Deutscher Corporate Governance Kodex 2022
23 Mai, 2022
Die Neuerungen des Deutschen Corporate Governance Kodex: Fokus-Thema Steuerungs- und Kontrollsysteme
Die Regierungskommission Deutscher Corporate Governance Kodex hat am 17. Mai 2022 die Neufassung des Deutschen Corporate Governance Kodex, kurz DCGK 2022, veröffentlicht. Mit der am 27. Juni 2022 erfolgten Bekanntmachung der geänderten Fassung des DCGK im Bundesanzeiger bildet dieser nun die neue Grundlage für die Entsprechenserklärung gem. §161 AktG.
Im Fokus der Kodexänderungen stehen neben neuen Empfehlungen zum Zusammenspiel des Prüfungsausschusses mit dem Abschlussprüfer die Berücksichtigung sozialer und ökologischer Nachhaltigkeit sowie die Steuerungs- und Kontrollsysteme.
Das Thema Nachhaltigkeit im DCGK 2022 erstreckt sich über alle Facetten des unternehmerischen Betätigungsspektrums – von der Strategie- und Zielsetzung über das Planungswesen bis hin zu den operativen Steuerungs- und Kontrollsystemen. Diese Systeme stehen seit den Änderungen des Aktiengesetzes durch das FISG ohnehin auf der Agenda vieler Vorstände und Aufsichtsräte. Der DCGK 2022 wird dies nun noch verstärken.
„Mit der Neufassung des DCGK kommen zahlreiche neue Anforderungen auf börsennotierte Unternehmen zu – insbesondere in Hinblick auf die Professionalisierung der Corporate Governance Systeme. Höchste Zeit, die Governance-Systeme auf den Prüfstand zu stellen.“
Fokus Corporate-Governance-Systeme: Die wichtigsten Änderungen im Überblick
Die gesetzliche Grundlage des „Comply or Explain“-Prinzips des DCGK ergibt sich aus dem Aktiengesetz: Der Vorstand und Aufsichtsrat einer börsennotierten Gesellschaft sind nach §161 verpflichtet, eine jährliche Entsprechenserklärung abzugeben. Abweichungen von Empfehlungen des Kodex müssen sie dabei nach dem Grundsatz „comply or explain“ begründen.
Für Unternehmen der Prime-Indizes DAX, MDAX, SDAX und TecDAX ist die Bestätigung der Einhaltung („no deviation“) ausgewählter Empfehlungen des DCGK zudem verpflichtend für eine Börsenzulassung.
„Auch mit den Neuerungen des DCGK 2022 werden wieder neue Standards für Good Corporate Governance gesetzt. Damit sind die neuen, erweiterten Anforderungen in Richtung stärkere Verankerung der Nachhaltigkeit und weitere Professionalisierung der Corporate Governance auch für den deutschen Mittelstand relevant.“
Der DCGK 2022 bringt hinsichtlich der Steuerungs- und Kontrollsysteme im Wesentlichen die folgenden Änderungen:
- Es wird klargestellt, dass die Einrichtung eines Internen Kontroll- und Risikomanagement-Systems auch ein Compliance-Management-System einschließt, das der Risikolage des Unternehmens angemessen sein muss.
- Bereits mit dem FISG hat der Gesetzgeber verdeutlicht, dass die Risikobetrachtung des bislang primär finanzorientierten Internen Kontroll- und Risikomanagement-Systems auf operative Risiken gemäß der Risikolage des Unternehmens auszuweiten ist. Der DCGK knüpft hier an und stellt klar, dass es zur Sicherstellung der Angemessenheit und Wirksamkeit der Systeme deren interner Überwachung bedarf – in der Begründung zum DCGK 2022 weist die Kodexkommission zusätzlich auf die Möglichkeit externer Prüfungen hin.
- Zudem empfiehlt der DCGK 2022, mit den Systemen auch nachhaltigkeitsbezogene Ziele abzudecken.
- Im Lagebericht sollen die wesentlichen Merkmale des Internen Kontroll- und Risikomanagement-Systems umfassend beschrieben werden. Die gesetzlich erforderlichen Angaben beschränken sich nämlich bislang im Wesentlichen auf rechnungslegungsbezogene Belange.
- Der Vorstand soll im Lagebericht außerdem eine Stellungnahme zur Angemessenheit und Wirksamkeit der Management-Systeme abgeben.
- Der Kodex stellt klar, dass die Überwachung und Beratung des Vorstands durch den Aufsichtsrat auch Nachhaltigkeitsfragen umfasst – dies betrifft auch den Prüfungsausschuss in seiner Überwachung der Wirksamkeit der Steuerungs- und Kontrollsysteme.
- Hinsichtlich der Qualifikation der Finanzexpert:innen im Aufsichtsrat bzw. Prüfungsausschuss empfiehlt der Kodex, dass mindestens eines dieser Mitglieder auch über besondere Kenntnisse und Erfahrungen in der Anwendung interner Kontroll- und Risikomanagementsysteme verfügen soll.
DCGK 2022 – Handlungsbedarf für Ihr Unternehmen
Nicht nur der Wirecard-Skandal, sondern auch ökologische und soziale Auswirkungen der Unternehmenstätigkeit prägen im Wesentlichen die Anpassungen des DCGKs. In unserem Webinar erfahren Sie von unseren Expert:innen, in welchen drei Fokusbereichen sich Handlungsbedarfe für Ihr Unternehmen ergeben. Schauen Sie sich die Aufzeichnung hier kostenfrei an.
Wie Sie Ihren Handlungsbedarf identifizieren
Erfüllt Ihr Unternehmen bereits die neuen Anforderungen des DCGK 2022? Beantworten Sie unseren Fragenkatalog!
- Sind Ihre vier Corporate-Governance-Systeme formalisiert und prüfbar?
- Internes Kontrollsystem (IKS),
- Risikomanagement-System (RMS),
- Compliance-Management-System (CMS) und
- Internes Revisionssystem (IRS) - Haben Sie für Ihr IKS, RMS und CMS eine ganzheitliche Bewertung aller relevanten (auch operativer und nachhaltigkeitsbezogener) Unternehmensrisiken vorgenommen? Oder ist Ihr CMS z. B. lediglich auf die „klassischen“ Risiken wie Anti-Korruption ausgerichtet?
- Lassen Sie Ihre Corporate-Governance-Systeme einschließlich des Internen Revisionssystems bereits regelmäßig mit Blick auf Angemessenheit und Wirksamkeit extern prüfen?
- Haben Sie für Ihre Corporate-Governance-Systeme klare und nachvollziehbare Reporting- und Berichtsstrukturen etabliert?
- Gibt es interne Verfahren, die den Vorstand in die Lage versetzen, eine Aussage zur Angemessenheit und Wirksamkeit der Corporate Governance Systeme im Lagebericht treffen zu können? Beispielsweise über interne Self-Assessments, Management-Testings oder Sign-Off-Verfahren?
Unsere Expert:innen unterstützen Sie ganzheitlich dabei, den Reifegrad Ihres IKS, RMS, CMS und IRS zu bestimmen und Ihren individuellen Anpassungsbedarf zu identifizieren. Dabei berücksichtigen wir selbstverständlich die Risikolage und das Risikoumfeld Ihres Unternehmen sowie die entsprechenden regulatorischen, organisatorischen, prozessualen und technologischen Anforderungen.
„Der technologische Wandel und die aufkommenden Emerging Technologies beeinflussen nahezu jeden Geschäftsprozess und erfordern explizit eine angepasste IT-Governance. Wer seine bestehenden Governance-Verfahren unverändert fortsetzt, wird diesen neuen Anforderungen nicht gerecht.“
Unsere Leistungen im Überblick
- Reifegrad- und Fit-Gap-Analysen
- Aufbau und Optimierung Ihrer Corporate-Governance-Systeme
- Self-Assessment, Prüfung und Managed Services
- Digitalisierung und technologischer Wandel
- (IT) Service Continuity
- Governance im Mittelstand
- Governance in der Finanzindustrie
- Governance in der Energiewirtschaft
- Governance in der Automobilindustrie
- Governance im Gesundheitswesen
Reifegrad- und Fit-Gap-Analysen
Wir unterstützen Sie bei der Bestimmung des Reifegrades sowie der Identifikation möglicher Schwachstellen innerhalb und zwischen Ihren Corporate-Governance-Systemen.
Im Rahmen von GRC-Workshops, Reifegrad- und Fit-Gap-Analysen können wir gemeinsam mit Ihnen einen neutralen Blick auf Ihre GRC-Systeme werfen und mögliche Optimierungspotenziale identifizieren.
Aufbau und Optimierung Ihrer Corporate-Governance-Systeme
Damit Ihre Corporate-Governance-Systeme die wichtigsten Neuerungen des DCGK erfüllen, unterstützen wir Sie beim Design und der Implementierung systematisierter und prüfbarer Steuerungs- und Kontrollsysteme.
Daneben können wir bereits bestehende Corporate-Governance-Systeme untersuchen und optimieren – zum Beispiel mit Blick auf eine ganzheitliche, systemübergreifende Risikobetrachtung, die Beleuchtung nachhaltigkeitsbezogener Belange oder die Ausweitung des Compliance-Management-Systems auf weitere Rechtsgebiete.
Self-Assessment, Prüfung und Managed Services
Um langfristig angemessene und wirksame Corporate-Governance-Systeme betreiben zu können, unterstützen wir Sie bei der Entwicklung oder Durchführung von internen und externen Prüfungen.
So können wir Sie bei der Entwicklung von Evaluierungsprozessen wie beispielsweise dem Self-Assessment begleiten, externe Prüfungen wie IDW PS 98x durchführen oder Managed Services zum Beispiel für das IKS Management Testing bereitstellen.
Digitalisierung und technologischer Wandel
Chancen und Risiken der Digitalisierung und der neuen Technologien müssen nicht nur erkannt, sondern explizit über effiziente Corporate-Governance-Strukturen überwacht und gesteuert werden.
Die Bandbreite der Themen und Herausforderungen ist groß: Cloud-Infrastrukturen, Open-Source-Software in Produkten und kritischen Systemen oder Künstliche Intelligenz sind nur einige Beispiele. Genauso geht es um spezifische Themen wie automatisierte Kontrollen, Zuverlässigkeit von Datenquellen, Transaktionen in Blockchains, NFTs oder die Vernetzung von Geschäftsprozessen durch das Internet der Dinge (Internet of Things, IoT).
(IT) Service Continuity
Der Ausfall eines einzigen IT Services kann eine Vielzahl von Unternehmensprozessen betreffen. Entsprechend wichtig ist die Sicherung der Verfügbarkeit der IT gemäß der geschäftlichen Anforderungen.
Die omnipräsente Bedrohung einer jeden IT durch externe Angreifer über Cyber-Attacken darf nicht darüber hinwegtäuschen, dass viele IT-Betriebsunterbrechungen schlicht durch unzureichendes technisches Design, durch interne (Wartungs-)Fehler, mangelhafte Prozesse und Kontrollen und/oder technisches Versagen verursacht werden.
IT-Resilienz beginnt daher ganz klassisch mit einer individuellen Analyse zur Compliance und einem individuellen Risiko-Assessment. Weitere Schritte betreffen dann die Beurteilung der Umsetzung von IT-Prozessen und -Kontrollen bis hin zur Validierung des technologischen Aufbaus und des Fehlermanagements.
Governance im Mittelstand
Auch wenn sich das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) ebenso wie der DCGK zunächst an kapitalmarktorientierte Unternehmen richtet, wird diesen Vorgaben darüber hinaus auch eine Ausstrahlungswirkung für vergleichbar große oder komplexe Unternehmen zugeschrieben. Insbesondere für die Corporate Governance mittelständischer Unternehmen können sich hieraus zahlreiche Anpassungsimpulse ergeben. Professionelle Aufsichts- und Beiräte inhabergeführter Unternehmen haben schon immer ähnliche, wenn nicht gar die gleichen Maßstäbe an die Unternehmensverfassung der von ihnen beaufsichtigten Unternehmen gestellt. Daher sind angemessene und wirksame Steuerungssysteme auch eine Aufgabe für den Mittelstand.
Governance in der Finanzindustrie
Die Corporate Governance in der Finanzdienstleistungsbranche weist einen hohen Reifegrad auf. Das liegt nicht zuletzt an den umfangreichen nationalen und internationalen Anforderungen von Regulatoren und Standardsetzern. Dezidierte Anforderungen an die Geschäftsleitung, das Aufsichtsorgan, die Ausgestaltung von Kontrollsystemen, Risiko- und Compliance-Funktionen sowie die Interne Revision prägen die Verfassung von Finanzdienstleistern seit vielen Jahren.
Kann die Neufassung des DCGK da noch Änderungsbedarf für die Finanzdienstleistungsbranche aufzeigen? Wir denken schon. Mehr als in der Vergangenheit müssen alle drei Verteidigungslinien auf ökologische und soziale Nachhaltigkeit fokussieren. Was das in der Praxis heißt, besprechen wir gerne gemeinsam. Unsere Experten für Interne Kontrollsysteme, Risk Management, Compliance und Internal Audit freuen sich auf den Austausch mit Ihnen.
Governance in der Energiewirtschaft
Effektive Governance-Systeme spielen in der Energiewirtschaft aus verschiedensten Gründen eine herausragende Rolle. Neben den typischen Risiken börsennotierter Unternehmen unterliegt die Branche umfangreichen regulatorischen Anforderungen, deren Einhaltung laufend sichergestellt sein muss. Ein weiterer Aspekt sind Datenschutzrisiken, technische Risiken und kaufmännische Risiken im Rahmen von Massenabrechnungsprozessen sowie ausgeklügelten Marktprozessen, die zum Beispiel die freie Auswahl des Lieferanten für Endverbraucher im Rahmen des sogenannten Unbundlings sicherstellen. Darüber hinaus spielt die Energiewirtschaft für die Gesamtwirtschaft als Betreiber von Energienetzen und Erzeugungskapazitäten (kritische Infrastrukturen) eine systemrelevante Rolle. PwC verfügt über eine Vielzahl von Expert:innen, die sich auf Governance, Risk & Compliance in der Energiebranche spezialisiert haben.
Governance in der Automobilindustrie
Auch in der Automobilindustrie spielt ein risikoadäquates Compliance-Managementsystem, das alle wesentlichen Compliance-Risiken adressiert, eine herausragende Rolle. Besonderheiten sind hier, dass die Governance-Systeme auch technische Risiken (Product Compliance) umfassen sollten. Damit einher gehen unter anderem klar zu definierende Schnittstellen der Governance-Systeme zum Lieferanten-, Qualitäts- und Umweltmanagement.
Die Transformation der Automobilindustrie mit Trends zu E-Mobilität, zum Autonomen Fahren und Over-the-Air Updates von Fahrzeugsoftware bedeutet auch, dass Datenschutz- und Cyber-Risiken einen wichtigen Stellenwert in der ganzheitlichen Betrachtung von Unternehmensrisiken bekommen müssen.
Governance im Gesundheitswesen
Auf das Gesundheitswesen kommen mit dem DCGK 2022 besondere Anforderungen zu. Welche das genau sind, hängt von der Art der Organisation ab: Leistungserbringer müssen andere Schwerpunkte setzen als Versicherungsträger oder Unternehmen der Medizintechnik. Für alle Unternehmen des Gesundheitswesens gilt: Medizinische Standards und die hohen Anforderungen an den Datenschutz erfordern eine entsprechende Governance. Unsere Expert:innen vereinen die tiefe Branchenkompetenz aus zahlreichen internationalen Projekten in allen Bereichen des Gesundheitswesens mit der Kompetenz zur Einrichtung und Weiterentwicklung von Governance-Systemen.
Risiken permanent überwachen und angemessen adressieren
Technologien, Märkte und Unternehmen entwickeln sich stetig weiter. Neue Zusammenhänge und Anforderungen führen zu neuen Produkten und Services, die wiederum neue Chancen und Risken mit sich bringen. Die Neuauflage des Deutschen Corporate Governance Kodex betont die unternehmensindividuelle Berücksichtigung dieser Chancen und Risiken. Dabei ist es wichtig, gerade auch die neueren Einflussfaktoren auf dem Radar zu haben und diese angemessen zu adressieren. Solche Aspekte ergeben sich zum Beispiel zu den folgenden Themenbereichen:
Der Einsatz von Open Source Software (OSS) führt zu klassischen Compliance-Risiken im Bereich des Urheberrechts, der Business Continuity und/oder IT-Security. Egal, ob ein Unternehmen selbst Produkte erstellt und vertreibt, die Software enthalten oder Software einfach nur in den Wertschöpfungs- und Produktionsprozessen einsetzt: Es besteht immer eine Abhängigkeit von Open Source Software.
Besondere zu benennende Aspekte sind die Einhaltung aller Auflagen von Open Source Lizenzen und das Management der Lizenzrisiken, die Sicherheitsbeurteilung eingesetzter OSS und der zugrundeliegenden Lieferkette, die Inventarisierung aller OSS und der effiziente Tool-Einsatz. Eine Integration in die Corporate Governance ist unerlässlich.
Studien und Erfahrungen zeigen: Die Herausforderungen für die erfolgreiche Integration von Cloud Services betreffen die Aufbau- und Ablauforganisation, die Entscheidungsprozesse und das Zusammenspiel mit anderen vorhandenen Anwendungen und Prozessen. Werden diese Herausforderungen nicht professionell gelöst, können sich überraschende und eklatante Risiken für die Geschäftsprozesse ergeben.
Datengetriebene Entwicklungen und oftmals bestehende Intransparenz von Künstliche Intelligenz (KI) basierten Entscheidungen führen zu völlig neuen Geschäftsrisiken. Sie können mit klassischen IT-Risikoansätzen und -Richtlinien nicht (mehr) vollständig adressiert werden. Parallel dazu sind neue Anforderungen an die Verlässlichkeit und Sicherheit von KI zu berücksichtigen, beispielsweise im Hinblick auf den EU AI Act.
Bei der Entwicklung von Software mit agilen Entwicklungsmethoden und enger Verzahnung von Entwicklung und Betrieb (DevOps) müssen externe und interne Compliance-Anforderungen und Risiken angemessen adressiert werden. Versäumnisse können sich schnell auf die Geschäftsprozesse und Business Continuity auswirken. Insoweit sind neue Leitplanken in der Corporate Governance zu verankern, um Compliance und Zuverlässigkeit sicherstellen, ohne die für ein agiles Vorgehen notwendige Freiheit zu verlieren.
Das „Internet der Dinge“ (IoT) ist eine Schlüsseltechnologie zur digitalen Transformation und damit entscheidend für die Wettbewerbs- und Zukunftsfähigkeit. Dies erfordert die Identifikation und Mitigation der spezifischen inhärenten Risiken, die mit dieser Technologie einhergehen, einschließlich derer Steuerung und Überwachung.
Cloud-Anbieter müssen ihren Kunden ein hohes Niveau an Informationssicherheit nach verschiedenen Normen nachweisen können. Dies führt zu stetig wachsenden Anforderungen einschließlich steigenden Prüf- und Überwachungsbedarfen welche stringent in die Corporate Governance implementiert werden müssen.
Governance ist für die „Robotic Process Automation“ (RPA) ein entscheidender Erfolgsfaktor für die Automatisierung von Massentransaktionen und somit für den Aufbau tragfähiger Anwendungsfälle. Nur wer RPA-spezifische Risiken kennt, kann sich rechtzeitig darauf einstellen. Leitlinien, Organisation und End-to-End-Betriebsprozesse müssen so gestaltet werden, dass Risiken wie beispielsweise Manipulation, hohe Fehlerquoten oder Ausfälle in der Verarbeitung frühzeitig erkannt, bewertet und adressiert werden.
Die Verwendung neuer Cloud-Technologien für die eigenen Geschäftsprozesse führt zu neuen technischen und organisatorischen Herausforderungen bei der Sicherstellung des Schutzes personenbezogener Daten und bei der Sicherung der Transparenz hierüber. Die Komplexität steigt mit der Anzahl der an einer Verarbeitung beteiligten (Cloud-) Anbieter deutlich. Aus Sicht der Verbraucher anbieterübergreifende Lösungswege zeichnen sich beispielsweise mit Zertifizierungen nach Artikel 42 der EU-Datenschutz-Grundverordnung (DSGVO) ab.
Defizite in der gesamtheitlichen und übergreifenden Steuerung der Informations- und Kommunikationstechnik in Unternehmen können zu Kostensteigerungen, fehlender Transparenz und auch zu Verstößen gegen gesetzliche und regulatorische Vorgaben führen. Dem gilt es durch eine Risikoidentifikation und effiziente Verankerung von mitigierenden Maßnahmen in Corporate Governance Systemen entgegenzuwirken.
Passgenaue Maßnahmen zur IT-Zuverlässigkeit sind erforderlich und schützen vor Schäden durch IT-Service-Unterbrechungen – egal ob der IT-Betrieb On-Premise, in der Cloud oder Hybrid erfolgt. Es erfordert ein koordiniertes Zusammenspiel auf prozessualer, organisatorischer und technologischer Ebene, um die eingesetzten IT-Services auf ein systematisch abgeleitetes und angemessenes Niveau zu heben.
Globalisierung, weltweite Vernetzung, Automatisierung und andere technologische Fortschritte machen Lieferketten hoch entwickelt und komplex. Es besteht ein hohes Maß an gegenseitiger Abhängigkeit sowohl zu Zulieferern als auch zu Kunden.
Dies bedeutet Chancen wie Umsatzsteigerungen, Markterweiterung und Kostensenkungen sind mit Risiken zur Erfüllung eingegangener Verpflichtungen verbunden. Insgesamt hängt die Zielerreichung der betroffenen Unternehmen zunehmend von Ereignissen, Prozessen und Kontrollen ab, die nicht sichtbar sind und oft außerhalb ihrer direkten Kontrolle liegen. Diese Risiken in der Lieferkette gilt es zu erkennen, zu bewerten und mittels Corporate Governance zu steuern.
Follow us
Contact us
