Interne audit en duurzaamheid
Internal auditors kunnen een belangrijke bijdrage leveren aan het opzetten en borgen van duurzaam ondernemen. Dit vereist wel specifieke deskundigheid.
Dit artikel is verschenen in de Accountant nr. 3, 2007
Bekijk alle artikelen uit dit nummer
Hans Nieuwlands
De leiding van een organisatie is verantwoordelijk voor het opzetten en onderhouden van het managementsysteem voor het hele bedrijf. Duurzaam ondernemen maakt daarvan deel uit. Internal audit kan het management adviseren omtrent de opzet van het systeem en kan de effectiviteit ervan toetsen.
Veel organisaties hebben hun managementsysteem afgeleid van de zogenoemde Demming Cycle: Plan-Do-Check-Act. Startpunt van deze managementcyclus is het vaststellen van het duurzaamheidsbeleid en de bijbehorende strategie. De internal auditafdeling kan het proces onderzoeken waarin dit beleid tot stand komt. Daarbij is de dialoog tussen de top van de organisatie en de in- en externe stakeholders van groot belang. Interne auditors kunnen vaststellen in welke mate het management de uitkomsten van de communicatie gestructureerd weegt en vertaalt in beleid. Dit beleid moet helder en concreet zijn geformuleerd. Om dit te toetsen onderzoeken internal auditors bijvoorbeeld in hoeverre het duidelijk is voor de medewerkers van de organisatie. De duurzaamheidsstrategie moet consistent zijn met het geformuleerde beleid. Dit kan worden vastgesteld door beide documenten kritisch met elkaar te vergelijken.
Planning
Op basis van beleid en strategie werkt de onderneming een daarop aansluitend gedetailleerder businessplan uit. Hierbij is het met name van belang dat de doelstellingen concreet zijn gemaakt en haalbaar zijn voor de betrokkenen. Meetbare aspecten zijn in het algemeen eenvoudiger te auditen dan vaag omschreven doelen. In dit verband wordt vaak het begrip SMART gebruikt: Specific, Measurable, Achievable, Realistic, Time related.
De internal auditor kan een selectie maken uit ‘SMART’ gedefinieerde targets en vaststellen of deze in de ogen van de werknemers die ze moeten realiseren ook feitelijk haalbaar zijn. Dit kan worden getoetst door te onderzoeken of medewerkers hiertoe over voldoende middelen (menskracht, techniek, geld) beschikken en daarnaast of de afgesproken targets in overeenstemming zijn met hun functieomschrijving en een eventueel prestatiecontract.
Risicomanagement
Ook de risicofactoren die het behalen van de doelen in de weg kunnen staan, zijn van groot belang. Algemene en specifieke duurzaamheidsrisico's moeten zijn opgenomen in het totale risicomanagement van de organisatie. Om de volledigheid van deze aspecten te kunnen evalueren moeten interne auditors er voldoende kennis van hebben, of deze inhuren. Benchmarken met soortgelijke organisaties kan hierbij helpen. De duurzaamheidsverslagen van veel ondernemingen zijn op te vragen via de website van het Global Reporting Initiative: www.globalreporting.org.
Implementatie en uitvoering
Voor het welslagen van de implementatie van een duurzaamheidsprogramma is van groot belang dat één manager eindverantwoordelijk voor is. De auditor dient de positionering en het mandaat van deze medewerker te evalueren, aan de hand van het organisatieschema, de functieomschrijving en de rapportagelijnen. Daarnaast moet hij deze manager interviewen, om zich een goed beeld te vormen over de effectiviteit van de functie. Opleidingen voor het personeel vormen een belangrijk deel van de uitvoeringsfase.
Internal auditors kunnen de opzet van de trainingen beoordelen, kennis nemen van de evaluatie door deelnemers en in aanvulling daarop door middel van enquêtes onder de werknemers toetsen in hoeverre de opleidingsdoelstellingen ook feitelijk zijn behaald. Ook de communicatie rond het thema moet worden beoordeeld. De auditor onderzoekt daarbij of rekening is gehouden met alle relevante stakeholders en hoe de organisatie borgt dat de informatie juist, tijdig en toereikend is. Daarnaast stelt hij vast of de verschillende communicatievormen (gedragscode, leverancierscondities, website, persberichten, brochures, tijdschriftartikelen, duurzaamheidsverslag) met elkaar in overeenstemming zijn. Op basis van desk research kan worden vastgesteld of de organisatie heeft gekozen voor normen/standaarden die in de branche gelden als best practice. Bij afwijkingen hiervan dient de interne auditor het topmanagement te vragen naar de redenen van die verschillen. Daarnaast kan hij aan de externe assurance provider vragen op welke punten de organisatie kan verbeteren.
Audit rapport
Een managementsysteem moet ook controlerende en corrigerende elementen bevatten. Daarbij past onder meer de evaluatie van het gevoerde beleid door de stakeholders. Internal auditors kunnen onderzoeken hoe de organisatie deze evaluatie opzet en vertaalt naar verbeteracties, en of deze inderdaad hebben geleid tot een herzien beleid en de start van een nieuwe cyclus.
De hiervoor genoemde werkzaamheden resulteren in een auditrapport, met een formaat dat vergelijkbaar kan zijn met dat van operational of andere interne audits. Tussentijdse rapporten zijn bij dit specifieke onderwerp essentieel omdat zij tijdige verbetering van het duurzaamheidsmanagementsysteem mogelijk maken. De auditor hoeft dus niet het sluiten van de gehele managementcyclus af te wachten.
Specifieke kennis inhuren
Interne auditors die worden ingezet bij duurzaamheidsaudits moeten naast algemene kennis van operational auditing en managementsystemen ook beschikken over kennis van relevante wet- en regelgeving (waaronder arbo), van de normen en standaarden zoals die binnen de branche worden gebruikt, en de rapportagerichtlijnen van het Global Reporting Initiative. Af hankelijk van de branche kan het ook nodig zijn om veiligheids- en milieudeskundigen, chemici, natuurkundigen en andere specialisten in te schakelen. De internal auditafdeling kan deze deskundigen mogelijk vanuit de eigen organisatie aantrekken voor de duur van de audit.
Noot
Hans Nieuwlands is coördinator Interne accountants bij het Koninklijk NIVRA, bestuurslid van de Research Foundation van het Institute of Internal Auditors en immediate past president of the European Confederation of Institutes of Internal Auditing.
Dit artikel is gebaseerd op het door hem geschreven boek Sustainability and Internal Auditing (ISBN 0-89413-594-5).
Rollen internal audit
Duurzaamheidsmanagementsysteem
- adviseren over opzet
- helpen bij implementatie
- helpen bij creëren van bewustzijn
- beoordelen van de effectiviteit van het systeem
Andere audits
- onderzoeken met beperkte scope (bijvoorbeeld veiligheid, compliance met milieuwetten)
- internal audits van ISO 14001- en OHSAS 18001-systemen over de effectiviteit van milieumanagement dan wel beroepsziekten en veiligheid (arbo)
- uitvoeren van audits bij toeleveranciers
- coördineren van de activiteiten met de externe assurance provider
- helpen bij selectie van externe assurance provider
Valkuilen
Naast de auditaciviteiten rond duurzaamheid kan de interne auditfunctie vanuit een adviserende rol worden betrokken bij de opzet van het duurzaamheidsprogramma, waaronder trainingen en de informatievoorziening. Dit behoeft geen probleem te zijn, zolang maar zeer duidelijk is dat het management verantwoordelijk is voor het duurzaamheidsmanagement systeem, en internal audit deze rol ook niet invult. Bij het geven van assurance over de effectiviteit van onderdelen van het managementsysteem die voor een belangrijk deel zijn opgezet door de interne auditfunctie, moet men ervoor waken dat de objectiviteit van de auditor niet ter discussie staat. Dit kan men doen door hiervoor andere interne auditors in te schakelen, dan wel dit onderdeel uit te besteden. Het verstrijken van voldoende tijd tussen advisering en toetsing kan soms een ‘natuurlijke’ oplossing bieden.
Audittechnieken
Voor de verschillende onderdelen van de interne audit kan de auditor gebruikmaken van een breed scala aan audittechnieken:
- desk research
- benchmarking
- interviews
- process reviews
- waarnemingen ter plaatse
- control self assessments
- elektronische enquêtes
- trendanalyses
- boerenverstand
Gerelateerd
IIA stopt met kwaliteitstoetsingen voor NOREA en NBA
Het bestuur van het Instituut van Internal Auditors (IIA) heeft besloten om per 1 januari 2024 geen kwaliteitstoetsingen op de NBA- en/of NOREA-beroepsnormen meer...
De audit van export control compliance via digitalisering
Bedrijven en landen die te maken hebben met sancties worden steeds creatiever in het ontwijken daarvan. Digitalisering kan helpen om te achterhalen of leveringen...
Internal auditors: grootste risico voor bedrijven blijft cyber
Cyber- en databeveiliging vormt het grootste risico voor bedrijven en is het onderwerp waar internal auditors zich het meeste mee bezighouden.
BusySeasonTalks: 'Als internal auditor mag je je overal tegenaan bemoeien'
Tijdens editie 65 van BST op dinsdagavond 18 april ging het over het beroep van intern accountant. Hosts Leo Veldhuizen en Tristan Brinkert spraken daarover met...
IIA consulteert nieuwe standaarden voor internal auditing
De internationale standaarden voor internal auditing krijgen een ingrijpende update. Het Institute of Internal Auditors (IIA) heeft de gewijzigde concept-standaarden...