23 Mai, 2022
Die Regierungskommission Deutscher Corporate Governance Kodex hat am 17. Mai 2022 die Neufassung des Deutschen Corporate Governance Kodex, kurz DCGK 2022, veröffentlicht. Mit der am 27. Juni 2022 erfolgten Bekanntmachung der geänderten Fassung des DCGK im Bundesanzeiger bildet dieser nun die neue Grundlage für die Entsprechenserklärung gem. §161 AktG.
Im Fokus der Kodexänderungen stehen neben neuen Empfehlungen zum Zusammenspiel des Prüfungsausschusses mit dem Abschlussprüfer die Berücksichtigung sozialer und ökologischer Nachhaltigkeit sowie die Steuerungs- und Kontrollsysteme.
Das Thema Nachhaltigkeit im DCGK 2022 erstreckt sich über alle Facetten des unternehmerischen Betätigungsspektrums – von der Strategie- und Zielsetzung über das Planungswesen bis hin zu den operativen Steuerungs- und Kontrollsystemen. Diese Systeme stehen seit den Änderungen des Aktiengesetzes durch das FISG ohnehin auf der Agenda vieler Vorstände und Aufsichtsräte. Der DCGK 2022 wird dies nun noch verstärken.
„Mit der Neufassung des DCGK kommen zahlreiche neue Anforderungen auf börsennotierte Unternehmen zu – insbesondere in Hinblick auf die Professionalisierung der Corporate Governance Systeme. Höchste Zeit, die Governance-Systeme auf den Prüfstand zu stellen.“
Die gesetzliche Grundlage des „Comply or Explain“-Prinzips des DCGK ergibt sich aus dem Aktiengesetz: Der Vorstand und Aufsichtsrat einer börsennotierten Gesellschaft sind nach §161 verpflichtet, eine jährliche Entsprechenserklärung abzugeben. Abweichungen von Empfehlungen des Kodex müssen sie dabei nach dem Grundsatz „comply or explain“ begründen.
Für Unternehmen der Prime-Indizes DAX, MDAX, SDAX und TecDAX ist die Bestätigung der Einhaltung („no deviation“) ausgewählter Empfehlungen des DCGK zudem verpflichtend für eine Börsenzulassung.
„Auch mit den Neuerungen des DCGK 2022 werden wieder neue Standards für Good Corporate Governance gesetzt. Damit sind die neuen, erweiterten Anforderungen in Richtung stärkere Verankerung der Nachhaltigkeit und weitere Professionalisierung der Corporate Governance auch für den deutschen Mittelstand relevant.“
Nicht nur der Wirecard-Skandal, sondern auch ökologische und soziale Auswirkungen der Unternehmenstätigkeit prägen im Wesentlichen die Anpassungen des DCGKs. In unserem Webinar erfahren Sie von unseren Expert:innen, in welchen drei Fokusbereichen sich Handlungsbedarfe für Ihr Unternehmen ergeben. Schauen Sie sich die Aufzeichnung hier kostenfrei an.
Erfüllt Ihr Unternehmen bereits die neuen Anforderungen des DCGK 2022? Beantworten Sie unseren Fragenkatalog!
Unsere Expert:innen unterstützen Sie ganzheitlich dabei, den Reifegrad Ihres IKS, RMS, CMS und IRS zu bestimmen und Ihren individuellen Anpassungsbedarf zu identifizieren. Dabei berücksichtigen wir selbstverständlich die Risikolage und das Risikoumfeld Ihres Unternehmen sowie die entsprechenden regulatorischen, organisatorischen, prozessualen und technologischen Anforderungen.
„Der technologische Wandel und die aufkommenden Emerging Technologies beeinflussen nahezu jeden Geschäftsprozess und erfordern explizit eine angepasste IT-Governance. Wer seine bestehenden Governance-Verfahren unverändert fortsetzt, wird diesen neuen Anforderungen nicht gerecht.“
Wir unterstützen Sie bei der Bestimmung des Reifegrades sowie der Identifikation möglicher Schwachstellen innerhalb und zwischen Ihren Corporate-Governance-Systemen.
Im Rahmen von GRC-Workshops, Reifegrad- und Fit-Gap-Analysen können wir gemeinsam mit Ihnen einen neutralen Blick auf Ihre GRC-Systeme werfen und mögliche Optimierungspotenziale identifizieren.
Damit Ihre Corporate-Governance-Systeme die wichtigsten Neuerungen des DCGK erfüllen, unterstützen wir Sie beim Design und der Implementierung systematisierter und prüfbarer Steuerungs- und Kontrollsysteme.
Daneben können wir bereits bestehende Corporate-Governance-Systeme untersuchen und optimieren – zum Beispiel mit Blick auf eine ganzheitliche, systemübergreifende Risikobetrachtung, die Beleuchtung nachhaltigkeitsbezogener Belange oder die Ausweitung des Compliance-Management-Systems auf weitere Rechtsgebiete.
Um langfristig angemessene und wirksame Corporate-Governance-Systeme betreiben zu können, unterstützen wir Sie bei der Entwicklung oder Durchführung von internen und externen Prüfungen.
So können wir Sie bei der Entwicklung von Evaluierungsprozessen wie beispielsweise dem Self-Assessment begleiten, externe Prüfungen wie IDW PS 98x durchführen oder Managed Services zum Beispiel für das IKS Management Testing bereitstellen.
Chancen und Risiken der Digitalisierung und der neuen Technologien müssen nicht nur erkannt, sondern explizit über effiziente Corporate-Governance-Strukturen überwacht und gesteuert werden.
Die Bandbreite der Themen und Herausforderungen ist groß: Cloud-Infrastrukturen, Open-Source-Software in Produkten und kritischen Systemen oder Künstliche Intelligenz sind nur einige Beispiele. Genauso geht es um spezifische Themen wie automatisierte Kontrollen, Zuverlässigkeit von Datenquellen, Transaktionen in Blockchains, NFTs oder die Vernetzung von Geschäftsprozessen durch das Internet der Dinge (Internet of Things, IoT).
Der Ausfall eines einzigen IT Services kann eine Vielzahl von Unternehmensprozessen betreffen. Entsprechend wichtig ist die Sicherung der Verfügbarkeit der IT gemäß der geschäftlichen Anforderungen.
Die omnipräsente Bedrohung einer jeden IT durch externe Angreifer über Cyber-Attacken darf nicht darüber hinwegtäuschen, dass viele IT-Betriebsunterbrechungen schlicht durch unzureichendes technisches Design, durch interne (Wartungs-)Fehler, mangelhafte Prozesse und Kontrollen und/oder technisches Versagen verursacht werden.
IT-Resilienz beginnt daher ganz klassisch mit einer individuellen Analyse zur Compliance und einem individuellen Risiko-Assessment. Weitere Schritte betreffen dann die Beurteilung der Umsetzung von IT-Prozessen und -Kontrollen bis hin zur Validierung des technologischen Aufbaus und des Fehlermanagements.
Auch wenn sich das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) ebenso wie der DCGK zunächst an kapitalmarktorientierte Unternehmen richtet, wird diesen Vorgaben darüber hinaus auch eine Ausstrahlungswirkung für vergleichbar große oder komplexe Unternehmen zugeschrieben. Insbesondere für die Corporate Governance mittelständischer Unternehmen können sich hieraus zahlreiche Anpassungsimpulse ergeben. Professionelle Aufsichts- und Beiräte inhabergeführter Unternehmen haben schon immer ähnliche, wenn nicht gar die gleichen Maßstäbe an die Unternehmensverfassung der von ihnen beaufsichtigten Unternehmen gestellt. Daher sind angemessene und wirksame Steuerungssysteme auch eine Aufgabe für den Mittelstand.
Die Corporate Governance in der Finanzdienstleistungsbranche weist einen hohen Reifegrad auf. Das liegt nicht zuletzt an den umfangreichen nationalen und internationalen Anforderungen von Regulatoren und Standardsetzern. Dezidierte Anforderungen an die Geschäftsleitung, das Aufsichtsorgan, die Ausgestaltung von Kontrollsystemen, Risiko- und Compliance-Funktionen sowie die Interne Revision prägen die Verfassung von Finanzdienstleistern seit vielen Jahren.
Kann die Neufassung des DCGK da noch Änderungsbedarf für die Finanzdienstleistungsbranche aufzeigen? Wir denken schon. Mehr als in der Vergangenheit müssen alle drei Verteidigungslinien auf ökologische und soziale Nachhaltigkeit fokussieren. Was das in der Praxis heißt, besprechen wir gerne gemeinsam. Unsere Experten für Interne Kontrollsysteme, Risk Management, Compliance und Internal Audit freuen sich auf den Austausch mit Ihnen.
Effektive Governance-Systeme spielen in der Energiewirtschaft aus verschiedensten Gründen eine herausragende Rolle. Neben den typischen Risiken börsennotierter Unternehmen unterliegt die Branche umfangreichen regulatorischen Anforderungen, deren Einhaltung laufend sichergestellt sein muss. Ein weiterer Aspekt sind Datenschutzrisiken, technische Risiken und kaufmännische Risiken im Rahmen von Massenabrechnungsprozessen sowie ausgeklügelten Marktprozessen, die zum Beispiel die freie Auswahl des Lieferanten für Endverbraucher im Rahmen des sogenannten Unbundlings sicherstellen. Darüber hinaus spielt die Energiewirtschaft für die Gesamtwirtschaft als Betreiber von Energienetzen und Erzeugungskapazitäten (kritische Infrastrukturen) eine systemrelevante Rolle. PwC verfügt über eine Vielzahl von Expert:innen, die sich auf Governance, Risk & Compliance in der Energiebranche spezialisiert haben.
Auch in der Automobilindustrie spielt ein risikoadäquates Compliance-Managementsystem, das alle wesentlichen Compliance-Risiken adressiert, eine herausragende Rolle. Besonderheiten sind hier, dass die Governance-Systeme auch technische Risiken (Product Compliance) umfassen sollten. Damit einher gehen unter anderem klar zu definierende Schnittstellen der Governance-Systeme zum Lieferanten-, Qualitäts- und Umweltmanagement.
Die Transformation der Automobilindustrie mit Trends zu E-Mobilität, zum Autonomen Fahren und Over-the-Air Updates von Fahrzeugsoftware bedeutet auch, dass Datenschutz- und Cyber-Risiken einen wichtigen Stellenwert in der ganzheitlichen Betrachtung von Unternehmensrisiken bekommen müssen.
Auf das Gesundheitswesen kommen mit dem DCGK 2022 besondere Anforderungen zu. Welche das genau sind, hängt von der Art der Organisation ab: Leistungserbringer müssen andere Schwerpunkte setzen als Versicherungsträger oder Unternehmen der Medizintechnik. Für alle Unternehmen des Gesundheitswesens gilt: Medizinische Standards und die hohen Anforderungen an den Datenschutz erfordern eine entsprechende Governance. Unsere Expert:innen vereinen die tiefe Branchenkompetenz aus zahlreichen internationalen Projekten in allen Bereichen des Gesundheitswesens mit der Kompetenz zur Einrichtung und Weiterentwicklung von Governance-Systemen.
Technologien, Märkte und Unternehmen entwickeln sich stetig weiter. Neue Zusammenhänge und Anforderungen führen zu neuen Produkten und Services, die wiederum neue Chancen und Risken mit sich bringen. Die Neuauflage des Deutschen Corporate Governance Kodex betont die unternehmensindividuelle Berücksichtigung dieser Chancen und Risiken. Dabei ist es wichtig, gerade auch die neueren Einflussfaktoren auf dem Radar zu haben und diese angemessen zu adressieren. Solche Aspekte ergeben sich zum Beispiel zu den folgenden Themenbereichen:
Der Einsatz von Open Source Software (OSS) führt zu klassischen Compliance-Risiken im Bereich des Urheberrechts, der Business Continuity und/oder IT-Security. Egal, ob ein Unternehmen selbst Produkte erstellt und vertreibt, die Software enthalten oder Software einfach nur in den Wertschöpfungs- und Produktionsprozessen einsetzt: Es besteht immer eine Abhängigkeit von Open Source Software.
Besondere zu benennende Aspekte sind die Einhaltung aller Auflagen von Open Source Lizenzen und das Management der Lizenzrisiken, die Sicherheitsbeurteilung eingesetzter OSS und der zugrundeliegenden Lieferkette, die Inventarisierung aller OSS und der effiziente Tool-Einsatz. Eine Integration in die Corporate Governance ist unerlässlich.
Studien und Erfahrungen zeigen: Die Herausforderungen für die erfolgreiche Integration von Cloud Services betreffen die Aufbau- und Ablauforganisation, die Entscheidungsprozesse und das Zusammenspiel mit anderen vorhandenen Anwendungen und Prozessen. Werden diese Herausforderungen nicht professionell gelöst, können sich überraschende und eklatante Risiken für die Geschäftsprozesse ergeben.
Datengetriebene Entwicklungen und oftmals bestehende Intransparenz von Künstliche Intelligenz (KI) basierten Entscheidungen führen zu völlig neuen Geschäftsrisiken. Sie können mit klassischen IT-Risikoansätzen und -Richtlinien nicht (mehr) vollständig adressiert werden. Parallel dazu sind neue Anforderungen an die Verlässlichkeit und Sicherheit von KI zu berücksichtigen, beispielsweise im Hinblick auf den EU AI Act.
Bei der Entwicklung von Software mit agilen Entwicklungsmethoden und enger Verzahnung von Entwicklung und Betrieb (DevOps) müssen externe und interne Compliance-Anforderungen und Risiken angemessen adressiert werden. Versäumnisse können sich schnell auf die Geschäftsprozesse und Business Continuity auswirken. Insoweit sind neue Leitplanken in der Corporate Governance zu verankern, um Compliance und Zuverlässigkeit sicherstellen, ohne die für ein agiles Vorgehen notwendige Freiheit zu verlieren.
Das „Internet der Dinge“ (IoT) ist eine Schlüsseltechnologie zur digitalen Transformation und damit entscheidend für die Wettbewerbs- und Zukunftsfähigkeit. Dies erfordert die Identifikation und Mitigation der spezifischen inhärenten Risiken, die mit dieser Technologie einhergehen, einschließlich derer Steuerung und Überwachung.
Cloud-Anbieter müssen ihren Kunden ein hohes Niveau an Informationssicherheit nach verschiedenen Normen nachweisen können. Dies führt zu stetig wachsenden Anforderungen einschließlich steigenden Prüf- und Überwachungsbedarfen welche stringent in die Corporate Governance implementiert werden müssen.
Governance ist für die „Robotic Process Automation“ (RPA) ein entscheidender Erfolgsfaktor für die Automatisierung von Massentransaktionen und somit für den Aufbau tragfähiger Anwendungsfälle. Nur wer RPA-spezifische Risiken kennt, kann sich rechtzeitig darauf einstellen. Leitlinien, Organisation und End-to-End-Betriebsprozesse müssen so gestaltet werden, dass Risiken wie beispielsweise Manipulation, hohe Fehlerquoten oder Ausfälle in der Verarbeitung frühzeitig erkannt, bewertet und adressiert werden.
Die Verwendung neuer Cloud-Technologien für die eigenen Geschäftsprozesse führt zu neuen technischen und organisatorischen Herausforderungen bei der Sicherstellung des Schutzes personenbezogener Daten und bei der Sicherung der Transparenz hierüber. Die Komplexität steigt mit der Anzahl der an einer Verarbeitung beteiligten (Cloud-) Anbieter deutlich. Aus Sicht der Verbraucher anbieterübergreifende Lösungswege zeichnen sich beispielsweise mit Zertifizierungen nach Artikel 42 der EU-Datenschutz-Grundverordnung (DSGVO) ab.
Defizite in der gesamtheitlichen und übergreifenden Steuerung der Informations- und Kommunikationstechnik in Unternehmen können zu Kostensteigerungen, fehlender Transparenz und auch zu Verstößen gegen gesetzliche und regulatorische Vorgaben führen. Dem gilt es durch eine Risikoidentifikation und effiziente Verankerung von mitigierenden Maßnahmen in Corporate Governance Systemen entgegenzuwirken.
Passgenaue Maßnahmen zur IT-Zuverlässigkeit sind erforderlich und schützen vor Schäden durch IT-Service-Unterbrechungen – egal ob der IT-Betrieb On-Premise, in der Cloud oder Hybrid erfolgt. Es erfordert ein koordiniertes Zusammenspiel auf prozessualer, organisatorischer und technologischer Ebene, um die eingesetzten IT-Services auf ein systematisch abgeleitetes und angemessenes Niveau zu heben.
Globalisierung, weltweite Vernetzung, Automatisierung und andere technologische Fortschritte machen Lieferketten hoch entwickelt und komplex. Es besteht ein hohes Maß an gegenseitiger Abhängigkeit sowohl zu Zulieferern als auch zu Kunden.
Dies bedeutet Chancen wie Umsatzsteigerungen, Markterweiterung und Kostensenkungen sind mit Risiken zur Erfüllung eingegangener Verpflichtungen verbunden. Insgesamt hängt die Zielerreichung der betroffenen Unternehmen zunehmend von Ereignissen, Prozessen und Kontrollen ab, die nicht sichtbar sind und oft außerhalb ihrer direkten Kontrolle liegen. Diese Risiken in der Lieferkette gilt es zu erkennen, zu bewerten und mittels Corporate Governance zu steuern.