Governance und Compliance sind die härtesten Spaßbremsen im Business. Wir geben unendlich Geld für scheibar nutzlose Dokumentationen und Formularkram aus und demotivieren unsere Leute mit bürokratischen Prozeduren. Immer wenn der Gesetzgeber neue Vorschriften erlässt, freuen sich Berater auf einen kräftigen Schub im Geschäft. Im Moment blüht die Branche der Datenschützer. Aber mit etwas Distanz kocht man das scheinbar so große Thema auf ein einfaches Prinzip herunter: gewissenhaftes und vorausschauendes Risiko-Management.
Die letzte Finanzkrise hat uns vor Augen geführt, wie viele Firmen, Arbeitnehmer und Verbraucher leiden, wenn einzelne Unternehmen Risiken ignorieren. Je stärker unsere Wirtschaft verflochten arbeitet, desto größere Auswirkungen haben Risiken, wenn sie eintreten. Wir tragen nicht mehr nur Verantwortung für uns selbst. Darum erlässt die Gesetzgebung immer wieder neue Regulierungen. Risikovorsorge wird zur Unternehmerpflicht.
Risikomanagement passt nicht zum Gründermythos
Unternehmer sind aber in der Regel Menschen, die ein Glas eher halb voll sehen als halb leer. Sie sehen eher die Chancen als die Risiken – mit einer anderen Haltung würden sie nicht vom Fleck kommen. Sie wollen Unternehmer sein und keine Unterlasser. Der Mythos vom Entrepreneur erzählt vom Wagnis, vom beherzten Zugreifen. Keiner erzählt davon, dass Gründer alle Risiken sorgsam abwägen bevor sie handeln. Vorausschauendes Risikomanagement, Governance und Compliance passen nicht zum tradierten Unternehmerideal.
Aber wir leben nicht mehr in Pionierzeiten, und da hilft es auch nicht, den Mythos immer wieder aufzuwärmen. Pioniere sind nur für sich selbst verantwortlich. Führung in der vernetzten Welt erfordert mehr Reife – fordert Verantwortung für ein Ganzes. Führung heißt entscheiden, welche Risiken das Unternehmen für relevant hält. Dazu muss ich meine Risiken kennen und respektieren. Dann kann ich entscheiden, wie ich ihnen begegne: Will ich für den Risikofall vorsorgen und den Schaden begrenzen? Will ich Sicherheit aufbauen und den Risikofall vermeiden? Will ich mein Risiko auf Versicherungen abwälzen? Oder will ich es einfach aushalten?
Governance heißt mit Verantwortung Führen
Und weil nicht alle Unternehmer diese Reife an den Tag legen, wird immer mehr Risikovorsorge mit neuen Vorschriften zur Pflichtübung erklärt. Dass die Politik damit nicht selten über das Ziel hinausschießt, ist dem politischen System geschuldet – es lebt vom Kompromiss. Das kann man blöd finden, ändern kann man es aber nicht.
Also müssen wir mit dem Regulierungswesen umgehen. Und das wird deutlich leichter, wenn wir nicht im Vordergrund die Anforderung der Regulierung sehen, sondern auf die Risiken schauen, die damit minimiert werden sollen. Warum erlässt der Gesetzgeber zum Beispiel eine umfangreiche Datenschutzgrundverordnung? Wer sich an die Meldungen über Datenklau bei großen Internetunternehmen erinnert, wird den Sinn schnell erkennen.
Wir müssen die abstrakt beschriebenen Risiken auf das eigene Unternehmen herunterbrechen. Welche Daten von Verbrauchern, Arbeitnehmern, Unternehmen habe ich denn? Welcher Schaden kann durch Missbrauch dieser Daten angerichtet werden?
Die wirklichen Risiken für das Unternehmen erkennen
Wenn Sie sich vornehmen, die wirklichen Risiken für Ihr Unternehmen, Ihre Kunden, Ihre Mitarbeiter, Ihre Umwelt zu minimieren, dann geht es nicht mehr darum, eine neue Vorschrift zu erfüllen, sondern sinnvolle Vorsorge für Ihr Unternehmen zu betreiben. Das fühlt sich nicht nur anders an – es führt auch zu einer effektiveren Organisation.
Aber was, wenn Sie bestimmte Risiken für Ihr Unternehmen gar nicht so schlimm finden? Wenn der Kunde einen Newsletter bekommt, der keinen will, kann er ihn ja abbestellen. So what? Wenn das Risiko, das Ihnen der Gesetzgeber zu beachten vorschreibt, für Sie irrelevant scheint, dann benennen Sie es auch so. Die wichtigste Entscheidung im Risk-Management ist die Einschätzung über die Relevanz möglicher Risiken. Und die kann Ihnen keine Vorschrift, kein Rahmenwerk und kein Berater abnehmen.
Wenn der Staat Ihnen übervorsichtig erscheint und Sie ein Risiko für Ihr Unternehmen nicht so wichtig finden, dann sind die vorgeschriebenen Vorkehrungen tatsächlich nichts als überflüssige Kosten. Dann geht es nur darum, das Risiko von juristischen Sanktionen bei Nichtbefolgung zu bewerten. An dieser Stelle ist ein guter Rechtsberater gefragt. In manchen Branchen ist es schier unmöglich, alle regulatorischen Bestimmungen einzuhalten – ohne die Geschäftstätigkeit gleich ganz einzustellen. Es ist also eine durchaus legitime und notwendige Entscheidung, im Einzelfall Non-Compliance mit einer Regulierung zu wagen und notfalls Sanktionen in Kauf zu nehmen. No Risk, No Fun.
Es geht um Gewissenhaftigkeit – nicht um Regularien
Das ist kein Loblied auf die Leichtsinnigkeit. Wenn Sie sich gewissenhaft den Risiken stellen, die durch Arbeitsunfälle, Betrug und Untreue, Informationsdiebstahl oder Attacken auf Ihre Informationstechnik drohen, dann werden Sie ihre Organisation und Ihre Prozesse so ausrichten, dass Sie ruhig arbeiten können. Wenn Sie den Anspruch Ihrer Kunden auf Schutz ihrer Privatsphäre achten, werden Sie sich fragen, welche Daten Sie für Ihr Marketing wirklich brauchen. Wie viele Karteileichen führen Sie seit über zehn Jahren in Ihrer CRM-Datenbank? Die meisten Risiken sind ganz einfach mit klarer Organisationsstruktur, sauberen Prozessen und dokumentierten Ausnahmeprozessen in den Griff zu bekommen. Letztendlich geht es in allen Rahmenwerken zur Governance – sei es COBIT, ITIL, Sarbanes-Oxley , Basel II oder III – um nichts Anderes.
Wenn dann ein interner oder externer Auditor oder Berater auf eine Lücke aufmerksam macht, geraten Sie nicht in Panik. Sie werden wieder nüchtern Risiko, Maßnahmen und Kosten abwägen und zu einer reifen Entscheidung kommen.
Die Entscheidung zum Risiko ist und bleibt eine Führungsentscheidung. Die können Sie nicht an eine Stabsabteilung oder Ihre Mitarbeiter delegieren. Wirklich unreifes Führungsverhalten ist es, von Mitarbeitern zu erwarten, dass sie Risiken nicht nach oben kommunizieren, damit die Führung sie nicht wahrnimmt. Die VW-Führung führt dieses Beispiel in der Dauerschleife vor.
Rahmenwerke sind nur eine Orientierung
Die meisten Rahmenwerke für Governance decken umfangreich alle Risiken für Unternehmen ab. Es wäre töricht, sie eins zu eins umzusetzen. Für Unternehmen ist es wichtig, die eigene Organisation und die Prozesse so aufzustellen, dass Kundenerwartungen erfüllt und Risiken minimiert werden. Rahmenwerke und Best Practices können dabei helfen – aber es macht keinen Sinn, ein solches Werk im Unternehmen „einzuführen“. Bei jeder Prozessänderung, die sich aus Leitfäden und Vorschriften für Governance ergibt, ist immer noch eine Führungsentscheidung zu treffen, ob sie für das Unternehmen eine gute Idee ist.
