Duurzaamheid en de auditor

Duurzaamheid is hot, voor organisaties en dus ook voor auditors. Duurzaamheid omvat vele aspecten die van invloed zijn op de bedrijfsvoering én strategie.¹ Welke handvatten biedt het IIA om als internal auditor hier van toegevoegde waarde te zijn? Een overzicht.

Zowel de regelgeving als de (impliciete) verwachtingen van de diverse stakeholders ten aanzien van duurzaamheid nemen toe. De toegenomen regelgeving en de verwachtingen van stakeholders­ maken ‘het managen’ van duurzaamheid belangrijker. Het kan leiden tot (financiële, strategische en reputatie)-risico’s, maar óók tot kansen voor nieuwe business(modellen). Richard Chambers noemt in zijn eerste blog van 2020 (Five Internal Audit Resolutions for 2020 and Beyond) het beoordelen van de duurzaamheidsrisico’s en de bespreking daarvan met management en bestuur, een van de vijf speerpunten voor 2020.

Rapporten IIA

Vanuit het IIA zijn diverse rapporten gepubliceerd die duurzaamheid adresseren. In de eerste plaats de Risk in Focus-rapporten, waarin de (volgens CAE’s) belangrijkste risico’s voor het komende jaar worden beschreven, en die het belang van dit onderwerp benoemen. Daarnaast zijn er meer specifieke publicaties die ingaan op de mogelijke betekenis van duurzaamheid voor het auditprogramma van de auditor. Drie belangrijke rapporten, met concrete handvatten, zijn:

• De Practice Guide (PG) Evaluating Corporate Social Responsibility/Sustainable Development (2010). Deze geeft een overall beeld van de mogelijke rollen en onderzoeksobjecten. Globaal kan een daarbij onderscheid worden gemaakt tussen de rol in de rapportages over duurzaamheid en de rol in het managen daarvan.
• Het door de IIA Research Foundation uitgegeven boek Sustainability and Internal Auditing van Hans Nieuwlands (2006), dat vooral aandacht besteedt aan het (auditen van het) ‘sustainable management system’.
• Het rapport Global Perspectives and Insights. Beyond the Numbers – IA’s Role in Nonfinancial Reporting (2015), dat met name ingaat op de rol in rapportages.

Deze publicaties zijn te vinden op de website van IIA Global en al enige jaren oud, maar bieden nog steeds een bruikbaar overzicht van de mogelijke rollen, onderzoeken en aandachts-punten daarbij. Hierna worden de genoemde handvatten nader toegelicht.

Interne auditors moeten ook kijken naar de strategische implicaties en de beheersing van alternatieve technologieën, bedrijfsprocessen, services en producten

Duurzaamheid als hot topic

In de laatste twee Risk in Focus (RiF)-rapporten komt duurzaamheid terug in de volgende ‘hot topics’:

• 2019: Sustainability: the environment & social ethics;
• 2020: Governance, ethics & culture, en Climate change: risk vs opportunity.

In RiF2019 lag de focus op de rol van de IAF ten aanzien van non-financial (of integrated) reporting en compliance. In RiF2020 wordt de rol verbreed. Die verbreding kent twee aspecten. In de eerste plaats wordt het niet meer alleen als risico gezien, maar wordt ook expliciet gewezen op de kansen en mogelijkheden die een en ander biedt. Interne auditors moeten ook kijken naar de strategische implicaties en de beheersing van mogelijke kansen van alternatieve technologieën, bedrijfsprocessen, services en producten.

In de tweede plaats is duurzaamheid of CSR een integraal onderdeel geworden van de governance. Governance, ethics & culture zijn nauw verwante onderwerpen geworden, die alle betrekking hebben op de ‘voorbeeldorganisatie’, die zorgdraagt voor en schade voorkomt aan alle belanghebbenden – individuen, de samenleving en het milieu. De traditionele visie die CSR eerder zag als bedreiging van de corporate governance gericht op winstmaximalisatie voor de aandeelhouders, wordt steeds meer verlaten. In plaats van alleen de waarde voor aandeelhouders te maximaliseren, wordt van bedrijven verwacht dat ze de waarde voor de bredere stakeholdergemeenschap maximaliseren. Dienovereenkomstig wordt het kernprincipe van duurzaamheid op lange termijn steeds meer verweven in codes en wetgeving voor corporate governance. De Nederlandse Code spreekt over ‘waardecreatie op lange termijn’. In augustus 2019 lieten de leiders van tweehonderd grote Amerikaanse bedrijven weten zich bij hun beslissingen niet primair meer te laten leiden door het aandeelhoudersbelang; zij moeten evenzeer oog hebben voor hun medewerkers en de omgeving waarin ze actief zijn.

In de Risk in Focus-rapporten wordt ook kort ingegaan op de betekenis voor internal audit. Dat wordt echter uitgebreider besproken in de andere genoemde rapporten.

De rol van de IA, een overview
De PG Evaluating Corporate Social Responsibility/ Sustainable Development beschrijft:

• De risico’s, of eigenlijk de risicogebieden en de impact als de organisatie het op dit terrein niet goed doet. Deze risico’s dienen in een risicoanalyse nog te worden gespecificeerd in de concreet mogelijke gebeurtenissen (bedreigingen) die kunnen optreden en dus beheerst dienen te worden.
• De organisatieactiviteiten op dit gebied inclusief de rapportage-eisen.
• Een breed overzicht van de mogelijke aanpakken en rollen van de internal auditor. Dat gaat veel breder dan het ‘traditionele’ beoordelen van de betrouwbaarheid.
• Aandachtspunten bij het auditen van CSR, zijnde de bekende overwegingen die bij alle audits een rol spelen, zoals de onafhankelijkheid en objectiviteit en de kennis en capaciteit.
• Overwegingen bij de ontwikkeling van werkprogramma’s; vragen die in de voorbereiding van de audit dienen te worden gesteld als hulpmiddel om de scope en relevante onderzoeksaspecten te bepalen.
• In de appendices A en B worden de mogelijke auditvragen per element van CSR respectievelijk per stakeholdergroep nader uitgewerkt. Deze aspecten worden geduid als de relevante aspecten om ‘compliance with laws, regulations and contractual obligations’ te managen, maar deze kunnen evenzeer worden gebruikt als het gaat om het waarborgen dat de meer ambitieuze organisatiedoelen op dit gebied worden gehaald.

De PG geeft zoals gezegd een overview. Inmiddels zijn voor de diverse soorten audits ook andere handvatten aanwezig. Globaal kan daarbij een onderscheid worden gemaakt tussen audits naar de (non-financial of integrated) reporting en naar de beheersing van duurzaamheidsdoelen, ofwel de waarborgen dat de organisatie haar doelen zal realiseren en zal werken conform de sociale waarden. Bij beide kan ook aandacht worden besteed aan de vraag of de organisatie compliant is.

IA en het beheerssysteem
In Sustainability and Internal Auditing:

Naast toelichting wordt een van het begrip en het meten van de performance op dit gebied, beschreven hoe dit in de organisatie te implementeren. Daarbij wordt gesteund op het PDCA-model. Dat vormt tevens de basis voor de beschrijving van de rol van IA in de implementatie en het auditen van het managementsysteem. Ten behoeve van het laatste wordt een uitgewerkt auditprogramma beschreven.

Een ander rapport met bruikbare handvatten voor (het auditen van) de beheersing is Enterprise Risk Management, Applying enterprise risk management to environmental, social and governance-related risks.

COSO en de World Business Council for Sustainable Development (WBCSD) hebben, gegeven de specifieke aspecten van ESG-gerelateerde risico’s, het COSO ERM-model toegespitst op ESH-risico’s en -aspecten.²

Ten slotte wil ik in dit kader nog graag wijzen op ISO 26000, de internationale richtlijn voor maatschappelijk verantwoord ondernemen (mvo). ISO 26000 geeft antwoord op het wat en hoe van mvo, maar ook, en voor de auditor belangrijker, handvatten voor implementatie van mvo in een organisatie. ISO 26000 is weliswaar een richtlijn en geen norm (en dus ook niet bedoeld voor certificering), maar de richtlijnen geven de auditor wel handvatten voor het opzetten van een audit naar de kwaliteit van beheersing.

IA en non-financial (integrated) reporting
Voor de nadere duiding van de mogelijke rol van internal audit in het rapporteren over duurzaamheidsdoelen is in 2015 de genoemde Global Perspectives & Insights verschenen.

Diverse rollen worden beschreven, van het geven van assurance tot het zijn van change agent ter ondersteuning van de implementatie ervan. Voor de invulling van zowel de advies- als auditrol noem ik nog graag een aantal andere rapporten. De International Integrated Reporting Council (IIRC), waarvan IIA (Global) ook lid is, heeft The International <IR> Framework uitgebracht. Dit beschrijft de principes van integrated reporting, maar ook de eisen aan de inhoud en kwaliteitsaspecten daarvan. Het biedt zodoende een uitgewerkt framework voor het opzetten van integrated reports.

Een belangrijk aandachtspunt voor de auditrol zijn de standaarden voor het geven van assurance over deze rapportages. Hierbij verwijs ik graag naar de onder de vleugels van het NBA actieve Werkgroep ESG Assurance (met externe, interne en overheidsaccountants en accountants in business), die zich bezighoudt met vraagstukken op het gebied van assurance bij niet-financiële informatie, zoals mvo-verslagen, GRI-rapportages, Integrated Reporting en meer.³ Zij zijn op dit moment bezig met de herziening van deze belangrijke standaard 3810N, over ‘assuranceopdrachten inzake maatschappelijke verslagen’.

Al met al een groot aantal hulpmiddelen om deze hot topic vanuit verschillende perspectieven te bekijken en als IAF de organisatie te helpen haar doelen op dit gebied te realiseren!

Noten

1. Voor het gemak wordt duurzaamheid hier als breed verzamelbegrip gehanteerd, waaronder ook CSR (corporate social responsibility of maatschappelijk verantwoord ondernemen) en ESG/H (environment, social and governance dan wel health) vallen.
2. Environmental, Social & Governance.
3. www.nba.nl