Im Managementjargon geht es viel um die Vokabel „integriert“, seien es integrierte Systeme, Lösungen, Plattformen, Prozesse oder Strategien. Die Aufzählung dürfte nicht abschließend sein. Sie zeigt aber, dass Organisationen und ihre Entscheider dem Adjektiv integriert eine hohe Bedeutung zuschreiben. Ein Beispiel bildet der integrierte GRC-Ansatz.
Allgemein versteht der Duden unter integriert, wenn „das Unterschiedliche, Verschiedenartige miteinander verbunden“ wird. Und so versuchen auch Risikomanager die unterschiedlichen Disziplinen „Governance, Risk und Compliance“ zu verknüpfen. Das Ganze nennt sich GRC. Dieser GRC-Ansatz dient vielen Unternehmen als geeignetes Modell des Gesamtrisikomanagements.
GRC-Modelle – Mehrarbeiten und Lücken durch Koordinationsmängel
Doch mit Blick auf diesen GRC-Ansatz sei nach Prof. Werner Gleißner, Vorstand der FutureValue Group und Honorarprofessor an der Technischen Universität Dresden, Vorsicht geboten. Davon berichtete Gleißner im Rahmen des vergangenen Risk Management Congress in München. „Hinsichtlich der Eignung des GRC-Modells trifft dies bestenfalls nur mit Einschränkungen zu“, weiß Gleißner. Und er ergänzt: „Im schlimmsten Fall entstehen Mehrarbeiten oder Lücken im System durch Koordinationsmängel.“ Hintergrund ist, dass GRC-Modelle typischerweise nicht auf die Vorbereitung „unternehmerischer Entscheidungen“ (§93 AktG) ausgerichtet sind. Damit seien sie nach Gleißners Worten nicht geeignet, eine zentrale Anforderung an das Risikomanagement zu erfüllen. Und die heißt: das Aufzeigen von Risiken bei bevorstehenden Unternehmensentscheidungen. Gleißner: „Das Risikomanagement hat sicherzustellen, dass bei der Vorbereitung unternehmerischer Entscheidungen die mit diesen verbundenen Risiken aufgezeigt werden.“ Dies vor Augen zeigt, dass die Analyse und Aggregation von Risiken, die sich aus einer Managemententscheidung ergeben würden (beispielsweise bezüglich einer Investition), eine enge Verknüpfung von Risikomanagement und Controlling erfordert.
Neuer Denkansatz mit dem GRC²-Modell
Ein integratives und entscheidungsorientiertes Risikomanagement benötigt auf jeden Fall eine Verknüpfung mit dem Controlling. Infolgedessen sollte man statt an ein GRC-Konzept an ein GRC²-Modell denken. Dies bedeutet: Governance, Risk, Compliance und Controlling. Eine aktuelle Studie zeigt, dass für ein modernes und entscheidungsorientiertes Risikomanagement die Verknüpfung von Risikomanagement und Controlling Priorität haben sollte (siehe Infokasten: „Zur GRC-Studie“). Traditionelle GRC-Konzepte sind nämlich oft eher eine Sackgasse auf dem Weg zum integrativen Risikomanagement. Die häufig ausgeprägte „Compliance-Ausrichtung“ führt nämlich dazu, dass Risiko nicht als mögliche Planabweichung (Chance und Gefahr) verstanden oder gar eine Risikominimierung angestrebt wird. Tatsächlich soll sich das Risikomanagement mit Chancen und Gefahren (Risiken) befassen und bei der Vorbereitung unternehmerischer Entscheidungen dazu beitragen, dass das Ertrag-Risiko-Profil eines Unternehmens und damit der Unternehmenswert verbessert werden. In Verbindung mit dem Controlling ein echter Mehrwert für das Gesamtrisikomanagement – integriert und schlussendlich entscheidungsorientiert.
Prof. Werner Gleißner und seine Sicht auf GRC² anlässlich des Risk Management Congress 2022 im Mai in München. (Bildquelle: RMA)
Zur GRC-Studie
Eine aktuelle Studie steht unter dem Titel: „GRC ist ein Problem – und GRC² die Lösung: Governance, Risk, Compliance und Controlling.“ Die Ergebnisse werden in den kommenden Wochen veröffentlicht. Herausgeber der Studie sind Dr. Werner Gleißner, Vorstand der FutureValue Group und Honorarprofessor an der Technischen Universität Dresden, sowie Dr. habil. Patrick Ulrich, W3-Professor und Leiter des Aalener Instituts für Unternehmensführung (AAUF) sowie Privatdozent an der Universität Bamberg.