Hoe bouw je een betrouwbaar ESG-controlekader voor CSRD-rapportage?

Met de juiste aanpak voor interne controles en datavalidatie wordt betrouwbare CSRD-rapportage haalbaar én duurzaam uitvoerbaar.

In het kort

• De CSRD verplicht bedrijven om te rapporteren over hun ESG-prestaties, wat transparantie en verantwoording binnen de EU bevordert.
• Een effectief intern controle-ESG-kader is cruciaal voor het waarborgen van de betrouwbaarheid, verantwoording en transparantie van niet-financiële rapportage.
• Continue verbetering en benchmarking tegen branchegenoten helpen bedrijven hun ESG-prestaties te optimaliseren en duurzame bedrijfspraktijken te bevorderen.

Met de introductie van de Corporate Sustainability Reporting Directive (CSRD) door de Europese Commissie verschuiven veel bedrijven van vrijwillige naar verplichte niet-financiële rapportage. Voor investeerders en andere belanghebbenden is het essentieel dat de openbaar gemaakte informatie transparant en betrouwbaar is. Door een robuust intern controle-ESG-kader op te zetten dat zich richt op gegevensverzameling, prestatiemonitoring en rapportage, kunnen bedrijven de betrouwbaarheid van hun openbaarmakingen aan het publiek vergroten. Het opzetten van een effectief CSRD-rapportageproces en controlestructuur is een cruciale factor om transparantie te bereiken via duurzaamheidsrapportage. Dit helpt bedrijven niet alleen bij het waarborgen van de betrouwbaarheid van hun rapportages, maar geeft hen ook het vertrouwen dat ze de juiste stappen zetten in een tijdperk van toenemende regelgeving en maatschappelijke verwachtingen.

CSRD in een notendop

De Corporate Sustainability Reporting Directive (CSRD) legt strenge eisen op aan bedrijven om te rapporteren over hun milieu-, sociale en governance (ESG) prestaties. Bedrijven moeten gedetailleerde informatie verstrekken over hun ESG-impact, risico's en kansen (IRO's). Dit omvat rapportage over klimaatverandering, andere natuurgerelateerde kwesties, sociale kwesties, mensenrechten en governancepraktijken. De richtlijn heeft als doel de transparantie en verantwoording te vergroten, en daarmee duurzame bedrijfspraktijken binnen de Europese Unie te bevorderen.

Hoewel de EU Omnibus Bill aanzienlijke hervormingen van de CSRD voorstelt, gericht op het verminderen van rapportagevereisten en het vergemakkelijken van de naleving voor bedrijven, blijft CSRD-rapportage verplicht voor veel bedrijven en zal het in de komende jaren verplicht worden voor anderen.

Het Omnibus-voorstel geeft kleinere bedrijven meer tijd om te voldoen, zodat ze zich beter kunnen afstemmen op de nieuwe regelgeving. Deze verlenging zal deze bedrijven ook helpen hun duurzaamheidspraktijken te verfijnen en effectieve transitieplannen te ontwikkelen, wat zou moeten leiden tot hogere kwaliteit en naleving van normen, evenals kansen biedt om benchmarks en vergelijkingen te verkrijgen.

Belangrijke rapportagegebieden onder de CSRD:

• Milieu-gerelateerde openbaarmakingen: Informatie over broeikasgasemissies, klimaatrisico's en mitigatiestrategieën.
• Sociale openbaarmakingen: Gegevens over diversiteit op de werkvloer, arbeidspraktijken en gemeenschapsbetrokkenheid.
• Governance openbaarmakingen: Details over de samenstelling van de raad van bestuur, executive compensatie en anti-corruptiemaatregelen.

Een dubbele materialiteitsbeoordelinghelpt de meest significante ESG-kwesties voor het bedrijf en zijn belanghebbenden te identificeren. Dit proces omvat het betrekken van belanghebbenden, het analyseren van trends in de sector en het beoordelen van de impact van het bedrijf op het milieu en de samenleving. Bedrijven stellen vervolgens duidelijke en meetbare ESG-doelstellingen en -targets vast die zijn afgestemd op hun strategische doelen. De uitkomst van de dubbele materialiteitsbeoordeling en de geïdentificeerde doelen moeten de ontwikkeling van het ESG-kader begeleiden.

De uitdaging van het verzamelen van ESG-gegevens

Betrouwbare gegevens vormen de basis voor geloofwaardige niet-financiële rapportage. Een belangrijke verschuiving ten opzichte van traditionele financiële rapportageprocessen is de toegenomen afhankelijkheid van en input van verschillende afdelingen binnen de organisatie, evenals de noodzaak om gegevens van derden te verzamelen, aangezien CSRD-rapportage informatie vereist uit de waardeketen (operaties die niet door het bedrijf worden beheerd). EY's wereldwijde enquête over bedrijfsrapportage toont aan dat 96% van de financiële leiders problemen meldt met gegevens, waaronder gegevensformaten, nauwkeurigheid, volledigheid, inconsistenties, verouderde informatie en een gebrek aan duidelijke gegevensdefinities.

Bedrijven worden aangemoedigd om de verschillende gegevenspunten en -bronnen voor elke geïdentificeerde ESG-metric in kaart te brengen en een risicoanalyse uit te voeren, inclusief elementen van gegevensnauwkeurigheid, zoals de bron van gegevens (intern/extern en betrokken gegevensbeheersystemen) en de daaropvolgende oordelen/schattingen die zijn gemaakt tijdens de gegevensverwerking.

Het consolideren van zoveel mogelijk gegevens binnen hetzelfde gegevensbeheersysteem helpt bij het ontwerpen van controles rond de betrokken gegevens. Om de gegevensintegriteit te waarborgen, moeten bedrijven investeren in gegevensvalidatieprocessen, de betrouwbaarheid van gegevensbronnen verifiëren en nauwkeurige records bijhouden. Gegevens van externe leveranciers kunnen worden geverifieerd door periodieke monitoring van trends en consistentie, het aanvragen van onafhankelijkheidsverklaringen met betrekking tot de verstrekte gegevens, en/of toegang te krijgen tot de bronsystemen van de leverancier.

Waar mogelijk worden bedrijven aangemoedigd om gebruik te maken van de gegevensbeheersystemen die zijn opgezet voor financiële rapportage, waarvoor algemene IT-controles (ITGC's) kunnen worden gebruikt. Waar hiaten bestaan, moeten bedrijven nieuwe oplossingen evalueren om te voldoen aan de huidige en toekomstige externe rapportagebehoeften, evenals automatiseringsmogelijkheden om de efficiëntie te verbeteren.

Het stappenplan voor het opzetten van het ESG-controlekader

Om de betrouwbaarheid en verantwoording van niet-financiële rapportage te waarborgen, is het cruciaal voor bedrijven om een solide intern controle-ESG-kader op te zetten. Dit omvat verschillende belangrijke stappen:

Stap 1: ontwikkelen van beleid en procedures en creëren van verantwoordelijkheid:

Beleid en procedures verwijzen naar de formele richtlijnen en vastgestelde processen die bepalen hoe ESG binnen de organisatie wordt beheerd. Deze zorgen ervoor dat medewerkers de aanpak van de organisatie voor het beheren van ESG-aspecten begrijpen en zich bewust zijn van hun bijbehorende rollen en verantwoordelijkheden. Deze beleidslijnen bieden ook een gestructureerde en consistente manier om ESG-risico's te identificeren, te beoordelen, te reageren en te monitoren. Procedures kunnen specifieke methoden omvatten voor het uitvoeren van ESG-risicoanalyses of het ontwikkelen van mitigatieplannen, zoals het interne controle-ESG-kader. Aangezien veel betrokken middelen mogelijk niet bekend zijn met het opzetten van een controlekader, zijn gerichte training en coaching belangrijke succesfactoren voor het bevorderen van de effectiviteit van het ESG-controlekader.

Stap 2: risico-identificatie en -beoordeling:

Risico-identificatie is het proces van het identificeren van ESG-risico's die de mogelijkheid van de organisatie om haar doelstellingen te bereiken, kunnen beïnvloeden. Na het identificeren van de risico's wordt een beoordeling uitgevoerd met als doel de waarschijnlijkheid van elk risico en de potentiële impact op de organisatie te begrijpen. Deze beoordeling stelt de organisatie in staat om te bepalen welke risico's onmiddellijke aandacht vereisen en welke op de lange termijn kunnen worden beheerd of gemitigeerd.

Stap 3: implementeren van interne controles:

Interne controles worden ingesteld om de waarschijnlijkheid en/of impact van risico's te verminderen, terwijl ook wordt gezorgd voor naleving van interne beleidslijnen en procedures, evenals wetten en regelgeving. Een effectief interne controlestructuur is cruciaal voor het waarborgen van de verantwoording en betrouwbaarheid van ESG-niet-financiële rapportage. Er zijn verschillende niveaus van interne controles:

• Entity-level controls: governance-structuren, ethische normen en risicobeheerframeworks.
• Process-level controls: procedures voor gegevensverzameling, validatie en rapportage.
• System level controls: mechanismen die de integriteit, vertrouwelijkheid en beschikbaarheid van informatie waarborgen.
• Monitoring controls: Regelmatige audits, beoordelingen en prestatie-evaluaties.

Het uitvoeren van risicoanalyse-activiteiten op de geïdentificeerde openbaarmakingen kan helpen om activiteiten te prioriteren en het controlekader te ontwerpen.

Bij het ontwerpen van controles is het belangrijk om de reikwijdte van de procedures te bepalen die voor elke metric moeten worden uitgevoerd, evenals de verwachte controle-documentatie die door de verantwoordelijke eigenaren moet worden gegenereerd. Het consolideren van informatie binnen dezelfde gegevensbeheersystemen bevordert de standaardisatie en traceerbaarheid van gegevensverzameling en -verwerking. Voor controles die hogere risico's of beoordelingsgebieden omvatten, is documentatie van de gebruikte gegevens en gemaakte aannames essentieel voor het begrijpen van de resulterende uitkomsten en openbaarmakingen.

Stap 4: monitoring en continue verbetering:

Het opbouwen van een solide ESG-kader is een doorlopend proces dat voortdurende monitoring en verbeteractiviteiten vereist. Bedrijven worden aangemoedigd om mechanismen op te zetten voor regelmatige beoordeling en evaluatie van hun ESG-risico's en -controles, en om geïdentificeerde tekortkomingen in het ontwerp of de uitvoering van controleactiviteiten aan het management en degenen die verantwoordelijk zijn voor governance te communiceren als input voor verdere verbeteringen.

Bovendien kunnen bedrijven de verzamelde ESG-gegevens gebruiken om bredere ESG-prestaties te monitoren. Dit kan het uitvoeren van interne audits, het volgen van de voortgang ten opzichte van doelstellingen en het vragen om feedback van belanghebbenden omvatten om hun verwachtingen te begrijpen en hun zorgen aan te pakken.

Continue verbetering moet een kernprincipe zijn, waarbij bedrijven zich inspannen om hun ESG-praktijken in de loop van de tijd te verbeteren. Benchmarking tegen branchegenoten en het aannemen van best practices kan bedrijven verder helpen om hun ESG-prestaties te verbeteren. Bedrijven moeten op de hoogte blijven van trends in de sector en opkomende praktijken. Deelname aan initiatieven in de sector en samenwerking met andere organisaties kan waardevolle inzichten en mogelijkheden voor verbetering bieden.