Risikomanagement

Dieser Artikel wird in vier Teilen präsentiert und wird Ihnen einen schnellen, vereinfachten und vor allem verständlichen Einblick in eine durchaus sehr komplexe und überaus umfangreiche Thematik geben.

Teil 1    BCM – Ein Einblick

Teil 2    BCM – Nur ein weiterer Begriff im Unternehmen

Teil 3    BCM – Vorschlag zum Vorgehen für die Implementierung

Teil 4    BCM – Die Kontrolle behalten    

BCM – Nur ein weiterer Begriff im Unternehmen?
 

Business Continuity Management (BCM) – eine Definition

Unter dem Begriff "BCM" werden alle notwendigen ablauf- und aufbauorganisatorischen Maßnahmen subsumiert, welche den Fortbestand eines Unternehmens in einer Krisen- oder Katastrophensituation sicherstellen sollen: von der Analyse über die Planung, das Krisenmanagement und die Dokumentation bis hin zu entsprechenden Übungsabläufen.

                                                                       „Das Ganze ist mehr als die Summe seiner Teile“
                                                                                   (Aristoteles, 384-322 v.Chr.)

Krisenmanagement im 21. Jahrhundert: In diesem und drei weiteren Teilen unserer Serie erläutern wir Ihnen zusammengefasst, vereinfacht und vor allem verständlich, wie Krisenmanagement in Ihrem Unternehmen gelingen kann.

Den Reaktionen unserer Leser und den Reports der Nutzung unserer Website entnehmen wir, dass das Thema PS 951, SSAE 16, ISAE 3402 und der (inzwischen veraltete) Standard SAS 70 derzeit viele Unternehmen beschäftigt.

Die Bundesregierung hat Grundsätze guter Unternehmens- und Beteiligungsführung für Unternehmen mit mehrheitlicher Beteiligung des Bundes verabschiedet. Dieser Public Corporate Governance Kodex soll regelmäßig geprüft und an aktuelle Bedürfnisse angepasst werden. Er richtet sich verbindlich an Unternehmen in privater Rechtsform mit mehrheitlicher Beteiligung des Bundes und ist nicht an die Rechtsform gebunden. Es handelt sich nicht um ein Gesetz, jedoch soll der bislang bewährte Grundsatz "comply or explain" auch hier Anwendung finden. Grundsätzlich ist der Gültigkeitsbereich weit gefasst und lediglich bei börsennotierten Unternehmen ausdrücklich zugunsten der bereits bestehenden Regelungen (einschließlich des Corporate Governance Kodex) abgegrenzt.

Die zugehörige Pressemitteilung des Bundesministeriums der Justiz findet sich hier (Link veraltet).

Der Public Corporate Governance Kodex ist hier abgelegt.

Im Moment stellt sich für viele Verantwortliche die Frage, was im Bereich IKS, Risikomanagement und interne Revision denn wirklich gemacht werden muss.

Ausgangspunkt

Das BilMoG setzt die einschlägigen EU-Richtlinien um, die gemeinhin als EURO-SOX bezeichnet wurden. Jeder, der sich in diesem Thema etwas tummelt, weiß, dass SOX für die Unternehmen viel Arbeit und Aufwand bedeutet haben.

Andererseits wird uns immer wieder versichert, dass der Gesetzgeber den deutschen Unternehmen all das ersparen möchte. In Zeiten, in denen alles Bestreben in Richtung Entbürokratisierung und Entlastung der Wirtschaft gerichtet ist (zumindest vordergründig), wäre alles andere auch nicht besonders klug.

Andererseits hat die EU bei der Formulierung der Richtlinien natürlich gewisse Mindeststandards gesetzt, die die Mitgliedstaaten nicht "unterschreiten" dürfen. Der Grundgedanke der EU war dabei, Anlegervertrauen wiederherzustellen (wir erinnern uns, dass die Richtlinien lange vor der aktuellen Wirtschafts- und Finanzkrise verfasst wurden) und Transparenz für Anleger, Gläubiger und sonstige Stakeholders zu schaffen. Nicht zuletzt soll der europäische Raum auch im Wettbewerb um Anlegervertrauen den USA (mit ihrem Sarbanes-Oxley Act) und Asien (insbesondere Japan mit den unter "J-SOX" bekannten Vorschriften) nicht nachstehen.

Nachdem in den Teilen 1 und 2 dieser Reihe der Hintergrund des Internen Kontrollsystems ein wenig beleuchtet wurde, soll in diesem Teil die praktische Umsetzung beschrieben werden.

Jedes Unternehmen verfügt in irgendeiner Art und Weise über Kontrollstrukturen. Häufig sind diese aber nicht konzeptionell entworfen, dokumentiert und aufeinander abgestimmt. Als Beispiel sei genannt, dass in jedem auch noch so kleinen und informell organisierten Unternehmen klar ist, dass keine Rechnungen ohne vorherige Genehmigung bezahlt werden. Auch darf normalerweise niemand allein Überweisungen tätigen. Die zugehörigen Schritte sind oft unwirksam (was nützt eine Kontrolle des Überweisungsträgers, ohne die zugehörigen Belege zu kontrollieren?), nicht nachvollziehbar und stehen auch nicht immer in direktem Zusammenhang mit den wahren Risiken eines Prozesses.

Insofern muss die Einführung bzw. Strukturierung eines IKS immer das bestehende Kontrollumfeld einbeziehen und kritisch bewerten. Aber fangen wir vorne an:

In Teil 1 dieser Reihe haben wir die Elemente, die das IKS laut COSO ausmachen, ein wenig beleuchtet. Für die Umsetzung in der Praxis sind diese Elemente zu konkretisieren. Die einzelnen Elemente sind häufig zumindest teilweise nicht explizit, sondern eher implizit im IKS enthalten bzw. in die Organisation integriert.

Der folgende Beitrag stellt diese Elemente exemplarisch vor und zeigt die Beziehung zum COSO-Standard auf.

Das erste wesentliche Element ist das Kontrollumfeld. Hier werden wesentliche Voraussetzungen für eine Unternehmenskultur geschaffen, in der die Durchführung interner Kontrollen zur täglichen Arbeit gehören, ohne dass dadurch eine Atmosphäre des Mißtrauens geschaffen wird.