Der Chef ist gefragt

Netzwerken, Kommunizieren, Delegieren und eben Führen – das sind wesentliche Merkmale eines guten Risiko-managers. Eine komplexe Aufgabe in einem komplexen Umfeld mit einer zunehmenden Verknüpfung unterschiedlicher Geschäftsbereiche und Funktionen. Denn das Ziel sind reibungslose Prozesse und Geschäftsabläufe im Unternehmen – und diese verlangen gleichzeitig Regeln, Vorschriften und ein gesetzeskonformes Vorgehen. Im Umkehrschluss heißt das: Leitplanken dienen auf dem Organisationsweg als Navigationshilfe. Und das verlangt eine intelligente Verknüpfung von Risikomanagement und Compliance.

Ohne Risiken keine Chancen. Soweit das etwas plakative Bild, wie Unternehmen auf dem Erfolgsweg vorgehen sollten. Konservativer formuliert es beispielsweise die Wirtschaftsprüfungsgesellschaft KPMG auf den eigenen Internetseiten: „Die Übernahme von Risiken bildet den Kern unternehmerischen Handelns und ist unabdingbar für den geschäftlichen Erfolg.“ Soweit verständlich.

Teils unverständlich, weil immer komplexer, werden dagegen Unternehmensprozesse und -strukturen samt der sich permanent wandelnden Marktgegebenheiten in Verbindung mit schärferen Regeln und Sanktionen durch nationale und internationale Vorgaben und Gesetze (unter anderem BilMoG, KonTraG, Deutscher Corporate Governance Kodex). Sich in diesem Minenfeld zu bewegen, ist nicht leicht und setzt Sachverstand, das Wissen um Zusammenhänge und Regelkunde voraus. Experten wissen: Wer sich in diesem Spannungsfeld sicher bewegt, erlangt einen klaren Wettbewerbsvorteil.

Dementsprechend sehen Experten umfassende Fragestellungen auf die Führungsebene der Unternehmen zukommen – von der Risikoidentifizierung über die Integration von Risikomanagement und Compliance in die strategische Unternehmensführung bis zum regelkonformen Handeln aller Mitarbeiter. Im Grunde bedeutet das, dass die Geschäftsführung in die Lage versetzt wird, aggregierte, einheitliche, aktuelle und schnell zu erfassende Informationen über die Gesamtorganisation zu erhalten. Die Grundvoraussetzung für ein vorausschauendes Handeln im Sinne des Unternehmens. Soweit die Idealvorstellung über die Einheit von Risikomanagement und Compliance.

Die Realität sieht indes in vielen Unternehmen anders aus. Ein Blick in die Organisationswelt genügt, um festzustellen, woran es hapert. Auf der einen Seite steht in Unternehmen das Risikomanagement mit dem Risikomanager und auf der anderen Seite agiert der Bereich Compliance mit dem Compliance Officer. Beide tun in ihrem Bereich ihr Bestes, aber leider nicht im Sinne der Gesamtorganisation und eines einheitlichen Vorgehens. Es werden Prozesse und Strukturen aufgesetzt, leider getrennt. Es wird an die Führungsebene berichtet, leider getrennt. In dieser Form bleibt das ganze Risikomanagement- und Compliance-Vorhaben bruchstückhaft, mit heterogenen Informationen ohne einen Gesamtzusammenhang für die Organisation und ihre Entscheider. Schlimmer noch: Die Rückschlüsse aus solchen Insellösungen führen Unternehmen in die Sackgasse.

Das leuchtet ein, blickt man auf die komplexen Strukturen und Verflechtungen, in denen sich Unternehmen in unserer schnelllebigen Wirtschaftswelt bewegen müssen. Die Beratungsgesellschaft Deloitte spricht in einem Papier zu „Compliance im Mittelstand“ davon, „dass die Öffentlichkeit eine große Sensibilität dafür entwickelt hat, ob Unternehmen die geltenden Regeln für verantwortliches unternehmerisches Handeln beachten“.

Die „Compliance-Felder“ sind vielfältig und reichen von den Unternehmenszielen und der -planung über den Einkauf, die Logistik und IT bis zum Reporting, den Steuern und dem Verhaltenskodex. Kleinste Fehler in diesem System können fatal enden, mit immensen Kosten und Reputationsschäden. Die großen Negativbeispiele vom geplanten Hauptstadtflughafen über die neue Elbphilharmonie bis zum Stuttgart-21-Projekt sind warnende Zeitzeugen schlechter Risikomanagement- und Compliance-Strukturen.

Und doch spielen sich viele Vergehen in diesem Bereich auf weniger glanzvollen und bekannten Feldern ab. Mangelnde Risikomanagementstrukturen, Bestechung und Korruption zwingen so manches Unternehmen in die Knie. In Zahlen ausgedrückt heißt das: 75 Millionen Euro Bußgeld für drei Automobilzulieferer wegen illegaler Preisabsprachen. Drei Jahre Haft für einen deutschen Top-Manager aufgrund von Steuerhinterziehung und Untreue. 4,3 Milliarden US-Dollar Strafe für sechs Großbanken wegen manipulierter Devisenkurse.

Umso wichtiger ist die Verknüpfung von Strukturen und Prozessen hin zu einem qualitativ hochwertigen Gesamtsystem namens Governance, Risk und Compliance (GRC). Dies steigert die Sicherheit im Umgang mit unternehmensweiten Risiken und hilft, eine transparente Sicht über den kompletten Steuerungs- und Kontrollmechanismen in der Organisation zu erlangen. Im Klartext heißt das: Ein wirkungsvolles, in das Gesamtrisikomanagement eingebundenes, Compliance-Management erweitert die Vorausschau sowie den Risiko- und Chancen-Radar.

Bei allen Prozessen, Lösungen und Strukturen ist es wichtig, dass diese praxistauglich bleiben. Das heißt, klein anfangen und eine Gesamtlösung aufbauen. Der Detaillierungsgrad der Analysen und Modelle ist ebenfalls sorgfältig zu wählen. Mithilfe fortgeschrittener Ansätze lassen sich zwar unter Umständen genauere Ergebnisse erzielen. Diese stellen aber gleichfalls hohe Anforderungen an die Qualität der Daten-Inputs und das Verständnis der Beteiligten. Generell gilt hierbei: Eher einfache Methoden anwenden, die breit akzeptiert sind und „gelebt“ werden. Diese sind in der Regel effektiver als eine „High-End“-Lösung, die Mitarbeiter überfordert und am Ende abgelehnt wird. Das „Manager Magazin“ schrieb in diesem Kontext vor einigen Monaten, „dass Compliance- und Risikomanagementsysteme ‚vor Ort‘ durchaus unerwünschte, hemmende Nebenwirkungen entfalten können und dann nur als bürokratische Belastung oder bloße Pflichtübung empfunden werden – sie verlieren so an Wirkung und Nutzen“. Das Magazin beschreibt skurrile Compliance-Praktiken, bei denen selbst „Mini-Vorgänge flächendeckend der Genehmigung durch die Compliance-Organisation“ unterliegen. Das lähmt die Organisation.

Was es braucht, sind praxisnahe und einfache Regeln, die jeder Mitarbeiter verinnerlichen und nachvollziehen kann. Ist dies der Fall, wird ein Risiko- und Compliance-Management erfahrbar und gelebt. Und damit wären wir wieder bei der Einstiegsfrage: Ja, auch dafür braucht es einen Chef. Der muss mit gutem Beispiel vorangehen, den Gesamtprozess initiieren, vorleben und überwachen. Ergo sind Risikomanagement und Compliance zunächst Chefsache.