Hoe controleer je duurzaamheid?

Duurzaamheid is een steeds belangrijker onderwerp. Zowel voor organisaties zelf als voor haar aandeelhouders, medewerkers en klanten. In het verlengde hiervan is het onderwerp ook steeds relevanter voor de interne auditor.

Met verslaggevingsvereisten, zoals de EU-richtlijn corporate sustainability reporting directive (CSRD), geven wetgevers invulling aan dit belangrijke thema. Maar wat betekent dit voor de interne auditor? Moet deze een expert worden in externe verslaggeving rondom CSRD, of zijn er andere manieren waarop hij kan bijdragen aan de implementatie van duurzaamheid?

Doelstelling

Voor mijn onderzoek ter afronding van de post-masteropleiding Internal Auditing and Advisory aan de Erasmus Universiteit Rotterdam ben ik op zoek gegaan naar een andere manier waarop kan worden bijgedragen aan het duurzaamheidsvraagstuk door de interne auditor. Hierbij heb ik mij gefocust op een normenkader waarmee de beheersing van duurzaamheid getoetst kan worden. Ik ben namelijk van mening dat door de beheersing te toetsen de interne auditor dichter bij de eigen expertise blijft en meer toegevoegde waarde kan hebben voor de organisatie.

Relevantie

Een onderzoek naar een praktisch hanteerbaar normenkader is relevant, omdat er op dit moment nog weinig hanteerbare normenkaders bestaan die een interne auditfunctie (IAF) kan gebruiken om de beheersing van duurzaamheid te toetsen. Op wetenschappelijk gebied bestaat er vrijwel geen onderzoek over de invulling van een normenkader. Ik verwacht dat daar maatschappelijk wel behoefte aan is. Zeker wanneer een organisatie en haar stakeholders willen weten of duurzaamheid beheerst is, draagt dit onderzoek hieraan bij. Uit onderzoek van het IIA (rapport: Climate change and environmental risk) blijkt dat 50% van de respondenten geen bestaand model hanteert voor het onderzoeken van duurzaamheid.

Wat is duurzaamheid?

Om iets te kunnen zeggen over de beheersing van duurzaamheid is het van belang om eerst het begrip duurzaamheid te definiëren. Voor mijn onderzoek heb ik gekozen voor een praktische invulling van het begrip. Dus bewust niet voor een eenduidige definitie zoals bijvoorbeeld uit het Brundtland Report uit 1987, maar voor een invulling aan de hand van de zeventien sustainable development goals (SDG’s). Deze doelen zijn gebaseerd op de onderdelen ‘people, planet, profit, peace en partnership’.

Doordat een organisatie niet alle SDG’s kan beïnvloeden is het van belang dat een organisatie keuzen maakt op welke van de doelen ze zich gaat focussen

Deze keuze voor de SDG’s is gemaakt omdat deze doelen relatief breed bekend zijn en omdat elk type organisatie aan de hand van de SDG’s doelen kan definiëren waarvoor de organisatie verantwoordelijk is. Ditzelfde geldt voor organisatieonderdelen. Omdat een organisatie niet alle SDG’s kan beïnvloeden is het van belang dat een organisatie keuzen maakt op welke van de doelen ze zich gaat focussen. Hiervoor zijn methoden beschreven waarmee een auditor kan toetsen of de doelbepaling op een gedegen manier is uitgevoerd. Deze methoden zijn onderdeel van het normenkader.

De basis van het normenkader

Om te komen tot een normenkader heb ik gebruikgemaakt van een bestaand model. Hierbij is mijn uitgangspunt COSO-ERM geweest, omdat dit een breed geaccepteerd model is dat momenteel al door veel IAF’s wordt gebruikt voor duurzaamheidsonderwerpen. Daarnaast bestaat het uit vijf aparte componenten die alle apart te onderzoeken zijn, of gezamenlijk met een focus op een van de vijf componenten. Dit leidt tot behapbare auditonderwerpen waarbij het onderzoek niet in een keer het gehele auditjaarplan claimt.

Van de vijf COSO-ERM-componenten zijn governance & culture, strategy & objective setting, performance en review & revision uiteindelijk nader uitgewerkt in het normenkader. De vijfde component, communication & reporting, is hierbij niet opgenomen. Dit komt omdat dat gaat over externe rapportage waaraan door middel van de CSRD al invulling is gegeven en wat mijns inziens meer het domein van de externe accountant is. Desondanks zijn onderwerpen uit de CSRD wel impliciet meegenomen in de normen van de andere componenten van het normenkader.

Omdat COSO zelf een document heeft geschreven over de toepassing van COSO-ERM voor ESG-risico’s (enterprise risk management: Applying enterprise risk management to environmental, social and governance-related risks, COSO 2018) ben ik bij het uitvoeren van het onderzoek uitgegaan van de componenten en onderliggende variabelen zoals specifiek beschreven in dat document. De uitwerking hiervan is het uiteindelijke normenkader geworden waarin per variabele specifieke normen zijn uitgewerkt. De component van COSO inzake rapporteren is hierbij zoals eerder beschreven buiten beschouwing gelaten.

Het normenkader

Waarom dan toch een nieuw normenkader als COSO al een stuk heeft geschreven over ERM voor ESG-gerelateerde risico’s? Het belangrijkste verschil tussen mijn normenkader en dat van COSO, is dat COSO met name is gericht op ESG-risico’s van buiten de organisatie die mogelijk invloed hebben op de organisatie en hoe hiermee om te gaan.

Uiteindelijk heb ik het ‘Huis van duurzaamheid’ opgesteld als schematische weergave voor het normenkader (zie figuur 1). Dit normenkader heeft als voornaamste doel de beheersing van duurzaamheid vanuit de eigen organisatie te controleren. Hiermee ligt de focus van het normenkader uit mijn onderzoek meer op de impact van de organisatie op de omgeving, zonder hierbij de invloed van de omgeving op de organisatie te vergeten.

Voor het uitvoeren van de literatuurstudie heb ik per component van COSO literatuur gezocht die een concretere invulling aan de normen geeft dan COSO zelf. Waar passend heb ik ook literatuur vanuit COSO zelf gehanteerd. Om de aanvullende literatuur te vinden heb ik onder andere met een aantal academisch experts gesproken. Vervolgens vond een validatiesessie plaats met vijf andere experts waarna op basis van opmerkingen van deze experts het finale normenkader is opgesteld, waarbij de variabelen per component zijn toegevoegd. Zie voor het uiteindelijke normenkader tabel 1.

Het hele uitgewerkte normenkader bevat zes pagina’s en is daarom niet opgenomen in dit artikel. Ik licht hierna een aantal opvallende normen toe.

Governance

• Stakeholder identificatie door de board (RvC) in het kader van duurzaamheid – Van belang om effectief toezicht te houden en geeft aan dat enkel geïnformeerd worden door het bestuur als RvC niet voldoende is om toezicht te houden op duurzaamheid.
• Het hebben van een apart duurzaamheidscomité in de RvC – Een uitbreiding van de ‘reguliere’ comités binnen een RvC, waarbij mensen met specifieke kennis gevraagd worden.
• Het monitoren van duurzaamheidsinitiatieven van concurrenten door de RvB – Door dit te doen wordt tenminste de industriestandaard gevolgd en kan een organisatie zorgen dat aan de minimale industrie-eisen wordt voldaan.

Cultuur

• Het handelen conform de gewenste cultuur bij ontslagprocedures – Een onderwerp dat vaak lastig is en beperkt zichtbaar. Echter, het verkeerd uitvoeren van een ontslagprocedure kan wel degelijk schade aanrichten aan de perceptie van cultuur bij de medewerkers die blijven.
• Het doorvoeren van de duurzaamheidsnormen en waarden in het aannameproces – Deze norm onderschrijft het belang van een goede hr-afdeling in het vestigen van een duurzame cultuur. Door bij het aannemen en behouden van mensen rekening te houden met duurzaamheid in de normen en waarden, wordt de duurzame cultuur continu versterkt.

Strategie en doelen

• De uitgebreide contextanalyse – Hier zijn al veel tools voor beschikbaar zoals een specifieke SWOT-analyse, ESG-materialiteitanalyse, impact dependancy analyses en overleg met stakeholders. Het belang van een goede contextanalyse voor duurzaamheid moet niet worden onderschat.
• De organisatie heeft op basis van de uitgevoerde analyses de huidige impact op basis van de zeventien SDG’s en de contextanalyse de onderdelen geselecteerd met de grootste impact en hier vervolgens duurzaamheidsdoelen voor geformuleerd – Hiermee wordt feitelijk bedoeld dat na een uitgebreide analyse de belangrijkste onderwerpen op het gebied van duurzaamheid worden aangepakt. Als deze stap goed wordt uitgevoerd, weet de organisatie zeker dat zij stuurt op de onderwerpen waar zij als organisatie de meeste invloed op heeft of die door haar stakeholders het meest belangrijk worden geacht.

Uit onderzoek van het IIA blijkt dat 50% van de respondenten geen bestaand model hanteert voor het onderzoeken van duurzaamheid

Risico’s en beheersing

• Het bepalen van de kans-impactanalyse wordt uitgevoerd door een van de volgende methoden:
  – een Root-cause-analyse;
  – de input van duurzaamheidsexperts;
  – het gebruiken van specifieke ESG-gerelateerde tooling – Deze norm is van belang in de risico-inschatting zodat bij het maken van de keuze om een risico bijvoorbeeld te mitigeren duidelijk is waarom een risico hoog, midden of juist laag is.
• Voor alle duurzaamheidsdoelen waarbij de risico’s gereduceerd of in positieve zin nagejaagd worden, zijn ten minste interactive control systems en boundary controls ingericht – Dit is een meer technische norm, waarbij de exacte invulling minder is voorgeschreven. Doordat duurzaamheid een relatief nieuw beheersingsonderwerp is, is het van belang dat diverse perspectieven van afdelingen en managementlagen in de organisatie op duurzaamheidsvraagstukken worden besproken (interactive controls), en dat heel duidelijk is welke handelingen absoluut niet worden getolereerd (boundary controls).

Monitoring

• De organisatie heeft interactive control systems ingericht om grote externe veranderingen die mogelijk impact hebben op de duurzaamheidsdoelen snel/tijdig te identificeren – Dit is van belang omdat in een snel veranderende wereld verschillende perspectieven noodzakelijk zijn om de belangrijkste veranderingen te onderkennen.
• De organisatie heeft ten minste een medewerker belast met het monitoren van wijzigingen in duurzaamheidswet- en regelgeving – Zoals de CSRD momenteel veel invloed heeft, kunnen wijzigingen in wetgeving of interpretatie van wetgeving veel invloed hebben op de duurzaamheidsdoelen of acties. De monitoring hiervan beleggen bij een specialist moet voorkomen dat een organisatie hierdoor verrast wordt.

Beperkingen en vervolgonderzoek

Bij het uitvoeren van mijn onderzoek zijn keuzen gemaakt waarvan enkele tot potentiële zwakten in het onderzoek hebben geleid. De zwakten van het onderzoek en mogelijkheden voor vervolgonderzoek zijn hierna nader uitgewerkt.­­

• Tijdens de validatiesessie zijn niet alle normen expliciet per norm gevalideerd door alle experts. Hierdoor is de betrouwbaarheid van de resultaten uit de validatiesessie lager. Dit wordt deels gecompenseerd doordat achteraf de opmerkingen van vier van de vijf experts zijn ontvangen en verwerkt.
• Het uiteindelijke normenkader na de eerste validatie is niet afzonderlijk nogmaals gevalideerd.
• De experts zijn allen werkzaam bij organisaties met een grote IAF, waardoor de validatieresultaten over praktische hanteerbaarheid niet zijn te extrapoleren naar organisaties met kleine IAF’s. Voor vervolgonderzoek kan het interessant zijn om te onderzoeken of dit normenkader ook voor kleine IAF’s haalbaar en praktisch hanteerbaar is.
• De eisen voor een cultuur gericht op duurzaamheid zijn enkel voor zichtbare elementen beschreven. In dit onderzoek is geen link gevonden tussen literatuur over de invulling van een op duurzaamheid gerichte cultuur, waardoor de perceptie van cultuur is gehanteerd. Een vervolgonderzoek naar de kenmerken van een op duurzaamheid gerichte cultuur kan bijdragen aan verdere wetenschappelijke onderbouwing en aanscherping van de normen.
• Het normenkader is opgesteld op basis van COSO-ERM. Dit is echter een model dat niet empirisch is gevalideerd, waardoor dit een mogelijke zwakte van het onderzoek is. Empirisch vervolgonderzoek naar de toegevoegde waarde van het toepassen van COSO-ERM voor de beheersing van de belangrijkste risico’s is aan te bevelen.
• Een onderzoek naar de toegevoegde waarde van het toepassen van het normenkader. Hebben organisaties die worden getoetst op basis van deze normen een effectievere en/of efficiëntere beheersing van duurzaamheid?