Gastbeitrag: Jens C. Laue (KPMG)

CSR

CSR-Risiken richtig steuern

Bei der Einrichtung von Corporate Governance Systemen in deutschen Unternehmen, haben sich  Teilsysteme ausgebildet, die sich mit operativen, strategischen und finanziellen Berichterstattungsrisiken (Risikomanagement) sowie rechtlichen Risiken (Compliance Management) beschäftigen. Im Rahmen des CSR-Richtlinien-Umsetzungsgesetz hat der Gesetzgeber mittels der „Nichtfinanziellen Erklärung“ eine neue Berichtspflicht in deutsches Recht eingeführt. Diese greift im Wesentlichen nicht-finanzielle Risiken auf, die mit der eigenen Geschäftstätigkeit verknüpft und sehr wahrscheinlich negative Auswirkungen haben, über die berichtet werden muss.

Im Grunde handelt es sich dabei um einen eigenständigen Ausschnitt des Risikomanagements mindestens für die im Gesetz benannten Aspekte wie z.B. Umwelt-, oder Arbeitnehmer- und Sozialbelange. Eine wirksame Umsetzung der Anforderung der CSR-Berichterstattung in Unternehmen sollte also nicht im Aufbau zusätzlicher Strukturen erfolgen, sondern durch eine maximale Integration bereits bestehender Systeme. Daher ist es sinnvoll im Voraus zu prüfen, wie CSR-Berichtsanforderungen in vorhandene Strukturen überführt werden können.

Anforderung 1: Risikoidentifizierung und Risikobewertung

Häufig umfasst das unternehmensweite Risikomanagement schwerpunktmäßig Risiken mit finanziellen Auswirkungen z.B. auf den Jahresabschluss. Die bestehenden Modelle sind jedoch ebenso geeignet, sich mit nicht-finanziellen Risiken auseinander zu setzen und es ist daher zu überlegen und auch anzuraten, entsprechende CSR-Risiken in das Risikomanagement zu integrieren. Hierbei sind insbesondere Risiken zu nennen, die sich auf die Zielerreichung der im Gesetz genannten CSR-Aspekte beziehen, also z.B. Risiken aus  komplexen globalen Lieferketten (Menschrechte), Risiken aus Arbeitsbedingungen (Arbeitnehmer- und Sozialbelange), Risiken aus Produktionsverfahren (Umweltbelange) oder Risiken aus Liefer- und Leistungsbeziehungen (Korruption).

Anforderung 2: Risikosteuerung

Bei der Risikosteuerung im Bereich der nicht-finanziellen Berichterstattung müssen zwei Steuerungskreise unterschieden werden. Zum einen geht es darum, welche Maßnahmen das Management eingerichtet hat, um erkannte Risiken in die berichtspflichtigen Aspekte der Geschäftstätigkeit zu steuern (die „Handhabung“). Zum andern erfordert die Berichterstattung, dass Inhalte (z.B. Arbeitsunfälle, Co2-Emmisionen) innerhalb des Unternehmens und in globalen Konzernstrukturen zusätzlich von den Tochtergesellschaften erhoben und  konsolidiert berichtet werden. Da dies in der Regel auf bestehenden (IT-)Strukturen aufsetzt, sollte dieser Bereich nicht parallel neu aufgebaut werden, sondern stattdessen vollständig in das Interne Kontrollsystem integriert werden, um so die Qualität der nicht-finanziellen Berichterstattung zu verbessern.

Anforderung 3: Überwachung

Wie alle anderen Kontrollen und Prozesse im Unternehmen, müssen auch für die nicht-finanzielle Berichterstattung implementierte Maßnahmen regelmäßig auf Einhaltung und damit Wirksamkeit hin überwacht werden. Dies geschieht durch Prüfungen, die aus dem Nachhaltigkeitsbereich heraus durch eigene Mitarbeiter erfolgen und betrifft dann meist die Umsetzung und Einhaltung von Konzepten der Nachhaltigkeitssteuerung. Insbesondere die internen Berichtsstrukturen, welche die Basis der nicht-finanziellen Berichterstattung bilden, sind davon jedoch zumeist ausgenommen.

Im Kern geht es also darum, die finanzielle und nicht-finanzielle Berichterstattung maximal innerhalb der Unternehmen zu integrieren, um das Entstehen einer redundanten und damit ineffektiven Berichtsstruktur zu vermeiden. Zeitgemäße Corporate Governance Systeme bieten aufgrund der inhärent gleichen Ausrichtung bereits die Strukturen, Tools und Prozesse, um eine verlässliche nicht-finanzielle Berichterstattung mit abzubilden.