Universität Hamburg

Department Wirtschaftswissenschaften

Industrielles Management

Seminar Cermedes AG

SS 2008

Governance, Risk and Compliance für die Cermedes

AG

beim Einsatz von SAP ECC 6.0

Eingereicht von:

Christoph Gert

9. Semester Betriebswirtschaftslehre

Benjamin Köhnke

11. Semester Betriebswirtschaftslehre

Cordelia Mühlbach

12. Semester Betriebswirtschaftslehre

Olaf Schneider

10. Semester Wirtschaftsingenieurwesen

Abgabedatum: 20.05.2008

---

Inhaltsverzeichnis

II

Abkürzungsverzeichnis

III

Abbildungsverzeichnis

IV

1. Einleitung 1

2. Grundlegende Definition und Abgrenzung der Begriffe 2

2.1.

Governance 3

2.2.

Risk 4

2.3.

Compliance 6

2.4.

GRC - Management als ganzheitlicher Ansatz 8

2.4.1.

Bedeutung einer zentralen GRC Strategie 8

2.4.2.

Informationstechnologie und GRC 10

3. Anwendungsbereiche eines ERP-Systems in KMU 11

3.1.

Identifikation der Anwendungsbereiche in der Cermedes AG 14

3.2.

Anwendung eines GRC-Ansatzes in der Cermedes AG 15

3.3.

Gesetzliche Grundlagen 16

3.4.

Unternehmensinterne Richtlinien 20

4. Internes Kontrollsystem (IKS) 21

4.1.

Definition und Inhalt 21

4.2.

Ausgestaltung und Implementierung des IKS 24

4.3.

Exkurs: Sarbanes-Oxley Act (SOX) 27

5. Risikomanangement-System 30

5.1.

Ziel und Herkunft 30

5.2.

Aufbau des Risikomanagement 32

5.3.

Risikomanagement-Prozess 34

5.4.

Identifikation und Analyse 35

5.5.

Maßnahmen und Steuerung 38

6. Operative Lösungsansätze von GRC in der Cermedes AG 40

6.1.

Einkauf 40

6.2.

Serienfertigung 44

6.3.

Vertrieb 48

7. Schlussbetrachtung 52

8. Literaturverzeichnis 53

II

---

Abbildungsverzeichnis

Abbildung 1: Defragmentierung von GRC 9

Abbildung 2: Verknüpfungsbereiche innerhalb der Cermedes AG 15

Abbildung 3: Komponenten des internen Kontrollsystems, SOX 22

Abbildung 4: Regelungsbereiche des IKS 23

Abbildung 5: Risikobewältigungsstrategien 32

Abbildung 6: Regelkreis des Risikomanagement 35

Abbildung 7: Risikomatrix 37

Abbildung 8: Risikobewertung in der Serienfertigung bei der Cermedes AG 46

Abbildung 9: Darstellung des Vertriebsprozesses auf Basis der Vertriebsver-

antwortlichen innerhalb der Cermedes AG 50

III

---

Abkürzungsverzeichnis

Abb.

Abbildung

AG

Aktiengesellschaft

AGG

Allgemeines Gleichstellungsgesetz

AktG

Aktiengesetz

BDSG

Bundesdatenschutzgesetz

bzw.

beziehungsweise

CEO

Chief Executive Officer

COSO

Committee of Sponsoring Organizations of the Treadway Commission

DCGK

Deutscher Corporat Governance Kodex

DIN

Deutsches Institut für Normung e.V.

d. h.

das heisst

EDV

Elektronische Datenverarbeitung

ERP

Enterprise Resource Planning

etc.

et cetera

EU

Europäische Union

f.

folgende

ff.

fortfolgende

ggf.

gegebenenfalls

GoB

Grundsätze ordnungsgemäßer Buchführung

GRC

Governance, Risk und Compliance

HGB

Handelsgesetzbuch

IDW

Institut der Wirtschaftsprüfer

IDW PS

Prüfungsstandard des Instituts der Wirtschaftsprüfer

i. d. R.

in der Regel

IFRS

International Financial Accounting Standards

IKS

Internes Kontrollsystem

inkl.

inklusive

ISO

International Organisation for Standardization

IT

Informationstechnologie

KMU

kleine und mittlere Unternehmen

KonTraG

Gesetz zur Kontrolle und Transparenz in Unternehmen

o. ä.

oder ähnliche

PCAOB

Public Company Accounting Overside Board

RMS

Risikomanagementsystem

SEC

Securities and Exchange Commission

s. o.

siehe oben

sog.

so genannt

SOX

Sarbanes-Oxley Act

TransPuG

Transparenz- und Publizitätsgesetz

u. a.

unter anderen, unter anderem

vgl.

vergleiche

IV

---

1. Einleitung

Unternehmen stehen ständig vor neuen Situationen, die durch die globale (Makro-)

Umwelt, die Branchenumwelt sowie von der internen Struktur und Dynamik des

Unternehmens selbst hervorgerufen werden1. Im Zeitalter der Globalisierung muss

die Geschäftsleitung wichtige Entscheidungen unter Kostendruck, Wettbewerb,

regulatorischen Anforderungen und explodierenden Datenmengen treffen.

Unternehmenszusammenschlüsse und die zunehmende Internationalisierung

erschweren dazu noch die ohnehin schon komplexe Aufgabe. Für viele Manager

besteht daher die Erkenntnis, dass die ausschließliche Orientierung auf die Interessen

der Kapitaleigentümer (Shareholder-Value) nicht mehr den komplexen

Anforderungen an die Unternehmung genügt. Vielmehr sehen sich Konzerne, aber

auch kleine und mittelständische Unternehmen einer Vielzahl von Interessengruppen

(Stakeholder-Value) gegenüber.

Auch das klassische und erfolgreiche Industrieunternehmen Cermedes AG soll den

Interessen seiner Stakeholder gerecht werden. Auf der einen Seite müssen Kunden,

Lieferanten, Mitarbeiter, Staat, Umwelt, Daten etc. in den einzelnen

Geschäftsprozessen berücksichtigt werden. Auf der anderen Seite soll die Cermedes

AG aber auch flexibel genug bleiben, um auf das dynamische wirtschaftliche Umfeld

reagieren zu können2. Wie kann das kleine Unternehmen diese Herausforderungen

meistern, und dabei gleichzeitig kosten- und zeitintensiv produzieren?

Die Lösung besteht in der Integration eines ganzheitlichen

Governance, Risk and

Compliance

(GRC) Managements. Damit soll eine zeitliche und finanzielle

Entlastung der operativen Geschäftsprozesse erreicht werden, um sich primär auf

strategische Aktivitäten, die zur Wertschöpfung der Cermedes AG beitragen, zu

konzentrieren. Letztendlich besteht das Ziel darin, das Unternehmen gegen den

Wettbewerb zu sichern bzw. eine Wertsteigerung zu erreichen.

In der Literatur werden allumfassende GRC - Konzepte formuliert, die allerdings

keine Ansatzpunkte liefern, wie sie in operative Prozesslösungen überführt werden

1 Vgl. Bea und Haas (2001), S. 83 ff

2 Vgl. IDS Scheer (2007), S. 8

1

---

können3. Aus diesem Grund konzentriert sich die folgende Arbeit, zunächst nur aus

theoretischer Perspektive, auf die strategische sowie operative Entwicklung bzw.

Optimierung von Geschäftsprozessen. Konkret soll die Einführung eines

ERP(enterprise resource planning)-Systems in die Cermedes AG analysiert und

gleichzeitig die Möglichkeiten GRC - Lösungen in dem System zu integrieren,

dargestellt werden.

Die vorliegende Arbeit soll die komplette Implementierung eines adäquaten Systems

zur Umsetzung der Governance, Risk und Compliance in einem mittelständischen

Unternehmen, der Cermedes AG, darstellen. Ausgehend von einer Definition der

einzelnen Komponenten werden die innerhalb der Cermedes AG relevanten

Anwendungsbereiche identifiziert. Darauf folgend werden beispielhaft gesetzliche

Grundlagen zur Umsetzung dargestellt. In Anlehnung an die Anwendungsbereiche

wird die Entwicklung eines Internen Kontrollsystems (IKS) beschrieben und das

daraus abgeleitete Risikomanagementsystem dargestellt. Anschließend werden in den

Bereichen Einkauf, Produktion und Vertrieb operative Lösungsansätze vorgestellt.

Eine kritische Schlussbetrachtung vervollständigt die Arbeit.

2. Grundlegende Definition und Abgrenzung der Begriffe

Governance, Risk und Compliance sind unterschiedliche, aber zugleich eng

miteinander verbundene Konzepte4. Aus der Trennung der Begriffe einerseits sowie

ihren Verknüpfungen andererseits resultiert auch letztendlich die Schwierigkeit des

allgemeinen Verständnisses. Während im

World Wide Web

ein gewaltiges Ausmaß an

Definitionen, Konzepten und Anwendungen zu finden ist, was nicht zuletzt auf die

zunehmende Relevanz für den Unternehmenserfolg zurückzuführen ist, fallen

wissenschaftliche Untersuchungen zu einem umfassenden GRC ­ Konzept eher

gering aus.

Um die unterschiedlichen Funktionen und Bereiche von GRC abgrenzen zu können,

soll daher zunächst eine Definition der drei Elemente erfolgen, um sie danach in

einem ganzheitlichen Ansatz darzustellen. Anschließend wird dann auf die Bedeutung

der Informationstechnologie für Governance, Risk und Compliance eingegangen.

3 Vgl. E-3 Magazin (03/2008), S. 62

4 Vgl. Curran (2007), S. 21

2

---

2.1. Governance

,,Governance" bezieht sich grundsätzlich auf die Steuerungsfunktion eines

Unternehmens. Die Komplexität des Begriffs erschwert jedoch die Suche nach einer

einfachen Definition, da in der wissenschaftlichen Literatur überwiegend Teilbereiche

bzw. einzelne Funktionen analysiert werden. Eine einheitliche Definition von

Governance, oft auch Corporate Governance genannt, gibt es daher nicht.

Nach dem bekannten Cadbury - Report5 wird Corporate Governance als ein System

bezeichnet, welches die Aufgabe der Steuerung und Kontrolle innerhalb von

Organisationen wahrnimmt6. Da grundsätzlich jedes Unternehmen wirtschaftliches

Wachstum oder zumindest die Sicherung sämtlicher Geschäftsaktivitäten verfolgt, ist

die allgemein verwendete Formulierung des Reports nicht ausreichend bzw. sagt

nichts darüber aus, wie die gesetzten Ziele anhand des Systems erreicht werden

sollen.

Im Folgenden soll daher die Definition der Experten des Unternehmens IDS Scheer7

verwendet werden. Demnach wird Corporate Governance als ,,(...) Ordnungsrahmen

für zielgetreue, verantwortungsvolle, ethische und gesetzeskonforme Leitung und

kontrollierende Steuerung von Unternehmen" bezeichnet8. Hiermit wird primär die

Festlegung von Unternehmenszielen, die Methodik zu ihrer Umsetzung sowie die

Planung der dafür notwendigen Ressourcen verstanden. Das Erreichen dieser Ziele

wird aber neben der Ressourcenknappheit, sowie dem Markt- und Konkurrenzumfeld

zusätzlich noch durch Gesetze und Regelungen beeinflusst. Diese Faktoren stellen die

externen Anforderungen an das Management dar. Die internen Herausforderungen

beziehen sich dagegen auf das sogenannte Prinzipal-Agent-Problem; die

Unternehmensleitung soll primär im Interesse der langfristig orientierten Aktionäre

sowie der verschiedenen anderen Stakeholder agieren und die nachhaltige

Wertsteigerung des Unternehmens fördern, ohne dabei Eigeninteressen zu verfolgen9.

Dieses Dilemma wird mittels Informationsbereitstellung sowie durch entsprechende

Maßnahmen unter Kontrolle gebracht.

5 Der Cadbury ­ Report (1992) in Grossbritanien gilt als Grundlage für die Entstehung des Corporate

Governance.

6 Vgl. Isler und Schweizer (2000), S. 1192

7 IDS Scheer ist weltweiter Marktführer für Software, Lösungen und Dienstleistungen für das

Geschäftsprozessmanagement (Business Process Management, BPM) in Unternehmen und Behörden.

8 IDS Scheer (2007), S. 3

9 Vgl. Isler und Schweizer (2000), S. 1192

3

---

Letztendlich stellt Corporate Governance ein geeignetes Instrument dar, um

unerwünschte Folgen möglicher Interessenkonflikte zwischen Shareholdern und

Stakeholdern einerseits sowie der Unternehmensleitung andererseits zu meiden10.

Zusammenfassend kann Corporate Governance als Optimierungsfunktion bezeichnet

werden, wobei der Unternehmenswert, unter Berücksichtigung finanzieller,

rechtlicher sowie anderer vertraglicher Nebenbedingungen, maximiert werden soll11.

2.2. Risk

Das zweite Element von GRC bezieht sich auf das Risiko, d.h. auf diejenigen

Faktoren, die sämtliche Entscheidungen (negativ) beeinflussen. Im Unternehmen wird

Risiko somit definiert, als ,,(...) die aus der Unvorhersehbarkeit der Zukunft

resultierende, durch zufällige Störungen verursachte Möglichkeit, von geplanten

Zielen abzuweichen"12. Dieser Begriff basiert auf einem Soll-Ist Vergleich, der

Abweichungen zwischen tatsächlichem und erwartetem Ergebnis beschreibt.

Zusätzlich beinhaltet er die Eintrittswahrscheinlichkeit von Risiken einerseits sowie

deren Ausmaß andererseits, woraus letztendlich das Risikopotential für die

Unternehmung abgeleitet wird.

Das gesamte Risiko eines Unternehmens kann in unterschiedliche Teilrisiken

(Umweltrisiko, Finanzanlagerisiko, Technisches Risiko etc.) gegliedert werden. Das

Geschäftrisiko allgemein wird beispielsweise in folgende Arten unterteilt13:

· Das

finanzielle Risiko,

beinhaltet diejenigen Faktoren, die die Erträge des

Unternehmens gefährden, sowie die Kosten beeinflussen. Neben den Kosten für

Material, Personal, etc., werden hier auch mögliche Geldbussen und Kosten für

Gerichtsverfahren berücksichtigt.

· Das

operationale Risiko,

bezieht sich auf sämtliche Gefahren, die die

Auslieferung von Produkten und Dienstleistungen verhindern, sowie die

Erfüllung von vertraglichen Verpflichtungen oder die Geschäftsaktivitäten in

einem spezifischen Markt beeinflussen.

· Das

legale und regulatorische Risiko,

beinhaltet die umfangreiche Einschätzung

von Gefahren, die beispielsweise durch staatliche Intervention ausgelöst werden,

10 Vgl. Isler und Schweizer (2000), S. 1192

11 Vgl. Ruud und Bodenmann (2001), S. 524

12 Gleissner und Berger (2007), S. 16

13 Vgl. Curran (2007), S. 22

4

---