Hvorfor internkontroll er viktig for pålitelig bærekraftsrapportering

CSRD har krav til rapportering på internkontroll. Her ser vi på implementeringen av dette ved å koble COSOs veileder mot kravene i CSRD.

Gjennom Corporate Sustainability Reporting Directive (CSRD) og European Sustainability Reporting Standards (ESRS) setter EU krav til virksomheters omstilling, åpenhet i rapporteringen, pålitelighet og internkontroll. Ambisjonen er at bærekraftsrapportering skal ha tilsvarende kvalitet som finansiell rapportering. For virksomheter vil etablering av internkontroller være sentralt for å kunne oppnå dette.

ESRS innebærer kvalitativ og kvantitativ rapportering. Informasjonen vil i stor grad komme fra andre kilder og systemer enn det som er underlagt internkontroll over finansiell rapportering og inkluderer både skjønnsmessig og fremoverskuende informasjon. Det er stort søkelys på risikoene for grønn- og sosialvasking og dette stiller krav til virksomhetenes prosesser og internkontroll for å sikre pålitelig rapportering.

Organisasjonen COSO utga i 2023 en veileder for internkontroll for bærekraftsrapportering, som tar utgangspunkt i de 17 COSO-prinsippene for etablering av effektiv internkontroll. Prinsippene knyttes opp mot følgende fem steg: Kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon og overvåking. Vi vil i denne artikkelen knytte kravene i ESRS opp mot disse stegene. Både for å belyse hvilke krav som stilles til internkontroller, men også hvordan de 5 stegene i COSOs veileder kan benyttes for å strukturere arbeidet med å oppfylle kravene fra CSRD.

COSOs 17 prinsipper:  

Steg 1: Etablere kontrollmiljø for bærekraftsrapportering

EU har som mål at bærekraftsrapportering skal være likeverdig med finansiell rapportering. Det medfører høye krav til virksomhetenes organisering og rapporteringsprosesser for å sikre relevant og pålitelig informasjon. Det starter med «tone at the top», hvor det er viktig at styret og ledelsen stiller krav til integritet i rapporteringen og sørger for tydelig rammeverk, retningslinjer, internkontroll og oppfølging. Virksomhetene må derfor vurdere hvilke endringer og tilpasninger som må gjøres av eksisterende kontrollmiljø for å integrere bærekraftsrapporteringen i disse systemene. De ansatte som er involvert i rapporteringsprosessene må forstå viktigheten av internkontroll og ha tilstrekkelig kapasitet og kompetanse om kravene til bærekraftsrapportering. Roller og ansvar for bærekraftsrapportering og krav til internkontroll må også være nedfelt i styringsdokumenter og bli tydelig kommunisert i virksomheten.

ESRS har tydelige krav til kvalitativ rapportering av virksomhetens styring, risikovurderinger, kontroller og overvåkning. I ESRS 2 General Disclosures og ESRS G1 Business Conduct er det eksplisitte krav, mens hos de øvrige ESRSene er det indirekte rapporteringskrav som illustrert i figur 1.

Etter ESRS 2 skal virksomheten beskrive det overordnede kontrollmiljøet, herunder rapporteringsprosesser, roller og ansvar og styringsdokumenter. Videre er det krav til kontrollaktiviteter for vesentlige bærekraftsrelaterte forhold og indikatorer som virksomheten rapporterer på. ESRS 2 har fem rapporteringskrav (GOV 1-5) som omtales under. Disse rapporteringskravene er det viktig at styrer og revisjonsutvalg er klar over. I følge NOU 2023:15, 5.8.3 har styret et tilsynsansvar for bærekraftsrapportering og revisjonsutvalget vil få det samme ansvaret for bærekraftsrapportering som de nå har for finansiell rapportering.

ESRS G1 Business Conduct spesifiserer krav til bærekraftsrapporteringen som skal gjøre det mulig å forstå en virksomhets strategi, prosesser og prestasjoner i forhold til forretningsadferd. Blant annet skal virksomheten opplyse om nøkkelprosedyrer for å forebygge, oppdage og håndtere påstander om korrupsjon og bestikkelser. Dette kan inkludere detaljer om risikovurderinger og kontrollprosedyrer som utføres. I følge NOU 2023:15, 5.8.3 bør styret og revisjonsutvalg sikre at disse prosedyrene blir implementert og følge opp utførelsen av dem.

Steg 2: Risikovurdering på virksomhetsnivå

Risikoanalyser gjennomføres for å identifisere de mest sentrale områdene for virksomheten, slik at det er mulig å prioritere og etablere effektive interne kontrollaktiviteter for å håndtere og eventuelt redusere risiko. Risikoanalyser gjøres på to ulike nivåer: På virksomhetsnivå og rapporteringsnivå. Virksomhetsnivå refererer til risikoene virksomheten står overfor for å oppnå sine strategiske mål, mens rapporteringsnivå handler om risiko for feil i bærekraftsrapporteringen.

For å identifisere risikoer på virksomhetsnivå krever ESRS at virksomhetene gjør en dobbel vesentlighetsanalyse. Gjennom denne analysen identifiseres vesentlige temaer ved å kartlegge virksomhetens vesentlige påvirkninger på miljø og samfunn samt risikoer og muligheter som kan påvirke virksomhetens finansielle verdier.

ESRS 2 IRO-1 setter krav til at virksomheten skal beskrive metode og prosess for dobbel vesentlighetsanalyse og etter ESRS 2 GOV-5 skal det opplyses om tilnærmingen for risikovurderinger, inkludert metode for prioritering av risiko. I tillegg må virksomheter beskrive hvordan risikovurderinger og internkontroll er integrert i relevante prosesser, f.eks. ERM-systemer og systemer for finansiell rapportering.

Steg 3: Etablere og utføre kontrollaktiviteter

Det er interessant å merke seg at «bare» 30% av kravene i ESRS er rent numeriske, mens resten er narrative eller en kombinasjon. I tillegg har ESRS 176 datapunkter som er obligatoriske uavhengig av dobbel vesentlighetsanalysen.

Neste steg handler derfor om å etablere rapporteringsprosesser som ivaretar opplysningskravene og sikrer at virksomheten er i stand til å gi pålitelig informasjon. I første omgang vil mye av arbeidet handle om hva som skal rapporteres og vurderinger av kildene til informasjon. Ledelsen må vurdere risikoen for feil i rapporteringen, inkludert risiko for grønn- og sosialvasking og misligheter. Med utgangspunkt i risikoanalysen bør virksomheten utarbeide en risiko- og kontrollmatrise som viser identifiserte risikoer og relaterte kontroller som reduserer risiko for feil til et akseptabelt nivå. Virksomheter som allerede rapporterer på bærekraft vil nok være fristet til å etablere internkontroll rundt det man allerede har, men det er ikke gitt at dette dekker selskapets mest vesentlige temaer fremover. Med så omfattende rapporteringskrav er det viktig å fokusere på det som er nytt og skjønnsmessig, som derfor kan bli mest krevende.

Bærekraftsinformasjon vil typisk komme fra mange ulike deler av virksomheten, som ikke nødvendigvis er vant til kravene for pålitelig rapportering. Kildene til informasjon vil ofte være annerledes, mindre strukturerte og komme fra andre systemer enn for finansiell informasjon. Dette vil trolig medføre at kontrollaktivitetene i større grad må være manuelle, i hvert fall i en overgangsfase, som kan gi forhøyet risiko for feil i rapporteringen. Siden mange av opplysningskravene er framoverskuende, skjønnsmessige og estimatbaserte, vil også krav til prosesser og internkontroll være ulike de vi kjenner fra finansiell informasjon.

En annen utfordring er at mye av informasjonen helt eller delvis vil komme fra tredjeparter. Dette kan inkludere data fra leverandører i verdikjeden eller estimater og modeller utarbeidet av tjenesteleverandører, for eksempel for indirekte (scope 3) utslipp. Umodne datasystemer hvor tredjepartsdata mottas via e-post eller fra manuelle beregninger kan være en utfordring. Det kan også være utfordrende å få innsikt i modellene som er benyttet, som gjør det vanskelig å kontrollere resultatene. Mange virksomheter baserer seg på sertifiseringer fra tredjeparter, noe som stiller krav til vurdering av objektivitet og kvalitet av sertifiseringene. Det er viktig å forstå at virksomheten fortsatt er ansvarlig for fullstendighet, nøyaktighet og pålitelighet av informasjonen, selv om eksterne parter benyttes. Derfor er det viktig å etablere gode prosesser og kontrollaktiviteter knyttet til dette.

Steg 4: God informasjon og kommunikasjon

Et effektivt kontrollmiljø sikrer pålitelig og beslutningsnyttig rapportering av bærekraftsinformasjon. For å oppnå dette må virksomheten innhente, generere og anvende relevant informasjon og data med tilstrekkelig kvalitet. Teknologi er viktig her for å sikre sporbarhet og effektiv akkumulering og visualisering av data. Pålitelig og beslutningsnyttig informasjon er essensielt for kommunikasjon med eksterne interessenter, som investorer og styret. Disse er avhengig av pålitelig informasjon fra virksomheten, for å kunne oppfylle sine forpliktelser, eller selv rapportere pålitelig bærekraftsinformasjon.

Internkommunikasjon og tydelige ansvarsområder er også viktig for å sikre effektiv internkontroll. Virksomheten bør benytte seg av eksisterende intern kompetanse innen finans, IT, internrevisjon, og bærekraft. Funksjoner innenfor finans og internrevisjon har kunnskap om internkontroller og prosedyrer, IT har kompetansen for å benytte teknologi for å implementere revisjonsspor og kontroller, mens bærekrafttemaene har større innsikt i blant annet relevante informasjonskilder og beregningsmetoder.

Steg 5: Oppfølging

Etter CSRD vil kravene til styret og revisjonsutvalg knyttet til bærekraftsrapportering være tilsvarende som for finansiell rapportering.

Internkontroll knyttet til bærekraftsrapportering vil være et område under utvikling og det vil ta tid for virksomheter å etablere et godt internt kontrollmiljø som revisor kan bygge på i sin attestasjon. I første omgang er det sannsynlig at internkontrollene vil være relativt enkle og manuelle, i stor grad bygge på fire øyne-prinsippet, og med begrenset bruk av systemer. Begrensninger i internkontroll gjør at risikoen for feil eller misligheter blir høyere, noe som innebærer at revisor vil måtte gjøre mer arbeid for å kunne avgi attestasjonsuttalelsen CSRD krever. Med modning er det naturlig å bygge mer robuste internkontroller i tråd med både COSO og revisors forventninger.

En viktig del av god internkontroll er oppfølging og overvåkning av internkontrollsystemene. Ledelsen, revisjonsutvalg og styret vil ha en sentral rolle for å sikre at tilstrekkelig internkontroll er etablert, men også at denne følges opp løpende og at eventuelle svakheter og forbedringsmuligheter håndteres tidsriktig. Det er derfor viktig at selskapet legger opp til systemer for overvåkning av utførelse av internkontrollaktiviteter samt håndtering av eventuelle avvik. Dette arbeidet må så jevnlig oppsummeres til revisjonsutvalg og styret, slik at de kan påse at relevante tiltak iverksettes dersom det er svakheter i systemene eller kvaliteten på rapporteringen.

Internkontrollene vil kunne endres over tid både med tanke på modenhet i prosesser og systemer, men også med hensyn til virksomhetens strategiske mål. ESRS anbefaler at virksomhetene oppdaterer sin doble vesentlighetsanalyse årlig. Dette med formål om å sikre at virksomheten rapporterer på relevante temaer og indikatorer, og at de interne prosessene fortsatt er relevante. Dersom det foreligger en endring i dobbel vesentlighetsanalysen må internkontrollene oppdateres tilsvarende. Det er viktig at styret og revisjonsutvalget er involvert i den løpende oppfølgingen av risikovurderinger og tilhørende internkontroller. Fordi dette er et nytt område både for virksomhetene, revisjonsutvalg og styrene, forventes det større grad av involvering enn for finansiell rapportering der internkontrollene og systemene er mer veletablerte.