Nach den bisherigen Ausführungen zu den Mindeststandards eines integrierten GRC-Systems (Governance, Risk & Compliance) sollen mittelständische Unternehmer und Geschäftsführer nun abschließend einige übergreifende Gedankenanstöße für den effektiven und effizienten Aufbau eines solchen Systems erhalten.
GRC als strategischer Rahmen für Unternehmen
Der „GRC-Dreiklang“ dient als Rahmen zur Dokumentation der Unternehmenskultur und -strategie. Ein GRC-System kann jedoch nur wirksam sein, wenn das Unternehmensziel klar definiert ist. Die Entwicklung der Unternehmensstrategie und die Implementierung von Compliance- und Risikomanagement stehen in einem wechselseitigen Verhältnis.
Eine wettbewerbsfähige Strategie muss rechtliche und wirtschaftliche Rahmenbedingungen berücksichtigen, während sich das Risikomanagement und die Compliance-Strategie wiederum an den strategischen Unternehmenszielen orientieren.
Um eine ziellose Navigation im GRC-Bereich zu vermeiden, sollte aus der Unternehmensplanung heraus ein GRC-Rahmenwerk entwickelt werden, das bestehende Komponenten iterativ integriert. Während einige Vorgaben durch gesetzliche Anforderungen vorgegeben sind, sollten weitere Ziele auf Branchenstandards, unternehmenskulturelle Faktoren und Best Practices ausgerichtet werden.
Die Unternehmenskultur beeinflusst die GRC-Architektur maßgeblich: Je nach Organisationskultur („High-trust“ oder „Low-trust“) kann ein GRC-System unterschiedlich ausgestaltet sein. Zusätzlich lassen sich CSR- und ESG-Ziele integrieren, sodass sich eine „GRC-Ziel-Pyramide“ ergibt, die sich von den Mindestanforderungen bis hin zu freiwilligen Best Practices erstreckt.
Die Rolle bestehender Strukturen und Prozesse
Die wenigsten Unternehmen beginnen bei null. Viele haben bereits bestehende Prozesse und Strukturen, die sich in ein integriertes GRC-System überführen lassen. Datenschutz, Liquiditätsplanung oder Arbeitsschutz sind oft bereits etabliert und sollten in die GRC-Strategie eingebunden werden. Diese bestehenden „GRC-Inseln“ sollten in der Analysephase identifiziert und systematisch zusammengeführt werden.
Die Unternehmensplanung bildet die Basis für jede Risikoanalyse. Eine integrierte Risikoanalyse dient als Fundament für das gesamte GRC²-System. Da sowohl das Compliance- als auch das Risikomanagement auf einer Risikoanalyse beruhen, können hier Synergien genutzt werden. Viele Fragen überschneiden sich und betreffen die Corporate Governance, sodass sich eine einheitliche Analyse zur besseren Steuerung der GRC-Prozesse anbietet.
Vom pragmatischen Start zum stabilen GRC-System
Ein GRC-System sollte pragmatisch starten, um schnell erste Erfolge zu erzielen. Im ersten Zyklus durchläuft das System erstmals den Regelkreis und erreicht ein Basisniveau, das den rechtlichen Mindestanforderungen genügt. Mit jedem weiteren Zyklus werden Schwachstellen behoben, sodass sich das System allmählich stabilisiert und optimiert. Nach mehreren Iterationen entsteht ein „eingeschwungenes“ GRC-System, das effizient funktioniert und sich kontinuierlich an veränderte Rahmenbedingungen anpasst.
Ein zentraler Erfolgsfaktor dabei ist die Unternehmenskultur. Vertrauen wird über lange Zeit aufgebaut, kann aber in kurzer Zeit verloren gehen. Daher muss jede GRC-Planung auch die Vertrauenskultur innerhalb des Unternehmens berücksichtigen. Dies ist besonders im Mittelstand entscheidend, wo persönliche Beziehungen und eine hohe Identifikation mit dem Unternehmen eine größere Rolle spielen als in Konzernen.
Governance, Kontrolle und Sanktionen als Erfolgsfaktoren
Die Qualität eines GRC-Systems hängt maßgeblich von den Menschen ab, die es umsetzen. Corporate Governance spielt daher eine entscheidende Rolle. Eine ausgewogene Besetzung von GRC-Positionen sowie Kontrollinstanzen wie Beiräte, Aufsichtsräte oder externe Compliance-Beauftragte sorgt für eine Balance in der Unternehmensführung. Besonders in Krisensituationen tragen starke Aufsichtsorgane dazu bei, Stabilität zu gewährleisten.
Vertrauen ist gut, Kontrolle bleibt jedoch unerlässlich. Auch in vertrauensbasierten mittelständischen Unternehmen sind Kontrollmechanismen erforderlich, um regulatorische Anforderungen zu erfüllen. Das Interne Kontrollsystem (IKS) ist dabei ein essenzieller Bestandteil. In welcher Form diese Kontrolle über das Vier-Augen-Prinzip hinausgeht, hängt von den individuellen Unternehmensstrukturen ab. Es empfiehlt sich jedoch, IKS und interne Revision frühzeitig in das Governance-System zu integrieren.
Regelverstöße müssen sanktioniert werden, damit neue Vorgaben nachhaltig in die Unternehmenskultur integriert werden. Ein gestaffelter Sanktionskatalog für Compliance-Verstöße stellt sicher, dass Konsequenzen verhältnismäßig bleiben. Neben den rechtlichen Haftungsnormen für Geschäftsleiter sollten Anreize zur Implementierung und Einhaltung von GRC-Strukturen geschaffen werden, da positive Anreize oft effektiver wirken als Sanktionen. Gleichzeitig muss zwischen Konsequenzen und Sanktionen unterschieden werden, um eine übermäßige Bestrafung zu vermeiden und die Vertrauenskultur nicht zu gefährden.
Effizienz, Akzeptanz und kontinuierliche Verbesserung
Eine erfolgreiche Digitalisierung erfordert eine vorherige Standardisierung der Prozesse. Die „Kunst des Weglassens“ sollte als Leitprinzip gelten, um ineffiziente Abläufe zu vermeiden. Zudem müssen Regeln für die Überwachung digitaler Systeme und Prozesse festgelegt werden.
Ein GRC-System ist nur so stark wie seine schwächste Komponente. Fehlendes Bewusstsein der Mitarbeiter kann dessen Wirksamkeit gefährden. Regelmäßige Kommunikation und Schulungen sind daher essenziell, um die Maßnahmen und Zielsetzungen transparent zu vermitteln. Schulungen sollten fest im GRC-Regelkreis verankert werden.
Sobald sich das GRC-System stabilisiert hat, sollte der Fokus auf Vereinfachung gelegt werden. Regelungen und Prozesse sollten regelmäßig überprüft und gegebenenfalls verschlankt werden, um unnötige Komplexität zu vermeiden.
Ein GRC-System wird nur dann langfristig akzeptiert, wenn es einen nachweisbaren Nutzen für das Unternehmen bringt. Daher sollten Unternehmen GRC-relevante Key Performance Indicators (KPIs) definieren, die sich idealerweise in betriebswirtschaftlichen Kennzahlen wie der Ertragslage widerspiegeln. Eine Quantifizierung des Mehrwerts eines Compliance-Management-Systems kann dazu beitragen, dessen Akzeptanz und Wirksamkeit zu erhöhen.
Die Untersuchung verdeutlicht, dass trotz häufig auftretender Managementfehler im deutschen Mittelstand der Aufbau adäquater Governance-Systeme bislang zu zögerlich erfolgt. Das GRC²+-Modell bietet einen integrierten Rahmen, der Governance, Risiko- und Compliance-Management miteinander verknüpft und so einer Silobildung entgegenwirkt. Ein effektives GRC-System muss entscheidungsorientiert sein, einen messbaren Mehrwert liefern und kontinuierlich an die sich wandelnden Unternehmensprozesse angepasst werden.
Besonders in Krisen- und Sanierungssituationen wird der Nachweis einer funktionierenden, integrierten GRC-Architektur zunehmend als Voraussetzung für die Entlastung der Geschäftsführung angesehen. Unternehmen, die diese Systeme bereits etabliert haben, können ihre Wettbewerbsfähigkeit nachhaltig sichern und sich besser gegen unternehmerische Risiken absichern. Die Implementierung erfordert dabei nicht nur strukturelle Anpassungen, sondern auch einen kulturellen Wandel und kontinuierliche Schulung aller Beteiligten, um langfristig die Effizienz und Effektivität der unternehmerischen Entscheidungsprozesse zu gewährleisten.
Ohne die Implementierung eines integrierten Governance-Systems dürfte es Geschäftsleitern, Sanierern und Insolvenzverwaltern in Zukunft schwerfallen, sich auf die business judgement rule zu berufen.
Teil 1: “Einführung und Hintergrund“
Teil 2: “Mindeststandards eines integrierten GRC-Systems”
Möchten Sie mehr zu diesem Thema erfahren? Kontaktieren Sie Volker oder unser Team für Restrukturierung und Insolvenzen.