Diese Erkenntnis überrascht zumindest dann nicht, wenn man die genannten Funktionalitäten - ggf. unter Einbeziehung der Internen Revision - als Teilelemente eines umfassenden „Internen Kontrollsystems“ (IKS) versteht.

Unter einem IKS soll an dieser Stelle die Gesamtheit aller von der Unternehmensleitung angeordneten Vorgänge, Methoden und Maßnahmen (Kontrollmaßnahmen) verstanden werden, die dazu dienen, einen ordnungsgemäßen Ablauf des betrieblichen Geschehens sicherzustellen.1 Die Errichtung eines solchen Systems ist Ausdruck der sog. Corporate Governance, also der Gesamtheit aller rechtlichen und faktischen Aktivitäten der Unternehmensleitung, die auf die Führung, Kontrolle und Steuerung des Unternehmens abzielen.2 Bei Verwendung eines weiten IKS-Verständnisses wird man mit Recht (auch) die Unternehmensorganisation, das Risiko- und Compliance-Management sowie die Interne Revision als Teil eines (integrierten) IKS verstehen dürfen.

In diesem Kontext bildet die Unternehmensorganisation die formale Grundlagefür das Risiko- und Compliance-Management im Unternehmen. Die Aufgabe der Unternehmensorganisation ist es, die Verantwortlichkeiten der einzelnen Unternehmenseinheiten und dort tätigen Beschäftigten präzise festzulegen und die Ablauf- sowie die Zusammenarbeitsprozesse in und zwischen den Einheiten festzulegen.3

Diese Festlegungen bilden den Anknüpfungspunkt für das Rechts- und Compliance-Management. Beide Funktionen weisen ebenfalls diverse Schnittstellen/Wechselwirkungen auf. Das Risikomanagement zielt bekanntlich darauf ab, die ökonomischen Risiken einer Organisation (frühzeitig) zu erkennen, zu analysieren und zu bewerten, um daran anknüpfend die erforderlichen Maßnahmen zu treffen, um die Realisierung dieser Risiken möglichst zu verhindern bzw. die daraus resultierenden Nachteile soweit wie möglich zu minimieren (Risikosteuerung) sowie entsprechende Risiken künftig zu vermeiden. Daneben sind Risikokontrolle und Risikowälzung im Auge zu behalten.4 Das Compliance-Management versucht mit ähnlichen Mitteln die rechtlichen Risiken eines Unternehmens (rechtzeitig) zu erkennen, zu analysieren und zu bewerten, um deren Eintritt soweit wie möglich zu verhindern bzw. etwaige Nachteile aufgrund von Rechts- und Regelverletzungen so gering wie möglich zu halten.5 Da Rechtsrisiken sich nicht selten in ökonomischen Risiken realisieren, ist Compliance-Management letztlich als eigenständiger Teil eines umfassenden Risikomanagements und damit eines (weit verstandenen) IKS eines Unternehmens zu begreifen.6

Dieser Befund ist wiederum der maßgebliche Grund für die integrierte Behandlung von Unternehmensorganisation, Risiko- und Compliance-Management in diesem Buch. Die gewählte Darstellungsweise soll dazu beitragen, der Komplexität eines umfassend verstandenen Risikomanagements in der täglichen unternehmerischen Praxis sowie in der Unternehmensberatung besser gerecht zu werden.

Wer sich im Unternehmen - sei es als Führungskraft, sei es als externer Berater - mit Fragestellungen der Unternehmensorganisation, des Risiko- oder des Compliance-Managements befasst, wird - wie bereits eingangs angemerkt - feststellen, dass Problemlösungen in einem der genannten Bereiche sehr oft die Beantwortung von Fragestellungen aus dem einen oder anderen Bereich erfordern. Wer dann erwartet, für diese „interdisziplinäre“ Fragestellung unschwer Hilfestellung in entsprechend angelegter Fachliteratur zu finden, wird erstaunt feststellen, dass das Angebot insoweit nicht übermäßig breit ist. Grundlegende und eingehende Darstellungen finden sich zwar mittlerweile zu allen genannten Bereichen7 ebenso wie zu den angrenzenden Themen IKS und interne Revision.8 Literatur, die die vorstehenden Disziplinen in Bezug auf ihre Schnittstellen, Wechselwirkungen und Abhängigkeiten eingehender beschreibt, ist dagegen weniger häufig anzutreffen.9

Eine integrierte Betrachtung von Unternehmensorganisation, Risikomanagement und Compliance und daran anknüpfend ein holistisches Management dieser Funktionalitäten ist jedoch (auch) bei mittelständischen Unternehmen nicht bloß ein „Kostenverursacher“,10 sondern schafft nicht unerheblichen (Mehr-)Wert, wie folgende Überlegungen zeigen:

Die Existenz von Unternehmensorganisation, Risiko- und Compliance-Management ebenso wie die Einrichtung einer internen Revision werden zunehmend auch in mittelständischen Unternehmen zum „Stand der Technik“.11 Grund dafür dürften diverse gesetzliche Vorschriften12 sein ebenso wie vielfältige untergesetzliche Regelwerke von Behörden und Organisationen.13 Zu erwähnen ist auch das Urteil des Landgerichts München I vom 10.12.2013,14 das eine Reihe von konkreten Vorgaben für ein Compliance-Management macht, damit es den gesetzlichen Vorschriften entspricht.15

Diese aus volkswirtschaftlicher Sicht an sich begrüßenswerte Institutionalisierung und Strukturierung des Managements operativer und rechtlicher Risiken hat allerdings noch gewisse Schwächen bzw. Nachteile. Diese resultieren primär daraus, dass sämtliche genannten Funktionen, sofern implementiert, parallel vorgehalten werden und mehr oder weniger isoliert in ihrem jeweiligen „Zuständigkeitsbereich“ arbeiten. Zumindest in Teilbereichen kommt es auf diese Weise zu inhaltlichen und/ oder funktionalen Überschneidungen.16 Entweder werden Sachverhalte mehrfach bearbeitet oder es kommt zu Diskussionen über die „Bearbeitungszuständigkeit“ oder - noch schlimmer - zu beiden Effekten.

Diese unbefriedigende Ineffizienz kann auch nicht immer auf Ebene der Geschäftsleitung vermieden werden, da die beteiligten Funktionalitäten nicht durchweg auf Geschäftsleitungsebene in einem Ressort/einer Person verbunden sind.17 Auch unterhalb der Geschäftsleitung sehen die derzeit gängigen Organisationsmodelle in der Regel keine „Personalunion“ hinsichtlich der in Rede stehenden Funktionen vor.

Durch die Fragmentierung, in Bezug auf die Gesamtrisikosituation, entstehen vielfach nur Teilbilder, die wiederum nur Teillösungen von Problemen ermöglichen. Daneben kommt es durch die angesprochene Mehrfachbearbeitung zu redundanten Abfragen mit entsprechender „bürokratischer“ Belastung bei den operativen Bereichen und anschließend zu Mehrfachberichterstattungen an die Geschäftsleitung und/oder einzelne Mitglieder des Gremiums.

Trotzdem - oder gerade deswegen - entstehen auf diese Weise unerwünschte Informationslücken in Bezug auf die Risikosituation.18 Fehlende Abstimmung und asymmetrische Informationen in Bezug auf eine Risikosituation können unvernetzte (Ad-hoc-)Aktivitäten einzelner Führungsverantwortlicher im Krisenfall erzeugen, die nicht zwingend die für das Gesamtunternehmen beste Lösung darstellen. Es fehlt mit anderen Worten eine optimale Gestaltung der relevanten Geschäftsprozesse19

Eine faktisch-wissenschaftlich fundierte Aufarbeitung der vorstehenden Problematik steht - soweit ersichtlich - derzeit noch weitgehend aus. Aktuell finden sich diverse Ansätze für Verbesserungsvorschläge, ohne dass sich bisher ein allgemein akzeptierter Lösungsansatz durchgesetzt hätte.20

Zunehmend diskutiert wird in jüngster Zeit ein sog. GRC-Ansatz, wobei „GRC“ für Governance Risk und Compliance steht. Darunter wird ein integrierter, holistischer Ansatz verstanden, der auf unternehmensweit angelegte Organisationssteuerung (Governance) unter Einschluss des Risiko- und Compliance-Managements abzielt und der gewährleisten soll, dass sich das Unternehmen insgesamt entsprechend dem festgelegten Risikoappetit unter Beachtung rechtlicher und ethischer Vorgaben verhält. Dies soll durch eine Abstimmung von Organisation, Prozessen und Strategien erreicht werden, die auf der integrierten Praktizierung der genannten Funktionalitäten beruht.21

Der CGO bzw. das GRC-Office sollen als Stabstelle bei der Geschäftsleitung bzw. deren Vorsitzendem eingerichtet werden und unmittelbar an diese(n) berichten. Dabei wird eine Zusammenlegung mit der Funktion des Chief Compliance Officers oder des Leiters der Rechtsabteilung erwogen.

Der Aufgabenumfang de...