Zusammenfassung
Erfolgreiche Unternehmen brauchen Manager, die in der Lage sind, durch die wachsende Zahl von Vorgaben, Gesetzen und Risiken zu führen. Vor allem die Geschäftsführer und Vorstände der Kapitalgesellschaften spüren den steigenden Druck der Gesellschafter und Aktionäre, strukturierte Systeme zur Einhaltung von rechtlichen Vorgaben und zum sicheren Umgang mit Risiken einzuführen. Wer als Manager im Schadensfall nicht nachweisen kann, dass er alles Mögliche zum Schutz des Unternehmens unternommen hat, der haftet u. U. den Eigentümern sogar mit seinem Privatvermögen.
"Alles Mögliche" bedeutet derzeit, dass es ausreichende Systeme gibt für eine strukturierte Unternehmensführung (Governance), den sicheren Umgang mit Risiken (Risikomanagement) und für die Befolgung interner und externer Vorgaben (Compliance).
Kaum ein Unternehmen ermittelt die Höhe der Kosten solcher Systeme selbst und die innerhalb der Systeme initiierten Maßnahmen. Dadurch wird die Feststellung und Überwachung der Wirtschaftlichkeit für Compliance, Governance und Risikomanagement unmöglich. Das wiederum schafft ein Risiko für die Angemessenheit der Systeme. Die Kosten für den Aufbau, die laufenden Anpassungen und die regelmäßigen Audits müssen selbstverständlich und auf ihre Wirtschaftlichkeit hin geprüft werden.
1 Worum geht es?
Auf dem Weg eines Unternehmens durch das immer komplexer werdende Umfeld helfen Strukturen für die erfolgreiche Steuerung der wirtschaftlichen Einheit bei der Beachtung von wissenschaftlichen, gesetzlichen und individuellen Vorgaben. Dazu werden drei Systeme mit unterschiedlicher Zielsetzung eingerichtet:
- Governance-Systeme befassen sich mit der Steuerung der Unternehmen. Diese hat strukturiert zu erfolgen und muss den gesetzlichen Vorgaben ebenso entsprechen wie wissenschaftlichen Erkenntnissen.
- Das Risikomanagement beschäftigt sich mit den Risiken, die dem Unternehmen drohen. Diese müssen erkannt, eingeschätzt, bekämpft und beobachtet werden.
- Compliance-Systeme stellen die Übereinstimmung der Abläufe mit rechtlichen und internen Normen sicher. Ursprünglich auf den Bereich des Datenmanagements in der IT ausgerichtet, werden Governance-Systeme immer mehr für das gesamte Unternehmen geschaffen.
Eine Unterscheidung zwischen Governance und Compliance ist nicht überschneidungsfrei möglich. Aktuell wird Governance, Risikomanagement und Compliance als Einheit gesehen und mit GRC abgekürzt. Dieser Beitrag befasst sich mit den Kosten solcher Systeme, deren Kostenstrukturen weitgehend identisch sind.
Sprichwort zum Thema
"If you think Compliance is expensive, try non-Compliance". Das gilt auch für Governance und Risikomanagement.
Die Kenntnis der Kosten ist die Voraussetzung für eine kostenoptimale Gestaltung der Strukturen. Nur so kann entschieden werden, welche Abläufe und Vorgaben sinnvoll sind, wo sich ergänzende Teile zusammengeführt und wo Kosten noch optimiert werden können. Die Begleitung von GRC-Systemen durch die Kostenrechnung oder Buchhaltung wird auf allen Stationen sichergestellt.
- Zunächst wird geprüft, ob und in welchem Umfang Governance-, Risikomanagement- und Compliance-Systeme notwendig sind.
- Dann werden die Systeme gestaltet und implementiert. Bereits hier müssen zukünftige Anpassungen an Veränderungen im Unternehmen und im rechtlichen und gesellschaftlichen Umfeld ermöglicht werden.
- Die regelmäßigen Audits ermöglichen eine Überwachung der Wirksamkeit der geschaffenen Systeme.
- Darüber hinaus entstehen Kosten, wenn Maßnahmen innerhalb der Systeme initiiert werden, um die vorgegebene Ziele zu erreichen.
2 Kostenarten in GRC-Systemen
Bei der Schaffung der GRC-Systeme, bei deren Audits und den Maßnahmen dazu entstehen unterschiedlichste Kosten. Diese sind auf allen Stationen in unterschiedlicher Gewichtung vorhanden. Wer in die Praxis sieht, erkennt einige typische Kostenarten. Je nach vorhandenem Know-how und der unternehmensinternen Arbeitsweise liegen die Schwerpunkte anders.
Abb. 1: 5 Phasen der GRC-Systeme mit unterschiedlichen Kostenschwerpunkten
Vergleich nur bei vollständiger Erfassung möglich
Echte Aussagen über die Kosten der GRC-Systeme oder ein Vergleich verschiedener Systeme in unterschiedlichen Unternehmen sind nur möglich, wenn alle Kosten erfasst werden. So fallen z. B. im Projekt Arbeitszeiten an, die entweder durch eigene Mitarbeiter oder durch externe Berater geleistet werden können. In der Praxis werden die Kosten der eigenen Mitarbeiter oft nicht für das Projekt erfasst, da sie unerheblich erscheinen oder weil die Erfassungsmechanismen fehlen. Wenn dann Projekte mit unterschiedlichem Einsatz eigener oder fremder Arbeitszeit verglichen werden, entstehen Fehlinformationen.
2.1 Phase 1: Notwendigkeitsprüfung
Bevor ein GRC-System installiert wird muss die Notwendigkeit dafür geprüft werden. Dass es solche Strukturen braucht, um ein Unternehmen sicher durch die Märkte und das weitere Umfeld zu führen, ist unbestritten. Festzustellen bleibt der Umfang der Vorkehrungen, die getroffen werden. Dieser hängt unter anderem ab von folgenden Gesichtspunkten: