COSO: Nichtfinanzieller Bereich
Passende Arbeitshilfen
Das COSO-Rahmenwerk
COSO soll vor allem die finanzielle Berichterstattung durch gute Unternehmensführung, ethisches Handeln und wirksame interne Kontrollen verbessern. Seit der Veröffentlichung des «Internal Control – Integrated Framework» im Jahr 1992 hat sich das Rahmenwerk als wohl bekanntestes etabliert. Seit der letzten Überarbeitung lässt es sich nun auch auf Bereiche ausserhalb der klassischen Finanzinformationen anwenden.
Diese nichtfinanzielle Berichterstattung umfasst operative Themen wie beispielsweise die Corporate Social Responsibility. Unternehmen werden zunehmend daran gemessen und messen sich selbst daran, wie erfolgreich sie die Ziele einer nachhaltigen Entwicklung verfolgen. Dazu bereiten sie Informationen über ihren sozialen, ökonomischen und steuerlichen Einfluss sowie über ihre Umweltbelastung auf und stellen diese interessierten Dialoggruppen zur Verfügung.
Das COSO-Rahmenwerk bietet eine umfassende Grundlage, auf der ein Unternehmen seine internen Kontrollsysteme für die nichtfinanzielle Berichterstattung erarbeiten und einführen oder bestehende Kontrollen erweitern und verbessern kann. So wird es den steigenden Qualitätsansprüchen der internen und externen Anspruchsgruppen auch in diesen Bereichen gerecht.
Passende Produkt-Empfehlungen
Die Anwendung von COSO für die nichtfinanzielle Berichterstattung
Die 17 COSO-Prinzipien sind in fünf Hauptgruppen gegliedert: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachungsaktivitäten. Die Anwendung dieser Prinzipien für die nichtfinanzielle Berichterstattung kann in der Praxis eine grosse Herausforderung darstellen. Inwiefern zeigen wir nachfolgend am Beispiel der Corporate Social Responsibility.
Abbildung: Die 17 COSO-Prinzipien
Kontrollumfeld
Das Kontrollumfeld bildet das Fundament eines intakten internen Kontrollsystems. Es legt unter anderem den «Tone at the Top» fest, beeinflusst das Kontrollbewusstsein und damit auch intrinsische Faktoren wie ethische Werte, Integrität oder die Kompetenz der in die Berichterstattung involvierten Mitarbeitenden. Wie der Verwaltungsrat (VR) und die Geschäftsleitung (GL) das interne Kontrollsystem ausgestalten, beeinflusst dessen Definition und Implementierung wesentlich.
Unsere Erfahrung zeigt, dass VR und GL die nichtfinanzielle Berichterstattung nicht oder nur ungenügend unterstützen. Entsprechend ist nur ein unvollständiges Rahmenwerk für die Berichterstattung zur Corporate Social Responsibility vorhanden; die Organisation, Prozesse und Kontrollen sind nicht so ausgereift wie bei der finanziellen Berichterstattung. Häufig fehlen Anreizsysteme für die Mitarbeitenden, was sich negativ auf die Qualität der ausgewiesenen Informationen auswirkt
Risikobeurteilung
Nach COSO muss ein Unternehmen seine relevanten Risiken aus der nichtfinanziellen Berichterstattung analog zur finanziellen in einem systematischen und kontinuierlichen Prozess identifizieren, analysieren und bewerten.
In der Praxis ist die Risikobeurteilung und -steuerung für den Bereich Corporate Soical Responsibility jedoch meist nicht in die unternehmensweiten Prozesse eingebunden und entsprechend informell ausgeprägt oder gar nicht vorhanden. Zudem haben die verantwortlichen Mitarbeitenden erfahrungsgemäss wenig oder keinen direkten Bezug zur Risikobeurteilung und -steuerung und ihr Risikobewusstsein im Kontext der Berichterstattung zur Corporate Social Responsibility ist beschränkt. Denn solche Risiken sind nur schwer erfass- und messbar. Eine direkte finanzielle Auswirkung besteht nicht, da es sich meist um Reputationsrisiken handelt.
Kontrollaktivitäten
Gemäss COSO müssen Prozesse und Kontrollen definiert und implementiert sein und konsequent durchgeführt sowie dokumentiert werden. Auf diese Weise kann das Unternehmen sicherstellen, dass es die operativen Ziele seiner Kontrollen erreicht und die im Risk Assessment identifizierten Schlüsselrisiken angeht.
Die Praxis zeigt jedoch, dass weder die Prozesse noch die Kontrollen durchgeführt werden, weil verbindliche Vorgaben durch den VR und die GL fehlen und keine Identifikation von Risiken für die Berichterstattung zur Corporate Social Responsibility vorliegt. Technische Mitarbeitende in einer Produktionsgesellschaft wissen beispielsweise nicht, dass die Angaben zum lokalen Wasserverbrauch vollständig und richtig erfolgen müssen und dass Abweichungen die Genauigkeit der nichtfinanziellen Berichterstattung direkt beeinflussen können. Diese Abhängigkeit von personellen Ressourcen anstelle von systemunterstützten Prozessen führt zudem zu einer schwankenden, vom zuständigen Mitarbeitenden abhängigen Qualität der erfassten Informationen.
Information und Kommunikation
Mit der nichtfinanziellen Berichterstattung kann ein Unternehmen geschäftsrelevante Entscheidungen treffen und internen sowie externen Stakeholdern wichtige Informationen zukommen lassen. Dies setzt voraus, dass die relevanten Informationen vollständig, richtig und zeitnah an die zuständigen Kontrollverantwortlichen kommuniziert werden.
Unsere Erfahrung zeigt, dass aufgrund informeller Prozesse im Bereich Corporate Social Responsibility die Kommunikation oft nicht sichergestellt ist und die involvierten Mitarbeitenden den Radius ihrer Arbeit teilweise nicht ganz erfassen. Die bereits erwähnten technischen Mitarbeitenden in der Produktionsgesellschaft sind sich meist nicht bewusst, dass sie für das umfassende Kontrollsystem zentral sind. Sie sehen ihre Aufgabe der Erfassung von Daten eher als Zusatzbelastung, was sich entsprechend negativ auf die Datenqualität auswirkt.
Überwachungsaktivitäten
Ein Unternehmen sollte sein internes Kontrollsystem regelmässig überwachen. So kann es sicherstellen, dass die Prozesse und Kontrollen greifen. Diese Überwachungsaufgabe kann beispielsweise die Linienorganisation, die interne Revision oder auch eine externe Prüfungsgesellschaft wahrnehmen.
Die nichtfinanzielle Berichterstattung – wie diejenige im Bereich der Corporate Social Responsibility – wird im Gegensatz zur finanziellen oft stiefmütterlich behandelt. Gerade die zuständigen Vorgesetzten nehmen Kontrollaktivitäten häufig nur informell wahr und die interne Revision beschäftigt sich meist nur punktuell mit dem Thema. Mangels gesetzlicher und regulatorischer Vorgaben ist ein Unternehmen nicht verpflichtet, eine regelmässige Prüfung seiner nichtfinanziellen Berichterstattung durchzuführen.
Nichtfinanzinformationen als Vorteil nutzen
Die nichtfinanzielle Berichterstattung gewinnt zunehmend an Bedeutung. Anspruchsgruppen treffen Investitionsentscheidungen längst nicht mehr ausschliesslich aufgrund von Finanzinformationen. Sie ziehen vermehrt auch das nachhaltige Engagement eines Unternehmens in ihre Entscheidungsfindung ein. Entsprechend sollten die Unternehmen der nichtfinanziellen Berichterstattung ebenso viel Bedeutung beimessen wie der finanziellen Berichterstattung. COSO als international anerkannter Standard geht ihnen dafür als praktisches Instrument zur Hand.
Quelle: Dieser Beitrag stammt aus dem Disclose - Update, PwC.