Risiken, Kontrolle und Audit: Unternehmen im Umbruch?

Bernard Drui ist Managing Director und leitet die Aktivitäten von Protiviti in Frankreich. Protiviti ist ein seit 2002 bestehendes globales Beratungsunternehmen für die Bereiche Risikomanagement, Governance, Konformität, Transformation von Organisationen und interne Revision. Le groupe operère dans une trentaine de pays avec 85 bureaux et plus de 7000 professionnels, pour 2 milliards de chiffre d'affaires en 2021. Bernard Drui interveniert bei den Studenten des letzten EDHEC-Jahrgangs zu Themen des Risikomanagements.

" Heute verlangt die Realität der Welt, in der die Organisationen arbeiten, Robustheit und Flexibilität in Sachen GRC. Man ist von dem "nice to have" von vor ein paar Jahren weit entfernt! "

Können Sie uns ein paar Worte über den vagen Transformationsfond sagen, der auf dem GRC-Markt in Frankreich tätig ist?

La Gouvernance Risque Conformité ist kein neues Konzept, sondern das Ergebnis zahlreicher Fonds, die seit mehr als drei Jahren die Organisationen dazu gebracht haben, ihre Aktivitäten in diesem Bereich zunehmend zu formalisieren. 

Heute verstärken die Schnelligkeit und die Vernetzung der Wirtschaft, zu denen seit einiger Zeit auch der Kontext des Krieges in der Ukraine gehört, die direkte Realität, mit der die Unternehmen im Bereich GRC konfrontiert sind. Bestimmte Risiken, die bis jetzt mehr oder weniger identifiziert und theoretisiert wurden, sind auch heute noch sehr wahrscheinlich. Die Frage der Widerstandsfähigkeit stellt sich unmittelbar in den Organisationen, aber auch global in den Gesellschaften. Die Frage der Konformität stellt sich noch viel mehr, auch wegen der damit verbundenen Sanktionen. Und diese Liste der neuen Themen ist nicht erschöpfend. 

In diesem Zusammenhang ist es für jede Organisation absolut notwendig, eine saubere Verwaltung, eine Steuerung mit klar definierten Rollen und Verantwortlichkeiten, eine klare Vorstellung von ihren Risiken und die Fähigkeit zu haben, ihre Prozesse und Kontrollen zu steuern, um leistungsfähig zu sein und auf Konformitätsanforderungen reagieren zu können.

Die Realität der Welt, in der die Organisationen tätig sind, macht eine gewisse Robustheit in Sachen GRC erforderlich. Es ist ein "nice to have", das mit einigen Verbesserungen versehen wurde! Die Risiken und Gefahren müssen absolut unter Kontrolle sein. C'est fondamental : il s'agira probablement de la nouvelle donne post Ukraine.

Sind die Mentalitäten auf dem Weg, sich zu entwickeln?

Es besteht ein Gefühl der unbedingten Notwendigkeit einer Regelung, die in verschiedenen Bereichen zum Tragen kommt. So wurde beispielsweise vor der Pandemie und dem Krieg das Thema RGPD sehr häufig unter rechtlichen Aspekten (und damit auch mit Änderungen der Rechtsprechung), aber auch unter sozialen Gesichtspunkten behandelt.

Cybersecurity und IT-Risiken sind durch die Krise noch verstärkt worden. Unternehmen müssen ein IT-Risikomanagement-System einrichten und sicherstellen, dass alles funktioniert und gut gewartet wird.

Aujourd'hui, la pandémie, puis la guerre, nous montrent que les questions de résilience opérationnelle des organisations doivent être une priorité. Des réglementations à l'instigation de la banque d'Angleterre se mettent en place, sur la résilience des établissements financiers. Das gesamte Unternehmen ist sich darüber im Klaren, dass es, um weiter arbeiten zu können, seine Organisation und seine Alternativen in Bezug auf Beschaffung und Produktion überdenken muss. Dies wird in direktem Zusammenhang mit den ESG-Problemen - und insbesondere den Umweltproblemen -, die heute unübersehbar sind, mehr und mehr an Bedeutung gewinnen.

Diese Notwendigkeit der Konformität im Dienste eines allgemeinen oder gemeinschaftlichen Interesses ist also eine grundlegende Tendenz. Die Regulierungen sind unausgegoren, aber die Länder sind sich nicht immer einig. 

Wenn wir zurückblicken, haben die Finanzskandale vor 20 Jahren die Notwendigkeit von Risikomanagement und interner Kontrolle deutlich gemacht. Heute erzwingen die Art und Weise, wie man Geschäfte macht (digitalisiert, vernetzt), und die massiven géopolitischen, sanitären und globalen Ereignisse dieses neue Geschäft der Compliance. Wir wollten an der Globalisierung teilhaben, aber wir haben dabei oft übersehen, dass dies zu Ausgaben oder neuen Risiken führt, die wir systematisch angehen müssen, wenn wir eine funktionierende Weltwirtschaft aufrechterhalten wollen.

Prozesse, Menschen, Technologie: Wie können sich Organisationen auf die laufenden und künftigen Veränderungen vorbereiten?

Ein Manager zu sein, ist viel komplexer als früher: Sie brauchen ein echtes intellektuelles Engagement, viel Arbeit und viele Fragen, die Sie stellen müssen. Man kann kein guter Manager sein, wenn man nicht auch ein Risikomanager ist, im weitesten Sinne des Wortes, für sich selbst und für sein Unternehmen. Sie müssen Ihre Entscheidungen in einem bestimmten Kontext rechtfertigen können. Um seine Ziele zu erreichen, muss man wissen, was Probleme aufwirft und diese antizipieren. Und man kann sie mit allen neuen Konformitäts-, Umwelt- und anderen Auflagen aussetzen. 

Um Zeit für diese Aufgabe zu haben, müssen Sie die Aufgaben, die automatisiert werden können, optimieren. Die Technologie ermöglicht es, die Ausführung von Prozessen zu steuern und zu kontrollieren: hier kommen die GRC-Werkzeuge ins Spiel und spielen eine wichtige Rolle bei der Arbeit. Zum Beispiel durch die Nutzung von Daten aus dem ERP-System und anderen Unternehmensquellen, die es ermöglichen, eine bestimmte Anzahl von Kontrollen zu autorisieren, Risiko- oder Leistungsindikatoren zu erstellen und die Reflexion des Managements zu verbessern. 

Schließlich ist das Management in vielen Unternehmen auf der Prozessebene sehr dezentralisiert und nahe am Kunden, was schnelle Entscheidungen ermöglicht. Aber damit das funktioniert, ist es wichtig, dass es während des gesamten Prozesses eine Übereinstimmung gibt: Sie müssen die gleichen Werte im Entscheidungsprozess, die gleiche Risikobereitschaft und die gleiche Politik auf der Managementebene wiederfinden. Das Management sollte dies in seine täglichen Arbeitsabläufe einbeziehen und die Zeit haben, diese zu antizipieren und auf die Arbeitsabläufe zu reagieren.

Welchen Einfluss haben ESG auf die Unternehmensführung unter den Aspekten GRC, Kontrolle, Audit und Risikomanagement? 

Alle Jahresabschlüsse von Unternehmen müssen heute geprüft werden: das ist für die ganze Welt eine Selbstverständlichkeit. Das ESG-Konzept wird auf die gleiche Weise durchgesetzt, es ist im Begriff, sich breit aufzustellen, sowohl im Hinblick auf die Dringlichkeit der Umwelt als auch auf die Rechte der Menschen und die ethischen Grundsätze. Heute ist es notwendig, einen gemeinsamen Wertesockel und eine einfache Arbeitsweise für den Planeten zu haben. 

La guerre en Ukraine a été un accélérateur : elle a mis en lumière les dépendances et les fragilités liées au nucléaire. Es hat eine Gewissensprüfung gegeben, vor allem bei den Gas- und Ölpreisen. Das ist in gewisser Weise ein Grund zum Handeln, denn Unternehmen und Staaten haben ein konkretes, energetisches, wirtschaftliches und politisches Interesse daran, ESG-Maßnahmen zu ergreifen.

Es hat den Anschein, dass die Länder der OCDE dringend ein ESG-System einführen müssen, d.h. die Maßnahmen der Hauptakteure der Wirtschaft und der Staaten in Bezug auf diese drei Komponenten Umwelt, Soziales und Governance bewerten müssen. Nach der Verteidigung der Menschen- und Umweltrechte gibt es ein klares Bewusstsein dafür, dass die ESG-Maßnahmen im Interesse der gesamten Welt sind.

Auch die Beziehungen zu den Unternehmen sind ein großes Problem: In der vernetzten Wirtschaft sind viele Partner und Lieferanten Ebenen, auf denen die Unternehmen nicht immer eine gute Sichtbarkeit haben. C'est désormais une exigence nouvelle de la GRC. 

Wie kann man aus seinen Daten Kapital schlagen, um den Wandel zu bewältigen? Neben den gewohnten Daten sprechen wir von ESG-Daten, von Daten, die man vorher nicht analysieren konnte, oder von jeder Art von Daten, die für das Unternehmen von Bedeutung sind.

Wir produzieren eine Vielzahl von Daten. In einem ersten Schritt müssen Sie die Daten kennen, klassifizieren und kennzeichnen: welche Daten vertraulich sind, welche operativ, welche risikoreich und welche nicht risikoreich sind, welche privat sind und welche von den Aktivitäten des Unternehmens abhängen. 

Anschließend müssen Sie eine klare Vorstellung von ihrem Standort haben: Wo befinden sich diese Daten, welchen Status haben sie? Une cartographie est donc fondamentale.  Dann müssen Sie die Daten auswerten können, indem Sie zwischen den für die Finanzen verwendeten Wirtschaftsdaten und den CRM-Daten für das Marketing unterscheiden. 

Neue Daten, wie z.B. Prozessdaten im ERP, werden ebenfalls effektiv berücksichtigt: Wenn das Unternehmen bei den Prozessen nicht performant ist, kann es viel Geld verlieren oder die Kontrolle über die Prozesse verlieren. Die Nutzung von Daten durch geeignete Kontrollen ist eine Selbstverständlichkeit.

Et enfin, il y a désormais des données ESG : avec l'évolution réglementaire, les entreprises devront rendre compte sur leur performance ESG exactement comme elles le faisaient sur la performance financière. Diese Informationen zu sammeln, sie effizient zu erfassen und zu messen, um gute Kontrollen einzuführen, ist eine echte Herausforderung, die es dem Unternehmen ermöglichen wird, seine institutionelle Berichterstattung wesentlich effizienter zu gestalten, aber auch sachdienlicher zu agieren.

Das Ziel ist es, eine verlässliche Information, eine einzige Wahrheitsquelle, zu erhalten und zu nutzen, was eine echte Herausforderung darstellt: Welche Daten sind aus dieser Masse von Daten am besten geeignet?

Welche Rolle spielt die Technologie in den Bereichen Risiko, Kontrolle und Audit?

Die Technologie muss ein Wegbereiter sein, der das Ganze möglich und einfach macht. Sie muss global sein, und Sie müssen sehr einfach darauf zugreifen können (z.B. über die Cloud). Die Technologie muss den Anforderungen der Unternehmen gerecht werden und diesen Anforderungen auf einfache Weise entsprechen, damit die mit GRC und internem Audit betrauten Manager davon profitieren können. Sie ist also nahe am Beruf, am Geschäft, aber ohne die Daten zu vernachlässigen. Sie muss auch agil sein, im Sinne des Manifests agile, d.h. nahe bei den Anwendern, und es ermöglichen, auf die verschiedenen Anforderungen zu reagieren, die sich aus neuen Regelungen oder neuen Geschäftskontexten ergeben.

Aber diese Technologie hat auch und vor allem eine proaktive, antizipierende Seite, vor allem in Bezug auf ESG. Sie ermöglicht es nicht nur, die bereits vorhandenen Daten zu nutzen, sondern auch vorausschauend zu handeln, indem sie beispielsweise direkte Informationen über die Umweltauswirkungen einholt und GRC-Instrumente für eine kontinuierliche Überwachung einsetzt.

Die Technologie soll diese Kontrolle kontinuierlich unterstützen, den Arbeitsalltag erleichtern und die Arbeit aufteilen. Par exemple, dès qu'un écart est constaté sur les contrôles, on renvoie vers le manager concerné un questionnement ou une action à mener pour qu'il puisse traiter cet écart, ce qui permet alors au manager de la GRC de gagner du temps et d'avoir une organisation réactive, dans un délai très court. 

Welchen Rat geben Sie den Risiko- und Konformitätsanbietern, die uns zu ihrem Transformationsprojekt befragen?

Das Risikomanagement muss einen ganzheitlichen Ansatz verfolgen. Das eingesetzte Informationssystem muss auch ganzheitlich gedacht werden, von den Daten "von unten" bis zum endgültigen Bericht. Es ist wichtig, das System in seiner Gesamtheit im Hinblick auf ein globales Bedürfnis zu betrachten und nicht nur über eine einzige Achse, auf Kosten der anderen. Es ist wichtig, dass Sie bereits zu Beginn eine globale Verbindung herstellen, um ein Hilfsmittel zu haben, das in seiner ersten Strukturierung allen Anforderungen gerecht wird.