Corporate Compliance für den Mittelstand
Corporate Compliance für den Mittelstand Das Erfüllen nationaler und internationaler Governance-Anforderungen wie etwa die des Deutschen-Corporate-Governance-Kodex verunsichern zunehmend den deutschen Mittelstand. Dabei ist die Umsetzung kein Hexenwerk und oft mit »Bordmitteln« zu erreichen.
- Corporate Compliance für den Mittelstand
- Corporate Compliance für den Mittelstand (Fortsetzung)
Schon lange bevor der Sarbanes-Oxley Act 2001 erlassen wurde und damit das amerikanische Unternehmensrecht reformierte, hat der deutsche Gesetzgeber 1998 mit dem Kontroll- und Transparenzgesetz (KonTraG), dem Transparenz- und Publikationsgesetz (TransPuG) oder dem 2001 erlassenen Deutschen-Corporate-Governance-Kodex Kapitalgesellschaften verpflichtet, sich mit Governance-Themen auseinander zu setzen. Zielsetzung sowohl der deutschen als auch der amerikanischen Gesetzgebung ist es, durch folgende vier Punkte aktives Risikomanagement zu betreiben und somit das Vertrauen des Kapitalmarktes zurück zu gewinnen:
• Mehr Transparenz und verbesserte Informationspolitik
• Unabhängigkeit der Prüfungsorgane und mehr Überwachung
• Verantwortungsvoller Umgang mit Risiken sowie
• Ausrichtung auf eine langfristige Wertschöpfung
Abgebildet sind diese Zielsetzungen in einem integrierten Risikomanagementsystem (im weitesten Sinne) mit den folgenden vier Kernaufgaben: Das Controlling hat die Funktion der Planung, Steuerung und Kontrolle im Unternehmen, soll Effektivität und Effizienz sicherstellen und somit für eine gesicherte, langfristige Wertschöpfung sorgen. Unter Risikomanagement (im engeren Sinn) werden hier alle Aktivitäten zusammengefasst, die sich mit den eher schwer quantifizierbaren Risikofaktoren beschäftigen, die den Geschäftsbetrieb und die wertschöpfenden Prozesse behindern oder sogar verhindern können. Das interne Kontrollsystem wiederum umfasst alle Formen von prozess- und organisationsimmanenten Steuerungs- und Kontrollmaßnahmen, die in die wertschöpfenden Geschäftsprozesse integriert sind und somit für eine korrekte Prozessdurchführung und eine verlässliche Berichterstattung sorgen. Die interne Revision ist eine unabhängige, unternehmensinterne Funktion, die auf einer übergeordneten Ebene die eingesetzten Kontrollmaßnahmen stets auf Wirksamkeit überprüft und die Einhaltung gesetzlicher Vorschriften überwacht. Die Konzeption eines solchen Governance-Systems, die Anpassung an die wertschöpfenden Geschäftsprozesse sowie die gleichzeitige Ausrichtung an den Anforderungen des Unternehmens gelten hierbei als größte Herausforderung. »Was muss konkret kontrolliert werden?« »Wie wird die Qualität der Prozesse gemessen und sichergestellt?« »Welche Methoden stehen zur Verfügung?« Das sind die Kernfragen, die sich verantwortliche Geschäftsführer hierbei stellen müssen. Um die unternehmerischen, IT-bezogenen Risiken zu managen und die damit verbundenen Kontrollen in einem IT-Governance-Modell systematisch umzusetzen, empfiehlt sich die Verwendung von Referenzmodellen wie Cobit und ITIL. Da die gänzliche Umsetzung der Modelle aber als kostspielig und sehr aufwändig gilt, sehen sich betroffene mittelständische Unternehmen oft überfordert und nicht in der Lage, die Auflagen zu erfüllen. Dabei ist es bereits mit dem richtigen Konzept und mit dem Einsatz bewährter und praxisorientierter Bordmittel sowie Teilen aus Cobit und ITIL möglich, den Anforderungen gerecht zu werden, ohne die vollständigen Modelle implementieren zu müssen. Dabei werden zunächst die gesetzlichen Richtlinien aufgegriffen und auf Basis der Geschäftsanforderungen sowie ausgesuchter Kontrollziele aus dem Cobit-Framework konkretisiert. Anschließend werden diese durch pragmatische und erprobte Vorgehensweisen operativ umgesetzt.
