Häufig gestellte Fragen

Ja, die Anforderungen beider Normen können über die Software abgebildet werden.

Ja, Neben der Abbildung des Risikomanagementprozesses kann auch ein internes Kontrollsystem abgebildet werden. Dies kann in einem komplett integrierten Prozess stattfinden oder auch in zwei unterschiedlichen Ablauforganisationen (1. RM und 2. IKS). Es ist immer möglich, die Themen getrennt voneinander aber auch integriert zu betrachten

Ja, neben den Risiken können auch Chancen betrachtet und erfasst, bewertet und berichtet werden. Insbesondere Kunden, die simulieren, nutzen die Option des Chancenmanagements, da es im Rahmen der Risikobetrachtung auch Abweichungen der Risiken in den positiven Bereich ergeben können. Natürlich können die Chancen auch isoliert zu den Risiken betrachtet werden.

Ja, in der Anwendung steht eine Monte-Carlo-Simulation zur Verfügung. Dabei können Risiken über eine Monte-Carlo-Simulation aggregiert, eigene Simulationsportfolios zusammengestellt oder die Gesamtrisikolage des Unternehmens oder von Teilbereichen simuliert werden. Dabei werden sowohl mehrjährige Risikobewertungen wie auch (uni- oder bidirektionale positive und negative) Abhängigkeiten zwischen Risiken berücksichtigt. Die Anwendung kann die Risikomaße Value@Risk (VaR) und Conditional Value@Risk (CVaR) für selbst definierbare Konfidenzniveaus ermitteln.

In der Anwendung gibt es Standardberichte wie auch Individualberichte. Die Standardberichte bilden gängige Anforderungen an das Risikomanagement oder Interne Kontrollsystem ab (Riskmap, Risikoinventar, Risikoentwicklung, ISAE 3402 etc.). Neben den Standardberichten besteht die Möglichkeit eigene Berichte zu hinterlegen. Diese sind sowohl bezüglich der Inhalte wie auch des Designs/Layouts komplett individualisierbar.

Die Anwendung verfügt über ein umfassendes und flexibles Berechtigungskonzept. Hierbei können den Benutzern Rollen und Rechte auch Ebene der Entitäten, Stabsstellen und Unternehmensbereiche zugeordnet werden. Zur Verrechtung stehen vielfältige Standardrollen zur Verfügung, die bei Bedarf durch kundenindividuelle Rollen ergänzt werden können.

Die Anwendung verfügt über sehr umfangreiche Bewertungsoptionen. Dies beginnt mit einer qualitativen und/oder quantitativen Bewertungen und den jeweiligen Mischformen daraus, über eine Mehrjahresbewertung, Brutto-/Netto-/Zielsicht, EBIT-/Cash-Auswirkungen bis hin zu Bewertung der Risiken anhand diverser Verteilungsfunktionen oder in einer mehrdimensionalen Sicht (Finanziell, Reputation, Haftung, Umwelt, etc…). Die Nutzung der zur Verfügung stehenden Optionen ist hierbei völlig frei und kann jederzeit ergänzt werden, um die eigenen Risikobewertung weiter zu optimieren und auszubauen. Grundsätzlich passen sich sämtliche Erfassungsmasken den Kundenanforderungen an.

An Maßnahmen können die daraus resultierenden Effekte auf die Eintrittswahrscheinlichkeit und/oder Auswirkung erfasst werden. Diese Effekte können automatisiert mit der Risikobewertung verrechnet werden, um z.B. aus der erfassten Bruttobewertung die Nettobewertung berechnen zu lassen. Diese Maßnahmenverrechnung kann mit allen weiteren Funktionen und Bewertungsoptionen kombiniert werden.

Ja, es besteht die Möglichkeit Schadensereignisse/Indicents mit Eintrittsdatum, Schadenssumme, Risikozuordnung und geographischer Lokation zu erfassen und in einer Übersichtsseite oder in Berichten auszuwerten.

Mitarbeiter, welche Maßnahmen durchführen oder die Durchführung von Kontrollen oder deren Effektivität bestätigen, können alternativ zur Bearbeitung Ihrer Aufgaben in der Anwendung deren Durchführung auch mittels Microsoft Outlook melden. Hierdurch können die Mitarbeiter mit ihrer gewohnten Arbeitsumgebung tätig werden und Schulungsaufwände für diese Mitarbeiter entfallen.

Wir bieten unsere Anwendung R2C_GRC nicht nur On Premises an, also bei Ihnen im System installiert, sondern auch in der Cloud. Unsere GRC-Cloud ist immer online, immer verfügbar und voll skalierbar. So nutzen Sie die volle Funktionalität der R2C-Lösungen zu einem geringen Aufwand. Sicherheit hat dabei oberste Priorität. Auch darum werden alle Daten in einem deutschen Rechenzentrum gehostet: Zertifiziert nach ISO 27001.

Wir übernehmen für Sie die Wartung, den Support und garantieren Ihnen hohe Datensicherheit und zuverlässige Systemverfügbarkeit.

Folgende Anforderungen müssen erfüllt werden:

Die Erfüllung aller gesetzlichen Richtlinien stellt Unternehmen vor eine große Herausforderung. Wir übernehmen diese umfangreiche, aber wichtige Aufgabe für Sie.

Mit der GRC Software R2C_GRC setzen Sie die Anforderungen des IDW PS 340 n.F. fachgerecht um. Die Richtlinien zur Prüfung von Risikofrüherkennungssystemen wurden durch das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) im Prüfungsstandard IDW PS 340 n.F. überarbeitet. Der herausgegebene Prüfungsstandard 340 beinhaltet die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB, das im Risikomanagement sowohl zur Neuidentifikation als auch zur kontinuierlichen Überwachung von Risiken dient.

Die wichtigsten Neuregelungen im Kurzüberblick:

• erweiterte konzernweite Identifikation bestandsgefährdender Entwicklungen auf Basis eines ganzheitlichen Gesamtrisikoinventars
• rechtzeitiges Erkennen von Risiken in einem oder mehreren handlungsorientierten Zeithorizonten
• Bestimmung und fortlaufende Analyse der Risikotragfähigkeit
• Aggregation von Risiken zur Beurteilung der Bestandsgefährdung
• Berücksichtigung von Maßnahmen zur Risikosteuerung bei der Bewertung von „Nettorisiken“
• Einführung des Grundelements der Risikosteuerung in das Risikofrüherkennungssystem
• Konkretisierung der Systemdokumentation zu den Maßnahmen nach § 91 Abs. 2 AktG

Der neue Prüfungsstandard betrifft derzeit börsennotierte Aktiengesellschaften (§ 91 Abs. 2 AktG).

Unsere GRC Softwarelösung unterstützt Sie bei der Umsetzung der Anforderungen des IDW PS 340 n.F.

R2C_GRC liefert mehrere Möglichkeiten, die die Risikoidentifikation unterstützen:

• IDENTIFIKATIONSLISTE: Über die Risikokategorien können Beispielrisiken dargestellt werden.
• SACHVERHALTE: Hier kann eine zentrale Funktion Themen in die Organisation verteilen. Diese werden dann geprüft und können ggf. in ein Risiko umgewandelt werden.
• PFLICHTRISIKEN: In R2C_GRC können Pflichtrisiken mittels der Scoping-Funktion in die Bereiche verteilt werden. Diese müssen dann durch die lokalen Risk-Owner geprüft und bewertet werden.
• FRAGEBOGEN: Die Fragebogen-Funktion ermöglicht es dem Risikomanager eine strukturierte Abfrage zu starten. Diese kann im Anschluss zentral ausgewertet werden.

R2C_GRC unterstützt bei dem frühzeitigen Erkennen von Risiken durch geeignete Instrumente:

• Abbildung mehrerer Zeiträume
• Integriertes Indikatoren-Management
• Integriertes Meldewesen

Die Vorgehensweise, wie die Risikotragfähigkeit bestimmt wird muss klar definiert sein und entsprechend dokumentiert werden. Heranzuziehende Größen sind z.B. das Eigenkapital, EBIT, Liquidität etc. Die Risikotragfähigkeitsberechnung muss fortlaufend überprüft und ggf. angepasst werden.

Bestimmung und fortlaufende Analyse der Risikotragfähigkeit
Bei jedem Mandanten kann das jeweilige Risikodeckungspotenzial hinterlegt werden. Über die integrierte Monte Carlo Simulation kann anschließend die Risikotragfähigkeit berechnet werden. Das Ergebnis kann dann über im System hinterlegte Reports ausgewertet und berichtet werden.

Aggregation von Risiken zur Beurteilung der Bestandsgefährdung
Um eine optimale Transparenz zu erreichen, müssen Risiken aggregiert werden. In R2C_GRC können Risiken über mehrere Hierarchiestufen hinweg verdichtet werden. Neben der manuellen Bewertung und der hinterlegten Standard-Aggregationsformel besteht die Möglichkeit, aggregierte Risiken automatisiert mittels Monte-Carlo-Simulation bewerten zu lassen.

Berücksichtigung von Maßnahmen zur Risikosteuerung bei der Bewertung von „Nettorisiken“
Der IDW PS 340 n.F. fordert eine stärkere Berücksichtigung von Maßnahmen. In R2C_GRC können Maßnahmen mit den geforderten Punkten (Angemessenheit, Wirksamkeit, …) dargestellt werden. Neben den Kosteneffekten können auch Maßnahmeneffekte hinterlegt werden. Diese Effekte werden anschließend herangezogen, um die Nettodarstellung der Risiken aufzuzeigen. Die Nettobewertung kann manuell oder automatisiert berechnet werden.

Einführung des Grundelements der Risikosteuerung in das Risikofrüherkennungssystem
Das integrierte Maßnahmenmanagement ist seit Jahren ein fester Bestandteil von R2C_GRC. Die geforderten Punkte:

• Status
• Angemessenheit
• Wirksamkeit
• Effizienz

können in entsprechenden Feldern dokumentiert und ausgewertet werden. Neben übersichtlichen Dashboards bietet R2C_GRC auch die Möglichkeit, über hinterlegte Workflows eine effiziente Abarbeitung und Nachverfolgung der Maßnahmen sicherzustellen.

Bereiten Sie sich zusammen mit unseren GRC-Experten optimal auf die nächste Prüfung vor - Machen Sie den Readiness Check für IDW PS340 n.F.! Im Rahmen von unserem Readiness Check erfahren Sie, welche dieser Punkte Sie bereits ganz, teilweise oder gar nicht umsetzen und Sie erhalten entsprechend zielführende Umsetzungsempfehlungen.

Bei der Umsetzung der Empfehlungen können wir Sie gerne unterstützen. Alternativ können wir Ihnen einen Maßnahmenplan vorlegen, wie und bis wann Sie die genannten Punkte umsetzen können, damit Sie sich gegenüber den Prüfern positionieren können.