Durch GRC-Management regulatorische Anforderungen einhalten, Risiken gezielt steuern und die unternehmerische Leistungsfähigkeit steigern!

  1. Home
  2. Blog
  3. GRC
  4. Blog Post
Veröffentlicht am 09.01.2017

Ein Beitrag von Dr. Stefan Otremba

GRC-Management: Hintergründe & Zielsetzung
Unternehmen sind heute mit immer anspruchsvolleren regulatorischen und gesellschaftlichen Ansprüchen konfrontiert – Anforderungen, deren Entsprechung erwartet wird und bei deren Nichterfüllung drastische Konsequenzen drohen. Diverse Unternehmensskandale in den vergangenen Jahren haben allzu deutlich werden lassen, welche negativen Auswirkungen unzureichende Risikomanagement- und Compliance-Systeme für die Rechtssicherheit, die operative Leistungsfähigkeit und die Reputation von Unternehmen haben können:

  • Die Deutsche Bank leidet seit Jahren unter einer Vielzahl an juristischen Auseinandersetzungen und hohen Strafzahlungen aufgrund schlechter Beratung, Sanktionsverstößen und Manipulationsskandalen.
  • Der ehemalige deutsche Vorzeigekonzern Siemens musste seine gesamte Führungsmannschaft austauschen, nachdem systematische und langjährige Korruptionspraktiken bekannt geworden waren.
  • Der VW-Konzern ist gerade dabei, die notwendigen Finanzmittel für die so wichtigen Zukunftsinvestitionen in kostspieligen Strafprozessen und Schadenersatzklagen zu stecken.

Sind dies alles bedauerliche Einzelfälle in einer ansonsten integren Wirtschaftswelt? Oder stehen diese Fälle beispielhaft für eine Wirtschaft, der es immer schwerer fällt, zwischen Recht und Unrecht zu unterscheiden?

Fakt ist, dass die Sensibilität der Medienöffentlichkeit für unlautere Geschäftspraktiken in den vergangenen 20 Jahren zugenommen hat. Und dies hat zwei Entwicklungen begünstigt.

  • Zum einen wurde infolge öffentlichkeitswirksamer Unternehmensskandale die Regulierung durch den Gesetzgeber verschärft: Demnach sind Unternehmen heute mehr denn je zur Transparenz, zur Einrichtung stabilitätsfördernder Prozesse und zur Compliance verpflichtet.
  • Zum anderen werden Verfehlungen durch Unternehmen und deren gesetzliche Vertreter heute intensiver in den (Online-)Medien diskutiert – mit entsprechenden Auswirkungen für die Reputation der betroffenen Unternehmen.

Vor diesem Hintergrund sind Unternehmen – zumal, wenn sie kapitalmarktorientiert agieren und in der Öffentlichkeit stehen – heute mehr als jemals zuvor aufgefordert, professionelle Mechanismen zu etablieren, um Skandale welcher Art auch immer zu vermeiden und integre Geschäftspraktiken systematisch sicherzustellen.

Dieser nur allzu verständlichen Forderung steht eine Entwicklung entgegen, die Unternehmen nicht weniger umtreibt: Der globale Wettbewerb zwingt Unternehmen heutzutage, immer effizienter zu agieren, Unnötiges zu eliminieren und nicht auf die Wertschöpfung abzielende Prozesse zu verschlanken. Die typischen Governance-Funktionen Interne Revision, Risiko- und Compliance-Management geraten so immer mehr unter Druck, während sie gleichzeitig immer wichtiger werden. In diesem Dilemma bedarf es neuer, innovativer Lösungen.

Wer rechtliche, finanzielle und Reputationsschäden vermeiden und gleichzeitig die leistungswirtschaftlichen unternehmerischen Zielsetzungen nicht aus dem Blick verlieren will, kommt um ein integriertes GRC-Management heute nicht mehr herum. GRC steht für Governance, Risikomanagement und Compliance. Im Kern geht es dabei um zwei Perspektiven:

  • Durch die enge Verknüpfung der Governance-Funktionen untereinander sollen Synergiepotenziale genutzt und negative (Rechts-)Folgen vermieden werden.
  • Durch die Integration dieser Funktionen in das operative Geschäft soll gleichzeitig das operative Geschäft entlastet und die unternehmerische Leistungsfähigkeit gestärkt werden.

Kurzum: Wer GRC-Management konsequent betreibt, stellt die Erfüllung der regulatorischen Anforderungen sicher und steigert die operative und strategische Leistungsfähigkeit im Unternehmen.

GRC-Management: Umsetzung in der Praxis
Um ein GRC-Management umsetzen zu können, bedarf es genauer Kenntnisse der relevanten GRC-Funktionen. Hierzu gehören Risikomanagement (inkl. IKS), Compliance und Interne Revision sowie ggf. weitere Unternehmensbereiche, die auf die Governance von Unternehmen einzahlen. Darüber hinaus bedarf es aber auch praktischer Erfahrungen sowie profunder Kenntnisse des Geschäftsmodells des spezifischen Unternehmens. Nur wenn beides miteinander kombiniert wird, kann sich das volle Potenzial eines integrierten GRC-Managements entfalten.

Welche Schritte im Einzelnen unternommen werden müssen, um ein ganzheitliches GRC-Management in Organisationen zu etablieren, lässt sich mithilfe des GRC-Rahmenwerks veranschaulichen. In dieser strukturgebenden Gliederung des GRC-Managements werden dessen acht Dimensionen identifiziert, in ihrem jeweiligen Leistungsbeitrag charakterisiert und miteinander in Beziehung gesetzt. Im Folgenden werden die acht GRC-Dimensionen kurz beschrieben:

  1. Die Corporate Governance ist die erste GRC-Dimension eines jeden Unternehmens. Damit wird verdeutlicht, dass die Mechanismen der Unternehmensführung und -kontrolle Ausgangs- und Bezugspunkt des GRC-Managements gleichermaßen sind.
  2. Mit der GRC-Strategie werden Ziele, Akteure und relevante Prozesse des GRC-Managements benannt und für den spezifischen Kontext eines Unternehmens definiert.
  3. Das GRC-Risk Assessment dient der systematischen Identifikation und Bewertung von GRC-Risiken im Unternehmen. Es ist der erste Schritt in der als Regelkreis zu verstehenden GRC-Ablauforganisation.
  4. Auf dieser Grundlage erfolgt die risiko- und bedarfsorientierte Steuerung der identifizierten Risiken in der GRC-Programmumsetzung.
  5. Das GRC-Monitoring dient der Bewertung der Wirksamkeit der initiierten Maßnahmen und der Eruierung von Verbesserungspotenzialen. Es beschließt den ablauforganisatorischen GRC-Regelkreis.
  6. Die GRC-Organisation befasst sich mit der Aufbauorganisation des GRC-Managements, den Rollen und Verantwortlichkeiten sowie dem Zusammenwirken der relevanten Funktionen.
  7. Die GRC-Technologie nimmt die informationstechnologischen Rahmenbedingungen in den Blick und ist als prozessbegleitende Dimension zu verstehen.
  8. Schließlich dient die achte Dimension, die GRC-Kommunikation, dazu, die Bedeutung einer konsequenten Sensibilisierung und Schulung von Mitarbeitern – sowohl bei der Etablierung eines GRC-Managements als auch in kontinuierlicher Weise – zu verdeutlichen.

Die acht Dimensionen des GRC-Rahmenwerks dienen der Orientierung im Gesamtkontext und erleichtern die sukzessive Umsetzung in der Unternehmenspraxis. Gleichzeitig wird deutlich, dass GRC-Management ganzheitliches Denken voraussetzt: Nur die konsequente horizontale und vertikale Integration entlang aller Dimensionen des GRC-Rahmenwerks vermag es, die Ziele der GRC-Strategie zu erreichen und damit dessen volles Potenzial zu entfalten.

GRC-Management, Dr. Stefan Otremba

Was diese Anregungen konkret bedeuten, wie sie umgesetzt und mit Leben gefüllt werden können, habe ich in meinem Buch „GRC-Management als interdisziplinäre Corporate Governance“ im Detail ausgeführt.  Wenn Sie mehr über das Buch und das in ihm entwickelte GRC-Rahmenwerk erfahren möchten, besuchen Sie mich auf meiner Homepage. Hier erfahren Sie Wissenswertes zu den Hintergründen, zum Nutzen und zu den einzelnen Schritten der Umsetzung eines integrierten GRC-Managements in Ihrem Unternehmen.

Erfahren Sie mehr unter: http://www.grc-management.de/

GRC Management, Dr. S. Otremba

 

Dr. Stefan Otremba leitet bei einem weltweit tätigen Automobilkonzern die
Compliance Operations und die globale Geldwäschebekämpfung. Darüber
hinaus ist er für das operative und strategische Compliance Management zur
konzernweiten Einhaltung von Sanktions- und Anti-Terrorverordnungen
zuständig und verantwortet den Aufbau eines nichtfinanziellen
Risikomanagements im Konzern.