Net als extern accountants spelen ook de internal auditors een belangrijke rol als het gaat om ESG-rapportage. De betrokkenheid van internal auditors bij het borgen van duurzaamheid in de governance, het risicomanagement en de operationele processen van organisaties, biedt een enorme kans voor de beroepsgroep, schreven Muriël Hesselberg en Rob de Leeuw een jaar geleden in een uitgebreid artikel. Enerzijds om de relatie tussen Interne Audit (IA) en haar stakeholders te verstevigen, anderzijds om proactief de toegevoegde waarde van IA op strategisch niveau te tonen. Het artikel was bedoeld als een call to action voor internal auditors, omdat zij zowel het vermogen als de connecties hebben om duurzaamheid in alle lagen van de organisatie te verankeren.
Welke nieuwe ontwikkelingen zien jullie sinds het vorige artikel?
Hesselberg: "Inmiddels staat ESG als risico én als kans veel hoger op de kalender dan een jaar terug. Nu de rapportageverplichting dichterbij komt worden de uitdagingen concreter. Denk hierbij bijvoorbeeld aan het uitvoeren van de dubbele materialiteitsbeoordeling en de strategische gevolgen daarvan."
De Leeuw: "We zien dat er nu zelfs meer nodig is dan we toen voorspelden."
Hesselberg: "De rapportageverplichting toont bijvoorbeeld dat onderliggende processen en IT-systemen van organisaties nog onvoldoende robuust zijn om betrouwbaar te kunnen rapporteren. Zo is data niet altijd beschikbaar, wat de nodige risico's met zich meebrengt."
De Leeuw: "En zonder data worden er aannames gedaan die om extra controles vragen.
Hesselberg: "Vanwege de toenemende regeldruk zijn organisaties op zoek naar goede controlesystemen. Tegelijkertijd doen ook bedrijven die nog niet zo sterk met rapporteren bezig zijn wél allerlei commerciële statements en strategische duurzaamheidsbeloften. Ook daar ligt een kans voor internal auditors, namelijk toetsen of deze beloften wel onderbouwd en haalbaar zijn."
Jullie hebben drie pijlers ontwikkeld die internal auditors kunnen helpen zich te ontwikkelen tot een betrouwbare adviseur op het gebied van duurzaamheid, een partner die op strategisch niveau kan meepraten. Welke pijlers zijn dat?
Hesselberg: "Het begint met het investeren in kennisopbouw. Niet alleen als het gaat om ontwikkelingen op het gebied van wet- en regelgeving, maar juist ook kennis over de duurzaamheidsstrategie van de organisatie, zoals de vraag hoe ESG terugkomt in de kernstrategie van de organisatie, of wat de huidige stand van zaken is op het gebied van rapportage aan interne en externe stakeholders."
De Leeuw: "Daarnaast moet duurzaamheid worden geborgd in de alle IA-activiteiten waaronder bijvoorbeeld het jaarlijkse auditplan en het bestaande risicobeoordelingsprogramma. Op die manier kan IA als strategisch adviseur een waardevol gesprek aangaan met stakeholders en management."
Hesselberg: "IA'ers hebben informatie en inzichten die voor de hele organisatie van belang is. Met andere woorden: als ze kennis opbouwen en die integreren in al hun werkzaamheden, dan hebben zij bij uitstek de informatie die je nodig hebt om op strategisch niveau aan tafel te zitten en van toegevoegde waarde te zijn."
Het valt De Leeuw en Hesselberg op dat IA-afdelingen heel verschillend met duurzaamheid bezig zijn. Er worden weliswaar veel position papers over het onderwerp geschreven, maar er is geen vastomlijnd idee hoe IA hiermee om moet gaan. Dat heeft tot gevolg dat het bij de ene afdeling nog in de kinderschoenen staat en dat er op een andere afdeling al aan oplossingen wordt gewerkt.
Hoe komt dat, en wat is er nodig om er meer eenheid in te krijgen?
De Leeuw: "Dat typeert hoe IA binnen organisaties wordt opgetuigd, iedere afdeling heeft zijn eigen internal auditors. Tegelijkertijd zou het mooi zijn als er meer consistentie ontstaat over de aanpak. Op dit moment zien we overal een sterke focus op de wet- en regelgeving, in plaats van dat het gaat over de kansen die het biedt om je IA-afdeling beter te positioneren."
Hesselberg: "Het vereist dan ook een andere manier van denken over hoe je als organisatie in control bent. Niet alleen over je eigen processen, maar ook over de impact die je als organisatie hebt op je omgeving. Ook daar liggen kansen voor IA om impact te maken op hun stakeholders."
De Leeuw: "Als internal auditor heb je een unieke positie om antwoord te geven op de vraag in hoeverre duurzaamheid binnen de hele organisatie en op alle niveaus (governance, risicomanagement en operationele processen) voldoende wordt geborgd."
Hesselberg: "Als IA'er heb je alle dwarsdoorsnedes van de organisatie, ook op dit gebied. Duurzaamheid is feitelijk een add-on op alles wat er binnen een bedrijf gebeurt en geeft je de kans vanuit een nieuw perspectief, deep dives te doen op de hele organisatie. En hier mee impact te maken op zowel proces als strategisch niveau"
Heb de moed om een voorloper te zijn, betogen Hesselberg en De Leeuw, maar doe dat wel gedegen door te investeren in kennis over zowel de ontwikkelingen rond wet- en regelgeving, als de duurzaamheidstrategie van je organisatie. Met oog voor zowel de risico's als de kansen.
Wat zijn de next steps die internal auditors moeten nemen om van toegevoegde waarde te zijn?
Hesselberg: "Neem de kennis die je verzamelt mee in je risico assessment, en maak het integraal onderdeel van je audit jaarplan."
De Leeuw: "Denk zoals gezegd niet alleen vanuit wet- en regelgeving, maar kijk naar kansen en de impact die de organisatie maakt. Welke zijn er voor jouw organisatie, en is je organisatie op weg om de strategische doelen te bereiken?"
Hesselberg: "Ik werk veel in de financiële sector en zie dat IA-afdelingen nog lang niet altijd betrokken zijn, terwijl duurzaamheidsafdelingen juist zoeken naar manieren om hun interne beheersing te versterken. Ik denk dan ook dat auditors een belangrijke en positieve aanjagende rol kunnen pakken bij het verder professionaliseren van de controlesystemen."
De Leeuw: "De nieuwe wet- en regelgeving komt in volle vaart op ons af. Dit is hét moment om als AI-afdeling je relaties binnen de organisatie te verstevigen en je waarde te laten zien.
Hesselberg: "Dat vraagt om lef, maar het is tegelijkertijd ook je verantwoordelijkheid vanwege de unieke positie die je hebt. Dus pak die rol en ga het gesprek aan!"