Nachhaltigkeit braucht Kontrolle

Die Corporate Sustainability Reporting Directive (CSRD) verlangt von den Unternehmen eine hohe Qualität bei der Nachhaltigkeitsberichterstattung. Dafür ist die Einrichtung eines internen Kontrollsystems für ESG-Themen erforderlich. Gibt es Unterschiede zum IKS für die Finanzberichterstattung? Wie gelingt der Aufbau des neuen Systems?

Mit der Verabschiedung der CSR-Richtlinie wird ein neues Kapitel der Unternehmensberichterstattung aufgeschlagen. So erhalten Nachhaltigkeitsthemen den gleichen Stellenwert wie die Finanzberichterstattung. Folgerichtig werden nichtfinanzielle Informationen Teil des Lageberichts und unterliegen erstmals einer externen Prüfungspflicht. Für den zunehmenden Kreis berichtspflichtiger Unternehmen bedeutet das: Die Qualität ihrer ESG-Reportings unterliegt nun ähnlichen Anforderungen wie ihre Finanzberichterstattung. Damit die Unternehmen den neuen Erwartungen gerecht werden können, ist die Einführung eines effektiven internen Kontrollsystems (IKS) für Nachhaltigkeitsthemen von entscheidender Bedeutung.

Definition von Zielen und Verantwortlichkeiten

Ein IKS umfasst alle von einem Unternehmen eingerichteten Prozesse, Richtlinien und Maßnahmen, die darauf abzielen, die ordnungsgemäße und effiziente Geschäftsführung sicherzustellen. Es soll zudem Fehler und betrügerische Handlungen verhindern oder frühzeitig erkennen, Vermögenswerte schützen sowie die Genauigkeit und Zuverlässigkeit der Berichterstattung gewährleisten. Damit diese Aufgaben gelingen, ist das Thema ganz oben in der Unternehmenshierarchie verortet. So verantwortet der Vorstand die Erstellung des Nachhaltigkeitsberichts und damit auch die Einrichtung eines entsprechenden Kontrollsystems. Aufgabe des Aufsichtsrats ist es, den Prozess der Nachhaltigkeitsberichterstattung und damit auch die Wirksamkeit des IKS zu überwachen.

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) hat fünf wesentliche Komponenten eines wirksamen internen Kontrollsystems definiert: Hierbei fungiert das „Kontrollumfeld“ mit den gelebten Werten und der Unternehmenskultur als Basis des IKS. Im Rahmen der „Risikobeurteilung“ werden relevante Risiken – in diesem Fall zum Thema ESG – identifiziert und analysiert, die Unternehmensziele gefährden könnten. Darauf aufbauend stellen „Kontrollaktivitäten“ sicher, dass das Unternehmen geeignete Maßnahmen ergreift, um die genannten Risiken zu minimieren. Durch den für die Berichterstattung wichtigen Bereich „Information und Kommunikation“ kontrollieren die Unternehmen, dass relevante Informationen erfasst, verarbeitet und an die richtigen Stellen weitergegeben werden. Schließlich stellt die „Überwachungs“-Komponentesicher, dass die Kontrollmaßnahmen regelmäßig überprüft werden und damit nichts von ihrer Wirksamkeit verlieren.

Unterschiede von IKS im Finanz- und Nachhaltigkeitsbereich

In der Regel sind die typischen Governance-Systeme nur wenig auf die Eigenheiten des Managements und Reportings von ESG-Themen ausgelegt. Zudem legen die European Sustainability Reporting Standards (ESRS) einen höheren Stellenwert auf die Transparenz der entsprechenden Prozesse, die im Nachhaltigkeitsbericht offenzulegen sind.

Die Unternehmen blicken bei der Erhebung und Berichterstattung von Finanzkennzahlen auf eine lange Historie zurück. Mit zunehmender Erfahrung haben sich entsprechend ausgereifte Systeme und Prozesse dazu gebildet. Ganz anders verhält es sich bei den Kennzahlen zur Nachhaltigkeitsleistung. Hier wird die Auslegung zahlreicher Bestimmungen der CSRD aktuell noch lebhaft diskutiert. Auch der Umgang mit Daten etwa zu Treibhausgasemissionen, Wasserverbrauch, Abfallmanagement sowie zum Energieverbrauch ist für viele Unternehmen noch neu.  

Ein Problem hierbei sind oft heterogene Datensätze, da die ESG-Manager*innen ihre Informationen aus verschiedenen Fachbereichen zusammentragen müssen. Erschwerend kommt hinzu, dass die Nachhaltigkeitsberichterstattung teilweise auf Daten in der gesamten Wertschöpfungskette angewiesen ist. Das kann die ESG-Manager*innen vor enorme Herausforderungen stellen. So haben die berichtspflichtigen Unternehmen zu Zulieferern jenseits ihrer direkten Lieferanten oftmals keinen direkten Kontakt. Gelingt es schließlich, an die nötigen Informationen zu kommen, stellt sich speziell bei Informationen von Dritten die Frage nach der Datenqualität. Das ist ein wichtiger Punkt, denn darauf ist ja das ganze IKS ausgerichtet – ohne valide Daten kein valides Reporting.  

Sind die notwendigen Daten aufwendig zusammengetragen, müssen sie ausgewertet werden. Da die meisten Unternehmen bei der Einrichtung ihrer Kontrollsysteme noch am Anfang stehen, ist es nur selten der Fall, dass bereits die nötigen Tools und IT-Systeme vorhanden und installiert sind. Hierbei, und auch im gesamten Implementierungsprozess, fehlt es oft an verfügbaren Expert*innen.

Bei Einrichtung von Kontrollsystemen im Sustainability-Bereich haben es die Verantwortlichen daher mit Problemstellungen zu tun, die sich fundamental von denen im Finanzsektor unterscheiden.

Fünf Schritte zur Implementierung eines Nachhaltigkeits-IKS

Um in diesem dynamischen Umfeld ein erfolgreiches IKS zu etablieren, ist ein strukturierter Ansatz erforderlich, der sich an fünf Themenfeldern orientieren sollte:

1. Aufsetzen eines Implementierungsplans: Strukturiertes Handeln benötigt einen strukturierten Plan. In diesem sollten die ESG-Manager*innen zuallererst die inhaltlichen Anforderungen an das IKS festhalten. Weitere Kernpunkte des Implementierungsplans sind die Analyse und Identifizierung der Risiken sowie darauf aufbauend das Design der notwendigen Kontrollen. Auch der Review-Prozess sollte im Implementierungsplan berücksichtigt werden.
2. Schulung und Zuteilung von Verantwortlichkeiten:  Die*der verantwortliche ESG-Manager*in sollte bereits in der Frühphase des Projekts abklären, welche*r Kolleg*in für welchen Prozessschritt verantwortlich zeichnet. Sind die Zuständigkeitsbereiche geklärt, können die Teammitglieder bei Bedarf spezifische Schulungen besuchen, um sich auf ihre Rolle vorzubereiten.
3. Datenprozesse strukturieren: Wie gezeigt, sind ESG-Daten oft komplex, von unterschiedlicher Qualität und vielfach nicht ohne weitere Bearbeitung miteinander kompatibel. Aus diesem Grund ist es essenziell, klare Prozesse zur Datenerfassung und -überprüfung zu definieren.
4. Auswahl geeigneter Kontrollmethoden: ESG-Manager*innen sollten die Maßnahmen an die jeweilige Situation anpassen. Gängige Methoden umfassen Kontrollen nach dem Vier-Augen-Prinzip, IT-gestützte Prüfungen, Datenvalidierungsverfahren und Plausibilitätskontrollen anhand von Vergleichen mit historischen Daten oder allgemein erwarteten Trends.
5. Prozess-Dokumentation: Die Dokumentation soll einen Überblick über die wesentlichen Prozess- und Kontrollschritte geben und deren Qualität sicherstellen. Gleichzeitig hilft die Dokumentation Kontinuität herzustellen, indem der Prozess unabhängig vom Know-how der aktuell involvierten Personen gestaltet wird. Darüber hinaus trägt die Dokumentation dazu bei, dass die Prozesse besser intern überwacht werden können. Schließlich macht sie die Abläufe für anstehende Prüfungen nachvollziehbar.

Im Rahmen eines späteren Audits würdigen Wirtschaftsprüfer*innen das interne Kontrollsystem, um daraus mögliche Risiken und entsprechende Prüfungshandlungen abzuleiten. Um hierbei keine Überraschungen zu erleben, kann es sinnvoll sein, den*die spätere*n Prüfer*in bereits bei der Implementierung des IKS in projektbegleitender Form miteinzubinden.

Fazit: Interne Kontrollsysteme zahlen sich aus

Die CSRD verpflichtet die Unternehmen, im Rahmen ihrer Nachhaltigkeitsberichte umfassende und komplexe Informationen bereitzustellen. Um diesem Anspruch gerecht zu werden, ist die Einführung eines effektiven IKS von entscheidender Bedeutung. Aufgrund der mangelnden Erfahrung der Unternehmen mit ESG-Themen erfordert die Implementierung eines solchen Systems allerdings Zeit und Geduld. Der Aufwand lohnt sich aber mit Blick auf die Qualität des Nachhaltigkeitsberichts und das spätere Audit. Denn ein funktionierendes IKS reduziert den Prüfungsaufwand und senkt nicht zuletzt das Risiko, aufgrund fehlender Nachweise kein uneingeschränktes Testat zu bekommen.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.