Flere norske foretak er eller vil snart være i gang med å utarbeide bærekraftsrapporter i henhold til de nye kravene i regnskapsloven (CSRD) og de europeiske standardene for bærekraftsrapportering (ESRS). De skal sikre nøyaktighet og pålitelighet i sine rapporter, samtidig som de møter nye og økende krav til rapportering av miljø-, sosiale og styringsmessige-faktorer (ESG). Manglende erfaring og mangel på etablerte rutiner kan føre til unøyaktigheter i rapporteringen og gir økt risiko for feil.
I denne artikkelen skal vi fortelle mer om hvorfor og hvordan internkontroll innenfor bærekraftsrapportering kan bidra til å sikre kvalitet i rapporteringen. Når vi i denne artikkelen bruker begrepet internkontroll, mener vi prosesser og prosedyrer som er designet for å sikre pålitelighet og kvalitet knyttet til bærekraftsrapportering, overholdelse av lover og regler samt effektiv drift.
Hvorfor god internkontroll over bærekraftsinformasjon er viktig
Nøyaktighet og pålitelighet: God internkontroller bidrar til at ESG-data er nøyaktige og troverdige, noe som er avgjørende for å bygge tillit hos investorer og andre interessenter.
Regulatoriske krav: Med innføringen av EUs Corporate Sustainability Reporting Directive (CSRD) og andre regulatoriske krav, blir det stadig viktigere for bedrifter å ha robuste internkontroller på plass.
Tillit hos interessenter: Effektive internkontroller bidrar til å bygge tillit hos investorer, kunder og andre interessenter ved å demonstrere at bedriften tar bærekraftsrapportering på alvor.
Rapportering på utvikling: En viktig del av bærekraftsrapporteringen er å vise utviklingen over tid. Foretakene skal rapportere på fremgang mot fastsatte mål, samt vurdere effekten av iverksatte tiltak. For å sikre at denne informasjonen er pålitelig og av høy kvalitet, er det avgjørende at rapporteringen er basert på et konsekvent datagrunnlag. Dette innebærer at samme metode og kriterier benyttes fra år til år for å gjøre informasjonen sammenlignbar. Uten en tydelig og konsekvent tilnærming til datainnsamling og dokumentasjon, kan det oppstå usikkerhet om hvorvidt utviklingen som rapporteres er reell, noe som kan svekke tilliten til rapporteringen.
Kontroll av informasjonen i bærekraftsrapporten
For alle norske foretak som er pliktig til å utarbeide en bærekraftsrapport, er det krav om at denne informasjonen attesteres av en bærekraftsrevisor. Informasjonen som ligger til grunn for rapporteringen må derfor være dokumentert på en måte som gjør det mulig for en revisor å bekrefte at informasjonen stemmer. Dette krever en strukturert tilnærming til dokumentasjon, slik at alle relevante data kan hentes frem og verifiseres dersom det blir behov for det. God internkontroll vil bidra til at informasjonen er korrekt, men også lett tilgjengelig for revisors attestasjon. På sikt skal revisor avgi uttalelse med betryggende sikkerhet. Da blirrevisor avhengig av å bygge på foretakets egen internkontroll. Derfor bør dere etablere gode rutiner og prosesser allerede nå.
Finanstilsynet har ansvar for å føre tilsyn med bærekraftsrapporteringen for noterte foretak i Norge. Deskal sikre at foretakene overholder gjeldende regler og forskrifter, og at rapporteringen er pålitelig og nøyaktig. Finanstilsynet har flere virkemidler til rådighet for å håndheve regelverket, inkludert advarsler, pålegg om retting, overtredelsesgebyr og i alvorlige tilfeller, politianmeldelse.
Implementeringen kan være utfordrende
Implementering av internkontroller over bærekraftsinformasjon kan være utfordrende, blant annet knyttet til datainnsamling, validering og rapportering. Avanserte teknologier, opplæring av ansatte og etablering av klare prosedyrer og retningslinjer kan være svar på noen av utfordringene.
De som lykkes, har en strukturert tilnærming. Vi anbefaler å ta utgangspunkt i COSO-rammeverket for bærekraftsrapportering. Dette rammeverket består av fem komponenter og 17 prinsipper som kan brukes for bærekraftsinformasjon:
- Kontrollmiljø: Etabler en kultur som verdsetter integritet og etisk atferd.
- Risikostyring: Identifiser og vurder risikoer knyttet til bærekraftsrapportering.
- Kontrollaktiviteter: Implementer kontroller for å redusere identifiserte risikoer.
- Informasjon og kommunikasjon: Sikre at relevant informasjon blir kommunisert effektivt.
- Overvåking: Overvåk og vurder effektiviteten av internkontrollene kontinuerlig.
5 tips for å øke kvaliteten på datainnsamlingen og rapporteringen
Hvordan kan du gjøre dette i praksis? Vi avslutter med fem tips.
- Lag en oversikt over hvilke opplysningskrav deres virksomhet rapporterer på, og hvilke grunnlag som ligger til grunn for rapporteringen. Dette bidrar til en god oversikt over hvor informasjonen er hentet fra. Det vil gjøre det enklere å fremskaffe data, både til attestasjonsprosessen og for å sikre sammenlignbar informasjon fra år til år.
- Automatiser datainnhenting. Se på hvordan bruk av datasystemer (enten eksisterende systemer eller nye systemer) kan bidra til å gjøre datainnhentingen mer automatisk, og dermed redusere risikoen for feil.
- Etabler skriftlige rutiner: Det bør utarbeides skriftlige rutinebeskrivelser som blant annet inneholder informasjon om hvor dataen er hentet fra, hvem som er ansvarlig for å fremskaffe data, hvordan dataen skal kvalitetssikres og hvem som er ansvarlig for å kvalitetssikre informasjonen.
- Ansvarliggjør personer i virksomheten. Det er viktig at både de som er ansvarlige for å innhente og bearbeide data, og de som har ansvar for å kvalitetssikre denne, har en god forståelse av både formålet med rapporteringen og kravene som stilles. Tydelig eierskap til dataen bidrar til å sikre at informasjonen som rapporteres er nøyaktig, konsistent og i samsvar med kravene i rapporteringsstandardene. Kvalitetssikring bør være en systematisk prosess, som bidrar til å sikre at informasjonen som rapporters er nøyaktig og konsistent over tid.
- Kontinuerlig forbedring: Overvåk og vurder effektiviteten av internkontrollene. Fungerer de som ønsket, eller er det behov for justeringer? Etter hvert som rapporteringsrutinene effektiviseres og automatiseres, er det viktig at dette også reflekteres i internkontrollrutinene.
Les mer:
Hvor og hvordan finne data til bærekraftsrapporten?
Bærekraftsrapportering og ESG
Oppsummering
Oppsummert ser vi at interkontroll er kritisk for å sikre pålitelig bærekraftsrapportering. Ved å implementere robuste rutiner kan bedrifter oppfylle regulatoriske krav, bygge tillit hos interessenter og redusere regulatorisk risiko.