Unternehmen nahezu jeder Branche sehen sich heute einem Spannungsfeld ausgesetzt, welches die Art, wie sie Produkte und Dienstleistungen entwickeln, produzieren und vertreiben, wesentlich beeinflusst: Während einerseits die regulatorischen Anforderungen seitens des Gesetzgebers und sonstige normative Ansprüche durch eine Vielzahl an Stakeholdern zunehmen, steigt andererseits der durch die Globalisierung verstärkte Wettbewerbsdruck und zwingt Unternehmen, effizienter zu werden. In dieser Gemengelage stellt sich für Unternehmen die Frage, wie sie den gestiegenen rechtlichen und gesellschaftlichen Anforderungen gerecht werden können, ohne dabei an Effizienz und Agilität zu verlieren.
In besonderer Weise stellt sich diese Frage für Unternehmen der FinTech-Branche. Unternehmen also, die Finanzdienstleistungen durch den intelligenten Einsatz digitaler Technologien auf ein neues Niveau bringen und daher regulatorischen Anforderungen einerseits und dem Anspruch an Schnelligkeit, Agilität und Flexibilität andererseits in besonderem Maße ausgeliefert sind. Dieser Artikel untersucht die Bedingungen, unter denen beide Ziele – regulatorische Compliance und unternehmerische Performance – in Unternehmen im Allgemeinen und in FinTechs im Besonderen in Einklang gebracht werden können.
Die Lösung
Unternehmen, die rechtliche, finanzielle und Reputationsrisiken wirksam steuern und gleichzeitig die Performance-Ziele nicht aus dem Blick verlieren wollen, benötigen ein integriertes GRC-Management. GRC steht für Governance, Risikomanagement und Compliance. Im Kern geht es darum, dass ein Unternehmen sich seiner Freiheitsgrade bei der Definition seines Systems der Führung und Kontrolle (= Corporate Governance) bewusst wird und dieses durch die Art, wie es seine Governance Funktionen einsetzt, gezielt ausgestaltet. Dabei können zwei Perspektiven unterschieden werden:
Durch die enge Verknüpfung der Governance-Funktionen untereinander (= horizontale Integration) können Synergiepotenziale genutzt und Risiken effektiver und effizienter gesteuert werden. Welche Governance-Funktionen im Einzelnen in die Betrachtung einbezogen werden, obliegt der unternehmerischen Ausgestaltung. In jedem Fall sollten dies Risiko- und Compliance-Management sowie Interne Revision sein.
Durch die enge Zusammenarbeit der Governance-Funktionen mit den operativen Fachbereichen (= vertikale Integration) wird überhaupt erst vollständige Transparenz über die Risikolage eines Unternehmens hergestellt. Positionieren sich die Governance-Funktionen, insbesondere Risiko- und Compliance-Management, zudem als „Business Enabler“, werden die operativen Bereiche entlastet und die unternehmerische Leistungsfähigkeit gestärkt.
Kurzum: Wer GRC-Management konsequent betreibt, stellt die Erfüllung der regulatorischen Anforderungen sicher, steigert die operative und strategische Leistungsfähigkeit im Unternehmen – und damit letztlich auch den durch das Wirken der Governance-Funktionen empfundenen Mehrwert.
Im Mittelpunkt des GRC-Managements steht das durch den Autor entwickelte und in der Praxis bereits in unterschiedlichen Kontexten bewährte GRC-Rahmenwerk. Es beinhaltet acht Dimensionen und reicht von der Corporate Governance über den GRC-Regelkreis als dessen prozessualen Kern bis hin zur GRC-Kommunikation als prozessbegleitender Dimension.
Da an dieser Stelle nicht auf jede einzelne Dimension des GRC-Rahmenwerks eingegangen werden kann, soll anhand der GRC-Ziele verdeutlicht werden, welchen Anspruch ein integriertes GRC-Management beinhaltet und welchen spezifischen Mehrwert dieses für Unternehmen zu leisten vermag:
… von isoliert zu integriert:
Häufig agieren die einzelnen GRC-Funktionen in der Praxis weitgehend unabhängig voneinander: Von der Risikoidentifikation über die Steuerung von Gegenmaßnahmen und das Monitoring bis hin zur Berichterstattung – unterschiedliche Grundverständnisse, abweichende Methoden und Prozesse sowie fehlende inhaltliche und zeitliche Abstimmungen führen zu erhöhtem Koordinationsaufwand, Redundanzen in Datenerfassung, -analyse, und -dokumentation sowie uneinheitlichen Entscheidungsgrundlagen. Silo-Denken belastet die operativen Fachbereiche und hemmt das Transparenzpotenzial und mithin die Entscheidungsfähigkeit im Unternehmen. Daher ist es wichtig, Synergien zwischen den GRC-Funktionen entlang der gesamten Prozesskette zu nutzen.
… von reaktiv zu antizipativ:
Zu den Zielen eines aktiven GRC-Managements gehört es auch, nicht nur auf das Eintreten von Schadensfällen zu reagieren, sondern Gefahrenpotenziale zu antizipieren. Eigene praktische Erfahrungen, Analogieschlüsse aus anderen Unternehmen, theoretische Reflexionen, die frühe Einbindung der GRC-Funktionen in wichtige Geschäftsentscheidungen und eine kontinuierliche diskursive Praxis mit den Fachbereichen im Unternehmen ermöglichen häufig das Erkennen von Risiken und das Vermeiden von Krisen, bevor diese eintreten.
… von Schaden vermeidend zu Chancen generierend:
Die Tatsache, dass viele Geschäftsführer den unmittelbaren Mehrwert ihrer GRC-Investitionen vermissen, hat sicher auch etwas damit zu tun, wie diese sich im Unternehmen positionieren. Häufig beschränken sie sich auf ihre Schadensvermeidungsrolle, statt aktiv nach Erfolgspotenzialen in der Optimierung interner Prozesse sowie der Wahrnehmung externer Chancen zu suchen. Ein GRC-Management, das sich auch als Bestandteil des strategischen Managements versteht, muss daher auch diese Aufgabe zu seinem Ziel erklären.
… vom reinen Kostenfaktor zum Mehrwertstifter:
Eng mit dem Erkennen strategischer Erfolgspotenziale verknüpft ist das Ziel des GRC-Managements, sich als Mehrwertstifter im Unternehmen zu positionieren. Allerdings geht diese Rolle weit über die Generierung von Chancen hinaus. Der Mehrwert einer integrierten GRC-Funktion besteht zudem, erstens, in der effektiven Erfüllung der das GRC-Management konstituierenden jeweiligen Aufgaben, zweitens in der effizienten, auf die Nutzung von Synergien gerichteten Aufbau- und Ablauforganisation und, drittens, in der Unterstützung der gesamten Organisation bei der Vermeidung rechtlicher, finanzieller und Reputationsrisiken. In dieser Hinsicht sind die GRC-Bereiche Beratungs-, Ordnungs- und Schutzfunktionen im Unternehmen.
Die Beschreibung der Ziele eines integrierten GRC-Managements zeigt, dass dieses einen Anspruch besitzt, der sich letztlich an alle Mitglieder eines Unternehmens richtet: Die enge Verzahnung der GRC-Funktionen untereinander ermöglicht ein effizientes Risiko- und Compliance-Management sowie eine performante Interne Revision als dritte Verteidigungslinie. Aber erst eine enge und vertrauensvolle Zusammenarbeit der Governance-Funktionen mit den operativen Fachbereichen sichert volle Risikotransparenz und ein partnerschaftliches Vorgehen beim Entwickeln passgenauer Lösungen zur Risikosteuerung.
Die Praxis
Was für die Wirtschaft im Allgemeinen gilt, trifft für die FinTech-Branche im Besonderen zu: Die wirksame Erfüllung regulatorischer Anforderungen bei Beibehaltung von Agilität und Flexibilität ist ein zentrales Spannungsfeld unserer Zeit, dessen erfolgreiche Bewältigung für Unternehmen zu einem kritischen Erfolgsfaktor geworden ist. FinTechs sehen sich zusätzlich mit einigen spezifischen Herausforderungen konfrontiert, die wie folgt zusammengefasst werden können:
Wettbewerb
FinTechs bewegen sich in einem Markt, der von einem sich derzeit stark intensivierenden Wettbewerb geprägt ist, der zum Teil durch das Aufkommen neuer Marktteilnehmer wie der FinTechs selbst erst entstanden ist. Da Finanzprodukte kaum patentiert werden können und also nur gering vor Nachahmung geschützt sind, werden die von außen nicht einsehbaren internen Prozesse immer mehr zu einer entscheidenden Größe im Wettbewerb um die Qualität und Zuverlässigkeit von Dienstleistungen. Wie die GRC-Funktionen operieren, kann daher mit darüber entscheiden, ob ein FinTech-Unternehmen auch am Markt erfolgreich ist.
Regulierung
Je nach spezifischem Geschäftsmodell bewegen sich FinTechs häufig in einem gesetzlichen Umfeld, das erhöhte Anforderungen an die Geschäftsorganisation stellt. Ob Banken, Versicherungen oder Finanzportfolioverwaltung – zahlreiche Startups in der Finanzdienstleistungsbranche sind vom ersten Tag ihrer Geschäftsaufnahme an verpflichtet, hohe (BaFin-)-Anforderungen einzuhalten und effektive Risikomanagement- und Compliance-Prozesse zu etablieren. Umso wichtiger ist es da, dass sich diese Governance-Funktionen als aktive Partner der Geschäftsbereiche verstehen, diese bei ihrer Entfaltung unterstützen und pragmatische Wege finden, eine verantwortungsvolle Unternehmensführung sicherzustellen.
Innovation
Studien belegen, dass ein „Zuviel“ an regelbasierter Compliance Kreativität und Innovativität von Unternehmen hemmen kann. Diese sind aber geradezu Voraussetzung für den Erfolg junger Unternehmen in der FinTech-Branche. Vor diesem Hintergrund bedarf es Risiko- und Compliance Officer, die ihrerseits innovativ sind, wenn es darum geht, das richtige Verhältnis von Vertrauen und Kontrolle zu finden und passgenaue Lösungen gemeinsam mit den Beschäftigten zu erarbeiten. Da FinTechs technologiebasiert arbeiten, ist die intelligente Nutzung einer effizienten IT-Infrastruktur dabei genauso wichtig wie eine stabile IT-Governance selbst.
Bei der FinLeap GmbH ist die Funktion des Group Chief Compliance Officers, die der Autor innehat, ist vor kurzem etabliert worden, um systematische Risiko- und Compliance Managementprozesse zu entwickeln – und damit den Beweis anzutreten, dass unternehmerische Performance einerseits und eine auf Rechtmäßigkeit basierende verantwortungsvolle Unternehmensführung andererseits Hand in Hand gehen, wenn es darum geht, die Finanzbranche in jeder Hinsicht zu modernisieren.
Der Autor: Dr. Stefan Otremba ist Group Chief Compliance Officer der FinLeap GmbH. Davor war Dr. Otremba in verschiedenen Governance- und Finanzfunktionen in der Daimler AG tätig, zuletzt als Global Head of Anti-Money Laundering, Sanctions Compliance & Compliance Operations. Zuletzt erschien von ihm der praxisorientierte Leitfaden zur Umsetzung von GRC-Systemen im Unternehmenskontext „GRC-Management als interdisziplinäre Corporate Governance“. Foto: Vogt GmbH
