GRC²+ – die Formel für nachhaltige Sanierung – Teil 1: Einführung und Hintergrund

April 2, 2025
Volker Beissenhirtz

Partner

Zum Profil

“Meistens ist die Krise die Mutter der Veränderung.” – Holger Rathgeber

Seit Jahren steigt die Zahl der Pflichten der Geschäftsleitung, die auf die Durchsetzung einer “guten Unternehmensführung” abzielen. Betrachtet man die Gründe für Unternehmenskrisen und -insolvenzen, zieht sich über die Jahre – wenig verwunderlich – gleichwohl die Rede vom “Managementfehler” wie ein roter Faden durch die zahllosen Untersuchungen zu diesem Thema.

In neuerer Zeit treten Fälle von Mehrfachinsolvenzen hinzu, bei denen Anhaltspunkte für Schwächen in der „Sanierungsführung“ nahe liegend erscheinen. Aber auch Transformationsprojekte scheitern mit schöner Regelmäßigkeit. Das Management versagt häufig nicht erst in der existentiellen Krise des Unternehmens, sondern schon vorher.

Die Rolle von GRC-Systemen in der Unternehmensführung

Die Ausrichtung der Unternehmens- oder Sanierungsgeschäftsführung an etablierten Standards kann Unternehmenskrisen, wenn nicht verhindern, so doch zumindest abmildern und zudem die Basis für die notwendige operative Transformation bilden.

Die Verfolgung eines an der unternehmerischen Entscheidungsfindung ausgerichteten, (modifizierten) Ansatzes der Integration von Governance, Risk & Compliance (GRC)-Systemen eröffnet zudem die Chance zu mehr Effizienz im Vergleich zur Implementierung von Einzelsystemen. Der nachfolgende Beitrag fasst die wesentlichen Betrachtungen eines kürzlich veröffentlichten Artikels des Autors (ZInsO 2025, 191) zu diesem Thema praxisnah zusammen.

Hintergrund

Die häufige Insolvenzursache mangelhafter Unternehmensführung, unzureichender Sanierung oder gescheiterter Transformation ist – bei genauer Betrachtung – vor allem auf die unzureichende Qualität der unternehmerischen Entscheidungsprozesse zurückzuführen.

Dieser Entscheidungsprozess kann wesentlich verbessert werden, wenn die Führungsorganisation entscheidungserhebliche Elemente wie Governance, Risikomanagement und Compliance integriert und nicht als Einzelbestandteile betrachtet. Das Konzept eines GRC (Governance, Risk & Compliance)-Systems versteht sich als die integrierte Sammlung von Fähigkeiten, die eine Organisation in die Lage versetzen, ihre Ziele zuverlässig zu erreichen, Unsicherheiten zu bewältigen und integer zu handeln.

Der entscheidende Aspekt dieses Konzepts liegt in der Integration der drei Disziplinen: Die Corporate Governance stellt den rechtlichen und faktischen Rahmen bereit, der sich an der „Verfassung“ des Unternehmens – also dem Leitbild, der Strategie und den internen Richtlinien – orientiert.

Das Risikomanagement hat die Aufgabe, potenzielle Bedrohungen zu identifizieren, zu analysieren und abzuschwächen, wobei es die wirtschaftlichen Grenzen des unternehmerischen Könnens aufzeigt. Die Compliance wiederum definiert, innerhalb welcher rechtlichen und reputativen Grenzen das Unternehmen operieren darf.

Das hier verfolgte GRC-Konzept greift auf das Controlling zurück und wird durch Kontrollinstanzen wie das Interne Kontrollsystem (IKS) und die Interne Revision (IRS) ergänzt. Wird einer der drei Hauptbereiche überbetont, entsteht ein Ungleichgewicht, das die Qualität der unternehmerischen Entscheidungen negativ beeinflusst. Nur eine ganzheitliche Integration kann dazu beitragen, dass die Unternehmensführung effektiv und effizient innerhalb eines klar definierten Rahmens agiert.

Hier zur Grafik.

Entwicklung der GRC-Disziplinen

Historisch gesehen hat sich die Disziplin der Corporate Governance infolge zahlreicher Skandale, wie dem Fall der Philipp Holzmann AG, entwickelt. Diese Fälle führten zu Reformimpulsen, die in der Einführung von „Soft Law“-Kodizes, insbesondere mit der Etablierung des Deutschen Corporate Governance Kodex (DCGK), ihren Niederschlag fanden.

Das Risikomanagement erfuhr ebenfalls einen Wandel. Bereits im Jahr 1998 verpflichtete das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) größere Aktiengesellschaften zur Einrichtung von Risikofrüherkennungssystemen. Trotz dieser frühen Ansätze wurde in der deutschen Wirtschaft – begünstigt durch stabile wirtschaftliche Rahmenbedingungen und gute Exportfähigkeit – das Bewusstsein für Risiken lange Zeit vernachlässigt.

Erst die durch die Corona-Pandemie verursachten Betriebsunterbrechungen, die gestörten Lieferketten und die Umstellung auf Home-Office führten zu einem Umdenken, sodass auch kleinere und mittlere Unternehmen ein gestärktes Risikobewusstsein entwickelten.

Der Begriff der Compliance hingegen, der ursprünglich aus der Medizin stammt und die Einhaltung ärztlicher Anordnungen beschreibt, fand Ende der 1990er Jahre im Zuge verschiedener Wirtschaftsskandale Eingang in das deutsche Wirtschaftsrecht.

Compliance bedeutet heute weit mehr als das bloße Befolgen von gesetzlichen Vorschriften – es geht darum, eine Unternehmenskultur zu schaffen, in der Rechtskonformität und integratives Handeln als Selbstverständlichkeit gelten. Der DCGK definiert Compliance mittlerweile so, dass der Vorstand für die Einhaltung aller gesetzlichen Bestimmungen sowie der internen Richtlinien verantwortlich ist.

Die gesetzlichen Rahmenbedingungen und Rechtsprechung

Die gesetzlichen Rahmenbedingungen für die Einrichtung der GRC-Einzelkomponenten haben sich seit der ersten Auflage des DCGK im Jahr 2002 verschärft. Im Bereich der Governance wurden die Berichtspflichten des DCGK durch EU-Richtlinien, insbesondere im Bereich Corporate Social Responsibility, wesentlich erweitert.

Die Regelungen des KonTraG wurden durch das StaRUG (2022) und das Finanzmarktintegritätsstärkungsgesetz (FISG, 2021) weiter ausgebaut. Im Bereich Compliance haben einschneidende Ereignisse wie der Siemens-Skandal 2008 und die daraufhin verhängten hohen Bußgelder (etwa im Rahmen der DSGVO) die Notwendigkeit effektiver Compliance-Strukturen deutlich gemacht.

Gesetzliche Grundlagen wie die §§ 30, 130 OWiG und neuere Regelungen, beispielsweise das Lieferkettensorgfaltspflichtengesetz, erhöhen den Druck auf Unternehmen, umfassende Compliance-Systeme zu implementieren.

Auch die Rechtsprechung hat in den vergangenen Jahrzehnten wichtige Impulse geliefert. So bestätigte der Bundesgerichtshof bereits 1997, dass der Vorstand einen weiten Handlungsspielraum besitzt, solange die unternehmerische Entscheidungsfindung innerhalb der gesetzlichen Vorgaben erfolgt.

Gleichzeitig fordern Gerichte, dass Geschäftsführer die wirtschaftliche Lage kontinuierlich überwachen und bei Anzeichen einer Krisenentwicklung frühzeitig geeignete Maßnahmen ergreifen. Fehlende oder unzureichende Risikomanagementsysteme können nicht nur Haftungsrisiken nach sich ziehen, sondern auch den Versicherungsschutz im Rahmen von D&O-Versicherungen gefährden.

Skepsis im Mittelstand und praktische Folgerungen

Dieses Regelungsumfeld wird den typischen deutschen Mittelstand zunächst nicht zur Etablierung von Organisationen und Prozessen zur Verbesserung der unternehmerischen Entscheidungsfindung und -umsetzung bewegen. Denn im häufig eigentümergetriebenen deutschen Mittelstand wird regelmäßig mit der im jeweiligen Unternehmen herrschenden Vertrauenskultur argumentiert, und der Verweis auf Haftungsrisiken wird mit dem Hinweis abgetan, dass man für die laufenden Bankkredite Haus und Hof verpfändet habe und eine Insolvenz sowieso das Ende der “bürgerlichen Existenz” bedeuten würde. Sprich, beim mittelständischen Unternehmer zieht das Argument der Rechtspflicht nur bedingt.

Beim (auch) durch Fremdgeschäftsführer geführten Mittelstand sieht das schon anders aus, denn ohne ein implementiertes GRC-System dürfte es Managern demnächst schwerfallen, sich auf die Business Judgment Rule zu berufen, wie nachfolgend noch gezeigt werden wird. Erst recht werden sich Transformierer, Restrukturierer und Insolvenzverwalter zukünftig schwer tun, einer Haftung beim Scheitern ihrer Projekte zu entgehen, wenn sie nicht den oder die Nachweise über die Implementierung geeigneter Systeme zur Professionalisierung der Entscheidungsfindung im Rahmen der Sanierung des Unternehmens führen können.

Angesichts dieser Argumentationsmuster besteht die Herausforderung darin, den umfangreichen gesetzlichen Vorgaben, den ständig wachsenden Anforderungen der Rechtsprechung und den vielfältigen internationalen sowie nationalen Standards gerecht zu werden – und dabei noch einen Mehrwert zu generieren. Unternehmen, die den nachfolgend näher erläuterten integrativen Ansatz erfolgreich umsetzen, positionieren sich besser für zukünftige Herausforderungen und können durch verbesserte Entscheidungsprozesse und risikoadäquate Maßnahmen ihre langfristige Unternehmensfortführung gewährleisten.

Teil 2: “Mindeststandards eines integrierten GRC-Systems”

Teil 3: “Leitlinien zur Implementierung von GRC in KMU”

Möchten Sie mehr zu diesem Thema erfahren? Kontaktieren Sie Volker oder unser Team für Restrukturierung und Insolvenzen.