Im August 2016 ist der GRC-Universalstandard für Compliance des Internationalen Instituts für Governance, Management, Risk & Compliance erschienen. 2018 erschienen weitere Universalstandards (für ein Integriertes Personal-Managementsystem, Risiko-Managementsystem, Einkaufs-Managementsystem, etc.) und für ein Integriertes GRC-Managementsystem „on demand“. 3GRC sprach mit den Autoren Prof. Dr. Josef Scherer und Staatsanwalt GL Klaus Fruth über Notwendigkeit und Inhalt eines solchen Standards.
3GRC: Welche Gründe haben dazu geführt, dass Sie sich mit der Entwicklung eines umfassenden GRC-Standards befassen, der die bereits existierenden Standards diverser Organisationen (ISO/IDW/etc.) auf diesem Feld berücksichtigt?
Im Laufe der vergangenen Jahre beschäftigten wir uns viel mit den verschiedenen Standards für Managementsysteme. Dabei stellten wir fest, dass die diversen Standards jeweils in circa 30 Komponenten aufgegliedert werden können. Komponenten können dabei Umfeldanalyse, Dokumentation, Ressourcen, Prozesse, etc. sein.
Auffallend war, dass mindestens 70 % der Anforderungen das Gleiche zu beinhalten schienen. Gegenüberstellungen von Auszügen aus den verschiedenen Standards bestätigten diese Vermutung, sodass wir zu dem Schluss kamen, dass einzelne Komponenten und Bestandteile dieser Standards vielfach verwendbar sind.
Am Beispiel der „Interested Parties-Analyse“ bedeutet dies: Eine Interested-Parties-Analyse wird von Standards wie der ISO 19600:2014, der ISO 37001:2016 oder auch der ISO 9001:2015 und noch vielen weiteren Standards (COSO/IDW/ DIIR/etc.) gefordert. Um Redundanzen und Verschwendung von Ressourcen zu vermeiden, empfiehlt es sich, lediglich eine einzige angemessene Interested-Parties-Analyse durchzuführen und diese auf die einzelnen Standards bzw. „Managementsystem-Inseln“ anzuwenden bzw. dafür zu verwenden.
Weitere Überlegungen brachten uns auf die Idee, dass es noch eine praktischere Lösung gäbe – die Verschmelzung vieler Standards, die in großen Teilen das Gleiche fordern, zu einem einzigen Universal-Standard.
3GRC: Ist es denn tatsächlich möglich, allen oder mehreren GRC-Standards gerecht zu werden und somit Doppelarbeit und Mehraufwand zu vermeiden?
Ja, unsere Beobachtungen zeigten, dass die diversen Standards und Managementsystem-Inseln (QM, Risk, Compliance, IKS, Umwelt, Nachhaltigkeit, Informationssicherheit, Datenschutz, Tax-Compliance, etc.) in großen Teilen das Gleiche fordern, was eben Doppelarbeit und Mehraufwand mit sich bringt – wie das oben genannte Beispiel der Interested Parties Analyse deutlich macht.
Der Universal-Standard schafft es, die Anforderungen der einzelnen Standards zu bündeln und dabei Redundanzen zu vermeiden.
3GRC: Welche Bedeutung haben Governance-, Risiko- und Compliance-Managementsysteme mittlerweile für die Unternehmen?
Governance bedeutet eine ordnungsgemäße Unternehmensführung und -überwachung. Unternehmen, Manager und Mitarbeiter werden allerdings bei ihrer täglichen Arbeit ständig mit neuen Heraus- und Anforderungen konfrontiert, unter anderem deshalb, weil es derzeit nahezu für jedes (Prozess-) Themenfeld eines Unternehmens Standards von ISO/DIN/ COSO/IDW/DIIR/etc. gibt – so auch für Governance-, Risiko- und Compliance-Managementsysteme. Für Compliance sind derzeit beispielsweise ISO 19600, ISO 37001, IDW PS 980, COSO I und natürlich auch der Universal-Standard geläufig.
Jedoch: Es lohnt sich, sich diesen Herausforderungen zu stellen und beispielsweise ein Compliance-Managementsystem aufzubauen und zertifizieren zu lassen. Denn erst im vergangenen Jahr 2017 gab es die erste Entscheidung des Bundesgerichtshofs, nach der ein Compliance-Managementsystem eine enthaftende Wirkung haben kann.
3GRC: Wie kann ein umfassender GRC-Universalstandard die GRC-Verantwortlichen eines Unternehmens in ihrer täglichen Arbeit unterstützen?
Ein Integriertes Managementsystem hilft vor allem, ein Unternehmen erfolgreich in die anspruchsvolle Zukunft mit Digitalisierung, Globalisierung, Regulierung und Fachkräftemangel zu führen und Ziele zu erreichen: Das Integrierte GRC-Managementsystem schafft Struktur und Transparenz. Über Workflows und z.T. automatisierte Prozessabläufe werden Manager und Mitarbeiter geführt, das Richtige richtig zu tun.
3GRC: Können Sie kurz Aufbau und Systematik des GRC-Universalstandards beschreiben?
Am einfachsten verdeutlicht die nachfolgende Graphik den Aufbau und die Systematik des Universalstandards:
3GRC: Welche Zielgruppe sprechen Sie mit Ihrem Werk an?
Der Universal-Standard richtet sich an Manager (Geschäftsführer/Vorstände/Aufsichtsräte/Gesellschafter) und die verantwortlichen Führungskräfte bzw. (Sonder-) Beauftragten, wie zum Beispiel den Compliance-, Risiko-, IKS-, Datenschutz-, Informationssicherheits-, Revisions-, etc.-Beauftragten.
3GRC: Ist der GRC-Universalstandard im Buchhandel erhältlich…
Im 2018 erschienenen „Handbuch: Integriertes Managementsystem (IMS) „on demand“ mit Governance, Risk und Compliance (GRC) (erhältlich über Homepage des GMRC) ist der Universalstandard bereits mit abgedruckt.
3GRC: … und gibt es ihn auch in elektronischer Form?
Der Universal-Standard ist bereits in elektronischer Form erhältlich und steht auf https://www.gmrc.de/index.php/zertifizierung/universalstandard zum kostenlosen Download bereit.
Über die Autoren
Prof. Dr. Josef Scherer, Rechtsanwalt
Dr. jur. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf (THD) sowie Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk & Compliance (GMRC) der THD. Das GMRC ist die führende Hochschuleinrichtung und das Kompetenzzentrum rund um die Kernfragen der ordnungsgemäßen Unternehmensführung und -überwachung. Seine Forschungs- und Tätigkeitsschwerpunkte liegen auf den Gebieten Managerhaftung, Governance-, Compliance- und Risikomanagement sowie Vertrags-, Produkthaftungs-, Sanierungs- und Insolvenzrecht.
Neben seiner Tätigkeit in der Wissenschaft ist er zudem Seniorpartner der auf Wirtschaftsrecht und Governance, Risiko- und Compliancemanagement (GRC) spezialisierten Kanzlei Prof. Dr. Scherer, Dr. Rieger & Mittag Partnerschaft mbB und agiert unter anderem als Richter in Schiedsgerichtsverfahren.
Prof. Dr. Scherer ist außerdem auf dem Gebiet angewandte Forschung und Lösungen / Tools im Bereich GRC, Digitalisierung und integrierte Workflow-Managementsysteme Gesellschafter-Geschäftsführer der GRC-Process Solutions GmbH und der Governance-Solutions GmbH.
Klaus Fruth, Staatsanwalt als Gruppenleiter, ehem. Vorsitzender des Schöffengerichts
Klaus Fruth ist Lehrbeauftragter an der Technischen Hochschule Deggendorf (THD) u.a. für Governance und Compliance, Produkthaftungsrecht, Unternehmensrecht und Geschäftsführer- Compliance und Leiter des Bereichs “Praxis” des GMRC.
Seine Interessenschwerpunkte liegen im Bereich von Technik / Healthcare und Governance, Compliance, des Managerstrafrechts und des Wirtschaftsstrafrechts.
Zusammen mit Prof. Dr. Scherer und dem Weiterbildungsinstitut der THD konzipierte er den weiterbildenden Zertifikatslehrgang „Governance, Risk und Compliance“.