Corporate Governance klingt nach Konzernwelt – nach Aufsichtsräten, Compliance-Abteilungen und Regelwerken, die in mittelständischen Unternehmen keinen Platz haben. Viele Unternehmer schieben das Thema deshalb zur Seite: „Wir sind doch kein DAX-Konzern.“
Das stimmt. Aber wer sein Unternehmen verkaufen, übergeben oder langfristig professionalisieren will, kommt an Governance nicht vorbei. Denn Käufer – ob Finanzinvestor oder Stratege – prüfen in der Due Diligence nicht nur Ihre Zahlen. Sie prüfen, ob Ihr Unternehmen so strukturiert ist, dass es ohne Sie funktioniert. Governance ist das Gerüst, das diese Strukturen sichtbar macht.
Dieser Beitrag erklärt, was Corporate Governance im Mittelstand konkret bedeutet, welche vier Systeme dazugehören, was Käufer und Investoren erwarten – und wie Sie mit überschaubarem Aufwand Strukturen schaffen, die sowohl im Verkaufsprozess als auch im laufenden Betrieb einen echten Unterschied machen.
Was Corporate Governance im Mittelstand bedeutet
Corporate Governance ist der Rahmen aus Regeln, Prozessen und Kontrollmechanismen, mit dem ein Unternehmen geführt und überwacht wird. Im Kern geht es um drei Fragen: Wer entscheidet was? Wie wird kontrolliert, ob richtig entschieden wurde? Und wie wird sichergestellt, dass Regeln eingehalten werden?
Im Konzern sind diese Fragen durch Gesetze (Aktiengesetz, DCGK), Aufsichtsräte und spezialisierte Abteilungen geregelt. Im Mittelstand fehlen diese Strukturen oft – nicht aus Nachlässigkeit, sondern weil inhabergeführte Unternehmen historisch anders funktionieren: Der Inhaber entscheidet, kontrolliert und verantwortet in Personalunion. Solange er präsent ist, funktioniert das.
Das Problem entsteht, wenn sich etwas ändert: wenn ein Käufer Due Diligence macht, wenn ein Beirat eingesetzt werden soll, wenn die nächste Generation Verantwortung übernimmt, wenn ein Finanzinvestor Transparenz und Reporting erwartet – oder wenn schlicht die Frage gestellt wird, ob das Unternehmen auch ohne den Inhaber stabil läuft.
In all diesen Situationen wird Governance zur konkreten Anforderung. Nicht als bürokratisches Regelwerk, sondern als nachvollziehbare Struktur, die Vertrauen schafft.
Die vier Governance-Systeme: Was dahintersteckt – und was im Mittelstand davon realistisch ist
In der Due Diligence und in Gesprächen mit institutionellen Käufern tauchen vier Kürzel auf: CMS, IKS, RMS und IRS. Sie beschreiben vier ineinandergreifende Systeme, die zusammen die Governance-Architektur eines Unternehmens bilden.
Compliance Management System (CMS): Regeln kennen und einhalten
Ein CMS stellt sicher, dass das Unternehmen geltende Gesetze und interne Regeln einhält. Im Konzern umfasst das ganze Abteilungen. Im Mittelstand reicht zunächst deutlich weniger – aber „nichts“ reicht nicht.
Was Käufer mindestens erwarten: Ein dokumentierter Verhaltenskodex (Code of Conduct), der die wichtigsten Regeln festhält – Antikorruption, Kartellrecht, Datenschutz, Exportkontrolle. Eine klare Zuständigkeit (wer ist im Unternehmen für Compliance verantwortlich?). Ein Meldekanal, über den Mitarbeiter Verstöße melden können, ohne Repressalien zu fürchten – seit dem Hinweisgeberschutzgesetz (HinSchG) für Unternehmen ab 50 Mitarbeitern ohnehin Pflicht.
Was darüber hinaus Eindruck macht: Regelmäßige Kurzschulungen zu den relevantesten Themen (jährlich reicht). Eine dokumentierte Risikoanalyse: Welche Compliance-Risiken sind für Ihr Geschäft relevant (Branche, Exportländer, Kundenstruktur)? Nachweise, dass bei konkreten Vorfällen konsequent reagiert wurde.
Pragmatischer Aufwand: Ein schlankes CMS lässt sich in vier bis sechs Wochen aufbauen. Der Code of Conduct umfasst fünf bis zehn Seiten. Die Schulungen dauern jeweils 60 Minuten. Der Meldekanal kann eine dedizierte E-Mail-Adresse oder ein einfaches Online-Tool sein.
Internes Kontrollsystem (IKS): Fehler und Missbrauch verhindern
Ein IKS stellt sicher, dass operative Prozesse korrekt ablaufen – insbesondere im Finanzbereich. Es geht darum, dass Fehler entdeckt und Missbrauch verhindert wird, bevor Schaden entsteht.
Was Käufer mindestens erwarten: Das Vier-Augen-Prinzip bei kritischen Vorgängen (Zahlungsfreigaben, Vertragsabschlüsse, Bestellungen ab bestimmten Schwellenwerten). Dokumentierte Prozessabläufe für die wichtigsten Geschäftsvorfälle (Einkauf, Rechnungsstellung, Zahlungslauf). Klare Zugriffsrechte in IT-Systemen (wer darf was sehen, ändern, freigeben?).
Was darüber hinaus Eindruck macht: Eine Unterschriften- und Vollmachtenmatrix (wer darf bis zu welchem Betrag allein entscheiden?). Regelmäßige Abstimmung von Konten und Salden. Automatisierte Kontrollen im ERP-System (z. B. Benachrichtigung bei Abweichungen von Budgetwerten).
Pragmatischer Aufwand: Die meisten mittelständischen Unternehmen haben bereits Elemente eines IKS – sie sind nur nicht dokumentiert. Der Aufwand liegt weniger im Aufbau neuer Prozesse als in der Dokumentation und Formalisierung bestehender Routinen. Typischer Zeitrahmen: vier bis acht Wochen.
Risikomanagementsystem (RMS): Risiken erkennen, bevor sie eintreten
Ein RMS identifiziert, bewertet und steuert Risiken systematisch. Im Mittelstand ist das häufig eine Schwachstelle – nicht weil Risiken ignoriert werden, sondern weil die Einschätzung im Kopf des Inhabers stattfindet und nirgendwo dokumentiert ist.
Was Käufer mindestens erwarten: Eine Risikoinventur: Welche wesentlichen Risiken bestehen (operativ, finanziell, regulatorisch, marktbezogen, personell)? Eine Bewertung nach Eintrittswahrscheinlichkeit und potenziellem Schaden. Definierte Maßnahmen für die Top-Risiken (Vermeidung, Minderung, Versicherung, Akzeptanz).
Was darüber hinaus Eindruck macht: Ein regelmäßiger Risikobericht an die Geschäftsführung oder den Beirat (quartalsweise reicht). Eine Verknüpfung mit der Unternehmensplanung – werden Risiken in der Finanzplanung berücksichtigt? Szenarioanalysen für die zwei bis drei kritischsten Risiken (Was passiert, wenn Kunde X abspringt? Wenn Rohstoffpreise um 20 % steigen? Wenn eine Schlüsselperson ausfällt?).
Pragmatischer Aufwand: Eine erste Risikoinventur mit Bewertungsmatrix lässt sich in einem Workshop-Tag erstellen. Die laufende Pflege erfordert ein bis zwei Stunden pro Quartal.
Internes Revisionssystem (IRS): Prüfen, ob die Systeme funktionieren
Ein IRS prüft unabhängig, ob die anderen drei Systeme (CMS, IKS, RMS) tatsächlich gelebt werden. Im Konzern ist das eine eigene Abteilung. Im Mittelstand ist eine vollwertige interne Revision selten realistisch – aber es gibt pragmatische Alternativen.
Was Käufer mindestens erwarten: Einen Nachweis, dass kritische Prozesse regelmäßig geprüft werden – sei es durch den Steuerberater, den Wirtschaftsprüfer oder einen externen Berater. Klare Verantwortlichkeiten: Wer überprüft was und in welchem Rhythmus?
Was darüber hinaus Eindruck macht: Ein jährlicher „Governance-Check“ durch einen externen Berater, der die Funktion einer Kurzrevision übernimmt. Dokumentierte Prüfergebnisse mit konkreten Verbesserungsmaßnahmen und deren Umsetzungsstatus.
Pragmatischer Aufwand: Ein externer Governance-Check dauert zwei bis drei Tage und kostet zwischen 3.000 und 8.000 Euro. Für die meisten mittelständischen Unternehmen ist das ein angemessenes Maß an Überprüfung.
Was Käufer und Investoren konkret erwarten
Die Governance-Erwartungen unterscheiden sich erheblich je nach Käufertyp.
Finanzinvestoren (PE) erwarten professionelle Governance als Grundlage für ihr Investmentmodell. Sie wollen ein Unternehmen, das sie über ein Reporting steuern können, ohne täglich operativ eingreifen zu müssen. Konkret heißt das: monatliches Reporting (GuV, Bilanz, Cashflow, KPIs), eine Unterschriften- und Vollmachtenmatrix, ein funktionierendes IKS im Finanzbereich, einen Beirat oder Aufsichtsrat als Kontrollinstanz und klare Governance-Strukturen für die Zusammenarbeit zwischen Gesellschaftern und Geschäftsführung. Die Erfahrung aus der Praxis: Finanzinvestoren bauen Governance nach dem Closing systematisch auf – aber sie bewerten positiv, wenn bereits Grundlagen vorhanden sind.
Strategische Käufer prüfen Governance vor allem unter dem Aspekt der Integrierbarkeit. Sie wollen wissen: Lässt sich das Unternehmen in unsere Konzernstrukturen eingliedern? Gibt es dokumentierte Prozesse, die wir übernehmen können? Oder müssen wir alles neu aufbauen? Je besser Ihre Governance dokumentiert ist, desto geringer schätzt der Stratege das Integrationsrisiko ein – und desto weniger drückt er den Kaufpreis.
Für die familieninterne Nachfolge ist Governance ebenfalls zentral – allerdings mit anderem Fokus. Hier geht es darum, die Inhaberabhängigkeit zu reduzieren und Strukturen zu schaffen, die auch nach dem Rückzug des Seniors funktionieren. Die Familienverfassung und die Einrichtung eines Beirats sind in diesem Kontext die wichtigsten Governance-Instrumente.
Governance als Werttreiber: Die Verbindung zur Unternehmensbewertung
Governance ist kein Kostenfaktor – sie ist ein Werttreiber. Und zwar auf mehreren Ebenen.
Risikoabschlag vermeiden. In der Unternehmensbewertung fließt das wahrgenommene Risiko direkt in den Diskontierungszinssatz (DCF) oder den Multiplikator ein. Unternehmen mit klaren Strukturen werden als weniger riskant eingestuft – und damit höher bewertet.
Due-Diligence-Reibung reduzieren. Ein Unternehmen mit dokumentierten Prozessen, klarem Reporting und nachvollziehbaren Kontrollmechanismen durchläuft die Due Diligence schneller und mit weniger offenen Punkten. Weniger offene Punkte bedeuten weniger Verhandlungsmasse für den Käufer.
Übergangsfähigkeit demonstrieren. Governance zeigt, dass das Unternehmen nicht von einer einzelnen Person abhängt. Das ist der Kern der Unternehmenswertsteigerung: nicht Bilanzoptimierung, sondern der Aufbau einer Substanz, die Käufer überzeugt.
Governance-Reifegrad: Wo stehen Sie?
| Bereich | Stufe 1: Informell | Stufe 2: Grundstruktur | Stufe 3: Professionell |
|---|---|---|---|
| Compliance | Regeln im Kopf des Inhabers; kein Code of Conduct | Code of Conduct vorhanden; Zuständigkeit benannt; Meldekanal eingerichtet | Regelmäßige Schulungen; dokumentierte Risikoanalyse; konsequente Durchsetzung |
| Interne Kontrollen | Inhaber kontrolliert alles persönlich | Vier-Augen-Prinzip bei Zahlungen; Prozesse für kritische Abläufe dokumentiert | Vollmachtenmatrix; automatisierte Kontrollen im ERP; regelmäßige Kontenabstimmung |
| Risikomanagement | Risiken werden „gefühlt“ eingeschätzt | Risikoinventur erstellt; Top-Risiken identifiziert und bewertet | Quartalsweiser Risikobericht; Szenarien durchgerechnet; Maßnahmen nachverfolgt |
| Revision | Nur der jährliche Jahresabschluss durch den WP | Steuerberater prüft kritische Bereiche gezielt | Jährlicher externer Governance-Check mit dokumentierten Ergebnissen |
| Reporting | BWA kommt vom Steuerberater; kein internes Reporting | Monatliches Reporting an die Geschäftsführung | Monatliches Management-Reporting mit KPIs, Soll-Ist-Vergleich und Cashflow-Planung |
Für die meisten mittelständischen Unternehmen ist Stufe 2 das realistische und sinnvolle Ziel vor einer Nachfolge. Stufe 3 entspricht dem, was Finanzinvestoren nach dem Closing aufbauen – wer schon vorher dort steht, signalisiert außergewöhnliche Professionalität.
Der pragmatische Fahrplan: In sechs Schritten zur Governance-Grundstruktur
Schritt 1: Status quo erfassen (Woche 1–2). Gehen Sie die fünf Bereiche der Reifegradtabelle durch. Wo stehen Sie heute? Was ist bereits vorhanden, aber nicht dokumentiert? Was fehlt komplett? In den meisten Unternehmen ist mehr da, als man denkt – es ist nur nicht formalisiert.
Schritt 2: Prioritäten setzen (Woche 3). Nicht alles gleichzeitig. Konzentrieren Sie sich auf die drei bis fünf Maßnahmen mit dem höchsten Effekt. Typische Prioritäten: Code of Conduct erstellen, Vollmachtenmatrix definieren, Risikoinventur durchführen, monatliches Reporting etablieren.
Schritt 3: Code of Conduct und Compliance-Basics (Woche 4–6). Erstellen Sie einen schlanken Code of Conduct (fünf bis zehn Seiten), der die für Ihr Geschäft relevanten Regeln festhält. Benennen Sie eine Compliance-Verantwortung. Richten Sie einen Meldekanal ein.
Schritt 4: IKS-Grundlagen dokumentieren (Woche 6–10). Dokumentieren Sie die bestehenden Kontrollmechanismen: Vier-Augen-Prinzip, Freigabegrenzen, Zugriffsrechte. Erstellen Sie eine Vollmachten- und Unterschriftenmatrix. Formalisieren Sie die drei bis fünf kritischsten Prozesse.
Schritt 5: Risikoinventur durchführen (Woche 8–10). Einen halben Tag Workshop mit den Führungskräften: Welche Risiken gibt es? Wie wahrscheinlich sind sie? Wie schwerwiegend? Was tun wir dagegen? Ergebnis: Eine Risikomatrix auf einer Seite und ein Maßnahmenplan.
Schritt 6: Reporting professionalisieren (laufend). Stellen Sie auf monatliches Management-Reporting um – mindestens GuV, wesentliche KPIs und ein kurzer Kommentar der Geschäftsführung. Wenn Sie bereits einen Beirat haben, wird das Reporting an dessen Sitzungsrhythmus gekoppelt.
Gesamter Zeitrahmen: drei bis vier Monate bei überschaubarem Aufwand. Die Maßnahmen lassen sich parallel zum Tagesgeschäft umsetzen und erfordern keine externe Beratung – obwohl ein erfahrener Sparringspartner den Prozess deutlich beschleunigt.
