Duurzaamheidsaudits gaan verder dan naleving alleen

Aangescherpte wet- en regelgeving op het gebied van milieu en sociale aspecten leiden ertoe dat vrijwel alle organisaties doorlopend hun beleid moeten aanpassen.

Denk bij aangescherpte wet- en regelgeving bijvoorbeeld aan de stikstofwet en de klimaatwet en aan diervriendelijke veehouderij en visvangst. Maar ook aan het bestrijden van criminaliteit, in het bijzonder bij het aanpakken van witwaspraktijken en omkoping. Daarnaast neemt de aandacht voor sociale aspecten, zoals intimidatie, mensenrechten, diversiteit en inclusiviteit binnen organisaties toe. Meer en meer organisaties, waaronder de Rijksoverheid ondertekenen het Charter Diversiteit.

Medeverantwoordelijk

Organisaties zijn zich er vaker bewust van dat zij medeverantwoordelijk zijn voor het gedrag van hun toeleveranciers. De normenkaders worden bijvoorbeeld vastgelegd in een gedragscode die de leveranciers moeten naleven. Productiebedrijven zijn zich steeds bewuster van de impact op de omgeving die het gevolg is van hun ondernemersactiviteiten. Zo wordt er bij het ontwerp van nieuwe auto’s naar gestreefd om de belasting van het milieu bij de sloop ervan zo laag mogelijk te laten zijn.

De vraag is of organisaties, naast het naleven van de wet- en regelgeving die het gevolg is van de druk door de politiek, belangengroepen en andere stakeholders, nog voldoende aandacht hebben voor de kern van de zaak: het duurzaam ondernemen met als oogmerk langetermijnwaardecreatie zoals dit is bedoeld in de Nederlandse Corporate Governance Code. In het bijzonder worden daarin genoemd: milieu, sociale en personeelsaangelegenheden, de keten waarin de onderneming opereert, eerbiediging van mensenrechten en bestrijding van corruptie en omkoping. Worden deze aspecten evenwichtig meegenomen in het eigen ondernemingsbeleid of leeft men lijdzaam de regels na?

De hoogste toegevoegde waarde van internal audit wordt geleverd door vast te stellen dat het geformuleerde duurzaamheidsbeleid aansluit bij de verwachtingen van stakeholders, bij alle betrokkenen bekend is en dat er ook naar wordt gehandeld

Geen eendagsvlieg

Kofi Annan, secretaris-generaal van de Verenigde Naties, organiseerde in 2002 in Zuid-Afrika de eerste wereldtop over duurzame ontwikkeling. Hij riep de wereld op om met een actieplan te komen dat de armoede vermindert, terwijl de omgeving wordt beschermd op een manier die vandaag en morgen werkt voor alle volkeren, rijk en arm.
Kort daarna las ik een artikel over maatschappelijk verantwoord ondernemen in een Nederlands tijdschrift. Ik realiseerde mij toen dat dit niet een eendagsvlieg zou zijn, maar een relevante maatschappelijke ontwikkeling waarop internal audit zou moeten aanhaken. Ik deed een oproep aan onze mondiale beroepsgroep in het artikel ‘Heeding the call’ dat werd gepubliceerd in de Internal Auditor van augustus 2003. Na de publicatie verzocht de Research Foundation van The Institute of Internal Auditors mij nader onderzoek te doen en een publicatie te schrijven met daarin praktische handvatten voor internal auditors. In 2006 verscheen mijn eerste boek, Sustainability and internal audit.

Lerende organisatie

Inmiddels zijn we meerdere bijeenkomsten van de Verenigde Naties verder, is de UN Global Compact gelanceerd en zijn de GRI Standards sterk verbeterd.¹ Organisaties zijn transparanter en in toenemende mate is er aandacht voor niet-financiële verantwoording. Toch is de essentie van mijn betoog uit 2006 overeind gebleven: er is veel meer te doen voor de internal auditor dan compliance audits! Het gaat om de manier waarop relevante duurzaamheidsaspecten worden opgenomen in het beleid en de strategie van de organisatie en de uitrol daarvan naar alle lagen van de organisatie, inclusief toeleveranciers. Verantwoording afleggen is belangrijk, maar slechts een resultante. Het gaat er ook om dat het een lerende organisatie is, die doorlopend beleid en strategie aanpast waar nodig.

De hoogste toegevoegde waarde van internal audit wordt geleverd door vast te stellen dat het geformuleerde duurzaamheidsbeleid aansluit bij de verwachtingen van stakeholders, bij alle betrokkenen bekend is en dat er ook naar wordt gehandeld. Dit kan door zowel een specifiek onderzoek te doen naar het duurzaamheidsbeleid en de wijze waarop dit wordt geëffectueerd, als door duurzaamheidaspecten bij elke audit mee te nemen. Hoofdstuk 5 van mijn boek bevat een voorbeeld van een auditprogramma naar duurzaamheid waarin ik dit verder heb uitgewerkt. Zie het kader voor een sterk vereenvoudigde versie hiervan.

Gedegen risicoanalyse

Zoals altijd is de beperkte capaciteit van de internal auditfunctie ook hier een beperkende factor. Hoe kan het best worden aangesloten bij de behoeften van de organisatie? Een gedegen risicoanalyse kan hierbij helpen. Als belangrijke risico’s zijn in ieder geval te noemen:

• verlies van reputatie;
• financiële en andere sancties;
• verscherpt toezicht door regelgevers;
• ontslag van bestuurders.

Een uitgebreider scala aan relevante risico’s is te vinden in Applying enterprise risk management to environmental, social and governance (ESG) – related risks. Deze lezenswaardige publicatie van de World Business Council for Sustainable Development (WBCSD) is samen met COSO ontwikkeld en ontworpen om aan de hand van praktijkvoorbeelden te laten zien hoe ESG-gerelateerde risico’s kunnen worden geadresseerd bij het toepassen van het COSO ERM framework.

Verplichte nummers

Op basis van de risicoafweging kan de chief audit executive (CAE) een voorlopig jaarplan maken. Daarbij moet in ieder geval tijd worden gealloceerd voor de ‘verplichte nummers’, zoals audits naar milieurapportages en de getrouwheid van andere niet-financiële verantwoordingen. De CAE kan bij het opstellen van zijn voorlopige jaarplan tot de conclusie komen dat de capaciteit van de internal functie ontoereikend is om de dringend gewenste duurzaamheidsaudits uit voeren. Hij kan ook vaststellen dat de noodzakelijke deskundigheid ontbreekt binnen de internal auditfunctie (IAF), en dat deze moet worden ingehuurd. De CAE dient deze knelpunten te bespreken met het bestuur en de raad van commissarissen en aan te dringen op het beschikbaar stellen van meer middelen.

Het is aan de internal auditor om een belangrijke bijdrage te leveren aan de langetermijnwaardecreatie van de organisatie waarvoor hij werkt in de vorm van alomvattende audits op het gebied van duurzaamheid, die verder gaan dan compliance alleen.

Noot

1. Global standards for sustainability reporting.