§ 4 ESRS 2 – Allgemeine Angaben / 2.7 ESRS 2 GOV-5 – Risikomanagement und interne Kontrollen der Nachhaltigkeitsberichterstattung

Rz. 67

In den Nachhaltigkeitsbericht ist auch eine Beschreibung der wichtigsten Merkmale des internen Kontroll- und Risikomanagementsystems des Unternehmens in Bezug auf das Verfahren der Nachhaltigkeitsberichterstattung aufzunehmen (ESRS 2.34). Ausweislich des ESRS 2.BC39 erkannte der SRB der EFRAG (§ 1 Rz 19 ff.) an, dass Informationen über die internen Kontrollprozesse eines Unternehmens die Glaubwürdigkeit und Zuverlässigkeit der Nachhaltigkeitsberichterstattung verbessern und das Verständnis der Nutzer fördern, ob und wie das Unternehmen mit den wesentlichen Nachhaltigkeitsauswirkungen, -risiken und -chancen, denen es ausgesetzt ist, effektiv umgeht. Diese Informationen werden auch in der CSRD ausdrücklich gefordert.

Angaben über die Einrichtung strenger, unabhängiger und wirksamer interner Kontrollsysteme werden als der Schlüssel zum Verständnis der Gestaltung der Unternehmensprozesse in Bezug auf verschiedene Aspekte angesehen. Dazu gehört die Minimierung von Risiken und der Schutz von Vermögenswerten, die Gewährleistung der Richtigkeit von Aufzeichnungen, die Förderung der betrieblichen Effizienz und der Einhaltung von Richtlinien, Regeln, Vorschriften und Gesetzen. Dazu gehört auch das interne Kontrollsystem für den Prozess der Nachhaltigkeitsberichterstattung und die Frage, ob es ein Überprüfungs- und Genehmigungsverfahren für die Berichterstattung gibt, welches in der Verantwortung der Unternehmensführungs- und Aufsichtsorgane liegt (ESRS 2.BC40).

Für die Stakeholder liefert die Offenlegung nützliche Informationen, um den Grad der Erreichung der operativen Ziele zu bewerten, wie z. B. die Effektivität und Effizienz der Geschäftstätigkeit und die Einhaltung der geltenden Gesetze und Vorschriften (ESRS 2.BC41).

Eine entsprechende Anforderung in den GRI, die interne Kontrollen i. A. abdeckt, existiert nicht. Allerdings verlangt GRI 2-14^[1] die Offenlegung der Rolle des höchsten Leitungsorgans in der Nachhaltigkeitsberichterstattung, und in dieser Hinsicht stimmt diese Offenlegungsanforderung mit GRI 2-14 überein. Angaben zu den wichtigsten Merkmalen des internen Kontroll- und Risikomanagementsystems des Unternehmens sind im Lagebericht – allerdings in Bezug auf die Finanzberichterstattung – zu machen.

Rz. 68

Unternehmen müssen nach ESRS 2.36 die folgenden Informationen in Bezug auf das Risikomanagement- und interne Kontrollsystem bzgl. der Nachhaltigkeitsberichterstattung offenlegen:

1. Umfang, Hauptmerkmale und Bestandteile der Verfahren und Systeme für das Risikomanagement und die internen Kontrollen in Bezug auf die Nachhaltigkeitsberichterstattung,
2. den verwendeten Ansatz zur Risikobewertung, einschl. der Methode zur Priorisierung von Risiken,
3. die wichtigsten ermittelten Risiken und die Minderungsstrategien einschl. der verbundenen Kontrollen,
4. eine Beschreibung, wie das Unternehmen die Ergebnisse seiner Risikobewertung und seiner internen Kontrollen in Bezug auf das Verfahren der Nachhaltigkeitsberichterstattung in die einschlägigen internen Funktionen und Prozesse einbindet,
5. eine Beschreibung der regelmäßigen Berichterstattung über die unter Buchst. d) genannten Ergebnisse an die Verwaltungs-, Leitungs- und Aufsichtsorgane.

Praxis-Tipp

Es wird in ESRS 2.AR11 betont, dass diese Offenlegungsanforderungen sich ausschl. auf die internen Kontrollprozesse für den Prozess der Nachhaltigkeitsberichterstattung zu konzentrieren haben und keine allgemeine Darstellung dieser Systeme gefordert wird. Um ein Verständnis für diese Systeme in Bezug auf die Nachhaltigkeitsberichterstattung zu erlangen, erscheinen allgemeine Angaben zu den grundlegenden Konzepten trotzdem unerlässlich. Bei der Implementierung von internen Kontroll- und Risikomanagementsystemen in Bezug auf die Nachhaltigkeitsberichterstattung wird man ohnehin auf dieselben zentralen Bausteine zurückgreifen müssen.

Klärungsbedürftig ist allerdings, was im Detail unter einem internen Kontrollsystem bzw. Risikomanagementsystem zu verstehen ist. Mit dem Ziel, die Begrifflichkeiten internes Kontrollsystem sowie Risikomanagementsystem klar zu definieren und die einzelnen Elemente dieser Systeme aufzuzeigen, werden nachfolgend die grundlegenden Konzepte zur Ausgestaltung dieser Systeme dargestellt.

Rz. 69

§ 93 Abs. 1 S. 1 AktG beschreibt die sog. Sorgfaltspflicht der Vorstandsmitglieder, die die gesetzliche Grundlage auch für die Einrichtung von internen Kontroll- und Risikomanagementsystemen bildet. Hiernach haben Vorstandsmitglieder bei ihrer Geschäftsführungstätigkeit die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Konkretisierung, welche Aspekte i.E. unter der Sorgfalt eines Geschäftsleiters unterzuordnen sind, wird vom Gesetzgeber nicht vorgenommen, so dass die Auslegung dieser Generalklausel von der Rechtsprechung und dem Schrifttum vorgenommen werden muss.^[2] Die vom Gesetzgeber vorgenommenen Erweiterungen tragen nur bedingt zur Klarheit bei. So wird nur mit § 91 Abs. 2 AktG vom Vorstand gefordert, geeignete Maßnahmen zu t...