GRC-System einführen: Praxisbericht aus dem Mittelstand

Zusammenfassung

Überblick

Governance, Risikomanagement und Compliance (GRC) sind Aufgaben, die jetzt auch im Mittelstand zu bewältigen sind Kam der Druck früher vor allem aus den USA, so schreiben derzeit auch europäische Länder strengere Regeln für ihre Unternehmen vor. In Konzernstrukturen sind davon häufig auch deutsche Unternehmen betroffen.

Dazu zählt auch ein mittelständisches Unternehmen, das zu einem englischen Konzern gehört. Dessen Geschäftsführung muss nachweisen, dass sie im gesamten Konzern GRC-Systeme installiert haben, also auch in den deutschen Tochtergesellschaften.

Dabei muss ein Kompromiss gefunden werden zwischen den Vorstellungen der UK-Manager, den üblichen Vorkehrungen in den UK-Gesellschaften, den Rechten der deutschen Mitgesellschafter und den Möglichkeiten in der deutschen Gesellschaft. Und darüber hinaus muss auch noch die Wirtschaftlichkeit gewährleistet sein.

Der Beitrag stellt die Vorgehensweise im Projekt vor und zeigt die Tücken der Details anhand zahlreicher Beispiele auf.

1 Ausgangssituation

Das deutsche mittelständische Unternehmen aus der Nahrungsmittelindustrie hat mehrere Gesellschafter. Die Mehrheit liegt bei einem britischen Konzern, der an der Londoner Börse notiert ist. Er unterliegt daher den strengen Vorschriften der UK-Compliance. Damit muss der Vorstand in allen zum Konzern gehörenden Einheiten den UK Corporate Governance Code durchsetzen, auch wenn die rechtlich selbständigen Einheiten ihren Sitz nicht im Vereinigten Königreich haben. Dieser Code wird herausgegeben vom Financial Reporting Council (FRC). Diese legen fest, wie sich die Manager auf allen Ebenen hinsichtlich Wirtschaftlichkeit, Zuverlässigkeit, Vergütung, Führung und Information der Eigentümer verhalten sollen.

Alle börsennotierten Unternehmen im Vereinigten Königreich müssen in den Jahresabschlüssen berichten, wie sie diesen Anforderungen nachkommen. Die diesbezüglichen Regelungen sind vergleichbar mit den US-amerikanischen Regelungen zu Sarbanes-Oxley. Damit die britische Konzernleitung melden kann, alle Vorgaben umgesetzt zu haben, musste auch das deutsche Unternehmen einbezogen werden. Trotz der deutschen Mitgesellschafter mussten Mindestanforderungen in den Abläufen und Strukturen umgesetzt werden. Dazu war zunächst ein Gesellschafterbeschluss notwendig, der auch aufgrund der Vorteile für das Unternehmen selbst und den steigenden Ansprüchen in Deutschland ohne große Diskussionen erreicht werden konnte.

Hinweis

Kostenübernahme klären

Da die Ansprüche des britischen Gesellschafters zum Teil über die der deutschen Gesellschafter hinausgingen, musste die Frage der Kosten für den damit verbundenen Mehraufwand geklärt werden. Da dieser doch erheblich war, musste sich der britische Gesellschafter bereit erklären, diese Mehrkosten zu tragen. Damit waren die deutschen Gesellschafter entlastet.

Für die Umsetzung der Anforderungen des britischen Gesellschafters werden bestehende Wege genutzt. Im Konzern werden regelmäßig interne Audits zu besonderen Sicherheitsfragen durchgeführt. Die zentrale Abteilung "Internal Audits" gibt die Regeln vor, nach denen jährlich durch externe Prüfer interne Revisionen durchgeführt wurden. Diese Strukturen können jetzt ausgeweitet und in ein Projekt zur Installation eines GRC-Systems umgewandelt werden. Ein großer Vorteil gegenüber den Unternehmen, die bisher noch keinerlei interne Sicherheitsstrukturen aufweisen.

Die aktuellen Inhalte

In allen Unternehmen gibt es Abläufe und Regeln, die Governance, Risikomanagement und Compliance zugeordnet werden können. Meist werden sie allerdings nicht so bezeichnet und sind auch nicht systematisiert. Die hier beschriebene Gesellschaft aus der Nahrungsmittelindustrie ist keine Ausnahme. Es wurde jedoch schon Vorarbeit geleistet.

• Es gibt klare Strukturen in der Unternehmensführung. Diese kommen aus dem Konzern und setzen sich im Tochterunternehmen fort. Kontrollmechanismen werden von der Konzernmutter vorgegeben. Die Kontrollvorgaben sind unkontrolliert gewachsen und durch negative Erfahrungen geprägt.
• Als Unternehmen der Nahrungsmittelindustrie ist der Umgang mit Risiken eine permanente Aufgabe. Zertifikate wie IFS (International Food Standard) oder HACCP (Hazard Analysis and Critical Control Points) minimieren Produktrisiken. Darüber hinaus gibt es regelmäßige Besprechungen zur Beobachtung von möglichen Risiken.
• Im Nahrungsmittelbereich gibt es besondere gesetzliche Vorschriften. Regelmäßige Prüfungen durch interne und externe Stellen (z. B. Gewerbeaufsicht) sind an der Tagesordnung. Die ständige Veränderung von Vorgaben durch den Gesetzgeber, vor allem von der EU, zwingt zu schnellen und flexiblen Reaktionen.

Die vorhandenen Vorgaben und Anforderungen werden durch regelmäßige interne Audits des Konzerns geprüft und durchgesetzt. Dabei wird bisher darauf geachtet, so wenig wie möglich strikte Vorgaben zu machen sondern praktikable Alternativen umzusetzen. Dazu sind Argumente aus der deutschen Gesellschaft ebenso notwendig wie die Flexibilität der Auditoren aus dem Konzern.

Praxis-...