diese zurück. Ein Beispiel hierfür ist ein führender globaler Hersteller, bei dem ein Mitarbeiter mindestens drei Jahre in der IR tätig sein muss, um innerhalb der Finanzorganisation weiter aufsteigen zu können.Gastrevisorenprogramme: Da das Angebot an bestimmten Qualifikationen •knapp und die Nachfrage hoch ist, lernt die IR, wie man fachliche Kompetenzen innerhalb der eigenen Organisation nutzt, indem man Mitarbeiter aus anderen Bereichen kurzzeitig und auftragsbasiert ausleiht. Diesen Gastrevisoren werden geschulte Mitarbeiter der IR zur Seite gestellt, die das für einen bestimmten Prüfbereich relevante Wissen einbringen. So etwa verfügt ein führender Onlineeinzelhändler sogar über ein etabliertes Programm zur „Ausleihung“ von Ressourcen, bei dem Experten aus dem gesamten Unternehmen an Prüfungen teilnehmen und ihr Wissen weitergeben, sodass die IR ihre Fähigkeiten insgesamt ausbauen kann. Melvin Flowers von Microsoft glaubt, dass die Kombination aus externer Unterstützung und Nutzung des Fachwissens aus verschiedenen spezialisierten Bereichen der Organisation dazu beiträgt, seine IR-Funktion erfolgreicher zu machen.

Unabhängig davon, ob Unternehmen mit formellen Rotationsprogrammen oder Gastrevisoren arbeiten, um die notwendigen qualifizierten Mitarbeiter zur Durchführung des Revisionsplans bereitstellen zu können, sind die Merkmale wirksamer Rotationsprogramme stets dieselben:

Einbindung der IR-Rotation in die gesamte Talententwicklungsstrategie der •Organisation – unter Berücksichtigung der Herkunft der Talente, der spezifischen benötigten Qualifikationsprofile, der Dauer des Aufenthalts und des gewünschten Prozentsatzes an Personal im Rotationsverfahrendie von der Geschäftsleitung kommunizierte Botschaft, dass die IR innerhalb der •Talententwicklung eine wichtige Station darstelltgut aufbereitete Erfolgsstorys über Mitarbeiter, die in der IR tätig waren und •Führungspositionen innerhalb der Organisation erreicht haben

Allzu oft ist zu beobachten, dass IR-Funktionen mit Ressourcen- und Kompetenz engpässen zu kämpfen haben und es zulassen, dass diese ihre Möglichkeit zur Bildung von Schwerpunkten beschneiden.



Co-SourcingDa die Komplexität der Risiken rasant zunimmt und die IR-Abteilungen sich mit immer mehr kritischen Risikobereichen befassen, haben viele Funktionen Schwierigkeiten, das erforderliche Fachwissen für Prüfungen bereitzustellen.

„Wir verfügten weder über die passenden Qualifikationsprofile noch die richtigen Prozesse oder Systeme. Also beauftragten wir einen Co-Sourcing-Partner und haben all das grundlegend verändert.“Matt Jones, CAE, Caterpillar

„Manchmal muss man externe Quelle hinzuziehen, wenn innerhalb der IR die Fähigkeiten nicht in der nötigen Tiefe oder Breite vorhanden sind.“Dennis Powell, Vorsitzender des Audit Risk Committee, Intuit

„Wenn wir einen neuen Bereich prüfen, der fachspezifische Ressourcen erfordert, über die wir nicht verfügen, wenden wir uns oft an externe Dienstleister. Wir möchten eine kompetente Person dabeihaben, besonders dann, wenn wir es mit Prozessverantwortlichen zu tun haben, die in ihrem Bereich Experten sind. Wir achten grundsätzlich darauf, dass jemand von Google dabei ist, der die Kultur und Botschaft versteht und der auch lernen soll.“Lisa Lee, CAE, Google

„Um erfolgreich zu sein, muss man die notwendige fachliche Kompetenz haben. Manchmal muss man sich diese Kompetenz von außen holen. Man darf sich nicht davor scheuen, zur Unterstützung des eigenen Talentpools Berater heranzuziehen.“Melvin Flowers, Vizepräsident der IR, Microsoft

Die wirksame Prüfung von Risiken in Großprojekten, zu denen komplexe System-implementierungen gehören, von permanenten Daten- und Sicherheits bedrohungen sowie länderübergreifenden Fraud- und Ethikrisiken und von aufsichtsrechtlicher Compliance erfordert umfassende, aktuelle Fachkenntnisse. Diese lassen sich nur schwer innerhalb der Organisation entwickeln, geschweige denn innerhalb einer IR-Funktion, die pro Jahr nur ein oder zwei Prüfungen dieser Art durchführt. In unseren Interviews stellten die Stakeholder und CAEs verschiedene von ihnen verwendete Co-Sourcing-Modelle vor. Dazu gehören die Konsultation von Spezialisten, die bei der Festlegung der Schwerpunkte und des Prüfprogramms behilflich sind, der Einsatz von Fachspezialisten bei der Durchführung komplexerer Prüfungen und eine längerfristige, projektbezogene Einstellung von Mitarbeitern, um insgesamt eine bessere Abdeckung zu erreichen.

Allzu oft ist zu beobachten, dass IR-Funktionen mit Ressourcen- und Kompetenz-engpässen zu kämpfen haben. Wenn es ihnen nicht gelingt, diesen Engpass zu überwinden, können sie weder die Stakeholder-Erwartungen erfüllen noch die Herausforderungen der Zukunft meistern. Da spezialisiertes Fachwissen unverzichtbar ist, um sich in der heutigen Risikolandschaft zurecht zufinden, sind effektive IR-Funktionen, die mit Personalrotation und Co-Sourcing arbeiten, besser in der Lage, zeitnah zu reagieren – unabhängig davon, wann, wo und in welcher Form Risiken auftreten.


Konsequenzen für Ihr Unternehmen

F Konsequenzen für Ihr Unternehmen

Konzepte für eine neue Risikolandschaft.

„Die IR-Funktionen müssen auch höhere Erwartungen erfüllen, da das Anforderungs niveau gestiegen ist und der bisherige Status quo vielfach nicht mehr ausreicht.“

Brian Brown, Principal und Leiter des Bereichs Risk Assurance Innovation bei PwC in den USA

Die globale Wirtschaft steht heute einer Risikolandschaft gegenüber, in der sich bisher unbekannte Risiken potenziell mit einer nie da gewesenen Geschwindigkeit manifestieren. Um effektiv reagieren zu können, müssen Unternehmen komplexere, integrierte Risiko managementkonzepte umsetzen. Zudem müssen die IR-Funktionen höhere Erwartungen erfüllen, da das Anforderungsniveau der IR insgesamt gestiegen ist und der bisherige Status quo vielfach nicht mehr ausreicht – so Brian Brown.

Umfrage und Interviews haben gezeigt, dass zwischen Stakeholdern und IR zwar überwiegend Einigkeit darüber besteht, welche Risiken die höchste Aufmerksamkeit erfordern, aber nur wenige Organisationen die IR selbst-verständlich als Partner heranziehen, der zusätzliche Sicherheit in das Risiko-management bringt – und dies, obwohl die meisten Stakeholder angeben, dass sie den Beitrag der IR schätzen. Mit der sich verändernden Risikolandschaft haben sich auch die Erwartungen der Stakeholder gewandelt. Neben der klassischen Prüfrolle der IR wird jetzt die Vermittlung von Erkenntnissen und die Beratung im Hinblick auf ein breites Spektrum von Risiken und Kontrollen als eine der wesentlichen und grundlegenden Verantwortlichkeiten der IR-Funktion angesehen.

Stakeholder und CAEs müssen die Gewissheit haben, dass ihre Prioritäten sich decken und die Ressourcen der IR in den kritischen Risikobereichen adäquat eingesetzt werden. Dies ist nur möglich, wenn die Unternehmen eine Kultur schaffen, in der Stakeholder und CAEs ihre Lines of Defense koordinieren und einen offenen Dialog über die Risiken ihrer Organisation führen.

Von der IR sollte erwartet werden, dass sie ihre Erkenntnisse darüber, wie gut diese Risiken gesteuert werden, darlegt, beurteilt und ihre Ressourcen auf die kritischen Risiken hin ausrichtet. Häufig wird die IR bei der Umstellung auf diese neue, erweiterte Rolle und bei der Bereitstellung der zur Beurteilung einer komplexen Risikolandschaft geeigneten Qualifikationen Hindernisse innerhalb der Unternehmensorganisation und -kultur überwinden müssen.



Das Erreichen einer Optimierung oder Verbesserung der IR-Funktion erfordert gezielte Maßnahmen – von den Stakeholdern wie auch den CAEs. Von den IR-Funktionen wird erwartet, …

… dass sie den Umfang ihrer Arbeit und die Zuteilung von Ressourcen durch •umfassende Top-down-Risikobewertungen auf die kritischsten Risiken der Organisation ausrichten.… dass sie regelmäßig offene Gespräche mit Stakeholdern führen, um ihr •Vorgehen zeitnah anzupassen, wenn Änderungen erforderlich sind.… dass sie beim Navigieren durch die neue Risikolandschaft andere •Risikomanagement- und Compliance-Funktionen der Organisation nutzen und sich mit diesen abstimmen.… dass sie ihr Fachwissen „ausleihen“, damit die Organisation ihre zweite Line of •Defense, falls diese nicht bereits ausreichend ausgeprägt ist, verstärken kann.… dass sie über die reine Berichterstattung von Kontrollschwächen hinausgehen •und Stakeholder stattdessen zu den Risiken und Kontrollen zur Verbesserung der Unternehmensleistung beraten.… dass sie komplexe Sachverhalte klar und verständlich vermitteln, mit •Zusammenfassungen zu wiederkehrenden Themen und in Form einer engeren, persönlichen Interaktion mit den Stakeholdern.… dass sie Widerstand innerhalb der Unternehmensorganisation und -kultur •überwinden, indem sie die Unterstützung der Stakeholder für eine gestärkte Rolle des CAE erlangen und die Revisionsfunktion so gestalten, dass sie auf der Basis eines durchdachten Konzepts aufgebaut und geführt wird.… dass sie bei jeder Gelegenheit durch kontinuierlichen Dialog die Akzeptanz •der Stakeholder und die Möglichkeit zur aktiven Mitarbeit gewinnen – getragen durch eine Haltung des Strebens nach Optimierung der Organisation insgesamt. … dass sie die bevorstehende Herausforderung knapper Ressourcen und •Fachkräfte gezielt angehen. Der Prüfungsschwerpunkt darf nicht auf das angesichts fehlender Ressourcen Machbare beschränkt sein. Vielmehr müssen die Fähigkeiten innerhalb der Organisation genutzt und neue erworben werden, damit die IR bei Bedarf handlungsfähig ist. Die Kompetenzen müssen dort liegen, wo die Risiken aktuell auftreten, und nicht dort, wo sie im letzten Jahr, im letzten Monat oder in der letzten Woche aufgetreten sind.

Führende Unternehmen zeichnen sich durch ihre Fähigkeit aus, Risiken zu antizipieren. Und sie positionieren sich so, dass sie risikorelevante Ereignisse bewältigen und sogar Chancen daraus generieren können. Die IR-Funktionen müssen angesichts der sich verändernden Risikolandschaft den gleichen Weg einschlagen. Sie müssen somit auf einem höheren Niveau arbeiten und zu dem Partner werden, den die Stakeholder zunehmend wünschen und erwarten.



Der typische CAE steht heute vor den Herausforderungen einer komplizierteren Risikolandschaft, höheren Stakeholder-Erwartungen und knapperen Ressourcen.

Während einige CAEs noch auf Auslöser wie kontrollbedingter Krisen oder strengere Regulierung warten, haben sich andere bereits entschieden, diese Herausforderungen von sich aus anzunehmen.

Nachfolgend sind die wichtigsten Fragen und Gesichtspunkte aufgeführt, anhand derer Stakeholder und CAEs beurteilen können, ob sie das angestrebte Niveau bereits erreicht haben.

Abb. 9 Die Herausforderung des höheren Niveaus bewältigen

Navigieren durch die neue Risikolandschaft

Vermittlung umfassender Erkenntnisse

Kommunikationsprozesse entflechten und strukurieren

Frage

Wie gut ist der Revisionsplan auf die kritischen Risiken der Organisation ausgerichtet?

Vermittelt die IR ein umfassendes Bild, das dem Unternehmen hilft, besser auf Risiken zu reagieren?

Wie effektiv kommuniziert die IR mit den Stakeholdern?

Wie die IR das angestrebte Niveau erreichen kann

strategisch denken und handeln: •Die IR versteht die Strategie und Initiativen der Organisation und die damit verbundenen Risiken; die Themenschwerpunkte werden mit einer TopdownRisikobewertung ermittelt und auf die StakeholderErwartungen hin ausgerichtet.Nutzung der zweiten „Line •of Defense“: Die IR leistet einen koordinierten Beitrag zum Risikomanagement, indem sie ihre Erkenntnisse in den allgemeinen Risikomanagementprozess einbringt und die Prüfungsschwerpunkte entsprechend setzt.Ressourcen gezielt zuweisen: •Die IR erbringt Leistungen, die sich auf die kritischen Risikobereiche beziehen und sich nicht nur auf die vorhandenen Qualifikationen und Fachkenntnisse beschränken. Sie bleibt trotz eines sich verändernden Umfelds auf dem aktuellen Stand.

Geschäftstätigkeit verstehen: •Die IR bringt ihr unternehmerisches Denken in dem, was sie tut, klar zum Ausdruck und fördert dadurch das Bedürfnis, sie in die zentralen betrieblichen Vorhaben fachlich einzubeziehen.Von Spezialisten profitieren: •Die IR setzt interne wie auch externe Spezialisten ein, die ihre Tätigkeit in den Bereichen unterstützen, in denen sie selbst nicht über das nötige Maß an Fachwissen verfügt, um zu einem Thema wirksam beitragen zu können.Beratung und Vermittlung von •Best Practices: Die IR vermittelt einen fundierten Einblick in ihre gesamte Tätigkeit und bietet aktiv Beratung zur Gestaltung künftiger Prozesse an.

Vertrauen schaffen durch •kontinuierlichen Dialog: Gespräche mit den Stakeholdern, einschließlich des Prüfungsausschusses, haben einen hohen Stellenwert. Bei diesen Treffen werden zusätzliche Sichtweisen rund um die Steuerung kritischer Risiken eingebracht.einfachere und verständlichere •Berichte: Die Berichte der IR enthalten präzise Aussagen, die einen klaren Bezug zu den zugrunde liegenden Geschäftsrisiken haben.Zusammenhänge herstellen: •Die IR identifiziert zusammenhängende Themen und Trends innerhalb der Organisation und ermöglicht es dem Unternehmen, Schwachstellen zu beheben.


Forschungsansatz

G Forschungsansatz

Die vorliegende Studie basiert auf den Ergebnissen einer Onlineumfrage, die im November und Dezember 2011 durchgeführt wurde. Ergänzend zogen wir Ergebnisse unserer Studie Annual Global CEO Survey von 2012 heran.

Die Mehrheit (57 %) der Umfrageteilnehmer waren CAEs. Die übrigen Teilnehmer setzten sich aus Prüfungsausschussvorsitzenden, Prüfungsausschussmitgliedern, CEOs, CFOs, Chief Risk Officers/Risikocontrollern, Chief Compliance Officers und General Counsels zusammen. Die Umfrage erreichte ein breites Branchenspektrum, wobei kein Sektor einen Anteil von mehr als 15 % der gesamten Stichprobe beansprucht. Über die Hälfte der Umfrageteilnehmer war für Unternehmen mit Sitz in den USA tätig; die übrigen verteilten sich auf 63 weitere Länder. Rund 75 % der Umfrageteilnehmer stammten aus Unternehmen mit einem Jahresumsatz von mindestens 1 Milliarde US-Dollar. Bei 18 % belief sich der Jahresumsatz ihrer Unternehmen auf mindestens 20 Milliarden US-Dollar.

Um die statistischen Trends zu verstehen und qualitative Erkenntnisse zu gewinnen, führten wir ausführliche Fallstudieninterviews mit fast 100 Managern, darunter CAEs, Mitglieder der Geschäftsleitung, Prüfungsausschussvorsitzende, Vorstände und andere Stakeholder der IR. Zur Weiterentwicklung der qualitativen Ergebnisse nutzten wir unsere Erfahrung mit IR-Mandaten für zahlreiche von uns betreute Unternehmen in unterschiedlichen Branchen und von unterschiedlicher wirtschaftlicher Größe.

Die Interviews wurden unter anderem mit Managern aus den folgenden Unternehmen geführt:

Abb. 10 Unternehmen mit denen für die Studie gesprochen wurde

Unternehmen Land/Region

Abu Dhabi National Energy Co. PJSC Abu Dhabi

Adobe Systems Inc. USA

Aircel Ltd. Indien

Al Dorra Petroleum Services Kuwait

Australian Postal Corporation Australien

Amazon.com, Inc. USA

Barrick Gold Corp. Kanada

Bharti Airtel Ltd. Indien

BlueScope Steel Ltd. Australien

Brookfield Office Properties, Inc. Kanada

Canadian National Railway Co. Kanad

Canadian Pacific Railway Ltd. Kanada

Caterpillar Inc. USA

Cenovus Energy, Inc. Kanada

Dubai World Dubai

Eli Lilly and Co. USA

Ford Motor Co. USA

General Motors Co. USA


Forschungsansatz

Unternehmen Land/Region

Google, Inc. USA

Hong Kong Monetary Authority Hongkong/China

Hutchison Whampoa Ltd. Hongkong/China

Indus Towers Ltd. Indien

JOHN SWIRE and SONS LTD Hongkong/China

KBR, Inc. USA

Lonmin Plc. Südafrika

Maruti Suzuki India Ltd. Indien

Metro AG Deutschland

Microsoft Corp. USA

Mindray Medical International Ltd. Hongkong/China

Murray & Roberts Cementation (Pty) Ltd. Südafrika

Nationwide Mutual Insurance Company USA

Qatar Telecom Q.S.C. Katar

Royal Bank of Canada Kanada

Sherritt International Corp. Kanada

Sterlite Technologies Ltd. Indien

Suncor Energy, Inc. Kanada

Swiss Re AG Schweiz

Talisman Energy, Inc. Kanada

Tata Steel Ltd. Indien

Technova Imaging Systems Private Limited Indien

Telkom SA Ltd. Südafrika

The Wave Muscat S.A.O.C. Naher Sultanat Oman

The Wharf (Holdings) Ltd. Hongkong/China

Volkswagen AG Deutschland

Zhuhai Zhongfu Enterprise Co., Ltd. Hongkong/China


Danksagung

Danksagung

Die von den Prüfungsausschussvorsitzenden und Vorstandsmitgliedern gewährten Einblicke stellen einen wesentlichen Bestandteil unserer Publikation dar. Ein besonderer Dank für ihren Beitrag zu unserer Studie geht an:

David B. BurrittVorsitzender des Prüfungsausschusses, Lockheed Martin CorporationVorsitzender des Audit and Risk Management Committee, Aperam SA

Richard A. GoodmanVorsitzender des Prüfungsausschusses, Johnson Controls, Inc. Vorsitzender des Prüfungsausschusses, Toys“R”Us Inc.Mitglied des Prüfungsausschusses, Western Union Co.

Leslie Stone HeiszMitglied des Board of Directors, HCC Insurance Holdings, Inc.Mitglied des Board of Directors, Ingram Micro Inc.

Michael J. JoyceVorsitzender des Prüfungs- undVergütungsausschusses, Brandywine Realty Trust

Denis J. O’Leary Jr.Mitglied des Prüfungsausschusses und des Nominierungs- und Corporate Governance-Ausschusses, Fiserv, Inc.

Dr. Oliver PorscheVorsitzender des Prüfungsausschusses, Volkswagen AG

Dennis PowellVorsitzender der Audit Risk Committee, Intuit, Inc.

William A. OsbornVorsitzender des Prüfungsausschusses, Caterpillar Inc.

Karen Rohn OsarVorsitzende des Prüfungsausschusses, Innophos Holdings, Inc.


Ihre Ansprechpartner

Ihre Ansprechpartner

Wolfgang Meier PartnerInternal Audit Leader Deutschland Tel.: +49 211 281-2577 [email protected]

Jochen Esch PartnerTel.: +49 341 9856-161 [email protected]

Dorothea MertmannDirectorTel.: +49 211 [email protected]

Kathrin Kersten Senior ManagerTel.: +49 69 9585-1201 [email protected]

Oliver Eis (für Financial Services)Senior ManagerTel.: +49 69 [email protected]

Über unsUnsere Mandanten stehen tagtäglich vor vielfältigen Aufgaben, möchten neue Ideen umsetzen und suchen Rat. Sie erwarten, dass wir sie ganzheitlich betreuen und praxisorientierte Lösungen mit größtmöglichem Nutzen entwickeln. Deshalb setzen wir für jeden Mandanten, ob Global Player, Familienunternehmen oder kommunaler Träger, unser gesamtes Potenzial ein: Erfahrung, Branchenkenntnis, Fachwissen, Qualitätsanspruch, Innovationskraft und die Ressourcen unseres Expertennetzwerks in 158 Ländern. Besonders wichtig ist uns die vertrauensvolle Zusammenarbeit mit unseren Mandanten, denn je besser wir sie kennen und verstehen, umso gezielter können wir sie unterstützen.

PwC. 8.900 engagierte Menschen an 28 Standorten. 1,45 Mrd. Euro Gesamt-leistung. Führende Wirtschaftsprüfungs- und Beratungsgesellschaft in Deutschland.

Wenn Sie mehr dazu erfahren möchten, wie sich die hier dargestellten Ergebnisse auf Ihr Unternehmen auswirken können, stehen wir Ihnen gern für ein persönliches Gespräch zur Verfügung.

www.pwc.de

www.pwc.de

Die Interne Revision am Scheideweg - pwc.de · PDF Die Interne Revision am Scheideweg Unsere...

Documents

Transcript of Die Interne Revision am Scheideweg - pwc.de · PDF Die Interne Revision am Scheideweg Unsere...