Internal audit for good

Internal auditors kunnen bijdragen aan duurzaamheid door dit in het hart van de organisatie te verankeren. Dit is afhankelijk van de fase waarin de organisatie zich begeeft op het duurzaamheidstraject en de rol van tweedelijnsfuncties. Belanghebbenden verwachten een proactieve rol van de internal auditor. Dit artikel is een uitnodiging en aanmoediging daartoe.

De Club van Rome benadrukte begin jaren zeventig al de risico’s van onbeperkte groei en klimaatverandering. In de jaren daarna lanceerden het bedrijfsleven en de Verenigde Naties verschillende initiatieven om hun krachten voor duurzame ontwikkeling te bundelen. In 1997 werd het Global Reporting Initiative (GRI) opgericht om een kader te creëren voor duurzaamheidsrapportage. Duurzaamheid werd echter vaak gezien als een hobby van de happy few. Nog niet zo lang geleden werden sommige organisaties zelfs door aandeelhouders onder druk gezet om hun duurzaamheidsambities naar beneden bij te stellen.

Urgentie onmiskenbaar

De afgelopen jaren zijn de directe gevolgen van klimaatverandering, ineenstorting van ecosystemen en toenemende vervuiling steeds meer zichtbaar. De urgentie van de ontwikkeling naar een duurzame wereld en economie is duidelijk. In reactie hierop dringen beleggers en wetgevers aan op duurzaamheidsrapportage door organisaties. Met initiatieven als het SEC-voorstel inzake klimaatverandering, de ISSB-standaard voor klimaatrapportage en de meest uitgebreide, de corporate sustainability reporting directive (CSRD), als resultaat.

De rapportage-initiatieven ondersteunen beleggers om hun kapitaal te richten op groene en sociale organisaties, die op hun beurt zullen bijdragen aan het bereiken van de sustainability development goals (SDG’s) van de Verenigde Naties en de Europese doelstellingen die ten grondslag liggen aan de Green Deal. Het is van het grootste belang dat alle spelers in de (rapportage)keten hun rol spelen. Dit artikel belicht de belangrijke bijdrage die de internal auditor daaraan kan leveren.

2025 lijkt ver weg, maar de juiste duurzaamheidsdoelstellingen en -strategie vaststellen, vraagt een aanzienlijke inspanning. Profiteren van een pilotjaar (rapporteren in 2024) is geen overbodige luxe

Versnellen op de duurzaamheidstransitie nodig

De CSRD doorloopt momenteel de laatste stappen van het wetgevingsproces. Tegelijkertijd werkt de European Financial Reporting Advisory Group (EFRAG) verder aan de ontwikkeling van de European Sustainability Reporting Standards (ESRS). Op 22 november 2022 werd de eerste set ESRS voorgelegd aan de Europese Commissie en deze wordt naar verwachting halverwege 2023 goedgekeurd. Hoewel in het acceptatieproces van de verslaggevingsstandaarden kleine wijzigingen kunnen optreden, staat het raamwerk van de CSRD vast en daarmee ook de termijnen voor implementatie door organisaties.

Grote bedrijven (> 250 fte, > € 40 miljoen omzet en/of > € 20 miljoen activa) zullen voor het eerst voor hun jaarverslag over 2025 aan de nieuwe CSRD-richtlijnen dienen te voldoen. Dat lijkt ver weg, maar het vaststellen van de juiste duurzaamheidsdoelstellingen en -strategie, het aanpassen van processen, het verzamelen van niet-financiële informatie, en het opstellen van duurzaamheidsverslagen zal een aanzienlijke inspanning vragen. Profiteren van een pilotjaar (dat wil zeggen rapporteren in 2024) is geen overbodige luxe. Daarom adviseren wij alle organisaties die nog niet met de voorbereiding zijn begonnen daar nu mee te starten.

Er is nog een aantal andere goede redenen waarom aandacht voor duurzaamheid een goede zaak is. In de eerste plaats zal een tijdige voorbereiding op de CSRD bijdragen aan een concurrentievoordeel en de toekomstige nalevingskosten verminderen. In de tweede plaats wordt de toegang tot kapitaal gewaarborgd. Uit onderzoek van financiële dienstverlener Morningstar blijkt dat in de toekomst alleen nog de meest groene en duurzame beleggingsfondsen (Art 9, Sustainable Finance Disclosure Regulation (SFDR)) nieuw kapitaal kunnen aantrekken. Met alle huidige financiële, economische en geopolitieke risico’s is dat van groot belang.

Aantoonbare duurzame organisaties blijken ook goedkoper te kunnen lenen; er zijn kortingen tot 0,5% zichtbaar van banken. Een derde reden is de groeiende vraag van consumenten naar duurzame producten en, last but not least, het feit dat met name duurzame organisaties beter in staat blijken talent aan te trekken; uiteraard cruciaal voor een gezonde toekomst van de organisatie. Kortom, er zijn goede redenen om duurzaamheid nu al in het hart van de bedrijfsvoering te verankeren!

Hierna volgt een korte beschrijving van de stappen die organisaties kunnen volgen in hun duurzaamheidstraject. Daarna wordt dieper ingegaan op de mogelijke bijdragen van de internal auditor tijdens dit traject.

Stappenplan om duurzaamheid te integreren

Over het algemeen zullen zowel managers als consultants het stappenplan van figuur 1 volgen bij het ontwerpen en ontwikkelen van het duurzaamheidstraject van een organisatie. Afhankelijk van de situatie wordt dit voorafgegaan door een nulmeting (stap nul).

Het traject begint met 1) een materialiteitsbepaling, 2) het bepalen of aanpassen van het bedrijfsmodel en de strategie en 3) de besturing passend te maken. Vervolgens dient 4) de strategie te worden uitgevoerd en is 5) performancemanagement nodig om de voortgang te bewaken en sturing te geven aan de realisatie. Als laatste stappen zijn (6) externe verslaggeving en (7) externe zekerheid belangrijk voor belanghebbenden en vereist vanuit aankomende wetgeving.

De stappen zijn in de praktijk minder precies gedefinieerd dan ze nu lijken. Het bespreken van strategische pijlers en het opzetten van de besturing kan bijvoorbeeld hand in hand gaan. Sommige stappen kunnen tegelijkertijd worden uitgevoerd. Bovendien is het goed te beseffen dat wat hier een lineair proces lijkt in feite een cyclus is die jaarlijks wordt doorlopen met als doel een steeds duurzamere organisatie te worden. Dit gezegd hebbende, is het goed te benadrukken dat een zorgvuldig uitgevoerde materialiteitsbeoordeling de noodzakelijke basis vormt voor alle volgende stappen.

Begin met betrouwbare ESG-rapportage

Om adequaat performancemanagement te verankeren als basis om de daadwerkelijke duurzaamheidsstrategie en ambities aan te sturen, is een intern rapportagekader inclusief monitoring belangrijk. Hier houdt het echter niet op. Het rapportagekader dient ook vertaald te worden naar externe verslaggeving, aangezien dit de basis is waarop investeerders en andere belanghebbenden hun beslissingen zullen nemen.

Normaal gesproken zal het niet realistisch zijn om in één jaar geïntegreerde sturing en verslaglegging van de grond af op te zetten. Laat staan dat de managementinformatie voldoende betrouwbaar is voor monitoringdoeleinden en om deze te gebruiken voor externe verslaglegging. De praktijk leert dat het management ervoor kan kiezen om in het eerste jaar de interne besturing slechts voor een beperkte selectie van de belangrijkste (nieuwe) duurzaamheids-key performance indicators (KPI’s) in te voeren. Ook wordt aanbevolen een duurzaamheidsrapportage op te zetten voor deze eerste beperkte set KPI’s. De reeks KPI’s kan dan in de volgende jaren worden uitgebreid, terwijl continue verbetering op eerder gekozen KPI’s wordt gewaarborgd door het sluiten van de plan-do-check-act-cyclus (PDCA). Dit betekent dat de aandacht eerst uit dient te gaan naar de inbedding van duurzaamheid in de bedrijfsvoering en de organisatiecultuur; rapportage en zekerheidsverschaffing volgen dan vanzelf.

Momenteel maakt veel informatie geen deel uit van de primaire registratie. De meeste systemen zijn niet eens in staat de nodige gegevens op te slaan en te registreren

Betrouwbaarheid van de gerapporteerde informatie is van groot belang voor de (externe) verslaglegging. De betrouwbaarheid wordt beïnvloed door de kwaliteit en de automatisering van de processen die ten grondslag liggen aan de te verzamelen informatie. Momenteel maakt veel informatie geen deel uit van de primaire registratie. De meeste systemen zijn niet eens in staat de nodige gegevens op te slaan en te registreren. Bijvoorbeeld de registratie van de uitstoot van broeikasgassen door reizen: werknemers kunnen reizen per leaseauto, privéauto, openbaar vervoer of per vliegtuig.

Dit voorbeeld toont de complexiteit aan van het verzamelen van informatie. Bovendien dient de informatie voldoende ondersteund te worden door onderliggende documentatie (bewijsmateriaal) om de juistheid en volledigheid van de gerapporteerde informatie te kunnen valideren. Dit is van belang voor een adequate monitoring en sturing van de duurzaamheidsstrategie. Het is ook belangrijk om aan de externe controleur te kunnen aantonen dat de informatie juist en volledig is.

De rol van de interne auditor op de verduurzaming

In de discussie over de rol van de internal auditor inzake duurzame ontwikkelingen wordt verwezen naar zes van de tien grondbeginselen zoals gedefinieerd in het International Professional Practices Framework van het mondiale IIA (met cursief gedrukte suggesties van de auteurs voor toevoegingen). Een internal auditor:
­

• past zich aan de strategieën, doelstellingen en risico’s van de organisatie aan met specifieke aandacht voor het duurzaamheidstraject;
• geeft blijk van integriteit ter ondersteuning van een doelgericht duurzaamheidstraject;
• is objectief en vrij van ongepaste beïnvloeding (onafhankelijk) en levert motivatie, inzichten en aanbevelingen om greenwashing te voorkomen;
• geeft blijk van vakbekwaamheid en beroepsmatige zorgvuldigheid en erkent dat het duurzaamheidsdomein de betrokkenheid van specialisten vereist;
• heeft inzicht en is proactief en toekomstgericht met duurzaamheidsdoelstellingen voor ogen;
• bevordert organisatorische verbetering en positieve verandering voor een betere wereld.

De rol van de internal auditor op het duurzaamheidstraject dient te worden bezien met deze verrijkte grondbeginselen in het achterhoofd. Vervolgens zijn er enkele algemene aandachtspunten die van belang zijn voor het vervullen van die rol door de internal auditor.
­

• De rol van de internal auditor bij de overgang naar een duurzaam bedrijfsmodel hangt sterk af van de reputatie van de internal auditfunctie. Heeft het hoofd internal audit een plaats aan de tafel en wordt hij gezien als een betrouwbare uitdager en adviseur voor leidinggevenden en raad van bestuur?
• Heeft de internal auditor kennis over duurzaamheid in huis? Welke kennis is nodig om een rol van betekenis te spelen in duurzame ontwikkeling? En welke kennis kan de internal auditor desgewenst inhuren?
• De fase waarin de organisatie zich bevindt in haar duurzaamheidstraject kan zeer verschillend zijn (van vroege bewustwording tot verankering) en bepaalt de mogelijkheid die de internal auditor heeft om de organisatie te ondersteunen bij de volgende stap van haar duurzaamheidstraject (meer proactief en betrokken in de eerdere stadia, of meer gericht op het verschaffen van zekerheid wanneer duurzaamheid volwassen en verankerd is).
• De rol van de internal auditor is ook sterk afhankelijk van de rol die andere verantwoordelijken op het gebied van good governance en risicomanagement spelen in het duurzaamheidstraject. In figuur 2 is het IIA three lines model toegesneden op duurzaamheid, waarin de belangrijkste rollen en samenwerking kort worden toegelicht. De lezer wordt aangemoedigd kennis te nemen van het IIA three lines model dat medio 2020 is uitgebracht en dat goede mogelijkheden biedt om de inspanningen van de drie lijnen te coördineren.

Proactieve samenwerking van de drie ‘lijnen’ is ook de belangrijkste conclusie van een in november 2022 uitgegeven paper van The European Confederation of Directors Associations (ecoDa), The Federation of European Risk Management Associations (Ferma) en The European Confederation of Institutes of Internal Auditing (ECIIA):

‘Het is tijd om van de “meldingsplicht” over te stappen op de “handelingsplicht”: In wezen dienen risicomanagers, internal auditors en leden van de raad van bestuur elkaars inspanningen tijdens het hele proces aan te vullen. Aangezien elk van hun respectieve rollen een unieke impact heeft en van onschatbare waarde is voor het vermogen van organisaties om veerkracht op te bouwen, de kansen van de groene transitie te benutten, en effectief te voldoen aan duurzame normen via een holistische aanpak.’

Met de grondbeginselen en aandachtspunten in het achterhoofd zal de rol die de internal auditor kan spelen in de drie hoofdfasen van het duurzaamheidstraject (strategie en besturing; implementatie en verandering; verslaggeving en zekerheid) hierna worden besproken.

Bijdragen

Afhankelijk van de fase kan de internal auditor mogelijk de volgende bijdragen leveren:

Strategie en besturing
Indien de organisatie zich onvoldoende bewust is van haar duurzaamheidsuitdagingen en er geen prioriteit of actie is op het gebied van duurzaamheid, kan de internal auditor zorgen voor motivatie en de uitdaging om het beter te doen. Hij dient bondgenoten te vinden om leidinggevenden uit te dagen met prioriteit aan duurzame initiatieven te werken, bijvoorbeeld door inzicht te geven in goede praktijken van vergelijkbare organisaties en/of een overzicht van sectorspecifieke grote risico’s voor de continuïteit van de organisatie.

Heeft het management een grondig inzicht in de behoeften en verwachtingen van alle belanghebbenden? Zo niet, dan kan de internal auditor ondersteuning bieden bij het opstarten van processen die leiden tot een materialiteitsbepaling, het essentiële startpunt van elk duurzaamheidstraject. De internal auditor kan ook een ‘as-is-beoordeling’ uitvoeren van lopende duurzaamheidsinitiatieven. Ook kan de besturing extra aandacht gebruiken: is de verantwoordelijkheid voor duurzaamheid duidelijk? Zonder dat loopt zelfs het meest veelbelovende duurzaamheidsinitiatief risico weinig impact te maken.

Het verzamelen en analyseren van niet-financiële informatie kan nieuw zijn voor de organisatie

Implementatie en verandering
Indien de organisatie een duurzaamheidsstrategie heeft vastgesteld, ligt de nadruk op de effectieve uitvoering ervan. Belangrijke prioriteit in het internal auditplan dient het uitvoeren van beoordelingen en audits te zijn om inzichten en aanbevelingen te verschaffen over de effectiviteit van (wijzigingen in) processen, plannen, interne beheersing en performance management om de uitvoering van de duurzaamheidsstrategie aan te sturen en te overzien.

Het verzamelen en analyseren van niet-financiële informatie kan nieuw zijn voor de organisatie. Internal audit zou het opzetten van interne controlekaders die in handen zijn van het management kunnen vergemakkelijken en/of kunnen bijdragen aan de betrouwbaarheid van niet-financiële KPI’s door het uitvoeren van audits. Mocht de organisatie nog geen keuze hebben gemaakt over haar duurzaamheids-KPI’s, dan is het goed om te weten dat in de toekomst, conform de CSRD, alle beursgenoteerde organisaties (exclusief micro), alle grote organisaties en alle niet EU-organisaties met een omzet van meer dan € 150 miljoen in de EU zich dienen te verantwoorden over hun impact op het klimaat. Het (gaan) meten van CO₂-uitstoot is dus een nuttige actie. En natuurlijk dient de internal auditor om duurzaamheid effectief te verankeren in het hart van de organisatie, een evenwicht te vinden tussen aandacht voor hard controls en het inzichtelijk maken van organisatiecultuur en gedrag (soft controls).

Verslaggeving en zekerheid
Indien de organisatie goed op weg is om haar duurzaamheidsdoelstellingen te bereiken en haar duurzaamheidsprestaties bekendmaakt in haar jaarlijkse (geïntegreerde) verslag, kan de internal auditor ook een rol spelen bij het verschaffen van inzichten, zekerheid en aanbevelingen over het duurzaamheidsverslaggevingsproces, de interne beheersing en de conceptrapportage.

De internal auditor zal zijn inspanningen coördineren met de externe accountant, die externe zekerheid (eerst beperkt, later redelijk) zal verschaffen zoals vereist door de CSRD. Als de organisatie nog onvoldoende snelheid maakt, kan de internal auditor de compliance gap met betrekking tot toekomstige vereisten van de CSRD beoordelen en helpen bij het prioriteren van de komende activiteiten. Figuur 3 geeft meer gedetailleerde inspiratie voor de bijdragen die de interne auditor kan leveren. En om de mogelijkheden om een bijdrage te leveren te bespreken met belanghebbenden en collega’s.

Uit onderzoek blijkt dat belanghebbenden verwachten dat internal auditors hoge prioriteit gaan geven aan duurzaamheid. Uit het recente ECIIA-document Risk in Focus 2023 blijkt bijvoorbeeld dat klimaatverandering een belangrijk risico is die internal auditors in hun auditplan voor 2023 dienen op te nemen. In figuur 4 zijn de uitkomsten van dit onderzoek weergegeven. Deze leidraad sluit aan bij de inspiratie voor bijdragen van de internal auditor die in dit artikel zijn gepresenteerd.

Goede internal audit is internal audit for good

De internal auditor dient een flexibele mentaliteit en aanpak te hebben om belanghebbenden en collega’s te inspireren en te motiveren om duurzaamheid in het hart van de organisatie te verankeren. Met ‘Internal audit for good’ zullen ook nieuwe talenten worden aangetrokken voor de internal auditorfunctie om een bijdrage te leveren aan het duurzaamheidstraject en het maken van een positieve impact op de wereld.