Fahren auf der Brücke

Compliance im DCGK

Porträtfoto von Andreas Pyrcek
Andreas Pyrcek

EY Global Forensics Integrity, Compliance & Ethics Leader; Global Forensics Sector Leader, Technology, Media & Entertainment and Telecommunications, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

7 Minuten Lesezeit 08 Aug. 2022
Verwandte Themen
Digitalisierung

Mehr denn je spielt der Deutsche Corporate Governance Kodex für die verantwortungsvolle Unternehmensführung eine zentrale Rolle.

Überblick

  • Der Corporate Governance Kodex wurde aktualisiert – Neben Nachhaltigkeit hat diesmal auch die Compliance eine besondere Relevanz
  • Ein Compliance-Management-System muss entwickelt und implementiert sein und die Wirksamkeit überwacht werden
  • Die Überwachung des CMS kann in unterschiedlicher Form erfolgen – beispielsweise über die Prüfung nach IDW PS 980

Am 28. April 2022 hat die Regierungskommission, rechtzeitig zum 20. Jubiläum des Kodex, die Änderung der bisher geltenden Fassung beschlossen. Mit der Veröffentlichung im elektronischen Bundesanzeiger am 27. Juni 2022 ist der neue Deutsche Corporate Governance Kodex (DCGK) 2022 in seiner finalen Fassung in Kraft getreten. Geltung entfaltet der DCGK für alle im regulierten Markt börsennotierten Gesellschaften. Für diese ist es erforderlich, im Rahmen der jährlichen Entsprechungserklärungen (§ 161 AktG) Bezug auf die neuen Empfehlungen des Kodex zu nehmen und zu erklären, ob diesen Empfehlungen gefolgt werden soll. Soweit ihnen nicht entsprochen wird, gilt der Grundsatz „Comply or explain“, andere Verfahrensweisen müssen also begründet werden.

1. Schärfung der Compliance: Neuerungen des DCGK

Die diesjährigen Änderungen sind von unterschiedlichen Themen beeinflusst worden, haben aber – neben dem Vorstand und dem Aufsichtsrat – dieses Jahr eine besondere Aufmerksamkeit in Rechts- und Compliance-Organisationen sowie in der Internen Revision geweckt. Im Wesentlichen betreffen die Änderungen des DCGK die Stärkung der sogenannten ESG-Faktoren (Environmental, Social, Governance) bei der Leitung und Überwachung börsennotierter Unternehmen. Dadurch soll bewirkt werden, dass die Unternehmen in ihrer Strategie und Planung mehr auf Nachhaltigkeitsaspekte achten. Dabei sollen die 17 Ziele der UN für nachhaltige Entwicklung (UNSDGs)1 als Orientierungshilfe bei der Auslegung der Nachhaltigkeitsbegriffe dienen können.

Des Weiteren wurden die Grundsätze und Empfehlungen zu den jüngsten Änderungen des Aktiengesetzes durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) und das Zweite Führungspositionen-Gesetz (FüPoG II) angepasst.2

Auch gab es Anpassungen, die Relevanz für die Compliance-Strategie und die Umsetzung des systematischen Compliance-Managements haben.

So unterstützen wir Sie

2. Bedeutung für das Compliance-Management-System

Durch die grundlegenden Änderungen ergibt sich nun ein Handlungsbedarf für das Management und die Überwachungsorgane, aber auch insbesondere für die Compliance-Organisation. In der aktualisierten Fassung des DCGK findet sich die Rolle der Compliance nun wie folgt:

  • Grundsatz 5: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen und wirkt auf deren Beachtung im Unternehmen hin (Compliance). Das interne Kontrollsystem und das Risikomanagementsystem umfassen auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System.“
  • Grundsatz 16: „Die Information des Aufsichtsrats ist Aufgabe des Vorstands. Der Aufsichtsrat hat jedoch seinerseits sicherzustellen, dass er angemessen informiert wird. Der Vorstand informiert den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen insbesondere der Strategie, der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance. Er geht auf Abweichungen des Geschäftsverlaufs von den aufgestellten Plänen und vereinbarten Zielen unter Angabe von Gründen ein. Der Aufsichtsrat kann jederzeit zusätzliche Informationen vom Vorstand verlangen.“
  • Empfehlung D.5: „Der Aufsichtsratsvorsitzende soll zwischen den Sitzungen mit dem Vorstand, insbesondere mit dem Vorsitzenden bzw. Sprecher des Vorstands, regelmäßig Kontakt halten und mit ihm Fragen der Strategie, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance des Unternehmens beraten.“

Zu berücksichtigen ist ebenso Grundsatz 4 (in Kombination mit Grundsatz 5)

  • Grundsatz 4: „Für einen verantwortungsvollen Umgang mit den Risiken der Geschäftstätigkeit bedarf es eines angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems. Die Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems setzen deren interne Überwachung voraus.“

Durch diese Änderungen im Kodex wird nun noch einmal klar unterstrichen, dass ein Konzept, die Kombination mit Prozessen und Kontrollen sowie die Überwachung der Ausgestaltung und Wirksamkeit des Compliance-Management-Systems (CMS) essenziell für die Konformität mit dem Kodex ist. Vorstände börsennotierter Gesellschaften sind laut Begründung des DCGK explizit zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems verpflichtet (§ 91 Abs. 3 AktG). Die Pflicht zum Aufbau und zur Einrichtung eines CMS folgt daraus, dass das interne Kontrollsystem auch die zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften erforderlichen Grundsätze, Verfahren und Maßnahmen umfasst.3

Es stellt sich nun die Frage, ob auch das CMS überwacht werden muss und wie man eine „Wirksamkeit“ überwachen kann.

3. Grundbausteine des CMS und Grundfragen (Risiko, Ausgestaltung, Governance)

Der Kodex und der Hinweis auf eine Verankerung eines systematischen und wirksamen Ansatzes zur Umsetzung des CMS werfen Fragen und Herausforderungen in Rechts- und Compliance-Abteilungen wie auch bei der Revision auf:

  • Leitung und Überwachung
    Wie in Grundsatz 5 des DCGK genannt, liegt die Grundverantwortung für die Compliance bei der Unternehmensleitung.
  • Compliance-Funktion
    Die Compliance-Funktion ist unterhalb der Unternehmensleitung für den Betrieb des CMS verantwortlich und organisiert das Tagesgeschäft der Compliance-Strategie und deren Umsetzung.
  • Compliance-Risikoanalyse
    Eine von der Unternehmensleitung veranlasste Compliance-Risikoanalyse ist Voraussetzung und Grundlage für die Entwicklung eines angemessenen Compliance-Programms. Dabei sollen alle Compliance-Risiken identifiziert, evaluiert und bewertet werden. Aus den Ergebnissen werden die systematischen und konzernweiten Maßnahmen definiert und Ableitungen zur Umsetzung im CMS gezogen.
  • Compliance-Programm
    Die Ausgestaltung eines systematischen CMS orientiert sich in der Regel an der Unternehmenskultur, dem Risikoprofil, der Branche, relevanten Standards und Gesetzen, der geografischen Ausprägung sowie anerkannten nationalen und internationalen Compliance-Standards. Insbesondere bei Letzteren greifen viele Unternehmen auf anerkannte Rahmenwerke zurück, die bei der Ausgestaltung eine ausreichende Orientierung bieten. Dies sind beispielsweise die folgenden:
    • IDW PS 980 „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“
    • US Department of Justice: Evaluation of Corporate Compliance Programs (Juni 2020)
    • ISO 37301 „Compliance management systems“

Bei einem Vergleich der vielen internationalen Standards lässt sich jedoch erkennen, dass es eine Vielzahl von Überschneidungen zu den einzelnen Komponenten gibt. Aus diesem Grunde bietet es sich an, das Compliance-System auf dem international etablierten „Prevent – Detect – Respond“-Modell aufzubauen. Unter diese Gliederung lassen sich dann die einzelnen Elemente des CMS fassen, um eine ordnungsgemäße Operationalisierung sicherzustellen.

Unter „Prevent“ werden dabei Elemente wie z. B. der Verhaltenskodex sowie darauf aufbauende Richtlinien gefasst. Auch allgemeine Beratung, Schulungen oder ein Compliance-Kommunikationskonzept gehören dazu.

Zum Bereich „Detect“ zählen Elemente wie ein Hinweisgebersystem, ein Geschäftspartnermanagement und interne Prüfungen zur Umsetzung der Compliance (z. B. Revisionsprüfungen oder auch Datenanalysen) bezüglich Compliance.

Der Abschnitt „Respond“ umfasst alle reaktiven Maßnahmen, also die angemessene und konsequente Reaktion auf Compliance-Verstöße, beispielsweise durch einen Investigation-Ansatz, die Überwachung laufender Untersuchungen, ein Sanktions- und Remediationskonzept und Ursachenanalysen.4

Abschließend sollte der Geschäftsleitung in regelmäßigen Abständen ein Compliance-Bericht übermittelt werden, um die Erfüllung der Aufsichtspflicht zu gewährleisten.5

4. Überwachung der Wirksamkeit – die neue Herausforderung aus dem DCGK

Der Deutsche Corporate Governance Kodex hat mit der Referenz des CMS auf das IKS und Risikomanagement eine Brücke geschaffen, die die Überwachung der Wirksamkeit des CMS beschreibt. Doch was ist die „Wirksamkeit“ eines solchen CMS? Wie lässt sie sich überwachen und ist die Überwachung wirklich erforderlich?
Die praktische Wirksamkeit eine CMS ist dann gegeben, wenn Compliance-Risiken systematisch erhoben werden und es konzernweit eine ausreichende Antwort durch organisatorische und prozessuale Maßnahmen gibt. Diese Maßnahmen sind konzernweit systematisch zu entwickeln und zu implementieren und sollen dafür sorgen, dass in einem ausreichenden Rahmen Compliance-Risiken verhindert und aufgedeckt werden und ggf. angemessen darauf reagiert wird. Eine absolute Sicherheit bieten CMS in diesem Schritt nicht.

Ob die Wirksamkeit nun gegeben ist, lässt sich sowohl von internen Stellen – laut Begründung des DCGK die Kernaufgabe der Internen Revision – als auch von externen vertrauenswürdigen Parteien überprüfen. Dabei kann ein Compliance-Audit oder ein ­Assessment durchgeführt werden, wobei unbedingt die Prozessunabhängigkeit zu beachten ist.

Ein deutschlandweit etablierter Ansatz zur Überwachung des CMS sind unabhängige Prüfungen anhand des Prüfungsstandards IDW PS 980. Auf der Basis des Stufenmodells lassen sich die Konzeption, die Angemessenheit und Implementierung wie auch die Wirksamkeit des CMS unabhängig feststellen; dies hilft der Compliance-Organisation, den Organen und dem Prüfungsausschuss einen tiefgreifenden Blick in das Leben des Compliance-Systems zu geben.6

Die Änderungen des CMS sollten durch Compliance-Beauftragte sorgsam analysiert und die Wirkungen entsprechend in die Compliance-Strategie übertragen werden. Hierbei sind folgende Fragestellungen hilfreich:

  • Basiert das CMS auf einer systematischen und nachvollziehbaren Risikoanalyse?
  • Sind Rollen und Verantwortlichkeiten für das systematische Compliance-Management klar geregelt?
  • Wurde auf Basis der Risikoanalyse ein CMS entwickelt, das sich systematisch mit Kernrisiken auseinandersetzt und Maßnahmen zur Prävention und Aufdeckung möglichen Fehlverhaltens berücksichtigt?
  • Sind die zentralen Maßnahmen auf der Basis eines systematischen Ansatzes zentral und dezentral (konzernweit) implementiert und werden die Maßnahmen wirksam gelebt?
  • Wird regelmäßig über den Fortschritt und die Wirksamkeit des CMS an die Organe berichtet (Vorstand und Prüfungsausschuss)?
  • Kann die Organisation eine unabhängige Aussage zur Wirksamkeit des CMS machen?

Fazit

Durch die Änderungen im DCGK sollten Organisationen den systematischen Ansatz im Compliance Management sehr genau analysieren und ein Konzept zur Überwachung der Wirksamkeit etablieren.

Co-Autor: André Köhler

Mehr zum Thema

Compliance im DCGK

Mehr denn je spielt der Deutsche Corporate Governance Kodex für die verantwortungsvolle Unternehmensführung eine zentrale Rolle. Warum, lesen Sie hier.

Andreas Pyrcek

Worauf es bei der „Technical Compliance“ ankommt

Was Sie bei der technischen Compliance beachten müssen, lesen Sie hier.

Andreas Pyrcek

    Über diesen Artikel

    Porträtfoto von Andreas Pyrcek
    Andreas Pyrcek
    EY Global Forensics Integrity, Compliance & Ethics Leader; Global Forensics Sector Leader, Technology, Media & Entertainment and Telecommunications, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland
    Erfahrener Partner für proaktive Compliance-, Ethik- und Integritätsfragen. Darüber hinaus steht er bei der Reaktion auf Betrug, Bestechung und Korruption weltweit, beratend zur Seite.
    Verwandte Themen
    Digitalisierung

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.