Risiken überwachen und steuern: Vertrauen ist keine PIN mit drei Versuchen

Vertrauen ist keine PIN mit drei Versu

Verspieltes Vertrauen zurückzugewinnen, kann Jahre dauern

Keyfacts über Risikomanagement

  • Risikomanagementsysteme klammern häufig das Risiko von Rechtsverstößen aus
  • Rechtsverstöße eines Unternehmens führen zu Reputationsverlust und finanziellen Schäden
  • Die aktuellen Strukturen in der Steuerung der Unternehmensrisiken sind veraltet
Zusammenfassung lesen

Die wertvollsten Marken der Welt haben eines gemeinsam: Sie schaffen Vertrauen und sind unverwechselbar. Hat jedoch ein Unternehmen erst einmal sein Vertrauen verloren, so dauert es oft Jahre, dieses zurückzugewinnen. Warum aber übersehen Unternehmen wichtige Risiken?

Wofür steht mein Unternehmen, wo ist es erfolgreich, was kann es besser als andere? Wer weiß, wie er eine Marke aufbaut und führt, schafft puren Wert. Kontinuität in der Markenführung zahlt sich aus.

Vertrauen kann über Nacht zerstört werden – es wiederherzustellen dauert Jahre.

Unstimmigkeiten zwischen Selbstbild und Fremdwahrnehmung schaffen gefährliche Brüche. Ist das Vertrauen einmal zerstört und die Reputation beschädigt, dann dauert es oft Jahre, bis unter hohem finanziellem Aufwand das Vertrauen in die Unternehmen wiederhergestellt ist; manche jedoch erholen sich nie von einem Imageschaden.

Korruption, Kartell, Datenschutz oder Geldwäsche –Anlässe für Skandale gibt es viele.

Passiert in deutschen Unternehmen ein Skandal und das Vertrauen von Öffentlichkeit, Anlegern, Lieferanten und Kunden wird zerstört, dann sprechen die meisten gerne von den „inhärenten Grenzen der Kontrollsysteme“, „menschlichem Versagen“ oder „krimineller Energie“. In vielen Fällen mag das auch stimmen, einige andere Dinge fallen dabei jedoch einfach durchs Raster.

Unternehmen waren in den vergangenen Jahren eifrig dabei, drei wesentliche Säulen der Corporate Governance reaktiv aufzubauen:
1.Säule: Das interne Kontrollsystem, getrieben durch den Enron-Fall.
2.Säule: Das Risikomanagement, getrieben durch die Finanzkrise.
3.Säule: Das Compliance Management, getrieben durch den Siemens-Fall.

Die Säulen sind so definiert, als gebe es zwischen ihnen keine Gemeinsamkeiten. Das ist insofern interessant, weil sich diese Bereiche überhaupt nicht trennen lassen. Über potentielle Ineffizienzen einer solchen Struktur ist schon berichtet worden. Ich gehe aber noch einen Schritt weiter und meine, dass dies auch von hoher Ineffektivität geprägt ist.

Die aktuell gelebte Corporate Governance leidet unter ihrer Parallelstruktur.

Das Risikomanagementsystem der meisten Unternehmen konzentriert sich auf strategische und operative Gefahren. In den seltensten Fällen bildet es aber auch Risiken aus Rechtsverstößen ab. Treten diese jedoch ein, erzeugen diese neben dem Reputationsverlust sehr wohl teils dramatische finanzielle Schäden.

25,4 Mrd.

Euro betrug der Markenwert von Mercedes Benz 2015.

Nach der gängigen Meinung ist die Identifizierung und Steuerung von rechtlichen Risiken im so genannten „Risk Assessment“ im Compliance-Bereich aufgehängt.

Das erstaunt insofern, als ausreichend Studien belegen, dass Compliance-Management-Systeme noch gar nicht vollständig Einzug insbesondere im Mittelstand gefunden haben.

Vor allem der Mittelstand ist aber bei Eintritt eines Rechtverstoßes massiv betroffen. Folgeschäden können diese Unternehmen oftmals an die Grenze der Insolvenz bringen und leider vielfach darüber hinaus. Der Vertrauensverlust bei Familienunternehmen ist besonders bedenklich.

Fakt ist: Compliance-Risiken werden hierzulande in Compliance-Management-Systemen oftmals auf bestimmte populäre rechtliche Teilbereiche reduziert.

Viel ist die Rede von Antikorruption und Kartellrecht. Aber was ist mit brandaktuellen Fällen wie dem bewussten Verstoß gegen ausländische Umweltschutzauflagen? Wer hatte dieses Risiko in seiner Corporate Governance auf dem Schirm?

Mir sind nur sehr wenige Compliance Risk Assessments von Unternehmen bekannt, die in dieser Breite nach rechtlichen Risiken suchen. Und dennoch ist es die Pflicht eines Unternehmens dies zu tun, will es die eigene Marke nicht dauerhaft beschädigen.

Das interne Kontrollsystem (IKS) fängt diese Verstöße oft gar nicht auf, es dockt sich in der Regel nur an das Risikomanagement an. Dort steuert es dann eben nur jene Risiken, die das Risikomanagement auch identifiziert und bewertet.

Außerdem wird IKS vielfach leider immer noch ausschließlich mit der Rechnungslegung in Verbindung gebracht. Ein implizites Management von Rechtsrisiken ist also hier ganz sicher nicht zu erwarten.

Die aktuellen Strukturen in der Steuerung der Unternehmensrisiken sind veraltet.

Um das Vertrauen der Öffentlichkeit zu gewinnen und zu erhalten, müssen Unternehmen mit einem geschlossenen System demonstrieren können, dass Risiken, welcher Art auch immer, möglichst breit überwacht und gesteuert werden.

Es wird dringend Zeit, dass wir uns stärker mit der Integration beschäftigen. Für eine deutlich schlankere und gleichzeitig wirksamere Governance.

20. Oktober 2015
Zusammengefasst

»Die aktuellen Strukturen in der Steuerung der Unternehmensrisiken sind veraltet. «

Das Risikomanagementsystem der meisten Unternehmen konzentriert sich auf strategische und operative Gefahren. In den seltensten Fällen bildet es aber auch Risiken aus Rechtsverstößen ab. Treten diese jedoch ein, erzeugen sie neben dem Reputationsverlust teils dramatische finanzielle Schäden. Folgeschäden können Unternehmen oftmals an die Grenze der Insolvenz bringen und leider vielfach darüber hinaus. Der Vertrauensverlust bei Familienunternehmen ist besonders bedenklich.

Jens C. Laue Head of Governance und Assurance Services
Ganzen Artikel lesen

Kommentare

Welche Bereiche müssen beim Risikomanagement berücksichtigt werden?

Kommentar von Jens Hartke
20. Oktober 2015 | 10:06 Uhr

Die 3 Säulen des House of Governance in den richtigen Zusammenhang gebracht. So wird ein Schuh draus. Diese intelligent und innovativ verknüpfen und der erste hilfreiche Schritt – auch für den Nachweis der erforderlichen Prävention – ist leicht gemacht.

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen