Es geht darum, über die grundlegende Aufgabe hinaus mit zu bedenken, ob ein Prozess eigentlich so, wie er ist, auch gut ist.
Wie das Beispiel zeigt, kann ein Prozess ordnungsgemäß und auch funktionsfähig sein, also sein Ziel erfüllen und Zahlen generieren. Trotzdem ist er eventuell nicht zweckmäßig oder wirtschaftlich effizient, vielleicht sogar risikobehaftet.
CSRD: neue Prozesse von Anfang an begleiten
Die CSRD bringt neue Berichterstattungspflichten für viel mehr Unternehmen, insbesondere für Mittelständler, die bisher nicht unter derartige Regularien fielen. Die abgefragten Informationen werden detaillierter. Neue Prozesse müssen aufgesetzt werden.
Gerade bei kleineren Unternehmen, die vieles ohne externe Berater aus dem Fachbereich heraus selbst stemmen, ist dabei ein unabhängiges Augenpaar wichtig. Die Revision kann schon während der Erstellung eine Prozessbegleitung leisten – unabhängig, aber hinterfragend.
Eine gemeinsame Untersuchung der Internal Audit Foundation, des Institutes of Internal Auditors (IIA) und von EY hat ergeben, dass schon ungefähr die Hälfte der befragten Abteilungen beratende oder Performance-orientierte ESG-Revisionstätigkeiten plant.
Wie die Revisionsabteilung neue Aufgaben angehen kann
Generell muss die Interne Revision künftig das gesamte vorhandene Managementsystem von ESG-Risiken innerhalb der Organisation betrachten – und dann das Richtige prüfen, mit den richtigen Methoden. Dabei empfiehlt sich ein dreistufiges Vorgehen:
- Maturity Assessment zum Gesamtüberblick: Am Anfang steht ein Blick von oben: Wo steht das Unternehmen beim Thema Nachhaltigkeit in der Gänze, wo könnten die größten Risiken lauern, wo sind die größten Handlungsfelder? Ein Maturity Assessment kann zeigen, wie weit ein Unternehmen auf dem Weg zum nachhaltigen Wirtschaften ist, wo es besonderen Nachholbedarf hat und wo es vielleicht bereits vorn mit dabei ist. Die Rolle der Revision wäre es dabei, gemäß ihrer prüferischen Aufgabe zu fragen: Gibt es überhaupt eine Nachhaltigkeitsstrategie? Ist das Thema Nachhaltigkeit in der Strategie verankert? Wird es im Risikomanagement und in der Compliance betrachtet?
- Zunächst regulatorisch getriebene Prüfungen in den Fokus nehmen: Die nächste Frage lautet: In welchen Bereichen ist aus regulatorischer Hinsicht der Handlungsdruck am größten? Hier drängt sich neben der nichtfinanziellen Berichterstattung (CSRD) vor allem das Lieferkettensorgfaltspflichtengesetz (LkSG) auf. Das Verständnis, was als Nächstes ansteht und besonders geprüft werden muss, ist für die Organisation besonders wichtig. Hinter den neuen Gesetzen und Regularien stehen teils auch hohe Strafen für den Fall, dass sie nicht eingehalten werden oder fehlerhaft berichtet wird. Daher ist es für die Revision auch wichtig, nicht nur das Gesamtkonzept im Blick zu haben, sondern auch konkrete Daten an ihrem zentralen beziehungsweise dezentralen Ursprung zu prüfen.
- Weitere Schwerpunkte setzen: Der dritte Schritt klärt die Frage, welche Themen auch ohne regulatorische Treiber für das Unternehmen besonders wichtig sind. Werden hier wesentliche Risiken identifiziert, geht es in High Impact Audits – die substanzielle Prüfung einzelner Projekte und Prozesse. Zur Funktionsfähigkeit von Kontroll- und Risikomanagementmechanismen lauten die Fragen: Gibt es Kontrollen? Und sind diese wirksam?
Energieverbrauch, Diversity, das Verhalten von Zulieferern – vieles wird wichtig, das bisher weniger im Vordergrund stand. Bis es überall in der Organisation angekommen ist und akzeptiert wird, dass die Welt sich geändert hat und neue Regeln gelten, muss die Interne Revision helfen, diese Aspekte einzubeziehen, und auf Probleme hinweisen – gemäß ihrer zentralen Funktion, Schaden vom Unternehmen abzuwenden.
Nicht zu vernachlässigen ist der Betrugsaspekt, also mögliches vorsätzlich fehlerhaftes Verhalten, in Bezug auf ESG. Mit steigendem Druck, die neuen Ziele zu erreichen, kann auch die Motivation hierzu steigen – in einigen Geschäftsbereichen oder Regionen vielleicht eher als in anderen. Analog zu Betrug in der Finanzberichterstattung sind etwa gefälschte Zulassungen oder falsch klassifizierte Produkte denkbar.
Zwar ist das Aufdecken von Betrugsfällen nicht das primäre Ziel einer Internen Revision, aber sie muss Fälle der vorsätzlichen ESG-Non-Compliance als relevante Risiken berücksichtigen, sie gegebenenfalls in die Revisionsprogrammplanung einbeziehen und im Rahmen ihrer Prüfungshandlungen diesbezüglich professionelle Skepsis wahren – gerade im Bereich ESG, der lange als weniger relevant galt und nun für viele Unternehmen eine größere Rolle spielt.
Die interne Prüfungsabteilung kann also auf vielfältige Weise die Organisation unterstützen, die besten Lösungen zu finden, um Zahlen korrekt zu berichten und alle neuen Anforderungen zu erfüllen. Sie kann die Gestaltung des unternehmerischen Wandels unterstützen.
ESG-Know-how aufbauen
ESG als Risikofeld wird den Revisionen auf Dauer erhalten bleiben. Es ist wichtig und wird wichtig bleiben. Vergleichbar wäre es mit der ebenfalls gestiegenen Bedeutung von Digitalisierungsthemen wie IT-Sicherheit und Datenschutz über die letzten zehn Jahre.
Die Revisionsfunktionen sollten also Know-how aufbauen. Sie müssen die ganze Thematik durchdringen: die Regulatorik und das Verhalten ihrer Organisation selbst. Um risikoorientiert prüfen zu können, benötigt es hierzu im ersten Schritt ein Verständnis dafür, welchen materiellen ESG-Risiken das Unternehmen ausgesetzt ist und welche regulatorischen Vorgaben zu erfüllen sind.
Im Bereich der Emissionen beispielsweise benötigt die Revision jemanden, der weiß, wie die Scopes 1, 2 und 3 von Emissionen definiert sind, wie man diese Daten erfasst, liest, auswertet und berichtet. Allein schon für eine risikoorientierte Prüfungsplanung und die Entscheidung, was eigentlich entsprechende Prüfungsthemen sind, braucht es dieses Grundverständnis.
Um solches Know-how langfristig aufzubauen oder sich Expertise ins zu Haus holen, gibt es mehrere Wege:
- eigene Mitarbeiter fortbilden
- ESG-kompetente Kollegen aus anderen Fachabteilungen gewinnen
- neue Fachleute einstellen (allerdings werben viele Funktionen in den Unternehmen, etwa Nachhaltigkeitsabteilungen, derzeit um Mitarbeiter mit ESG-Fähigkeiten; die interne Revision könnte hier als Trumpf ins Feld führen, dass ihre Mitarbeiter die ganze Organisation überblicken und kennenlernen können)
- Aufgaben an stabile externe Partner auslagern
Fazit
Angesichts der zunehmenden Bedeutung von ESG-Themen muss sich die Interne Revision richtig aufstellen und Know-how aufbauen. Ihre Herausforderung besteht darin, Prüfungsplanung und Risk Assessment um den Aspekt ESG zu erweitern und ihre Methoden wo nötig anzupassen. Geht sie das mit einem proaktiveren Selbstverständnis an, statt sich als reine Prüfinstanz zu sehen, hilft sie dem ganzen Unternehmen bei der Transformation und kann zum gefragten Partner anderer Funktionen werden.