Corporate Governance Inside

Herausforderung Unternehmensüber­wachung heute

Die Bedeutung von internen Über­wachungs­systemen aus der Sicht von Investoren

In einer für Unternehmen zunehmend von komplexen, dynamischen und disruptiven Veränderungen sowie makroökonomischen und geopolitischen Unsicherheiten geprägten Welt stehen sowohl Unternehmen wie auch institutionelle Investoren vor der Heraus­forderung, Risiken frühzeitig zu erkennen und nachhaltige Wertschöpfung sicherzustellen. Interne Überwachungs­systeme – bestehend aus internen Kontroll­systemen (IKS), Compliance-Management (CMS), Risiko­management (RMS) und Interner Revision – sind dabei nicht nur zentrale Bausteine einer guten Corporate Gover­nance, sondern außerdem essenziell für eine angemessene Risikokultur. Insbe­sondere aus Sicht von Investoren sind sie nicht nur ein Zeichen verant­wortungsvoller Unternehmens­führung, sondern auch ein entscheidender Faktor für die Investitions­entscheidung und die laufende Über­wach­ung ihrer Beteiligungen.

Dieser Beitrag beleuchtet die Bedeutung interner Über­wachungssysteme aus Sicht institutioneller Investoren und legt dabei einen besonderen Fokus auf die Rolle und Pflichten des Aufsichtsrats, insbesondere des Prüfungs­ausschusses, sowie auf den Austausch mit dem Wirtschafts­prüfer und die Anwendung gängiger Prüfstandards. 1. Interne Überwachungssysteme im Kontext der Corporate Governance 1.1. Begriffsdefinition und Systemelemente Interne Über­wachungssysteme umfassen sämtliche Strukturen, Mechanismen und Prozesse, die sicherstellen, dass Unternehmen gesetzliche Vorgaben, interne Richtlinien und ethische Standards einhalten. Sie dienen der Prävention und Aufdeckung von Fehlverhalten, der Sicherung von Vermögenswerten und der Förderung einer nachhaltigen Unternehmens­entwicklung und sind Ausdruck einer ausge­wogenen und akzeptierten Risikokultur. Im Zentrum steht dabei die Verzahnung von Risikomanagement, Compliance, Interner Revision und Kontrollmechanismen. 1.2. Regulatorischer Rahmen Regulatorisch sind die Anforderungen an interne Über­wachungssysteme in zahlreichen nationalen und internationalen Regelwerken verankert. Beispiele sind der Sarbanes-Oxley Act (SOX) in den USA, der Deutsche Corporate Governance Kodex (DCGK) sowie zuletzt § 91 Abs. 3 AktG, wonach der Vorstand einer börsennotierten Gesellschaft ein im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessenes und wirksames internes Kontroll­system und Risikomanage­mentsystem einzurichten hat. Gemein ist diesen Regelwerken, dass sie die Verantwortung von Vorstand und Aufsichtsrat bzw. der Executives und der Non-Executives für die Einrichtung und Überwachung wirksamer Kontrollsysteme betonen. Damit stehen die von den Aktionären als Eigentümern per Wahl bestimmten Vertreter im Aufsichtsrat als Mittler ihrer Interessen im Fokus. 2. Erwartungen institutioneller Investoren 2.1. Transparenz und Verlässlichkeit Investoren erwarten von Unternehmen eine offene und nachvoll­ziehbare Kommunikation über die Ausgestaltung und Wirksamkeit ihrer Überwachungssysteme. Transparenz schafft Vertrauen und ermöglicht eine fundierte Bewertung der Unternehmensführung. Insbesondere im Rahmen von Due-Diligence-Prüfungen und laufendem Monitoring sind umfassende Informationen zu Risiken, Kontrollschwächen und getroffenen Maßnahmen unerlässlich, wobei in den veröffentlichten Geschäftsberichten zumeist nur sehr ober­fläch­lich hierzu Stellung genommen wird. Es zeigen sich hier bereits erste Grenzen aufgrund der Informationsasymmetrien zwischen Aufsichtsrat und Investoren. 2.2. Risikominimierung und nachhaltige Wertschöpfung Ein wirksames Überwachungssystem reduziert das Risiko von Compliance-Verstößen, Betrug, Korruption und anderen Fehl­ent­wicklungen. Für Investoren ist dies ein zentrales Kriterium, da in der Vergangenheit Skandale und Kontroll­versagen nicht nur finanzielle Verluste, sondern auch erhebliche Reputationsschäden verursacht haben. Unternehmen mit robusten Über­wachungs­systemen sollten daher besser in der Lage sein, Fehlverhalten frühzeitig(er) zu erkennen, Krisen durch unabhängige Kontrolle auch im Aufsichtsrat überzeugend aufzuarbeiten und dadurch zu bewältigen sowie langfristig stabile Erträge zu erzielen. Dies sollte in Summe dazu führen, dass diese Unternehmen ein höheres Vertrauensniveau im Kapitalmarkt erlangen. 2.3. Engagement und Stewardship Institutionelle Investoren nehmen ihre Verantwortung als aktive Eigentümer zunehmend wahr. Sie üben Einfluss auf Unternehmen aus, indem sie Erwartungen an Governance-Strukturen formu­lieren, den Dialog mit Aufsichtsräten und Vorständen suchen und ihr Stimmrecht auf Hauptversammlungen gezielt einsetzen. Die Qualität der internen Überwachungs­systeme kann dabei ein zentrales Thema im Engagement-Prozess, also im Dialog mit dem Aufsichtsrat sein. Insbesondere im Rahmen der Aufarbeitung von Unternehmens­skandalen oder Verfehlungen Einzelner ist das Interesse an der Wirksamkeit von internen Überwachungssystemen entsprechend hoch. 3. Die Rolle und Pflichten des Aufsichts­rats Der Aufsichtsrat ist das zentrale Kontroll- und Überwachungsorgan im dualistischen System der Unternehmensführung. Seine Hauptaufgabe besteht darin, die Geschäftsführung zu kontrollieren und regelmäßig die Wirksamkeit der internen Überwachungs­systeme zu prüfen und dadurch sicherzustellen. Konkret beschreibt es auch Empfehlung A.5 des Deutschen Corporate Governance Kodex (DCGK), wonach sich der Aufsichtsrat regelmäßig über die Wirksamkeit des internen Kontrollsystems, des Risikomanage­ment­systems und des internen Revisions­systems berichten lassen muss und deren Angemessenheit zu prüfen hat. Wie der Aufsichtsrat dies allerdings sicherstellt, wird indes nicht weiter präzisiert. Investoren erwarten, dass der Aufsichtsrat dabei unab­hängig agiert, keine Interessenkonflikte duldet und über die notwendige Fach­kompetenz verfügt. Es ist davon auszugehen, dass er sich hierbei regelmäßig der Unterstützung des Abschlussprüfers bedient, da er selbst nicht über die Ressourcen verfügt. 3.1. Überwachungspflicht und Unabhängigkeit Die Überwachungspflicht des Aufsichtsrats umfasst insbesondere die regelmäßige und kritische Prüfung der Berichte der Internen Revision, der Compliance-Abteilung und des Risiko­manage­ments. Vorbereitend dürfte dies regelmäßig vom Prüfungsausschuss behandelt werden. Die Unabhängigkeit des Aufsichtsrats bzw. dessen mit diesen Aufgaben betrauter Mitglieder ist dabei von zentraler Bedeutung, um eine objektive und effektive Kontrolle sicher­zustellen. Hierbei ist – wie bereits ange­deutet – auch der Abschlussprüfer regel­mäßig und rechtzeitig einzubinden. Bereits die Festlegung der Key Audit Matters bzw. Prüfungs­schwerpunkte trägt zu einer thematischen Fokussierung bei. 3.2. Berichtslinien und Informationsrechte Eine direkte Berichtslinie der Internen Revision (inkl. der Compliance-Funktion und des Risikomanagements) an den Aufsichtsrat – üblicherweise an den Prüfungsausschuss – ist essenziell. Nur so kann der Aufsichtsrat seiner Überwachungs­pflicht nachkommen und sicherstellen, dass kritische Infor­mationen nicht gefiltert oder verzögert werden. Der Aufsichtsrat hat gemäß § 111 Abs. 2 AktG außerdem die Möglichkeit und das Recht, eigenständig externe Expert:innen als Sachverständige hinzuzuziehen, was in diesem konkreten Fall regelmäßig erfolgen dürfte. 3.3. Kritisches Hinterfragen und Nachhalten Wie weit geht nun aber die Prüfpflicht des Aufsichtsrats? Der Aufsichtsrat darf sich nicht mit formalen Berichten zufrieden geben, sondern muss diese kritisch hinterfragen, Unklarheiten nachgehen und die Umsetzung von Maßnahmen konsequent nachhalten. Erkenntnisse („Lessons Learned“) aus Vorfällen und Prüfungen sollten systematisch ausgewertet werden und in die Weiter­entwicklung der Überwachungssysteme einfließen. Gleichzeitig ist es dem Aufsichtsrat nicht möglich, sämtliche Geschäftsvorfälle, die hierfür infrage kommen, im Einzelnen zu prüfen. Er muss daher bereits im Vorweg eine Systematik und/oder Wesentlichkeitsgrenze definieren. 3.4. Förderung einer Integritätskultur Nicht zu unterschätzen ist der „Tone from the Top“, denn der Aufsichtsrat trägt Mitver­antwortung für die Unternehmenskultur. Er muss sicherstellen, dass Integrität, Transparenz und Verant­wortlichkeit gelebt werden. Effektive Whistleblowing-Systeme, Schutz vor Repressalien und regelmäßige Schulungen sind hierfür zentrale Elemente. 4. Die besondere Verantwortung des Prüfungsausschusses 4.1. Aufgabenprofil und gesetzliche Grund­lagen Der Prüfungsausschuss ist – mit Ausnahme des Vermittlungs­ausschusses – das einzige Element der Binnenorganisation, das gesetzlich festgelegt ist. Innerhalb des Aufsichtsrats bildet er das zentrale Gremium für die Überwachung der Rechnungslegung, des Risikomanagements, der Compliance-Funktion und der Internen Revision. Seine Mitglieder müssen über besondere Fachkenntnisse in den Bereichen Rechnungs­legung und Abschlussprüfung verfügen (§ 107 Abs. 4 AktG), wobei auch hier die weitere Konkretisierung gesetzesseitig ausbleibt und auch der DCGK keine vertiefenden Angaben hierzu macht, die eine zumindest beispielhafte Erfüllung dieser Maßgabe extern nachvollziehbar machen. 4.2. Vertiefte Prüfung der Überwachungs­systeme Investoren erwarten, dass der Prüfungs­ausschuss nicht nur formale Berichte entgegennimmt, sondern die Wirksamkeit der Systeme aktiv hinterfragt. Dazu gehören:

  • Die Bewertung der Angemessenheit und Effizienz der internen Kontrollmechanismen
  • Die Prüfung der Unabhängigkeit und Ressourcenausstattung der Internen Revision
  • Die Überwachung der Umsetzung von Prüfungsfeststellungen und Empfehlungen

4.3. Austausch mit dem Wirtschaftsprüfer Ein zentraler Aspekt der Arbeit des Prüfungsausschusses ist der regelmäßige und offene Austausch mit dem Abschlussprüfer. Dieser sollte nicht nur auf die Prüfung des Jahresabschlusses beschränkt sein, sondern auch Themen wie

  • Schwächen im internen Kontrollsystem,
  • Hinweise auf Compliance-Risiken,
  • Einschätzungen zur Governance-Kultur,
  • und die Anwendung von Prüfstandards wie IDW PS 980 (Prüfung von Compliance-Management-Systemen) umfassen.

Investoren legen Wert darauf, dass dieser Austausch unabhängig vom Vorstand erfolgt und dass der Prüfungsausschuss eigene Fragestellungen einbringt.

4.4. Anwendung von Prüfstandards Die Anwendung anerkannter Prüfstandards ist ein wesentliches Qualitätsmerkmal für die Governance eines Unternehmens. Sie schafft Transparenz, fördert Vertrauen und ermöglicht eine objektive Beurteilung der Wirksamkeit interner Überwachungssysteme. Besonders relevant sind folgende Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW):

  • IDW PS 980 – Prüfung von Compliance-Management-Systemen (CMS): Dieser Standard stellt sicher, dass das CMS angemessen ausgestaltet, implementiert und wirksam ist. Ein wirksames CMS ist essenziell, um rechtliche Risiken zu minimieren und ethisches Verhalten im Unternehmen zu fördern. Die Prüfung nach IDW PS 980 sollte dem Aufsichtsrat Hinweise liefern, ob das Unternehmen systematisch Regelverstöße verhindert und aufklärt.
  • IDW PS 981 – Prüfung von Risikomanagementsystemen (RMS): Der Standard bewertet, ob Risiken frühzeitig erkannt, bewertet und gesteuert werden. Ein robustes und wirksames RMS ist aus Investorensicht zentral, da es die Grundlage für nachhaltige Unternehmensentscheidungen bildet und die Resilienz gegenüber externen und internen Risiken erhöht. Hierzu ist besonders hervorzuheben, dass mittlerweile auch nicht-finanzielle Risiken im Rahmen des IDW PS 981 eine zunehmend wichtige Rolle spielen, da sie wesentliche Auswirkungen auf die Unternehmensstrategie, Reputation und langfristige Wertschöpfung haben können. Der Prüfungsstandard berücksichtigt diese Risiken ausdrücklich und bietet einen strukturierten Rahmen für deren Bewertung und Steuerung. Dazu gehören auch die folgenden, oftmals zwar schwer quantifizierbaren, aber dennoch für die Resilienz und die Zukunftsfähigkeit eines Unternehmens entscheidenden Risikogruppen: • Nachhaltigkeitsrisiken (z. B. Umwelt- und Klimarisiken) • Reputationsrisiken • Cyberrisiken und Datenschutz • Soziale und ethische Risiken • Risiken aus geopolitischen Entwicklungen oder Pandemien

Die Prüfung nach IDW PS 981 erlaubt eine flexible Anpassung an die spezifischen Risikoprofile eines Unternehmens. Dabei können auch nicht-finanzielle Risiken explizit in die Prüfungsplanung und -durchführung einbezogen werden. Dies ist besonders relevant, da nicht-finanzielle Risiken einerseits oft interdisziplinäre Auswirkungen haben. Andererseits sind sie zunehmend Gegenstand regulatorischer Anforderungen und ESG-Berichterstattung. Hinzukommt, dass Investoren und Stakeholder verstärkt auf die Transparenz und Steuerung solcher Risiken achten. Aus Sicht von Investoren ist die Berücksichtigung nicht-finanzieller Risiken im RMS ein Zeichen für vorausschauende Unternehmensführung und ganzheitliche Governance. Die Anwendung von IDW PS 981 zeigt, dass das Unternehmen Risiken systematisch identifiziert und bewertet – auch jenseits der klassischen Finanzkennzahlen. Es verfolgt eine integrierte Risikostrategie, die finanzielle und nicht-finanzielle Aspekte verbindet, und wird somit den Anforderungen moderner Corporate Governance gerecht.

  • IDW PS 982 – Prüfung von internen Kontrollsystemen (IKS): Dieser Prüfungsstandard bewertet die Wirksamkeit von Kontrollen, die sicherstellen sollen, dass Geschäftsprozesse ordnungsgemäß ablaufen und Fehler sowie Manipulationen vermieden werden. Ein funktionierendes IKS ist ein Zeichen für operative Exzellenz, schützt die Vermögenswerte des Unternehmens und trägt wesentlich zur Einhaltung gesetzlicher und regulatorischer Anforderungen bei. Der Aufsichtsrat, insbesondere der Prüfungsausschuss, spielt eine zentrale Rolle bei der Überwachung des internen Kontrollsystems. Seine Aufgaben umfassen: • Überwachung der Systemgestaltung und -wirksamkeit: Der Ausschuss muss sich regelmäßig mit der Ausgestaltung und Funktionsweise des IKS befassen und dessen Angemessenheit hinterfragen. • Einbindung der Internen Revision: Die Interne Revision liefert wichtige Erkenntnisse zur Wirksamkeit des IKS. Der Prüfungsausschuss sollte deren Berichte systematisch auswerten und sicherstellen, dass erkannte Schwächen adressiert werden. • Dialog mit dem Abschlussprüfer: Der Ausschuss sollte den Austausch mit dem Wirtschaftsprüfer suchen, um ein unabhängiges Bild über die Qualität des IKS zu erhalten – insbesondere im Rahmen der Prüfung nach IDW PS 982. • Förderung einer Kontrollkultur: Der Aufsichtsrat kann durch seine Haltung und Kommunikation eine Kultur der Kontrolle und Transparenz fördern, die über formale Systeme hinausgeht.

Schließlich steht noch der IDW PS 983 zur Prüfung von Internen Revisionssystemen im Fokus. Die Interne Revision ist ein zentrales Element der Governance, ihr Vertreter hat regelmäßigen Zugang zum Aufsichtsrat auch am Vorstand vorbei. Der Standard bewertet, ob die Revision unabhängig, risikoorientiert und wirksam arbeitet. Eine starke Interne Revision erhöht die Qualität der Überwachung und trägt zur kontinuierlichen Verbesserung der Unternehmensprozesse bei. Kenntnis und Anwendung dieser Standards durch den Prüfungsausschuss sind aus Investorensicht ein Zeichen für Professionalität, Verantwortungsbewusstsein und ein hohes Maß an Governance-Kompetenz und zeigen, dass der Ausschuss nicht nur formale Anforderungen erfüllt, sondern aktiv zur Sicherstellung der Unternehmensintegrität beiträgt. Dies kann sich positiv auf die Bewertung des Unternehmens durch Investoren und Ratingagenturen auswirken.

5. Must haves interner Überwachungs­systeme aus Investorensicht Aus Sicht institutioneller Investoren sollten interne Überwachungssysteme folgende Mindestanforderungen erfüllen. 5.1. Unabhängigkeit und Wirksamkeit

  • Klare Trennung zwischen operativem Management und Überwachungsfunktionen
  • Direkte Berichtslinie der Internen Revision und Compliance-Funktion an den Aufsichtsrat
  • Regelmäßige externe Überprüfung der Wirksamkeit

5.2. Transparenz und Nachvollziehbarkeit

  • Offene Kommunikation über Aufbau, Funktionsweise und Ergebnisse
  • Umfassende Berichterstattung zu Risiken, Schwächen und Maßnahmen
  • Nachvollziehbare Dokumentation aller wesentlichen Prozesse

5.3. Risikoorientierung und Anpassungsfähigkeit

  • Laufende Identifikation und Bewertung wesentlicher Risiken (inkl. ESG, Cyber, Compliance)
  • Regelmäßige Anpassung an neue regulatorische, technologische und geschäftliche Entwicklungen
  • Frühwarnsysteme zur rechtzeitigen Erkennung von Fehlentwicklungen

5.4. Kultur der Integrität und Verantwortlichkeit

  • Vorbildfunktion des Top-Managements („Tone from the Top“)
  • Klare Verantwortlichkeiten und effektive Whistleblowing-Systeme

5.5. Effiziente und digitale Prozesse

  • Zunehmend automatisierte Kontrollen und Nutzung moderner Technologien (z.B. Data Analytics, KI)
  • Effiziente Schnittstellen zwischen Überwachungsfunktionen und operativem Geschäft
  • Regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden

5.6. Nachhaltige Verankerung in der Unternehmensstrategie

  • Integration der Überwachungssysteme in die strategische Planung
  • Berücksichtigung von Nachhaltigkeitsrisiken
  • Langfristige Perspektive und Fokus auf nachhaltige Wertschöpfung

5.7. Kontinuierliche Verbesserung und Lernbereitschaft

  • Regelmäßige Reviews und – wo erforderlich – Umsetzung von Lessons Learned.
  • Offenheit für externe Impulse und Best Practices
  • Messbare Zielgrößen für die Weiterentwicklung

6. Herausforderungen und aktuelle Entwicklungen 6.1. Digitalisierung und neue Risiken Die fortschreitende Digitalisierung eröffnet neue Möglichkeiten für die Überwachung, birgt aber auch neue Risiken – etwa im Bereich Cybersecurity oder durch den Einsatz von künstlicher Intelligenz. Investoren erwarten, dass Unternehmen diese Risiken aktiv adressieren und ihre Systeme kontinuierlich weiterentwickeln. 6.2. ESG und Nachhaltigkeit Nicht-finanzielle Risiken, insbesondere im Bereich Umwelt, Soziales und Governance (ESG), gewinnen an Bedeutung. Investoren fordern, dass diese Aspekte integraler Bestandteil der Überwachungssysteme sind und transparent berichtet werden. 6.3. Regulatorische Dynamik Die regulatorischen Anforderungen an interne Überwachungssysteme steigen kontinuierlich. Unternehmen müssen flexibel und proaktiv auf neue Vorgaben reagieren. Der Aufsichtsrat und insbesondere der Prüfungsausschuss spielen hierbei eine Schlüsselrolle, indem sie die Anpassungsfähigkeit der Systeme überwachen und einfordern. 7. Empfehlungen für Aufsichtsräte, Prüfungs­ausschüsse und Überwachungs­funktionen

  • Sicherstellung von Unabhängigkeit und angemessene Ressourcenausstattung der Überwachungsfunktionen
  • Förderung einer offenen und transparenten Berichterstattung gegenüber Investoren
  • Verankerung von Risikoorientierung und Anpassungsfähigkeit als Leitprinzipien
  • Vorleben von Integrität und Verantwortlichkeit sowie Etablierung einer entsprechenden Unternehmenskultur
  • Nutzung digitaler Tools und Förderung von Innovation in der Überwachung
  • Integration von Nachhaltigkeitsaspekten in alle Überwachungsprozesse
  • Fokussierung auf kontinuierliche Verbesserung sowie Auswertung von Vorfällen und externen Impulsen
  • Aktiver und unabhängiger Austausch mit dem Wirtschaftsprüfer
  • Anwendung anerkannter Prüfstandards (IDW PS 980 ff.) und Dokumentation von deren Umsetzung

Fazit Interne Überwachungssysteme sind aus Sicht institutioneller Investoren ein zentrales Element guter Unternehmensführung. Sie schaffen Vertrauen, minimieren Risiken und sichern nachhaltige Wertschöpfung. Der Aufsichtsrat trägt dabei eine besondere Verantwortung: Er ist Garant für die Wirksamkeit und Weiterent­wicklung der Systeme und muss seine Über­wachungs­funktion aktiv, unabhängig und kompetent wahrnehmen. Die explizite Orientierung an der Empfehlung A.5 DCGK sowie die professionelle Arbeit des Prüfungsausschusses – inklusive Austausch mit dem Wirtschaftsprüfer und Anwendung anerkannter Prüfstandards – sind zentrale Indikatoren für die Qualität der Governance eines Unternehmens. Die ausführliche interne Dokumentation, aber auch die Berichterstattung nach außen im Rahmen des Berichts des Aufsichtsrats im Geschäftsbericht sowie im Rahmen der Hauptversammlung sind dabei wichtige Belege dafür, wie der Aufsichtsrat diese Empfehlung erfüllt. Für den Dialog zwischen den Investoren und dem Aufsichtsrat wäre für dieses Thema auch überlegenswert, im Rahmen der Hauptver­sammlung z.B. den Vorsitzenden des Prüfungs­ausschusses seinen Bericht vorzustellen und Fragen der Aktionäre zu beantworten. In den Niederlanden, der Schweiz, aber auch in Österreich steht außerdem der Abschlussprüfer den Aktionären im Rahmen der Hauptver­sammlung zur Auskunft bereit. Auch dies scheint ein überlegenswerter Gedanke zu sein.

Hendrik Schmidt Vice President im Corporate Governance Center der DWS für die DACH-Region und das Vereinigte Königreich

Hier können Sie das gesamte Magazin als PDF herunterladen:

Download

Teilen Sie diesen Artikel:

<< Zurück zum Inhaltsverzeichnis

Erfahren Sie mehr zu unserem Programm