Steg 2: Risikovurdering på virksomhetsnivå
Risikoanalyser gjennomføres for å identifisere de mest sentrale områdene for virksomheten, slik at det er mulig å prioritere og etablere effektive interne kontrollaktiviteter for å håndtere og eventuelt redusere risiko. Risikoanalyser gjøres på to ulike nivåer: På virksomhetsnivå og rapporteringsnivå. Virksomhetsnivå refererer til risikoene virksomheten står overfor for å oppnå sine strategiske mål, mens rapporteringsnivå handler om risiko for feil i bærekraftsrapporteringen.
For å identifisere risikoer på virksomhetsnivå krever ESRS at virksomhetene gjør en dobbel vesentlighetsanalyse. Gjennom denne analysen identifiseres vesentlige temaer ved å kartlegge virksomhetens vesentlige påvirkninger på miljø og samfunn samt risikoer og muligheter som kan påvirke virksomhetens finansielle verdier.
ESRS 2 IRO-1 setter krav til at virksomheten skal beskrive metode og prosess for dobbel vesentlighetsanalyse og etter ESRS 2 GOV-5 skal det opplyses om tilnærmingen for risikovurderinger, inkludert metode for prioritering av risiko. I tillegg må virksomheter beskrive hvordan risikovurderinger og internkontroll er integrert i relevante prosesser, f.eks. ERM-systemer og systemer for finansiell rapportering.
Steg 3: Etablere og utføre kontrollaktiviteter
Det er interessant å merke seg at «bare» 30% av kravene i ESRS er rent numeriske, mens resten er narrative eller en kombinasjon. I tillegg har ESRS 176 datapunkter som er obligatoriske uavhengig av dobbel vesentlighetsanalysen.
Neste steg handler derfor om å etablere rapporteringsprosesser som ivaretar opplysningskravene og sikrer at virksomheten er i stand til å gi pålitelig informasjon. I første omgang vil mye av arbeidet handle om hva som skal rapporteres og vurderinger av kildene til informasjon. Ledelsen må vurdere risikoen for feil i rapporteringen, inkludert risiko for grønn- og sosialvasking og misligheter. Med utgangspunkt i risikoanalysen bør virksomheten utarbeide en risiko- og kontrollmatrise som viser identifiserte risikoer og relaterte kontroller som reduserer risiko for feil til et akseptabelt nivå. Virksomheter som allerede rapporterer på bærekraft vil nok være fristet til å etablere internkontroll rundt det man allerede har, men det er ikke gitt at dette dekker selskapets mest vesentlige temaer fremover. Med så omfattende rapporteringskrav er det viktig å fokusere på det som er nytt og skjønnsmessig, som derfor kan bli mest krevende.
Bærekraftsinformasjon vil typisk komme fra mange ulike deler av virksomheten, som ikke nødvendigvis er vant til kravene for pålitelig rapportering. Kildene til informasjon vil ofte være annerledes, mindre strukturerte og komme fra andre systemer enn for finansiell informasjon. Dette vil trolig medføre at kontrollaktivitetene i større grad må være manuelle, i hvert fall i en overgangsfase, som kan gi forhøyet risiko for feil i rapporteringen. Siden mange av opplysningskravene er framoverskuende, skjønnsmessige og estimatbaserte, vil også krav til prosesser og internkontroll være ulike de vi kjenner fra finansiell informasjon.
En annen utfordring er at mye av informasjonen helt eller delvis vil komme fra tredjeparter. Dette kan inkludere data fra leverandører i verdikjeden eller estimater og modeller utarbeidet av tjenesteleverandører, for eksempel for indirekte (scope 3) utslipp. Umodne datasystemer hvor tredjepartsdata mottas via e-post eller fra manuelle beregninger kan være en utfordring. Det kan også være utfordrende å få innsikt i modellene som er benyttet, som gjør det vanskelig å kontrollere resultatene. Mange virksomheter baserer seg på sertifiseringer fra tredjeparter, noe som stiller krav til vurdering av objektivitet og kvalitet av sertifiseringene. Det er viktig å forstå at virksomheten fortsatt er ansvarlig for fullstendighet, nøyaktighet og pålitelighet av informasjonen, selv om eksterne parter benyttes. Derfor er det viktig å etablere gode prosesser og kontrollaktiviteter knyttet til dette.
Steg 4: God informasjon og kommunikasjon
Et effektivt kontrollmiljø sikrer pålitelig og beslutningsnyttig rapportering av bærekraftsinformasjon. For å oppnå dette må virksomheten innhente, generere og anvende relevant informasjon og data med tilstrekkelig kvalitet. Teknologi er viktig her for å sikre sporbarhet og effektiv akkumulering og visualisering av data. Pålitelig og beslutningsnyttig informasjon er essensielt for kommunikasjon med eksterne interessenter, som investorer og styret. Disse er avhengig av pålitelig informasjon fra virksomheten, for å kunne oppfylle sine forpliktelser, eller selv rapportere pålitelig bærekraftsinformasjon.
Internkommunikasjon og tydelige ansvarsområder er også viktig for å sikre effektiv internkontroll. Virksomheten bør benytte seg av eksisterende intern kompetanse innen finans, IT, internrevisjon, og bærekraft. Funksjoner innenfor finans og internrevisjon har kunnskap om internkontroller og prosedyrer, IT har kompetansen for å benytte teknologi for å implementere revisjonsspor og kontroller, mens bærekrafttemaene har større innsikt i blant annet relevante informasjonskilder og beregningsmetoder.
Steg 5: Oppfølging
Etter CSRD vil kravene til styret og revisjonsutvalg knyttet til bærekraftsrapportering være tilsvarende som for finansiell rapportering.
Internkontroll knyttet til bærekraftsrapportering vil være et område under utvikling og det vil ta tid for virksomheter å etablere et godt internt kontrollmiljø som revisor kan bygge på i sin attestasjon. I første omgang er det sannsynlig at internkontrollene vil være relativt enkle og manuelle, i stor grad bygge på fire øyne-prinsippet, og med begrenset bruk av systemer. Begrensninger i internkontroll gjør at risikoen for feil eller misligheter blir høyere, noe som innebærer at revisor vil måtte gjøre mer arbeid for å kunne avgi attestasjonsuttalelsen CSRD krever. Med modning er det naturlig å bygge mer robuste internkontroller i tråd med både COSO og revisors forventninger.
En viktig del av god internkontroll er oppfølging og overvåkning av internkontrollsystemene. Ledelsen, revisjonsutvalg og styret vil ha en sentral rolle for å sikre at tilstrekkelig internkontroll er etablert, men også at denne følges opp løpende og at eventuelle svakheter og forbedringsmuligheter håndteres tidsriktig. Det er derfor viktig at selskapet legger opp til systemer for overvåkning av utførelse av internkontrollaktiviteter samt håndtering av eventuelle avvik. Dette arbeidet må så jevnlig oppsummeres til revisjonsutvalg og styret, slik at de kan påse at relevante tiltak iverksettes dersom det er svakheter i systemene eller kvaliteten på rapporteringen.
Internkontrollene vil kunne endres over tid både med tanke på modenhet i prosesser og systemer, men også med hensyn til virksomhetens strategiske mål. ESRS anbefaler at virksomhetene oppdaterer sin doble vesentlighetsanalyse årlig. Dette med formål om å sikre at virksomheten rapporterer på relevante temaer og indikatorer, og at de interne prosessene fortsatt er relevante. Dersom det foreligger en endring i dobbel vesentlighetsanalysen må internkontrollene oppdateres tilsvarende. Det er viktig at styret og revisjonsutvalget er involvert i den løpende oppfølgingen av risikovurderinger og tilhørende internkontroller. Fordi dette er et nytt område både for virksomhetene, revisjonsutvalg og styrene, forventes det større grad av involvering enn for finansiell rapportering der internkontrollene og systemene er mer veletablerte.