Funktionsumfang des insic RMS
In Zusammenarbeit mit GFR-Consult stellt insic ein Risikomanagement System für Sportwettunternehmen vor. Der Funktionsumfang entspricht den praktischen Erfahrungen aus unserer Tätigkeit als Geldwäschebeauftragter für 100 Kunden unter deutscher Regulierung mit Vertrieb von Sportwetten im Internet und über Wettvermittlungsstellen in Franchise-Organisationen.
In diesem Aufsatz evaluieren wir die Anforderungen an ein RMS gemäß den Vorgaben des ControllingWiki mit Prüfsiegel bis 2022 für die hier zitierten Passagen.
Definition: Das RMS stellt die Gesamtheit aller Maßnahmen zur Erkennung, Analyse, Bewertung, Kommunikation, Überwachung und Steuerung von Risiken dar.
Das RMS erfordert ein Risikofrühwarnsystem, welches Risikoidentifikation, Einzelrisikobewertung, Risikokommunikation, Risikoaggregation und Risikobericht umfasst, sowie ein Risikoüberwachungssystem und ein Risikobewältigungssystem ermöglicht. Explizit gesetzlich verpflichtend sind nach § 91 Abs. 2 AktG zunächst die ersten beiden Bestandteile, die auch Gegenstand der Abschlussprüfung sind.
Bewertung: Das insic RMS unterstützt den Prozess von der Risikoidentifikation, Einzelrisikobewertung, Risikokommunikation, Risikoaggregation, der Maßnahmenplanung zur Risikobewältigung bis zum Risikobericht.
Risikoidentifikation
Definition: Das Risikofrühwarnsystem soll die bestandsgefährdenden Risiken für ein Unternehmen (Bestandsgefährdung) so rechtzeitig aufzeigen, dass Reaktionen durch das Management den Fortbestand des Unternehmens noch sichern können.
Ausgangspunkt für die Risikoidentifikation ist eine Risikoinventur auf Basis der betrieblichen Prozesse und Funktionsbereiche auf allen Hierarchiestufen des Unternehmens. Dazu ist eine vorherige Festlegung der risikorelevanten Bereiche in einem Unternehmen erforderlich.
Ergänzend zu einer solchen Darstellung der Risiken nach Unternehmensbereichen und Prozessen (Geschäftsprozesse) ist eine Systematisierung nach Art der Bedrohung sowie nach Beeinflussbarkeit der Risiken erforderlich.
Bewertung: Das insic RMS unterstützt die Risikoinventur durch vorbereitete Risikokataloge für den Bereich der Veranstaltung und Vermittlung von Sportwetten und erlaubt die Zuordnung zu frei definierbaren Funktionsbereichen.
Einzelrisikobewertung
Definition: Zur Bewertung der Einzelrisiken sind Kriterien für eine sachliche Risikoklassifikation nach Gefahrenpotenzial sowie Methoden zur Quantifizierung der Risiken nötig. Dazu ist festzulegen, welche Risiken als Schwerpunktrisiken einzustufen sind und welche Risiken in der Sache vernachlässigt werden können, um auf dieser Grundlage das Risikoportfolio des Unternehmens abzubilden.
Bewertung: Das insic RMS übersetzt die semantischen Einordnung nach Eintrittswahrscheinlichkeit in errechnete Kenngrößen auf Basis von konfigurierbaren Wahrscheinlichkeitswerten und optional einer Bewertung der Risiken in Euro.
Definition: Zur endgültigen Beurteilung, ob ein Risiko bestandsgefährdend werden kann oder nicht, ist eine Quantifizierung des Gefahrenausmaßes nötig. Zur Bewertung des Risikos wird zunächst der Schadenserwartungswert (bewertetes Risiko) ermittelt. Dieser wird als Produkt aus der Höhe des drohenden Vermögensverlustes (Qualitätsdimension) und der Wahrscheinlichkeit des Verlustes (Intensitätsdimension) ermittelt.
Bewertung: Das insic RMS geht von einer grundsätzlich durchschnittlichen Qualitätsdimension der Risiken aus und ermittelt anhand der Intensitätsdimension Schadenserwartungswerte und Risikoindizes für die Analysebereiche der Risiken, Prozesse, Maßnahmen und der externen (Franchise)-Organisation. Zusätzlich wird bei vorhandener monetärer Schätzung der Schadenshöhe das Risikopotential mittels der Eintrittswahrscheinlich mit einem geldwerten Gesamtrisiko ermittelt.
Definition: Da existenzbedrohende Risiken trotz geringer Eintrittswahrscheinlichkeit eine andere Behandlung erfahren müssen als geringe Risiken mit höherer Eintrittswahrscheinlichkeit, müssen je Risiko auch der Höchstschadenswert und die Bandbreite der Eintrittswahrscheinlichkeiten betrachtet und in Abhängigkeit von der übergeordneten Risikostrategie des Unternehmens behandelt werden.
Bewertung: Das insic RMS erlaubt die Kennzeichnung von existenzbedrohenden Risiken unabhängig von der Eintrittswahrscheinlichkeit ohne zu einer Verzerrung der Kenngrößen zu führen. Die Ermittlung des Höchstschadenswertes ergibt sich automatisch aus der Summe der Einzelschadenshöhen pro Risiko ohne Berücksichtigung der Entrittswahrscheinlichkeiten.
Risikokommunikation
Definition: Nach der Identifikation und Einzelbewertung der Risiken ist die Kommunikation zwischen den Risikoverantwortlichen entscheidend für die Funktionsfähigkeit eines Risikomanagementsystems. Es muss sichergestellt sein, dass die bewerteten Risiken in nachweisbarer Form an die zuständigen Entscheidungsträger weitergeleitet werden.
Bewertung: Das insic RMS generiert Berichte nach Funktionsbereich, um die Erkenntnisse den Fachabteilungen selektiv bereitstellen zu können. Die Übermittlung erfolgt durch den Verantwortlichen in der Leitungsebene.
Risikoaggregation
Definition: Da Einzelrisiken sich gegenseitig verstärken können, es zwischen ihnen zu Kompensationseffekten kommen kann oder ein Risiko durchaus Ursache eines anderen Risikos sein kann, sind derartige Abhängigkeiten zu klären und bei der Risikoerfassung und -verarbeitung zu berücksichtigen. Die Notwendigkeit, eine aggregierte Risikenbewertung vornehmen zu müssen, bedeutet für Mutterunternehmen, das RMS auf den Gesamtkonzern auszuweiten.
Bewertung: Das insic RMS gruppiert Risiken zu inhaltlich korrespondierenden Risikogruppen und ermöglicht den selektiven Rollout von Risiken in der eigenen Organisation insbesondere für Veranstalter auf die eigene Franchise-Organisation. Die automatische Auswahl der in der externen Organisation relevanten Risiken, Prozesse und Maßnahmen basiert auf der Bewertung des Veranstalters. Die durch die Außenorganisation bewerteten Risiken werden in eigenen Schadenserwartungswerten und Risikoindizes aggregiert.
Risikobericht
Definition: Die Ergebnisse der Risikoanalyse sind abschließend durch eine Auswertung zusammenzufassen. Es sollten ergänzend auch Vorschläge für Risikoabwehrmaßnahmen, die bereits eingeleiteten Maßnahmen sowie die jeweiligen Zuständigkeiten aufgenommen werden, um einen umfassenden Überblick über die bestehenden und potenziellen Risiken zu bekommen.
Bewertung: Das insic RMS legt besonderen Wert auf die detaillierte Ausführung der in den AuA Glücksspiel formulierten Maßnahmen. Die Maßnahmen werden in der Aggregation den einzelnen Funktionsbereichen zugeordnet und ergeben konkrete ToDo-Listen für jeden Funktionsbereich. Im Ergebnis ergibt sich ein detaillierter Katalog von Risikoabwehrmaßnahmen.
Definition: Dieser Informationspool muss ständig aktualisiert, überwacht und analysiert werden. Zum anderen sollten die Schadenserwartungswerte für Erfolg und Liquidität in den integrierten Unternehmensplanungsprozess einbezogen werden.
Bewertung: Das insic RMS berechnet die Risiko- und Schadenserwartungsindizes für den Veranstalter und die Franchise-Organisation bei Änderungen der Kriterienkataloge und dessen Bewertung in Echtzeit neu und erlaubt einen schnellen Überblick über die Entwicklung der wichtigen Kennzahlen.
Risikobewältigungssystem
Definition: Mithilfe des Risikobewältigungssystems sind die Risiken im Hinblick auf die anzustrebenden Unternehmensziele zu steuern (Risiko- und Chancencontrolling). Im Prinzip kann auf erkannte Risiken mit Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikokompensation geantwortet werden.
Bewertung: Das insic RMS erlaubt die Priorisierung von Risiken, Prozessen und Maßnahmen die bevorzugt zu bearbeiten sind, um den Fokus auf die wesentlichen Aktivitäten zur Risikovermeidung unter der Berücksichtung der Unternehmensziele zu setzen. Nach der Umsetzung der geplanten Maßnahmen zur Risikovermeidung, Risikoverminderung erfolgt eine automatische Neubewertung der Risikokennzahlen.
Risikoüberwachungssystem
Definition: Die Funktionsfähigkeit des Risikofrühwarnsystems sowie des Risikobewältigungssystems ist durch ein angemessenes Überwachungssystem fortlaufend sicherzustellen. Voraussetzung für die Risikoüberwachung ist ein internes Kontrollsystem (IKS) und die Interne Revision, in welche die Risikoüberwachung zu integrieren ist.
Bewertung: Das insic RMS speichert jede Überarbeitung und Neubewertung der Risikokataloge, Prozessbewertungen und Maßnahmenkataloge durch die übergeordnete Leitungsebene und in der Franchise-Aussenorganisation. Für den nach GwG geforderten regelmäßigen Bericht an die Leitungsebene erfolgt die Auswertung und Aggregation nach einer Neubewertung automatisch. Für Controllingzwecke werden somit Fortschrittsberichte, Soll-Ist- und Vorher-Nachher-Analysen mit Auswertungen übergreifend und auf Ebene der Funktionsbereiche mit unterschiedlichen Schnitten möglich.
Quelle des fachlichen Hintergrundes: Controlling-Wiki