Internkontroll knyttet til bærekraftsrapportering
Kommende EU-reguleringer setter føring for selskapers interne rapporteringsprosesser og kontroller knyttet til bærekraftsrapportering.
Senior konsulent Climate Change and Sustainability Services, EY
Senior konsulent i Climate Change and Sustainability Services, EY
Internkontroll defineres som en prosess som implementeres av et selskaps styre, ledelse og ansatte, med formål å gi rimelig sikkerhet til oppnåelsen av mål knyttet til drift, rapportering og etterlevelse. Internkontroll skal sikre effektivitet, nøyaktig og pålitelig rapportering, overholdelse av gjeldende regelverk og beskytte eiendeler mot tap.*Committee of Sponsoring Organizations of the Treadway Commission (COSO).2019. COSO Internal Control – Integrated Framework: An Implementation Guide.
Bærekrafstrapportering har med tiden blitt en permanent forlengelse av finansiell rapportering for mange selskaper og er av økende betydning for blant annet selskapsverdien. Selskapsverdien gjenspeiler den totale verdien av et selskap, som blant annet investorer legger til grunn for sine beslutninger. Flere undersøkelser viser at investorer i økende grad er bekymret for kvaliteten på rapportert bærekraftsinformasjon.*Three-quarters of institutional investors say they may divest from companies with poor environmental track records | EY - Global.
For å styrke tilliten og sikre korrekt og pålitelig bærekrafstrapportering er det derfor viktig at selskapene utformer og etablerer en velfungerende og effektiv internkontroll, også kalt «Internal Control Over Sustainability Reporting» («ICSR»).* Committee of Sponsoring Organizations of the Treadway Commission (COSO).2023. Achieving effective internal control over sustainability reporting (ICSR): Building Trust and Confidence through the COSO Internal Control—Integrated Framework. Corporate Sustainability Reporting Directive («CSRD») setter også krav til rapportering av selskapers internkontroll gjennom European Sustainability Reporting Standards («ESRS») som flere norske selskaper må rapportere etter allerede for regnskapsåret 2024.*Corporate sustainability reporting (europa.eu).
Fra 2028 er det forventet at det blir krav om full revisjon av rapportert bærekraftsinformasjon på lik linje som finansiell revisjon. At selskapene får på plass gode rutiner og kontroller knyttet til ICSR vil derfor være med på å sikre selskapers langsiktige verdiskapning og eksistens fremover.
Over er en forenklet figur (Figur 1) som viser prosessen for å sikre god internkontroll i et selskap. Selskapet må starte med å identifisere prosessene som ligger bak den rapporterte informasjonen, og dermed gjennomgå og kvalitetssikre prosessen for å identifisere og vurdere faktiske og potensielle risikoer. Videre etableres en kontrollstruktur og selskapet definerer kontroller som tar opp risikoene knyttet til prosessen. Kontinuerlig vurdering og forbedring er viktig for å vite at man håndterer den relevante risikoen og holder den på et akseptabelt nivå, dette gjelder spesielt for områder knyttet til bærekraft som er under utvikling og stadig i endring.
Effektiv internkontroll kan bidra til selskapets langsiktige verdiskapning
Effektiv ICSR kan bidra til å sikre selskapets langsiktige verdiskapning gjennom blant annet å håndtere risiko, redusere kostnader, styrke omdømme, utnytte og identifisere vekst- og prioriteringsområder samt sikre overholdelse av regelverk.
Ved å ha etablerte kontrollsystemer for risikohåndtering knyttet til bærekraft kan selskapet identifisere og redusere potensielle risikoer, for å skape en mer stabil og forutsigbar drift. God internkontroll knyttet til håndtering av risikoer vil også styrke tilliten investorer har til bærekraftarbeidet til selskapet, gjennom at man oppnår en mer pålitelig og nøyaktig rapportering som er viktig for å sikre en langsiktig verdiskapning. Gjennom gode kontrollsystemer for risikohåndtering vil selskapet i tillegg redusere risikoen for negative konsekvenser fra for eksempel tilsynsmyndigheter og revisor som følge av feilaktig eller misvisende rapportering.
Fokus på risiko- og mulighetsområder kan bidra til kostnadsbesparelser gjennom økt effektivitet og bedre ressursutnyttelse, som kan frigjøre kapital som kan brukes til andre formål. Den frigjorte kapitalen kan for eksempel brukes på prioriterte områder hvor det er identifisert muligheter for vekst.
Effektiv ICSR kan bidra til å styrke selskapets omdømme og merkevare, på et område med stor omdømmerisiko gjennom for eksempel negativ omtale i media. Investorer, øvrige interessenter og samfunnet for øvrig blir mer bevisste på selskapers påvirkning og risikoer knyttet til bærekraft. Det er derfor viktig at interessenter kan ha tillit til at disse spørsmålene blir behandlet gjennom et effektivt kontrollsystem.
Dersom et selskap etablerer og utformer et system for god internkontroll, kan det bidra til oppnåelse av en bærekraftig forretningsmodell hvor rapporteringen reflekterer hvordan selskapet jobber med bærekraft, både i den daglige operative driften og på et strategisk nivå. Det kan føre til bedre selskapsstyring og sikre utvikling i henhold til fastsatt strategi, som vil bidra til langsiktig verdiskapning. En bærekraftig forretningsmodell kan også bidra til økt tillit hos interessenter og det vil bli enklere for bankene å tilby kapital til selskapene med etablerte og effektive internkontrollrutiner.
Syv suksessfaktorer som bør ligge til grunn for effektiv ICSR hos selskaper
Vi oppsummerer syv suksessfaktorer som bør ligge til grunn hos selskapene for å bygge et effektivt kontrollsystem for bærekraftsrapportering:
Det er viktig å ansvarliggjøre selskapets styre og sørge for at styret utøver et tilsynsansvarnår det gjelder selskapets overholdelse av interessenters forventninger til bærekraftsrapportering. CSRD vil blant annet kreve at bærekraftsrapporteringen inkluderes i styrets årsberetning, og dermed ansvarliggjøre styret i langt større grad enn i dag. I tillegg til styret, bør det etableres egne komiteer, eventuelt bør ansvar tildeles allerede eksisterende komiteer som revisjonsutvalg, som fører tilsyn med selskapets overholdelse av bærekraftsrelaterte krav, aktiviteter og rapportering, samt prosesser og rutiner for interne kontroller. Det er viktig at styret og komiteene har tilstrekkelig bærekraftskompetanse og erfaring for å utøve rollen på en tilfredsstillende måte.
Videre bør det etableres tydelig roller og ansvarsområdernår det kommer til rapporteringen, hvor hver enkelt er inneforstått med sin rolle og hva som er forventet av dem. Dette innebærer blant annet at den enkelte må forstå hvilke kontroller de skal gjennomomføre, hvor ofte kontrollene skal gjennomføres og hvem de skal rapportere til. For å sikre dette bør styret, ledelsen og rapporteringsansvarlig ha god dialog, og det bør etableres gode rutiner, polcyier og prosedyrer. Policyen bør si noe om hva som er forventet av den enkelte ansvarlige, og prosedyrene bør si noe om hvordan kontrollene skal utføres. Det er også viktig at styringsdokumentene gjennomgås og oppdateres regelmessing for å sikre at de til enhver tid reflekterer informasjonen som skal rapporteres. I tillegg er det viktig at selskapene til enhver tid sitter på tilstrekkelig kompetanse til å gjennomføre kontrollene slik som beskrevet i de ovennevnte styringsdokumentene.
CFOer vil fremover ha en viktig rolle for integrering av bærekraft i et selskaps strategi og det er en økende trend at ansvaret for bærekraftsrapporteringen tilfaller CFO. Både CFO og styre vil på bakgrunn av dette stille langt strengere krav til god internkontroll i selskapet for rapportering av bærekraftsrelatert informasjon.
Det bør også etableres tydelige prosesser og rapporteringsstrømmer. Det må være tydelig definert hva selskapet skal rapportere på (herunder KPI) for å forstå prosessen som ligger bak informasjonen som rapporteres. En tydelig definert prosess handler om å forstå KPI’en fra «vugge til grav», altså fra informasjonen initieres, til den bearbeides, beregnes og endelig rapporteres. Ved å definere tydelig prosess, vil det være enklere å skissere rapporteringsstrømmen, hvilke risikoer som foreligger langs strømmen, og kontroller som bør iverksettes for å redusere den identifiserte risikoen til et akseptabelt nivå.
Gode prosesser hindrer også unødvendig bruk av ressurser og reduserer kostnadene i selskapet ved å sikre riktige fokusområder, samtidig som det bidrar til økt kvalitet på rapporteringen.
Når prosessen og rapporteringsstrømmen er tydelig definert, bør det gjennomføres en risikoanalysefor å identifisere potensielle og faktiske faktorer som kan øke risikoen for at feil i rapporteringen kan oppstå. Det er viktig at risikoanalysen hensyntar hele verdikjeden, samt at alle datterselskaper, prosjekter og land inkluderes. Videre bør interne, eksterne, faktiske og potensielle risikofaktorer analyseres, og det kan benyttes scenarioanalyser for å sikre at en fullstendig analyse ligger til grunn. Etter at risikoene er identifisert og vurdert, bør det etableres en tydelig plan for hvordan risikoene skal håndteres. Effektiv risikostyring sikres gjennom integrering av bærekraftsrapportering i selskapets overordnede risikostyringsprosesser, samt implementering av risikoreduserende tiltak og overvåking og evaluering av identifiserte risikoer for å sikre kontinuerlig forbedring av kontroller og prosesser. Sistnevnte er spesielt viktig for bærekraft ettersom det er et område i stor endring, både nå og i årene fremover.
Den gjennomførte risikoanalysen er et viktig utgangspunkt for kontrollaktivitetersom skal implementeres. Kontrollaktivitetene skal gjenspeile gjennomførte risikovurderinger, og bør finne sted på flere nivåer i selskapet for å sikre at det foreligger tilstrekkelige og effektive kontroller. Kontrollaktivitetene skal implementeres gjennom hele prosessen, og bør løpende dokumenteres for å sikre sporbarhet i de gjennomførte kontrollene. Det er viktig at kontrollaktivitetene gjennomføres slik som beskrevet i styringsdokumentene og at de dokumenteres. Det er også viktig at det er konsistens i kontrollene som gjennomføres. Tilsynsansvarlige bør også gjennomgå kontrollaktivitetene regelmessig for å sikre at de gjennomføres, samt er relevante for selskapets rapporteringsformål.
For å sikre effektive kontrollaktiviteter og redusert risiko for feil i rapporteringen bør teknologi og IT-systemerbenyttes. Svært mange selskaper bygger de interne kontrollene på manuelle prosesser som kan innebære en økt risiko for feil i kontrollaktiviteter og følgelig bærekraftsrapporteringen. Bruk av e-post, Excel og Word til innsamling, bearbeiding og beregning av data, gjør det vanskelig å identifisere datakilden og spore informasjonen som rapporteres.
Det vil også være vanskelig å sikre effektiv implementering av kontroller, samt sporbarhet i kontrollene som er gjennomført. Teknologi og IT-systemer kan bistå med å sikre at informasjonen går direkte fra originalkilden, og inn i et system hvor informasjonen kategoriseres, sorteres, analyseres og beregnes i tråd med forhåndsdefinerte kriterier. Rapporteringsansvarlig vil dermed kunne hente ut informasjon med svært lav risiko for feil. I tillegg kan teknologi og IT-systemer gjøre det lettere å følge opp og overvåke de etablerte kontrollaktivitetene.
Selskapet bør også identifisere og analysere faktorer og trendersom kan ha vesentlig påvirkning på etablerte kontrollaktiviteter. Dette kan være faktorer knyttet til det eksterne miljøet, som regulatoriske endringer og økonomiske trender, eller faktorer som fører til behov for endring i selskapets forretningsvirksomhet, strategi og bærekraftsrapportering. Ved å hensynta dette vil selskapet til enhver tid sikre at iverksatte kontrollaktiviteter er relevante for rapporteringen.
Dersom selskapet benytter en ekstern tredjepartfor bistand til innsamling, bearbeiding, beregning og sammenstilling av data, er det viktig at selskapet er godt kjent med hvilke prosesser, metoder og kriterier som legges til grunn der. Det er også viktig at selskapet undersøker om tredjeparten er i tråd med selskapets egne policyer og retningslinjer for å ha kontroll på eventuelle risikofaktorer som kan påløpe og følgelig påvirke selskapets bærekraftsrapportering.
Key takeaways
Bærekraftsrapportering blir stadig viktigere, og investorer tar ikke lenger beslutninger utelukkende basert på finansiell informasjon. Nye regulatoriske rapporteringskrav baner veien for integrert rapportering hvor finansiell og ikke-finansiell informasjon sammen representerer selskapets totale verdiskapning gjennom en felles rapport. På bakgrunn av dette er det viktig at det etableres gode internkontrollrutiner og at kvaliteten på ICSR løftes til samme nivå som for finansiell rapportering. Dette sikres blant annet gjennom ansvarliggjøring av selskapets CFO og styret.