„Schöne neue Welt GRC?“ Dieser Frage gingen Dr. Kathrin Niewiarra, Gründerin und Geschäftsführerin des Compliance Channel, Christoph Horn, Leiter Interne Revision, Risikomanagement und Compliance der EGT AG, Peter Fey, Leiter Interne Revision/General Manager Internal Auditing bei der SMS GmbH und Smail Maksen von der HG Group gemeinsam mit Dr. Karsten Schnetzer, Group Audit & Risk Management, Insurance von der Deutschen Telekom AG nach.

Mit der Wahl des Romantitels „Schöne neue Welt“ von Aldous Huxleys berühmtesten Roman, eröffnete – ob gewollt oder nicht – eine interessante Perspektive auf das Selbstverständnis der Kontrollgremien in den Unternehmen. Risk Management, Compliance und Interne Revision – kurz GRC: Wieviel Kontrolle ist gut und notwendig und was kann, darf, soll und müssen Kontrollfunktionen in den Unternehmen leisten?

Die Eingangsstatements der Teilnehmer zeigten dabei schon die Bandbreite auf, die die Frage aufwarf, wie Risk Management, Compliance und Interne Revision zusammen agieren sollten. Compliance ist mehr als Recht, so Niewiarra. Compliance sei vielmehr integraler Bestandteil der Wertestrategie des Unternehmens. Aus Sicht von Maksen gehört Risk Management und Compliance immer zusammen in einer Organisation. Eine bloße Zusammenarbeit reiche seiner Ansicht nach nicht aus. Vielmehr müssen Methoden und Tools integriert sein. Horn stellte die Frage, ob die drei bekannten Verteidigungslinien in der bisherigen Form überhaupt noch Sinne machen. Und Fey zielte in seinem Statement auf den Aspekt der Kultur ab: Führungs-Kultur, Fehler-Kultur und Vertrauens-Kultur seien wichtiger als Tabellen und Regelwerke, so sein Eingangsstatement.

Integration – aber nicht um jeden Preis

Weitestgehend einig war man sich auf dem Podium, dass die Zusammenarbeit zwischen den Funktionen verbessert – und wo noch nicht vorhanden – aufgebaut werden müsse. Dabei braucht es keine riesige Organisation. Viel wichtiger sei es, sich auf einen gemeinsamen kleinen Nenner zu einigen. Die Bemühungen zu einem integrierten Ansatz dürfen dabei aber nicht als Sparprogramm missverstanden werden. Richtig sei vielmehr, dass integrierte und aufeinander abgestimmte Funktionen besser seien für das Unternehmen – und wenn durch Zusammenlegung und Vermeidung von Doppelstrukturen und -untersuchungen auch noch Geld gespart werde könne, sei dies umso besser – auch vor dem Hintergrund der Akzeptanz von Compliance, Risk Management und Interner Revision.

Diskutiert wurde auch die Frage, wer – sofern die Funktionen integriert sind – im Lead ist. Bei aller Einigkeit zeigte nämlich gerade diese Frage die unterschiedlichen Wahrnehmungen auf, geprägt von Aspekten wie Größe, Einfluss, Status und Tradition in den jeweiligen Unternehmen.

Wo GRC in drei Jahren steht, dazu zeigte sich auf dem Podium eine breite Varianz von Antwortmöglichkeiten. Während Niewiarra GRC in drei Jahren als Teil eines operativen Ganzen, einer operativen Einheit sieht, wird die Frage nach Ansicht von Horn auch noch in drei Jahren nicht beantwortet sein.

Die gesamte Diskussion können Sie hier auf den Seiten des Compliance Channel noch einmal verfolgen. Im ersten Teil des Tagungsberichtes erfahren Sie, warum Compliance nicht allein ist und im dritten Teil, warum es kein richtiges leben im falschen gibt, auch nicht für Compliance.
 

Weiterführende Literatur

Einen Überblick über das Three Lines of Defence-Modell gibt Prof. Dr. Marc Eulerich im ZIR-Beitrag (2/2012): „Das Three Lines of Defence-Modell. Ein mögliches Rahmenwerk für die Positionierung der Internen Revision“. Über das Verhältnis von Interner Revision und Risikomanagement gibt Carolin van Uum im ZIR-Beitrag (5/2015) „Interne Revision und Risikomanagement – Die Risikoüberwachung vor dem Hintergrund des Three Lines of Defense-Modells. Theoretische Grundlagen und praktische Akzeptanz“ Auskunft. Die ZIR ist integraler Bestandteil von COMPLIANCEdigital und steht Abonnenten der Datenbank kostenfrei zur Verfügung. Noch kein Abonnent? Testen Sie COMPLIANCEdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier.

(ESV/ms)