von Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH
E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
Erster Teil des Artikels. Teil 2 und 3 des Beitrages erscheinen in den nächsten Newsletterausgaben.
GRC – Eine Einführung
Die Governance-, Compliance- und Risikomanagement-Landschaft unterliegt einem ständigen Wandel: Zunehmend mehr Gesetze und Richtlinien fordern von Unternehmen Transparenz im Umgang mit Daten sowie die Trennung, Überwachung und Dokumentation von Geschäftsprozessen. Gleichzeitig findet eine Ausweitung der noch für die Papierwelt geschriebenen Gesetze auf die elektronische Welt statt: Die Aufbewahrungs- und Dokumentationspflichten für elektronische Geschäftsunterlagen nehmen zu.
Alle rechtlichen und gesetzlichen Vorgaben der Papierwelt gelten auch in der elektronischen Welt!
Die Anforderungen der IT-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden.
Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben. Die Zusammenführung von Governance, Risikomanagement und Compliance, kurz GRC, ist ein wichtiger Schritt in der Bewältigung dieser Herausforderung.
GRC - die Buchstaben werden auch gern in anderer Reihenfolge kombiniert – bietet dabei einen ganzheitlichen Ansatz, der das Entstehen von Insellösungen verhindert. Die Führung von Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Bewertung von Risiken gehen dabei zunehmend Hand in Hand. Die Abgrenzung der Aufgaben und der unterschiedlichen Auffassungen des Umfanges führen dabei jedoch zu sehr verschiedenen Ansätzen.
Um Klarheit in das Verhältnis der drei zugrundeliegenden Akronymbestandteile von GRC zu bringen, ist es erforderlich sie zunächst einzeln zu definieren.
Begriffsdefinitionen
Governance & Corporate Governance
Der Begriff Governance lässt sich zum Einen von dem französischen Begriff Gouvernance ableiten, der sich mit Herrschaft, Lenkung, Steuerung übersetzen lässt und zum Anderen von dem englischen Begriff für Regierung, Steuerung.
Für den Begriff Corporate Governance gibt es keine deutsche Direktübersetzung. Aus dem lateinischen Wortstamm lässt sich folgendes erkennen: "gubernator" bedeutet: Steuermann, "corporatio" bedeutet: Körperschaft. Wörtlich kann Corporate Governance also mit "körperschaftliche Steuerung" oder " Leitung einer Körperschaft bzw. einer Gesellschaft" übersetzt werden.
Risk Management
Risiko ist das italienische Wort für Wagnis, Gefahr. Risikomanagement umfasst also die Maßnahmen zur Erfassung, Bewertung und Steuerung der Risiken.
Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegt es der Geschäftsführung beziehungsweise dem Vorstand eines Unternehmens, die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen.
Compliance
Der Begriff Compliance kann aus dem Englischen mit Befolgung, Einhaltung oder Erfüllung bestimmter Anforderungen übersetzt werden.
Compliance umfasst die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Compliance bezieht sich dabei sowohl auf die Erfüllung externer rechtlicher Vorgaben als auch auf die Erfüllung interner regulativer Vorgaben.
GRC als ganzheitlicher Ansatz
Wie aus den Definitionen bereits deutlich wird, können die Bereiche Governance, Risiko Management und Compliance nicht losgelöst von einander betrachtet werden: Compliance-Anforderungen beinhalten Verpflichtungen zu Risikomanagement und der Einhaltung von Governance-Richtlinien. Risikomanagement beinhaltet die Bewertung von Compliance-Anforderungen, und Corporate Governance umfasst sowohl Compliance als auch Risiko-Management. Lange jedoch wurden diese Aufgabenkomplexe als einzelne Arbeitsgebiete aufgefasst und auf verschiedene Bereiche und Rollen verteilt sowie in spezifischen Lösungen umgesetzt.
Unter diesen Gesichtspunkten betrachtet ist ein ganzheitlicher Blick auf das Unternehmen gefordert. Die separate Betrachtung von Governance, IT-Governance, Compliance und Information Management Compliance, Risk Management und Quality Management führt nicht zur geforderten Transparenz, Nachvollvollziehbarkeit und Durchgängigkeit. Für die Umsetzung in Prozessen und in der Organisation eines Unternehmens oder einer Verwaltung ist eine ganzheitliche Betrachtung erforderlich, bei der die Governance die Regeln und Richtlinien liefert, das Risiko Management diese bewertet und im Rahmen von Compliance die praktische, operative Umsetzung sichergestellt werden muss.
GRC vereinigt die Disziplinen Corporate Governance, Risikomanagement und Compliance als durchgängiges Vorgehensmodell.
Abgesehen von den Anforderungen aus Dokumentationssicht ist hier auch ein wirtschaftlicher Faktor zu berücksichtigen – Governance, Compliance und Risikomanagement ermöglichen durch die geschaffene Transparenz auch die Einsparung von Kosten und ein wirtschaftlicheres Arbeiten. So können z.B. auch die erheblichen Kosten für die Umsetzung von Governance- und Compliance-Anforderungen ins Positive gewendet werden und zum wirtschaftlichen Erfolg des Unternehmens beitragen.
Corporate Governance
Governance für privatwirtschaftliche Unternehmen wird als Corporate Governance bezeichnet. Corporate Governance umfasst die rechtlichen und institutionellen Rahmenbedingungen, auf nationaler und internationaler Ebene, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben. Der Ursprung für Corporate Governance liegt bereits in den 30er-Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte. Konkret wurde aber der Begriff in England als verbindliche Richtlinie eingeführt. Der Cadbury Report mit dem Titel "Financial Aspects of Corporate Governance" ist der Bericht eines von Adrian Cadbury geleiteten Komitees, das Empfehlungen für die Gestaltung der Board-Besetzung und der Rechnungssysteme erarbeitet hat. Beides soll die Gefahren schlechter Corporate Governance abschwächen. Der Bericht wurde 1992 veröffentlicht und wurde in verschiedenem Ausmaß von der Europäischen Union, den Vereinigten Staaten, der Weltbank und anderen Institutionen bei der Gestaltung eigener Regelwerke übernommen.
Der Begriff Governance bezeichnet Standards beziehungsweise spezielle Rahmenbedingungen für Strukturen und Prozesse der Führung, Verwaltung und Überwachung börsennotierter Unternehmen.
Corporate Governance ist dabei sehr vielschichtig und umfasst sowohl obligatorische als auch freiwillige Maßnahmen für die verantwortungsvolle Unternehmensführung: Compliance mit Gesetzen und Regelwerken, das Befolgen anerkannter Standards und Empfehlungen sowie das Entwickeln und Befolgen eigener Unternehmensleitlinien. Ein weiterer Aspekt der Corporate Governance ist die Entwicklung und Einrichtung von Leitungs- und Kontrollstrukturen.
Eine wesentliche Komponente von Corporate Governance ist die IT-Governance, die auf die Transparenz und Beherrschbarkeit der eingesetzten IT- und Kommunikationsinfrastruktur zielt. Besonders bei der technischen Unterstützung der Governance-Anforde-rungen spielt die IT-Governance eine wichtige Rolle. Für die Umsetzung kommen immer mehr Verfahrensmodelle und Werkzeuge wie COBIT, ITIL und andere in Gebrauch, die Transparenz und Überprüfbarkeit der ITK-Landschaft im Unternehmen ermöglichen sollen. Verbände wie die ISACA schaffen hier ein international gültiges Rahmenwerk, das einheitliche Kriterien und Vergleichbarkeit umsetzt. Jedoch sind die Aufwände für die Umsetzung nicht zu unterschätzen. Letztlich geht es auch hier um die Dokumentation von Lösungen und Prozessen.
Corporate Governance International
Corporate Governance Vorgaben gibt es auf verschiedenen Ebenen. Für die Corporate Governance gelten international die „Principles of Corporate Governance“ der OECD aus dem Jahr 1984, die in 2004 aktualisiert wurden. Auf europäischer Ebene gibt es bisher nur eine lose Organisation. Die Europäische Kommission hat im Jahr 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet, ohne jedoch bisher eine verbindliche Richtlinie herauszugeben.
Jedes Land verfolgt eine etwas andere Strategie. In England liegen die Corporate Governance-Vorgaben als „Reports“ vor (Cadbury Report, 1992; Greenbury Report, 1995; Hampel Report, 1998; Turnbull Report, 2005). In Frankreich ist dagegen Corporate Governance direkt im LSF Loi de Sécurité Financière (2003) verankert. Die Bandbreite schwankt also von expliziten Gesetzen bis hin zu mehr oder weniger unverbindlichen Codes of Best Practice als Selbstverpflichtung. Auch in Deutschland, Österreich und der Schweiz existieren entsprechende Kodizes.
Corporate Governance in Deutschland
2002 hat das Bundesministerium der Justiz den Corporate-Governance-Kodex veröffentlicht. Dieser Kodex wurde am 14.06. 2007 aktualisiert. Ihm liegen verschiedene Unternehmensgesetze und Verordnungen wie KonTraG und UMAG aber auch Handels- und Steuerrecht und Verbraucherschutz zu Grunde.
Der Kodex stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dar und enthält international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung. Der Governance-Kodex soll das deutsche Corporate Governance System transparent und nachvollziehbar machen. Er will das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Gesellschaften fördern.
Der Kodex wird in der Regel einmal jährlich vor dem Hintergrund nationaler und internationaler Entwicklungen überprüft und bei Bedarf angepasst.
Corporate Governance in Österreich
Der Österreichische Corporate Governance Kodex (ÖCGK) ist ein Regelwerk für die verantwortungsvolle Führung und Kontrolle von Unternehmen, das den internationalen Standards entspricht. Es richtet sich vor allem an österreichische, börsennotierte Aktiengesellschaften.
Der ÖCGK wurde am 1. Oktober 2002 der Öffentlichkeit präsentiert und erlangte dadurch seine Gültigkeit. Änderungen erfolgten im Februar 2005 und Januar 2006.
Der Österreichische Corporate Governance Kodex stellt einen wichtigen Baustein für die weitere Entwicklung und Belebung des österreichischen Kapitalmarktes dar. Durch die freiwilligen Selbstregulierungsmaßnahmen wird das Vertrauen der Aktionäre unter anderem durch mehr Transparenz und eine Qualitätsverbesserung im Zusammenwirken zwischen Aufsichtsrat, Vorstand und Aktionären gefördert.
Corporate Governance in der Schweiz
Der Swiss Code of Best Practice (kurz Swiss Code) ist eine Empfehlung aus dem Jahre 2002 des Wirtschafts-Dachverbandes Economiesuisse der Schweiz an alle Aktiengesellschaften bezüglich Corporate Governance. Der Swiss Code of Best Practice richtet sich hauptsächlich an die Unternehmen, die an der Swiss Exchange notiert sind.
Der "Swiss Code" gibt Vorgaben vor allem zu folgenden Bereichen zu Verwaltungsrat und Geschäftsleitung: Aufgaben und Zusammensetzung des Verwaltungsrates, Arbeitsweise und Vorsitz des Verwaltungsrates, Umgang mit Interessenkonflikten und Wissensvorsprüngen, Personalunionen und Doppelsitze, Internes Kontrollsystem, Ausschüsse des Verwaltungsrates, etc.
Risk Management
Entsprechend Corporate Governance und Unternehmensgesetzen ist das auch genau die Aufgabe der für die Geschäftstätigkeit verantwortlichen Personen und Gremien. Diese Verantwortung schließt heute bei Aktiengesellschaften auch den Aufsichtsrat ein.
Risiko-Management bezieht sich jedoch nicht nur auf die Bewertung von Compliance-Anforderungen, sondern vielmehr auf den planvollen Umgang mit allen Risiken, die ein Unternehmen betreffen.
Risk Management ist die systematische Erfassung, Bewertung und Steuerung der unterschiedlichsten Risiken im Unternehmen.
Risiko Management in Deutschland
Risiko Management ist die systematische Erfassung, Bewertung und Steuerung der unterschiedlichsten Risiken. Das Risk Management wird direkt aus der Corporate Governance und verschiedenen Gesetzen abgeleitet. Es ist ein systematisches Verfahren, das in verschiedensten Bereichen Anwendung findet, zum Beispiel bei Unternehmensrisiken, Kreditrisiken, Finanzanlagerisiken, Umweltrisiken, Versicherungstechnischen Risiken, Technische Risiken etc.
Potenzielle Risiken, die die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden könnten, werden zunächst mit Hilfe des proaktiven Risk Managements identifiziert, analysiert und bewertet. Das Ziel besteht in der Sicherung des Fortbestandes eines Unternehmens, der Absicherung der Unternehmensziele gegen störende Ereignisse und in der Steigerung des Unternehmenswertes. Für verschiedene Branchen gelten besondere Risikomanagement-Vorgaben.
Risiko Management in Österreich
In Österreich existieren eine Reihe von Risiko-Management-Vorgaben für die öffentliche Verwaltung und die Privatwirtschaft. Das Österreichische Normungsinstitut (ON) empfiehlt in den im Jahr 2004 veröffentlichten ON-Regeln "Risikomanagement" die Integration des Risikomanagements in ein ganzheitliches Managementsystem. Außerdem ist im österreichischen Corporate Governance Kodex im Abschnitt VI Transparenz und Prüfung entsprechende Vorgaben für das Risikomanagement enthalten.
Risiko Management in der Schweiz
In der Schweiz werden seit dem 01. Januar 2008 mit der Vorschrift des Art. 663b Ziff. 12 im revidierten Obligationenrecht von allen Unternehmen, die einen Anhang zur Jahresrechnung erstellen, Angaben über eine Risikobeurteilung verlangt. Der Verwaltungsrat ist ausdrücklich verpflichtet, eine Risikobeurteilung seiner Unternehmung durchzuführen und diese zu dokumentieren. Bei größeren Gesellschaften ist das Interne Kontrollsystem (IKS) zu dokumentieren. (Kff)
Anm. d. Red.: Teil 2 und 3 erscheinen in den November- und Dezember-Ausgaben des PROJECT CONSULT Newsletter.