26 apr. 2024
Mann på toppen av et fjell som fotograferer vulkaner i Sao Miguel, Azorene

Hvorfor internkontroll er viktig for pålitelig bærekraftsrapportering

Skrevet av
Hanna Karoline Jacobsen

Senior Consultant, Climate Change and Sustainability Services, EY Norge

Seniorkonsulent som drives av bærekraftig endring. Bistår kunder med bærekraftsattestasjon og forbedring av bærekraftsrapportering for økt tillitt og transparens.

Ingunn Borlaug

Manager, Climate Change and Sustainability Services, EY Norge

Manager med bakgrunn fra både finansiell og ikke-finansiell rapportering. Ingunn bistår selskaper med å vinne tillit i samfunnet gjennom deres bærekraftsrapportering.

Nina Rafen

Partner, leder for Nordic Capital Markets, EY Norge

Erfaren revisor og rådgiver. Fokus på finansiell rapportering, kapitalmarkedstransaksjoner og internkontroll. Erfaring fra teknologi, telekom og media (TMT), shipping og offshore.

26 apr. 2024

CSRD har krav til rapportering på internkontroll. Her ser vi på implementeringen av dette ved å koble COSOs veileder mot kravene i CSRD.

Oppsummert:
  • CSRD har tydelige krav til rapportering om styring, risikovurderinger og kontroller.
  • Internkontroller er viktig for å sikre pålitelighet og effektivitet i bærekraftsrapporteringen.
  • COSOs veileder for internkontroll over bærekraftsrapportering vil være et bra utgangspunkt i selskapenes implementeringsarbeid.

Gjennom Corporate Sustainability Reporting Directive (CSRD) og European Sustainability Reporting Standards (ESRS) setter EU krav til virksomheters omstilling, åpenhet i rapporteringen, pålitelighet og internkontroll. Ambisjonen er at bærekraftsrapportering skal ha tilsvarende kvalitet som finansiell rapportering. For virksomheter vil etablering av internkontroller være sentralt for å kunne oppnå dette.

ESRS innebærer kvalitativ og kvantitativ rapportering. Informasjonen vil i stor grad komme fra andre kilder og systemer enn det som er underlagt internkontroll over finansiell rapportering og inkluderer både skjønnsmessig og fremoverskuende informasjon. Det er stort søkelys på risikoene for grønn- og sosialvasking og dette stiller krav til virksomhetenes prosesser og internkontroll for å sikre pålitelig rapportering.

Organisasjonen COSO utga i 2023 en veileder for internkontroll for bærekraftsrapportering, som tar utgangspunkt i de 17 COSO-prinsippene for etablering av effektiv internkontroll. Prinsippene knyttes opp mot følgende fem steg: Kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon og overvåking. Vi vil i denne artikkelen knytte kravene i ESRS opp mot disse stegene. Både for å belyse hvilke krav som stilles til internkontroller, men også hvordan de 5 stegene i COSOs veileder kan benyttes for å strukturere arbeidet med å oppfylle kravene fra CSRD.

COSOs 17 prinsipper:  

Steg 1:
Kontrollmiljø
  • Organisasjonen er opptatt av integritet og etiske verdier, og viser dette i praksis
  • Styret er avhengig av ledelsen og fører tilsyn med utvikling og gjennomføring av internkontrollen
  • Ledelsen, under styrets tilsyn, etablerer strukturer, rapporteringslinjer og myndighet og ansvar som er egnet for å oppnå målsettingene
  • Organisasjonen er opptatt av å rekruttere, utvikle og beholde kompetente medarbeidere i samsvar med målsettingene
  • Organisasjonen holder enkeltpersoner ansvarlige for de internkontrollene de er tildelt i arbeidet med å oppnå målsettingene
Steg 2:
Risikovurdering
  • Organisasjonen spesifiserer målsettinger som er tydelige nok til at man kan identifisere og vurdere risikoene knyttet til dem
  • Organisasjonen identifiserer risikoer for ikke å nå målsettinger i hele virksomheten, analyserer dem og avgjør hvordan de bør håndteres
  • Organisasjonen tar hensyn til muligheten for misligheter når den vurderer risiko for ikke å nå målsettinger
  • Organisasjonen identifiserer og vurderer endringer som i betydelig grad kan få konsekvenser for internkontrollsystemet
Steg 3:
Kontrollaktiviteter
  • Organisasjonen velger og utvikler kontrollaktiviteter som bidrar til at risiko for å ikke nå målsettinger reduseres til akseptabelt nivå
  • Organisasjonen velger og utvikler generelle kontrollaktiviteter vedrørende teknologi til støtte for arbeidet med å oppnå målsettinger
  • Organisasjonen iverksetter kontrollaktiviteter gjennom retningslinjer som sier hva som forventes, og prosedyrer som setter retningslinjene ut i livet
Steg 4:
Informasjon og kommunikasjon
  • Organisasjonen innhenter eller genererer og bruker relevant informasjon av høy kvalitet til støtte for gjennomføringen av internkontrollen
  • Organisasjonen kommuniserer informasjon internt, herunder målsettinger og ansvar for interkontroll, som trengs for å støtte en fungerende interkontroll
  • Organisasjonen kommuniserer med eksterne aktører om saker av betydning for internkontrollen
Steg 5:
Oppfølging
  • Organisasjonen velger, utvikler og utfører løpende og/eller frittstående evalueringer for å fastslå om internkontrollkomponentene er til stede og fungerer
  • Organisasjonen evaluerer og kommuniserer interkontrollmangler til rett tid til de med ansvar for å treffe korrigerende tiltak, inkludert toppledelsen og eventuelt styret

Steg 1: Etablere kontrollmiljø for bærekraftsrapportering

EU har som mål at bærekraftsrapportering skal være likeverdig med finansiell rapportering. Det medfører høye krav til virksomhetenes organisering og rapporteringsprosesser for å sikre relevant og pålitelig informasjon. Det starter med «tone at the top», hvor det er viktig at styret og ledelsen stiller krav til integritet i rapporteringen og sørger for tydelig rammeverk, retningslinjer, internkontroll og oppfølging. Virksomhetene må derfor vurdere hvilke endringer og tilpasninger som må gjøres av eksisterende kontrollmiljø for å integrere bærekraftsrapporteringen i disse systemene. De ansatte som er involvert i rapporteringsprosessene må forstå viktigheten av internkontroll og ha tilstrekkelig kapasitet og kompetanse om kravene til bærekraftsrapportering. Roller og ansvar for bærekraftsrapportering og krav til internkontroll må også være nedfelt i styringsdokumenter og bli tydelig kommunisert i virksomheten.

ESRS har tydelige krav til kvalitativ rapportering av virksomhetens styring, risikovurderinger, kontroller og overvåkning. I ESRS 2 General Disclosures og ESRS G1 Business Conduct er det eksplisitte krav, mens hos de øvrige ESRSene er det indirekte rapporteringskrav som illustrert i figur 1.

Oversikt over eksisterende European Sustainbility reporting Standards (ESRS) og kobling til krav om virksomhetsstyring

Figur 1. Oversikt over eksisterende European Sustainbility reporting Standards (ESRS) og kobling til krav om virksomhetsstyring

Etter ESRS 2 skal virksomheten beskrive det overordnede kontrollmiljøet, herunder rapporteringsprosesser, roller og ansvar og styringsdokumenter. Videre er det krav til kontrollaktiviteter for vesentlige bærekraftsrelaterte forhold og indikatorer som virksomheten rapporterer på. ESRS 2 har fem rapporteringskrav (GOV 1-5) som omtales under. Disse rapporteringskravene er det viktig at styrer og revisjonsutvalg er klar over. I følge NOU 2023:15, 5.8.3 har styret et tilsynsansvar for bærekraftsrapportering og revisjonsutvalget vil få det samme ansvaret for bærekraftsrapportering som de nå har for finansiell rapportering.

ESRS G1 Business Conduct spesifiserer krav til bærekraftsrapporteringen som skal gjøre det mulig å forstå en virksomhets strategi, prosesser og prestasjoner i forhold til forretningsadferd. Blant annet skal virksomheten opplyse om nøkkelprosedyrer for å forebygge, oppdage og håndtere påstander om korrupsjon og bestikkelser. Dette kan inkludere detaljer om risikovurderinger og kontrollprosedyrer som utføres. I følge NOU 2023:15, 5.8.3 bør styret og revisjonsutvalg sikre at disse prosedyrene blir implementert og følge opp utførelsen av dem.

GOV-1

Beskrivelse av roller og ansvar for administrasjon, ledelse og styret. Virksomhetene må beskrive ledelsens rolle i styringsprosessene, kontrollene og prosedyrene som brukes for å overvåke og håndtere vesentlige påvirkninger, risikoer og muligheter (dobbel vesentlighetsanalyse).

GOV-2

Beskrivelse av hvordan administrasjon, ledelse og styret mottar informasjon om bærekraftsrelaterte forhold og hvilke bærekraftsrelaterte forhold som er behandlet i løpet av rapporteringsperioden. Dette inkluderer blant annet i hvilken grad påvirkninger, risikoer og muligheter er inkludert i strategiske diskusjoner.

GOV-3

Opplysninger om hvordan bærekraftsrelaterte forhold og måloppnåelse gjenspeiles i ledelsens insentivordninger.

GOV-4

Beskrivelse av virksomhetens aktsomhetsvurderinger

GOV-5

Beskrivelse av de viktigste trekkene ved virksomhetens risikostyrings- og internkontrollsystem i forhold til rapporteringsprosessen for bærekraftsinformasjon

Steg 2: Risikovurdering på virksomhetsnivå

Risikoanalyser gjennomføres for å identifisere de mest sentrale områdene for virksomheten, slik at det er mulig å prioritere og etablere effektive interne kontrollaktiviteter for å håndtere og eventuelt redusere risiko. Risikoanalyser gjøres på to ulike nivåer: På virksomhetsnivå og rapporteringsnivå. Virksomhetsnivå refererer til risikoene virksomheten står overfor for å oppnå sine strategiske mål, mens rapporteringsnivå handler om risiko for feil i bærekraftsrapporteringen.

For å identifisere risikoer på virksomhetsnivå krever ESRS at virksomhetene gjør en dobbel vesentlighetsanalyse. Gjennom denne analysen identifiseres vesentlige temaer ved å kartlegge virksomhetens vesentlige påvirkninger på miljø og samfunn samt risikoer og muligheter som kan påvirke virksomhetens finansielle verdier.

ESRS 2 IRO-1 setter krav til at virksomheten skal beskrive metode og prosess for dobbel vesentlighetsanalyse og etter ESRS 2 GOV-5 skal det opplyses om tilnærmingen for risikovurderinger, inkludert metode for prioritering av risiko. I tillegg må virksomheter beskrive hvordan risikovurderinger og internkontroll er integrert i relevante prosesser, f.eks. ERM-systemer og systemer for finansiell rapportering.

Steg 3: Etablere og utføre kontrollaktiviteter

Det er interessant å merke seg at «bare» 30% av kravene i ESRS er rent numeriske, mens resten er narrative eller en kombinasjon. I tillegg har ESRS 176 datapunkter som er obligatoriske uavhengig av dobbel vesentlighetsanalysen.

Neste steg handler derfor om å etablere rapporteringsprosesser som ivaretar opplysningskravene og sikrer at virksomheten er i stand til å gi pålitelig informasjon. I første omgang vil mye av arbeidet handle om hva som skal rapporteres og vurderinger av kildene til informasjon. Ledelsen må vurdere risikoen for feil i rapporteringen, inkludert risiko for grønn- og sosialvasking og misligheter. Med utgangspunkt i risikoanalysen bør virksomheten utarbeide en risiko- og kontrollmatrise som viser identifiserte risikoer og relaterte kontroller som reduserer risiko for feil til et akseptabelt nivå. Virksomheter som allerede rapporterer på bærekraft vil nok være fristet til å etablere internkontroll rundt det man allerede har, men det er ikke gitt at dette dekker selskapets mest vesentlige temaer fremover. Med så omfattende rapporteringskrav er det viktig å fokusere på det som er nytt og skjønnsmessig, som derfor kan bli mest krevende.

Bærekraftsinformasjon vil typisk komme fra mange ulike deler av virksomheten, som ikke nødvendigvis er vant til kravene for pålitelig rapportering. Kildene til informasjon vil ofte være annerledes, mindre strukturerte og komme fra andre systemer enn for finansiell informasjon. Dette vil trolig medføre at kontrollaktivitetene i større grad må være manuelle, i hvert fall i en overgangsfase, som kan gi forhøyet risiko for feil i rapporteringen. Siden mange av opplysningskravene er framoverskuende, skjønnsmessige og estimatbaserte, vil også krav til prosesser og internkontroll være ulike de vi kjenner fra finansiell informasjon.

En annen utfordring er at mye av informasjonen helt eller delvis vil komme fra tredjeparter. Dette kan inkludere data fra leverandører i verdikjeden eller estimater og modeller utarbeidet av tjenesteleverandører, for eksempel for indirekte (scope 3) utslipp. Umodne datasystemer hvor tredjepartsdata mottas via e-post eller fra manuelle beregninger kan være en utfordring. Det kan også være utfordrende å få innsikt i modellene som er benyttet, som gjør det vanskelig å kontrollere resultatene. Mange virksomheter baserer seg på sertifiseringer fra tredjeparter, noe som stiller krav til vurdering av objektivitet og kvalitet av sertifiseringene. Det er viktig å forstå at virksomheten fortsatt er ansvarlig for fullstendighet, nøyaktighet og pålitelighet av informasjonen, selv om eksterne parter benyttes. Derfor er det viktig å etablere gode prosesser og kontrollaktiviteter knyttet til dette.

Steg 4: God informasjon og kommunikasjon

Et effektivt kontrollmiljø sikrer pålitelig og beslutningsnyttig rapportering av bærekraftsinformasjon. For å oppnå dette må virksomheten innhente, generere og anvende relevant informasjon og data med tilstrekkelig kvalitet. Teknologi er viktig her for å sikre sporbarhet og effektiv akkumulering og visualisering av data. Pålitelig og beslutningsnyttig informasjon er essensielt for kommunikasjon med eksterne interessenter, som investorer og styret. Disse er avhengig av pålitelig informasjon fra virksomheten, for å kunne oppfylle sine forpliktelser, eller selv rapportere pålitelig bærekraftsinformasjon.

Internkommunikasjon og tydelige ansvarsområder er også viktig for å sikre effektiv internkontroll. Virksomheten bør benytte seg av eksisterende intern kompetanse innen finans, IT, internrevisjon, og bærekraft. Funksjoner innenfor finans og internrevisjon har kunnskap om internkontroller og prosedyrer, IT har kompetansen for å benytte teknologi for å implementere revisjonsspor og kontroller, mens bærekrafttemaene har større innsikt i blant annet relevante informasjonskilder og beregningsmetoder.

Steg 5: Oppfølging

Etter CSRD vil kravene til styret og revisjonsutvalg knyttet til bærekraftsrapportering være tilsvarende som for finansiell rapportering.

Internkontroll knyttet til bærekraftsrapportering vil være et område under utvikling og det vil ta tid for virksomheter å etablere et godt internt kontrollmiljø som revisor kan bygge på i sin attestasjon. I første omgang er det sannsynlig at internkontrollene vil være relativt enkle og manuelle, i stor grad bygge på fire øyne-prinsippet, og med begrenset bruk av systemer. Begrensninger i internkontroll gjør at risikoen for feil eller misligheter blir høyere, noe som innebærer at revisor vil måtte gjøre mer arbeid for å kunne avgi attestasjonsuttalelsen CSRD krever. Med modning er det naturlig å bygge mer robuste internkontroller i tråd med både COSO og revisors forventninger.

En viktig del av god internkontroll er oppfølging og overvåkning av internkontrollsystemene. Ledelsen, revisjonsutvalg og styret vil ha en sentral rolle for å sikre at tilstrekkelig internkontroll er etablert, men også at denne følges opp løpende og at eventuelle svakheter og forbedringsmuligheter håndteres tidsriktig. Det er derfor viktig at selskapet legger opp til systemer for overvåkning av utførelse av internkontrollaktiviteter samt håndtering av eventuelle avvik. Dette arbeidet må så jevnlig oppsummeres til revisjonsutvalg og styret, slik at de kan påse at relevante tiltak iverksettes dersom det er svakheter i systemene eller kvaliteten på rapporteringen.

Internkontrollene vil kunne endres over tid både med tanke på modenhet i prosesser og systemer, men også med hensyn til virksomhetens strategiske mål. ESRS anbefaler at virksomhetene oppdaterer sin doble vesentlighetsanalyse årlig. Dette med formål om å sikre at virksomheten rapporterer på relevante temaer og indikatorer, og at de interne prosessene fortsatt er relevante. Dersom det foreligger en endring i dobbel vesentlighetsanalysen må internkontrollene oppdateres tilsvarende. Det er viktig at styret og revisjonsutvalget er involvert i den løpende oppfølgingen av risikovurderinger og tilhørende internkontroller. Fordi dette er et nytt område både for virksomhetene, revisjonsutvalg og styrene, forventes det større grad av involvering enn for finansiell rapportering der internkontrollene og systemene er mer veletablerte.

Vi i EY jobber med rådgivning knyttet til internkontroll og bærekraftsrapportering og kan blant annet bistå med følgende:

  • Kartlegging av eksisterende rapporteringsprosesser og kontroller opp mot ESRS og COSO.
  • Design og implementering av interkontroller og rapporteringsprosesser.
  • Veiledning knyttet til bærekraftsrapportering og dobbel vesentlighet opp mot ESRS-kravene.
  • Opplæring av ansatte, styret og revisjonsutvalg knyttet til internkontroll og bærekraftsrapportering.

Sammendrag

For å nå ambisjonen om at bærekraftsrapportering skal ha tilsvarende kvalitet som finansiell rapportering må virksomhetene investere betydelig tid og ressurser for å forstå rapporteringskravene og etablere prosesser og kontroller. Med mange ulike datakilder og informasjon som både er fremoverskuende og estimatbasert blir systemer og internkontroll viktig. Dette vil ta tid, kreve tydelige roller og ansvar, tilstrekkelig kompetanse og ressurser. God internkontroll over bærekraftsrapportering er helt sentralt for å sikre pålitelig bærekraftsinformasjon og effektiv rapportering i samsvar med CSRD og ESRS. COSOs veileder for internkontroll over bærekraftsrapportering vil være nyttig i dette viktige arbeidet.

Om denne artikkelen

Skrevet av
Hanna Karoline Jacobsen

Senior Consultant, Climate Change and Sustainability Services, EY Norge

Seniorkonsulent som drives av bærekraftig endring. Bistår kunder med bærekraftsattestasjon og forbedring av bærekraftsrapportering for økt tillitt og transparens.

Ingunn Borlaug

Manager, Climate Change and Sustainability Services, EY Norge

Manager med bakgrunn fra både finansiell og ikke-finansiell rapportering. Ingunn bistår selskaper med å vinne tillit i samfunnet gjennom deres bærekraftsrapportering.

Nina Rafen

Partner, leder for Nordic Capital Markets, EY Norge

Erfaren revisor og rådgiver. Fokus på finansiell rapportering, kapitalmarkedstransaksjoner og internkontroll. Erfaring fra teknologi, telekom og media (TMT), shipping og offshore.