Integriertes Kontroll- und Überwachungssystema
Für die Deutsche Telekom als international ausgerichteten Konzern mit einer Vielzahl von Beteiligungen ist eine gute und auf eine nachhaltige Wertschöpfung ausgerichtete Unternehmensführung (Corporate Governance) von besonderer Bedeutung. Vorstand und Aufsichtsrat sind der Überzeugung, dass eine solche Corporate Governance, welche zugleich unternehmens- und branchenspezifische Gesichtspunkte berücksichtigt, eine wichtige Grundlage für den Erfolg der Deutschen Telekom AG ist. Die Umsetzung und Beachtung dieser Grundsätze wird als zentrale Führungsaufgabe verstanden.
Zentraler Bestandteil unserer Unternehmensführung ist ein verantwortungsvoller und risikoangemessener Umgang mit Risken und Chancen. Die verschiedenen vom Vorstand implementierten Systeme (insbesondere das interne Kontrollsystem und das Risiko- und Chancen-Management-System einschließlich des Compliance-Management-Systems) zur Risikoerfassung und Risikomitigation arbeiten dabei in einem sich gegenseitig ergänzenden Kontroll- und Überwachungssystem zusammen und unterliegen dabei der Prüfung durch die Interne Revision.
Die Deutsche Telekom folgt mit diesem integrierten System dem „Three Lines of Defense“-Modell bzw. dem „Modell der drei Verteidigungslinien“. Die erste „Verteidigungslinie“ bilden die operativen Einheiten sowie ihr jeweiliges operatives Management, d. h. die Risikoeigentümer. Sie haben die Verantwortung dafür, die Risiken zu identifizieren, zu bewerten und fortlaufend zu monitoren. Die zweite „Verteidigungslinie“ besteht insbesondere aus dem internen Kontrollsystem, dem Risiko- und Chancen-Management-System und dem Compliance-Management-System und dient der Steuerung und Überwachung der ersten „Verteidigungslinie“. Hierzu gehören die Festlegung von Vorgaben, Richtlinien und Prozessen sowie die Überwachung von Risiken und die Berichterstattung an den Vorstand sowie an den Aufsichtsrat der Deutschen Telekom AG und dessen Prüfungsausschuss. Die dritte „Verteidigungslinie“ stellt als objektive und unabhängige Prüfungs- und Beratungsinstanz der ersten und zweiten „Verteidigungslinie“ der Bereich Interne Revision dar.
Im Folgenden werden die wesentlichen Merkmale des internen Kontrollsystems und des Risiko- und Chancen-Management-Systems einschließlich des Compliance-Management-Systems beschrieben.
Internes Kontrollsystem
Das interne Kontrollsystem (IKS) der Deutschen Telekom AG ist in Anlehnung an das international anerkannte Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission (COSO Internal Control – Integrated Framework, COSO I, in der Fassung vom 14. Mai 2013) aufgebaut. Das IKS ist integraler Bestandteil der funktionalen Steuerung des Konzerns.
Der Prüfungsausschuss des Aufsichtsrats der Deutschen Telekom AG überwacht die Wirksamkeit des IKS – wie es § 107 Abs. 3 Satz 2 i. V. m. § 107 Abs. 4 Satz 1 AktG fordert. Der Umfang und die Ausgestaltung des IKS liegen dabei gemäß § 91 Abs. 3 AktG im Ermessen und in der Verantwortung des Vorstands. Das IKS unterstützt die organisatorische Umsetzung der Entscheidungen des Vorstands. Dazu zählen das Erreichen der Geschäftsziele, die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung sowie die Einhaltung der maßgeblichen rechtlichen Vorschriften und Regelungen. Dabei werden auch Nachhaltigkeitsaspekte berücksichtigt, die auf Basis der regulatorischen Vorgaben fortlaufend weiterentwickelt werden.
Die Interne Revision ist dafür zuständig, die Angemessenheit und Wirksamkeit des IKS im Konzern und bei der Deutschen Telekom AG unabhängig zu prüfen. Um dies tun zu können, hat die Interne Revision umfassende Informations-, Prüf- und Einsichtsrechte und ist über alle Stufen des IKS-Prozesses eingebunden.
Das IKS umfasst neben der Absicherung der Risiken der Finanzberichterstattung auch eine allgemeine Grundsicherung von operationellen Risiken und Compliance. Es wird bezüglich seiner funktionalen und prozessualen Ausrichtung jährlich an die aktuelle Risikosituation des Konzerns angepasst. Die IKS-Organisation bündelt und integriert die internen Kontrollprozesse und unterstützt den Vorstand bei der Gestaltung, Implementierung und Aufrechterhaltung eines angemessenen und wirksamen Kontrollsystems. Sie besteht aus dem IKS-Management in der Konzernzentrale und dem lokalen IKS-Management jeder Gesellschaft. Das zentrale IKS-Management ist für die Steuerung und Koordination der gesamten IKS-Prozesse verantwortlich.
Die in das IKS einzubeziehenden Gesellschaften werden auf Basis der Anteilsbesitzliste der Deutschen Telekom ebenfalls jährlich überprüft und festgelegt. Alle wesentlichen Gesellschaften werden vollständig in den IKS-Prozess integriert. Dabei sind konzerneinheitliche Mindestanforderungen an die Kontrollsysteme der Gesellschaften entlang der wesentlichen Konzernfunktionen definiert. Zu diesen gehören z. B. Rechnungswesen, IT, Einkauf, Personal, Sicherheit, Datenschutz, Steuern, Compliance oder auch Corporate Responsibility. Die entsprechenden Kontrollen werden in einem konzernweiten IT-System dokumentiert sowie mindestens einmal jährlich auf Angemessenheit und Wirksamkeit geprüft.
Die regelmäßige Überprüfung der Wirksamkeit erfolgt im Vier-Augen-Prinzip und je nach Risikoexposition der Kontrolle innerhalb der Fachabteilung, abteilungsübergreifend oder (zusätzlich) durch die Interne Revision. Ziel ist es, Kontrolllücken sowie nicht funktionsfähige Kontrollen zu identifizieren, insbesondere die Auswirkungen auf die Finanzberichterstattung zu analysieren sowie geeignete Gegenmaßnahmen einzuleiten und nachzuhalten.
Der Abschluss des IKS-Prozesses findet im Rahmen kaskadierter Freigaben beginnend bei den Funktionsverantwortlichen in den Gesellschaften, über die lokalen Finanzdirektoren und Geschäftsführer bis in den Konzern statt. Der IKS-Lenkungsausschuss unter Beteiligung der wichtigsten Funktionsverantwortlichen des Konzerns würdigt anschließend die Ergebnisse und spricht Empfehlungen an den Vorstand aus. Auf dieser Basis entscheidet der Vorstand zweimal jährlich über die Angemessenheit und Wirksamkeit des IKS. Der Prüfungsausschuss wird mindestens dreimal jährlich ausführlich über Status und Ergebnisse des IKS-Prozesses informiert und diskutiert die Ausrichtung des IKS mit dem Management und den Abschlussprüfern. Dessen ungeachtet gibt es inhärente Beschränkungen jedes IKS. Kein Kontrollsystem – auch wenn es als angemessen und wirksam beurteilt wurde – kann sicherstellen, dass alle relevanten Kontrollrisiken aufgedeckt sowie vollständig und effektiv über Kontrollen adressiert werden.
Alle nicht wesentlichen Gesellschaften mit aus Konzernperspektive als gering eingeschätzten Risiken werden im Rahmen eines vereinfachten standardisierten Prozesses in das konzernweite IKS einbezogen. Diese Gesellschaften müssen entlang eines Kontroll-Risikokatalogs jährlich eine Selbstauskunft über den Reifegrad der implementierten Kontrollen sowie eine Aussage über die Wirksamkeit des IKS in ihrer Gesellschaft abgeben. Die Interne Revision überprüft diese Selbstauskünfte regelmäßig und risikoorientiert. Der IKS-Lenkungsausschuss, der Vorstand und der Prüfungsausschuss werden mindestens jährlich über die Ergebnisse der Selbsteinschätzungen in Kenntnis gesetzt.
Informationen zum rechnungslegungsbezogenen internen Kontrollsystem finden Sie im Abschnitt „Rechnungslegungsbezogenes internes Kontrollsystem“.
Risiko- und Chancen-Management-System
Unser Risiko- und Chancen-Management-System orientiert sich an dem weltweit gültigen Risiko-Management-Standard ISO 31000 „Risk management – Principles and guidelines“. Er gilt als Leitfaden für ein international anerkanntes Risiko-Management-System. Ein Risiko- und Chancen-Management-System ist sowohl aus betriebswirtschaftlicher Sicht als auch aufgrund von Vorschriften und gesetzlichen Regelungen, insbesondere des § 91 Abs. 2 und Abs. 3 Aktiengesetz (AktG), notwendig. Unser Risiko- und Chancen-Management-System ist dezentral organisiert. Der Bereich Group Risk Governance gibt die konzernweiten Methoden, u. a. das dazugehörige Berichtswesen, vor und die Segmente sind über ihr jeweiliges Risiko- und Chancen-Management daran angebunden. In den Segmenten sind die jeweiligen Verantwortlichen dafür zuständig, die Risiken zu identifizieren, zu bewerten und fortlaufend zu monitoren. Dies ist auch Kern unserer Risikokultur, die das Motto „Jeder ist ein Risiko-Manager“ beinhaltet, was bedeutet, dass grundsätzlich jeder Verantwortung für seine Risiken übernimmt.
Weitere Informationen zum Risiko- und Chancen-Management-System finden Sie im Kapitel „Risiko- und Chancen-Management-System“.
Compliance-Management-System
Unsere Compliance-Kultur ist ein wesentlicher Baustein für eine auf Integrität und Wertschätzung ausgerichtete Unternehmensführung. Wir bekennen uns konzernweit zu ethischen Grundsätzen sowie zu Recht und Gesetz. Verankert haben wir dies in unseren Leitlinien und dem Code of Conduct.
Wir haben ein Compliance-Management-System mit der Zielsetzung implementiert, Risiken aus systematischen Verstößen gegen rechtliche oder ethische Standards zu minimieren, die zu einer ordnungsrechtlichen oder strafrechtlichen Haftung des Unternehmens, seiner Organmitglieder oder Beschäftigten oder zu einem erheblichen Reputationsschaden führen könnten. Insbesondere bei der Einrichtung des Compliance-Management-Systems zur Korruptionsprävention haben wir die Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen nach dem IDW Prüfungsstandard 980 zugrunde gelegt. Der Vorstand nimmt seine Gesamtverantwortung für die Compliance als wesentliche Führungsaufgabe wahr. Unser Chief Compliance Officer ist zuständig für die Ausgestaltung und das Management des Compliance-Management-Systems. Auf der Ebene unserer operativen Segmente und Landesgesellschaften setzen Compliance Officer das Compliance-Management-System und unsere Compliance-Ziele vor Ort um.
Weitere Informationen zum Compliance-Management-System finden Sie im Kapitel „Zusammengefasste nichtfinanzielle Erklärung – Aspekt 5: Bekämpfung von Korruption“.
Wirksamkeitsaussage
Aus der regelmäßigen Befassung mit dem internen Kontrollsystem und dem Risiko- und Chancen-Management-System, u. a. mit dem Konzern-Risikobericht sowie dem IKS-Bericht, sind dem Vorstand bis zum Zeitpunkt der Aufstellung des zusammengefassten Lageberichts keine Umstände bekannt, welche gegen die Angemessenheit und Wirksamkeit dieser Systeme in ihrer Gesamtheit sprechen. Eine externe Prüfung des Risiko- und Chancen-Managements nach dem IDW Prüfungsstandard 981 für ausgewählte Organisationsteile und Risikokategorien Ende 2022/Anfang 2023 hat keine Feststellungen ergeben, die die Angemessenheit und Wirksamkeit in Frage stellen würden.
a aBei den Angaben in diesem Abschnitt handelt es sich um sog. lageberichtsfremde Angaben im Sinne der Erläuterungen im Kapitel „Vorbemerkungen“.