Von der Theorie zur Praxis: Wie Integrated Assurance Unternehmen heute widerstandsfähig für morgen macht
In einer zunehmend komplexen und volatilen Welt stehen Unternehmen vor nie da gewesenen Herausforderungen. Zumindest wenn sie nicht nur kurzfristig leistungsfähig bleiben, sondern auch langfristig widerstandsfähig gegenüber Krisen, Störungen und Unsicherheiten werden wollen.
Während in manchen Unternehmen heute noch Assurance Funktionen wie Compliance, Risikomanagement, Interne Revision, Datenschutz, Nachhaltigkeit und IT-Sicherheit isoliert um Aufmerksamkeit, Budgets und die Deutungshoheit über das, was „gute Unternehmensführung“ bedeutet, streiten, haben andere längst erkannt: Integrated Assurance ist das Gebot der Stunde. Es geht dabei um nichts weniger als das Fundament für die Absicherung und Zukunftsfähigkeit des Unternehmens. Doch was steckt eigentlich hinter dem Begriff?
Im Folgenden zeigen wir auf, was man unter Integrated Assurance versteht, welche Ziele wir mit unserem ganz eigenen Beratungsansatz verfolgen, und warum es wichtiger denn je ist, heute die Weichen für morgen zu stellen.
Integrated Assurance in der Unternehmensrealität: meist noch ein Flickenteppich
In vielen Unternehmen herrscht derzeit ein Wildwuchs verschiedener Assurance Funktionen. Jede Funktion prüft für sich, mit eigenen Methoden, eigenen KPIs und eigenen Berichtswegen. Das Ergebnis ist ein Flickenteppich aus Einzelrisiken, Prüfplänen und Maßnahmenkatalogen, der mehr Fragen aufwirft als er beantwortet.
Besonders kritisch wird es, wenn sich diese Fragmentierung in den Vorstand hinein fortsetzt. Wenn dem CFO andere Risikobewertungen vorliegen als dem General Counsel; wenn der CCO keine Kenntnis davon hat, welche Ergebnisse die Interne Revision im letzten IT Security-Audit dokumentiert hat; oder wenn der CEO auf Basis widersprüchlicher Informationen strategische Entscheidungen treffen muss.
In einer Zeit, in der Unternehmen zunehmend in Echtzeit reagieren müssen – auf geopolitische Krisen, regulatorische Schocks oder Reputationsrisiken – ist das ein untragbarer Zustand.
Integrated Assurance (dt. etwa: integrierte Absicherung) bezeichnet einen ganzheitlichen, koordinierten Ansatz zur Steuerung, Überwachung und Bewertung von Risiken, Kontrollen und Compliance-Anforderungen innerhalb eines Unternehmens. Anstatt verschiedene Abteilungen wie Interne Revision, Risikomanagement, oder Compliance isoliert voneinander arbeiten zu lassen, bündelt Integrated Assurance die Aktivitäten dieser Funktionen, um Doppelarbeit zu vermeiden und eine konsistente Sicht auf Risiken und Kontrollen zu ermöglichen.
Langfristigen Unternehmenserfolg sichern durch Integrated Assurance, auch in der Krise
Der strategische Führungsansatz „Integrated Assurance“ stimmt die vielen vorhandenen Kontroll-, Prüf- und Überwachungsfunktionen im Unternehmen systematisch aufeinander ab. Folgende Ziele stehen dabei im Fokus:
- Verbesserung der Transparenz über unternehmensweite Risiken und Kontrollmaßnahmen
- Ermöglichung einer konsolidierten und verlässlichen Sicht auf die tatsächliche Risikolage des Unternehmens
- Steigerung der Effizienz durch Vermeidung redundanter Prüfungen
- Förderung einer kohärenten Governance- und Risikokultur
- Sicherstellung der systematischen Identifikation, Bewertung und Umgang mit relevanten Risiken
In der Unternehmenspraxis bedeutet Integrated Assurance konkret, dass der CFO weiß, ob die Risiken aus der Lieferkette mit den ESG-Zielen vereinbar sind, der CCO erkennt, ob die Compliance-Risiken aus dem Vertrieb auch im Audit-Plan berücksichtigt wurden, und der CEO sich darauf verlassen kann, dass die Berichte aus den Linienfunktionen nicht nur vollständig, sondern auch widerspruchsfrei sind.
Globalisierung, Technologisierung und Regulierung verlangen nach neuen Ansätzen
Die regulatorische Komplexität nimmt rasant zu – und mit ihr die Gefahr, dass Unternehmen den Überblick verlieren. Ob Lieferkettensorgfaltspflichtengesetz (LkSG), EU-Omnibus Paket, Entwaldungsverordnung (EUDR), KI-Regulierung (AI-Act) oder die extraterritoriale Durchsetzung von internationalen Antikorruptionsgesetzen: Die Anforderungen sind nicht nur zahlreicher, sondern auch widersprüchlicher geworden; und zum Teil mit bestehenden Organisationen nicht mehr zu stemmen.
In der Praxis bedeutet das: Während die Compliance-Abteilung noch mit der rechtskonformen Implementierung eines neuen Hinweisgeber- bzw. Beschwerdesystems kämpft, plant die Revision längst ein Sonderaudit zu ESG-Risiken – ohne zu wissen, dass der Nachhaltigkeitsbeauftragte gerade ein externes Assessment beauftragt hat. Drei Prüfungen, ein Thema, keine Koordination.
Integrated Assurance ist die Antwort auf genau diese Fragmentierung. Es geht nicht um mehr Kontrolle, sondern um effektivere Kontrolle. Nicht um neue Prozesse, sondern um die intelligente Verknüpfung bestehender Strukturen. Und vor allem: um Vertrauen. Wer sich nicht auf seine Assurance-Funktionen verlassen kann, verliert nicht nur regulatorisch, sondern auch strategisch. Denn nur durch integrierte Berichterstattung und Analysen entsteht ein konsistentes Bild über Risiken, Schwachstellen und Abhängigkeiten – essenziell für die Krisenprävention. Und nur eine integrierte Assurance-Struktur verhindert parallele Prüfprozesse und erlaubt die gezielte Allokation von Ressourcen – gerade in Krisenzeiten ein entscheidender Wettbewerbsvorteil.
Der besondere Ansatz von Pohlmann & Company – interdisziplinär und praxisnah
Pohlmann & Company verfolgt einen einzigartigen interdisziplinären und gleichzeitig praxisnahen Ansatz zur Umsetzung von Integrated Assurance. Unser Ziel ist es nicht, ein weiteres Kontrollsystem oder neues Managementkonzept zu etablieren, sondern die bestehenden Funktionen so zu orchestrieren, dass sie gemeinsam wirken – wie ein gut eingespieltes Ensemble.
Die schaffen wir gemeinsam mit unseren Mandantinnen und Mandanten insbesondere durch:
- Assurance Mapping: Wir analysieren, welche Funktionen welche Risiken prüfen – und wo es Lücken oder Überschneidungen gibt. Dabei brechen wir Silos auf und institutionalisieren geschickt die Zusammenarbeit von Risikomanagement, Interner Revision, Compliance und operativen Einheiten durch Plattformen, Prozesse und regelmäßigen Austausch.
- Governance Alignment: Wir schaffen klare Verantwortlichkeiten, Mandate, abgestimmte Berichts- und Kommunikationswege und ein gemeinsames Verständnis von Risiken und Kontrollen. Denn nur klare Governance-Strukturen und abgestimmte Kontrollmechanismen ermöglichen es Unternehmen, in Ausnahmesituationen schnell zu reagieren, ohne wertvolle Zeit durch Koordinationsprobleme zu verlieren.
- Digitale Integration: Wir unterstützen bei der Auswahl und Implementierung von Tools, die eine konsolidierte Sicht auf Risiken, Maßnahmen und Prüfungen ermöglichen. Digitale Lösungen wie GRC-Software, automatisierte Dashboards und KI-gestützte Risikoanalysen schaffen Transparenz und Entscheidungsgrundlagen in Echtzeit.
- Kulturarbeit: Integrated Assurance ist nicht nur ein Strukturthema, sondern auch eine Frage der Haltung. Wir fördern eine Kultur der Zusammenarbeit, Transparenz und Verantwortungsübernahme. Dabei sind z.B. ‚Lessons Learned‘ und kontinuierliche Verbesserung essenzieller Bestandteil.
Unsere Erfahrung zeigt: Integrated Assurance funktioniert nur, wenn sie einen festen Platz in der Unternehmensstrategie und der Aufbauorganisation hat und vom Top-Management getragen wird. Wenn der CEO nicht nur fragt, ob „alles compliant“ ist, sondern ob die Assurance-Funktionen miteinander sprechen und abgestimmt sind, der CFO nicht nur auf die Zahlen schaut, sondern auch die Risiken dahinter im Blick hat und der CCO nicht nur Regeln setzt, sondern Brücken baut – zur Internen Revision, Rechtsabteilung, Risikomanagement und IT-Sicherheit.
„Wo Management, Mitarbeitende und Stakeholder auf belastbare Assurance-Prozesse vertrauen können, entsteht eine resiliente Kultur des Miteinanders und der Eigenverantwortung, die auch Krisen übersteht.“
Julia Kahlenberg, Partner
Was bedeutet das für Ihre Branche?
In der Automobilindustrie etwa stehen Unternehmen vor der Herausforderung, regulatorische Anforderungen entlang komplexer Lieferketten zu erfüllen – von CO₂-Zielen bis hin zur Überprüfung der Einhaltung von Menschenrechten entlang der gesamten Lieferkette: Ohne integrierte Assurance-Strukturen drohen Doppelprüfungen, blinde Flecken und Haftungsrisiken.
Im Energiesektor wiederum sind ESG-Risiken, Cybersecurity (NIS2) und regulatorische Compliance eng miteinander verwoben: Wer hier nicht integriert denkt, verliert nicht nur Effizienz, sondern auch Glaubwürdigkeit gegenüber Investoren und Aufsichtsbehörden.
Und in der Pharma- oder Telekommunikationsbranche, wo Innovationstempo und Regulierungsdichte gleichermaßen hoch sind, ist Integrated Assurance der Schlüssel, um Risiken frühzeitig zu erkennen – und regulatorische Erwartungen proaktiv zu erfüllen.
Fazit: Wer integriert, führt besser
„Integrated Assurance ist niemals Selbstzweck. Es geht nicht darum, ein neues Schlagwort in die Governance-Debatte einzuführen, sondern darum, Unternehmen resilienter, agiler und verlässlicher zu machen – in einer Welt, die immer weniger planbar ist und in der die Teilnahme am Wirtschaftsleben immer komplexere Risiken birgt.“
Christian Beer, Partner
Die zentrale Frage lautet also nicht: „Können wir uns Integrated Assurance leisten?“ Sondern: „Können wir es uns leisten, darauf zu verzichten?“ In einer Welt, die von Unsicherheit geprägt ist, kann nachhaltiger Unternehmenserfolg nur durch Integration sichergestellt werden.
Pohlmann & Company begleitet Unternehmen auf diesem Weg – mit juristischer Expertise, strategischem Weitblick und einem tiefen Verständnis für die Realität in regulierten und technologiegetriebenen Branchen.
Wer heute integriert denkt, hat morgen die besseren Antworten!