9 Minuten Lesezeit 1 Nov. 2022
Den Absprung wagen

Warum ESG der Internen Revision zu mehr Bedeutung verhelfen kann

Autoren
David Sütterlin

Partner, Head of Risk Consulting | Switzerland

Passionate Risk Professional and SAP Consultant. Guides EY clients in building, redesigning and implementing risk functions to support greater trust and better decisions.

Mundia Moola Buesser

Senior Manager, Consulting, EY Sustainability | Switzerland

Passionate about adding extra value to her work. A mom of two and a professional figure competitor.

René Bartholmess

Manager, Enterprise Risk Consulting | Switzerland

Risk Management Coach | Focused on Third-Party Risk Management | Risk Seeking in his Hobbies Sailing & Mountainbiking

9 Minuten Lesezeit 1 Nov. 2022
Related topics Consulting Risk

Artikel auf Englisch lesen

Nachhaltigkeit wird regulatorisch immer wichtiger. Eine Revision, die sich für ESG-Themen positioniert und sie angeht, gewinnt an Bedeutung.

Überblick
  • Regulierer und Stakeholder messen ESG-Risiken rund um verschiedene Aspekte von Nachhaltigkeit eine immer größere Bedeutung bei. Bei Nichtbefolgen drohen Strafen.
  • Nachhaltigkeitsrisiken und die Berichterstattung darüber müssen von der Internen Revision gründlich und fachkompetent geprüft werden.
  • Eine Revision, die als proaktiver Sparringspartner anderer Abteilungen agiert, kann wertvolle Hilfe leisten und ihre Bedeutung für die Organisation steigern.

Das Kürzel „ESG“ steht für den Druck zu mehr Nachhaltigkeit, der jedes Unternehmen trifft. Es fasst zusammen, welche Aspekte stärker in den Fokus rücken:

  • Umwelt (Environmental)
  • Soziales (Social)
  • verantwortungsvolle Unternehmensführung (Governance)

Für Regulatoren, Investoren und andere Stakeholder werden ESG-Fragen immer wichtiger. Sollte ein Unternehmen sie nicht angemessen berücksichtigen, setzt es sich steigenden Risiken aus – es geht um die Compliance in Bezug auf Recht und Gesetz, um den künftigen Zugang zu Finanzierungen und auch um den Schutz der eigenen Reputation.

Eine besondere Herausforderung im Zusammenhang mit ESG besteht darin, dass sich viele der künftig entscheidenden Systeme gerade erst herausbilden, das heißt in der Konsultation vorliegen oder gerade erst mit Umsetzungszeitpunkten verabschiedet wurden. Einige ESG-relevante Themen sind bereits bekannt. Im Bereich Governance gilt das für den Bereich der Korruption und andere Bereiche, die interne Prüfer seit jeher im Fokus haben. Neue Bedeutung erlangen dagegen Fragen aus den Bereichen Umwelt und Soziales wie Emissionskontrollen, Diversity in der Belegschaft und das Verhalten von Lieferanten mit Blick auf menschenrechtliche Risiken in den Lieferketten.

Derzeit treibt in der EU unter anderem die Regulatorik rund um die nichtfinanzielle Berichterstattung (Corporate Sustainability Reporting Directive, CSRD) die Diskussion. Die hier geforderten KPIs in den Bereichen Umwelt, Soziales und verantwortungsvolle Unternehmensführung sind in den European Sustainability Reporting Standards (ESRS) festgelegt und werden zu einer weitreichenden Transparenz führen. Sowohl der Anwendungskreis als auch die geforderten Informationen gehen dabei weit über die Anforderungen der bisherigen Non-Financial Reporting Directive (NFRD) hinaus. Hiermit gehen auch neue beziehungsweise erweiterte Anforderungen an Verantwortlichkeiten, Prozesse, Daten, interne Kontrollsysteme und die darunter liegende IT-Architektur einher.

Weitere Beispiele sind das Lieferkettensorgfaltspflichtengesetz (LkSG) und der Entwurf der Corporate Sustainability Due Diligence Directive (CSDDD). Beide Regularien führen zu wesentlich mehr Transparenz im eigenen Geschäftsbereich und in der Lieferkette zu unmittelbaren und mittelbaren Lieferanten mit Blick auf menschenrechtliche und umweltbezogene Risiken. Sie fordern die Einrichtung von Sicherungsmechanismen wie beispielsweise eine adäquate Governance-Struktur, Risikoanalysen und Beschwerdestellen. Auch hier stehen Unternehmen vor Herausforderungen bzgl. der Methodik, der Datenverfügbarkeit, aber auch der adäquaten Berichtsverfahren (inklusive entsprechender interner Kontrollen zur Sicherstellung der Informationsqualität).

Neben den Anforderungen der Regulatorik gibt es auch Marktmechanismen, die die Strategien und das Geschäftsmodell der Unternehmen ändern. Gerade Fragestellungen zur Dekarbonisierung, zu Circular Economy und zu diversen Workforces beschäftigen Unternehmen gerade verstärkt. Es können aber auch Fragestellungen aus der Produkt- beziehungsweise Verpackungsgestaltung sein oder Themen wie ESG-Ratings und grüne Refinanzierung durch Green oder Social Bonds beziehungsweise Sustainability Linked Notes.

Wichtig ist: Jedes Unternehmen muss – auf der Basis der grundlegenden ESG-Definitionen – sein eigenes ESG-Profil herausarbeiten. Fragen wie „Wo bin ich besonders exponiert?“ und „Welche ESG-Risiken muss ich besonders im Auge behalten?“ variieren je nach Branche, Unternehmensgröße und Standort.

ESG-Themen werden für die Revisionsfunktion immer wichtiger

Hat das Unternehmen die Herausforderungen im Griff? Werden die richtigen und wichtigen Themen angemessen gesteuert und überwacht? Oder gibt es Handlungsbedarf?

Mit diesen Fragen steigen auch die Anforderungen an die Interne Revision, die nach den Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF) die Ausgestaltung und die Funktionsfähigkeit sowohl des Risikomanagements als auch des internen Kontrollsystems eines Unternehmens zu prüfen hat. Für kapitalmarktorientierte Unternehmen kommen noch die Anforderungen aus dem Gesetz zur Stärkung der Finanzmarktintegrität (FISG) und dem Deutschen Corporate Governance Kodex (DCGK) hinzu. Letzterer beinhaltet in der aktuellen Fassung vom 17. Mai 2022 ebenfalls einen Schwerpunkt auf dem Thema Nachhaltigkeit.

Die Revisionsfunktion ist in einer einzigartigen Position, das „business as a whole“ überblicken, prüfen und beraten zu können.

Da sie auch einen Blick auf das Nachhaltigkeitsprogramm als Ganzes hat, kann sie sich gerade hier als aktiver Sparringspartner für den Rest des Unternehmens positionieren. Dafür muss sie entsprechend Ressourcen und Know-how entwickeln und möglicherweise die eigene Rolle erweitern.

Das Selbstverständnis hinterfragen

Um die vielen Themenstellungen rund um ESG und Nachhaltigkeit entwickeln und vorantreiben zu können, sollte die Interne Revision ihr Selbstverständnis reflektieren: Sieht sie sich eher als reine Prüfungseinheit – oder als proaktiver Partner?

Die reaktive Prüfungsabteilung, das ist das klassische Selbstverständnis der „dritten Linie“: eine Art Aufpasserfunktion, die in andere Bereiche Einblick nimmt und darauf achtet, dass dort alles ordnungsgemäß abläuft:

  • Sind klare Regeln und Prozeduren vorgegeben?
  • Werden diese Richtlinien auch eingehalten?
  • Sind Kontrollsysteme und Mechanismen zum Risikomanagement so angelegt, dass sie die Vorgaben auch erreichen können?

Die proaktive Prüfungsabteilung hat hingegen den zusätzlichen Anspruch, mitzudenken, herauszufordern und Fragen zu stellen, Entscheidungen auch zu hinterfragen. Man ist aktiver dabei – aber natürlich weiterhin unabhängig. Das Signal an andere Abteilungen kann sein: „Wir sehen, ihr habt da etwas Neues vor euch. Wir schauen uns das gerne projektbegleitend mit euch zusammen an.“

  • In Bereichen, die noch nicht ausdefiniert sind, steht man anderen Abteilungen als Sparringspartner und Challenger zur Verfügung.
  • In Gremien erweitert man die Fragestellungen und spricht Themen an, die noch nicht im Blick der Fachabteilungen sind. Schlägt die Organisation gerade den besten Weg im ESG-Prüfungsumfeld ein?
  • Mit seinem eigenen Verständnis behält man sowohl die Vorgaben zur Einhaltung von Zielen als auch das Kosten-Nutzen-Verhältnis im Blick. Weil bei neuen Themen manchmal mit Kanonen auf Spatzen geschossen wird, gilt es zuweilen zu hinterfragen: Ist es effizient, wie dort gehandelt wird?  

Wahrscheinlich fährt eine interne Prüfungsabteilung gut damit, beide Rollenmodelle in ihrer Arbeit zu vereinen. 

Grafik zur Umgestaltung der Innenrevision

Merkmale einer proaktiven Revision

Ein globales Unternehmen muss im Rahmen des nichtfinanziellen CSRD-Reportings Diversity-Kennzahlen aus der Belegschaft berichten, die in der Regel dezentral in den verschiedenen Regionen oder Standorten vorliegen. Dazu sucht es Kennzahlen aus Excel-Dokumenten verschiedener HR-Abteilungen zusammen und aggregiert sie in der Zentrale.

Eine dem reaktiven Ansatz verpflichtete Revision wird bei der Prüfung dieses Prozesses zu dem Schluss kommen: Es gab ein System und es erfüllte den Anspruch an seine Funktion. Eine Zahl musste berichtet werden, das Unternehmen ist dem ordnungsgemäß nachgekommen.

Eine proaktive Revision wird anmerken, dass man sich hier offenbar auf ein sehr risikoanfälliges Konstrukt verlässt und dass es angebracht wäre, technologiebasiert Prozesse zu hinterlegen. Die Vorteile wären: höhere Datenkonsistenz und ­qualität, weniger Fehleranfälligkeit und schnelles Zusammenstellen.

Es geht darum, über die grundlegende Aufgabe hinaus mit zu bedenken, ob ein Prozess eigentlich so, wie er ist, auch gut ist.

Wie das Beispiel zeigt, kann ein Prozess ordnungsgemäß und auch funktionsfähig sein, also sein Ziel erfüllen und Zahlen generieren. Trotzdem ist er eventuell nicht zweckmäßig oder wirtschaftlich effizient, vielleicht sogar risikobehaftet.

CSRD: neue Prozesse von Anfang an begleiten

Die CSRD bringt neue Berichterstattungspflichten für viel mehr Unternehmen, insbesondere für Mittelständler, die bisher nicht unter derartige Regularien fielen. Die abgefragten Informationen werden detaillierter. Neue Prozesse müssen aufgesetzt werden.

Gerade bei kleineren Unternehmen, die vieles ohne externe Berater aus dem Fachbereich heraus selbst stemmen, ist dabei ein unabhängiges Augenpaar wichtig. Die Revision kann schon während der Erstellung eine Prozessbegleitung leisten – unabhängig, aber hinterfragend.

Eine gemeinsame Untersuchung der Internal Audit Foundation, des Institutes of Internal Auditors (IIA) und von EY hat ergeben, dass schon ungefähr die Hälfte der befragten Abteilungen beratende oder Performance-orientierte ESG-Revisionstätigkeiten plant.

Wie die Revisionsabteilung neue Aufgaben angehen kann

Generell muss die Interne Revision künftig das gesamte vorhandene Managementsystem von ESG-Risiken innerhalb der Organisation betrachten – und dann das Richtige prüfen, mit den richtigen Methoden. Dabei empfiehlt sich ein dreistufiges Vorgehen:

  1. Maturity Assessment zum Gesamtüberblick: Am Anfang steht ein Blick von oben: Wo steht das Unternehmen beim Thema Nachhaltigkeit in der Gänze, wo könnten die größten Risiken lauern, wo sind die größten Handlungsfelder? Ein Maturity Assessment kann zeigen, wie weit ein Unternehmen auf dem Weg zum nachhaltigen Wirtschaften ist, wo es besonderen Nachholbedarf hat und wo es vielleicht bereits vorn mit dabei ist. Die Rolle der Revision wäre es dabei, gemäß ihrer prüferischen Aufgabe zu fragen: Gibt es überhaupt eine Nachhaltigkeitsstrategie? Ist das Thema Nachhaltigkeit in der Strategie verankert? Wird es im Risikomanagement und in der Compliance betrachtet?
  2. Zunächst regulatorisch getriebene Prüfungen in den Fokus nehmen: Die nächste Frage lautet: In welchen Bereichen ist aus regulatorischer Hinsicht der Handlungsdruck am größten? Hier drängt sich neben der nichtfinanziellen Berichterstattung (CSRD) vor allem das Lieferkettensorgfaltspflichtengesetz (LkSG) auf. Das Verständnis, was als Nächstes ansteht und besonders geprüft werden muss, ist für die Organisation besonders wichtig. Hinter den neuen Gesetzen und Regularien stehen teils auch hohe Strafen für den Fall, dass sie nicht eingehalten werden oder fehlerhaft berichtet wird. Daher ist es für die Revision auch wichtig, nicht nur das Gesamtkonzept im Blick zu haben, sondern auch konkrete Daten an ihrem zentralen beziehungsweise dezentralen Ursprung zu prüfen.
  3. Weitere Schwerpunkte setzen: Der dritte Schritt klärt die Frage, welche Themen auch ohne regulatorische Treiber für das Unternehmen besonders wichtig sind. Werden hier wesentliche Risiken identifiziert, geht es in High Impact Audits – die substanzielle Prüfung einzelner Projekte und Prozesse. Zur Funktionsfähigkeit von Kontroll- und Risikomanagementmechanismen lauten die Fragen: Gibt es Kontrollen? Und sind diese wirksam?

Energieverbrauch, Diversity, das Verhalten von Zulieferern – vieles wird wichtig, das bisher weniger im Vordergrund stand. Bis es überall in der Organisation angekommen ist und akzeptiert wird, dass die Welt sich geändert hat und neue Regeln gelten, muss die Interne Revision helfen, diese Aspekte einzubeziehen, und auf Probleme hinweisen – gemäß ihrer zentralen Funktion, Schaden vom Unternehmen abzuwenden.

Nicht zu vernachlässigen ist der Betrugsaspekt, also mögliches vorsätzlich fehlerhaftes Verhalten, in Bezug auf ESG. Mit steigendem Druck, die neuen Ziele zu erreichen, kann auch die Motivation hierzu steigen – in einigen Geschäftsbereichen oder Regionen vielleicht eher als in anderen. Analog zu Betrug in der Finanzberichterstattung sind etwa gefälschte Zulassungen oder falsch klassifizierte Produkte denkbar.

Zwar ist das Aufdecken von Betrugsfällen nicht das primäre Ziel einer Internen Revision, aber sie muss Fälle der vorsätzlichen ESG-Non-Compliance als relevante Risiken berücksichtigen, sie gegebenenfalls in die Revisionsprogrammplanung einbeziehen und im Rahmen ihrer Prüfungshandlungen diesbezüglich professionelle Skepsis wahren – gerade im Bereich ESG, der lange als weniger relevant galt und nun für viele Unternehmen eine größere Rolle spielt.

Die interne Prüfungsabteilung kann also auf vielfältige Weise die Organisation unterstützen, die besten Lösungen zu finden, um Zahlen korrekt zu berichten und alle neuen Anforderungen zu erfüllen. Sie kann die Gestaltung des unternehmerischen Wandels unterstützen.

ESG-Know-how aufbauen

ESG als Risikofeld wird den Revisionen auf Dauer erhalten bleiben. Es ist wichtig und wird wichtig bleiben. Vergleichbar wäre es mit der ebenfalls gestiegenen Bedeutung von Digitalisierungsthemen wie IT-Sicherheit und Datenschutz über die letzten zehn Jahre.

Die Revisionsfunktionen sollten also Know-how aufbauen. Sie müssen die ganze Thematik durchdringen: die Regulatorik und das Verhalten ihrer Organisation selbst. Um risikoorientiert prüfen zu können, benötigt es hierzu im ersten Schritt ein Verständnis dafür, welchen materiellen ESG-Risiken das Unternehmen ausgesetzt ist und welche regulatorischen Vorgaben zu erfüllen sind.

Im Bereich der Emissionen beispielsweise benötigt die Revision jemanden, der weiß, wie die Scopes 1, 2 und 3 von Emissionen definiert sind, wie man diese Daten erfasst, liest, auswertet und berichtet. Allein schon für eine risikoorientierte Prüfungsplanung und die Entscheidung, was eigentlich entsprechende Prüfungsthemen sind, braucht es dieses Grundverständnis.

Um solches Know-how langfristig aufzubauen oder sich Expertise ins zu Haus holen, gibt es mehrere Wege:

  • eigene Mitarbeiter fortbilden
  • ESG-kompetente Kollegen aus anderen Fachabteilungen gewinnen
  • neue Fachleute einstellen (allerdings werben viele Funktionen in den Unternehmen, etwa Nachhaltigkeitsabteilungen, derzeit um Mitarbeiter mit ESG-Fähigkeiten; die interne Revision könnte hier als Trumpf ins Feld führen, dass ihre Mitarbeiter die ganze Organisation überblicken und kennenlernen können)
  • Aufgaben an stabile externe Partner auslagern

Fazit

Angesichts der zunehmenden Bedeutung von ESG-Themen muss sich die Interne Revision richtig aufstellen und Know-how aufbauen. Ihre Herausforderung besteht darin, Prüfungsplanung und Risk Assessment um den Aspekt ESG zu erweitern und ihre Methoden wo nötig anzupassen. Geht sie das mit einem proaktiveren Selbstverständnis an, statt sich als reine Prüfinstanz zu sehen, hilft sie dem ganzen Unternehmen bei der Transformation und kann zum gefragten Partner anderer Funktionen werden.

Über diesen Artikel

Autoren
David Sütterlin

Partner, Head of Risk Consulting | Switzerland

Passionate Risk Professional and SAP Consultant. Guides EY clients in building, redesigning and implementing risk functions to support greater trust and better decisions.

Mundia Moola Buesser

Senior Manager, Consulting, EY Sustainability | Switzerland

Passionate about adding extra value to her work. A mom of two and a professional figure competitor.

René Bartholmess

Manager, Enterprise Risk Consulting | Switzerland

Risk Management Coach | Focused on Third-Party Risk Management | Risk Seeking in his Hobbies Sailing & Mountainbiking