Das Bundeskabinett hat am 24.07.2024 den Regierungsentwurf zur Umsetzung der EU-Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen (Corporate Sustainability Reporting
Directive, CSRD) in deutsches Recht beschlossen (siehe hier). Diese Richtlinie erweitert den Anwendungsbereich der Nachhaltigkeitsberichterstattung schrittweise auf alle großen Kapitalgesellschaften sowie auf kapitalmarktorientierte kleine und mittlere Unternehmen, mit Ausnahme von Kleinstunternehmen. Seit dem 01.01.2024 müssen alle Unternehmen, die bereits der Non-Financial Reporting Directive (NFRD) unterliegen, die im Juli 2023 veröffentlichten europäischen Standards für die Nachhaltigkeitsberichterstattung (ESRS) anwenden. Die CSRD regelt neben der Berichterstattung auch die Prüfungspflichten, die mit der erstmaligen Berichtspflicht beginnen. Zunächst ist eine Prüfung mit begrenzter Sicherheit (Limited Assurance) vorgeschrieben. Bis spätestens 2028 ist eine einheitliche Prüfung des Lageberichts mit hinreichender Sicherheit (Reasonable Assurance) vorgesehen. Mit der gesetzlichen Prüfverpflichtung unterstreicht der Regulator die Bedeutung der Nachhaltigkeitsberichterstattung und die damit verbundenen hohen Anforderungen an die Verlässlichkeit der geforderten CSRD-Berichte. Zur Sicherstellung dieser Verlässlichkeit sind Unternehmen gefordert, ausreichende interne Kontrollen zu implementieren, um Risiken möglicher wesentlicher Falschdarstellungen zu adressieren. Darüber hinaus können Unternehmen sich freiwillig für eine höhere Prüfungssicherheit entscheiden, um die Verlässlichkeit der Nachhaltigkeitsberichterstattung zu unterstreichen.
Komplexität der Angabepflichten erfordert neue Prozesse
Die umfangreichen und komplexen Angabepflichten, die sich aus dem verpflichtenden ESRS-Katalog ergeben, erfordern eine strukturierte Erhebung, Auswertung und Darstellung von qualitativen und quantitativen Informationen. Um diesbezüglich eine Berichtsfähigkeit herzustellen, sind Unternehmen regelmäßig gehalten, neue Prozesse zu entwickeln und unternehmensweit, insbesondere für dezentrale quantitative Datenpunkte, zu implementieren. Hieran knüpfen Fragestellungen zur Notwendigkeit eines angemessenen und wirksamen Internen Kontrollsystems (IKS) an, um die Vollständigkeit, Richtigkeit und Konsistenz der nun benötigten Informationen und Daten sicherzustellen (siehe Deutscher Rechnungslegungs Standard Nr. 20).
Dabei stellen die Anforderungen an ein angemessenes und wirksames IKS keine grundsätzlich neue Aufgabenstellung dar. Bereits mit dem Inkrafttreten des Finanz-marktintegritätsstärkungsgesetzes (FISG) im Jahr 2021 wurde für Aktiengesellschaften die gesetzliche Pflicht zur Einrichtung eines angemessenen und wirksamen Risikomanagementsystems und IKS geschaffen. Diese Pflicht umfasst sowohl finanzielle als auch nichtfinanzielle Informationen. Bei Aktiengesellschaften gehört es zu den Sorgfaltspflichten des Vorstands, ein angemessenes und wirksames IKS einzurichten, das der Geschäftstätigkeit und der Risikolage des Unternehmens Rechnung trägt. Die Überwachungsaufgaben des Aufsichtsrats, wie die Kontrolle der Wirksamkeit des IKS gemäß § 107 Abs. 3 AktG, erstrecken sich auch auf Nachhaltigkeitsaspekte. Auch der Deutsche Corporate Governance Kodex sieht in seiner Empfehlung A.3 vor, dass das IKS auch nachhaltigkeitsbezogene Ziele umfassen soll, soweit dies nicht bereits gesetzlich vorgeschrieben ist (siehe hier).
Entsprechendes spiegelt sich auf der Ebene der Aufsichtsorgane. Der Aufsichtsrat hat gemäß § 171 Abs. 1 AktG den Lagebericht als Teil der Finanzberichterstattung zu prüfen. Über die Aufnahme eines verpflichtenden CSRD-Kapitels in den Lagebericht ist zu schlussfolgern, dass auch die zukünftig enthaltenen Nachhaltigkeitsangaben Teil der Überwachungspflicht darstellen. Aus Sicht des Aufsichtsrats erschwerend wirkt allerdings, dass die in der Regel nur eingeschränkt in Form einer Prüfung durch den Abschlussprüfer im Sinne der Prüfung mit eingeschränkter Sicherheit erfolgt. An dieser Stelle muss der Aufsichtsrat entscheiden, wie er durch eigene Prüfungsmaßnahmen die Kontrolllücke schließen kann und ob er vom Unternehmen eine stärkere Fokussierung auf ein angemessenes und wirksames IKS verlangt, das für die Datenqualität sowie Vollständigkeit und Richtigkeit der Nachhaltigkeitsberichterstattung ausschlaggebend ist.
Das Nachhaltigkeits-IKS als Unterstützung von Vorstand und Aufsichtsrat bei der Sicherstellung einer ordnungsgemäßen Nachhaltigkeitsberichterstattung ist im übergreifenden Standard ESRS 2 selbst verankert. Die Angabepflichten nach ESRS 2 GOV-5, die nicht dem Wesentlichkeitsvorbehalt unterliegen, erfordern die Offenlegung wesentlicher Merkmale des IKS, insbesondere im Hinblick auf den Prozess der Nachhaltigkeitsberichterstattung.
Auch in der am 05.07.2024 veröffentlichten ersten Stellungnahme der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) zur erstmaligen Anwendung der ESRS hebt die ESMA einige Kernbereiche hervor, die aus ihrer Sicht bei der Erstellung von Nachhaltigkeitsberichten nach den ESRS von besonderer Bedeutung sind.
Insbesondere betont die ESMA die Notwendigkeit der Einführung von Governancestrukturen und internen Kontrollen, um eine qualitativ hochwertige Nachhaltigkeitsberichterstattung zu gewährleisten.
Bedeutung und Ausgestaltung eines Nachhaltigkeits-IKS
Interne Kontrollsysteme sind wesentliche Bestandteile der Governance von Unternehmen und variieren in der Ausgestaltung und Reife je nach Unternehmensgröße, Kapitalmarktorientierung und Komplexität. Die Ausgestaltung eines Nachhaltigkeits-IKS ist im deutschen Rechtsraum nicht durch einen spezifischen Standard geregelt. Es existieren jedoch bewährte Rahmenwerke, die als Ausgangspunkt dienen können. Zu nennen sind insbesondere der IDW Praxishinweis 04/2023 und das COSO-Rahmenwerk Internal Controls over Sustainability Reporting (ICSR).
Zentrales Ziel eines Nachhaltigkeits-IKS ist die Sicherstellung der Richtigkeit und Vollständigkeit aller relevanten Informationen gemäß den Anforderungen der ESRS. Dies umfasst nicht nur die Implementierung geeigneter Kontrollen zur Überwachung und Validierung der Nachhaltigkeitsinformationen, sondern auch die Einhaltung aller relevanten Berichtsanforderungen. Das Nachhaltigkeits-IKS gewährleistet somit, dass die Berichterstattung über nachhaltigkeitsrelevante Aspekte transparent, verlässlich und in Übereinstimmung mit den definierten Standards erfolgt. Eine detaillierte Offenlegung der Merkmale des Nachhaltigkeits-IKS ermöglicht es Investoren, Stakeholdern und anderen Interessierten, die Qualität und Effektivität des IKS eines Unternehmens zu beurteilen.
Zusammenfassend lässt sich festhalten, dass sich die Existenz eines Nachhaltigkeits-IKS aus einer Vielzahl regulatorischer Anforderungen ergibt, sowohl aus den Angabepflichten der ESRS selbst als auch aus den Überwachungspflichten. Inhaltlich ist es gerade bei einer derart umfangreichen und komplexen Berichterstattung wichtig, das notwendige Maß an Verlässlichkeit zu gewährleisten. Unternehmen müssen sich daher kurz- bis mittelfristig intensiv mit dem Nachhaltigkeits-IKS auseinandersetzen. Die Projektlaufzeit für die Implementierung eines vollumfänglichen und robusten IKS beträgt in der Regel etwa sechs bis zwölf Monate. Es empfiehlt sich daher, zunächst einen Proof of Concept mit einer ausgewählten Anzahl von Datenpunkten durchzuführen. Dies bereitet das Unternehmen auf die Veränderungen vor, sensibilisiert die Mitarbeitenden und legt den Grundstein für ein IKS, das kontinuierlich weiterentwickelt und ausgebaut werden kann.
Auf dem Weg zu einem vollständigen IKS für die Nachhaltigkeitsberichterstattung kann es aufgrund des geringen Reifegrades sinnvoll sein, zunächst einige zentrale Kernelemente prioritär umzusetzen. Diese Maßnahmen tragen grundlegend zur Verbesserung der Datenzuverlässigkeit und -qualität bei. Der modulare Aufbau des COSO-Rahmenwerks bietet hierfür eine strukturierte Vorgehensweise, die es Unternehmen ermöglicht, ihr IKS schrittweise und effektiv zu entwickeln.
COSO-Rahmenwerk zur Stärkung der Governance
Das COSO-Rahmenwerk Internal Controls over Financial Reporting (ICFR) hat sich international als maßgebliches Standardwerk für das rechnungslegungsbezogene IKS etabliert. Das neue, um Nachhaltigkeitsaspekte erweiterte COSO-ICSR-Rahmenwerk baut auf den bereits etablierten fünf Elementen des ICFR-Rahmenwerks auf. Es ergänzt diese um spezifische Anforderungen und Ausgestaltungshinweise, die für die Sicherung der Nachhaltigkeitsberichterstattung durch Kontrollinstrumente unerlässlich sind. Um ein prüfungssicheres IKS für die Nachhaltigkeitsberichterstattung zu etablieren, müssen analog zur Finanzberichterstattung alle Kernelemente und Bestandteile (siehe Abbildung 1) berücksichtigt werden.
Kontrollumfeld
Das Kontrollumfeld definiert den Rahmen, in dem ein IKS implementiert und betrieben wird. Dazu gehören unter anderem die Integration von Grundwerten in die Unternehmenskultur, die Etablierung eines Verhaltenskodex, die Bereitstellung der notwendigen Ressourcen, die klare Zuweisung von Rollen und Verantwortlichkeiten sowie der Einbezug des Prüfungsausschusses.
Risikobewertung
Diese Risikobewertung ermöglicht die Identifizierung der inhärenten Risiken verschiedener Nachhaltigkeitsinformationen und deren möglichen Auswirkungen auf eine ESRS-konforme Berichterstattung. Dieser Schritt ist für ein IKS von grundlegender Bedeutung und sollte insbesondere dann durchgeführt werden, wenn ein IKS von Grund auf neu entwickelt wird. So können besonders risikoreiche Bereiche gezielt erkannt und berücksichtigt werden.
Kontrolltätigkeiten
Kontrollaktivitäten dienen dazu, den identifizierten Risiken zu begegnen, und sind individuell auf die Ergebnisse der Risikobewertung abzustimmen. Kontrollen sind Maßnahmen, um Fehler oder Unregelmäßigkeiten im Prozess zu erkennen, zu verhindern oder zu mindern. Je nach Prozess und Datenpunkt sind unterschiedliche Kontrollen denkbar. Wichtig ist, dass Kontrollen klar definiert und dokumentiert sind, einschließlich der Angabe des Verantwortlichen.
Information und Kommunikation
Information und Kommunikation stellen sicher, dass sowohl Informationen als auch Daten vollständig, korrekt und rechtzeitig mit den wichtigsten internen und externen Interessengruppen geteilt werden. Angesichts der Vielzahl der am Erstellungsprozess beteiligten Personen ist die Entwicklung strukturierter und formalisierter Prozesse unerlässlich. Insbesondere Mitarbeiter ohne IKS-Vorkenntnisse benötigen umfassende Schulungsmaßnahmen.
Überwachung
Die Überwachung dient der Beurteilung der Angemessenheit und Wirksamkeit des IKS und umfasst unabhängige Überwachungsmaßnahmen. Dieser fortlaufende Prozess stellt sicher, dass das IKS auf Veränderungen, wie neu identifizierte wesentliche und berichtspflichtige
Themen, angemessen reagieren kann.
Autor
Sebastian Dingel
Deloitte, Düsseldorf
Partner, Business Assurance,
Sustainability Assurance Lead Germany
sdingel@deloitte.de
www.deloitte.de
Autor
Regine Urban
Deloitte, Stuttgart
Director, Sustainability Assurance