Entwurf eines Standards zur Integration von ESG-Risiken in Risikomanagementsysteme

08.08.2018 – Die beiden führenden Interessenverbände WBCSD und COSO haben mit einem gemeinsamen Leitlinienentwurf erstmals eine praxisnahe Anleitung für Unternehmen zur Integration von ESG-Risiken in das Risikomanagement vorgelegt.

Hintergrund sind die allgemein steigenden Bestrebungen hin zu einer nachhaltigen und verantwortungsbewussten Unternehmensführung, die Kapitalmarkt-Anforderungen in Richtung nachhaltiger Investments und weitere CSR-Regulierungen. Damit verbunden ist der steigende Druck, sogenannte ESG-Risiken (Environmental, Social and Governance-Risiken) in das unternehmerische Risikomanagement- und interne Kontrollsystem zu integrieren. Die Notwendigkeit eines integrierten Risikomanagements ist erkannt, noch mangelt es an praktischen Erfahrungen bei der Umsetzung. Die Leitlinie von COSO und WBCSD soll diese Lücke schließen.

Unsere Risikomanagement- und CSR-Experten liefern Ihnen mit dem vorliegenden Beitrag eine inhaltliche Kurzdarstellung des Leitlinienentwurfs von COSO und WBCSD sowie eine Einschätzung über dessen Bedeutung und die unternehmerischen Herausforderungen bei der Umsetzung.

Wofür stehen COSO und WBCSD?

Der WBCSD (World Business Council for Sustainable Development) ist eine globale Interessenvertretung mit mehr als 200 Mitgliedsunternehmen, die zusammen mehr als 8,5 Billionen Dollar Umsatz und 19 Mio. Mitarbeiter repräsentiert. Der WBCSD hat sich u. a. zum Ziel gesetzt, Einfluss auf die internationale Politik zur Förderung nachhaltiger Entwicklungen zu nehmen, seine Mitglieder bei eigenen Initiativen zu unterstützen und nachhaltige Projektentwicklungen zu fördern.

COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine US-amerikanische, privatwirtschaftliche Organisation, die seit 1985 durch Veröffentlichung von Standards und Leitlinien im Bereich Risikomanagement und interne Kontrollsysteme einen Beitrag zur Good Governance und Reduzierung von Betrugsfällen leistet. 2017 veröffentlichte COSO einen aktualisierten Standard zum Enterprise Risk Management, der unter anderem die Notwendigkeit einer Einbindung des Risikomanagements in die strategische Planung und die Unternehmensorganisation in den Fokus rückte.

Was sind ESG-Risiken und warum haben COSO und WBCSD einen gemeinsamen Standard zur Integration von ESG-Risiken entwickelt?

Der 2017 veröffentlichte „Sustainability and enterprise risk management“-Report der WBCSD markierte den Beginn der Kooperation von COSO und WBCSD. Die im Report veröffentlichten Ergebnisse einer Umfrage unter den WBCSD-Mitgliedsunternehmen zeigten den enormen Handlungsbedarf bei der Integration von ESG-Risiken in das unternehmerische Risikomanagement auf. „ESG“ umfasst dabei den verantwortungsvollen Umgang mit natürlichen Ressourcen und das Vermeiden von Umweltverschmutzung sowie die Beachtung regulatorischer Anforderungen aus dem Umweltrecht, dem Arbeitsrecht und der Corporate Governance. Nach Einschätzung von 89 Prozent der Befragten haben ESG-Risiken einen signifikanten Einfluss auf die finanzielle Performance von Unternehmen. Gleichzeitig gaben 70 Prozent der Befragten an, dass ESG-Risiken nicht adäquat in der Risikomanagement-Praxis adressiert werden, und 44 Prozent stimmten zu, dass existierende Rahmenregelungen eine bessere Anleitung zur Einbettung von ESG-Risiken in Enterprise Risk Management (ERM)-Systeme schaffen sollten.

Diese Zahlen belegen, dass die Integration von ESG-Risiken in das klassische Risikomanagement ein Gebot der Stunde ist: Während die Integration von ESG-Risiken in klassische ERM-Systeme als zukunftsweisender Weg erkannt wurde, fehlt noch die praktische Erfahrung bei der Umsetzung solch eines integrierten Risikomanagementansatzes. WBCSD und COSO haben mit dem gemeinsam vorgelegten Entwurf einer Anwendungsrichtlinie auf den deutlich erkennbaren Bedarf im Markt eine praxisnahe Antwort geliefert. Die Anwendungsrichtlinie hat gute Chancen darauf, sich nach ihrer Fertigstellung als zukünftiger Standard für die Integration von ESG-Risiken in Risikomanagementsysteme durchzusetzen. Am 30. Juni 2018 endete die Konsultationsphase für den Leitlinienentwurf, sodass eine zeitnahe Veröffentlichung zu erwarten ist.

Warum gewinnen ESG-Risiken zunehmend an Bedeutung?

Die Haltung gegenüber CSR (Corporate Social Responsibility) und die Dynamik zu einer Umsetzung nachhaltiger Geschäftsund Wirtschaftsmodelle hat nicht erst seit dem Pariser Abkommen vom 12. Dezember 2015 spürbar zugenommen. Während Unternehmen Nachhaltigkeit zunehmend als Teil der Unternehmensführung ansehen, wurde auch auf politischer EU-Ebene das Thema CSR stärker in den Fokus gerückt. Mit der Einführung der verpflichtenden CSR-Berichterstattung für betroffene Unternehmen des Umsetzungsgesetz sind auch andere Unternehmen, insbesondere jene innerhalb der Lieferketten der betroffenen Unternehmen, mittelbar angehalten, sich verstärkt mit dieser Thematik zu befassen und Transparenz über entsprechende ESG-Risiken bzw. CSR-Risiken herzustellen. Darüber hinaus hat die Europäische Kommission eine hochrangige Sachverständigengruppe für ein nachhaltiges Finanzwesen eingesetzt. Ziel ist es, den Kapitalfluss in Richtung nachhaltiger Investitionen zu steuern und Schritte zu ergreifen, um das Finanzsystem vor Nachhaltigkeitsrisiken zu schützen. Der in 2018 veröffentlichte Abschlussbericht der Sachverständigengruppe benennt dabei eine Verstärkung von Offenlegungspflichten für eine größere Transparenz über Nachhaltigkeitsrisiken als eine der acht Kernempfehlungen mit höchster Priorität.

Das sind nur zwei Beispiele für die Folgen der fundamentalen Änderung der Risikolandschaft durch Megatrends wie beispielsweise Klimawandel und eine anhaltende Zunahme der Weltbevölkerung. Diese führen insgesamt zu verschärften staatlichen Regulierungen, neuen Marktentwicklungen und sich wandelnden Geschäftsmodellen. Daraus ergeben sich erhebliche Chancen – eine Nichtbeachtung oder Fehleinschätzung von Nachhaltigkeitsrisiken kann im Gegenzug jedoch bis zu existenzbedrohenden Unternehmensrisiken führen. So zeigte das World Economic Forum in seinem Global Risk Report 2018 auf, dass mittlerweile acht von zehn der Top-10-Unternehmensrisiken in den Bereich der sozialen, geopolitischen und ökologischen Risiken einzuordnen sind.

Infolge dieser Entwicklungen müssen Unternehmen sich verstärkt dafür engagieren, ESG-Risiken für das eigene Geschäft zu identifizieren und zu bewerten, sowie strategische und operative Lösungen für die Integration von Nachhaltigkeitsrisiken entwickeln.

Welche Zielsetzung verfolgt die Leitlinie zur Integration von ESG-Risiken in ERM-Systeme?

Mit dem gemeinsamen Leitlinienentwurf haben der WBCSD und COSO eine Anleitung für die Integration von ESG-Risiken in ERM-Systeme vorgelegt. Diese richtet sich an die Verantwortlichen für Nachhaltigkeitsfragen und Risikomanager in Unternehmen. Sie liefert Anwendungshinweise zur Identifizierung, Priorisierung und Steuerung von ESG-Risiken.

Eine Vielzahl von Praxisbeispielen zeigt jeweils die Perspektiven von Nachhaltigkeit und Risikomanagement auf und stellt die Vorteile einer risikoorientierten Kooperation beider Bereiche heraus. Damit bietet die Leitlinie praxisnahe Hilfestellungen für die Integration der ESG-Risiken in das ERM-System.

In ihrem gemeinsamen Leitlinienentwurf haben COSO und WBCSD folgende Vorteile für Unternehmen durch die Umsetzung eines integrierten Ansatzes herausgearbeitet:

  • Verbesserung der Widerstandsfähigkeit eines Unternehmens gegenüber Risiken, inklusive ESG-Risiken
  • Entwicklung eines gemeinsamen Verständnisses und einer gemeinsamen Sprache für ESG- und klassische Risiken, die bislang im Rahmen des ERM-Prozesses erfasst wurden
  • Optimiertes Ressourcenmanagement auf Basis verlässlicher Informationen über ESG-Risiken
  • Nutzung von Chancen durch die Identifizierung von ESG-Trends aa Eliminierung von Redundanzen innerhalb der Organisation
  • Verbesserte Berichterstattung: Prozesse und Leistungsfaktoren stehen auch bei Nachhaltigkeit im Fokus

Welche Unternehmen betrifft der Leitlinienentwurf?

Ebenso wie die weit verbreiteten COSO-Standards aus den Bereichen Risikomanagement und interne Kontrollsysteme ist auch die neue gemeinsame Leitlinie nicht rechtlich bindend. COSO und WBCSD haben die neue praxisnahe Anleitung zur Integration von ESG-Risiken in das ERM-System für alle Arten, Größen und Gesellschaftsformen von Unternehmen und Organisationen entwickelt. Unsere Experten gehen davon aus, dass sich die Leitlinie aufgrund ihrer hohen praktischen Relevanz und der Bedeutung der beiden Interessenverbände als Standard durchsetzen wird. Derzeit haben nur die wenigsten Unternehmen Maßnahmen ergriffen, um ein gemeinsames Verständnis für Risiken zwischen Nachhaltigkeits- und Risikomanagement zu schaffen und darüber ESG-Risiken in das ERM-System zu integrieren. Diese Entwicklung steht bei dem Gros der Unternehmen noch aus. Sie erhalten mit den Leitlinien zur Integration von ESG-Risiken in ERM-Systeme eine hilfreiche Anleitung bei der Implementierung eines integrierten ERM-Systems.

Wie ist der Leitlinienentwurf aufgebaut?

Der Leitlinienentwurf basiert auf dem COSO-Modell „Enterprise Risk Management – Integrating with Strategy and Performance“, das im Jahr 2017 veröffentlicht wurde. Dennoch nimmt die neue Anleitung zur Integration der ESG-Risiken für sich in Anspruch, praktische Hinweise für alle bekannten oder unternehmensspezifischen Rahmenwerke zu liefern und entsprechend anwendbar zu sein. Ungeachtet dessen ist eine linientreue Umsetzung der Leitlinie nur möglich, wenn das COSO-ERM-Modell 2017 bereits vollumfänglich implementiert wurde. Die bereits hervorgehobene Verzahnung von Strategie und Risikomanagement ist dabei eine wesentliche Voraussetzung für die Berücksichtigung der Umsetzungshinweise des Leitlinienentwurfs.

Der Leitlinienentwurf ist in sieben Module aufgeteilt: Diesen sieben Modulen werden zu Beginn des Risikomanagements die bekannten 20 Prinzipien des COSO-ERM-Modells 2017 zugeteilt. Jedes Modul beginnt mit einer Checkliste von praktischen Umsetzungsschritten, die bei der Integration von ESG-Risiken in ein ERM-System helfen. Jeder einzelne Checklisten-gestützte Umsetzungsschritt wird im Detail unter Berücksichtigung von Praxisbeispielen erläutert. Über die Umsetzungshinweise und Beispiele innerhalb der sieben Module wird deutlich, dass sich der Leitlinienentwurf von WBCSD und COSO insbesondere an große (kapitalmarktorientierte) Unternehmen richtet, die bereits eigenständige Risikomanagement- und Nachhaltigkeitsprozesse in die Organisation integriert haben. So werden beispielsweise im Modul 1 Verantwortlichkeiten und Kommunikationswege anhand einer hierarchischen siebenstufigen Organisationsstruktur dargelegt. Insbesondere für mittelständische und kleinere Unternehmen ist es im ersten Schritt erforderlich, sowohl die Checklisten als auch Umsetzungshinweise der sieben Module auszuwerten und an die eigenen Unternehmensspezifika und Situation unter Berücksichtigung der Komplexität des eigenen Geschäftsmodells bei Bedarf anzupassen.

Welchen Herausforderungen stehen Unternehmen bei der Umsetzung der Leitlinie gegenüber?

Eine große Unsicherheit besteht heute noch hinsichtlich der Vorhersehbarkeit von ESG-Risiken. Hier werden Unternehmen (innovative) Methoden entwickeln müssen, um (finanzielle) Auswirkungen von ESG-Risiken nicht nur isoliert zu bestimmen, sondern auch in die Methodik des eigenen Risikomanagements einzubetten. Eine Identifikation und Bewertung von Risiken auf Basis historischer Erfahrungen und Datenquellen wird auf viele ESG-Risiken nicht übertragbar sein. Eine unabdingbare Business-Impact-Analyse muss daher im Detail aufdecken und prognostizieren, auf welche Geschäftsmodelle, Prozesse, Kunden etc. sich ESG-Risiken heute und in Zukunft negativ auswirken könnten. Damit geht die zunehmende Bedeutung der strategischen Perspektive im Risikomanagement einher: Viele Unternehmen werden vor der Herausforderung stehen, die eigene Risk Governance – namentlich bestehende Prozesse und IT-Systeme – anzupassen, um ihr Risikomanagement strategischer und vorausschauender auszurichten. Der Umgang mit ESG-Risiken erfordert zudem eine Anpassung der zeitlichen Betrachtungszeiträume. Für die Integration von ESG-Risiken in das ERM-System reicht die Betrachtung des „short term financial impact“, der teilweise im klassischen Risikomanagement in der Praxis Anwendung findet, nicht aus. Dabei darf die Unsicherheit über den Zeitpunkt, wann ein ESG-Risiko das operative Geschäft negativ beeinflussen könnte, nicht dazu führen, dass diese Risiken zunächst ignoriert werden. Hintergrund: Der Betrachtungszeitraum für ESG-Risiken kann in der Regel die übliche Perspektive im Risikomanagement von zwei bis drei Jahren deutlich übersteigen. Die Integration von ESG-Risken wird mithin ein Überdenken der Betrachtungszeiträume im operativen Risikomanagementprozess und der Ausgestaltung der Risikoberichterstattung erfordern.

Die Integration von ESG-Risiken in das ERM-System wird darüber hinaus eine gemeinsame Verständigungsgrundlage zwischen Risikomanagement und Nachhaltigkeitsmanagement erfordern und die Unternehmen zu einer gemeinsamen „Wesentlichkeitssprache“ lenken müssen. So erstreckt sich der Adressatenumfang in der Nachhaltigkeitsberichterstattung nicht nur auf Shareholder und Regulatoren, sondern auch auf weitere Stakeholder wie beispielsweise Mitarbeiter, Lieferanten und Kunden. Die GRI Standards (Standards der Global Reporting Initiative), die das weltweit am häufigsten eingesetzte Rahmenwerk für die Nachhaltigkeitsberichterstattung sind, definieren beispielsweise das Wesentlichkeitsverständnis als „wesentliche ökonomische, ökologische und soziale Auswirkungen des Unternehmens sowie Sachverhalte, die aus Sicht der Stakeholder relevant sind“. Die Risikobetrachtung geht folglich über die unmittelbare Schadensbetrachtung für das eigene Unternehmen hinaus. Um neben einer reinen Integration von ESG-Risiken in das Risikomanagement auch eine nachweisbare Überleitung zwischen Risiko-, Nachhaltigkeits- und Lageberichterstattung zu erzielen, werden Unternehmen untersuchen müssen, inwiefern die jeweiligen Wesentlichkeitsansätze miteinander im Einklang stehen. Auch wenn Unternehmen keine Nachhaltigkeitsberichterstattung erstellen bzw. nicht dazu verpflichtet sind, sollte der Nachhaltigkeitsgedanke in Verbindung mit der Stakeholder-Perspektive bei der Identifizierung und Bewertung von ESG-Risiken im Rahmen des ERM berücksichtigt werden.

Zusammenfassung und Fazit

Der vorliegende gemeinsame Leitlinienentwurf von COSO und WBCSD spiegelt die Bedeutung wider, welche die Integration von ESG-Risiken in das ERM-System inzwischen erfahren hat. Der modulare Aufbau der Leitlinie sowie die Bereitstellung von Checklisten und (Praxis-)Beispielen zur Umsetzung der Leitlinie fördern das Verständnis für ESG-Risiken. Dies sollte nicht zuletzt zu einer gestiegenen Bereitschaft führen, ESG-Risiken zu identifizieren und in das ERM-System zu integrieren.

Mittelständische und kleinere Unternehmen sowie Unternehmen, die das COSO-ERM-Modell 2017 nicht vollumfänglich implementiert haben, müssen die dort dargestellten Umsetzungshinweise noch auf die eigene Organisationsstruktur und -größe sowie auf vorhandene Rahmenwerke anpassen. Eine unabdingbare enge Kooperation zwischen Risikomanagement und Nachhaltigkeitsmanagement wird aufgrund teilweise unterschiedlicher Auffassungen, beispielsweise zur Wesentlichkeit, Betrachtungszeiträumen oder Adressatenkreis, eine Anpassung bestehender Strukturen erfordern.

Da der Leitlinienentwurf von den beiden führenden Interessenvertretungen COSO und WBCSD vorgelegt wurde, wird dieser Standard voraussichtlich eine hohe Bedeutung in der Praxis erhalten. Trotz des gelungenen Aufbaus der Leitlinie werden sich in den Unternehmen zahlreiche technische und ERM-ideologische Fragestellungen ergeben.

Haben Sie Fragen oder weiteren Informationsbedarf?

* : mandatory fields

Your personal data is collected by Mazars in Germany, the data controller, in accordance with applicable laws and regulations.
Fields marked with an asterisk are required. If any required field is left blank, it will not be possible to process your request.
Your personal data is collected for the purpose of processing your request.

You have a right to access, correct and erase your data, and a right to object to or limit the processing of your data. You also have a right to data portability and the right to provide guidance on what happens to your data after your death. Finally, you have the right to lodge a complaint with a supervisory authority and a right not to be the subject of a decision based exclusively on automated processing, including profiling, that produces legal effects concerning you or significantly affects you in a similar way.

Downloads

Share