Governance, Risk & Compliance (GRC): Mittelstand immer stärker in der Pflicht

PrintMailRate-it
zuletzt aktualisiert am 10. Januar 2018
 
Die regulatorischen Entwicklungen in den letzten Jahren erhöhen den Druck auf mittelständische und auch inhabergeführte Unternehmen, die gestiegenen rechtlichen und organisatorischen Anforde­rungen in den Bereichen „guter” Unternehmensführung und -überwachung, Risiko­manage­ment und Compliance durch die Einführung, Erweiterung (auch Formalisierung) ihrer internen Prozesse und organisatorischer Maßnahmen gerecht zu werden. Ein ganzheitliches kostenoptimales Risiko- und Compliance-Management erfordert, dass alle Prozesse zur Steuerung von Risiken im Unternehmen verknüpft werden. Konzeptionelle Grundlagen bieten das „Internal Control – Integrated Framework” des „Committee of Sponsoring Organizations of the Treadway Commission (COSO-ERM)” vom März 2016 und der in 2014 veröffentlichte ISO 31000. Sie bilden eine wertvolle Hilfestellung, wenn es um die Umsetzung eines systematischen Ansatzes oder um das Sollkonzept für die Prüfung und damit Überwachung der Governance Risk & Compliance Management Systeme geht.

 

 

Verantwortlichkeit der Unternehmensleitung

Die Unternehmensleitung – Vorstand oder Geschäftsführung – „…haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden” bzw. „… in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.” Sind damit die Regelungen des Aktiengesetzes und des GmbH-Gesetzes weiterhin ausreichend für die ordnungsgemäße, transparente und sichere Führung eines mittelständischen Unternehmens?

 

Die darüber hinausgehenden regulatorischen Entwicklungen in den letzten Jahren bei den rechtlichen und organisatorischen Anforderungen an mittelständische, auch inhabergeführte Unternehmen in den Bereichen „guter” Unternehmensführung und -überwachung, Risikomanagement und Compliance scheinen das Gegenteil zu belegen. Diese Anforderungen sind derart gestiegen, dass sie ohne einen strukturierten und kostenintensiven Prozess nicht mehr effektiv und rechtssicher erfüllt werden können.

 

Nicht nur die Erfüllung der zwingenden rechtlichen Anforderungen, die zu den verpflichtenden Aufgaben der Unternehmensleitung zählen, gehören zu einem ganzheitlichen, integrierten Governance, Risk & Compliance Management Prozess, sondern auch die freiwilligen Aufgaben der Geschäftsleitung zur transparenten Sicherstellung der Vermögens- und Ertragslage.

 

Ganzheitlicher Ansatz


Die Aufgaben und Ziele des ganzheitlichen Risiko- und Compliance-Management umfassen die transparente Darstellung von Risiken im Unternehmen, die Erfüllung von Rechten und Pflichten (Compliance) ohne Ausnahmen und die Einbeziehung der laufenden Ergebnisse in den unternehmerischen Entscheidungs­prozess. Die Aufbau- und Ablauforganisation des Risiko- und Compliance-Management ist dabei soweit wie möglich in das Interne Kontrollsystem einzubeziehen und zu verknüpfen.

 

Dabei sollen sich die Unternehmen die folgenden Fragen stellen:
  • Sind die Bereiche Governance (gute Unternehmensführung), Risiko und Compliance im Rahmen einer effizienten Unternehmenssteuerung miteinander verknüpft, insbesondere das IKS mit Risikomanagement und Compliance?
  • Ist der Unternehmensleitung bekannt, mit welchem Risiko (Risk Exposure) das geplante Unternehmensergebnis erwirtschaftet wird?
  • Kennt die Unternehmensleitung die Risikotragfähigkeit (Welches Risiko kann das Unternehmen tragen) und den „Risikoappetit” des Unternehmens (Welches Risiko soll das Unternehmen tragen)?

 

Konzeptioneller Rahmen

Zwar sind konzeptionelle Grundlagen und Standards für effektive Governance Risk & Compliance Manage­ment Systeme im Mittelstand namentlich wenig bekannt. Nichtsdestotrotz sind diese Konzepte weit verbreitet. Sowohl das „Internal Control – Integrated Framework” des „Committee of Sponsoring Organizations of the Treadway Commission (COSO)”, dass zuletzt im Juni 2016 unter dem Titel „Enterprise Risk Management, Aligning Risk with Strategy and Performance” (COSO-ERM 2016) geschärft wurde, als auch der in 2014 veröffentlichte ISO 31000 bilden wertvolle Hilfestellung, wenn es um die Umsetzung eines systematischen Ansatzes oder um das Sollkonzept für die Prüfung und damit Überwachung der Governance Risk & Compliance Management Systeme geht.

 

Im März 2017 wurden vom Institut der Wirtschaftsprüfer (IDW) die Prüfungsstandards PS 981, PS 982 und PS 983 verabschiedet. Die Standards folgen dem IDW PS 980 aus dem Jahr 2011 und ergänzen bzw. vervollständigen die Reihe der Standards, die sich mit der Prüfung der GRC-Systeme befassen. Da alle Standards in ihren Anwendungshinweisen Erläuterungen zu den Anforderungen, mithin zu den Sollkon­zepten der Prüfungsgegenstände enthalten, bilden sie eine hervorragende Grundlage für die Ausgestaltung der Governance Risk & Compliance Management Systeme, ihrer Grundelemente sowie der Mindestanfor­derungen an die einzurichtenden Maßnahmen, der Dokumentation ihrer Durchführung, der Berichterstattung und ihrer Überwachung.

 

Nur durch die sinnvolle Verknüpfung dieser Führungs- und Steuerungselemente wird es gelingen, einen transparenten und kostenoptimalen Prozess zu implementieren, um v.a. Doppelarbeiten zu vermieden und Kostenreduzierungen zu erreichen. Für Aktiengesellschaften ist die Einführung des Risiko- und Compliance Management gesetzlich vorgeschrieben, für mittelständische Unternehmen besteht die Verpflichtung über die Vorgaben sich wie ein gewissenhafter Geschäftsleiter, Kaufmann o.ä. zu verhalten.

 

Überwachung des Systems

Die freiwillige Prüfung des Compliance Management Systems, des Risikomanagementsystems, des Internen Kontrollsystems und des Internen Revisionssystems unterstützt die Leitungs- und Aufsichtsorgane bei der Erfüllung der allgemeinen Sorgfaltspflichten; die Einhaltung gesetzlicher Bestimmungen kann so sicher­gestellt und Strafen oder gar die persönliche Haftung von Organmitgliedern können vermieden werden. Die Prüfung der Governance Risk & Compliance Management Systeme ist kein unnötiger Bürokratismus, sondern eine geeignete Hilfestellung für eine nachhaltige Unternehmensführung.

Kontakt

Contact Person Picture

Prof. Dr. Peter Bömelburg

Diplom-Kaufmann, Wirtschaftsprüfer, Steuerberater

Geschäftsführender Partner

+49 911 9193 2100

Anfrage senden

Profil

Contact Person Picture

Steffen Freytag

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 2220

Anfrage senden

Deutschland Weltweit Search Menu