Inleiding

In januari 2010 berichtte The New York Times over een filiaal van kledingconcern H&M dat onverkochte kledingcollecties verknipte in plaats van de restanten te leveren aan daklozenorganisaties. Binnen de kortste tijd zwol de publieke verontwaardiging hierover aan op Twitter en Facebook. Burgers keurden de actie en masse af – zeker ten tijde van de barre kou en de economische crisis. H&M liep flinke reputatieschade op, onder andere doordat het bedrijf dagenlang niet adequaat communiceerde op de social media platforms. In de nasleep van het incident werd door experts vooral gewezen op het belang van een adequate communicatiestrategie in dergelijke gevallen. Dat is natuurlijk volkomen terecht, maar de vraag dringt zich ook op of (en hoe) het incident te voorkomen was.

Het eenvoudige antwoord op die vraag is ja. Wat daarvoor nodig is, is dat alle medewerkers van bedrijven als H&M de waarden op het gebied van duurzaamheid – vaak opgenomen in gedragscodes – toepassen in hun dagelijkse werkzaamheden. Als duurzaam opereren de normaalste zaak van de wereld wordt, dan is het onwaarschijnlijk dat een dergelijk incident nog plaatsvindt. Duurzaamheid moet dus systematisch in processen worden verankerd en geïnternaliseerd in de cultuur.

Dat is echter wat kort door de bocht, want zo’n volledige integratie gaat nog vele jaren duren en is in elk geval voor de meerderheid van de ondernemingen nu nog niet aan de orde.

Zolang duurzaamheid nog niet voor iedereen een vanzelfsprekendheid is, is er aanvullende actie nodig om dergelijke problemen te voorkomen. Veel bedrijven realiseren zich dat ook terdege en investeren in het opzetten van een duurzaamheidsbeleid en het houden van stakeholderdialogen. Hiermee krijgen ze scherper zicht op (de onderstroom van) maatschappelijke ontwikkelingen en daarmee ook op de vraag welke issues er de komende tijd veel aandacht zullen krijgen. Door met stakeholders te communiceren over hun zorgen en aanbevelingen krijgen ze goed zicht op wat deze stakeholders specifiek verwachten van hun operaties en kunnen daarop beter inspelen. In veel gevallen is het duurzaamheidsjaarverslag een belangrijk middel in de communicatie met de diverse stakeholdergroepen.

Het nut van deze activiteiten hangt echter sterk af van de vraag of organisaties er ook daadwerkelijk in slagen de wensen van stakeholders te vertalen naar hun organisatie. Als het alleen bij een operatie voor de bühne blijft en niet leidt tot zelfreflectie is het resultaat nihil en kan het zich zelfs als een boemerang tegen de organisatie keren.

Verankering van sustainability

Voor veel bedrijven is het volstrekt duidelijk dat met duurzaamheidsaspecten in de bedrijfsvoering rekening gehouden dient te worden. Uit wereldwijd KPMG-onderzoek onder bijna vierhonderd senior executives blijkt dat nog maar vijf procent van de bedrijven van mening is dat een sustainabilitystrategie voor hun bedrijf niet noodzakelijk is ([KPMG11a]).

De wijze waarop bedrijven proberen duurzaamheidsaspecten te integreren in de bedrijfsvoering lijkt veelal langs de volgende lijnen te lopen. Een stafafdeling (vaak met een oorsprong in corporate communications, public affairs, of indien al aanwezig de milieuafdeling) onderzoekt wat duurzaamheid voor het bedrijf precies betekent, agendeert de relevante thema’s en probeert het belang voor en de rol van de verschillende businessfuncties (bijvoorbeeld operations, supply chain, HR) duidelijk te maken.

Dat belang wordt veelal op een hoger niveau ook herkend. Onder andere versterking van de ‘brand’, risk management, verankering in de IT-systemen en kostenreductie worden gezien als belangrijke ‘drivers’ om duurzaamheid in de bedrijfsvoering te integreren. Daarnaast wordt duurzaamheid in toenemende mate gezien als een bron van innovatie ([KPMG11]). Toch slagen bedrijven er nog niet altijd in de bedrijfsvoering dusdanig aan te passen dat alle kansen worden gegrepen en risico’s gemitigeerd, zoals ook het voorbeeld van H&M aantoont.

De sustainabilityfunctie blijkt nog niet altijd voldoende in staat de benodigde verankering in de organisatie tot stand te brengen. Weliswaar vervult zij intern veelal een sterke ambassadeursfunctie en zet ze ontwikkelingen in gang, maar het zit niet altijd in haar macht en aard om processen te veranderen, aspecten te integreren in de interne en externe verslaggeving of risicomanagement te implementeren. Men mist hiermee implementatiekracht en wordt door het management ook niet altijd in die hoek geplaatst.

Behoefte aan centrale afdeling: Internal Audit?

Organisaties hebben, naast de duurzaamheidsafdeling, dan ook behoefte aan een centrale afdeling of functie die zich nog meer richt op de kwaliteit van de ’embedding’ van duurzaamheid en die rapporteert over de mate waarin het in de genen van de organisatie en haar mensen zit. In het geval van H&M had zo’n functie kunnen vaststellen dat er in tijden van economische crisis waarschijnlijk veel maatschappelijke verontwaardiging is over verkwisting. Men had de werkwijze rondom restanten nog eens kritisch tegen het licht kunnen houden of kunnen communiceren over het belang van het voorkomen van verkwisting.

Wie zou die rol op zich kunnen nemen? Het ligt dan ook voor de hand dat Internal Audit hier een actieve rol vervult, als specialist op het gebied van interne beheersing en risicomanagement. Internal Audit heeft immers de vaktechnische en bedrijfskennis voor een objectieve beoordeling van risico’s en kan dat ook ontwikkelen op het vlak van duurzaamheid. Volgens de ‘officiële’ definitie van het Institute of Internal Auditors (IIA) heeft Internal Audit het thema risk management – dat direct op de geschetste uitdaging aansluit – ook in de portefeuille: ‘Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.’ ([IIA])

Duurzaamheid is een kernthema voor veel bestuurders en in de vluchtige ‘120 tekens cultuur’ kan snel grote (reputatie)schade ontstaan als gevolg van incidenten. Ondernemingen zetten dan ook steeds meer in op de preventie van incidenten door assurance en advies van Internal Audit. De focus ligt hierbij op onderliggende processen, systemen en interne controle. De internal auditor kijkt met andere woorden naar het borgen van duurzaamheid in de processen van de organisatie. Ook het IIA meent overigens dat de internal auditor dit thema met verve moet oppakken. In het paper Governance in duurzaamheid is een aantal conclusies getrokken over de rol die Internal Audit op het gebied van Corporate Social Responsibility (CSR) kan spelen ([IIAN11]). Op deze plaats lichten we er drie uit:

Betrokkenheid van Internal Audit bij CSR neemt toe

De betrokkenheid van de Internal Audit bij CSR is de afgelopen jaren steeds verder toegenomen. In de toekomst neemt dit alleen maar verder toe doordat de maatschappelijke relevantie van CSR groter wordt en organisaties hun strategie hierop laten aansluiten. De internal auditor zal daardoor steeds meer prioriteit geven aan de werkzaamheden op het gebied van CSR. Het implementeren en beheersen van CSR binnen organisaties is in ontwikkeling. Audit van CSR ontwikkelt zich in lijn met de evolutie van CSR als auditobject.

Internal audit heeft ruime toegevoegde waarde bij CSR

Aangezien CSR zich sterk ontwikkelt, is de scope van de werkzaamheden van de internal auditor op het gebied van CSR ruim; naast de audits wordt vooral ook een adviesrol ingevuld. De internal auditor zal met zijn expertise belangrijke toegevoegde waarde leveren aan het proces van definiëren van beleid en criteria, normen stellen, beheersingsmaatregelen bepalen, uitkomsten meten, vastleggen en rapporteren. Alle ontwikkelingsfasen zoals de totstandkoming van de opzet, de implementatie in de organisatie en het versterken van de operationele effectiviteit lenen zich bij uitstek voor een goede bijdrage van de internal auditor.

Verdere integratie van CSR in de bedrijfsprocessen is noodzakelijk

De integratie van de CSR in de bedrijfsprocessen, de IT-systemen, de business controls frameworks en het risicomanagement moet verder groeien. De belangrijkste CSR-risico’s zijn reputatie- en compliancerisico’s. Internal Audit is, gezien de expertise van de bedrijfsprocessen en -risico’s, bij uitstek geschikt om de daaraan gerelateerde auditwerkzaamheden uit te voeren.

Deze drie conclusies laten aan duidelijkheid niets te wensen over. Duurzaamheid wint aan belang, en daarmee nemen gerelateerde risico’s op gebieden als reputatie en compliance toe. Een internal auditor kan zijn toegevoegde waarde ondubbelzinnig laten zien als hij in staat is om de externe signalen op dit gebied te vertalen naar de interne beheersing. Het management heeft in deze tijd tenslotte steeds meer behoefte aan een goed oordeel van Internal Audit over de effectiviteit van de beheersing en de afstemming van het raamwerk van beheersingsmaatregelen op de bedrijfsactiviteiten en externe ontwikkelingen.

Daarbij gaat het niet alleen om het beoordelen van structuren, (IT-)systemen, procedures en controles maar (vooral) ook om het beoordelen van de soft controls in een organisatie. Internal Audit heeft tot taak – afhankelijk van de invulling van het audit charter – om (aanvullende) zekerheid te geven over de kwaliteit van de corporate governance en internal control. Dat vereist ten aanzien van het thema duurzaamheid ook dat men erop toeziet dat de organisatiecultuur in overeenstemming is met de doelstellingen en de context van de duurzaamheidsstrategie. Auditors kunnen daartoe bijvoorbeeld periodiek de cultuur van de organisatie toetsen – een assessment van de soft controls – of bij veranderingstrajecten nagaan of adequaat wordt ingespeeld op de omgeving.

Belangrijke ontwikkelingen die de rol van de internal auditor verder vormgeven

De internal auditor heeft dus een kans om de missing link tussen het opvangen van externe signalen en interne beheersing in te vullen. Wat daarvoor nodig is, naast de gebruikelijke objectiviteit, is dat de internal auditor beschikt over de vereiste kennis en competenties. Er is kennis nodig van de relevante thema’s en – waarschijnlijk nog belangrijker – een proactieve houding. Duurzaamheid – en de verslaggeving erover – is voortdurend in ontwikkeling en dat geldt ook voor de verwachtingen van stakeholders en het belang van bepaalde issues. Alleen wie deze ontwikkelingen tot op het bot begrijpt kan ze vertalen naar de interne beheersing ervan. En daarmee op zijn minst bijdragen aan het voorkomen van incidenten zoals deze bij H&M optraden.

Ontwikkeling 1: Belang kwaliteit informatie in duurzaamheidsverslaggeving neemt toe

Zoals geschetst vergt een goede borging van sustainability in de organisatie dat signalen van stakeholders rond duurzaamheidsthema’s worden herkend en dat hierover de dialoog met de stakeholders wordt gevoerd. Daarmee halen bedrijven belangrijke informatie op om hun bedrijfsvoering te verbeteren, maar zijn zij ook in staat hun reputatie en imago te beïnvloeden.

Voor veel bedrijven speelt duurzaamheidsverslaggeving een centrale rol in de dialoog met de stakeholders. Hierbij wordt het begrip duurzaamheidsverslaggeving breder uitgelegd dan alleen het uitbrengen van een duurzaamheidsjaarverslag. Meer en meer kiezen bedrijven ervoor om met behulp van de mogelijkheden die het internet hen biedt de informatie uit het duurzaamheidsverslag toe te snijden op de wensen van de individuele stakeholdergroepen. De trend van het integreren van duurzaamheidsjaarverslagen en financiële jaarverslagen toont daarbij aan dat hierbij ook nadrukkelijk de stakeholders in de financiële wereld in beeld zijn.

Uit recent onderzoek van KPMG ([KPMG11]) blijkt dat 95 procent van de grootste bedrijven in de wereld (Global Fortune 250) rapporteert over duurzaamheid. Voor de honderd grootste bedrijven in 34 landen is dat aandeel inmiddels 69 procent. Voor deze bedrijven is de belangrijkste drijfveer voor sustainability reporting hun reputatie of ‘brand’.

Het moge duidelijk zijn dat het voor bedrijven dus van groot belang is dat de informatie in hun verslag een juiste weergave geeft van de werkelijkheid. Als dat niet het geval is zijn er twee risico’s te onderscheiden: onder- en overwaardering van de duurzaamheidsprestaties. Dit wordt geïllustreerd in figuur 1.

Figuur 1. Balans tussen duurzaamheidsprestaties en -communicatie (bron: KPMG00]).

Indien een bedrijf de prestaties op duurzaamheidsgebied onvoldoende voor het voetlicht weet te brengen bij de belangrijkste stakeholders, loopt het het risico gezien te worden als een partij die haar maatschappelijke rol onvoldoende invult. Daarmee zou het bedrijf over zich kunnen afroepen dat het door een gebrek aan informatie door NGO’s in een negatief daglicht wordt gesteld. Een andere mogelijkheid is dat het bedrijf kansen in de markt laat liggen, doordat het in vergelijking met concurrenten er onvoldoende in slaagt om de maatschappelijke voordelen van zijn producten naar voren te brengen.

Het schetsen van een te rooskleurig beeld heeft andere nadelen. Hoewel in eerste instantie wellicht een ‘groen imago’ verworven kan worden, zullen door diverse stakeholders al snel de daadwerkelijke duurzaamheidsprestaties grondig worden geanalyseerd. Als blijkt dat het bedrijf zich hierbij te mooi heeft voorgedaan, zullen de daaropvolgende beschuldigingen van ‘green washing’ de reputatie geen goed doen. En zoals bekend ‘komt vertrouwen te voet, maar gaat het te paard’.

Al met al zal het bedrijven er dus veel aan gelegen zijn om hun prestaties in het duurzaamheidsverslag op een gebalanceerde wijze weer te geven. Uit het KPMG-onderzoek blijkt dat bedrijven dan ook serieus aandacht geven aan de kwaliteit van de informatie in het verslag. Zo neemt het aandeel van verslagen die extern geverifieerd zijn, over de jaren toe. Bijna de helft van de Global Fortune 250-bedrijven heeft informatie in het duurzaamheidsverslag extern laten verifiëren. Daarnaast laat het onderzoek zien dat een derde van de Global Fortune 250-bedrijven en een vijfde van de top 100 grootste bedrijven in 34 landen restatements van hun eerder gepubliceerde duurzaamheidsdata bevatten, wat wijst op een beweging van continue verbetering.

Ontwikkeling 2: Behoefte aan verdere diepgang externe assurance

Tevens geeft een toenemend aantal bedrijven hun externe-assuranceprovider opdracht om de assurance bij de duurzaamheidsinformatie met een grotere diepgang te verrichten. De meeste duurzaamheidsinformatie wordt tegenwoordig nog gecontroleerd met als doel het verkrijgen van een ‘beperkte mate van zekerheid’ (‘Review’). Een aantal koplopers vindt dat echter niet meer voldoende. Doordat de informatie die gecontroleerd wordt een steeds belangrijkere rol heeft in de bedrijfsvoering (de prestaties maken bijvoorbeeld deel uit van de C-level remuneratiecriteria) of direct een economische waarde vertegenwoordigt (denk aan CO₂-emissies in emissiehandel) willen deze bedrijven een controle met een ‘redelijke mate van zekerheid’. Dit is het niveau van zekerheid dat ook voor de financiële jaarrekening wordt toegepast.

Het percentage restatements in de verslagen is wel vele malen hoger dan wat gebruikelijk is in financiële verslaggeving. En hoewel voor veel van de bedrijven de ‘restatements’ een resultante van kwaliteitsverbetering ten gevolge van externe-assuranceprocessen zijn, blijkt tevens dat voor bijna de helft van de bedrijven in het KPMG-onderzoek er geen zichtbare ‘board level’ verantwoordelijkheid voor of betrokkenheid bij de totstandkoming van het duurzaamheidsverslag was. Ook was er bij minder dan twintig procent van de onderzochte bedrijven sprake van het gebruik van een IT-systeem ter ondersteuning van de rapportage van de duurzaamheidsinformatie.

Het moge duidelijk zijn dat de internal auditor in het toetsen van de beheeromgeving en het tot stand komen van de duurzaamheidsverslaggeving een belangrijke rol moet spelen. Door middel van audits zal de internal auditor de beheersingsmaatregelen van de processen en systemen in kaart dienen te brengen en te toetsen aan de geldende normen. Net als voor de financiële rapportageprocessen zal voor de duurzaamheidsprocessen hierbij ook de nadruk komen te liggen op beheersing in de IT-systemen (application controls, autorisaties, functiescheiding, etc.). De internal auditor begrijpt als geen ander de beheersingsmaatregelen in de systemen of processen en moet hier dus op aangehaakt zijn.

Ontwikkeling 3: Integratie van financiële en duurzaamheidsverslaglegging

In het verlengde van de vorige ontwikkeling zullen de duurzaamheids- en financiële verslaglegging verder worden geïntegreerd. Naast het integreren van het rapportageproces (en alle beheersingsmaatregelen daarbinnen), zal dit ook gelden voor de structuren die gelden voor de financiële verslaglegging. Hierbij kun je denken aan het zogeheten ‘line of defense’-model voor het leveren van assurance.

In dit model heeft het management (first line) naast het opstellen van de sustainabilityrapportage ook een belangrijke taak bij het aantonen van de kwaliteit hiervan. Hierbij zal de werking van controls binnen de bedrijfs- en rapportageprocessen en systemen worden getest. De sustainabilityafdeling is hier niet altijd bekend mee, wat normaal gesproken wel geldt voor de financiële afdeling.

De externe auditor (third line) wil steunen op de bedrijfs- en rapportageprocessen en -systemen, zeker indien de organisatie overgaat naar een ‘redelijke mate van zekerheid’.

Het moge duidelijk zijn dat de internal auditor een rol moet nemen (second line) tussen het management en de externe auditor. Niet alleen om het financiële rapportagemodel te spiegelen (en hierdoor ook te integreren), maar ook omdat de internal auditor het management kan ondersteunen in het aantonen van de kwaliteit van deze processen.

Ontwikkeling 4: Sustainability reporting systems

Een aantal ontwikkelingen op het gebied van sustainability reporting maakt dat de rol van de internal auditor ook op dit gebied steeds belangrijker wordt. Zoals net aangegeven, zijn steeds meer bedrijven actief in het integreren van de informatie uit hun duurzaamheidsverslag in het reguliere jaarverslag. Daarbij is het vanzelfsprekend belangrijk dat de niet-financiële data net als de financiële data op efficiënte wijze worden verzameld en betrouwbaar zijn. Hiervoor gaan bedrijven op zoek naar IT-oplossingen die dit mogelijk maken. Veelal wordt er op dit moment nog gekozen voor separate, specifiek op duurzaamheidsinformatie gerichte systemen, maar de verwachting is dat met het verder integreren van duurzaamheidsaspecten in de bedrijfsvoering, ook de rapportageprocessen en -systemen verder worden geïntegreerd. In beide gevallen is er voor de internal auditor een rol weggelegd om de kwaliteit van het verzamelen, aggregeren en rapporteren van de sustainabilitygegevens te beoordelen.

In deze Compact zijn bovenstaande ontwikkelingen ook in andere artikelen verder uitgewerkt.

De rol(len) van de internal auditor op het gebied van sustainability

Dit alles bevestigt het eerder geschetste beeld van de noodzaak om sustainability verder in organisaties te borgen. Daarmee zal ook de kwaliteit van rapportage als vanzelfsprekend naar een volgend niveau worden gebracht. Zoals ook wordt geïllustreerd door figuur 2, kan de internal auditor in dit speelveld van borging en verantwoording een uitstekende rol vervullen. Enerzijds als verschaffer van assurance, al dan niet in samenspel met de externe-assuranceprovider. Anderzijds in een meer adviserende rol, waarbij vanzelfsprekend de onafhankelijkheid in acht dient te worden genomen. Internal Audit heeft tenslotte de vaktechnische en bedrijfskennis voor een objectieve beoordeling van risico’s en kan dat ook ontwikkelen op het vlak van duurzaamheid.

Figuur 2. Mogelijke rollen van de internal auditor (bron: IIAN11]).[Klik hier voor grotere afbeelding]

Naast de primaire assurance- of adviesrol van Internal Audit, kunnen internal auditors ook op specifieke thema’s hun toegevoegde waarde inbrengen. Een thematisch onderzoek is daarvan een goed voorbeeld. De invulling ervan is sterk afhankelijk van het karakter van de organisatie en de sector waarin men opereert. In het geval van een bank is het denkbaar dat internal auditors regelmatig bepaalde thema’s onderzoeken. Daarmee kunnen zij zichtbaar maken hoe maatschappelijke thema’s de bedrijfsvoering raken. Voorbeelden van thema’s zijn bijvoorbeeld klimaatverandering, palmolie, waterschaarste en de ‘blootstelling’ van de bank in bijvoorbeeld haar beleggingen of kredieten. In het geval van een retailer kunnen heel andere thema’s relevant zijn. Internal auditors zullen zich dan bijvoorbeeld richten op de effecten van schaarste van grondstoffen, mensenrechten of veiligheid op (de continuïteit van) de toeleveringsketen.

Concreet zien we voor de komende jaren een aantal taken op de internal auditor afkomen. Bij de zogenaamde frontrunners op het gebied van sustainability assurance zien we dat er een takenpakket voor de internal auditor gevormd wordt. Voor de komende jaren heeft de internal auditor een mooie uitdaging. Behoeften die veel genoemd worden zijn:

• ‘challenging partner’ voor management met betrekking tot beheersing van sustainabilityonderwerpen;
• review van integriteit van sustainability KPI’s voor interne sturing en externe rapportage;
• monitoren van de juiste verankering van sustainability binnen de organisatie;
• begeleiden van organisaties van limited naar reasonable assurance op sustainabilitygebied;
• het testen van het ontwerp en de werking van beheersingsmaatregelen op het gebied van sustainabilityprocessen;
• assurance / advies op de implementatie van een sustainability reporting system.

Conclusie

Voor bedrijven is er nog veel te winnen op het gebied van duurzaamheid. Daarvoor is het essentieel dat de organisatie is afgestemd op de kansen en risico’s die het thema biedt en dat de stakeholders in verslaggeving van informatie worden voorzien. Nu bij veel bedrijven de duurzaamheidskansen en -risico’s steeds beter bekend zijn, wordt het tijd de integratie in de bedrijfsvoering verder te organiseren. Daarbij moet de Internal Audit-functie een rol gaan vervullen. De combinatie van bedrijfskennis en ervaring met advies over en assurance bij controls en processen maakt dat de internal auditor uitstekend geëquipeerd is om bij te dragen aan het naar het volgende niveau brengen van de organisatie op het punt van duurzaamheid. Momenteel is sustainability nog niet een standaardaandachtspunt op de Internal Audit-agenda. Ontwikkelingen die genoemd zijn in dit artikel zullen daar op korte en langere termijn verandering in moeten gaan brengen.