Im GRC-Nirvana

Compliance Management

Ist der GRC-Ansatz lediglich ein von Beratern getriebenes Thema, also ein „Schein-Issue“? Oder brauche ich das unbedingt in meinem Unternehmen und weiß es nur noch nicht?

Als Compliance Officer kommt man da schon ins Grübeln, wo doch alle um einen herum über GRC sprechen. Immerhin weiß jeder, wie man GRC dechiffriert – Governance Risk and Compliance. Aber eben weil alle darüber reden, würde keiner zugeben, dass er eigentlich gar nicht weiß, was genau sich hinter einem GRC-Ansatz verbirgt. Bittet man einen Berater, den GRC-Ansatz zu erklären, dann läuft man Gefahr, dass man Esoterisches zu hören bekommt, wo oft die Wörter „Ganzheitlichkeit“, „Nachhaltigkeit“, „Miteinander“ und „kommunizieren“ vorkommen.

Was genau ist ein GRC-Ansatz?

Wir werden versuchen, dem GRC-Mythos auf den Grund zu gehen. Zunächst ein paar Definitionen: „GRC ist Bestandteil der Unternehmenssteuerung, des Managements und der Unternehmenskultur“, sagt Jörg Tüllner, Partner im Bereich Governance, Risk & Compliance und Automotive Lead Consulting bei PwC. Florian Maciuca, Manager Governance & Assurance Services bei KPMG, erklärt den Begriff mit: „Ablauf- und gegebenenfalls aufbauorganisatorische Bündelung von Corporate Governance-Funktionen im Unternehmen, um insbesondere die Synergien zwischen den Funktionsbereichen Risikomanagement, Compliance-Management, Internes Kontrollsystem (IKS) und schließlich der Internen Revision, zu heben und Interdependenzen zu identifizieren.“ Und Andreas Herzig, Partner Enterprise Risk Services bei Deloitte, definiert es so: „GRC ist eine umfassende Beratung des Managements im Unternehmen, um Compliance, Risikomanagement und das interne Kontrollsystem (IKS) aufeinander abzustimmen und zu integrieren.“ Vielleicht sollte man GRC lieber nicht definieren lassen? Denn das allein trägt nicht unbedingt zum besseren Verständnis des GRC-Ansatzes bei. Will man aber verstehen, wie das Ganze funktioniert, muss man sich schon im Detail alles genauer anschauen.

Es gibt kein einheitliches Verständnis darüber, was ein GRC ist. Die überwiegende Mehrheit der Literatur, die von GRC handelt, stammt von Beratern und GRC-IT-Lösungsanbietern. Ein erster Hinweis darauf, dass das Thema vielleicht doch eher von Beratern getrieben ist. Auch gibt es nicht den einen wahren GRC-Ansatz. Da verhält es sich ähnlich dem CMS: Auch hier gibt es nicht den einen wahren CMS-Ansatz, weil eben jeder Compliance Officer seinem Unternehmen das passende CMS auf den Leib schneidert.

Zumindest Grundkriterien scheint man identifizieren zu können, damit man die Struktur als voll integrierte GRC bezeichnen kann: Es wird eine GRC-Einheit gegründet, in der das Compliance- und Risikomanagement sowie das Interne Kontrollsystem (IKS) zusammengefasst sind. Und zwar so zusammengefasst, dass die Grenzen zwischen den vormals eigenständigen Abteilungen fließend sind, um Synergien zu heben. Auch darf es, wenn es richtig gemacht ist, zwischen diesen drei Bereichen keine Hierarchie geben: Also, weder wird Compliance dem Risikomanagement untergeordnet noch umgekehrt Risikomanagement dem Compliance-Management. Genau die Diskussion, die in der Vergangenheit zu diesem Punkt der Hierarchieverhältnisse geführt wurde, hat in der Compliance-Gemeinde für Verwirrung gesorgt – „Wer wird jetzt wohin untergehakt?“. Hier ist die Antwort: Niemand wird zu einer Unterabteilung von einer anderen Abteilung degradiert. Denn würde man zwischen die drei eine Hierarchie ziehen, würde das der GRC-Philosophie widersprechen, wonach Zusammenarbeit und Informationsaustausch im Mittelpunkt stehen. Und zusammen arbeiten und einen Wert auf den Austausch legen kann man nur auf Augenhöhe. Alles andere ist Anweisungen befolgen und Befehle entgegen nehmen. Es darf also weder Abgrenzungen noch Rangordnungen geben. Der Leiter der GRC-Abteilung hat dann die Gesamtverantwortlichkeit für die Bereiche, die in der GRC-Einheit zusammengefasst sind.

Um jedenfalls zu diesem GRC-Olymp einer voll integrierten Struktur zu kommen muss ein Unternehmen mehrere fließend in einander übergehende und langsam ansteigende Phasen durchlaufen: Der Ausgangspunkt ist eine vollständig getrennte Struktur, in der das Risikomanagement, das Compliance-Management und IKS getrennt voneinander in einer Abteilung existieren. Dann folgt eine fließende Phase der Harmonisierung der in der GRC-Einheit zusammengefassten Funktionen, bis man schließlich irgendwann in einem GRC-Nirvana angekommen ist – einem voll integrierten GRC-Modell, in dem es keine Risiko- oder Compliance-Abteilung mehr gibt und auch kein IKS. Diese drei interagieren miteinander, die Informationen fließen ungehindert und alles spricht mit einer Sprache – so zumindest das Bild, das die GRC-Propheten davon zeichnen.

Der PwC-Berater Jörg Tüllner strukturiert den Reifegrad der Integration in mehrere aufeinander aufbauende Stufen: „Stufe 1 ist die informatorische Integration, also die Schaffung eines einheitlichen Risikoverständnisses und -universums. Stufe 2 ist die methodisch-prozessuale Integration, zum Beispiel die Schaffung eines einheitlichen Regelprozesses. Stufe 3 ist die technische Integration, welche zum Beispiel auf die Einführung eines einheitlichen Erfassungs- und Erhebungstools fokussiert. Und schließlich beinhaltet die Stufe 4 eine organisatorische Integration oder die Schaffung einer integrierten GRC-Abteilung.“

Aber eigentlich bleibt es jedem Unternehmen selbst überlassen, ob und durch welche Stufen es bis zur vollen Integration gehen will. Es ist so gedacht, dass diese GRC-Einheit eine bestimmte Funktion einnehmen soll: „Die GRC-Abteilung ist dazu da, unternehmensweite Risiken, einschließlich Compliance Risiken, zu identifizieren und mit adäquaten, Risiko minimierenden Steuerungsmaßnahmen zu begegnen. Deswegen sollte es unter anderem einheitliche Gremien zur Diskussion und Entscheidungsfindung geben“, so Florian Maciuca von KPMG.

Im Zusammenhang mit GRC hört man oft das Wort „Integration“. Doch was heißt es hier eigentlich? Was oder wer wird integriert? „Integration bei GRC heißt, dass die Informationen gebündelt werden“, erklärt der Deloitte-Berater Andreas Herzig. „Es geht darum, dass Informationen zusammengeführt und in der richten Aggregation an der richtigen Stelle landen. Nämlich dort, wo jemand entscheiden kann: unternehme ich etwas gegen die Risiken und welche Maßnahmen sind am effektivsten, an wen delegiere ich? Ist dies nicht sichergestellt, dann funktioniert das System nicht.“

Was ist nun der Trick, das Geheimnis beim GRC-Ansatz? Warum wird es als heilbringend angepriesen? Die GRC-Anhänger behaupten, ein GRC-System gestaltet die Arbeit effizienter, effektiver und kostensparender. Erreicht wird es durch die Vereinheitlichung, die Schaffung eines Systems, das für einen besseren Informationsfluss sorgt und die Hebung von Synergien zwischen den Fachbereichen.

Konkreter soll es so gehen: Es wird ein einheitliches Risikoregister erstellt und eine einheitliche Methodik ausgearbeitet wie man mit den Risiken umgeht. Wie die Unternehmen dabei versuchen, das Problem der Quantifizierbarkeit und Vergleichbarkeit der unterschiedlichen Risikoarten zu lösen, werden wir später sehen. Auch wird das Beispiel des Volkswagen-Konzerns zeigen, dass die Risikoanalyse innerhalb der GRC-Einheit nicht ausschließlich von den Risikomanagern gemacht wird. Sondern die Compliance Manager erstellen zum Beispiel eine spezifizierte Compliance-Risikoanalyse (nach einer einheitlichen Methode) und geben sie dann an die Kollegen innerhalb des GRC-Bereichs weiter. Dabei greifen sie auf ein einheitliches Dokumentations- und Berichtssystem zurück.

Die vormals getrennt existierenden Funktionsbereiche, die mit Risiken zu tun haben, arbeiten jetzt gemeinsam. Auch gibt es nicht mehr mehrere ähnliche, parallel laufende und somit redundante Maßnahmen zur Risikoeindämmung. „Bisher läuft es in vielen Unternehmen so, dass entweder die Maßnahmen zur Risikoreduzierung vorhanden, aber nicht einem einzelnen Risikoszenario konkret zugeordnet sind. Oder die Maßnahmen sind erst gar nicht in dem Umfang vorhanden, in dem es die Compliance Abteilung sich wünschen würde“, so Maciuca. „Soweit bestimmte Maßnahmen vorhanden sind, kommt es auch vor, dass der Compliance Officer die Verbindung zu den Unternehmensrisiken gar nicht herstellen kann, weil die Transparenz und Verknüpfung zwischen den Abteilungen Risikomanagement, IKS und Compliance nur teilweise vorhanden ist.“

Zu den Effizienz schaffenden GRC-Outputs zählt daneben, dass bei der Erstellung der Risikoanalysen die operativen Bereiche nicht mehrfach aus verschiedenen Abteilungen kontaktiert werden, sondern nur einmal in einem bestimmten Zeitraum von einer GRC-Abteilung, wobei dann in einem Zug über alles abgefragt wird. Davon verspricht man sich ziemlich viel, da die operativen Bereiche nur einmal durch das „Tal der Tränen“ gehen müssen und sich ansonsten dem Business widmen können, ohne ständig belästigt zu werden.

Nun kommt das Wort „Governance“ im GRC ins Spiel. Es gibt verschiedene GRC-Maßnahmen: geschlossene, offene und verstärkende. Zu den geschlossenen GRC-Maßnahmen zählen alle Maßnahmen, die innerhalb der GRC-Abteilung passieren, also zum Beispiel Harmonisierung der Dokumentations- und Berichtssysteme. Offene GRC-Maßnahmen passieren dort, wo die GRC-Abteilung mit anderen Bereichen interagiert und zum Beispiel sich in bestimmten Gremien mit anderen Funktionsbereichen zum Informationsaustausch und Maßnahmengestaltung trifft. Zu den verstärkenden GRC-Maßnahmen zählen zum Beispiel die Kommunikationsmaßnahmen des GRC-Bereichs. Und gerade bei der Festlegung, wie diese geschlossenen, offenen und verstärkenden GRC-Maßnahmen ausgestaltet werden, wie weit sie im Unternehmen reichen dürfen, unterscheiden sich die Unternehmen, denn das entscheidet strategisch die Unternehmensführung, also der Vorstand (Governance) selbst – wie weit auch immer er für sich § 93 AktG auslegt. Macht die Unternehmensführung hier Fehler, indem sie zum Beispiel zu starke Beschränkungen vorgibt, führt sie damit das ganze GRC-System ad absurdum. Genau deswegen kommt im GRC das Wort „Governance“ vor.

VW – GRC tief integriert

Soweit die Theorie. Wie sieht das Ganze in der Praxis aus? Der Volkswagen-Konzern gehört in Deutschland sozusagen zu den real existierenden GRC-Anwendern. VW hat eine GRC-Einheit gegründet, die alle Marken im Konzern unter sich hat. Diese Einheit verantwortet Dr. Frank Fabian als Leiter Governance, Risk & Compliance und Group Chief Compliance Officer. Im Inneren der GRC-Abteilung gibt es wiederum eine Aufteilung in Risikomanagement und Compliance, die von zwei unterschiedlichen Mitarbeitern unterhalb von Dr. Fabian geführt werden. Das Hinweisgebersystem ist bei VW bei der Internen Revision angesiedelt. Dennoch sind die Grenzen innerhalb der GRC-Abteilung fließend. „Es macht nur Sinn, einen GRC-Bereich einzurichten, wenn man auch die Synergien erkennt und sie zu heben bereit ist“, sagt Dr. Fabian „GRC ist ein Managementsystem, das eine systemische Verbindung zwischen dem Risikomanagement und Compliance herstellt.“

Als Beispiel der Synergien nennt er die Risikoanalyse, das IT-System, in dem die Risiken erhoben, ausgewertet und dokumentiert werden sowie die Risikoberichterstattung, die nun gemeinsam gemacht beziehungsweise genutzt werden. „Die GRC-Mitarbeiter haben einen umfassenden Blick auf das Unternehmen, da die Informationen zu den Risiken aus dem gesamten Konzern bei ihnen landen“, meint Dr. Fabian. Nun könnte man einen berechtigten Einwand erheben, dass die Risikomanager nicht unbedingt ein tiefes Verständnis für Compliance-Risiken haben. Auf diesen Einwand antwortet Dr. Fabian wie folgt: „Der GRC-Ansatz fördert eine enge Zusammenarbeit und einen intensiven Austausch von Compliance- und Risikomanagement-Kollegen. Letztere haben daher auch ein Verständnis für Compliance-Risiken. Wir haben ein Strategie-, Analyse- und Legal-Team, das aus sechs Juristen besteht. Fragen zum Kartellrecht etwa beantwortet dementsprechend nicht der Kollege, der sich bei uns betriebswirtschaftlich mit dem Thema Risikobeurteilungsmethoden beschäftigt, sondern ein Jurist des Teams Strategie, Analyse und Legal Compliance. Er schaltet bei Bedarf die Spezialisten in der Konzern-Rechtsabteilung ein. Und auch in die andere Richtung bringt die enge Zusammenarbeit Vorteile: Die juristischen Compliance-Kollegen verstehen unsere Risikobewertungsmethodik und haben eine aktive Rolle im GRC-Risikobewertungsprozess.“ Ähnlich verhält es sich mit Einschätzungen aus der Strafrechtsabteilung der Konzern-Rechtsabteilung, die ebenfalls die GRC-Einheit unterstützt. „Wir integrieren das“, so Dr. Fabian.

Gerade um diese starke Integration des GRC-Systems im Unternehmen geht es Dr. Fabian: „Was ich zum Beispiel als Herausforderung sehe, ist, dass Compliance in vielen Unternehmen immer zusätzliche Prozesse aufbaut, obwohl es schon ähnliche Prozesse gibt. Wir bei Volkswagen schätzen den GRC-Ansatz, bringt er doch den Vorteil einer gemeinsamen Risikoanalyse für alle unternehmerischen Risiken. Compliance-Risiken werden genauso behandelt wie beispielsweise Absatzrisiken. Sie werden mit einer einheitlichen Methodik analysiert und dadurch vergleichbar.“ Überhaupt ist Dr. Fabian überzeugt, dass ein GRC-System auch insofern einen Vorteil hat, als die Integration sogar bis in das Denken jedes Managers im Konzern reicht. „Als Teil der Risikoanalyse des Unternehmens erreicht die Aufgabe, Compliance-Risiken zu definieren, den Manager in einer ihm bekannten Sprache. Seine Aufmerksamkeit wird lediglich auf ein weiteres Risikofeld gelenkt. In anderen Unternehmen treten die meisten Compliance Manager durch die Nebentür an die operativen Einheiten heran, denn sie kommen als allein stehender Compliance-Vertreter zu den Managern und erfahren dann oftmals Ablehnung“, sagt Dr. Fabian. „Mit einem GRC-Ansatz komme ich aber durch die Haupttür, denn ich erkläre jedem Manager, dass es ein Teil seiner Aufgabe ist, Chancen und Risiken miteinander zu verknüpfen. Und eines seiner Risiken ist, dass seine Mitarbeiter gegen die Regeln verstoßen. Das ist ein ganz anderer Blickwinkel.“

Der Hauptfokus der GRC-Einheit von VW liegt auf einem Regelprozess, in dem jährlich konzernweit die Risiken und Gegenmaßnahmen bewertet sowie Kontrollen der Gegenmaßnahmen auf ihre Wirksamkeit hin untersucht werden. „Wir haben dieses Jahr ungefähr 3.000 Tests weltweit laufen, davon alleine 500 Wirksamkeitstests zum Thema Compliance“, erzählt Dr. Fabian. Erst nachdem diese Wirksamkeitstests abgeschlossen sind, bekommt der Vorstand einen Risikobericht, der eben nicht nur die Risiken aufzählt, sondern auch darlegt, was dagegen gemacht wird und wie zuverlässig die Kontrollen sind.

Nach Erfahrung von VW liegen die Benefits, die Compliance von einem GRC-System hat, in Folgendem: Synergien werden gehoben, bestehende Prozesse und Maßnahmen können gemeinsam genutzt werden. „Methoden und Vorgehensweisen werden transparenter, einheitlicher und damit verständlicher für alle im Unternehmen. Und mehr Verständnis für das Thema Compliance ist ein lohnenswertes Ziel“, meint Dr. Fabian. Gleichzeitig kann Compliance von den Informationen, die aus dem Risikomanagement und IKS kommen, profitieren. Informiertheit verschafft Überblick und führt dazu, dass bessere Entscheidungen getroffen werden können. Und dadurch, dass gleich drei Abteilungen als eine Einheit auftreten, stellen sie gegenüber den operativen Bereichen und gegenüber allen im Konzern eine ganz andere Gewichtsklasse dar, als wenn nur eine aus drei Mitarbeitern bestehende Compliance-Abteilung sprechen würde. Und wirklich ernst genommen zu werden und nicht bloß ein Window-Dressing zu betreiben, ist ja seit Compliance-Gedenken ein viel diskutiertes Problem.

Fraport – GRC-Light

Wir haben oben schon darüber gesprochen, dass die GRC-Systeme der Unternehmen sich im Grad der Verknüpfung und der Tiefe der Integration unterscheiden können. So praktiziert zum Beispiel Fraport AG schon seit langem so etwas wie ein GRC-Light-System, ohne es als solches zu bezeichnen. Orientiert haben sie sich dabei am COSO-Würfel. Und auch bei der Fraport versucht man, Synergien zu nutzen, aber es ist nur ein verknüpfter Prozess – kein integrierter, wie bei der VW. Das Risikomanagement ist ein Frühwarnsystem und meldet orientiert an Wesentlichkeitskriterien ereignisbezogene Risiken. Das IKS beschäftigt sich mit den prozessbezogenen Risiken, also ob Kontrollen nicht funktionieren, und Compliance hat ihre regulatorische und Reputationsrisiken im Blick.

Otto Geiß ist Leiter der Abteilung Compliance, Werte- und Risikomanagement bei der Fraport AG: „Wir nutzen aus Compliance-Perspektive die Erkenntnisse des Risikomanagements und des IKS und haben zusätzlich noch eine eigene Compliance-Risikoanalyse gemacht. Dazu befragen wir auf der Grundlage des strukturierten Fragebogens die einzelnen Bereiche zu ihrem spezifischen Risiko, zum Beispiel hinsichtlich der aktiven und passiven Korruption im In- und Ausland.“ Die Erkenntnisse werden im Anschluss zusammengeführt und überlegt, ob es prozessuale Schwachstellen gibt. „Denn erst dann habe ich einen Überblick aus dem ereignisbezogenen Risikomanagement und aus dem IKS, sehe also, was an prozessualen Risiken gemeldet wird und habe noch zusätzlich die spezifizierte Compliance-Risikoanalyse.“

Es zeigt sich also, dass weder bei VW noch bei Fraport die Risikoanalyse für Compliance alleine durch das Risikomanagement gemacht wird, sondern durch den jeweiligen Fachbereich selbst. „Dazu ist Compliance auf einer zu hohen Flughöhe unterwegs, wo das Risikomanagement natürlich so tief nicht in die einzelnen Prozesse runtergehen kann, dass sie alle Eventualitäten von Compliance abbilden könnten“, mein Otto Geiß. „Der Risikobericht kommt zwar aus einer Abteilung, aber er hat unterschiedliche Perspektiven, die in Beziehung zueinander stehen.“

Auch bei Fraport wird genauso wie bei VW das Risikomanagement und Compliance durch eine IT-Lösung unterstützt, das SAP-GRC. Nur äußert sich Otto Geiß weniger euphorisch darüber: „Es gibt kein IT-Tool, das irgendetwas integriert. Das kann man vergessen. Diese IT sammelt nur Daten ein. Aber die Daten sind ja eben auf unterschiedlichen Flughöhen unterwegs. Was wollen Sie dann damit machen?“ Mit ziemlicher Sicherheit wird das ein GRC-IT-Lösungsanbieter anders sehen. So zum Beispiel Tonbeller. „Wir bieten auf Grundlage der Gefährdungsanalyse eine Darstellung der Risikosituation. Diese spiegelt sich auch in einem Dashboard wider, das dem Management den Grad der Gefährdung in Form von Kennzahlen aufzeigt“, erklärt Torsten Mayer, der Vorstand von Tonbeller. „Das sind zum Beispiel Kennzahlen zur Umsetzung und Wirksamkeit der Präventionsmaßnahmen. Sofern eine finanzielle Bewertung gemacht wurde, wird ebenfalls abgebildet, wie hoch der finanzielle Schaden sein könnte, falls das Risiko eintritt.“ Ob das besser ist, muss letztlich der Anwender beurteilen.

Integriert oder nicht – alles GRC

Zwei Unternehmen, zwei unterschiedliche Ansätze. In den USA wird der Begriff GRC inflationärer gebraucht. Da wird viel schneller ein System als GRC bezeichnet – egal, ob die Funktionsbereiche völlig getrennt nebeneinander existieren, zum Teil harmonisiert oder vollständig integriert sind. Dazu gibt es dort eine Institution, OCEG (oceg.org), die stark von den Beratern und IT-Anbietern im GRC-Bereich auf welche Art auch immer unterstützt wird und gewisse Entwicklungen im GRC-Bereich vorantreibt. Das macht deutlich, welches Interesse dahinter steht, dass das vollintegriertes GRC-Modell die größtmögliche Verbreitung findet – das der Berater.

Die OCEG führt Umfragen durch. Aber selbst in den USA haben gemäß der aktuellen Umfrage der OCEG, „2015 GRC Metrics Survey. How organizations approach, use and enable metrics for GRC“, 28 Prozent der Unternehmen ihre Prozesse und Technologien voll oder zum überwiegenden Teil integriert, 28 Prozent leben mit getrennten Fachbereichen und 44 Prozent der Unternehmen tun einfach, wonach ihnen der Sinn steht und entscheiden unternehmensspezifisch, welche Prozesse standardisiert werden und welche nicht.

Kein völlig neuer Ansatz

Neu ist der GRC-Ansatz nicht. Wie das Beispiel von Fraport zeigt, gibt es auch in Deutschland schon seit längerem Unternehmen, die bewusst oder unbewusst eine Art hybrides GRC-System eingerichtet haben. „Wenn die Unternehmen die Funktionen und Schnittstellen ausgestaltet und personell besetzt haben, dann können Sie GRC drüber schreiben. Das ist kein völlig neuer Ansatz“, sagt Andreas Herzig von Deloitte. „Neu ist daran nur die Art und Weise, wie die Schnittstellen gestaltet sowie die einzelnen Bereiche und die Software integriert werden.“

Unterschiedliche Risiken

Hört sich alles interessant an, wäre da nicht ein Problem: Der Kern des GRC-Ansatzes ist ja die Einheitlichkeit im Umgang mit den Risiken, also einheitliche Risikoregister, einheitliche Methoden bei der Risikoanalyse und ein einheitlicher Risikobericht. Aber das Risikomanagement hat eher mit operativen Risiken zu tun, die greifbarer, quantifizierbarer und abschätzbarer sind. Compliance-Risiken sind dagegen eher strategischer, schwerer abschätzbar und schwerer quantifizierbar, wie zum Beispiel der Reputationsschaden. Wie soll ein einheitlicher Risikobericht dann möglich sein?

VW löst dieses Problem auf folgende Weise: „Ein Punkt, an dem wir umdenken müssen, ist, dass wir oft meinen, viele unserer Risiken wären nicht messbar. Dabei haben etwa Banken seit langem diverse Maßnahmen, um die Risiken einzuschätzen und zu messen“, meint Dr. Fabian. „Man muss weg von der Beurteilung der Risiken nur nach Eintrittswahrscheinlichkeit und Schadenshöhe, wobei das Letztere sowieso eine Scheingenauigkeit ist. Das haben wir bei Volkswagen aufgebrochen.“ VW hat jedes Risiko mit einem Score-Wert hinterlegt, der gleichzeitig ein Messbarkeitsinstrument ist. Natürlich spielt auch hier die Schadenshöhe eine Rolle. „Diese beurteilen wir in sehr großen Bandbreiten, es ist eine Grobeinschätzung“, sagt Dr. Fabian. „Materieller Schaden ist nicht das einzige, worauf es ankommt. Bei der Beurteilung des Risikos spielen viele Kriterien eine Rolle.“

Neben der üblichen Eintrittswahrscheinlichkeit berücksichtigt VW mit dem Score-Wert auch die Kriterien Reputationsschaden, ob ein Thema national oder international relevant ist, wie weit der Wettbewerb betroffen ist, die strategische Relevanz, aber auch Kapitalmarkt- und Strafrechtsrelevanz und vieles mehr. „Man kann damit ein Kartellrechtsrisiko genauso betrachten wie zum Beispiel ein Währungsrisiko. Man kann sie sogar miteinander vergleichen. Und das ist das, was der Vorstand wissen will. Er will sie miteinander vergleichen und einen Gesamtblick haben. Und genau das ermöglicht uns unser Score-Wert-System“, erklärt Dr. Fabian. Bei ethischen Dingen verfährt VW ähnlich. Dr. Fabian: „Auch ethische Risiken, wie beispielsweise Menschenrechtsverstöße, werden im Risikomanagementprozess berücksichtigt und mit dem Score-Wert-System bewertet.“

Wie man sieht, ist die Lösung des Problems der Quantifizierbarkeit und Vergleichbarkeit von unterschiedlichen Risikoarten nicht wirklich einfach. Doch wenn die Risikoarten so unterschiedlich sind, vielleicht muss man nicht unbedingt versuchen, dieses Problem zu lösen? Es gibt ja das geflügelte Wort, dass man Äpfel nicht mit Birnen vergleichen sollte. Und am Beispiel von Fraport sieht man, dass man mit den unterschiedlichen Risikoarten eben doch anders umgehen kann.

GRC passt nicht jedem

Nachdem wir nun die esoterische Schutzfolie abgezogen haben, stellt sich heraus, dass der GRC-Ansatz nicht unbedingt das Richtige für kleinere Unternehmen ist, also für Unternehmen, die das unglaublich negative Wort „Risikoanalyse“ zum ersten Mal vor drei Monaten von ihrem neuen „Compliance-Beauftragten“ gehört haben. Ja, es gibt tatsächlich Unternehmen, die ohne ein „Risk-Management“ überleben … Denn dazu ist der Aufwand bei seiner Einrichtung zu hoch, zu kostspielig und ein Return on Investment ist für die Unternehmensleitung nicht unbedingt sofort ersichtlich.

Das GRC – ob voll integriert oder ein hybrides System – kann aber eine interessante Alternative für Unternehmen sein, die eine bestimmte kritische Maße erreicht haben und deren Geschäft komplex, heterogen, global aufgesetzt und somit unübersichtlich ist. Wo es also immer schwieriger wird, auf einer informierten Grundlage die besten Entscheidungen zu treffen. Es ist nur die Frage, wie weit man bei der „vollen Integration“ gehen will. Und da wären wir bei den Beratern: Ja, das Thema ist durchaus von solchen Gruppen getrieben, die damit Geld verdienen – und das sind eben die GRC-Berater. Das geben sie off the record auch selbst zu. Darauf weist aber auch ein Umstand hin: Die Unternehmen werden mit der Behauptung unter Druck gesetzt, nur wer beim GRC bis zum Schluss gehe, also „voll integriert“, mache es richtig, nur dann funktioniere das System. Dass das nicht stimmt, beweist das System bei Fraport.

Weitere Artikel