Interview: „Performance und Compliance – praktische Werkzeuge zur wirksamen Umsetzung durch den Aufsichtsrat“

Dr. Karl Wagner ist Geschäftsführer der procon Unternehmensberatung GmbH, Wien. Als Pionier des Strategischen Prozessmanagements ist er Autor von „Performance Excellence“, einem Lehr- und Arbeitsbuch bzw. Praxisleitfaden zum effektiven Prozessmanagement. Sein Credo lautet, dass klar definierte und strukturierte sowie wirksame Prozesse Voraussetzung auf dem Weg zu einem exzellenten Unternehmen sind. Was der Aufsichtsrat dazu beitragen kann, erläutert er im Interview mit INARA. Das Gespräch war so lebhaft und kurzweilig, dass die geplante Dauer von einer Stunde bei weitem nicht ausreichte, alle damit verbundenen Aspekte zu beleuchten. Fortsetzung folgt.

INARA: Was bedeutet „Kontrolle ist gut – Wirksamkeit ist besser“ für den Aufsichtsrat?
Wagner: Das Bild des Aufsichtsrats als oberster Kontrollor wurde abgelöst durch die Rolle eines aktiven Gestalters der Unternehmensentwicklung. Der Fokus der Aufsichtsratsarbeit liegt nicht mehr ausschließlich auf der finanziellen und rechtlichen Unternehmens-überwachung, sondern auf der zukunftsorientierten Begleitung des Vorstands in der Unternehmensführung.

Dabei geht es primär um Performance, Wirksamkeit und Development. Damit meine ich die steigende Verantwortlichkeit des Aufsichtsrats für die Performance in Ergänzung zur Compliance des Unternehmens; Verschiebung des Fokus von der Kontrolle der Korrektheit zur Überprüfung der tatsächlichen Wirksamkeit der Geschäfte, Transaktionen und Maßnahmen des Unternehmens;
aktive Begleitung des Developments, also der Unternehmensentwicklung.

Mit anderen Worten: die Aufgaben des Aufsichtsrats umfassen mehr als den Jahresabschluss formal zu prüfen und die Hauptversammlung unbeschadet zu überstehen. Seine Verantwortung verschiebt sich hin zur Sicherstellung wirksamer Geschäftsprozesse und einer zukunftssicheren Unternehmensleistung.

INARA: Sie sehen Performance als DAS Fundament der Unternehmensführung, nicht wahr?
Wagner: Ohne einen differenzierenden Leistungsbeitrag überlebt kein Unternehmen. Daher braucht jede Firma eine Strategie, die ihre Daseinsberechtigung und den Nutzen für die Stakeholder bestimmt. Der Aufsichtsrat steht dafür ein, dass die Strategie sowohl langfristig angelegt, als auch wirksam umgesetzt wird.

Hier sei der Ex-General Electric-Chef Jack Welch zitiert: „If you don‘t have a competitive advantage, don‘t compete!” Aufsichtsräte müssen sicherstellen, dass es diesen erkennbaren Wettbewerbsvorteil gibt und dass weitere Kompetenzen aufgebaut, entwickelt und umgesetzt werden.

INARA: Wie können Aufsichtsräte diese strategische Leistungsfähigkeit vorgeben und deren Einhaltung überwachen?
Wagner: Neben Branchenerfahrung und einem Vertrauensverhältnis zum Vorstand steht dem Aufsichtsrat eine Reihe von Performance-Werkzeugen zur Verfügung. Diese verschaffen ihm ein klares Verständnis der strategischen Unternehmensposition.

Beispiele für essenzielle Performance-Werkzeuge nicht-finanzieller Art sind:

• das Aufsichtsrats-Performance-Cockpit, das auch nicht-finanzielle Kennzahlen aufzeigt;

• eine Strategy Soundness Evaluation (s. Richard Rumelt: Good Strategy/Bad Strategy) mit folgenden Inhalten und Fragestellungen

• Konsistenz: Beinhaltet die Strategie inkonsistente Ziele und Strategien?

• Übereinstimmung: Stellt die Strategie eine adaptive Reaktion auf die Umwelt und auf kritische Veränderungen dar?

• Vorteil: Sorgt die Strategie für die Schaffung und Entwicklung von Wettbewerbsvorteilen?

• Durchführbarkeit: Überfordert die Strategie die verfügbaren Ressourcen bzw. schafft sie Probleme in der Umsetzung?

• Realitätstest: Können die kritischen Annahmen, auf denen die Strategie beruht, durch die erhaltenen Fakten bestätigt oder widerlegt werden?

• Briefings für Fokusthemen wie Digitalisierung, Rohstoffpreisentwicklung, Finanzkrisen, Prozessmanagement, etc.;

• ein Kompetenzenprofil der Organisation (Ist/Soll);

• einen Strategieumsetzungs-Excellence-Bericht;

INARA: Compliance ist also nicht gleich Compliance …
Wagner: Compliance am Papier ist geduldig. Schlimmer noch, z. B. ist manchmal der CSR-Bericht das Papier nicht wert, auf dem er gedruckt wurde. Faktisch wird dem Aufsichtsrat immer mehr die Verantwortung für die tatsächliche Einhaltung übertragen, nicht nur für die „dokumentierte Compliance“.

Die aktuelle BPM (Business Process Management) Compass 2016 Studie mit der WU Wien erhob als höchsten Wert der Compliance bei regulativen Normen 50%, durchschnittlich aber unter 30%. Kein Wunder, dass viele Aufsichtsräte über schlechten Schlaf klagen.

Sicherzustellen, dass eine Vorgabe nicht bloß erlassen – „Instituted Compliance“ – sondern auch umgesetzt wird – „Effective Compliance“ – ist eine große Herausforderung für den Aufsichtsrat.

Essenzielle Compliance-Werkzeuge mit nicht-finanziellem Fokus sind:

• Review der 4 Ms zur Sicherung der Compliance;

• Effektivität des integrierten Management-Systems (Risiko-, Sicherheits-, Qualitäts-, Umwelt-, Informationssicherheits-Management, etc.);

• Dokumentation und Steuerung des IKS (Internes Kontroll-System);

• Einrichten eines Risikomanagement-Komitees (RM, IKT, Controlling, IT);

• Aufbau eines Informationssicherheits-Systems nach ISO27001.

INARA: Bitte erklären Sie „die 4 Ms zur Sicherung der Compliance“ und was der Aufsichtsrat damit zu tun hat.
Wagner: Unserer Erfahrung nach fährt ein Aufsichtsrat am besten, wenn er die Einführung der folgenden 4 Ms der Compliance sicherstellt und deren Einhaltung auch faktisch überprüfen lässt. Die ultimative Verantwortlichkeit liegt beim Aufsichtsrat.

• Mitteilung – Ausreichende Information der Mitarbeiter über die an sie gestellten Anforderungen und Vorgaben;

• Mindset – Überprüfung, ob die betroffenen Mitarbeiter die Vorgaben und deren Zweck auch verstanden haben;

• Mittel – Ausstattung der Mitarbeiter mit Zeit- und Wissensressourcen, damit sie das Richtige zur richtigen Zeit tun;

• Motivation – Anleitung der Mitarbeiter die Vorgaben nach bestem Wissen und Gewissen umzusetzen.

INARA: Wie kann der Aufsichtsrat den Umsetzungserfolg von Vorgaben überprüfen?
Wagner: Erst durch eine tatsächliche Realisierung in den Unternehmensprozessen werden die Vorgaben zum Leben erweckt und entfalten ihre beabsichtigte Wirkung. Lassen Sie mich kurz auf die Herausforderung eines gelebten Risikomanagements – insbesondere für nicht-finanzielle Risiken – eingehen.

Ein professionelles Risikomanagement-System erschöpft sich nicht in einem periodischen Report der immer gleichen Themen. Ein Risikomanagement-System ins Leben zu rufen erfordert ein „erlebbares“ Commitment aller Ebenen zu den grundlegenden Werten der Organisation hinsichtlich Verantwortlichkeit, Sorgfalt und Engagement.

So darf zum Beispiel das Risiko „Sicherheit“ nicht zum formalen Checkpunkt einer Abhak-Routine degenerieren. Es muss bei allen Führungskräften und Mitarbeitern „fühlbar“ wahrnehmbar sein, um wirksam zu sein.

Der Aufsichtsrat kann zur Sicherstellung der Effektivität des Risikomanagements viel beitragen, so kann er Fragen stellen und mit gutem Beispiel vorangehen, wie bspw.

• Ist Risikomanagement eine Pflichtübung oder wird der Sinn und Nutzen von allen verstanden und „gelebt“?

• Werden jährlich die gleichen Top 3 Risiken an den Aufsichtsrat berichtet?

• Was sind die Entscheidungen, die auf Basis der Risikobewertung beeinflusst werden?

• Auf welchem Detaillierungsgrad werden Risiken dem Prüfungsausschuss berichtet? Was fordert der Prüfungsausschuss überhaupt ein?

• Zeigt der Aufsichtsrat durch sein Verhalten, dass Non-Compliance nicht toleriert wird?

• Werden nicht nur die Risiken, sondern auch die Chancen betrachtet?

• Wie oft ist das Unternehmen im letzten Geschäftsjahr von wesentlichen Compliance-Verstößen und Risiken überrascht worden?

INARA: Um was geht es bei dem von Ihnen genannten Development?
Wagner: Development erfordert mutige Veränderung für eine attraktive Zukunft. Für den Aufsichtsrat bedeutet das einen aktiven Beitrag zur Weiterentwicklung des Unternehmens, des Managements und der Mitarbeiter. Wer hier stehen bleibt, fällt zurück.

Der Aufsichtsrat hat dafür Sorge zu tragen, dass die beschriebenen Instrumente zu Compliance und Performance tatsächlich wirksam werden.

Dies erfordert, dass von Personal- und Führungskräfteentwicklung bis hin zur rollierenden Unternehmensentwicklung das „Mindset“ der Organisation und vor allem der Führungskräfte merkbar verändert wird.

Essenzielle Development–Werkzeuge zur Sicherstellung der Wirksamkeit sind:

• eine strategiegekoppelte Personal- und Führungskräfteentwicklung (Abkehr vom Schulungs- und Trainings-„Tourismus“);

• regelmäßige Stakeholderanalysen und ein 360-Grad-Feedback der Organisation, des Management-Systems und der Mitarbeiter/Führungskräfte;

• „Sounding Boards“ zur Unterstützung der Kommunikationsdurchlässigkeit im Unternehmen und zum Barrierenabbau in den „Reporting-Silos“;

• eine X-Matrix gemäß „Hoshin Kanri-Ansatz“ (einem unternehmensumfassenden Planung- und Steuerungssystem, das alle Führungskräfte und Mitarbeiter einbindet) zum Abgleich der Strategien, Ziele, Kennzahlen, Projekte, der Prozesse und der relevanten Unternehmensergebnisse;

• das Einrichten und Management eines Critical Incident Reporting Systems (CIRS).

INARA: Was ist ein Critical Incident Reporting System?
Wagner: Der fatale Unterschied zwischen einem „schönen“ Auditbericht und der harten Realität zeigt sich meist erst, wenn es zu spät ist: Erträge brechen ein, Kosten explodieren oder eine massive Sicherheitslücke zwingt das Unternehmen in die Knie.

Der Abschlussbericht allein bietet hier keine Antwort. Entsprechend dem Österreichischen Corporate Governance Kodex (Regel 83) prüft der Abschlussprüfer zwar die Gestaltung und Einrichtung eines Risikomanagement-Systems, aber nicht dessen tatsächliche Wirksamkeit. Selbst wenn hier grobe Abweichungen berichtet werden, ist es meist zu spät.

Nur Frühwarn-Indikatoren aus den Geschäftsprozessen selbst signalisieren Risiken und Abweichungen, bevor sie Schaden anrichten. Aus der Unfallforschung wissen wir, dass jedem Todesfall zuvor 30 leichtere Unfälle und 300 Beinahe-Unfälle vorausgehen (Heinrich Pyramide).

Ein Critical Incident Reporting System schlägt frühzeitig Alarm, wenn sich die Frühwarnkennzahlen in die falsche Richtung bewegen. Das Frühwarn-System erlaubt es, auftretende Mängel in der Wirksamkeit von Compliance und Performance schon im Prozess-Stadium rechtzeitig zu erkennen.

Das Ziel besteht darin, nicht auf einen Vorfall zu warten, sondern vorweg entsprechende Anzeichen ernst zu nehmen. Diese Vorläuferinformation ermöglicht es dem Aufsichtsrat, „hinter die Kulissen“ zu blicken und frühzeitig auf Abweichungen mit aktiver Begleitung zu reagieren.

Das Interview führte Dr. Brigitta Schwarzer, MBA
Mehr zu procon: www.procon.at