ESG-Anforderungen in das Interne Kontrollsystem integrieren
Spätestens durch diese Veröffentlichung ist der Themenkomplex rund um ESG mit den Aspekten Umwelt (Environmental), Soziales (Social) und Unternehmensführung (Governance) in den Fokus gerückt. Die Bedeutung des branchenübergreifenden Gamechangers wird durch weitere Regelungen bzw. Offenlegungsanforderungen gestärkt, darunter die Corporate Sustainability Reporting Directive (CSRD), die Leitlinien der European Banking Authority (EBA Guidelines) und die Sustainable Finance Disclosure Regulation (SFDR).
Was bedeutet das für die betroffenen Unternehmen, Finanzunternehmen und Nichtfinanzunternehmen? Neben strategischen Überlegungen müssen sie eine Vielzahl von qualitativen und quantitativen Daten zur Erfüllung der regulatorischen Anforderungen erheben und auswerten. Die ersten berichtspflichtigen Angaben sind erstmals ab dem Jahr 2022 mit Blick auf das abgelaufene Geschäftsjahr darzustellen. Besondere Herausforderungen ergeben sich durch fehlende Konkretisierungen, Definitionen und Best-Practice-Erfahrungen. Gerade auch aus diesen Gründen ist die Qualitätssicherung, also die Vollständigkeit und Richtigkeit der erhobenen Daten, eine herausfordernde Aufgabe.
Angemessene Integration von ESG in das Interne Kontrollsystem (IKS)
Praxiserfahrungen haben gezeigt, dass erstmals durchgeführte Datenerhebungen, beispielsweise durch manuelle Prozesse und Workarounds ohne Routine, regelmäßig unstrukturiert und dadurch auch fehleranfällig verlaufen können. Um Transparenz und Sicherheit zu erzeugen, ist die Integration von ESG in das IKS die logische Konsequenz. Über das IKS, dessen originäre Ziele u. a. die Einhaltung von maßgeblichen rechtlichen Vorschriften sowie die Sicherstellung einer verlässlichen Berichterstattung sind, kann somit die Vollständigkeit, Richtigkeit und zeitgerechte Verarbeitung der Daten sichergestellt werden. Die Entwicklung eines separaten ESG-IKS ist nicht zwingend erforderlich. Aus Effizienzgründen bietet sich vielmehr die Integration der ESG-Prozess- und Kontrollabläufe in das bestehende IKS an. Hierbei sollten betroffene Unternehmen bei der Einbindung in das IKS Schritt für Schritt vorgehen.
Transparenz durch einen Datenanforderungskatalog
Die Datenanforderungen, die durch die verschiedenen ESG-Vorschriften gestellt werden, sind äußerst umfangreich und werden in den nächsten Jahren noch weiter zunehmen. Vor allem die Klassifizierung des Produktkatalogs und der Ausstoß von Kohlenstoffdioxid sind Themenkomplexe, die massive Datensätze erzeugen werden. Es empfiehlt sich, eine regulatorische Datenmatrix zu erstellen. Diese listet alle für das Unternehmen zu erfüllenden Vorschriften auf und stellt die jeweils benötigten Datenpunkte gegenüber.
Datengeneration mit Prozess-Sicht vereinen
Im nächsten Schritt ist eine „Brücke zur Prozesswelt“ zu bauen. Hierbei hat es sich als praktikabel erwiesen, die benötigten Datenpunkte in der Prozesslandkarte des Unternehmens zu verorten. Für eine erste Betroffenheitsanalyse kann es zunächst dienlich sein, eine Zuordnung auf oberster Ebene der Prozesslandkarte vorzunehmen. Aufgrund der notwendigen Granularität der Datenpunkte wird allerdings in einer Ausbaustufe eine detaillierte Zuordnung auf tieferliegenden Prozessebenen erforderlich sein. Die Verortung zeigt dann transparent auf, wo welche Daten bereits vorhanden sind, welche Daten ggfs. innerhalb bestehender Prozesse intern ermittelt werden können und welche Daten nicht aus der bestehenden Prozesslandschaft generiert und ggfs. extern bezogen werden müssen.
ESG-Risiken identifizieren und bewerten
Nachdem die Prozesse zur Erhebung der erforderlichen Daten bestimmt wurden, ist es in der Folge erforderlich, die prozessinhärenten Risiken zu identifizieren und zu bewerten. Anhand der sogenannten What-could-go-wrong-Fragestellung ist zu würdigen, welche Ereignisse und Sachverhalte dazu führen könnten, dass die ESG-Datenermittlung nicht vollständig, richtig und zeitgerecht erfolgt. In Abhängigkeit des Reifegrads des implementierten IKS sollte pro Datenpunkt auch eine Zuordnung zu den Risikoarten erfolgen, wobei ESG-Risiken selbst nicht als eigene Risikoart zu erfassen sind, sondern als Risikotreiber, der auf bestehende Risikoarten wirkt. Es ist davon auszugehen, dass sich die meisten ESG-Datenpunkte operationellen Risiken zuordnen lassen und sich konkretisierend auf die Unterarten Compliance-Risiko bzw. Reporting-Risiko beziehen.
Weiterentwicklung des Kontrolluniversums
Für die identifizierten Risiken empfiehlt es sich im nächsten Schritt, das bestehende Kontrolluniversum zu analysieren. Basierend auf der Benchmark-Erfahrung von Forvis Mazars zu Kontrolllandschaften bieten sich drei Varianten an, wie in der Praxis das bestehende Universum in Bezug auf einzelne Kontrollen weiterentwickelt werden sollte. Zur Mitigation der neuen ESG-Risikotreiber wird ein Teil der bereits bestehenden Kontrollen 1 : 1 verwendet werden können. Andere bestehenden Kontrollen werden jedoch inhaltlich angepasst und ergänzt werden müssen. Und drittens werden zur Mitigation bestimmter Risikotreiber neue Kontrollen verortet, konzipiert und implementiert werden müssen – für sie sind die bestehenden Kontrollkonventionen der Unternehmen zu beachten und gegebenenfalls weiterzuentwickeln. Sofern diese noch nicht vorhanden sind, sollten grundsätzlich marktgängige Informationen wie Kontrollziel, Kontrollhandlung, Verantwortlichkeit, Turnus etc. einheitlich aufgenommen und dokumentiert werden. Darüber hinaus ist es im Gesamtkontext der Weiterentwicklung des Kontrolluniversums zielführend, die neu eingerichteten oder weiterentwickelten Kontrollen in Abhängigkeit von ihrer Bedeutung als Schlüsselkontrollen zu kennzeichnen.
Fortlaufende Überwachung der Wirksamkeit im IKS-Regelkreis
Nach der Implementierung der angemessen ausgestalteten Kontrollen ist ihre frühzeitige Integration in den Regelkreis zur Überprüfung der Wirksamkeit erforderlich. Vor dem Hintergrund, dass sich viele Vorschriften noch konkretisieren bzw. weitere folgen werden, kommt der laufenden Analyse von Kontrolllücken sowie einer regelmäßigen Überprüfung der identifizierten Schlüsselkontrollen auf Angemessenheit und Wirksamkeit eine hohe Bedeutung zu.