Mag. Markus Hölzl: Sie verantworten für den Semperit Konzern das Thema Risikomanagement und sind auch in andere GRC-Aktivitäten eingebunden. Welche Aufgaben sind konkret in Ihrem Verantwortungsbereich und wo liegen für Sie persönlich die Schwerpunkte Ihrer Tätigkeit?
Mag. Nina Kaufmann-Frank, M.A: Als Group Expert für Risk Management & Assurance sind meine Hauptaufgaben Enterprise Risk Management inklusive Guideline und Steuerung des Prozesses sowie die Moderation von Risikomanagementworkshops an den unterschiedlichen Standorten und die Berichterstattung und Nachverfolgung der Umsetzung von risikoreduzierenden Maßnahmen. Während der vergangenen Jahre lag und liegt mein Fokus auf der Identifikation von Risiken, der Schaffung eines gemeinsamen Verständnisses darüber, der Risikobewertung und dem konzernweiten Grundlagenerwerb für zukünftige Steuerungen. Konkret stellt sich das Enterprise Risk Management wie folgt dar:
- Priorität hat zunächst das Identifizieren der für Semperit wesentlichen Risiken, die die Erreichung der Finanz- oder strategischen Ziele gefährden konnten. Denn wer alles verteidigt, verteidigt nichts.
- Wichtig ist, dass hinsichtlich wesentlicher Risiken und Handlungsoptionen nicht nur ein gemeinsames Verständnis besteht. Volle Transparenz ist eine Grundvoraussetzung, um eine gute Basis für Entscheidungen aufzubauen.
- Über den Risikobewertungs- und konzernweiten Abstimmungsprozess tragen wir zur Bewusstseinssteigerung und damit zur Entscheidungsfindung und Steuerung von risikoreduzierenden Investitionen bei. Uber all dem steht das große Ziel, für Semperit Wettbewerbsvorteile gegenüber dem Mitbewerb zu schaffen.
Hölzl: Welche Vorteile ergeben sich durch die Kombination mehrerer „Risikofunktionen“ in einem Verantwortungsbereich, wie es bei Semperit der Fall ist?
Kaufmann-Frank: Bei Semperit umfasst die Abteilung „Risk Management & Assurance“ den Bereich Risikomanagement, Internal Audit und Versicherungen. Wir haben nach dem „Three Lines of Defence Model“ alle drei Verteidigungslinien in einer Abteilung konzentriert. Der Vorteil einer transdisziplinaren Zusammenarbeit besteht hauptsachlich darin, dass identifizierte Risiken auf verschiedene Art und Weise und auf verschiedenen Flughohen betrachtet und aufgearbeitet werden können. In der Praxis gibt es manchmal Situationen, in denen es sich lohnt in den einen oder anderen Bereich, z.B. der Prüfung des Internal Audits, tiefer hineinzuschauen, da es Hinweise aus dem Risikomanagement für Risiken mit möglichem Kollateralschaden gibt oder umgekehrt. Letztendlich sollte es immer einen Austausch zwischen diesen Funktionen, sowie mit dem Bereich Compliance, geben, wenngleich die Funktionstrennung gemäß COSO Standard (Committee of the Sponsoring Organisations) personell gewährleistet sein sollte.
Hölzl: Gibt es aus Ihrer Sicht auch Herausforderungen bzw. Nachteile, wenn mehrere, unterschiedliche GRC-Aufgaben in einem Team gebündelt sind? Insbesondere die Kombination der Internen Revisionsfunktion als „Third Line of Defence“ mit anderen GRC-Funktionen wird ja immer wieder kontrovers diskutiert.
Kaufmann-Frank: Generell ist eine transdisziplinare Zusammenarbeit zwischen Bereichen immer von den verantwortlichen bzw. handelnden Personen abhängig. Nachteile können entstehen, wenn die Verantwortlichen einander nicht auf Augenhohe begegnen und ein Bereich dem anderen vorangestellt wird. Für mich ist die „Third-Line-of-Defence-Funktion“ der Internen Revision nicht im hierarchischen Sinne zu verstehen, sondern eine weitere Verteidigungslinie, um Risiken zu reduzieren und so die Unternehmensziele zu wahren. Allerdings ist sie auch die letzte Verteidigungslinie in der Reihe. Das heißt, idealerweise funktionieren alle Verteidigungslinien bereits davor gut, allen voran die erste Verteidigungslinie mit einem gelebten Internen Kontrollsystem und den Management Controls. Natürlich ist es - um bei der Analogie zu bleiben - für die zweiten Linie nicht unerheblich, ob der Angriff bereits von der ersten Linie abgewehrt wurde. Für Semperit ist es jedoch entscheidend, dass das Gesamtsystem halt. Zusammenfassend schätze ich den Nutzen einer Abstimmung über Risiken im Team weitaus hoher ein als mögliche Nachteile daraus. Ich spreche hier aus der Praxis. Und ich erinnere daran, dass in der Vergangenheit dem Risikomanagement generell vorgeworfen wurde, aus einem Elfenbeinturm heraus zu agieren und sich in keiner Weise mit anderen abzustimmen.
Hölzl: Welche wesentlichen Änderungen wurden in den unterschiedlichen GRC-Aktivitäten und insbesondere im Bereich Risikomanagement in der jüngeren Vergangenheit bei Semperit umgesetzt?
Kaufmann-Frank: Semperit ist in der Konzeptions- und Umsetzungsphase eines GRC-Systems, wobei 2019 ein Software-Tool und eine Datenbank akquiriert wurde, um speziell die Bereiche Datenschutz, Compliance, SHE und Versicherungen mit den jeweils unterschiedlichen Vorgehensweisen integrieren zu können. Hölzl: Welche GRC-Themen und Entwicklungen haben für Sie bzw. Semperit aktuell eine große Bedeutung? Nina Kaufmann-Frank: Bei Semperit finden seit 2019 systematische, softwareunterstutze Assessments in Bereichen wie Datenschutz und Compliance statt, um entsprechende Risiken noch besser im Enterprise Risk Management abbilden zu können als bisher. Mit diesen Bereichen können - wie man auch den Medien regelmäßig entnehmen kann - sehr große Haftungsrisiken für das Unternehmen und den Vorstand verbunden sein. Semperit mochte im Bereich dieser Risiken nicht nur volle Transparenz gewährleisten, sondern auch in die richtigen Maßnahmen investieren. Die Einbindung in ein neues GRC-System und die laufenden Assessments sind nur ein logischer erster Schritt, um diesem Ziel naher zu kommen.
Hölzl: Welche Aspekte sind aus Ihrer Sicht besonders wichtig, um nachhaltig effektive, aber auch effiziente GRC-Funktionen aufrecht zur erhalten bzw. sich laufend weiterzuentwickeln?
Kaufmann-Frank: Der Austausch mit den Fachbereichen, die in ein GRC eingebunden werden sollen, ist Grundvoraussetzung, um den kleinsten gemeinsamen Nenner zu identifizieren und bereits bei der Planung Fehler zu vermeiden. In der Umsetzungsphase muss sich dieser Austausch fortsetzen, um notwendige Verbesserungen vornehmen zu können, aus der Praxis zu lernen und die Zukunft nachhaltig zu gestalten. Um eine gute Grundlage für Verbesserungen und zur Steuerung von Entscheidungen zu bieten, müssen GRC-Berichte für alle Zielgruppen flexibel anpassbar sein.
Das Interview erschien zuerst in der Zeitschrift GRC Aktuell
Mag. Nina Kaufmann-Frank, M.A. ist Group Expert Risk Management & Assurance bei der Semperit AG. Mag. Markus Hölzl, CIA, CFE ist Geschäftsführer bei EY Management Consulting und Leiter des Beratungsbereichs Internal Audit und Risikomanagement. Zusammen werden Sie auf der RECON am 31.8./1.9. 2020 zum Thema „Trends im Risikomanagement am Beispiel Semperit“ einen Workshop halten.
