Von einem Risk & Intelligence Analyst
Viele Unternehmen verorten die Corporate Sustainability Reporting Directive (CSRD) noch immer dort, wo sie formal greift: bei großen, berichtspflichtigen Unternehmen und deren Nachhaltigkeitsberichten. Diese Perspektive ist verständlich – aber unvollständig.
Denn CSRD wirkt nicht isoliert auf den Bericht selbst. Sie zwingt Unternehmen dazu, CSRD Compliance-Risiken in der Wertschöpfungskette systematisch zu betrachten – also Risiken, Wirkungen und Governance-Strukturen entlang aller vor- und nachgelagerten Aktivitäten. Und genau hier entstehen neue, oft unterschätzte Fallstricke.
Berichten heißt erklären – auch ausgelagerte Prozesse
CSRD-pflichtige Unternehmen müssen künftig nicht nur Kennzahlen liefern, sondern plausible Erklärungen: Wie passen veröffentlichte Aussagen zu Kultur, Fairness, Governance oder Verantwortung zu den tatsächlich gelebten Prozessen?
Diese Erklärungspflicht endet nicht an der Unternehmensgrenze. Überall dort, wo Prozesse ausgelagert sind – etwa an externe Dienstleister – wird deren Verhalten Teil der Risiko- und Wirkungsbetrachtung. Nicht, weil diese Akteure selbst berichtspflichtig wären, sondern weil sie im Namen des Unternehmens handeln.
Die stille Verschiebung: Von Lieferanten zu Governance-Risiken (CSRD)
In der Praxis führt das zu einer leisen, aber wirksamen Verschiebung. Externe Partner werden nicht mehr nur nach Preis oder Effizienz beurteilt, sondern danach, ob ihr Verhalten anschlussfähig an das eigene Risiko- und Governance-Profil ist. Genau hier entstehen Governance-Risiken unter CSRD, insbesondere bei ausgelagerten Prozessen und externen Dienstleistern.
CSRD wirkt hier nicht über direkte Sanktionen, sondern über Konsistenzanforderungen: Wenn Außenkommunikation und ausgelagerte Praxis nicht zusammenpassen, entsteht ein Erklärungsproblem – gegenüber Wirtschaftsprüfern, Investoren oder Aufsichtsgremien.
Typische CSRD-Risiken in Wertschöpfungskette und Lieferkette
Viele CSRD-Risiken in der Lieferkette entstehen nicht durch klassische Regelverstöße, sondern durch strukturelle Unschärfen in Governance, Steuerung und Verantwortlichkeiten:
- fehlende Transparenz über ausgelagerte Rollen und Entscheidungsprozesse
- unklare Zuständigkeiten zwischen internen Funktionen und externen Partnern
- öffentlich sichtbares Verhalten von Dienstleistern, das im Widerspruch zu berichteten Aussagen steht
Solche Inkonsistenzen werden unter CSRD nicht automatisch sanktioniert – aber sie fallen auf. Und was auffällt, wird bewertet.
Warum auch nicht berichtspflichtige Unternehmen betroffen sind
Für nicht berichtspflichtige Unternehmen bedeutet das: Auch ohne eigene Berichtspflicht können sie faktisch relevant werden, sobald sie Teil der Wertschöpfungskette eines CSRD-pflichtigen Unternehmens sind.
Die entscheidende Frage lautet dann nicht mehr: „Muss ich berichten?“ – sondern: „Kann mein Verhalten in die Risikologik eines berichtspflichtigen Unternehmens integriert und vertreten werden?“
Wer diese Anschlussfähigkeit nicht bietet, wird nicht öffentlich kritisiert, sondern still ersetzt. CSRD wirkt damit weniger als klassische Regulierung, sondern als Filtermechanismus in der Auswahl von Partnern und Dienstleistern.
Häufige Fragen zur CSRD-Risikoanalyse in der Wertschöpfungskette
Welche Risiken entstehen durch CSRD in der Wertschöpfungskette?
CSRD verschärft den Blick auf Inkonsistenzen zwischen veröffentlichten Aussagen und gelebter Praxis. Risiken entstehen insbesondere dort, wo externe Dienstleister oder ausgelagerte Prozesse nicht klar gesteuert, dokumentiert oder erklärbar sind.
Sind Dienstleister von CSRD betroffen?
Externe Dienstleister sind selbst nicht CSRD-berichtspflichtig. Dennoch werden sie relevant, sobald ihr Verhalten Teil der Risiko- und Governance-Bewertung eines CSRD-pflichtigen Unternehmens wird. In diesem Sinne entstehen CSRD-Compliance-Risiken bei Dienstleistern, auch ohne eigene Berichtspflicht.
Welche CSRD-Risiken bestehen für nicht berichtspflichtige Unternehmen?
Nicht berichtspflichtige Unternehmen können faktisch betroffen sein, wenn sie Teil der Wertschöpfungskette eines berichtspflichtigen Unternehmens sind. Entscheidend ist nicht die eigene Berichtspflicht, sondern die Anschlussfähigkeit an die CSRD-Risikoanalyse des Auftraggebers.
Welche Governance-Risiken adressiert CSRD besonders?
CSRD legt den Fokus auf Steuerbarkeit, Verantwortlichkeiten und Transparenz. Governance-Risiken entstehen dort, wo ausgelagerte Rollen, externe Dienstleister oder Lieferanten nicht klar in Entscheidungs- und Kontrollstrukturen eingebunden sind.
Weiterführende Hinweise & Einordnung
Für Leserinnen und Leser, die die regulatorische Logik und den formalen Rahmen hinter den beschriebenen Zusammenhängen vertiefen möchten, sind insbesondere folgende Quellen relevant:
- EXECUTIVE Briefings: Warum COMPLIANCE operativ scheitert
Das unterschätzte Risiko externer Recruiter im CSRD-Kontext – speziell für Geschäftsführung, Vorstand, Entscheider. - CSRD, ESG, Compliance & DSGVO: Wenn Unternehmenskultur zum Prüfpunkt wird
In vielen Unternehmen war die Kultur lange eine interne Angelegenheit – eine Sache von Stimmung, Kommunikation und individuellen Charakteren. Doch das ändert sich jetzt radikal … - Interne Bewerbung DSGVO: Muss der Vorgesetzte informiert werden?
Interne Bewerbung DSGVO: Darf mein Chef überhaupt erfahren, dass ich mich intern beworben habe? Für viele Mitarbeiterinnen und Mitarbeiter ist das eine entscheidende Frage. - Wenn Gossip zur Compliance-Falle wird: Was ein Bewerber-Beispiel über Unternehmenskultur und DSGVO verrät
Gossip in der Kaffeeküche – wann Kollegen-Tratsch zum handfesten Compliance-Risiko wird.
Die genannten Quellen liefern den formalen Rahmen. Die operative Herausforderung beginnt dort, wo diese Vorgaben in bestehende Organisations-, Steuerungs- und Governance-Strukturen übersetzt werden müssen.
Fazit
CSRD verschiebt den Fokus von der reinen Berichtspflicht hin zu einer umfassenden CSRD-Risikoanalyse entlang der Wertschöpfungskette. Damit rücken auch ESG-Risiken in der Wertschöpfungskette, externe Dienstleister und ausgelagerte Prozesse in den Fokus von Compliance und Governance. Unternehmen, die diese Logik frühzeitig verstehen, können gezielt steuern. Unternehmen, die sie unterschätzen, laufen Gefahr, erst dann zu reagieren, wenn Entscheidungen bereits gefallen sind.
Wie diese Mechanik im Detail funktioniert – und warum insbesondere ausgelagerte Funktionen wie Recruiting zu unterschätzten Governance- und Compliance-Risiken werden können – analysiert das zugehörige Executive Briefing.