Internal audit en CSR: synergie of (nog) niet?

Vijf jaar lang verzorgde ik een inleiding Internal Auditing voor het executive program Corporate Social Responsibility (CSR) aan de Erasmus Universiteit. Daarbij werden aansluitend twee vragen met de deelnemers besproken: welke internal auditdiensten rondom CSR herkent u in uw eigen praktijk en welke eisen stelt u aan de internal auditor?

Deelnemers aan het executive program Corporate Social Responsibility (CSR) zijn onder meer CSR-adviseurs en lijnverantwoordelijken met een specifieke CSR-verantwoordelijkheid. Wat deze deelnemers (hierna: CSR-deskundigen) bindt is de interesse in de inhoudelijke thematiek, de gedrevenheid om CSR in de eigen organisatie ‘handen en voeten’ te geven en de wens om ook onderling kennis en ervaringen uit te wisselen. Daarbij komt ook de vraag aan bod wat de toegevoegde waarde van internal audit voor CSR kan zijn, wat men daarvan in de eigen praktijk herkent en welke eisen men stelt aan internal auditors die hun diensten aanbieden.

Postionering internal auditing

Internal auditing is relatief onbekend bij de CRS-deskundigen. De meesten denken bij auditing aan accountancy en controles in het kader van externe verslaglegging. De internal auditor is minder bekend. En, voor zover dit wel het geval is, verwacht men dat diens dienstverlening vooral verbonden is met de externe verslaglegging: ‘auditors kijken naar de cijfers’. Een uitdaging dus om de bredere internal auditor te introduceren, met name diens mogelijke diensten op het vlak van CSR.

Introductie mogelijke CSR-diensten van de IA

De mogelijke CSR-diensten van Internal Audit zijn grofweg in vier soorten in te delen:

• ondersteuning bij de verificatie van de maatschappelijke verslaglegging;
• toetsing van de kwaliteit van het CSR-management;
• toetsing van de naleving van CSR-gerelateerde wet- en regelgeving;
• advisering over CSR-management, compliance en verslaglegging.

Ondersteuning bij de verificatie van de maatschappelijke verslaglegging
Voor de duiding van de mogelijke bijdrage aan de verificatie van de maatschappelijke verslaglegging sluit ik aan bij de ‘reportingprinciples’ van het Global Reporting Initiative (GRI). GRI onderscheidt uitgangspunten voor het bepalen van de inhoud van het maatschappelijke verslag en voor het bepalen van de kwaliteit van het maatschappelijke verslag.

Bij de inhoud van het maatschappelijke verslag gaat het om de betrokkenheid van stakeholders, het hanteren van een brede context van duurzame ontwikkeling en de (economische, sociale en/of ecologische) materialiteit en volledigheid van de gerapporteerde onderwerpen en indicatoren. De mogelijke bijdrage van de internal auditor hieraan ligt vooral op het vlak van het toetsen van het managementproces dat tot de gekozen content heeft geleid en de getoonde zorg voor de genoemde aspecten. De internal auditor kan daarbij zijn kennis van de organisatie, de sector en de keten inbrengen en helpen ‘blunders’ qua gekozen onderwerpen en afbakening te voorkomen.

Bij het toetsen van CSR-management gaat het om de mate waarin CSR is ingebed in de sturing en beheersing van de organisatie

Bij de kwaliteit van het maatschappelijke verslag gaat het erom dat de gerapporteerde informatie evenwichtig, vergelijkbaar, nauwkeurig, tijdig, duidelijk en betrouwbaar is. De mogelijke bijdrage hieraan van de internal auditor is vooral dat hij gemakkelijk de link kan leggen (en toetsen) tussen de gerapporteerde informatie en de processen, projecten en systemen waaruit deze informatie voortkomt, inclusief het rapportageproces zelf. De internal auditor kan daarbij ook het bredere interne controleraamwerk van de organisatie in ogenschouw nemen, evenals de mate waarin de diverse beheersmaatregelen en verbetercycli bijdragen aan de kwaliteit van de informatie. In essentie is dit hetzelfde verificatieproces dat bij financiële verslaglegging wordt doorlopen, maar met als complicerende factor dat er op sociaal en ecologisch gebied vaak minder ‘harde’ verbanden zijn te leggen dan op het financieel-
economische gebied gebeurt aan de hand van bijvoorbeeld de klassieke waardenkringloop.

Toetsing van de kwaliteit van het CSR-management
Bij het toetsen van CSR-management gaat het om de mate waarin CSR is ingebed in de sturing en beheersing van de organisatie en de mate waarin het geheel aan genomen beheersmaatregelen bijdraagt aan de realisatie van de CSR-doelstellingen. Om dit op een geobjectiveerde manier te doen is het raadzaam om het te hanteren ‘normenkader’ af te leiden van referentieraamwerken zoals ISO 26000 (maatschappelijke verantwoordelijkheid van organisaties), COSO, ISO 9001 (kwaliteitsmanagementsystemen) en/of INK. De keuze hangt onder meer af van het doel van de audit, de herkenbaarheid voor de belanghebbenden en de verdere context.

ISO 26000 bijvoorbeeld levert veel nuttige, voor CSR-deskundigen herkenbare, inhoudelijke CSR-aandachtspunten op. COSO daarentegen sluit juist weer mooi aan op het referentiekader van veel toezichthouders, auditors en riskprofessionals. Zie bijvoorbeeld de uitgave Governance in duurzaamheid van NBA en IIA Nederland. Maar ook het relatief eenvoudige principe van de managementcyclus (PDCA-cyclus) biedt gemakkelijk herkenbare handvatten voor een audit naar CSR-management, zoals het toetsen van een of meer van de volgende ‘schakels’:
­

• beleid: totstandkoming en interne en externe consistentie CSR-beleid;
• inrichting: vertaling CSR-beleid naar onder andere verantwoordelijkheden, processen en systemen;
• uitvoering: kwaliteit van registraties en rapportages, omgang met signalen en dilemma’s;
• evaluatie en bijsturing: toereikendheid van de evaluatiemechanismen van de organisatie.

In figuur 1 staan per invalshoek enkele voorbeelden van mogelijke auditobjecten. Het figuur bevat nog een vijfde invalshoek: monitoring. Dit betreft het toetsen van de mate waarin het management de kwaliteit van het totale managementsysteem monitort en periodiek de overall geschiktheid ervan evalueert.

Figuur 1. Auditen van CSR-management, voorbeelden o.b.v. de managementcyclus

Toetsing van de naleving van CSR-gerelateerde wet- en regelgeving
In plaats van de toereikendheid van het evaluatiemechanisme ten aanzien van compliance te toetsen kan de internal auditor ook zélf de naleving van wet- en regelgeving controleren. Dit hoeft overigens niet alleen om de naleving van ‘harde’ wet- en regelgeving te gaan, maar ook om de interpretatie en toepassing van CSR-aspecten in gedragscodes, corporate aspectbeleid (bijvoorbeeld inkoopbeleid) en sectorgebonden standaarden en convenanten. Aandachtspunt bij compliance is dat door een toenemende ketenverantwoordelijkheid de scope gemakkelijk uitbreidt naar ketenpartners.

Advisering over CSR-management, compliance en verslaglegging
Een laatste vorm van dienstverlening is advisering. In het kader van dit artikel ga ik hier nu niet verder op in, maar de scope van voorgaande drie soorten diensten geven een aardig beeld van de onderwerpen waarover de internal auditor zou kunnen adviseren.

Welke CSR-diensten leveren internal auditors?

Van de vier besproken soorten diensten wordt vooral de ondersteuning bij de verificatie van de maatschappelijke verslaglegging herkend door de deelnemers. De toegevoegde waarde daarvan zit vooral in het helpen voorkomen van (dure) ‘verrassingen’ tijdens de externe verificatie en het beheersen van de externe auditkosten.

Ook compliance en adviesdiensten worden door de deelnemers herkend. De dienstverlening rondom compliance hangt veelal samen met de externe verslaglegging waarbij het aantoonbaar voldoen aan internationale, nationale en soms ook lokale wet- en regelgeving een belangrijke hygiënefactor is. Wanneer een organisatie daar niet aan voldoet leidt dat al snel tot reputatierisico’s. Dit lijkt een belangrijke reden voor de inzet van internal auditors voor compliance.

De adviesdiensten hangen veelal ook samen met de verslaglegging. Internal auditors weten veelal beter dan CSR-deskundigen hoe externe auditors naar externe verslaglegging kijken, wat zij graag als onderbouwing daarvan zien en wat vanuit die optiek effectieve en efficiënte manieren zijn om een en ander aantoonbaar te maken. Een internal auditor kan met gerichte advisering hierover bijdragen aan een soepel verlopend verificatieproces.

Tot slot het toetsen van CSR-management in brede zin. Dit soort dienstverlening is relatief onbekend bij de deelnemers. Dat wil niet zeggen dat het niet gebeurt, maar de CSR-deskundigen herkennen het in de eigen praktijk niet zo. Men moet erg wennen aan de gedachte dat internal auditors niet alleen achteraf, in het kader van verantwoording kunnen bijdragen (‘als de cijfers bekend zijn’), maar ook al veel eerder en in breder, managementkundig opzicht van toegevoegde waarde kunnen zijn. Bijvoorbeeld in de vorm van een systeemgerichte procesaudit of een projectaudit in een vroeg stadium van een verandertraject.

De CSR-deskundigen vinden dat internal auditors goed moeten kunnen toetsen, rapporteren en spiegelen

Welke eisen stellen CSR-deskundigen aan internal auditors?

Tijdens twee bijeenkomsten is met de deelnemende CSR-deskundigen ook besproken welke eisen zij stellen aan de kennis en vaardigheden van de internal auditor die wil bijdragen aan CSR. De resultaten van deze groepsgewijze inventarisatie zijn minder breed onderbouwd dan het voorgaande, maar voldoende eenduidig om ze hier te presenteren.

Allereerst de vaardigheden. De CSR-deskundigen vinden dat internal auditors goed moeten kunnen toetsen, rapporteren en spiegelen. Dat betekent volgens hen dat zij:

• methodologisch verantwoord moeten werken;
• over passende vaardigheden moeten beschikken, waaronder interviewen en daarbinnen in het bijzonder: luisteren, samenvatten en waar nodig doorvragen op onduidelijkheden;
• ook ‘zachte’ factoren moeten (kunnen) onderzoeken;
• ook positieve zaken moeten (durven) bevestigen.

Wat betreft benodigde kennis moet de internal auditor volgens de CSR-deskundigen beschikken over:

• brede CSR-kennis en sectorkennis;
• kennis van voor de organisatie relevante thema’s, kaders en risico’s en
• toegang tot specialisten.

Met het laatste punt geeft men aan weliswaar graag te geloven in een ‘brede’ internal auditor, maar dat deze wel de eigen grenzen moet kennen en tijdig specialisten consulteert.

Discussie

Er zijn diverse interessante vergelijkingen met bestaande vakliteratuur en praktijkinzichten te maken, inclusief kritische kanttekeningen en mogelijke verklaringen. Ik beperk me hier tot twee zaken.

Ten eerste valt me op dat CSR-deskundigen de internal auditor in aanleg vooral zien als een (nuttige) controlerende ‘blik van buiten’ en erg moeten wennen aan het idee van Internal Audit als ‘tool of (CSR-)management’. CSR-deskundigen en auditors lijken geen ‘natuurlijke’ collega’s. In hoeverre dit wel gewenst is en welke ‘boundaries’ en ‘safeguards’ er dan wellicht nodig zijn laat ik even in het midden, maar het zou jammer zijn als het CSR hetzelfde vergaat als bijvoorbeeld ‘kwaliteit’ en ‘veiligheid’. Dat zijn thema’s waaromheen een eigen wereld van keurmerken, adviseurs en auditors is ontstaan, waar de gemiddelde internal auditor of GRC-professional niet snel van toegevoegde waarde wordt geacht en waar men andersom wellicht ook op weinig interesse kan rekenen.

Een tweede opmerking betreft een mogelijke verklaring van het hiervoor genoemde. Wat in de vakbladen en opleidingen opvalt is dat de meeste bijdragen over CSR-auditing afkomstig zijn van externe auditors. Op enkele uitzonderingen na schitteren de internal auditors door afwezigheid. En, wellicht daarmee samenhangend: de zogeheten ‘maturitymodellen’ uit die auditbijdragen zien als ‘happyland’: soepele, informatierijke en betrouwbare maatschappelijke verslaglegging. Veel CSR-deskundigen zien daarentegen als ‘happyland’: organisaties die in de gehele keten maatschappelijk verantwoord handelen, zoekend naar verdere verbetermogelijkheden en daarbij redenerend vanuit impact, conflicterende belangen en dilemma’s in plaats van output, eenduidigheid en zekerheden.

Stof tot nadenken lijkt me.