GRC²+ – Die Formel für nachhaltige Sanierung – Teil 2: Mindeststandards eines integrierten GRC-Systems

April 2, 2025
Volker Beissenhirtz

Partner

Zum Profil

Einleitung

Im Folgenden sollen zunächst die Mindeststandards eines integrierten GRC-Systems (Governance, Risk und Compliance) dargestellt und anschließend praktische Hinweise zur Implementierung insbesondere für mittelständische Unternehmen (KMU) gegeben werden.

Als konzeptionelle Grundlage für die erforderlichen Strukturen und Prozesse zur unternehmerischen Entscheidungsfindung und -durchsetzung bietet sich ein (modifizierter) „GRC“-Ansatz an, der die wesentlichen (Grenz-)Bereiche der unternehmerischen Tätigkeit abdeckt.

Dieser integrierte Ansatz sollte zudem die in Umfragen identifizierte Schwachstelle bisheriger Bestrebungen zumindest mindern – nämlich in Bezug auf die eingesetzten Ressourcen einen messbaren Mehrwert für das Unternehmen generieren.

Auch aus Kosten-Nutzen-Erwägungen heraus sollte die Geschäftsleitung konzeptionell eine „GRC-Ziel-Pyramide“ entwickeln, die zunächst die zu erfüllenden Mindeststandards erfasst. In späteren Zyklen können darauf weitere Komponenten wie branchenweite Standards („Best Practices“) oder Soft Law der Corporate Social Responsibility nach Bedarf aufgesetzt werden.

Corporate Governance: Der Ordnungsrahmen der Unternehmensführung

Der Ordnungsrahmen der „Good Corporate Governance“ besteht aus der Gesamtheit relevanter Gesetze, Richtlinien, Kodizes, Absichtserklärungen, Unternehmensleitbilder und Gewohnheiten der Unternehmensleitung und -überwachung. Er wird maßgeblich durch den Gesetzgeber und die Eigentümer bestimmt.

Die konkrete Ausgestaltung dieses Rahmens obliegt den Aufsichtsorganen und der Unternehmensführung. Neben der Unternehmensverfassung – also dem Gesellschaftsvertrag bzw. der Satzung – treten die strategischen und operativen Dokumente, die die Entwicklung und Zielrichtung des Unternehmens festlegen.

Aus dieser Dokumentation müssen sich die Unternehmensorganisation (Geschäftsleitung, Aufsichtsorgane, Abteilungsstrukturen etc.) sowie grundlegende Unternehmensprozesse ableiten lassen. Dies sollte idealerweise in grafischen Darstellungen oder Organigrammen festgehalten werden. Zusammen mit den abgeleiteten Geschäftsordnungen bilden sie die verschriftlichte Grundlage der Governance im Unternehmen.

Wie die nachfolgend skizzierten Systeme des Risiko- und Compliance-Managements folgt auch die Governance einem Kreislauf. Das bedeutet, dass die Organisation und Dokumentation regelmäßig überprüft und gegebenenfalls angepasst werden müssen.

Risikomanagement: Gesetzliche Anforderungen und bewährte Standards

Die gesetzlichen Regelungen enthalten keine konkreten Vorgaben für die Ausgestaltung eines Risikomanagement-Systems (RMS), ebenso wenig wie die bisherige Rechtsprechung. Internationale und nationale Standards übersteigen regelmäßig die Anforderungen an mittelständische Unternehmen. Dennoch können diese Standards als Orientierung bei der Planung eines RMS hilfreich sein.

Eine grundsätzliche Mindestanforderung an ein gesetzeskonformes RMS stellt eine integrierte, rollierende Finanzplanung dar. Diese sollte eine monatsbasierte Liquiditätsplanung für mindestens 24 Monate umfassen. Damit wird gleichzeitig der Anwendungsbereich der drohenden Zahlungsunfähigkeit nach § 18 InsO abgedeckt. Ergänzend sollten die vom Bundesministerium der Justiz (BMJ) veröffentlichten „Informationen zu Frühwarnsystemen“ gemäß § 101 StaRUG berücksichtigt werden.

Solche Planungen werden regelmäßig im Rahmen eines Controlling-Prozesses erstellt. Daher bildet das Controlling einen essenziellen Bestandteil des GRC-Systems. Bestimmte, vorab festgelegte Unternehmenskennzahlen – wie die Eigenkapitalquote oder Liquiditätskennziffern – dienen als „Frühwarnsystem“ für Risiken.

Das RMS ist zudem ein wichtiger Bestandteil der Strategieentwicklung. Im Rahmen der gängigen SWOT-Analyse werden die aus der Risikoanalyse resultierenden Chancen („Opportunities“) und Risiken („Threats“) ausgewertet und entsprechende Maßnahmen zur Steuerung abgeleitet.

Compliance-Management: Strukturelle Mindestanforderungen

Die konkrete Ausgestaltung eines Compliance-Management-Systems (CMS) unterliegt – ähnlich wie Governance und Risikomanagement – keinen gesetzlichen Vorgaben. Nach der sogenannten „Neubürger-Entscheidung“ des LG München spielt die Unternehmensgröße eine wesentliche Rolle bei der Gestaltung eines CMS, ebenso wie das Geschäftsfeld und der Tätigkeitsbereich.

Daher gibt es keine inhaltlichen Mindestvorgaben, wie es sie beispielsweise für die Liquiditätsplanung im Risikomanagement gibt. Die strukturellen Mindestanforderungen an ein CMS lassen sich jedoch aus etablierten Standards ableiten. Hierzu gehören insbesondere:

  • Der IDW PS 980 als Basis für die Planung und Implementierung eines CMS
  • Das DICO-Arbeitspapier A12 („Compliance-Baukasten für den Mittelstand“) als Hilfestellung zur Identifikation compliance-relevanter Themen

Die Praxis zeigt, dass sich Unternehmen nicht der Auseinandersetzung mit zentralen Themen wie Steuern, Arbeitsrecht und Datenschutz entziehen können. Diese Themen müssen im Rahmen der Compliance-Risikoanalyse durch die Unternehmensleitung identifiziert und in das CMS integriert werden.

Integration der Einzelsysteme in „GRC²+“

Das GRC-Rahmenwerk definiert sich über einen Regelkreis aus:

  1. Risikostrategie
  2. Risikoidentifikation
  3. Risikobewertung
  4. Risikosteuerung

Dieser Regelkreis wird durch gegenseitige Überprüfung ergänzt: Die Compliance-Abteilung kontrolliert die Gesetzeskonformität des RMS, während die Risikoabteilung die durch das CMS aufgezeigten Risiken bewertet.

Neben der inhaltlichen Integration müssen auch organisatorische Aspekte berücksichtigt werden. Unternehmen können dabei aus verschiedenen Modellen wählen, darunter:

  • „House of Corporate Governance“
  • „Three-Lines-Model“
  • COSO-ERM-Ansatz

Für mittelständische Unternehmen bietet sich eine modifizierte Struktur an, bei der das Controlling als Fundament dient und Schnittstellen zum Internen Kontrollsystem (IKS) und zur Internen Revision (IR) geschaffen werden.

Während das IKS systematisch Regeln zur Einhaltung von Richtlinien und Schadensabwehr implementiert, bewertet die IR unabhängig die Wirksamkeit des Risikomanagements und der Kontrollprozesse. Eine zu enge Verknüpfung von Risikomanagement und IR gilt dabei als problematisch, weshalb im Three-Lines-Model diese Funktionen getrennt sind.

Das hier vorgestellte „GRC²+“-Modell integriert Controlling, IKS und IR in einen entscheidungsorientierten GRC-Regelkreis, um eine effektive und ganzheitliche Unternehmenssteuerung zu gewährleisten.

Hier zur Grafik “The House of Corporate Governance“.

Teil 1: Einführung und Hintergrund

Teil 3: “Leitlinien zur Implementierung von GRC in KMU”

Möchten Sie mehr zu diesem Thema erfahren? Kontaktieren Sie Volker oder unser Team für Restrukturierung und Insolvenzen.