ESG im IKS: Schritt für Schritt zur Integration

Werte & Vision
26. April 2022

Im Juni 2020 wurde die EU-Taxonomie-Verordnung veröffentlicht. Sie gilt als wesentlicher Teil der Sustainable-Finance-Überlegungen des EU-Aktionsplans zur Finanzierung nachhaltigen Wachstums. Mit der Klassifizierung von nachhaltigen Wirtschaftsaktivitäten und den damit verbundenen Berichterstattungspflichten will die EU-Kommission das übergeordnete Ziel unterstützen, einen Beitrag zur Umlenkung von Finanzströmen in nachhaltige Investitionen zu leisten.

Spätestens durch diese Veröffentlichung ist der Themenkomplex rund um ESG mit den Aspekten Umwelt (Environmental), Soziales (Social) und Unternehmensführung (Governance) in den Fokus gerückt. Die Bedeutung des branchenübergreifenden Gamechangers wird durch weitere Regelungen bzw. Offenlegungsanforderungen gestärkt, darunter die Corporate Sustainability Reporting Directive (CSRD), die Leitlinien der European Banking Authority (EBA Guidelines) und die Sustainable Finance Disclosure Regulation (SFDR).

Was bedeutet das für die betroffenen Unternehmen, Finanzunternehmen und Nichtfinanzunternehmen? Neben strategischen Überlegungen müssen sie eine Vielzahl von qualitativen und quantitativen Daten zur Erfüllung der regulatorischen Anforderungen erheben und auswerten.

Die ersten berichtspflichtigen Angaben sind erstmals ab dem Jahr 2022 mit Blick auf das abgelaufene Geschäftsjahr darzustellen.

Besondere Herausforderungen ergeben sich durch fehlende Konkretisierungen, Definitionen und Best-Practice-Erfahrungen. Gerade auch aus diesen Gründen ist die Qualitätssicherung, also die Vollständigkeit und Richtigkeit der erhobenen Daten, eine herausfordernde Aufgabe.

Angemessene Integration von ESG in das Interne Kontrollsystem (IKS)

Praxiserfahrungen haben gezeigt, dass erstmals durchgeführte Datenerhebungen, beispielsweise durch manuelle Prozesse und Workarounds ohne Routine, regelmäßig unstrukturiert und dadurch auch fehleranfällig verlaufen können. Um Transparenz und Sicherheit zu erzeugen, ist die Integration von ESG in das IKS die logische Konsequenz. Über das IKS, dessen originäre Ziele u. a. die Einhaltung von maßgeblichen rechtlichen Vorschriften sowie die Sicherstellung einer verlässlichen Berichterstattung sind, kann somit die Vollständigkeit, Richtigkeit und zeitgerechte Verarbeitung der Daten sichergestellt werden. Aus unserer Sicht ist die Entwicklung eines separaten ESG-IKS nicht zwingend erforderlich. Aus Effizienzgründen bietet sich vielmehr die Integration der ESG-Prozess- und Kontrollabläufe in das bestehende IKS an. Hierbei sollten betroffene Unternehmen bei der Einbindung in das IKS Schritt für Schritt vorgehen.

Transparenz durch einen Datenanforderungskatalog

Die Datenanforderungen, die durch die verschiedenen ESG-Vorschriften gestellt werden, sind äußerst umfangreich und werden in den nächsten Jahren noch weiter zunehmen. Vor allem die Klassifizierung des Produktkatalogs und der Ausstoß von Kohlenstoffdioxid sind Themenkomplexe, die massive Datensätze erzeugen werden. Es empfiehlt sich, eine regulatorische Datenmatrix zu erstellen. Diese listet alle für das Unternehmen zu erfüllenden Vorschriften auf und stellt die jeweils benötigten Datenpunkte gegenüber.

Datengeneration mit Prozess-Sicht vereinen

Im nächsten Schritt ist eine „Brücke zur Prozesswelt“ zu bauen. Hierbei hat es sich als praktikabel erwiesen, die benötigten Datenpunkte in der Prozesslandkarte des Unternehmens zu verorten. Für eine erste Betroffenheitsanalyse kann es zunächst dienlich sein, eine Zuordnung auf oberster Ebene der Prozesslandkarte vorzunehmen. Aufgrund der notwendigen Granularität der Datenpunkte wird allerdings in einer Ausbaustufe eine detaillierte Zuordnung auf tieferliegenden Prozessebenen erforderlich sein. Die Verortung zeigt dann transparent auf, wo welche Daten bereits vorhanden sind, welche Daten ggfs. innerhalb bestehender Prozesse intern ermittelt werden können und welche Daten nicht aus der bestehenden Prozesslandschaft generiert und ggfs. extern bezogen werden müssen.

ESG-Risiken identifizieren und bewerten

Nachdem die Prozesse zur Erhebung der erforderlichen Daten bestimmt wurden, ist es in der Folge erforderlich, die prozessinhärenten Risiken zu identifizieren und zu bewerten. Anhand der sog. What-could-go-wrong-Fragestellung ist zu würdigen, welche Ereignisse und Sachverhalte dazu führen können, dass die ESG-Datenermittlung nicht vollständig, richtig und zeitgerecht erfolgt. In Abhängigkeit des Reifegrads des implementierten IKS sollte pro Datenpunkt auch eine Zuordnung zu den Risikoarten erfolgen, wobei ESG-Risiken selbst nicht als eigene Risikoart zu erfassen sind, sondern als Risikotreiber, der auf bestehende Risikoarten wirkt. Es ist davon auszugehen, dass sich die meisten ESG-Datenpunkte operationellen Risiken zuordnen lassen und sich konkretisierend auf die Unterarten Compliance-Risiko bzw. Reporting-Risiko beziehen.

Weiterentwicklung des Kontrolluniversums

Für die identifizierten Risiken empfiehlt es sich im nächsten Schritt, das bestehende Kontrolluniversum zu analysieren. Basierend auf unserer Benchmark-Erfahrung zu Kontrolllandschaften sehen wir drei Varianten, wie in der Praxis das bestehende Universum in Bezug auf einzelne Kontrollen weiterentwickelt werden sollte. Zur Mitigation der neuen ESG-Risikotreiber wird ein Teil der bereits bestehenden Kontrollen 1 : 1 verwendet werden können. Ein weiterer Teil der bestehenden Kontrollen wird inhaltlich angepasst und ergänzt werden müssen. Und drittens werden zur Mitigation bestimmter Risikotreiber neue Kontrollen verortet, konzipiert und implementiert werden müssen. Für neu aufzunehmende Kontrollen sind die bestehenden Kontrollkonventionen der Unternehmen zu beachten und ggfs. weiterzuentwickeln. Sofern diese noch nicht vorhanden sind, sollten grundsätzlich marktgängige Informationen wie Kontrollziel, Kontrollhandlung, Verantwortlichkeit, Turnus etc. einheitlich aufgenommen und dokumentiert werden. Darüber hinaus ist es im Gesamtkontext der Weiterentwicklung des Kontrolluniversums zielführend, die neu eingerichteten oder weiterentwickelten Kontrollen in Abhängigkeit von ihrer Bedeutung als Schlüsselkontrollen zu kennzeichnen.

Fortlaufende Überwachung der Wirksamkeit im IKS-Regelkreis

Nach der Implementierung der angemessen ausgestalteten Kontrollen ist ihre frühzeitige Integration in den Regelkreis zur Überprüfung der Wirksamkeit erforderlich. Vor dem Hintergrund, dass sich viele Vorschriften noch konkretisieren bzw. weitere folgen werden, kommt der laufenden Analyse von Kontrolllücken sowie einer regelmäßigen Überprüfung der identifizierten Schlüsselkontrollen auf Angemessenheit und Wirksamkeit eine hohe Bedeutung zu.


Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.

Das könnte Sie auch interessieren
Frauen in Wirtschaft und Wirtschaftsprüfung

Frauen in Wirtschaft und Wirtschaftsprüfung

Auch wenn einiges erreicht ist: Der Weg zur Chancengerechtigkeit für weibliche Führungskräfte ist noch weit – in der Wirtschaft allgemein aber auch in der Wirtschaftsprüfung. Dabei könnten Frauen die Personalengpässe schließen.

Weiterlesen
Lieferkettengesetz: Warum es auch KMU betrifft

Lieferkettengesetz: Warum es auch KMU betrifft

Eigentlich gilt das LkSG nur für große Unternehmen. Doch diese geben ihre Verpflichtungen allzu oft an ihre Zulieferer weiter. Was KMU dagegen tun können – und warum Kooperation die beste Lösung für mehr Nachhaltigkeit wäre.

Weiterlesen
Drei Thesen zur Finanz- und Nachhaltigkeitsberichterstattung

Drei Thesen zur Finanz- und Nachhaltigkeitsberichterstattung

Durch die CSRD stehen Finanz- und Nachhaltigkeitsberichterstattung erstmals nebeneinander. Wir zeigen mit drei provokanten Thesen, welche Risiken und Chancen sich aus dem Zusammenspiel der Reportings ergeben.

Weiterlesen
WPG-Netzwerke: Mandanten profitieren von starken Verbindungen

WPG-Netzwerke: Mandanten profitieren von starken Verbindungen

Mazars knüpft ein internationales Netzwerk mit FORVIS in den USA. Das hat nicht nur Vorteile für Mazars selbst – auch die Mandant*innen profitieren.

Weiterlesen
Betriebsrenten: Ein echtes Unternehmensrisiko in der Inflation?

Betriebsrenten: Ein echtes Unternehmensrisiko in der Inflation?

Betriebsrenten schützen teilweise vor Inflation, stellen viele Unternehmen aber vor schwer kalkulierbare Risiken. Im Interview zeigen wir, wie Wirtschaftsprüfer*innen mit der Thematik umgehen sollten.

Weiterlesen
5 Herausforderungen für die Wirtschaftsprüfung 2024

5 Herausforderungen für die Wirtschaftsprüfung 2024

Was wird das neue Wirtschaftsprüfungsjahr prägen? Welche Trends und Herausforderungen zeichnen sich ab? Wir haben den Blick in die Glaskugel gewagt und die 5 wichtigsten Entwicklungen zusammengefasst.

Weiterlesen
ESRS: Was bedeuten die finalen Standards für Unternehmen?

ESRS: Was bedeuten die finalen Standards für Unternehmen?

Die EU-Kommission hat die Sustainability Reporting Standards (ESRS) final verabschiedet. Wie gravierend sind die Neuerungen? Auf was müssen sich Unternehmen und Prüfer*innen jetzt einstellen?

Weiterlesen
Audit von Banken: Im Netz der Regularien

Audit von Banken: Im Netz der Regularien

Er ist vielschichtig, vielseitig und extrem komplex. Die Rede ist vom Jahresabschluss bei Banken. Wer sich der Herausforderung stellt, muss mit strengen Regeln und strikten Aufsichtsbehörden rechnen – Spaß kann er oder sie aber dennoch haben.

Weiterlesen
Mandanten unter Kontrolle – eine spezielle Beziehung

Mandanten unter Kontrolle – eine spezielle Beziehung

Nähe herstellen, Distanz wahren: Die Beziehung der Prüfer*innen zu ihren Mandanten erscheint widersprüchlich. Nur wenn die Prüfer*innen die richtige Balance finden, werden sie ihrem Auftrag für die Gesellschaft als Ganzes gerecht.

Weiterlesen
Audit von Versicherungen: Teamwork wird großgeschrieben

Audit von Versicherungen: Teamwork wird großgeschrieben

Die Materie ist komplex, das Geschäftsmodell speziell: Beim Jahresabschluss von Versicherungsunternehmen müssen sich Prüfer*innen deshalb auf ihr Team verlassen können, sagt Patrick Schmarje im Interview.

Weiterlesen

Kommentare

Antwort

Ihre E-Mail Adresse wid nicht veröffentlicht. Pflichtfelder sind markiert*.