Plan – do – check – act

Im Blickpunkt: Governance-, Risiko- und Compliancevorgaben für Start-ups im Konzern

Von Sebastian Bartsch, Dr. Marcus Jerg und Dr. Adriane Winter

Beitrag als PDF (Download)

Warum ein GRC-Ansatz für Start-ups im Konzern?
Start-ups in einem (Groß-)Konzern mit weltweit gültigen Governance-, Risiko- und Compliancevorgaben (GRC)? Wie soll das gehen, ohne ein Start-up mit den zahlreichen Konzernanforderungen zu erdrücken, bevor es überhaupt begonnen hat zu existieren? Ein solches Dilemma erleben aktuell viele Konzerne, die für einzelne Geschäftsfelder Start-ups (aus)gründen, um den steigenden Agilitätsanforderungen und Geschwindigkeiten des Markts gerecht zu werden.
Die BSH Hausgeräte GmbH (BSH), eines der weltweit führenden Unternehmen in der Hausgerätebranche und der größte Hersteller in Europa, hat – basierend auf ihren weltweit gültigen GRC-Vorgaben – ein GRC-System speziell für kleine Konzerngesellschaften (Small-Entity- Framework) entwickelt, um das erwähnte Dilemma aufzulösen.

Rechtliche Rahmenbedingungen
Das deutsche Recht bestimmt jenseits spezialgesetzlicher Normen nicht, welche konkreten Maßnahmen die Geschäftsleitung zur Organisation eines GRC-Systems im Unternehmen ergreifen muss. Gleichwohl ist eine solche Verpflichtung im Grundsatz mittlerweile unstreitig.
Die allgemeine Sorgfaltspflicht (§ 43 Abs. 1 GmbHG) verpflichtet die Geschäftsleitung, sich selbst rechtskonform zu verhalten und aktiv auf rechtskonformes Verhalten im Unternehmen hinzuwirken. Sie muss in Abhängigkeit von Größe und Risikogeneigtheit des Unternehmens geeignete Maßnahmen treffen, um Risiken vorzubeugen, die für das Unternehmen existenzbedrohend sein können (§ 91 Abs. 2 AktG). § 130 OWiG begründet eine bußgeldrechtliche Verantwortlichkeit, durch organisatorische Aufsichtsmaßnahmen Zuwiderhandlungen gegen betriebsbezogene Pflichten zu verhindern.
Diese Verantwortlichkeit der Geschäftsleitung besteht im Konzern unmittelbar für die Konzernobergesellschaft. Die Sorgfaltspflicht der Konzerngeschäftsleitung erstreckt sich zudem auf die ordnungsgemäße Verwaltung ihrer Beteiligungen. Sie ist damit mittelbar verpflichtet, auf ein konzernweites, rechtskonformes Verhalten und Maßnahmen zur Organisation eines GRC-Systems hinzuwirken.
Bei der Ausgestaltung des GRC-Systems besteht ein großes unternehmerisches Ermessen. Je stärker die Konzernobergesellschaft auf die Konzerngesellschaften tatsächlich Einfluss nimmt, desto eher ist sie verpflichtet, bestimmte Grundsätze des GRC-Systems konzernweit einheitlich vorzuschreiben (OLG München, 23.09.2014, 3 Ws 599, 600/14).
Um diesen rechtlichen Anforderungen gerecht zu werden, hat sich die BSH bei der Ausgestaltung ihres Small-Entity-Frameworks entschieden, bestimmte GRC-Vorgaben – ungeachtet der Größe der einzelnen Konzerngesellschaften – als Mindestvorgaben konzernweit einheitlich vorzuschreiben. Ausgehend von der Compliancekultur (maßgeblich bestimmt durch den sogenannten Tone from the Top), sind dies unter anderem inhaltliche Mindestvorgaben, betreffend Kernrisiken des Konzerns, Ermittlung, und Sanktionierung von Complianceverstößen sowie Einbindung in Konzernrisikomanagement und -revision.
Bei der Ausgestaltung der Prozesse und der Umsetzung weiterer GRC-Vorgaben werden bestimmten kleinen Konzerngesellschaften (sogenannten Small Entities) jedoch weitgehende Freiheiten eingeräumt.
Als Small Entity gelten zunächst alle neuen Konzerngesellschaften, die, basierend auf § 267 Abs. 1 HGB, mindestens zwei der drei nachstehenden Merkmale nicht überschreiten: 6 Millionen Euro Bilanzsumme, 12 Millionen Euro Umsatzerlöse und 50 Arbeitnehmer im Jahresdurchschnitt.

Umsetzung
Das Small-Entity-Framework löst das obenerwähnte Dilemma auf, den grundsätzlichen Anforderungen an ein GRC-System (etwa hinsichtlich Einheitlichkeit und Risikoanalyse) gerecht zu werden und gleichzeitig die stark begrenzten personellen und finanziellen Ressourcen und Agilitätsanforderungen der Small Entities zu berücksichtigen.
Konzeptionell beruht das Small-Entity-Framework auf zwei Kernaspekten: Zum einen beschränkt es sich auf prinzipienbasierte, organisatorische und inhaltliche Mindestvorgaben. Diese orientieren sich – unter Ausnutzung des unternehmerischen Ermessens – an der Struktur des Konzern-GRCs und ergeben ein klar definiertes Set von GRC-Vorgaben (Set). Um unterschiedlichen Gesellschaftsgrößen gerecht zu werden, wurden hier drei verschiedene, aufeinander aufbauende Sets definiert. Zum anderen wird strikt der unten beschriebene vierstufige Prozess befolgt. Dieser entspricht dem „Plan – do – check – act” – Zyklus und stellt sicher, dass die erforderlichen Prüfungen effizient erfolgen.

Prüfung und Identifikation (plan)
Für jede neue Konzerngesellschaft wird auf Grundlage der oben dargestellten wirtschaftlichen Kriterien geprüft, ob sie in den Anwendungsbereich des Small-Entity-­Frameworks fällt. Gleichzeitig wird bestimmt, welches Set umzusetzen ist. Anschließend wird anhand festgelegter Risikoindikatoren betrachtet, ob bestimmte risikoerhöhende Sachverhalte in der Geschäftstätigkeit der Small Entity vorliegen. Dies kann in letzter Konsequenz dazu führen, dass eine kleine Konzerngesellschaft von dem hier vorgestellten Konzept ausgeschlossen wird. Eher führt die Auswertung der Risikoindikatoren jedoch dazu, dass entweder nur einzelne zusätzliche Maßnahmen umgesetzt werden müssen oder in Einzelfällen ein umfangreicheres Set erforderlich ist (als zunächst durch die wirtschaftlichen Kriterien angezeigt). In diesem Prozessschritt hat die Rechts- und Complianceabteilung des Konzerns eine treibende Rolle (Push-Prinzip). Sie muss sicherstellen, dass die Prüfungen bei aller Effizienz mit der gebotenen Sorgfalt durchgeführt werden. Gleichzeitig muss sie die übrigen Prozessbeteiligten – allen voran die Geschäftsleitung der Small Entity – beim schnellen Durchlaufen der Prüfungen unterstützen und effizient beraten.

Umsetzung (do)
Die angemessene Umsetzung des anzuwendenden Sets – wie auch die weiteren Schritte – liegen in der Verantwortung der Geschäftsleitung der Small Entity. Hier kommt ihrem unternehmerischen Ermessen eine wesentliche Bedeutung zu. Sie muss die Spielräume nutzen, die ihr hinsichtlich der Ausgestaltung der GRC-Vorgaben seitens der Konzerngeschäftsleitung eröffnet werden. Gemäß dem Pull-Prinzip kann sie sich auch aus dem Maßnahmenfundus des Konzerns bedienen. Die konzernweit einheitlichen Mindestvorgaben, etwa zur Compliancekultur oder zu konsistenten Ermittlungen und Sanktionen von Complianceverstößen, stehen jedoch nicht zur Disposition.

Verifikation (check) und Anpassung (act)
Der dritte und vierte Prozessschritt führen den Prozess in einen Regelkreis über. Die Geschäftsleitung der Small Entity muss im dritten Schritt anhand der wirtschaftlichen Kriterien und Risikoindikatoren jährlich prüfen, ob das vorgegebene Set noch angemessen ist. Anschließend muss sie im vierten Schritt gegebenenfalls neue oder andere Maßnahmen ergreifen, wenn dies etwa aufgrund des Wachstums der Small Entity oder veränderter Geschäftstätigkeit angezeigt ist.

Ausblick
Das Small-Entity-Framework der BSH ist am 01.01.2019 für die GRC-Vorgaben in Kraft getreten. Weitere Konzernfunktionen werden nun ebenfalls – sofern erforderlich – entsprechende Vorgaben für das Small-Entity-Framework definieren.
Der hier vorgestellte Ansatz erlaubt es der Konzerngeschäftsleitung, ihrer rechtlichen Sorgfaltspflicht für den Gesamtkonzern nachzukommen, indem eine Balance zwischen den Agilitätsanforderungen und Rahmenbedingungen von kleinen Konzerngesellschaften einerseits und dem Erfordernis konsistenter, weltweit gültiger GRC-Vorgaben im Konzern andererseits hergestellt wird. Das Mehr an unternehmerischer Freiheit im Vergleich zum übrigen Konzern geht gleichwohl mit höherer (interner) Eigenverantwortlichkeit der Geschäftsleitung der kleinen Konzerngesellschaft einher.

sebastian.bartsch@bshg.com

marcus.jerg@bshg.com

adriane.winter@bshg.com