Internal audit heeft een belangrijke rol te spelen in ESG

De gevolgen van klimaatverandering worden met de dag zichtbaarder en de vraag van consumenten en de samenleving naar duurzaam ondernemen neemt toe. De EU voert haar inspanningen op het gebied van duurzaamheid op, in lijn met de toezeggingen in het Klimaatakkoord van Parijs, resulterend in een golf van duurzaamheidsgerelateerde wetgeving. Nu het tempo van de veranderingen toeneemt, mag internal audit niet achterblijven.

Hoewel environmental, social & governance (ESG) management of duurzaamheid (we gebruiken de woorden in dit artikel door elkaar) door veel professionals als een nieuw of opkomend onderwerp wordt beschouwd, is een van de meest gebruikte definities van duurzame ontwikkeling afkomstig van de Brundtland Commissie uit 1987: ‘Duurzame ontwikkeling is ontwikkeling die voorziet in de behoeften van het heden zonder de behoeften van toekomstige generaties in gevaar te brengen om in hun eigen behoeften te voorzien’.

ESG in ontwikkeling

Het onderwerp is sinds de jaren tachtig alleen maar belangrijker en urgenter geworden, en het bedrijfsleven heeft zich door de jaren heen ontwikkeld. Waar in de jaren negentig duurzaamheidsteams in veel gevallen bezig waren met filantropische initiatieven en ‘goed doen’, is de focus de laatste jaren duidelijk verschoven. Duurzaamheid anno nu gaat erom ervoor te zorgen dat het hele bedrijf en al haar activiteiten – en vaak ook de activiteiten in haar waardeketen – op een duurzame manier worden beheerd, waarbij de mogelijke gevolgen van de bedrijfsvoering voor mens en milieu worden onderzocht en geminimaliseerd. Het thema staat nu op de agenda van de directies van alle grote ondernemingen.

De Europese wetgever zit niet stil

De ontwikkelingen in de private sector kunnen niet los gezien worden van de juridische ontwikkelingen. Met name de Europese Unie is actief op het gebied van ESG-wetgeving (in het bijzonder binnen de bancaire sector). In 2020 heeft de EU de Sustainable Finance Taxonomy en Sustainable Finance Disclosure Regulation gepubliceerd, waarmee een geharmoniseerde taxonomie is vastgesteld om financiële producten als duurzaam te classificeren, met als doel de transparantie van financiële marktdeelnemers over duurzaamheidsrisico’s te vergroten.

Veel bedrijven bevinden zich nog in de beginfase en zullen moeten versnellen om de ontwikkelingen in EU-regelgeving te kunnen bijbenen

In november 2020 heeft de ECB haar Guide on Climate-related and Environmental Risks gepubliceerd. In 2021 werd het voorstel voor de Corporate Sustainable Reporting Directive gepubliceerd, gevolgd door een zeer uitgebreide set conceptstandaarden, de Sustainability Reporting Standards in 2022, die een grote groep bedrijven verplicht om informatie over hun milieu- en sociale impact openbaar te maken. Dit zijn slechts enkele voorbeelden van een snelgroeiende lijst van ESG-wetgeving.

Maar wat betekent dit nu voor internal auditfuncties?

Hoewel (grote) bedrijven zijn begonnen met het integreren van ESG in hun bedrijfsvoering en activiteiten, bevinden veel bedrijven zich nog in de beginfase en zullen ze moeten versnellen om de ontwikkelingen in EU-regelgeving te kunnen bijbenen. En hoewel nog niet alle ESG-gebieden in organisaties al voldoende ontwikkeld zijn voor assuranceopdrachten, is er een grote vraag naar, en in bepaalde gevallen – zoals de bancaire sector – wettelijke verwachting hieromtrent.

Het risico van het niet nu ondernemen van actie door de internal auditfunctie is dat bedrijven hun controleomgeving niet goed genoeg opzetten om hun ESG-doelen en -toezeggingen voldoende te realiseren. In deze fase, waarin ESG-management in bedrijven snel evolueert en volwassen wordt, kan internal audit organisaties vooruithelpen zowel door audits uit te voeren om de ESG-volwassenheid en -gereedheid van de organisatie te evalueren, alsook door adviesdiensten te leveren.

Advies en assurance

Er zijn diverse ESG-gerelateerde onderwerpen en gebieden waarin internal audit een rol kan spelen. Zie het kader voor enkele belangrijke voorbeelden.

1. Bestuur en toezicht
Goed bestuur (governance) is de sleutel tot het opzetten van ESG-risicobeheer. Internal audit kan in dit kader de ontwikkeling van rollen, verantwoordelijkheden, beleid en procedures beoordelen. Enkele relevante punten om naar te kijken:

• Eigenaarschap van het ESG-onderwerp in de organisatie. Hoe is de verantwoordelijkheid op directieniveau belegd, wie is eindverantwoordelijk, en is er bijvoorbeeld een overkoepelende ESG-commissie, waarin relevante afdelingen/functies vertegenwoordigd zijn?

• Cascadering van verantwoordelijkheden van de directie en het senior management door de hele organisatie. Inclusief of en hoe ESG is opgenomen in KPI’s en functiebeschrijvingen, en of er duidelijke rollen zijn vastgesteld voor het monitoren en managen van ESG-risico’s.

• Bestaan van adequate systemen, data, processen, organisatiestructuur en doelstellingen om de ESG-strategie en -toezeggingen van het bedrijf waar te maken.

2. Het valideren van ESG-doelen
Internal audit kan beoordelen of ESG-doelen zijn opgenomen in de strategische doelstellingen van het bedrijf en regelmatig op de agenda van vergaderingen van de raad van bestuur en het senior management staan. Ook kunnen ESG-doelen worden gevalideerd door het verschil tussen verwachte en werkelijke prestaties te meten, en op basis daarvan te beoordelen of doelen realistisch en meetbaar zijn.

Internal audit kan daarnaast de ESG-doelstellingen van een bedrijf benchmarken ten opzichte van haar branchegenoten en ten opzichte van haar eigen materialiteitsbeoordelingen. Dit kan de organisatie helpen om te bepalen waar ze staat in vergelijking met andere bedrijven in de sector en om te bepalen welke verbetering mogelijk is. Ten slotte kan internal audit beoordelen hoe de doelen worden bewaakt en of de monitoring van ESG-doelen en KPI’s is geïntegreerd in de normale managementinformatie en -rapportages.

3. Risicomanagementbeleid en procedures
Internal audit kan beoordelen of het management voldoende begrip heeft van de impact van ESG op de bedrijfsactiviteiten en of ze deze impact voortdurend monitort. In aansluiting daarop moeten beleid en procedures voor risicobeheer duidelijk zijn gedefinieerd en regelmatig worden herzien, in lijn met externe ontwikkelingen.

Ook kan internal audit het ontwerp en de doeltreffendheid van bestaand ESG-beleid, -procedures en -normen van de organisatie beoordelen. In hoeverre zijn deze in lijn met sectorstandaarden en (nieuwe) en internationale en lokale wetgeving? In het geval van banken kan internal audit bijvoorbeeld bevestigen of de organisatie zich houdt aan de eigen risicobereidheid en ESG-richtlijnen, om te voorkomen dat de bank wordt blootgesteld aan klanten en sectoren met (onacceptabel) hoge klimaatrisico’s of greenwashingrisico’s.

4. Verslaglegging
De wettelijke vereisten rond ESG-verslaglegging ontwikkelen zich bijzonder snel. Het is cruciaal voor internal audit om de controls wat betreft relevantie, juistheid en volledigheid van de ESG-gerelateerde financiële en niet-financiële verslaglegging te valideren. Om te helpen voorkomen dat publicaties als greenwashing kunnen worden beschouwd – wat uiteraard negatieve invloed kan hebben op de reputatie van de organisatie – kan internal audit bijvoorbeeld de materialiteitsanalyse die ten grondslag ligt aan de (ESG) jaarverslaglegging van het bedrijf beoordelen. Internal audit kan de gebruikte methodologie onderzoeken, alsook de kwalitatieve evaluatie van het belang van de gekozen thema’s boven andere die relevant(er) kunnen zijn voor externe investeerders en andere belanghebbenden. Dit binnen het kader van de strategische doelstellingen van het bedrijf en specifieke sectorale uitdagingen.

Assurancebeoordelingen kunnen ook worden uitgevoerd om reputatierisico’s op financiële producten of diensten met het label ‘groen’ of ‘duurzaam’ te voorkomen. Dit om ervoor te zorgen dat deze producten, die door een bedrijf in verslaglegging of andere communicatie als groen worden neergezet, daadwerkelijk voldoen aan de taxonomie en andere wettelijke vereisten. En dat de aan klanten verstrekte informatie eerlijk, transparant en adequaat de duurzaamheid van het product weergeeft.

Voor nieuwe en toekomstige verslagleggingsvereisten kan internal audit de voorbereidende projecten en het bestaande bestuur beoordelen, om zo een uitspraak te doen of het bedrijf gereed is om de nieuwe vereiste informatie te rapporteren. Eenmaal gepubliceerd kan internal audit de betrouwbaarheid, nauwkeurigheid en volledigheid van de rapportages beoordelen, aan de hand waarvan verbeteringen (in processen) voor volgende rapportages kunnen worden vastgesteld.

5. Monitoring
Vooral voor gebieden waar nog geen beleid of controls zijn vastgesteld en het bedrijf net begint met de beoordeling van hoe ESG een specifiek onderdeel van het bedrijf beïnvloedt, kan monitoring door internal audit waarde toevoegen. Dit kan in de vorm van regelmatig contact en overleg met de eerste en tweede lijn en het bijwonen van belangrijke vergaderingen van bijvoorbeeld beslissingscomités. Door voortdurend contact te onderhouden met de juiste interne belanghebbenden en beslissingsbevoegden, kan internal audit verbindingen leggen en het bedrijf helpen bij het navigeren door de snel veranderende ESG-regelgeving.

Uitdagingen voor internal audit in ESG

Volgens een studie van de ECB uit 2021, De staat van klimaat- en milieurisicobeheer in de bancaire sector, integreren financiële instellingen steeds vaker climate & environment (C&E) risico’s in hun three lines model. ‘De integratie van C&E-risico’s in de derde lijn blijft echter achter; slechts ongeveer 15% van de instellingen heeft expliciet rekening gehouden met deze risico’s in hun internal audits of beoordelingen’.

Wat zou internal auditafdelingen kunnen tegenhouden bij het starten van ESG-audits? Uitdagingen zijn onder meer het ontbreken van de vereiste kennis. Het ontwikkelen van algemeen begrip van de ESG-risico’s en -kansen van de specifieke sector waarin een bedrijf opereert is hierbij van cruciaal belang. Net als het op de hoogte zijn van de relevante regelgeving.

Het is duidelijk dat er behoefte is aan internal auditors met expertise op het gebied van duurzaamheid en het beheer van ESG-risico’s

Een andere uitdaging kan een gebrek aan inzicht zijn in hoe ESG momenteel is ingebed in het bedrijf. Hoe meer ESG een hot topic wordt, hoe meer afdelingen erbij betrokken zijn, terwijl duidelijk eigenaarschap wellicht nog moet worden vastgesteld. En hoe zit het met ESG-data? De beschikbaarheid en juistheid van ESG-data is een grote uitdaging voor zowel bedrijven als internal audit: beschikt de organisatie over de juiste ESG-data, en is de data voldoende nauwkeurig, relevant en volledig om informatie te verschaffen die de ESG-inspanningen van de organisatie correct weergeeft, zonder dat dit leidt tot greenwashing?

Tot slot

Het is duidelijk dat er behoefte is aan internal auditors met expertise op het gebied van duurzaamheid en het beheer van ESG-risico’s. Door deze kennis te ontwikkelen, kan internal audit waarde toevoegen en samenwerken met het management om effectief ESG-risico’s te inventariseren en te bewaken, controls te formuleren, nalevingsproblemen te signaleren en te ondersteunen bij het ontwikkelen van goed bestuur, en risicobeleid voor ESG-gerelateerde processen. Met haar diepgaande kennis van de controleomgeving van een organisatie is internal audit bij uitstek goed gepositioneerd om bedrijven te helpen navigeren in de snel veranderende wereld van ESG-regelgeving en maatschappelijke verwachtingen.