Internal audit moet ESG-integratie stevig ondersteunen

De talrijke woorden die al gewijd zijn aan de integratie van ESG-factoren in de strategie en operatie van organisaties worden inmiddels omgezet in daden. Internal audit doet er goed aan in dit proces een stuwende en stimulerende rol te kiezen. Zo vergroot de internal auditfunctie de maatschappelijke impact van de organisatie en verstevigt ze intern haar relevantie.

Geen weldenkend mens kan nog voorbijgaan aan het belang van ESG-factoren (environment, social, governance) voor organisaties. Dus pakt ook internal audit haar verantwoordelijkheid in dit opzicht. Vanzelfsprekend toch? Toch geeft de meest recente editie van het jaarlijkse onderzoek Risk in Focus (van de ECIIA, de European Confederation of Institutes of Internal Auditors) een ander beeld. Aan de survey namen dit jaar meer dan achthonderd chief audit executives deel (een record) en zij kregen zoals gewoonlijk ook vragen voorgelegd over welke risico’s in hun Top-5 staan. Het op dit moment meest prominente ESG-risico ‘Klimaatverandering en duurzaamheid’ haalt die Top-5 maar bij 37% van de ondervraagden. En slechts 20% van hen zegt dat dit risico in hun Top-5 staat in tijd en aandacht die internal audit eraan besteedt (zie ook figuur 1).

Teleurstellend?

Wellicht is dit teleurstellend. Toen Peter Bakker in 2012 aantrad als president van de World Business Council for Sustainable Development voorspelde hij dat ‘auditors de wereld gaan redden’. Maar dat wordt lastig met deze cijfers. Gelukkig laten de deelnemers aan het onderzoek wel zien dat de trend wordt onderkend. Ongeveer 53% denkt dat dit specifieke risico over drie jaar (wel) in hun Top-5 staat, en 43% zegt dat het tegen die tijd ook in hun Top-5 zal staan in tijd en aandacht die internal audit eraan besteedt. Dat laatste cijfer komt neer op ruim een verdubbeling: ESG staat dus nadrukkelijk op de agenda van internal auditors om er meer tijd en aandacht aan te gaan besteden.

Hoe pakken internal auditors dat dan aan?

Het feit dat de prestaties van de organisatie op ESG-factoren een steeds groter maatschappelijk gewicht krijgt (naast de financiële prestaties), heeft in onze optiek gevolgen voor elk onderdeel van de internal auditfunctie. Dus zowel in het jaarlijkse risicoassessment, het jaarlijkse IA-plan, het uitvoeren van de audits, de IA-rapportages als in de permanente educatie voor internal auditors. Het gaat dan bijvoorbeeld om het volledig integreren van ESG-risico’s in het risicomanagement, het vaststellen van de processen die met ESG verbonden zijn, de nieuwe processen die gecreëerd worden door ESG-integratie en het inrichten van ESG-dashboards.

Het is echter de volwassenheid van de organisatie op het gebied van ESG-integratie die in eerste instantie zal bepalen op welke concrete audits internal audit zich zal focussen. Maar wellicht is het beter om te beginnen met advisering over bijvoorbeeld de beheersmaatregelen rond ESG-rapportages in plaats van meteen de diepte in te duiken met bijvoorbeeld de beoordeling van het proces rond het gebruik van schattingen en aannamen die de berekeningen in zo’n rapport voeden.

Goed aangrijpingspunt

Reporting is in zijn algemeenheid wel een goed aangrijpingspunt voor de eerste ESG-audits. Alle kritische factoren rond het ESG-beleid moeten daarin tenslotte samen komen, van consistentie in strategie, doelstellingen en veranderprojecten tot aan het goed definiëren van de maatstaven, een degelijke validatie van de herkomst van de data en een hoogwaardige data governance.

Overkoepelend is ook de organisatiecultuur rond ESG een potentieel auditthema, met speciale aandacht voor de tone at the top

Vervolgens ligt – ook weer afhankelijk van het ESG-volwassenheidsniveau van de organisatie – hetzelfde veld aan thema’s open dat relevant is met het oog op de beheersing van de financiële verslaggeving. Die thema’s zijn stuk voor stuk ook van belang voor niet-financiële verslaggeving. Dus kan internal audit zich bijvoorbeeld focussen op de beheersing van de kwaliteit van third party data, zoals gegevens over de hoeveelheid CO₂ in aangeleverde grondstoffen. Of op de IT General Controls van de systemen die voor ESG-data worden gebruikt. Of op de homogeniteit tussen de processen, tussen de verschillende vestigingen, tussen de verschillende landen, wat betreft ESG-beleid, implementatie en rapportage. Overkoepelend is ook de organisatiecultuur rond ESG een potentieel auditthema, met speciale aandacht voor de tone at the top.

Belangrijke rol

In onze optiek heeft internal audit een belangrijke rol te spelen in het bevorderen van de kwaliteit van de integratie van ESG-factoren in de organisatie. Of het nu gaat om broeikasgasemissies, het gebruik van grondstoffen of veilige werkomstandigheden: de prestaties van de organisatie op deze gebieden verdienen net zo goed een kwalitatief hoogstaande audit als de financiële prestaties dat doen. Stakeholders van de organisatie vragen daar immers om. Hoe gaat de organisatie om met de natuurlijke omgeving? Hoe gaat de organisatie om met mensen? Hoe wordt de organisatie bestuurd? De organisatie die op deze vragen een volledig, betrouwbaar en juist antwoord weet te geven, pakt in de huidige marktomstandigheden zonder meer een voorsprong op de concurrentie.

De kans pakken

Internal audit moet de kans pakken daaraan bij te dragen. Niet alleen om zo de maatschappelijke impact van de organisatie te vergroten, maar ook om haar interne relevantie te verstevigen en aantrekkelijker te worden op de arbeidsmarkt. Ga het gesprek aan met peers en beroepsgenoten, adviseren wij. Waar dat al gebeurt, is het zaak dat gesprek te intensiveren om concreet ervaringen en best practices uit te wisselen. Schakel vooral ook het IIA en de diverse opleidingen in: gebruik de kennis die al is opgebouwd om de aandacht voor ESG-thema’s binnen uw organisatie te faciliteren en te stimuleren.