Das Akronym GRC steht für Governance, Risk und Compliance und vereint die Disziplinen Corporate Governance, Risikomanagement und Compliance zu einem integrierten System. Ein Blick auf die einzelnen Disziplinen zeigt recht schnell, dass die einzelnen Bereiche Governance, Risiko Management und Compliance nicht losgelöst voneinander betrachtet werden können: Compliance-Anforderungen umfassen auch Verpflichtungen zum Risikomanagement (siehe beispielsweise § 91 II AktG, §§ 93, 116 AktG oder § 43 GmbHG) und zur Einhaltung von Governance-Anforderungen. Das Risikomanagement befasst sich auch mit der Identifikation, der Bewertung und dem Management von Compliancerisiken. Hier gibt es keinen Unterschied zu finanziellen Risiken, strategischen Risiken oder anderen operativen Risiken. Und Corporate Governance umfasst sowohl Compliance als auch Risikomanagement und bildet quasi den Rahmen. Ein Blick in die Praxis zeigt jedoch, dass in vielen Unternehmen die Themengebiete in separaten und isolierten Organisationseinheiten (völlig ineffizient) verantwortet und gesteuert werden.
Insbesondere für ein mittelständisches Unternehmen stellt sich daher die Frage, ob die Bereiche Governance (gute Unternehmensführung), Risiko und Compliance im Rahmen einer effizienten Unternehmenssteuerung miteinander verknüpft sind, insbesondere das IKS mit Risikomanagement und Compliance. Das von Thomas Henschel und Ilka Heinze geschriebene Buch verfolgt vor allem das Ziel, neueste wissenschaftliche Erkenntnisse in einer praxistauglichen Form zu vermitteln. Dazu wird dem Leser anhand einer durchgehenden Fallstudie rund um die fiktive Top-Serv GmbH der Transfer der theoretischen Grundlagen in die praktische Anwendung erleichtert. Daneben zeigen die Autoren auf der Basis aktueller empirischer Untersuchungen die Umsetzung guter Unternehmensführung bei deutschen KMU auf, um einen Benchmark für die Optimierung der im eigenen Unternehmen vorhandenen Systeme zu ermöglichen.
Inhaltich gehen die Autoren vor allem auf die folgenden Fragestellungen ein:
- Welche gesetzlichen Anforderungen und Richtlinien zu Governance, Risikomanagement und Compliance zu beachten sind,
- wie Sie geeignete Steuerungsinstrumente entwickeln, um kritischen Risiken auch mit knappen Ressourcen zu begegnen,
- wie Sie bereits bestehende Teilsysteme überprüfen und verzahnen können,
- welche Erfahrungen KMU im In- und Ausland dazu bisher gemacht haben und welche Umsetzungsprobleme ihnen dabei typischerweise begegnen.
Das Buch ist in insgesamt 5 Hauptkapitel gegliedert. Einführend werden Begrifflichkeiten definiert und grundlegende gesetzliche Grundlagen kurz skizziert. Im anschließenden zweiten Kapitel wird das Thema Corporate Governance in KMU skizziert. Die Autoren stellen hierbei die in der Literatur und Unternehmenspraxis gebräuchlichen Governance-Systeme mit ihren Stärken und Schwächen vor. In einem weitergefassten Kontext wird Corporate Governance als nachhaltige und gute Unternehmensführung bezeichnet. Dies bedeutet nach Ansicht der Autoren u.a. die Einführung einer wertorientierten Unternehmensführung, damit der Unternehmenserfolg nachhaltig gesteigert werden kann sowie die Veränderung der Organisationsstrukturen um diese nachhaltige Wertsteigerung umzusetzen und schließlich die Gestaltung von anreizkompatiblen Vergütungssystemen (Seite 38).
Anschließend werden der Shareholder- und Stakeholder-Ansatz sowie deren Relevanz für KMU beschrieben. Hierbei bewegen sich die Autoren weitestgehend auf einer theoretischen Ebene. Erst im Kapitel "Rahmenkonzept für Corporate Governance für KMU" skizzieren die Autoren einen möglichen Praxisansatz. Hierbei bilden die Themen "Unternehmensexterne Elemente", "Familiengerichtete Elemente" sowie "Unternehmensinterne Elemente" die tragenden Säulen der Corporate Governance. Bei der ersten Säule (unternehmensexterne Elemente) geht es um die Beziehung der Gesellschafter bzw. Geschäftsführer des Unternehmens zu den externen Anspruchsgruppen (Investoren, Banken, Öffentlichkeit), insbesondere die Gestaltung der Finanzierungsstruktur und die Transparenz gegenüber Kreditgebern. Im Rahmen eines Corporate-Governance-Systems ist außerdem sicherzustellen, dass die gesetzlichen Regelungen sowie interne Standards des Unternehmens eingehalten werden (siehe Compliance Management).
Die zweite Säule (familiengerichtete Elemente) konzentriert sich auf die Familieninteressen und beispielsweise der Nachfolgeplanung. Die dritte Säule (unternehmensinterne Elemente) beschäftigt sich u.a. mit der Führung des Unternehmens anhand langfristiger Ziele und Strategien. Hierfür ist es erforderlich, dass das Unternehmen über professionelle betriebswirtschaftliche Methoden verfügt, um eine sachgerechte Unternehmenssteuerung und -kontrolle durchführen zu können. Eine besondere Relevanz hat hierbei das Management von Chancen und Risiken.
Folgerichtig setzt sich das anschließende dritte Kapitel mit dem Risikomanagement auseinander. Nach einigen grundlegenden (eher theoretischen) Definitionen wird der klassische Prozess des Risikomanagements beschrieben. Die Autoren skizzieren eine Auswahl qualitativer und quantitativer Methoden zur Identifikation und Bewertung von Risiken (Seite 99) und beschreiben den grundsätzlichen Aufbau von Frühwarn-, Früherkennungs- und Frühaufklärungssystemen. Im Kapitel der Risikoidentifikation und -bewertung werden sich – unserer Ansicht nach – viele Leser einen stärkeren Praxisbezug wünschen. Stattdessen verweisen die Autoren in Kapitel 3.3.3 auf die DIN 69905 zur Risikobewertung, nach der eine Quantifizierung von Eintrittswahrscheinlichkeit und Schadenhöhe erforderlich ist. Wäre dies korrekt, müssten alle Risiken mit Hilfe einer so genannten Bernoulli-Verteilung beschrieben werden können. Für eine Vielzahl an Risiken ist dies jedoch nicht möglich, da eine Bewertung beispielsweise nur in Form einer Bandbreite (worst case, realistic case, best case) oder in Form einer symmetrischen Schwankung (Standardabweichung) möglich ist. Übrigens können die von den Autoren erwähnten kumulativen Effekte nur dann methodisch korrekt berücksichtig werden, wenn die Risiken zuvor sauber in Form von geeigneten Verteilungsfunktionen beschrieben werden können. Für mittelständische Unternehmen im Bereich der Produktion würde es sich beispielsweise anbieten, Risiken mit Hilfe der so genannten Compound-Funktion zu beschrieben. Diese setzt sich aus den erwarteten Häufigkeiten (Beispiel: Betriebsunterbrechung wird alle 2 Jahre einmal erwartet, Forderungsausfälle achtmal im Jahr) sowie einem erwarteten Schadenszenario zusammen (beispielsweise worst case: Produktion steht 4 Stunden, best case: Produktion steht lediglich 10 Minuten und realistic case: Produktionsausfall 1 Stunde). Dem Schadenszenario kann beispielsweise eine Dreiecksverteilung oder eine PERT-Verteilung zu Grund liegen.
Der Vorteil einer solchen Vorgehensweise liegt zum einen darin, dass keine Wahrscheinlichkeiten abgeschätzt werden müssen und zum anderen, dass eine Verknüpfung mit der Planung des Unternehmens in Form einer Bandbreitenplanung recht einfach umgesetzt werden kann. Außerdem bedingt eine Aggregation der Chancen und Risiken – um beispielsweise das aggregierte Gesamtrisiko mit der Risikotragfähigkeit in Relation zu setzen – eine korrekte (quantitative) Bewertung der Risiken mit Hilfe von geeigneten Verteilungsfunktionen. Dies hat dann auch direkte Auswirkungen auf die Darstellung der Risiken in Form eines Risikoportfolios. Das klassische Risikoportfolio (Seite 113) unterstellt, dass alle Risiken bernoulliverteilt sind. Die bedeutet, dass ein Risiko mit einer definierten Wahrscheinlichkeit (beispielsweise 23 Prozent) eintritt und exakt einen Schaden in Höhe von beispielsweise 2 Mio. EUR verursacht. Mit einer Gegenwahrscheinlichkeit von 77 Prozent (1-p) tritt kein Schaden ein. Ein Blick in die Praxis zeigt recht schnell, dass diese Beschreibung von Risiken so gut wie nie erfüllt ist. Daher sollten Risiken sinnvollerweise in Form eines Szenarios beschrieben werden. Sollen die Risiken wieder in Form eines Risikoportfolios dargestellt werden, müssen die Achsen "Eintrittswahrscheinlichkeit" und "Schadenhöhe" beispielsweise ersetzt werden mit "Erwartungswert" und "Expected Shortfall" oder Maximalschaden.
Kapitel 4 setzt sich mit dem Compliance Management in KMU auseinander. Zunächst wird der Begriff sowie die Entstehung des Compliance Management vorgestellt. An einem Beispiel wird die Umsetzung eines Compliance-Management-Systems in KMU vorgestellt. Hierbei gehen die Autoren auch auf die Verzahnung mit anderen Teilsystemen, etwa dem Risikomanagement, ein. Unter Compliance Management wird die Gesamtheit aller Maßnahmen zur Sicherstellung des rechtmäßigen Verhaltens eines Unternehmens, seiner Organe sowie der Mitarbeiter im Hinblick auf die gesetzlichen und unternehmenseigenen Gebote und Verbote verstanden. Auf der persönlichen Seite der Geschäftsleitung führt die Nichteinhaltung der entsprechenden Gesetze bzw. Regelungen (Non-Compliance) zu zivil- und strafrechtlichen Konsequenzen für die handelnden Personen. Als Leser habe ich mir hier konkrete Beispiele aus der Praxis des Mittelstands gewünscht, damit das Thema die theoretische Ebene verlässt.
Für die Organisation und Umsetzung eines Compliance Management im Mittelstand bietet der Prüfungsstandard IDW PS 980 eine Orientierungshilfe. Die wesentlichen Elemente dieses Standards werden von den Autoren skizziert. Anschließend werden die Komponenten des ISO-Standards 19600 Compliance-Management-System) beschrieben.
Das abschließende fünfte Kapitel endet mit einem Quick Check zur guten Unternehmensführung. Die Autoren wollen hiermit eine Hilfestellung zur Verbesserung der Unternehmenssteuerungssysteme sowie einer Sicherstellung der guten Unternehmensführung bieten. Hierbei werden Unternehmen in die vier Kategorien Reactor, Defender, Prospector und Analyser "einsortiert". "Reactor"-Unternehmen verhalten sich eher inkonsistent und ohne klare Struktur und Strategie. Die Innovationskraft ist eher gering. "Defender" sind Unternehmen mit einem engen Produkt- bzw. Marktbereich, die keine Notwendigkeit haben, außerhalb ihrer Nische tätig zu werden. Sie versuchen Unternehmenswachstum durch Marktdurchdringung zu erreichen. Der "Prospector" ist auf ständigen Suche nach neuen Geschäftschancen – im Sinne einer Innovationsorientierung des Unternehmens. "Analyser" beobachten den Wettbewerb unter Aufrechterhaltung eines stabilen Produkt- und Kundenkerns. Sie zählen eher zu den Nachahmern. "Analyser"-Unternehmen sind eine Mischung aus Defender (Risikominimierung) und Prospector (Lernen von erfolgreichen Prospector-Unternehmen).
Fazit: Das Buch bietet einen soliden und kompakten Einblick in die Welt von Corporate Governance, Risikomanagement und Compliance Management. Für einen Praxisleitfaden (so der Untertitel des Buches) enthält das Buch zu viel Theorie und zu wenig konkret angewendete Praxis. Bereits die Gliederung in die drei Kapitel Corporate Governance, Risikomanagement und Compliance Management suggeriert, dass es sich um drei unterschiedliche Themengebiete handelt. Gerade in mittelständischen Unternehmen ist es wichtig, dass das Thema komplett integriert umgesetzt wird und vorhandene Methoden (etwa aus dem Qualitätsmanagement oder dem Controlling) als Fundament genutzt werden. So kann beispielsweise das Risikomanagement ideal in den Planungsprozess in Form einer Bandbreitenplanung integriert werden. Auch die wesentlichen Elemente eines Compliance Management könnten hier integriert werden.
Für ein mittelständisches Unternehmen wäre es zudem wichtig, dass verstanden wird, dass persönliche Integrität und eine gelebte Führungsverantwortung unverzichtbar ist und die Basis "guter" Corporate Governance bildet. Alle anderen Systeme bauen hierauf auf. Hierbei sollte jedoch auch beachtet werden, dass die Umsetzung mit Augenmaß erfolgt und Unternehmen auch die "Risiken und Nebenwirkungen" bürokratischer, "verzettelter" und ausufernder Kontrollsysteme auf dem Radar haben. Im Kern geht es um die Balance von "Bürokraten" und "Cowboys" in Form eines wert- und risiko-/chancenorientierten Unternehmers. Risiko- und Compliancemanagement muss vor allem in einer Organisation tagtäglich gelebt werden!