Rechtliche Rahmenbedingungen strukturiert umsetzen Teil 1

Governance, Risk Management und Compliance – eine Einführung

23.11.2007 | Autor / Redakteur: Dr. Ulrich Kampffmeyer, Project Consult / Nico Litzel

Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben.
Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben.

Die Compliance- und Risikomanagement-Landschaft unterliegt einem ständigen Wandel: Zunehmend mehr Gesetze und Richtlinien fordern von Unternehmen Transparenz im Umgang mit Daten sowie die Trennung, Überwachung und Dokumentation von Geschäftsprozessen. Gleichzeitig findet eine Ausweitung der noch für die Papierwelt geschriebenen Gesetze auf die elektronische Welt statt: Die Aufbewahrungs- und Dokumentationspflichten für elektronische Geschäftsunterlagen nehmen zu.

Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben. Die Zusammenführung von Governance, Risikomanagement und Compliance, kurz GRC, ist ein wichtiger Schritt in der Bewältigung dieser Herausforderung.

GRC - die Buchstaben werden auch gern in anderer Reihenfolge kombiniert – bietet dabei einen ganzheitlichen Ansatz, der das Entstehen von Insellösungen verhindert. Die Führung von Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Bewertung von Risiken gehen dabei zunehmend Hand in Hand. Die Abgrenzung der Aufgaben und der unterschiedlichen Auffassungen des Umfanges führen dabei jedoch zu sehr verschiedenen Ansätzen.

Um Klarheit in das Verhältnis der drei zugrundeliegenden Akronymbestandteile von GRC zu bringen, ist es erforderlich sie zunächst einzeln zu definieren.

Governance

Governance für privatwirtschaftliche Unternehmen wird als Corporate Governance bezeichnet. Corporate Governance umfasst die rechtlichen und institutionellen Rahmenbedingungen, auf nationaler und internationaler Ebene, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben. Der Ursprung für Corporate Governance liegt bereits in den 30er-Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte.

Corporate Governance ist dabei sehr vielschichtig und umfasst sowohl obligatorische als auch freiwillige Maßnahmen für die verantwortungsvolle Unternehmensführung: Compliance mit Gesetzen und Regelwerken, das Befolgen anerkannter Standards und Empfehlungen sowie das Entwickeln und Befolgen eigener Unternehmensleitlinien. Ein weiterer Aspekt der Corporate Governance ist die Entwicklung und Einrichtung von Leitungs- und Kontrollstrukturen.

Eine wesentliche Komponente von Corporate Governance ist die IT-Governance, die auf die Transparenz und Beherrschbarkeit der eingesetzten IT- und Kommunikationsinfrastruktur zielt. Besonders bei der technischen Unterstützung der Governance-Anforderungen spielt die IT-Governance eine wichtige Rolle.

Compliance

Auch wenn es Compliance-Anforderungen schon immer, auch im Ursprungsland des Begriffes - den USA - gab, so haben sie nach den Skandalen um Enron und Worldcom eine brisante Qualität erhalten: neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter elektronischer Informationen.

In der Vergangenheit gab es schon immer eine Reihe von rechtlichen Anforderungen; so musste beispielsweise Finanzbuchhaltungssoftware schon immer Compliance-Standards erfüllen. Mit dem steigendem Aufkommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Notwendigkeit der Dokumentation und elektronischen Archivierung von Geschäftsvorgängen immer mehr Bedeutung.

Im Folgenden wird für den Begriff Compliance nachstehende Übertragung verwendet: „Übereinstimmung mit und Erfüllung von gesetzlichen und regulativen Vorgaben.“ Compliance umfasst sowohl direkte gesetzliche Vorgaben wie auch regulative Branchenvorgaben und interne Richtlinien, die aus der Governance abgeleitet werden.

Risk Management

Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegt es der Geschäftsführung bezwiehungsweise dem Vorstand eines Unternehmens, die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen.

Entsprechend Corporate Governance und Unternehmensgesetzen ist das auch genau die Aufgabe der für die Geschäftstätigkeit verantwortlichen Personen und Gremien. Diese Verantwortung schließt heute bei Aktiengesellschaften auch den Aufsichtsrat ein.

Risiko-Management bezieht sich jedoch nicht nur auf die Bewertung von Compliance-Anforderungen, sondern vielmehr auf den planvollen Umgang mit allen Risiken, die ein Unternehmen betreffen.

Wie aus den Definitionen bereits deutlich wird, können die Bereiche Governance, Risiko Management und Compliance nicht losgelöst von einander betrachtet werden: Compliance-Anforderungen beinhalten Verpflichtungen zu Risikomanagement und der Einhaltung von Governance-Richtlinien. Risikomanagement beinhalt die Bewertung von Compliance-Anforderungen, und Corporate Governance umfasst sowohl Compliance als auch Risiko-Management. Lange jedoch wurden diese Aufgabenkomplexe als einzelne Säulen aufgefasst und auf verschiedene Bereiche und Rollen verteilt sowie in spezifischen Lösungen umgesetzt.

GRC fordert nun die ganzheitliche Betrachtung und Umsetzung der Anforderungen und damit auch eine technische Infrastruktur, die die Implementierung und Überwachung von Prozessen, die Definition und Kontrolle von Risiken, sowie die Dokumentation und Archivierung von Geschäftsvorfällen ermöglicht.

Internationale Normen, Standards, Gesetze und Regularien

Für GRC kommen auf verschiedenen Ebenen sehr unterschiedliche Gesetze, Richtlinien und Standards zur Geltung.

Auf europäischer Ebene gibt es bisher nur eine lose Organisation. Die Europäische Kommission hat im Jahr 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet, ohne jedoch bisher eine verbindliche Richtlinie herauszugeben. So gelten in Europa sehr unterschiedliche Maßstäbe: in einigen Ländern regeln die Corporate-Governance Gesetze, in anderen Codes of Best Practice oder Selbstverpflichtungserklärungen.

Der Corporate-Governance-Kodex

In Deutschland hat das Bundesministerium der Justiz im Jahr 2002 den Corporate-Governance-Kodex veröffentlicht. Dieser hat Auswirkungen auf die Unternahmensgesetze KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) und UMAG (Gesetz zur Unternehmenintegrität und Modernisierung des Anfechtungsrechts) sowie auf das Handels- und Steuerrecht und auf den Verbraucherschutz.

In Österreich gibt es den ÖCGK – den Österreichischen Corporate Governance Kodex, der im Jahr 2002 veröffentlicht wurde und sich an den internationalen Vorgaben orientiert. In der Schweiz gibt es nur einen freiwilligen Swiss Code of Best Practice aus dem Jahr 2002.

Für die IT-Governance kommen immer mehr Verfahrensmodelle und Werkzeuge wie COBIT (Control Objectives for Information and Related Technology), ITIL (IT Infrastructure Library) und andere in Gebrauch, die Transparenz und Überprüfbarkeit der ITK-Landschaft im Unternehmen ermöglichen sollen. Verbände wie die ISACA (Information Systems Audit and Control Association) schaffen hier ein international gültiges Rahmenwerk, das einheitliche Kriterien und Vergleichbarkeit umsetzt. Jedoch sind die Aufwände für die Umsetzung nicht zu unterschätzen. Letztlich geht es auch hier um die Dokumentation von Lösungen und Prozessen.

Beim Thema Compliance geht es direkt um die Umsetzung von Anforderungen in Organisation und Technik. Auch hier geht es um Lösungen und Prozesse. Allein die Anzahl der Gesetze und Verordnungen in Deutschland, die Auswirkungen auf die Ausgestaltung von GRC-Lösungen haben, sind schier endlos.

Das Handelsgesetzbuch (HGB), die Abgabenordnung (AO), die Gewinnabgrenzungsaufzeichnungsverordnung (GaufZ), die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beschäftigen sich dagegen sehr konkret mit den Anforderungen, wie Information bereitgehalten werden muss.

Governance und Compliance greifen ineinander

Ebenso wie beim Thema E-Mail-Archivierung gibt es hier sehr konkrete Vorgaben, die direkt in technischen Lösungen münden. Grundlage sind aber auch hier Vorgaben der Governance im Unternehmen und Regelwerke, Policies im Englischen, die den Umgang mit Information verbindlich machen. Hier greifen Governance und Compliance direkt ineinander.

Führungs-, Organisations- und Technik-Aspekte lassen sich hier nicht mehr trennen. Da immer mehr Information originär elektronisch entsteht und ein Ausdruck in Papier nur eine mögliche Form der Repräsentation des originär elektronischen Inhalts darstellt, muss sich die gesamte Organisation des Unternehmens auf die elektronische Welt einlassen und Informationssysteme bei allen Governance- und Compliance-Fragen berücksichtigen.

Man sollte sich auch in diesem Umfeld auf verschärfte Vorgaben einrichten, wie sie zum Beispiel in den USA mit dem Sarbanes-Oxley Act, E-Discovery oder dem Patriot Act bereits gang und gäbe sind. Mit der sogenannten 8. Direktive wurde bereits eine Richtlinie der Europäischen Kommission verbindlich, die ähnlich wie der Sarbanes-Oxley Act die Prüfung der Unternehmen regelt und damit auch automatisch eine Brücke zwischen Compliance- und Governance-Fragen schlägt.

Risiko-Management – eine wichtige Ergänzung

Würde man alle nur denkbaren und eine spezifische Situation betreffenden Compliance-Anforderungen im Unternehmen vollständig umsetzen und durch technische Systeme unterstützen wollen, käme die Geschäftstätigkeit zum Erliegen. Risiko-Management ist daher eine wichtige Ergänzung von Corporate Governance und Compliance. Auch für das Risikomanagement gibt es vermehrt Normen und Standards, die vereinheitlichte Bewertungs- und Vorgehensmodelle bieten sollen, beispielsweise die ISO-Norm 14971. Das Risikomanagement liefert sozusagen die Messlatte für den Aufwand, der für Governance- und Compliance-Management in einem Unternehmen betrieben werden kann.

Nebeneffekt Kosteneinsparung

Unter diesen Gesichtspunkten betrachtet, ist ein ganzheitlicher Blick auf das Unternehmen gefordert. Die separate Betrachtung von Governance, IT-Governance, Compliance, Risk Management und Quality Management führt nicht zur geforderten Transparenz, Nachvollvollziehbarkeit und Durchgängigkeit.

Abgesehen von den Anforderungen aus Dokumentationssicht ist hier auch ein wirtschaftlicher Faktor zu berücksichtigen – Governance, Compliance und Risikomanagement ermöglichen durch die geschaffene Transparenz auch die Einsparung von Kosten und ein wirtschaftlicheres Arbeiten. So können zum Beispiel auch die erheblichen Kosten für die Umsetzung von Governance- und Compliance-Anforderungen ins Positive gewendet werden und zum wirtschaftlichen Erfolg des Unternehmens beitragen.

Am Montag im zweiten Teil: Records Management, E-Mail-Management, die elektronische Archivierung und GRC-Lösungsaspekte.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2009278 / Compliance und Datenschutz )