Corporate-Governance-Maßnahmen während der Corona-Krise Corporate-Governance-Maßnahmen während der Corona-Krise Corporate-Governance-Maßnahmen während der Corona-Krise

Die Covid-19-Pandemie ist die bislang größte Herausforderung für Unternehmen des angebrochenen Jahrhunderts. Sie wirkt in einer nicht gekannten Dynamik disruptiv und bringt damit innerhalb weniger Tage und Wochen neue Risiken mit sich, die nie dagewesene Maßnahmen erforderlich machen. Intelligente Steuerungs- und Überwachungssysteme bieten hier eine gute Chance, auf die Veränderungen zu reagieren. 

Im Folgenden möchten wir Ihnen Antworten auf die wichtigsten Fragen zu wirksamer Corporate Governance geben: 

1. Wie lässt sich Ihr Unternehmen in dieser Krisensituation steuern? 

Durch die Einrichtung eines entsprechenden Krisenmanagement-Office mitsamt eines Krisenstabs behalten Sie die Kontrolle über die Situation und schaffen Transparenz. Dabei sind operative und finanzielle Themen zu erfassen, aber eben auch rechtliche Fragen zu notwendigen Maßnahmen. Der Krisenstab fasst die wesentlichen Themenstellungen zusammen, erstattet täglich Bericht und setzt entsprechende Krisenpläne um. Zudem überwacht er die Wirksamkeit getroffener Maßnahmen und passt die Pläne an sich ändernde Bedingungen an. Das Ziel ist, die Lage zu beurteilen, das Geschäft fortzuführen und die Kommunikation mit den Stakeholdern aufrechtzuerhalten. Der Krisenstab sollte sich deshalb, neben Verantwortlichen für die operativen Kernprozesse (Vertrieb, Produktion, Logistik, Einkauf, IT), auch aus Verantwortlichen aus den Governance-Bereichen sowie der Unternehmenskommunikation zusammensetzen. Ihm kommt die Aufgabe zu, eine täglich zu hinterfragende Chancen-/Risiken-/Nutzen-Betrachtung anzustellen und die entsprechenden kurzfristigen und nachfolgenden Maßnahmen abzuleiten. Um angemessen auf neue Situationen reagieren zu können und Pläne entsprechend anzupassen, muss der eingerichtete Krisenstab über die notwendigen Informationen verfügen. Hier kommt dem Krisenmanagement-Office eine hohe Bedeutung zu, welches unterstützt durch entsprechende Technologien Informationen identifiziert, aufbereitet und an die wesentlichen Ansprechpartner verteilt. Genauso wichtig ist die Kommunikation des Unternehmens nach innen und außen. Auf neue Informationen zu reagieren und die adäquate Kommunikation an z. B. Mitarbeiter, Organe, Kunden, Dienstleister und Behörden sicherzustellen, macht oftmals den Unterschied. Hierin unterscheiden sich Unternehmen, die relativ unbeschadet durch eine Krise kommen von denjenigen, die an der Krise scheitern. So gilt es beispielsweise auch, Nachrichten über das eigene Unternehmen zu monitoren und kommunikativ auf diese zu reagieren, insbesondere wenn es sich hierbei um schädigende Fake News handelt. Wichtig ist aber: Jeder in der Krise eingeführte Workaround sollte in der Wiederanlauf- und Wiederherstellungsphase eingefangen werden. Dazu ist eine Dokumentation aller dieser Workarounds und deren Auswirkung dauerhaft vorzunehmen. 

2. Wie identifizieren Sie die  für Ihr Unternehmen wesentlichen Kernprozesse und Ressourcen und erhalten diese aufrecht?

Im Rahmen des Business-Continuity-Managements werden auf Basis einer Business-Impact-Analyse die wesentlichen Geschäftsprozesse und die hierfür dringend benötigten Ressourcen für verschiedene Szenarien betrachtet. Die darauf basierenden Szenario-orientierten Pläne können nun genutzt werden, um den Betrieb in der Krise geregelt fortzuführen. Überprüfen Sie Ihre Pläne dahingehend, ob auch das aktuelle Pandemie-Szenario realistisch abgebildet ist. Sollten Sie bisher keine Krisen- und Business-Continuity-Planung gemacht haben, sollten Sie dies nun so schnell wie möglich im Krisenstab nachholen. Sollten Sie noch nicht über eine spezifische Business-Impact-Analyse verfügen, lassen sich oft andere Prozesserfassungen heranziehen und ausbauen.

3. Wie halten Sie die sich schnell verändernde Lieferkette aufrecht? 

Lieferketten bergen aktuell große Unsicherheiten. Das betrifft zu allererst rein operative Fragestellungen: Kann der Hersteller die Produktion aufrechterhalten? Können Sie auf Ersatzlieferanten ausweichen? Darf der Lieferant die Ware über die Grenze transportieren? Ist Ihr Unternehmen in der Lage, die Leistungsverpflichtung gegenüber Kunden zu erfüllen? Daneben dürfen aber auch die Governance- und Compliance-Anforderungen nicht vergessen werden – zu scharf sind die Sanktionen bei Verstößen, die nach wie vor Anwendung finden. Um diese Unsicherheiten zu steuern, sollten Sie Ihre wesentlichen Lieferanten und auch etwaige neue Lieferanten weiterhin überwachen. Achten Sie unbedingt darauf, sich in der Krise keinen zusätzlichen Risiken sowohl rechtlicher Art, z. B. hinsichtlich Korruption, Sanktionen und Embargos oder der Verletzung von Menschenrechten, aber auch vertraglicher Art, etwa durch zu kurze Fristen, auszusetzen. Deshalb sollten die entsprechenden Third-Party-Risk-Management-Prozesse auch jetzt aufrechterhalten werden. Gegebenenfalls sind aufgrund der sich täglich ändernden Umstände sogar kürzere Prüfungs- und Kontrollintervalle erforderlich als im Regelbetrieb. Hier bietet es sich eventuell an, den Prozess vorübergehend auf einen Dienstleister auszulagern. Andererseits sollte geprüft werden, welche Schritte ggf. entfallen können und welche zur Verbesserung der Geschwindigkeit kurzfristig automatisiert werden können. Auch gilt es, gerade in der Krisenbewältigung eingeführte Workarounds unter Compliance-Gesichtspunkten zu dokumentieren, um diese später wieder geordnet zu begradigen. 

4. Wie können Ineffizienzen im Zuge des sich schnell ändernden Krisen-Umfelds vermieden werden? 

Die Corona-Krise erfordert schnelles Handeln aller Beteiligten. Durch Agilität und Dezentralität kommt es zu zahlreichen Aktionen und sich verändernden Schnittstellen. Je mehr Veränderungen und Schnittstellenanpassungen durchgeführt werden, umso komplexer wird das Krisenmanagement. Es wird wichtig sein, durch ein strukturiertes Projektmanagement die getroffenen oder angedachten Veränderungen transparent zu machen und auf Effizienzgesichtspunkte zu achten. Innerhalb kürzester Zeit alle technischen, organisatorischen und rechtlichen Rahmenbedingungen zu schaffen, um z. B. die gesamte Belegschaft aus dem Home-Office arbeiten zu lassen, bedarf eines guten PMO.

5. Wie können Ressourcenengpässe aufgrund von Krankheit oder Kosteneinsparungen überbrückt werden?

Im Zuge der Krise werden Mitarbeiter krankheitsbedingt ausfallen und Neueinstellungen aufgrund von Kosteneinsparungen schwieriger. Dennoch müssen kritische Prozesse aufrechterhalten werden. Oftmals auch aus regulatorischen Gesichtspunkten heraus, z. B. bei öffentlichen Unternehmen oder im Bankensektor. Zunächst ist es sinnvoll, sich einen Überblick über die Ausfälle nach Fachbereichen zu beschaffen. Geschäftskritische und insbesondere liquiditätsrelevante Personalausfälle, zum Beispiel bei Fakturierung, können kurzfristig durch externes Personal, z. B. über Personaldienstleister oder Beratungsunternehmen, abgedeckt werden. Weiterhin empfiehlt sich eine kritische Analyse, ob bestehende Prozesse optimiert werden können, z. B. durch den Einsatz von Process-Mining. Gleichzeitig sollten die wesentlichen Tätigkeiten im Hinblick auf die Entscheidung zu „make, automate or buy“ überprüft werden. Für alles, was nicht eine Kernkompetenz darstellt, bieten sich Optimierungspotentiale durch Automatisierung oder externe Managed-Services an. Oftmals sind die Prozessineffizienzen schon lange bekannt. 

1. Governance-Continuity-Management: 

Neben der Aufrechterhaltung der Kernprozesse ist die Aufrechterhaltung der Corporate-Governance ein wichtiges Element. Hierfür ist es notwendig, die wesentlichen Governance-Prozesse und Kontrollen zu identifizieren und die Kontinuität dieser zu gewährleisten:

• Stellen Sie sicher, dass Ihre Kontroll- und Überwachungsmaßnahmen auch in Krisenzeiten stabil sind, regelmäßig erfolgen und hinreichend dokumentiert werden.
• Schaffen Sie – insbesondere auch als Unternehmen im Gesundheitswesen – genügend Ressourcen, um die täglichen Änderungen in der Regulatorik zu identifizieren, zu dokumentieren und ggf. zu agieren (z. B. Erstellung von Kostenaufstellungen als Krankenhausbetreiber).
• Sichern Sie die „Prozesstreue“ Ihrer Mitarbeiter/-innen.
• Dazu gehört auch die Wahrung bzw. Prüfung erforderlicher Anpassungen von Kontrollmechanismen und -abläufen.
• Dokumentieren Sie alle Workarounds und krisenbedingte Prozessänderungen. 
• Schaffen Sie – trotz Krise – insbesondere auch als öffentliches Unternehmen genügend Ressourcen zur Dokumentation von Sachverhalten (z. B. behördlich angeordnete Freihaltung von Bettenkapazitäten).

2. Krisenmanagement / Betriebskontinuitätsmanagement / Risikomanagement: 

Im Mittelpunkt stehen die Sicherstellung 

• operativer Handlungsfähigkeit,
• relevanter Geschäftsprozesse, 
• geschäftsrelevanter Entscheidungen und 
• finanzieller Handlungsfähigkeit (Liquidität). 

Der Krisenstab identifiziert, auf welche Bereiche Ihres Geschäfts die aktuelle Krise eine Auswirkung hat und welche Prozesse, Systeme und Personen benötigt werden (Business-Impact-Analyse), um den Betrieb aufrechtzuerhalten. 

Aktuell liegt insbesondere für makroökonomisch relevante Unternehmen, wie z. B. der Gesundheitswirtschaft, der Daseinsvorsorge, der Lebensmittelindustrie und anderen Sektoren der Kritischen Infrastruktur, der Fokus auf Sicherstellung der Funktionsfähigkeit von Prozessen inklusive der benötigten Ressourcen, der Stabilität der Lieferketten, wie auch dem Abrechnungs-/Finanzierungsvorgehen.

3. Interne Revision

Der Prüfungsplan für das Jahr 2020 ist durch die aktuellen Entwicklungen nicht haltbar. Hinzu kommen Reisebeschränkungen sowie die Verlagerung der Prüfer in das Home-Office. 

Der Fokus Ihres Unternehmens liegt auf der Sicherheit ihrer Mitarbeiter/-innen und der Aufrechterhaltung des Geschäfts. Gleichermaßen kommt der Internen Revision in der Krisenzeit eine wichtige Rolle zu. Im Mittelpunkt der Diskussion stehen folgende Fragen: 

• Welche Governance-, Risk- und Compliance-Anforderungen gilt es vor dem Hintergrund der Krise und sich verändernder Arbeitsweisen dringend zu überprüfen, um das Unternehmen zu schützen?
• Welche Veränderungen in der Lieferkette sind aus Governance-Gesichtspunkten risikobehaftet (auch über die Krise hinaus)?

Passen Sie den Prüfungsplan auf die neue Situation an und setzen Sie die Interne Revision zum Krisenmanagement und zur Überprüfung neuer Risiken und Maßnahmen effektiv ein.

4. Veränderte Anforderungen an Informationssicherheit  und Datenschutz durch Home-Office als Teil des Risiko- und Compliance-Managements: 

In vielen Unternehmen arbeiten Mitarbeiter/-innen krisenbedingt im Home-Office. Überprüfen Sie die datenschutzrelevanten Besonderheiten bei Home-Office/-Working. Hierzu gehören angemessene technische und organisatorische Maßnahmen, z. B. Zugangs- und Zugriffskontrollen, die Sicherheit und Integrität der Systeme, aber auch deren Belastbarkeit. Dies schützt auch Ihre Geschäftsgeheimnisse. Stellen Sie zudem einen datenschutzkonformen Umgang mit Gesundheitsdaten sicher. Machen Sie sich damit vertraut, wer z. B. im Falle eines Infektionsverdachts wann welche Daten über welchen Mitarbeiter erhalten darf – oder sogar muss.

Definieren Sie zudem Mindestanforderungen an einen „cyber-sicheren“ Heim-Arbeitsplatz (z. B. über Zugangsrechte, VPN und 2-Faktor-Authentifizierung). Schaffen Sie sich eine Übersicht über aktuelle industrie- und unternehmensspezifische Bedrohungsszenarien (z. B. Social-Engineering, Übernahme von echten Webseiten und Infektion von Besuchern, Fake-Webseiten mit vermeintlichen Corona-Inhalten, Datenabfluss nach Schadcode-Infektion) und definieren Sie Vorgaben für Ihre Mitarbeiter/-innen hinsichtlich eines sicheren Bewegens im Internet sowie der Erkennung von betrügerischen Inhalten (z. B. Phishing-E-Mails). Berücksichtigen Sie außerdem die Frage, wie die Geschäftsgeheimnisse des Unternehmens auch in Krisenzeiten geschützt bleiben.

5. Arbeitssicherheit, Infektionsschutz und Vermögensschutz als neue Risiken und Teilbereich im Risiko- und Compliance-Management 

Was ist darüber hinaus zu beachten, wenn der Arbeitsplatz ins Home-Office verlegt wird? Bleibt die Arbeitssicherheit weiter gewährleistet? Ist vorgesehen, dass Mitarbeiter kurzfristig Infrastruktur des Unternehmens mit nach Hause nehmen, beispielsweise Monitore oder Telefone? Wie wird sichergestellt, dass nach der Krise alle Geräte wieder am ursprünglichen Platz sind? Und wie geht man damit um, wenn die Mitarbeiter selbst nach der Krise wieder ins Büro zurückkehren? Ist ein Aufflammen von Infektionsherden zu befürchten?

Es empfiehlt sich, rechtliche und prozessuale Anforderungen rund um Arbeitssicherheit, Vermögensschutz und Infektionsschutz in das Risiko- und Compliance-Management zu integrieren, um rechtliche Vorgaben zu erfüllen, Mitarbeiter zu schützen und das Vermögen des Unternehmens nicht zu gefährden.

1. Digitalisierung und Automatisierung von Prozessen und Arbeitsabläufen

Dezentralisierung durch Home-Office, unterbrochene Lieferketten und ein Rückgang der Nachfrage durch geändertes Kundenverhalten bringen finanzielle Risiken mit sich. Nutzen Sie Datenanalysen zur Identifikation von Unregelmäßigkeiten in der Arbeitszeiterfassung sowie in der Lohn- und Gehaltsabrechnung, zur Analyse von Dauerlastschriften und dem Abgleich mit der Leistungserfüllung, zur Aufdeckung von betrügerischen Handlungen oder der Umgehung von Kontrollmaßnahmen.. Zusätzlich kann die Visualisierung der Prozesslandschaft mittels Process-Mining in Krisenzeiten helfen, fehlende Prozesstreue und Risikofelder zu identifizieren und daraus Erkenntnisse und Maßnahmen u. a. für Notfallpläne abzuleiten.

2. Home-Working & Flexibilisierung von Arbeitszeiten

Die aktuelle Krise verlagert nahezu alle nicht systemrelevanten Arbeitsplätze nach Hause. Viele Unternehmen haben schon vor der Krise auf neue Office-Konzepte gesetzt und zum Home-Office entsprechende Vorgaben und Regelungen getroffen. Die Tatsache, dass das Arbeiten signifikant virtueller wird, wird nach Ablauf der Krise die Diskussion über die Veränderung des Arbeitsplatzes intensivieren. Damit sollten sich Unternehmen schon jetzt beschäftigen: Wie muss der Home-Working-Platz ausgestaltet sein, welche vertraglichen und gesetzlichen Regelungen sind zu beachten, wie kann hier eine einvernehmliche Lösung im Sinne aller Beteiligten getroffen werden? Die neuen Regeln können schnell zu Effizienz, Mitarbeiterzufriedenheit und Klimaschutz führen. Und nicht zuletzt zu verringerten Kapitalbindungsaufwendungen oder Mietkosten. 

Um diese sehr breiten und komplexen Herausforderungen zu bewältigen, stehen Ihnen unsere Corporate-Governance-Experten der KPMG mit innovativen Ansätzen, Kapazitäten, Services, Tools und Technik trotz der Corona-Virus-bedingten Einschränkungen zur Seite. Kommen Sie jederzeit auf uns zu. Wir sind kurzfristig in der Lage, Sie bei der Sicherstellung Ihrer Governance-Anforderungen zu unterstützen, insbesondere mit der: 

• Beratung zum Umgang mit Krisensituationen und zum kurzfristigen Aufbau eines Business-Continuity-Managements, z. B. Bereitstellung von Checklisten für wesentliche Szenarien und Fragestellungen, Interims-Krisenmanagement, Einrichtung eines Krisenstabs, Analyse der Geschäftsprozesse und Ableitung von Maßnahmen zur Sicherstellung Ihres Betriebs (Governance-Quick-Check, Business-Impact-Analyse).
• Bereitstellung von Remote-Mitarbeiter-Kapazitäten zur Digitalisierung und Orchestrierung Ihrer Prozesse sowie der Sicherstellung regulatorischer und/oder organisatorischer Governance-Funktionen sowie zur Vermeidung von Engpässen in geschäftsrelevanten Fachbereichen und/oder bei der PMO-Unterstützung Ihrer Organisation. 
• Unterstützung des Governance-Continuity-Managements durch Managed-Services, z. B. Bearbeitung von Betroffenenanfragen, Real-Time-Überprüfung von Zahlungsvorgängen auf Sanktions- und Embargolisten (Geldwäsche/Know-Your-Customer), Bearbeitung von Verdachtsmeldungen, Begleitung von schnell anwachsendem Workload in Governance-Prozessen.

• Beratung einzelner Governance-Funktionen zum Umgang mit aktuellen Herausforderungen und Sonderkonstellationen.