(Kombi-)Zertifizierung von Compliance-, Risiko-Managementsystemen und ESG
Der Gesetzgeber wird zum 01.01.2024 für das Geschäftsjahr 2023 die Nachhaltigkeits-Berichtspflicht (vgl. 289 b HGB) auch auf mittelständische Unternehmen ab 250 Mitarbeiter erweitern: Gemäß des Entwurfes der Corporate Sustainbility Reporting Directive (CSRD), die endgültig wohl bis spätestens Juni 2022 als EU-Richtlinie verabschiedet werden wird, müssen ab 01.01.2024 große Kapitalgesellschaften und haftungsbeschränkte Personengesellschaften mit mehr als 250 Mitarbeitern, 20 Mio. EUR Bilanzsumme oder 40 Mio. EUR Umsatz (zwei dieser drei Voraussetzungen reichen) für das Geschäftsjahr 2023 über ökonomische, soziale und ökologische Nachhaltigkeit berichten.
Die European Financial Reporting Advisory Group (EFRAG) will im Juni 2022 Standards für diese Berichterstattung vorschlagen und den ersten Satz der Standards im Oktober 2022 und den zweiten Satz im Oktober 2023 verbindlich setzen. Diese Standards werden in 9 Cluster aufgeteilt.
Cluster 1
Cluster 1 enthält konzeptionelle Leitfäden zur "doppelten Wesentlichkeit" (welche Nachhaltigkeits-Risiken wirken einerseits auf Organisation / Unternehmen, aber auch andererseits: welche Nachhaltigkeitsrisiken entstehen durch das Unternehmen / die Organisation für Gesellschaft und Umwelt?) und zu Anforderungen an Art und Qualität der einzelnen Informationen (z. B. über bestimmte Kennzahlen zu bestimmten Themen in einem digitalen Format).
Darüber hinaus enthält "Cluster 1" so genannte "Querschnittsnormen" zu Themen der Resilienz, wie
- Geschäftsmodell und Strategie
- Wesentliche Nachhaltigkeits-Risiken, -Chancen und -Auswirkungen
- Nachhaltige Unternehmensführung (Governance) und Organisation / Prozesse
- Grundsätze, Richtlinien und Ziele in Bezug auf Nachhaltigkeit
- Abgeleitete Planung von Projekten / Maßnahmen und dafür erforderliche Ressourcen.
Dies entspricht in etwa den bereits über die Standards "Global Compact" oder "Global Reporting Initiative" bekannten Analysen wesentlicher Nachhaltigkeitsthemen und strategischer Ziele ("Wesentlichkeits-Analyse") mit zugehörigem "Managementansatz".
Die weiteren "Cluster" umfassen:
Cluster 2: Umwelt: Klimawandel und Anpassung
Cluster 3: Umwelt: Wasser- und Meeres-Ressourcen, Umweltverschmutzung, Kreislaufwirtschaft, Biodiversität und Ökosysteme.
Cluster 4: Soziales: Eigenes Personal / Human Resources
Cluster 5: Soziales: Personal in der Wertschöpfungskette, betroffene Gemeinschaften, Verbraucher
Cluster 6: Governance: Unternehmensführung und Überwachung
mit
- Governance, Risk und Compliance, interne Steuerung und Überwachung
- verantwortungsvolle Geschäftspraktiken
- Produkte und Leistungen, Innovation, Management und Qualität der Beziehungen zu Geschäftspartnern
Cluster 7: beschäftigt sich mit branchenspezifischen Besonderheiten
Cluster 8: enthält Leitfäden für kleine und mittlere Unternehmen (KMU)
Cluster 9: regelt die Digitalisierung der Berichterstattung.
Darüber hinaus führt bereits jetzt die so genannte Taxonomie-Verordnung zu erheblichen Auswirkungen auf Unternehmen / Organisationen.
Finanz-, Versicherungs-, aber auch bestimmte Nicht-Finanz-Unternehmen müssen bereits ab dem Jahr 2022 (!) aufgrund des Delegierten Rechtsaktes zu Art. 8 der EU-Taxonomie-Verordnung zu (derzeit noch primär ökologischer) Nachhaltigkeit berichten.
Bezüglich der (ökologisch) nachhaltigkeitswirksamen Aktivitäten müssen beispielsweise auch Nicht-Finanzunternehmen berichten, welchen Anteil diese an Betriebs- ("OpEx") und Kapitalausgaben ("CopEx"), aber auch am Umsatz haben.
Am 20.12.2021 veröffentlichte die Europäische Kommission lesens- und beachtenswerte sog. "Frequently Asked Questions (FAQ)" zu diesen Berichtspflichten.
Die Nachhaltigkeits-Berichtspflicht und Nachhaltigkeits-Managementsysteme umfassen als wesentliche Komponenten gerade eben auch ein Risiko- und Compliance-Management.
Kombizertifizierung für "Integrierte Managementsysteme"
Die ISO revisionierte im Jahr 2021 ihre ehemalige "ISO High Level Structure" aus dem Jahr 2012. Nunmehr gibt es den "Harmonized Approach" / die "Harmonisierte Struktur" (HS) von 2021: ISO / IEC Directives, Part 1, Annex SL, Appendix 2: 2021. Die ISO gibt damit für all ihre Managementsystem-Standards denselben Aufbau mit 10 Punkten und Mustertext vor.
Neue gesetzliche und technische Herausforderungen an Organisationen, wie Unternehmenssanktionsrecht , Lieferkettengesetz, Berichterstattung über Nachhaltigkeit in der Lieferkette, Informationssicherheits- und sonstige globale Risiken verstärken den Bedarf der Organisationen an offiziellen Nachweisen , auch in den Bereichen Risiko-, Compliance- und Nachhaltigkeitsmanagement (ESG) auf dem Stand der Technik zu sein.
Aufgrund der zahlreichen Redundanzen und Analogien der neuen Risiko- und Compliance- Management-Standards (und auch in Bezug auf Qualitätsmanagement und sonstige nach der "Harmonized Structure" aufgebauten Managementsystem-Standards) bietet es sich an, die Systeme mit einem "Kombizertifikat" als "Integrierte Managementsysteme" zu testieren.
Diese Zertifizierung kann zugleich auch bestätigen, dass bestimmte wesentliche Komponenten eines Nachhaltigkeits-Managementsystems beziehungsweise der Nachhaltigkeits-Berichterstattung unterliegenden Themen den aktuellen Standards entsprechen.
Zu diesem Themenkomplex gibt es zahlreiche Fragen:
1. Was heißt eigentlich Governance, Risk, Compliance, GRC, Nachhaltigkeit, Managementsystem und Integriertes GRC-Managementsystem?
Corporate Governance heißt in etwa "Angemessene Interaktion zwischen den Organen [Gesellschafter, Leitung (Vorstand / Geschäftsführer) und Aufsichtsgremium (Aufsichtsrat / Beirat)] sowie ordnungsgemäße Unternehmensführung und -überwachung".
Governance ist dabei mehr als Management: Governance soll auch gesellschaftliche Verantwortung (Corporate Social Responsibility (CSR) mit ökonomischer, sozialer und ökologischer Nachhaltigkeit) und Integrität / Ethik umfassen.
Risikomanagement beschäftigt sich mit Unsicherheiten bei Entscheidungen und Zielerreichung. Es hilft, Gefahren (und Chancen) zu identifizieren, zu bewerten und zu steuern.
Compliance bedeutet pflichtgemäßes Verhalten in Hinblick auf allgemein verbindliche Regeln (Gesetze, Rechtsprechung), aber auch in Hinblick auf für verbindlich erklärte (interne) Vorgaben (beispielsweise Regelungen aus dem "Code of Conduct" oder einem Anstellungsvertrag).
Governance, Risk und Compliance "zusammen", also "GRC" ist unter Umständen etwas anderes als die Summe dieser drei Komponenten. Eine Legal-Definition gibt es hier nicht. GRC könnte (leider etwas komplex) mit "Integre, nachhaltige, complianceorientierte und risikobasierte Interaktion der Organe und Unternehmensführung und -überwachung" übersetzt werden. Die Begründung, weshalb Governance compliance-orientiert sein muss: Compliance bildet generell den rechtlichen, zwingenden Rahmen für unternehmerisches Handeln. Risikobasiert muss Unternehmensführung sein, weil andernfalls nicht wie ein "gewissenhafter" Unternehmer, Vorstand, Geschäftsführer agiert werden würde: Gefahren (und Chancen) zu identifizieren, bewerten und steuern, ist Voraussetzung für die Erreichung der Ziele.
Ein Managementsystem besteht aus Komponenten, wie Aufbau- und Ablauforganisation mit dem Zweck, eine Organisation bei Entscheidungen, Zielsetzung und Planung, Umsetzung sowie Steuerung und Überwachung zur Erreichung zwingender und fakultativ gesetzter Ziele zu unterstützen.
Integriertes Managementsystem heißt, dass Komponenten und/oder Prozessschritte zur Erfüllung der Anforderungen aus diversen Themenbereichen (z.B. Compliance, Risiko-, Qualitäts-, Informationssicherheits-Management etc.) in ein einziges Managementsystem, also in die ja nur einmalig existierende Aufbau- und Ablauforganisation (End-to-end-Prozess) implementiert werden. Dadurch werden Redundanzen vermieden und Analogien für mehr Effizient genutzt.
Nachhaltigkeit könnte mit "bei Fortschritt bewahrend ausgerichtetes Entscheiden und Handeln" beschrieben werden.
2. Was umfasst alles ein Risiko-, Compliance- und Nachhaltigkeits-Managementsystem in der Praxis?
Auch hier gibt es bisher noch keine Legaldefinition, so dass die Definitionsfreiheit viele Vorschläge ermöglicht: Ein Nachhaltigkeits-, aber auch ein GRC-Managementsystem enthält in der Regel folgende Komponenten: