Meiner Auffassung nach steht die deutsche Corporate Governance mit ihrer doch eher ungewöhnlich manifestierten Aufteilung in vier Steuerungssysteme vor einem zunehmenden Stresstest.

Im Zuge des Bilanzmodernisierungsgesetz (BilMoG) im Jahr 2009 wurden die Überwachungsaufgaben des Aufsichtsrats in § 107 Abs. 3 Satz 2 konkretisiert und letztlich mit der Nennung von internem Kontrollsystem, Risikomanagementsystem, internem Revisionssystem sowie indirekt auch des Compliance Management Systems als zu überwachende Bereiche in verschiedene Teilsysteme zerlegt. Der individuelle Aufbau dieser Systeme wurde durch Entwicklungen wie der Finanzkrise sowie diverser Unternehmensskandale der Vergangenheit oftmals reaktiv beschleunigt und führte zu einer silohaften, in Teilen redundanten und damit ineffizienten Organisationsstruktur in deutschen Unternehmen. Diese – auf globaler Ebene kaum zu beobachtende – Unterteilung der Systeme war für mich, aufgrund ihrer massiven inhaltlichen Überschneidungen, schon immer fragwürdig.

 

In Unternehmen sehe ich dieses Nebeneinander aber leider nahezu ausschließlich. Hier haben sich organisatorische Einheiten etabliert, deren Aufgabe aber vom Wesen her grundsätzlich die gleiche ist: Risiken erkennen, bewerten, steuern und am Ende unternehmensweit die betreffenden Maßnahmen überwachen. Aus diesen Überlegungen heraus ergeben sich signifikante Schnittstellen und damit Zuständigkeitsüberlappungen: Warum findet die Risikoanalyse für rechtliche Risiken getrennt im Compliance Bereich statt und nicht im Risikomanagement? Warum sind die dabei verwendeten Tools andere? Und wie steht das im Verhältnis zur risikoorientierten Prüfungsplanung der Internen Revision? Warum spricht man zumeist vom „Compliance-IKS“ und sonstigem „IKS“? Kann ein solches Nebeneinander der Organisationen tatsächlich wirksam und effizient sein? Um die Antwort vorweg zu nehmen: Nein, ein Nebeneinander der Organisationen wird Unternehmen langfristig nicht die notwendige Effizienz und Wirksamkeit bieten können, die sie in Anbetracht wachsender Risiken und sich ändernder regulatorischer Anforderungen aufweisen müssen.

“Ein Nebeneinander der Organisationen? Auf lange Sicht nicht effizient und wirksam für Unternehmen“

Twittern WhatsApp

Die bisherige Praxis: Redundanz statt Effizienz

Darüber hinaus führen die gegenwärtigen Strukturen zu uneinheitlichen und unkoordinierten Berichts- und Informationsströmen, welche die Empfänger nicht optimal und konsolidiert informieren und bei den zur Informationserhebung kontaktierten Unternehmensbereichen zu Doppelbelastungen und Frustration führen. Nicht selten resultiert dies in einem Geflecht aus Berichten und Kommunikationen, die eine klare Governance erschwert und darüber hinaus massive Kosten verursacht. So werden Fachabteilungen wie der Einkauf aus drei Ressorts zur Umsetzung der jeweiligen Governance Anforderungen eingebunden (z.B. Anti-Korruptionsmaßnahmen aus der Compliance Organisation, operative Einkaufsrisiken aus dem Risikomanagement und Adressierung von Prozessrisiken aus dem internen Kontrollsystem). In aller Regel stehen diese jedoch miteinander in Verbindung. Analog werden häufig aus den Teilsystemen eigenständige Fragebögen und Anforderungen an weltweite Tochtergesellschaften versendet, die unkoordiniert redundante Informationen erheben. Durch die Eigenständigkeit der Abteilungen werden die Ergebnisse der Überwachung der Corporate Governance dann nicht selten je nach Vorstandsressortanbindung getrennt gesendet. Selten steht dem Aufsichtsrat also ein geschlossener, integrierter Corporate Governance Bericht zur Verfügung, um seiner Überwachungspflicht effizient nachzukommen.

“Der Aufsichtsrat braucht einen geschlossenen, integrierten Corporate Governance Bericht.“

Twittern WhatsApp

Ein „Mehr“ an Kontrollen bedeutet nicht gleich ein „Mehr“ an Sicherheit

Diese mangelnde Verzahnung wird im Moment für mich extrem deutlich: Unternehmen erleben in den letzten Jahren einen signifikanten Anstieg bei den regulatorischen Anforderungen z.B. aus den jüngsten EU Richtlinien zu Datenschutz und Geldwäsche, die neben der Notwendigkeit der Implementierung zusätzlicher Prozesse, Risikoanalysen und Berichterstattungen auch eine zusätzliche Überwachungspflicht für die Unternehmensorgane darstellen. Gleichzeitig bauen Behörden weitere Kapazitäten zum Enforcement dieser Regulierungen auf, woraus am Ende des Tages neben der Gefahr finanzieller Schäden immer auch ein nachhaltiger Reputationsschaden droht. Darüber hinaus drohen neue Risiken aus politischen Entwicklungen (z.B. Zoll- und Steuerrisiken als Folge des „Brexits“ und der Trump Administration).

Auf Dynamiken und Veränderungen dieser Art haben deutsche Unternehmen in der Vergangenheit mit einem „Mehr“ an Kontrollen und Prozessen reagiert, um die Wirksamkeit der Corporate Governance zu gewährleisten. Ein solcher, fortlaufender Aufbau von Maßnahmen führt jedoch ohne Berücksichtigung der Governance als Ganzes unter anderem zu einer immer schwierigeren Überwachung der Wirksamkeit der Systeme sowie zu globalen Kontrollkosten, die kaum gemessen und daher die wirtschaftlichen Vorteile bestimmter strategischer Entscheidungen schnell unbemerkt übersteigen können.

Vor dem Hintergrund dieser Dynamik erscheint es fraglich, ob die tradierte und organisatorisch zu beobachtende Unterteilung der Governance diesen Herausforderungen noch gewachsen ist. Ich plädiere für eine maximale Integration der Verantwortungsbereiche, eine Konsolidierung gleichartiger Tätigkeiten und eine Vereinheitlichung von Methoden und Tools für eine ganzheitliche und effiziente Corporate Governance.