Techniken für die ESG-Sicherheit und eine Vorbereitungsstrategie

In den letzten Jahren haben sich die Unternehmen darauf vorbereitet, mehrere neue ESG-Verpflichtungen zu erfüllen, wie z. B. die Richtlinie der Europäischen Union zur Nachhaltigkeitsberichterstattung von Unternehmen, das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette und die Vorschriften der US-Börsenaufsichtsbehörde Securities and Exchange Commission zur Offenlegung von Klimadaten. Eine zentrale Herausforderung in diesem Prozess ist es, sicherzustellen, dass die Berichterstattung, insbesondere die durch Richtlinien und Gesetze vorgeschriebene Berichterstattung, korrekt ist und mit den relevanten ESG-Rahmenbedingungen übereinstimmt.

Folglich ist das Konzept der ESG-Assurance für die Bestätigung einer korrekten Berichterstattung entscheidend geworden.

Der Zweck der ESG-Assurance besteht darin, sicherzustellen, dass die von den Unternehmen gemeldeten Informationen so genau wie möglich sind und einer Prüfung im Rahmen der geltenden Rechtsvorschriften und Berichtsvorschriften standhalten.

Um Gewissheit zu erlangen, überprüfen ESG-Prüfungsunternehmen Konzepte wie:

• die Qualität der gemeldeten ESG-Informationen
• die Abläufe, Prozesse und Verfahren zur Unterstützung der Berichterstattung.

Im Gegensatz zur Finanzberichterstattung birgt eine ordnungsgemäße ESG-Berichterstattung mehrere Schwierigkeiten und Herausforderungen bei der Umsetzung. So umfasst ESG beispielsweise mehrere unterschiedliche Risikobereiche, und die Berichterstattung für jeden Bereich erfordert den Zugang zu verschiedenen Arten von Daten und Softwareplattformen sowie das Fachwissen mehrerer Abteilungen in einem Unternehmen. Darüber hinaus könnte die ESG-Zuverlässigkeit angesichts der Unterschiedlichkeit der ESG-Themen eine Bewertung durch mehrere Prüfer erfordern (während sich Unternehmen bei der Finanzberichterstattung an eine einzige etablierte Wirtschaftsprüfungsgesellschaft wenden können). Hinzu kommt, dass einige Richtlinien und Verordnungen zwar eine Berichterstattung vorschreiben, aber keinen etablierten Rahmen für die Berichterstattung vorgeben, so dass die Organisationen nicht genau wissen, wie und was sie messen sollen.

In diesem Artikel werden wir darüber sprechen:

• warum ESG-Assurance für ESG-Programme von Organisationen hilfreich sein kann
• Techniken für die ESG-Versicherung und eine Vorbereitungsstrategie.

Der Wert der ESG-Versicherung

Laut einer kürzlich durchgeführten KPMG-Umfrage[1] gehören zu den potenziellen Vorteilen von ESG-Assurance-Dienstleistungen:

• größerer Marktanteil
• verbesserte Rentabilität
• verbesserte Entscheidungsfindung
• größere Innovation
• besserer Ruf
• einen höheren Unternehmenswert.

Die oben dargestellten Vorteile der Versicherung entsprechen weitgehend den Vorteilen der Einhaltung von ESG-Richtlinien im Allgemeinen. Kunden wollen zunehmend bei ethischen Unternehmen kaufen, Lieferanten wollen mit Organisationen zusammenarbeiten, die Wert auf Vielfalt legen, und durch nachhaltige Beschaffungspraktiken und die Vermeidung von Rechtsstreitigkeiten und Bußgeldern können die Einnahmen gesteigert (und die Kosten minimiert) werden.

Neben diesen allgemeinen Vorteilen kann die ESG-Assurance auch wirtschaftliche Vorteile bieten. Aus einem Bericht des Journal of Accountancy geht hervor, dass Unternehmen, die eine Assurance erhalten, ihre Kapitalkosten um fast ein Prozent senken und die Analystenabdeckung um mehrere Prozentpunkte erhöhen[2].

Darüber hinaus hilft die ESG-Bestätigung den Unternehmen, ihre Investitionen in ESG im Allgemeinen zu rechtfertigen. Angesichts der Tatsache, dass Unternehmen bis 2025 voraussichtlich 5 Billionen US-Dollar in ESG investieren werden,[3] wird die Nichteinhaltung der Berichterstattungsanforderungen aufgrund von Ungenauigkeiten oder mangelhaften Berichterstattungsprozessen den Bemühungen der Unternehmen, die ESG-Standards überhaupt einzuhalten, schaden.

Schließlich wird die ESG-Assurance den Unternehmen (und insbesondere den ESG-Teams und Compliance-Fachleuten) dabei helfen, die Bedeutung von ESG als wesentliches Geschäftsfeld für die Berichterstattung zu legitimieren. Die Finanzberichterstattung unterliegt traditionell strengen Berichtsanforderungen und Richtlinien und wird daher von Unternehmen und ihren Stakeholdern ernst genommen. Mit der zunehmenden Sichtbarkeit von ESG und der Verschärfung staatlicher Richtlinien wird auch die ESG-Berichterstattung an Bedeutung gewinnen und Dienstleistungen wie die Assurance erfordern, um Genauigkeit und Legitimität zu gewährleisten.

Techniken zur ESG-Sicherheit und Vorbereitungsstrategie

Assurance-Dienstleistungen werden traditionell von Wirtschaftsprüfungsgesellschaften erbracht, die bei der Prüfung von Unternehmensberichten strengen Protokollen und Grundsätzen folgen. Diese Dienstleistungen konzentrieren sich in der Regel auf die Festlegung eines Zuverlässigkeitsgrads (z. B. "begrenzte Sicherheit" oder "hinreichende Sicherheit"), die Festlegung von Kriterien für die Berichterstattung (z. B. der Rahmen, an dem die Berichterstattung gemessen wird) und die Anwendung verschiedener Verfahren wie die Überprüfung von Dokumenten, Berechnungen, Erklärungen der Geschäftsleitung und anderer Techniken, um die Richtigkeit der Berichterstattung und die Integrität der Berichterstattungssysteme und -prozesse zu ermitteln.

ESG-Assurance kann weitaus komplizierter sein, da ESG im Wesentlichen mehrere unterschiedliche Risikobereiche umfasst (z. B. Korruptionsbekämpfung, Nachhaltigkeit und Diversität) und jeder Risikobereich eigene Richtlinien und Rahmenbedingungen hat, die die Anforderungen an die Berichterstattung bestimmen. Aufgrund dieser Komplexität können sich die Protokolle geringfügig verschieben, je nachdem, welcher Risikobereich durch die Prüfungsleistungen überprüft wird.

Damit ESG-Assurance effektiv ist, sollten Unternehmen eine Strategie verfolgen, die auf mehrere Risikobereiche angewendet werden kann. Diese Strategie spiegelt mehrere Schlüsselkonzepte wider, die in unserem Rahmenwerk Speeki Engage beschrieben sind. Die Unternehmen müssen:

• die geltenden ESG-Berichtsstandards mit den einzelnen Risikobereichen zu verknüpfen, die für ihr ESG-Programm relevant sind
• Ermittlung und Einrichtung von Stakeholdern für das ESG-Management und die Berichterstattung für jeden Risikobereich
• zu ermitteln, welche Systeme, Plattformen und Dateien relevante Daten für jeden Risikobereich enthalten
• mit Wertschöpfungsketten zusammenarbeiten, um Berichte zu sammeln, zu erstellen und herauszugeben.

Am besten lassen sich diese Maßnahmen anhand eines Beispiels veranschaulichen. In den letzten zehn Jahren war die Korruptionsbekämpfung ein kritischer ESG-Programmbereich, da die staatlichen Kontrollen zunahmen und Dutzende von Unternehmen wegen korrupter Aktivitäten zur Erlangung von Geschäftsvorteilen zu Geldstrafen verurteilt wurden. In dieser Zeit haben die meisten großen Unternehmen, die in den Vereinigten Staaten und Westeuropa tätig sind, funktionierende Programme zur Korruptionsbekämpfung eingeführt. Die einschlägigen Antikorruptionsgesetze schreiben in der Regel keine regelmäßige Berichterstattung an die Behörden vor (es sei denn, das Unternehmen unterliegt einer Überwachung oder einer Vereinbarung über die Nichtverfolgung); die meisten Unternehmen berichten jedoch intern an die Geschäftsleitung über die Wirksamkeit ihrer Antikorruptionsprogramme. Wie würde die ESG-Assurance für die interne Berichterstattung funktionieren, die die Compliance-Abteilungen ihren Managementteams vorlegen?

Wie oben beschrieben, besteht der erste Schritt bei der Vorbereitung auf die Assurance darin, einen Berichtsstandard mit dem entsprechenden Risikobereich zu verknüpfen. Im Falle der Korruptionsbekämpfung haben viele Unternehmen ihre Programme zur Korruptionsbekämpfung nach ISO 37001 oder ISO 37301 zertifiziert (oder sind dabei, dies zu tun), bei denen es sich um von der Internationalen Organisation für Normung (ISO) herausgegebene Normen handelt. In Abschnitt 9.1 dieser Normen werden mehrere Grundsätze für die Leistungsmessung und Berichterstattung festgelegt. Die wichtigsten Grundsätze dieses Abschnitts besagen, dass Organisationen Folgendes tun müssen

• zu definieren, was gemessen und überwacht werden muss, je nach dem Kontext der Organisation und dem Umfang ihres Programms zur Bekämpfung von Bestechung
• festlegen, wie und wann eine solche Analyse durchgeführt werden soll
• Indikatoren zu entwickeln, um festzustellen, ob die Zielvorgaben eingehalten wurden.

Was die eigentliche Berichterstattung betrifft, so verlangen diese Standards von den Unternehmen, dass sie auf der Grundlage des Kontexts und des Umfangs ihrer Anti-Korruptionsprogramme Kriterien entwickeln, Maßnahmen und Zeitpläne festlegen und Systeme zur Erfassung und Darstellung von Daten einrichten.

Der zweite Schritt bei der Vorbereitung auf die Assurance ist die Ermittlung von Stakeholdern, die die Berichterstattung unterstützen. Die ISO-Normen zur Einhaltung der Vorschriften fordern die Unternehmen auf, zu bestimmen, wer zur Berichterstattung beitragen soll. Compliance- und Ethik-Teams werden in der Regel die Bemühungen zur Verwaltung der Korruptionsbekämpfungsberichterstattung anführen; die ISO-Normen verlangen jedoch auch die Unterstützung durch interne Revisionsteams (siehe Abschnitt 9.2) und die Geschäftsführung (siehe Abschnitt 9.3) und legen mehrere Verantwortlichkeiten fest, die diese Gruppen bei der Unterstützung der Messung, Überprüfung und Berichterstattung für das Korruptionsbekämpfungsprogramm haben.

Der dritte Schritt bei der Vorbereitung auf die Prüfung besteht darin, zu ermitteln, welche Systeme, Plattformen und Dateien relevante Daten für die Berichterstattung enthalten. Wie bereits erwähnt, werden die Wirtschaftsprüfungsdienste wahrscheinlich die Genauigkeit der Berichterstattung sowie die zur Unterstützung der Berichterstattung verwendeten Systeme und Prozesse bewerten. Compliance-Teams, die für die Korruptionsbekämpfung zuständig sind, messen und berichten in der Regel über Elemente wie Verhaltenskodex-Zertifizierungen, Schulungsstatistiken (die mehrere Aspekte umfassen können, z. B. den Prozentsatz der abgeschlossenen Schulungen, die Bewertungen der Mitarbeiter und verbesserungswürdige Bereiche), Untersuchungsstatistiken (z. B. die Anzahl der Meldungen, die Art der Anschuldigungen, ungelöste bzw. gelöste Fälle und die Zeit bis zur Lösung), Ergebnisse von Due-Diligence-Prüfungen (nach Land, Lieferantentyp und Ergebnissen) und andere allgemeine Kategorien. Es ist wahrscheinlich, dass mehrere Systeme, Plattformen und Dateien diese Daten enthalten, wie z. B:

• Lernmanagementsysteme mit Ausbildungsstatistiken
• Meldesysteme oder -instrumente mit Untersuchungsstatistiken
• ERP-Systeme oder Lieferantenverwaltungsplattformen, die Due-Diligence-Ergebnisse enthalten
• von den internen Audit-Teams geführte Dateien mit den Auditergebnissen.

Der vierte Schritt ist die Zusammenarbeit mit den Wertschöpfungsketten, um diese Daten zu sammeln und für die Berichterstattung aufzubereiten. Die Compliance-Teams werden wahrscheinlich mit dem Beschaffungswesen zusammenarbeiten, um die Ergebnisse der Due-Diligence-Prüfung zu überprüfen und eine Berichterstattung über die wichtigsten Datensätze zu erstellen, mit der Personalabteilung, um Untersuchungen und Schulungsstatistiken zu überprüfen, und mit der Innenrevision und dem Management, um die Ergebnisse ihrer Prüfungen und Bewertungen einzubeziehen. In dieser Zeit kann die Compliance auch feststellen, wie effektiv die verschiedenen Systeme, Plattformen und Prozesse bei der Erfassung, Speicherung und dem Export der für die Berichterstattung erforderlichen Daten waren, da die Prüfdienste auch diese Faktoren bewerten werden.

ESG-Assurance-Dienstleistungen zur Überprüfung der Korruptionsbekämpfungsberichterstattung eines Unternehmens prüfen, wie genau und effektiv die Berichterstattung die Grundsätze des Berichtsprogramms widerspiegelt, wie sie in Abschnitt 9.1 der ISO-Norm 37001 oder in dem Rahmenwerk, das ein Unternehmen zur Festlegung der Grundlagen seines Korruptionsbekämpfungsprogramms verwendet hat, dargelegt sind. Unternehmen, die ihre Programme nach ISO 37001 oder ISO 37301 zertifiziert haben, können sich jedes Jahr durch Überwachungsaudits vergewissern, dass sie die ISO-Normen weiterhin einhalten und entsprechend berichten.

In Bezug auf andere ESG-Risikobereiche ist es für die Unternehmen von entscheidender Bedeutung, die geltende Richtlinie und den geltenden Rahmen klar zu benennen, da dies die Grundlage für die Überprüfung der Zuverlässigkeit bildet.

Nächste Schritte

Die ESG-Assurance bietet Unternehmen die Möglichkeit, sicherzustellen, dass ihre Berichterstattungsaktivitäten und -systeme genaue Daten und Erkenntnisse liefern. Wir sehen die größte Herausforderung für die Assurance darin, dass ESG-Programme aus mehreren verschiedenen Risikobereichen bestehen, die jeweils ihre eigenen Rahmenbedingungen, Standards und Fachkenntnisse erfordern.

Wir empfehlen den Unternehmen, ihre ursprünglichen ESG-Strategiedokumente einzusehen und zu prüfen, welche Risikobereiche als vorrangig eingestuft wurden. Sobald eine klare Priorität erkennbar ist, können die Unternehmen eine ähnliche Analyse wie die oben beschriebene durchführen. Sie müssen sicherstellen, dass eine klare Richtlinie und ein Rahmen für die Berichterstattung vorhanden sind, mit den Stakeholdern kommunizieren, um Daten zu sammeln und zu überprüfen, auf relevante Systeme und Prozesse zugreifen und mit den Wertschöpfungsketten zusammenarbeiten, um die Berichterstattung zu erstellen und zu bestätigen.

Äußere Einflüsse werden sich wahrscheinlich auch erheblich darauf auswirken, für welche Risikobereiche die Unternehmen Prüfungsleistungen in Anspruch nehmen. Bereiche wie die Offenlegung von CO2-Emissionen, Nachhaltigkeit und Vielfalt (alles sehr öffentlich sichtbare Risikobereiche) müssen angesichts der wirtschaftlichen und reputationsbezogenen Auswirkungen einer Nichteinhaltung dieser Bereiche möglicherweise vorrangig behandelt werden.

[1] Der Weg zur Bereitschaft (kpmg.com)

[2] Sparen Sie Geld, indem Sie Ihren Nachhaltigkeitsbericht begutachten lassen - Journal of Accountancy

[3] Die von der SEC vorgeschlagene Regel zur Offenlegung von Klimarisiken verstehen | McKinsey