ESGRC

Inhaltsverzeichnis

1. ESGRC 
2. ESG (Nachhaltigkeit) 
   1. Environmental (Ökologische Nachhaltigkeit) 
   2. Social (Soziale Nachhaltigkeit) 
   3. Governance (Ökonomische Nachhaltigkeit)
3. GRC - Governance, Risk und Compliance 
   1. Governance 
   2. Compliance  
   3. Risikomanagement 
4. (ESGRC-) Managementsystem  
5. Governance- (ESGRC-) Compliance und Governance- (ESGRC-) Risikomanagement
6. Digitalisierung  
7. Digitalisiertes Integriertes ESGRC-Managementsystem als „Klammer“ um die zahlreichen „Managementsystem-Inseln“ und Unternehmensfunktionen
8. Nachhaltigkeit (ESG/CSR) = GRC![32] 

Akronym für Environmental, Social, Governance, Risk und Compliance.[1]

ESGRC 

ESGRC setzt sich aus ökologischer, sozialer und ökonomischer Nachhaltigkeit (ESG[2]) und compliance- und risikobasierter, gewissenhafter Unternehmensführung und -überwachung inkl. Interaktion mit relevanten Stakeholdern (GRC) zusammen: Ökonomische, soziale und ökologische Nachhaltigkeit (ESG)[3] ist neben Regulierung, Governance, Risk und Compliance (GRC) und Digitalisierung mit Künstlicher Intelligenz (KI)[4] ein wichtiger Transformations-Megatrend der nächsten Jahrzehnte, der das Privatleben aller Menschen, aber auch Regierungen, öffentlich-rechtliche und privatrechtliche Organisationen, sowie die grundlegend neuen Arbeitswelten wesentlich beeinflussen wird.[5]  

ESG (Nachhaltigkeit) 

ESG steht für Nachhaltigkeit[6] und könnte mit „bei Fortschritt bewahrend ausgerichtetes Entscheiden und Handeln“ oder gemäß der „Weltkommission für Umwelt und Entwicklung“ als „Entwicklung, die dem gegenwärtigen Bedarf Rechnung trägt, ohne künftigen Generationen die Möglichkeit zur Deckung ihres eigenen Bedarfs zu nehmen“ ^[7] beschrieben werden.[8] Oder, einfacher ausgedrückt (nicht nur mit Blick auf die nächsten Generationen): „Niemand sollte auf Kosten anderer leben.“  
Diese Definition ist noch wenig konkret. Eine fehlende rechtlich-verbindliche Legal-Definition und nichtssagende oder verzerrende Verwendung des Begriffs „Nachhaltigkeit“ im Sinne von „Greenwashing“, “Bluewashing” und “Whitewashing” wecken falsche Erwartungen und bergen erhebliche Risiken für Stakeholder.[9] Daher ist der Begriff „Nachhaltigkeit“ zu schärfen. 

a) Geschichte des Begriffs „Nachhaltigkeit“: Nachhaltigkeit gibt es schon lange. Nachfolgend ein paar „Meilensteine“:

• Vor rund 300 Jahren definierte Hans Carl von Carlowitz den Begriff Nachhaltigkeit für den Wald: Im Wald dürfen Bäume nur so gefällt werden, „dass es eine (…) nachhaltende Nutzung gebe“. 
• Ab 1950 wurde „nachhaltige Entwicklung“ von den Vereinten Nationen (UN) zum Schutz der Umwelt kommuniziert.
• Ab 1983 weitete die Weltkommission für Umwelt und Entwicklung der Vereinten Nationen (Brundtland-Kommission) den Begriff über den ökologischen Aspekt hinaus aus, vgl. oben.
• In diesem Zusammenhang hat sich der Begriff der “Enkelgerechtigkeit” als Synonym für Nachhaltigkeit entwickelt. Dabei wird vergessen, dass bereits jetzt auch auf gegenwärtige Generationen einzugehen ist, also generell niemand unverhältnismäßig auf Kosten anderer wirtschaften sollte. 
• Die Rio-Erklärung über Umwelt und Entwicklung der Vereinten Nationen („Erdgipfel“ 1992) unterstützte die Entwicklung des “ESG-Drei-Säulen-Modells” der Nachhaltigkeit mit einer ökologischen, ökonomischen und sozialen Dimension.[10] 
• Die Vereinten Nationen (UN) beschlossen 2016 die „17 Ziele für eine nachhaltige Entwicklung  (17 Sustainable Development Goals – SDG’s)“.
• Zu weiteren Meilensteinen zählen das Pariser Klimaabkommen, der EU Green Deal, der Aktionsplan zur Finanzierung nachhaltigen Wachstums und die Strategie zur Finanzierung einer nachhaltigen Wirtschaft („Sustainable Finance“).
• Nachhaltigkeit ist somit sehr weit zu fassen. 

In der Praxis leiten viele den Begriff aus den aktuellen Nachhaltigkeits-Berichtspflichten ab, was zu eng definiert ist: 

b) Nachhaltigkeits-Berichterstattung: Die „Non-Financial Reporting Directive“ der Europäischen Union (NFRD) mit nationaler Umsetzung über das CSR-Richtlinien-Umsetzungs-Gesetz (CSR-RUG) in § 289b HGB (alte Fassung bis 2024) verlangt seit dem Geschäftsjahr 2017 von großen kapitalmarktorientierten Unternehmen, Kreditinstituten, Finanzdienstleistungsinstituten und Versicherungsunternehmen mit mehr als 500 Beschäftigten und bestimmten Finanzkennzahlen, nicht-finanzielle Informationen in ihren Geschäftsberichten offenzulegen und Berichtsstandards (z.B. GRI oder UN Global Compact) umzusetzen.
Diese Regularien zielen darauf ab, Stake- und Shareholder wie Investoren, Gesellschafter Verbraucher, Arbeitnehmer, Medien und die Gesellschaft zu informieren, wie sich Organisationen bzgl. Umwelt-, Sozial- und Governance-Aspekten (nichtfinanzielle Informationen) verhalten.
Diese Berichtspflicht wurde durch die Corporate Sustainability Reporting Directive (CSRD) und European Sustainability Reporting Standards (ESRS) sowie durch das CSR-Umsetzungsgesetz (§§ 289 HGB ff. n.F.: 2024) ab 01.01.2025 für Geschäftsjahre ab 01.01.2024 für diese oben genannten Organisationen (kapitalmarktorientierte Unternehmen mit über 500 Beschäftigten…) abgelöst und ab 01.01.2026 für das Geschäftsjahr 2025 auf große Unternehmen mit mehr als 250 Beschäftigten, mehr als 25 Mio. Euro Bilanzsumme und mehr als 50 Mio. Euro Umsatzerlöse (zwei von diesen drei Kriterien reichen aus) oder gleichgestellte Organisationen, die wie Große Kapitalgesellschaften berichten müssen, erweitert. 
Diese Schwellenwerte in Artikel 2 der BilRi wurden rückwirkend durch die Delegierte EU Richtlinie 2023/2775 angehoben.
Bzgl. Nachhaltigkeits-Berichtspflichten sind auch noch die Sustainable Finance Disclosure Regulation (SFDR) und die im Mai 2024 von den EU-Mitgliedstaaten genehmigte European Sustainability Due Diligence Directive sowie die EU-Verordnung zur Einrichtung eines zentralen europäischen Zugangsportals für Unternehmensangaben (European Single Access Point – ESAP) relevant.[11]
Nachdem die „großen“ Unternehmen nachhaltigkeitsberichtspflichtig wurden und der Nachhaltigkeits-Bericht ebenso, wie das Lieferkettensorgfaltspflichten-Gesetz auch verpflichtet, direkte und nachgelagerte Business Partner (insbesondere Lieferanten/Supplier) auf Nachhaltigkeit zu überprüfen, gewinnt auch im kleineren Mittelstand das Thema Nachhaltigkeit und der kombinierte Nachhaltigkeits- und Geschäftsbericht an Bedeutung. 

c) Green-, Blue- und White-Washing: Die Nichteinhaltung von §§ 289 ff. HGB, sei es durch die unsachgemäße Darstellung der geforderten Aspekte oder die Verschleierung der tatsächlichen Verhältnisse in der nichtfinanziellen Erklärung, wird als „unrichtige Darstellung” nach § 331 Abs.1 Nr.1 HGB betrachtet und entsprechend sanktioniert. Auch die Nichtwiedergabe der geforderten Aspekte wird als „Ordnungswidrigkeit“ nach § 334 Abs.1 Nr.3 oder 4 HGB geahndet. Die möglichen Sanktionen reichen von Freiheitsstrafen bis hin zu Geldstrafen und Geldbußen.[12] 
Darüber hinaus stellen unzutreffende Nachhaltigkeitsangaben generell sanktionierbare Tatbestände dar. Die EU-Green Claims Directive wird Greenwashing noch strenger regulieren.

Zwischenfazit: Die ESG-Berichtspflichten betreffen also nur einen kleinen Teil des Begriffes „Nachhaltigkeit“ oder „ESG-Compliance“.   

Environmental (Ökologische Nachhaltigkeit) 

Environmental (E) steht für Ökologische Nachhaltigkeit und ist daher ein sehr weitreichender Bereich, der von A, wie Atomenergie, Altlasten, etc. bis Z wie Zukunftsszenarien u.v.m. reicht. Environmental-Compliance umfasst dabei alle externen und internen rechtlich verbindlichen Anforderungen im ökologischen Bereich, wie Umweltstrafrecht, öffentliches und privates Umweltrecht u.v.m. und auch die verpflichtenden ökologischen Nachhaltigkeits-Berichterstattungen.
Diese ökologische Nachhaltigkeitsberichtspflicht umfasst gemäß CSRD[13] und § 289 ff. HGB n.F. (2024) i.V.m. ESRS E 1 – 5 folgende Themen[14]:    

• ESRS E 1 Klimawandel,  
• ESRS E 2 Umweltverschmutzung,  
• ESRS E 3 Wasser und Meeresressourcen,  
• ESRS E 4 Biodiversität und Ökosysteme und  
• ESRS E 5 Kreislaufwirtschaft.  

 Zur ökologischen Nachhaltigkeits-Berichterstattung gehören aber auch u.a. Berichtspflichten aus dem Lieferkettensorgfaltspflichten-Gesetz (LKSG) und aus der Taxonomie-Verordnung der EU.

Taxonomie-Verordnung der EU: Die sogenannte Taxonomie-Verordnung führt bereits jetzt zu erheblichen Auswirkungen auf Unternehmen/Organisationen,[15] da CSRD-pflichtige Organisationen aufgrund der Art. 19a und 29a der EU-Bilanz-Richtlinie bzw. in Deutschland gemäß §§ 289b und § 315b HGB zugleich auch Taxonomie-berichtspflichtig sind.
Finanz-, Versicherungs-, aber auch bestimmte Nicht-Finanz-Unternehmen mussten bereits ab dem Jahr 2022 aufgrund des Delegierten Rechtsaktes zu Art. 8 der EU-Taxonomie-Verordnung zu (derzeit noch primär ökologischer) Nachhaltigkeit berichten.
Bezüglich der (ökologisch) nachhaltigkeitswirksamen Aktivitäten müssen nun auch Nicht-Finanzunternehmen berichten, welchen Anteil diese an Betriebs- („OpEx“) und Kapitalausgaben („CopEx“), aber auch am Umsatz haben.
Bisher behandelt die Taxonomie-Verordnung nur die Ökologische Taxonomie. Diesbezüglich sind wegen der Einstufung von Kernenergie und Gas als ökologisch nachhaltig bereits Klagen beim EuGH anhängig.
Eine Soziale Taxonomie gibt’s bisher nur als Entwurf und dieser wurde sofort kontrovers diskutiert.
Taxonomie im Bereich Governance existiert noch nicht mal im Entwurfsstadium.
Am 20.12.2021 veröffentlichte die Europäische Kommission lesens- und beachtenswerte „Frequently Asked Questions (FAQ)“ zu diesen Berichtspflichten.[16]

Social (Soziale Nachhaltigkeit) 

Auch Soziale Nachhaltigkeit ist bis heute nicht legal definiert. Allerdings präsentiert die Literatur eine Vielzahl diverser Begriffsbestimmungen, welche auf gemeinsame Merkmale hindeuten, weshalb „Soziale Nachhaltigkeit“ als „auf Dauer angelegtes System, das darauf abzielt, soziale Werte, wie Chancengleichheit, Gerechtigkeit und Menschenrechte sicherzustellen und zu erhalten“ definiert werden kann. 

Soziale Nachhaltigkeit wird oft zu Unrecht mit Corporate Social Responsibility (CSR[17]) gleichgestellt. Das ist nicht korrekt, weil sich Soziale Nachhaltigkeit zB. auf alle Arten von Organisationen erstreckt und von der ökonomischen und ökologischen Nachhaltigkeit als das „S“ in ESG abgrenzt, während sich Corporate Social Responsibility durch die Bezeichnung „Corporate“ auf Unternehmen bezieht und in ihrer Definition auch Elemente von Governance (G) beinhaltet: Auch Corporate Social Responsibility ist nicht legaldefiniert. 
Die Europäische Kommission hat 2011 in ihrer Publikation „EU-Strategie 2011-2014 für die soziale Verantwortung von Unternehmen (CSR), „Corporate Social Responsibility (CSR)“ als „die Verantwortung von Unternehmen für ihre Auswirkungen auf die Gesellschaft“ definiert.[18] 
Gemäß CSR-Ansatz hätten Unternehmen nicht nur die Verantwortung, Profit zu erwirtschaften, sondern auch soziale und ethische Verpflichtungen gegenüber der Gesellschaft zu erfüllen. Im Sinne einer freiwilligen[19] Selbstverpflichtung sollen sie dazu beitragen, eine nachhaltige ökonomische, ökologische und gesellschaftliche Entwicklung zu fördern, welche über die bloße Einhaltung gesetzlicher Vorschriften hinausgeht.[20]
Relevante Themen im Bereich der Corporate Social Responsibility umfassen beispielsweise Arbeitsnormen, Arbeitsbedingungen, Mitarbeiterbeziehungen, soziale Gerechtigkeit, Geschlechtergleichstellung, Menschenrechte und verantwortungsvolle Unternehmensführung[21].
CSR hat also Überschneidungen zum „S“ und zum „G“ in ESG. Soziale Nachhaltigkeit und CSR enthalten wiederum die „Teilmenge” der “Social-Compliance", also alle rechtlich verbindlichen externen und internen Anforderungen und daraus wieder den Teilbereich der Nachhaltigkeits-Berichterstattungspflichten im Bereich Sozialer Nachhaltigkeit. 
Social (S) betrifft soweit im Rahmen der CSRD oder §§ 289 ff. HGB n.F. (2024) die Themen ESRS S1 – S4: 

• ESRS S 1 Eigene Belegschaft
• ESRS S 2 Beschäftigte in der Wertschöpfungskette 
• ESRS S 3 Betroffene Gemeinschaften
• ESRS S 4 Verbraucher / Endnutzer

Eine Social-Taxonomie-Berichterstattungpflicht existiert noch nicht.

Governance (Ökonomische Nachhaltigkeit)

Governance spiegelt die „Ökonomische Nachhaltigkeit” wider. Das Governance- “G” steht auch in GRC für Governance, Risk und Compliance und erfährt daher eine besondere Bedeutung, vgl. nachfolgend unter 3. 

Governance- (Nachhaltigkeits-) Berichterstattung: Governance (das „G“ in ESG) wird von ESRS 1 und 2 und G1 Business conduct behandelt. Die Governance-Geschäftsberichtserstattung geht weiter, als in der CSRD vorgesehen. Deshalb ist auch der frühere Entwurf des ESRS G1 entfallen, um Doppelungen zu vermeiden: Gemäß §§ 289b und c HGB n.F. (2024) und dem neuen DRS 20 (2024) müssen Organisationen über die Vorgaben der ESRS-Standards hinaus noch viele weitere Governance-Themen in ihren Geschäftsberichten behandeln.
Eine Governance-Taxonomie-Berichterstattungspflicht existiert noch nicht.

GRC - Governance, Risk und Compliance 

Governance 

Das Akronym ESGRC steht für Environmental, Social, Governance, Risk und Compliance. Das „G“ für Governance ist dabei das Bindeglied zwischen ESG und GRC und erfährt daher besondere Bedeutung. 
Was „nachhaltige (ESG) Führung (Governance)“ aber konkret bedeutet, wie dies effektiv und effizient umsetzbar ist, ist zwar dezidiert reguliert (Compliance), aber weitestgehend noch unbekannt.

a) Definition von Governance: Eine Legaldefinition für Governance gibt es (noch) nicht. Damit ist der Weg frei für kreative, gute, schlechte, schwammige, nützliche und sinnbefreite Definitionen der Wissenschaft, diverser Branchen, Berater, Standards und vieles mehr. Beispielsweise: ChatGBT[22] spricht von „der Art und Weise, wie Organisationen und Institutionen gelenkt, kontrolliert und verwaltet werden“ und Gablers Wirtschaftslexikon[23] führt dies unter der Definition zu „nachhaltiger Führung“. 
Der brasilianische Code of Best Practices of Corporate Governance, 6th Edition, 2023 definiert: „Corporate Governance is a system formed by principles, rules, structures, and processes by which organizations are directed and monitored, with a view to generating sustainable value for the organization, its shareholders, and society in general. This system guides the actions of governance agents and other individuals within an organization in the search for balance among the interests of all parties, contributing positively to society and the environment.”
Manche definieren Governance mit „Unternehmensverfassung“, manche (z.B. einige Wirtschaftsprüfer) bauen ein Governance-Haus mit lediglich den vier „lines of defense“ Risiko- und Compliance-Managementsystem, Internes Kontrollsystem und Interne Revision, was etwas kurz gegriffen ist, da zur Führung von Organisationen vieles mehr gehört. Andere sagen: „Governance ist eigentlich alles...“. Oder es wird, ohne „Governance“ zu definieren, viel reguliert, wie Governance gelebt werden soll. In gewisser Weise ist diese „Definitionslücke“ problematisch, zumal „Governance“ ja häufig als das wichtigste Thema einer Organisation und ihrer Organe angesehen wird.
Aus Compliance-Sicht („was ist Pflicht und was ist freiwillig?“) könnte Governance als die „Grundsätze nachhaltiger, compliance- und risikobasierter gewissenhafter Unternehmensführung und -überwachung inklusive Interaktion mit den relevanten Stakeholdern“ übersetzt werden. Dabei haben die Organe (Geschäftsführer / Vorstand / Aufsichtsrat …) aufgrund ihrer Leitungsverantwortung als „gewissenhafte Geschäftsleiter“ unter Wahrung des Legalitätsprinzips zum einen die in umfassender Regulierung gesetzten Pflichten zu erfüllen (Compliance) und bei den verbleibenden Ermessensspielräumen unter Anwendung der Business Judgment Rule (BJR, § 93 Abs. 1 Satz 2 AktG) für die Erreichung ihrer wichtigsten Ziele zu sorgen. Diese sind bei Geschäftsleitung und Aufsichtsorgan (§ 116 AktG) die „nachhaltige Sicherung der Existenz und dadurch bedingte Wertschöpfung, Liquidität und Rentabilität der Organisation“ (entgegen der Botschaft diverser BWL-Klassiker, die noch immer die „Gewinnmaximierung“ als oberstes Ziel postulieren)[24].
Diese sanktionsbewehrte Aufgabe ist juristisch umfassend durchreguliert (Governance-Compliance) und in den aktuellen Zeiten der Transformation äußerst anspruchsvoll.
Die Organe einer privat- oder öffentlich-rechtlichen, gewinn- oder nicht gewinn-orientierten Organisation[25] haben sich zunächst im Rahmen des rechtlich z.B. in einer Satzung festgelegten Organisationszweckes (vgl. §§ 37 GmbHG, 82 AktG, etc.) zu bewegen. Erfordert nun die aufgrund der Transformation erforderliche und für die Organe zwingend zu prüfende und gegebenenfalls umzusetzende Strategieanpassung eine Änderung dieses Zweckes, so kann eine Anpassung dieses Rahmens erforderlich werden.
Auch im übrigen ist das Entscheiden und Handeln der Organe am gesetzlichen oder satzungsgemäßen Zweck und (wirtschaftlichen) Wohl (ökonomische Nachhaltigkeit) der Organisation auszurichten.

Da die Leitungs- und Aufsichtsorgane in ihren rechtlichen Rollen sich vom Inhaber des Organisationsvermögens (Gesellschafter / Anteilseigner bzw. Shareholder) unterscheiden, betreuen sie fremdes Vermögen und laufen bei Missmanagement Gefahr, zivil- und sogar strafrechtlich (z.B. wegen Untreue) zu haften. In diesem Zusammenhang ist juristisch zu klären und zu beachten, ob die Organe dem reinen Shareholder-Ansatz folgen (müssen) oder auch die Anforderungen der sonstigen Stakeholder zu berücksichtigen haben, wenn dies für die Shareholder wirtschaftlich nachteilig und ungewünscht wäre.
Sofern Maßnahmen im Bereich der Nachhaltigkeit (ESG) faktenbasiert als für den Erfolg der Organisation mitursächlich begründet werden können, ergibt sich hier keine Dilemma-Situation.
Dabei kann sogar nach BGH-Rechtsprechung (BGH, Urteil vom 10.7.2018 (II ZR 24 / 17 – „Schloss Eller“) ein wirtschaftlich unmittelbar nachteiliges Geschäft als zum Wohl der Organisation vorgenommen gelten, „wenn vernünftigerweise langfristige Vorteile zu erwarten sind“.
Nur in diesem engen Rahmen wird die Berücksichtigung von Gemeinwohl-Belangen, wie Nachhaltigkeit, Soziale Verantwortung, etc. bei Entscheidungen und Handlungen der Organe zulässig sein. Mit anderen Worten: Maßnahmen mit finanziellem Aufwand im Bereich des Gemeinwohls, wie Nachhaltigkeit, die nicht vorgenommen werden müssen und die auch nicht langfristig für die Organisation wirtschaftlich vorteilhaft sind (z.B. durch wertsteigernde Reputation oder erhöhte Arbeitgeberattraktivität in Zeiten des Fachkräftemangels), müssen unterbleiben.
Umso wichtiger ist es für Organe, sich bei Investitionen stets Gedanken über die zu erzielende „Wertschöpfung“ zu machen und diese auch zu dokumentieren, da im Rahmen der Business Judgment Rule die Organe die Beweislast trifft.

Risikobasiertheit, Angemessenheit und Wirksamkeit: Im übrigen ist bei allem, was Governance umfasst, risikobasiert[26] vorzugehen. Das heißt, auf Basis angemessener Risikobewertung sind die wichtigen Dinge priorisiert umzusetzen. Dabei dulden Gefahr für Leib und Leben, Gefahr von Krisen oder für die Risikotragfähigkeit der Organisation durch erhebliche finanzielle Einbußen, die Nichterreichung strategischer Ziele, erhebliche Reputationsschäden, etc., keinen Verzug.
Im übrigen muss Governance bzw. ein Governance- (ESGRC-) Managementsystem zum einen angemessen, also geeignet, die Pflichtziele zu erreichen, sein. 
Zum anderen muss es auch wirksam, also effektiv sein bzw. „gelebt werden“, um pflichtgemäß und enthaftend zu wirken.

Abgrenzung zwischen Governance und Management: Die Abgrenzung zwischen „Governance“ und „Management“ erscheint ebenfalls schwierig, zumal „Management“ ja nicht nur operativ, sondern auch strategisch sein sollte. Die Differenzierung zwischen Governance und Management in der DIN ISO 37000:2024 klingt sehr generisch, ist also für die tägliche Arbeit von Organen und Führungskräften u.U. eher verwirrend, als für Klarheit sorgend: Zitat aus DIN ISO 37000 Normkapitel 4.2.3 Governance und Management:

„4.2.3 Governance und Management
„Governance“ und „Management“ sind unterscheidbare, notwendige und komplementäre Tätigkeiten die miteinander in Wechselwirkung stehen und sich gegenseitig beeinflussen. Governance umfasst die Rechenschaftspflicht für die Zweckerfüllung der Organisation innerhalb der für die Organisation festgelegten Parameter während es beim Management um die Erfüllung der zugehörigen Ziele durch Treffen von Entscheidungen innerhalb dieser Parameter geht. Das oberste Organ sollte die Eindeutigkeit der Rollen und Verantwortlichkeiten aller Beteiligten sicherstellen und die Personen, an die es delegiert, zur Rechenschaft ziehen.
Der Grad der Trennung zwischen den Pflichten des obersten Organs und des Managements unterscheidet sich je nach den Anforderungen der Organisation und den Umständen. Unter bestimmten Umständen, beispielsweise bei einem geschäftsführenden Mitglied des obersten Organs, kann es erforderlich sein, dass eine Person sowohl Governance- als auch Management-Verantwortlichkeiten übernimmt. In solchen Fällen ist es wichtig, dass diese Person unterscheiden kann, wann sie die jeweiligen Verantwortlichkeiten wahrnimmt, und sich entsprechend verhält.
Dieses Dokument enthält einen Leitfaden zur Governance von Organisationen und ergänzt Managementstandards. Dies geschieht durch Festlegung der Rolle und Funktion der Governance für die Organisation und Anleitung hierzu.“

Sinvoller erscheint für die Abgrenzung der Begriffe Governance und Management vielmehr die Klärung, ob das monoistische („Board“) oder dualistische („Leitung und Aufsichtsorgan“) Modell von Organisationen / Unternehmen untersucht wird.[27] Bei letzterem könnte die Abgrenzung in den zu beschreibenden Rollen, Aufgaben, Rechten und Pflichten der diversen „Gremien“ gesehen werden: Bei „Governance“ stehen Gesellschafter, Leitung, Aufsichtsgremium und Stakeholder im Fokus, bei „Management“ nur die Leitung. 

Die von “Governance” umfassten Themen: Wichtige Themen, um die sich „Governance“ gewissenhaft zu kümmern hat, werden in der DIN ISO 37000:2024 dargestellt. 
Aus Sicht des „gewissenhaften Geschäftsführers, Vorstands, Kaufmannes“(„Ordentlicher Kaufmann“) kümmert sich Governance über die Organe der Organisation compliance- und risikobasiert um alle relevanten Themen, um Schaden von Organisationen und Dritten abzuhalten (§§ 130, 30, 9 OWiG, 43 GmbHG, 93,116 AktG, 347 HGB, …) und zugleich Chancen angemessen umzusetzen. 

Bild in Originalgröße zeigen

Bild 1: Das „ESGRC-Haus“: Governance (ESGRC) als „Dach“ für Nachhaltigkeit (ESG) und Management mit „lines of defense“ 

Compliance  

Compliance bedeutet pflichtgemäßes Verhalten in Hinblick auf allgemein verbindliche Regeln (Gesetze, Rechtsprechung), aber auch in Hinblick auf für verbindlich erklärte (interne) Vorgaben (z. B. Regelungen aus dem „Code of Conduct“ (unternehmensspezifische Verhaltensregelungen) oder Anstellungsvertrag.[28] 

Risikomanagement 

Risikomanagement beschäftigt sich mit Unsicherheiten bei Entscheidungen und der Zielerreichung. (Unternehmerische) Tätigkeiten und Ziele sind immer mit Unsicherheiten verbunden. Aufgabe des Risikomanagements ist es, die Chancen und Risiken systematisch zu identifizieren und sie hinsichtlich potenzieller Auswirkungen auf das Unternehmen zu bewerten, (quantifizieren und anzugeben) und zu steuern. 
Der Begriff Risiko wird als Streuung um einen Erwartungswert definiert. Nach dieser Definition werden sowohl positive Abweichungen (Chancen) als auch negative Abweichungen (Gefahren) berücksichtigt.[29] 

Zwischenfazit: Governance, Risk, Compliance und Nachhaltigkeit „zusammen“, also „ESGRC“, ist unter Umständen etwas anderes als die Summe der vier Komponenten. Eine Legal-Definition gibt es hier auch nicht. 
ESGRC könnte mit „Integrierte, nachhaltige, compliance- und risikobasierte gewissenhafte Unternehmensführung und -überwachung inkl. Interaktion relevanten Stakeholdern“ übersetzt werden. 

(ESGRC-) Managementsystem  

Das ESGRC-Managementsystem ist vereinfacht dargestellt die Aufbau- und Ablauforganisation, bestehend aus Komponenten (z.B. Rollen, Prozessabläufe, Delegationen und Interaktionen etc.), mit dem Zweck, eine Organisation bei Entscheidungen, Zielsetzung und Planung, Umsetzung sowie Steuerung und Überwachung zur Erreichung zwingender und fakultativ gesetzter Ziele im Bereich Environmental, Social, Governance, Risk und Compliance (ESGRC) zu unterstützen. 

Governance- (ESGRC-) Compliance und Governance- (ESGRC-) Risikomanagement

Governance-Compliance behandelt alle – größtenteils sanktionsbewehrten – verpflichtenden bzw. zwingenden Anforderungen aus dem Bereich Governance, also der nachhaltigen compliance- und risikobasierten, gewissenhaften Führung und Überwachung von Organisationen inkl. der Interaktion mit relevanten Stakeholdern. 
Governance-Compliance-Risiken sind – neben Chancen – die Gefahren, die sich aus der Nichtbeachtung der zuvor beschriebenen Anforderungen ergeben. Dabei dürften nahezu 90 % aller Governance-Risiken zugleich Governance-Compliance-Risiken darstellen, zumal der Bereich Governance größtenteils juristisch infiltriert und durchreguliert ist. 

Beispiel „Kupfer-Fall“: Laut Medienmeldungen mussten drei von vier Vorständen „gehen“, weil im Konzern tödliche Arbeitsunfälle und ein millionenschwerer Kupfer-Diebstahl und -Betrug nicht durch ein angemessenes Kontrollsystem verhindert oder früher aufgedeckt werden konnten.[30]

Digitalisierung  

Digitalisierung heißt, zunächst zu prüfen, ob das bisherige Geschäftsmodell ganz oder teilweise durch ein digitales Modell (z. B. Ersatz des stationären Handels durch Online-Handel über Plattformlösung) ersetzt oder ergänzt wird. 
Sofern die bisherigen Prozesse bestehen bleiben, ergibt sich eine verstärkt „geistige Leistung“ (intellectual property / digital assets), die aus Wissen und Informationen in Form von Prozessen mit zugehörigen Komponenten (Rollen, Ziele, Ressourcen), IT-Systemen und IT-Tools, Algorithmen inkl. Künstlicher Intelligenz[31], Robotern und an vielen verbleibenden Stellen Menschen mit angemessenen Kompetenzen und Einstellungen besteht. 
Diese unterschiedlichen Komponenten eines Unternehmens werden, sofern sinnvoll, auf die digitale Transformation ausgerichtet.  
Die meisten unternehmerischen Aktivitäten sind als Prozesse so zu modellieren, dass sie die diversen Anforderungen aus Compliance, Technik, Betriebswirtschaft, Informationssicherheit, Risikomanagement, Nachhaltigkeit etc. erfüllen und dafür sorgen, die gesetzten Ziele zu erreichen. Zugleich ist zu analysieren, welche Aktivitäten künftig noch von Menschen oder (teil-) automatisiert durch Anwendungen, IT-Systeme, Roboter, Algorithmen oder sonstigen Tools aus den Bereichen Digitalisierung und Artificial Intelligence (AI) ersetzt bzw. unterstützt werden. 

Digitalisiertes Integriertes ESGRC-Managementsystem als „Klammer“ um die zahlreichen „Managementsystem-Inseln“ und Unternehmensfunktionen

Das Governance-(ESGRC-)Managementsystem kann – ebenso wie ein Umwelt-, Arbeitssicherheits-, Risiko-, Qualitäts-, bzw. ein anderes -Managementsystem – grundsätzlich aufgrund der entsprechenden Erwähnung in Standards als isoliertes Inselsystem implementiert werden. 
Es kann aber auch ein führendes Integriertes Managementsystem (IMS) verschiedene Bereiche wie Compliancemanagement, Personalmanagement, Qualitätsmanagement, Risikomanagement, etc. verbinden. 
Ein Digitalisiertes Integriertes ESGRC-Managementsystem ist ein Managementsystem, das mehrere Unternehmensfunktionen bzw. Prozesse (z. B. Compliance-, Nachhaltigkeits-, Risiko-, Qualitäts-, Umwelt-, Arbeitssicherheits- und Personalmanagement) digitalisiert und zu einem „Unternehmensführungs-System“ integriert. 
Da die Einhaltung der Grundsätze ordnungsgemäßer Unternehmensführung (GoU) und -überwachung (GoÜ) – Governance – die Aufgaben der Geschäftsleitung umfassend beinhaltet, kann Governance, angereichert mit den modernen Methoden von Nachhaltigkeit, Risiko- und Compliancemanagement, als „ESGRC-Funktion“ eine effektive und effiziente Klammerwirkung um sämtliche Unternehmensfunktionen erzielen. 

Nachhaltigkeit (ESG/CSR) = GRC![32] 

Vgl. DIN ISO 37000:2024 Normkapitel 4.2 Integrierte Governance.

Egal, ob privatwirtschaftliche Unternehmen oder die öffentlich-rechtliche Hand (Regierungen, Kommunen, kommunale Unternehmen, Hochschulen, Parteien etc.), profitorientierte oder nicht-profitorientierte Organisationen, alle setzen sich derzeit mit den Themen „Neue Arbeitswelten, Nachhaltigkeit, Regulierung und Compliance, Risikomanagement, Digitalisierung sowie Informationssicherheit“ auseinander.
Vergleicht man nun die – wenig bekannten – konkreten und vor allem messbaren (!) Anforderungen aus gesetzlichen Regelungen und Standards, so zeigen sich auffällig viele Redundanzen von Governance bzw. GRC und Nachhaltigkeit (ESG) sowie Compliance. Dies erleichtert und reduziert vor allem den Aufwand bei der Einführung und der operativen Umsetzung eines Compliance- bzw. GRC- oder Nachhaltigkeits- und Risiko-Managementsystems enorm. 
Jede Komponente aus Governance bzw. GRC (z. B. Compliance-, Qualitäts-, Risiko- oder Personalmanagement) stellt bereits zugleich eine wesentliche Komponente von Nachhaltigkeit dar. 

Hinweis: Auch die ISO wird sich künftig mit Nachhaltigkeit/ESG beschäftigen: Im Oktober 2021 fand das erste Treffen der vom ISO Technical Management Board (ISO/TMB) gegründeten ISO Strategic Advisory Group on Environmental, Social, Governance (ESG) Ecosystem statt. Daneben werden ISO-Standards für ein SDG-Managementsystem (ISO 53001) und ESG- Berichterstattung (ISO 37010 ESG-Disclosure) erarbeitet. 

Bild in Originalgröße zeigen