Medien: Compliance - Governance - Interne Revision

Wenn man sich vertieft mit dem Themenkomplex Ethik im Unternehmen auseinandersetzt, so gerät man bisweilen in einen dynamischen Diskurs. Kernfragen sind, wie Ethik und Recht (auch innerbetriebliches Recht) im Verhältnis zueinander stehen und wie eine Organisation Recht und Ethik bestmöglich vermitteln kann? Gemeinsam haben Recht und Ethik, dass sie Steuerungsinstrumente für individuelles Handeln und die Entwicklung gesellschaftlicher wie unternehmensbezogener Prozesse sind. Beide werden auch oftmals als selbständige Rechtskreise definiert, deren Konnex schwerlich herzustellen sei.

Internationale Konzerne stehen beim Aufbau rechtssicherer und zugleich effizienter Hinweisgebersysteme vor komplexen Herausforderungen - etwa durch divergieren- de Rechtsordnungen, kulturelle Unterschiede oder limitiert verfügbare Ressourcen. Künstliche Intelligenz (KI) kann in diesem Kontext substanzielle Effizienzgewinne ermöglichen, sei es bei der Analyse großer Datenmengen, der Priorisierung von Hinweisen oder in der Begleitung interner Untersuchungen.

Der festgestellte Gesamtschaden durch 3.841 korrupte, polizeilich erfasste Handlungen ist laut BKA im Jahr 2023 um mehr als das Doppelte auf 57 Mio. Euro angestiegen - die Dunkelziffer dürfte deutlich höher sein. Der Korruptionswahrnehrnungsindex 2024 von Transparency International bewertete Deutschland rnit 75 Punkten auf einer Skala von 0 ("hochgradig korrupt") his 100 ("sehr sauber"). In der Rangfolge der Punktzahl erreichte Deutschland den 15. Platz unter den 180 im Index erfassten Ländern.

Die Richtlinie (E U) 2024/1260 vom 24.4.2024 stellt einen weiteren Meilenstein der europäischen Vermögensabschöpfung dar. Sie führt unionsweit Mindeststandards für das Aufspüren, Einfrieren, Verwalten und Einziehen verdächtiger Vermögenswerte ein und ersetzt die Richtlinie 2014/42/EU. Der Beitrag skizziert die Genese und die zentralen Norminhalte, ordnet sie in das bestehende unions- und verfassungsrechtliche Gefüge ein.

In der öffentlichen Gesetzgebung gibt es immer wieder die Forderung nach und erste Experimente mit befristeten Gesetzen. Regulierungen erhalten dann eine sogenannte Sunset-Klausel, in der die Befristung festgelegt wird. Im Folgenden wird darüber diskutiert, inwiefern befristete Regeln auch für das Compliance-Management innerhalb von Unternehmen sinnvoll sein können.

Die Europäische Union hat sich mit dem Green Deal und dem Aktionsplan für die Kreislaufwirtschaft das Ziel gesetzt, den Übergang zu einer nachhaltigen, ressourcenschonenden Wirtschaft systematisch voranzutreiben. Ein zentraler Bestandteil dieser Strategie ist die Regulierung der Umweltverträglichkeit von Produkten über deren gesamten Lebenszyklus hinweg. Die Verordnung zur Schaffung eines Rahmens für die Festlegung von Ökodesignanforderungen für nachhaltige Produkte (Verordnung (EU) 2024/1781) - nachfolgend als EU-Ökodesignverordnung bezeichnet - soll dabei als grundsätzlicher Rechtsrahmen für nahezu alle physischen Waren auf dem EU-Binnenmarkt dienen und die bisherige Richtlinie 2009/125/EG ersetzen.

Die Verordnung über die digitale operationelle Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) führt einen einheitlichen Rechtsrahmen für die IT- und Cybersicherheit nahezu aller Finanzmarktakteure in der Europäischen Union ein. Ziel ist es, ein hohes, harmonisiertes Sicherheitsniveau zu etablieren und die operationelle Widerstandsfähigkeit der Finanzbranche gegenüber Informations- und Kommunikationstechnologie-(IKT-)Risiken zu stärken. Hierzu normiert DORA Anforderungen in den Bereichen IKT-Risikomanagement, Meldung von Sicherheitsvorfällen, Testverfahren (inklusive Threat-Led Penetration Testing), Umgang mit IKT-Drittanbietern sowie Aufsichts- und Sanktionsmechanismen.

Mit der Entwicklung der digitalen Landschaft muss der Datenschutz zu einem bestimmenden Geschäftsprinzip werden. Trotz der Bedeutung des Themas zeigt die ISACA-Studie "State of Privacy 2025", dass 45 Prozent der Datenschutzexperten das Gefühl haben, in unterfinanzierten Teams zu arbeiten, was ihre Unternehmen anfällig für Sicherheitsverletzungen macht. Ohne angemessene Investitionen und Unterstützung sind die Datenschutzteams überfordert und die Unternehmen unnötigen Risiken ausgesetzt. Zwar wurden durch neue Rechtsvorschriften Wege zur Lösung dieser Probleme aufgezeigt, doch ist die Einhaltung der Vorschriften für überlastete Mitarbeitende nach wie vor ein Problem.

Die EU-Kommission hat Anfang Juli 2025 einen neuen delegierten Rechtsakt zur Nachhaltigkeitsberichterstattung erlassen. Damit sollen die bereits existierenden delegierten Verordnungen zur EU-Taxonomie betreffend die Berichterstattung nach Art. 8 und die anzuwendenden technischen Bewertungskriterien modifiziert werden. Ziel ist es, die teils anspruchsvollen Vorgaben zu vereinfachen, um europäische Unternehmen von Bürokratiekosten zu entlasten und damit in ihrer Wettbewerbsfähigkeit zu stärken. Der vorliegende Beitrag gibt einen Überblick über Hintergründe und Inhalte der Veröffentlichung und diskutiert sie im Kontext der Omnibus-Initiative der EU-Kommission.

Die Corporate Sustainability Reporting Directive (CSRD) und die European Sustainability Reporting Standards (ESRS) markieren einen Paradigmenwechsel in der Nachhaltigkeitsberichterstattung europäischer Unternehmen. Im Zentrum steht dabei die doppelte Wesentlichkeitsanalyse, durch die Unternehmen relevante Nachhaltigkeitsthemen als Auswirkungen, Risiken und Chancen (IROs) identifizieren und bewerten müssen. Der vorliegende Beitrag untersucht, wie börsennotierte Unternehmen der Industrie "Zyklische Konsumgüter" im DAX, MDAX und SDAX diese Anforderungen im Geschäftsjahr 2024 erstmals freiwillig umgesetzt haben. Grundlage ist eine qualitative und quantitative Analyse der doppelten Wesentlichkeitsanalyse und der IRO-Berichterstattung.

Steigende ESG-Anforderungen stellen Unternehmen, insbesondere KMU, vor erhebliche Herausforderungen. Dieser Beitrag systematisiert gesetzliche und stakeholdergetriebene Erwartungen anhand von strukturierten Anforderungsprofilen. Ergänzend wird eine Marktübersicht geeigneter ESG-Tools präsentiert, die Unternehmen bei der Datenerhebung und Datenanalyse unterstützt. Ziel ist es, Unternehmen eine praxisnahe Orientierung zur Realisierung einer strukturierten und effizienten Nachhaltigkeitsberichterstattung zur Verfügung zu stellen. Nachhaltigkeit hat für Unternehmen strategische Bedeutung. Im Zuge neuer Berichtspflichten rücken auch stakeholder-getriebene Nachhaltigkeitsinteressen zunehmend in den Fokus.

Win-win-Situationen gelten im wirtschaftsethischen Diskurs als Idealbild unternehmerischer Entscheidungspraxis. Doch in der Realität unterliegen sie oft einer verkürzten Darstellung, die Zielkonflikte zwischen Stakeholdern verschleiert. Anhand theoretischer Modelle und eines Fallbeispiels wird im Beitrag verdeutlicht, dass Corporate Governance regelmäßig mit Spannungen zwischen normativen Ansprüchen und ökonomischen Anforderungen konfrontiert ist.

Sofern man verstanden hat, was Social Engineering bedeutet, auf welche verschiedenen Arten es eingesetzt werden kann und wie die Bedrohungstaktiken und deren -techniken funktionieren, ist es an der Zeit, Schwachstellen zu verstehen und ein Abwehrkonzept zu entwickeln. Sowohl das MITRE-Att@ck-Modell als auch das Kontrollrahmenwerk des Center for Internet Security helfen bei der Etablierung und Aufrechterhaltung von Gegenmaßnahmen.

Eine technische Entwicklung, die aktuell besonders vielversprechend erscheint, um dem Fachkräftemangel im Bereich Interne Revision entgegenzuwirken, ist künstliche Intelligenz (KI). Im Rahmen einer empirischen Untersuchung wurden Mitarbeiterinnen und Mitarbeiter sowie Führungskräfte im Bereich Interne Revision befragt, um den aktuellen Stand des Einsatzes von KI in der Revision zu erheben und potenzielle Einsatzmöglichkeiten zu identifizieren. Derzeit ist KI in der Revision noch nicht flächendeckend im Einsatz, die Einstellung der Revisorinnen und Revisoren zur Thematik ist jedoch positiv. Um den zukünftigen Einsatz von KI in der Internen Revision zu erleichtern, werden praxisorientierte Handlungsempfehlungen abgeleitet, die potenzielle Einsatzmöglichkeiten von KI verdeutlichen.

Zunehmend wird von den Unternehmen erwartet, dass sie Themen aus Umwelt, Soziales und Unternehmensführung (Environmental, Social, Governance; ESG) in ihre formalen Geschäftsprozesse einbeziehen. Hierbei ist nach der Produktion der Vertrieb einer der emissionsträchtigsten Unternehmensbereiche. Aus diesem Grund sind auch bei einer Prüfung des Vertriebs ESG-Aspekte nicht zu vernachlässigen. Wurden bisher ESG-Aspekte im Vertrieb nicht betrachtet, kann die Interne Revision unterstützen, Risiken und Chancen aufzudecken. Mit diesem Prüfungsleitfaden teilt der DIIR-Arbeitskreis "Revision des Vertriebs" seinen Erfahrungsschatz aus dem Bereich ESG im Vertrieb.

Seit Einführung des IT-Sicherheitsgesetzes 2015 sind Betreiber kritischer Infrastrukturen gesetzlich angehalten, die für die kritische Dienstleistung erforderlichen IT-Systeme und IT-Netzwerke gegen Cyberangriffe und IT-Störungen systematisch nach Stand der Technik zu schützen und IT-Sicherheitsvorfälle an die Behörden zu melden. Hiermit einher geht gemäß § 8a BSI-Gesetz (BSIG) auch die Pflicht, die Einhaltung der Vorgaben alle zwei Jahre unabhängig überprüfen zu lassen. Mit drei Praxisbeispielen zur Begleitung dieser Prüfung durch die Interne Revision beschäftigt sich dieser Artikel.