Versicherungswirtschaft-heute

          Mobilversion

 

- Anzeige -

Risikomanagement nicht mit Kontrollinstanz verwechseln

18.10.2017 – yves_dupont_mwYves Dupont vom Verband Internal Control Association (ICIB) plädiert auf dem Ferma-Kongress in Monaco dafür, Kontrollen als Teile von Prozessen zu begreifen, statt Verantwortung dafür beim Risikomanagement anzusiedeln. Teilweise sei die schwierige Durchsetzung von Kontrollsystemen in Unternehmen diesem Missverständnis über die Rolle der Funktion Risikomanagement (falls vorhanden) geschuldet, gibt er zu.

Es müsse in Organisationen klar sein, dass Kontrollen Teil der operativen Prozesse seien und Risikomanagement nur eine koordinierende Rolle habe, betont Dupont. Funktional betrachtet seien Risikomanagement und interne Kontrollen komplementär zueinander. Während Kontrollen generell im operativen Management angesiedelt sein sollten, beinhalte Risikomanagement lediglich die Koordination dieser Aktivitäten und stelle sicher, dass sie überhaupt stattfänden. Daher sollten RM-Mitarbeiter, die Kontrollen unterstützen, besser Titel wie “Kontroll-Koordinator” tragen und nicht durch missverständliche Titel wie “Control Officer” Irrtümern über ihre Aufgabe Vorschub leisten.

An einem Beispiel verdeutlicht Dupont die Vorgehensweise, Aufgaben zu einem konkreten Risiko am besten nach Kompetenzen zu verteilen: Tritt ein neues Verbraucherschutzgesetz in Kraft, wird die Rechtsabteilung bzw. Compliance dieses zunächst analysieren und Empfehlungen zur Umsetzung geben. Bedeutet das Gesetz Vorschriften für operative Prozesse, seien diese dann von den prozessverantwortlichen Mitarbeitern zu integrieren. Risikomanagement koordiniere diese Aktivitäten zwischen den Beteiligten und unterstütze insbesondere bei der Evaluierung von Restrisiken und der Effektivität der Kontrollen (Internal Control Self Assessment, ICSA).

Bei ICSA müsse Risikomanagement eine vergleichsweise starke Rolle einnehmen. Es sei nicht ausreichend, dass beim Prozessverantwortlichen lediglich der Status eines Risikos abgefragt werde. Dupont plädiert dafür, die Effektivität von Risikomanagement-Aktivitäten mit Hilfe von Scoring-Modellen zu messen, welche die zwei Hauptdeterminanten Risiken sowie Auswirkung und Wahrscheinlichkeit um weitere Faktoren ergänzen.

Effektivität sei auch im sogenannten Single Audit-Modell verankert. Im verbreiteten System der drei Verteidigungslinien bauten operatives Management, Risikomanagement und interne Revision idealerweise als Kaskade beim Testen, also Überprüfen der Kontrollen, aufeinander auf, führt Dupont aus. RM und Revision müssten also nicht noch einmal testen, was im Prozess bereits kontrolliert und getestet wurde.

Unabhängigkeit der Risikomanagement-Funktion sei am besten zu erreichen, wenn diese an ein Komitee berichteten. Die Zuordnung zu einem bestimmten Vorstandsressort (in der Praxis meist Finanzen) könne einen Interessenkonflikt bedeuten. (Martin Winkel)

Bild: Yves Dupont (Quelle: Martin Winkel)

- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten