+41 41 220 75 00 info@swissgrc.com

Online SWISS GRC DAY 2021 Review

vom 5. Mai 2021, 13 – 17 Uhr, Online

Online SWISS GRC DAY – Ein Nachmittag im Zeichen von GRC

 

Eine besondere Situation erfordert besondere Massnahmen: Die aktuelle Lage beeinflusst dabei nicht nur die Art der Durchführung des SWISS GRC DAY 2021(erstmals als Webinar), sondern auch viele Aspekte in den Bereichen Governance, Risk Management und Compliance (GRC). Grund genug, Überlegungen und Lösungsansätze zu diesen Themen einen Nachmittag lang in den Fokus zu stellen. Die SWISS GRC AG liess am 5. Mai 2021 praxiserfahrene Referentinnen und Referenten mit ihren spannenden Beiträgen zu Prozessen, Krisenmanagement, Whistle Blowing, Risiko- und Compliance-Management zu Wort kommen. Mit dem erfrischenden Referat von Prof. Dr. Stefan Hunziker zum Thema Enterprise Risk Management ging der Online-Anlass, der von TV-Mann Thomas Odermatt souverän moderiert wurde, zu Ende. Er liess die rund 300 Teilnehmenden mit der Gewissheit zurück, dass GRC gerade auch in besonderen Zeiten unabdingbar ist. 

Begrüssung: Thomas Odermatt begrüsst im Namen der SWISS GRC AG das Publikum, das online zugeschaltet ist. Er freut sich sehr über das grosse Interesse an der SWISS GRC AG und den Themen Governance, Risk Management und Compliance.

 

Alexander Hilsbos, Leiter Risk Management, Insel Gruppe, kommt die Ehre zuteil, den online SWISS GRC DAY 2021 mit seinem Referat zum Thema «Der Risk Intake Prozess. Der Prozess, den es nicht gibt.» zu eröffnen. Er geht der Frage nach, warum es echte Risiken nicht auf unseren Radar schaffen, beschreibt Barrieren und Hürden in der Risikoidentifikation und nennt generische Risikosteuerungsstrategien und deren Defizite. Hilsbos kennt Lösungsansätze, um Verzerrungseffekte zu reduzieren und weiss, dass das individuelle Verhalten eines jeden Einzelnen den Risk Intake Prozess beeinflusst.  Er empfiehlt daher, Defizite und Widerstände aktiv anzusprechen, Mitarbeitende zu sensibilisieren und den Risk Intake Process aus dem Geheimen ins Rampenlicht zu stellen. So wird der Risk Intake Prozess zu einem Prozess, den es wirklich gibt.

 

Sandra Greminger, Leiterin BCM und Krisenmanagement, PostFinance AG, erläutert in ihrem Referat die BCM-Umsetzung am Beispiel einer systemrelevanten Bank. Das BCM der PostFinance umfasst alle Aktivitäten, welche die seit 2015 als systemrelevant eingestufte Bank im Falle eines Falles vor grossem oder sogar existenzbedrohendem Schaden bewahren sollen. Die PostFinance hat sich bei der Implementierung des BCM am ISO Standard 22301 orientiert, setzt bei der Umsetzung auf die Good Practice Guidelines des BCI und beweist mit durchdachten Konzepten und einem schlagkräftigen Krisenstab, dass sie BCM sehr ernst nimmt. Neue Herausforderungen – wie etwa das Corona-Ereignis – haben Auswirkungen auf das künftige BCM der PostFinance.

Als Beispiel nennt Sandra Greminger u.a. die Tatsache, dass die Notfall- und Krisenbewältigung um virtuelle und hybride Möglichkeiten ergänzt oder die Governance aufgrund von Homeoffice überdacht werden muss. Nach der Krise ist immer wieder vor der Krise und Bescheidenheit im Krisenmanagement eine Tugend.

 

Cyber Risk & Resilience – Quo Vadis? fragt Axel Sitt, Manager Cyber Security, Risk & Resilience, AWK Group AG und zeichnet mit seinen Ausführungen ein düsteres Bild: 18’000 Schwachstellen werden jährlich rapportiert, 40% der Unternehmen geben an, täglich attackiert zu werden, durchschnittlich vergehen 120 Tage bis eine Schwachstelle gepatcht ist und eine Anleitung zur Herstellung von Ransomware ist im Darknet für 9 Dollar erhältlich. Trotz dieser beunruhigenden Fakten bleiben viele Risk Management-Abteilungen bemerkenswert entspannt und bleiben alten Mustern (Risiken verwalten) treu. Dabei gälte es, den Umgang mit dem Thema Cyber-Risiko generell neu zu überdenken, Soll-Bruchstellen zu definieren («safe to fail»), das Potenzial der Resilienz besser auszuschöpfen und Prozesse, Verfahren etc. zu entflechten. Wenn wir uns – so das Fazit von Axel Sitt – dem Thema nicht stellen und einen Gang zulegen, überholt es uns. Die Frage «quo vadis» würde sich dann erübrigen.

 

Unter dem Titel «Die EU-Hinweisgeberrichtlinie und die Bedeutung für Schweizer Unternehmen» greift Moritz Homann, Managing Director Corporate Compliance, EQS Group, ein Thema auf, das es in der Schweiz auf gesetzlicher Ebene schwer hat, sich aber in vielen Schweizer Unternehmen gleichwohl etabliert hat: Whistle Blowing. Mit der EU-Hinweisgeberrichtlinie verändern sich für Unternehmen in der Schweiz, deren Tochtergesellschaften dem EU-Recht unterliegen oder deren Niederlassungen in der EU mehr als 50 Personen beschäftigen, verschiedene Kernanforderungen. Homann empfiehlt jedoch im Hinblick auf einheitliche Standards, dass Whistleblowing-Prozesse im ganzen Konzern/Unternehmen implementiert werden, obwohl das für Schweizer Whistleblower kein explizierter Schutz nach sich zieht. Weil die Herausforderungen bei der Einführung eines Hinweisgebersystems gross sind, rät der Experte zu etablierten, digitalen Systemen wie sie u.a EQS als EQS Integrity Line anbietet.

 

Bea Katona, Head of Risk Management, Liechtenstein Life Assurance (LLA) AG und Anuschka Küng, CEO, Acons Governance & Audit AG, präsentieren ein erfolgversprechendes Risiko- und Compliance Management nach dem Three-Lines of Defense-Modell. Sie beschreiben die einzelnen Verteidigungslinien und die Zuständigkeiten der LLA AG (1. und 2. Verteidigungslinie) und der Acons AG (3. Verteidigungslinie / Interne Revision) auf. Anhand von Beispielen erläutern Sie den Risikomanagementkreislauf und zeigen bei welchen Schritten im Kreislauf Apps der GRC Toolbox wirkungsvolle Unterstützung anbieten und welche Rolle sie bei der Erfüllung der Fit&Proper-Anforderung spielen. Die Referentinnen richten ihr Augenmerk zudem auf die Wichtigkeit interner Kontrollsysteme, die sich von ihrem Ruf als notwendiges Übel langsam verabschieden und zunehmend als risikoorientiertes, gut handelbares Prozessführungssystem wahrgenommen werden – nicht zuletzt dank softwarebasierter Unterstützung wie z.B. durch die GRC Toolbox.

 

Über Neues aus der Enterprise Risk Management Welt berichtet Prof. Dr. Stefan Hunziker, Head of Competence Center Risk and Compliance Management, Hochschule Luzern (HSLU), President SwissERM. Und er tut dies gewohnt prononciert «Embrace the well-known», mit einer Prise Provokation und kritischen Fragestellungen: Ist Enterprise Risk Management so populär, weil es ein Glaubenssystem geworden ist? Mit lobenswerten Zielen, funktionierenden Zusammenhängen, aber einer beharrlichen Ignoranz von empirischer Evidenz? Ja, sagt Prof. Dr. Hunziker, viele Methoden und Ansätze seien nicht wissenschaftlich gestützt oder funktionierten nachweislich nicht, würden aber trotzdem angewandt. Eine kritische Auseinandersetzung mit ERM sei deshalb notwendig, genauso wie ein neuer Typus Risk Manager, der über Gamer-Skills verfügen sollte, und die Abkehr von der Marke «ERM» zurück zu den Wurzeln von Risk Management.

 

Verabschiedung: Thomas Odermatt beschliesst die Veranstaltung mit einem herzlichen Dankeschön an die Referentinnen und Referenten und grossem Dank ans Publikum für die Teilnahme am SWISS GRC DAY 2021 und die bewiesene Flexibilität.

Auf Wiedersehen am SWISS GRC DAY 2022, am 4. Mai 2022, voraussichtlich und hoffentlich wieder live in Zürich Flughafen.