COSO-modellen
COSO-modellen blev udviklet i 2013 og betragtes stadig som et anerkendt rammeværktøj for interne kontroller. Modellen består af fem komponenter og 17 principper. En organisation har et effektivt kontrolmiljø, når de 17 principper er til stede i organisationen og fungerer effektivt. De 17 principper er oplistet i figur 1. Figur 1. Kilde: COSO organisationens Internal Control Framework, https://www.coso.orgIdet ESG-området og ESG-rapporteringen adskiller sig fra finansielle rapportering og andre interne kontroller, har COSO i 2023 udgivet en fortolkning af, hvordan COSO-modellen kan anvendes på ESG-området. Dette skyldes blandt andet, at ESG-informationerne i højere grad end den finansielle rapportering er kvalitative informationer og fremadskuende. Fortolkningen af modellen, som er beskrevet nedenfor, giver et godt grundlag for at forstå, hvordan man kan komme i gang med opbygning af interne kontroller på ESG-området.
Kontrolmiljø
Den første komponent i COSO-modellen er kontrolmiljø, som består af fem principper.
Princip 1 vedrører integritet og etiske værdier. I forhold til ESG betyder det, at organisationen skal vise sine interessenter, at den er troværdig og handler bæredygtigt i offentlighedens interesse. Konkret betyder det, at organisationen skal definere krav til integritet og fastlægge sine etiske værdier i politikker, og at disse skal være i overensstemmelse med bæredygtighed og offentlighedens interesse. Overholdelse af reglerne skal evalueres, og der skal følges op på eventuelle konstaterede svagheder. Dette skal suppleres med, at ledelsen skal agere som rollemodel.
Princip 2 omhandler bestyrelsens ansvar. Det understreges, at bestyrelsens overvågning skal omfatte kontrol af, om ledelsen handler i overensstemmelse med organisationens bæredygtigheds mål. Dette ansvar skal skrives ind i bestyrelsens forretningsorden, og der skal udarbejdes en proces for overvågningen. Bestyrelsen skal i forbindelse med sin selvevaluering sikre, at den har de nødvendige kompetencer til denne opgave. Bestyrelsen kan eventuelt nedsætte et underudvalg til behandling af ESG, hvilket dog ikke fraskriver, at alle bestyrelsesmedlemmer har et ansvar for ESG-området. Bestyrelsens overvågning bør omfatte ESG-kontrollernes design, implementering og effektivitet samt rapportering i relation hertil.
Princip 3 berører roller og ansvarsfordeling. For så vidt angår ESG, betyder det, at definitionen af roller, ansvarsfordeling og beføjelser skal omfatte ESG området og ESG-processerne. ESG-området kræver ofte samarbejde på tværs af teams i den traditionelle organisation, hvilket gør det både ekstra vigtigt, men også ekstra udfordrende at definere roller og ansvar. Nogle organisationer udpeger en decideret EGS controller. I forbindelse med definition af roller og ansvarsfordeling skal man også være opmærksom på, at den relevante juridiske organisation kan være anderledes end for den finansielle rapportering. En koncern i finansiel rapporteringssammenhæng omfatter fx ikke franchising enheder, men disse kan være relevante i EGS-sammenhæng.
Princip 4 vedrører organisationens menneskelige ressourcer. For at opfylde sine bæredygtige forretningsmål er en organisation afhængig af sine menneskelige ressourcer. Man skal fastlægge, hvilke kompetencer man har brug for i forhold til ESG. Dette kan for eksempel indskrives i jobbeskrivelser. Det er desuden væsentligt, at organisationen afholder aktiviteter med henblik på at tiltrække personer med de rette ESG-kompetencer. Endelige bør organisationen også forholde sig til nøglepersonsproblematikker og succession for personer på ESG-området.
Princip 5 taler om ”accountability”, altså ansvarlighed. For at opfylde sine bæredygtige forretningsmål skal en organisation etablere og implementere meningsfulde måder at støtte sine menneskelige ressourcer på og samtidig overvåge performance. Idet ESG er et nyt område, kan mange organisationer opleve modstand og manglende forandringsvillighed. Her er det væsentligt, at ledelsen får defineret nogle hensigtsmæssige mål og KPI’ere for de enkelte medarbejdere, så medarbejderne løber i den rigtige og bæredygtige retning samt tager ansvar for ESG-processerne.
Risikovurdering
Den anden komponent i COSO-modellen er risikostyring og består af nedenstående 4 principper.
Princip 6 vedrører definition af mål. Organisationen skal definere klare bæredygtighedsforretningsmål. Disse mål skal forene organisationens formål, mission, værdier og sociale mål i en strategi. Bestyrelsen skal fastsætte en risikotolerance i forhold til ESG-målene. I forlængelse af målene skal bestyrelsen sikre, at der tildeles tilstrækkelige ressourcer til området, så det er realistisk at opnå målene. I Europa vil det være naturligt at tage udgangspunkt i CRSD-taksonomien ved definition af bæredygtighedsmålene. COSO peger på, at der bør sættes operationelle mål, mål for ekstern finansiel rapportering, mål for ekstern ikke-finansiel rapportering, mål for intern rapportering og compliance mål. Dette betyder, at den enkelte organisation bør overveje, om den, når CRSD-rapporteringen er på plads, bør supplere denne rapportering med fx interne mål.
Princip 7 omhandler identifikation og vurdering af risici. Efter at have sat sine bæredygtighedsforretningsmål, identificerer organisationen de forskellige omstændigheder, der kan forekomme, som kan forhindre organisationens evne til at opfylde disse mål enten delvist eller fuldstændigt. Formålet med denne vurdering er at udvikle og implementere midler og kontroller til at reagere på disse risici. Denne handling er ikke forskelligt fra den generelle risikostyring og bør også udarbejdes sammen med risikovurderingen for de øvrige risici i organisationen. Det vigtige er således at understrege, at organisationens risikovurdering skal indeholde specifikke ESG-risici.
Princip 8 berører vurdering af besvigelsesrisikoen. I forbindelse med ESG er besvigelsesrisikoen relateret primært til bevidst fejlinformation, dvs. ”greenwashing”. Vurderingen af besvigelsesrisiciene skal være en integreret del af den samlede risikovurdering, dvs. princip 7. Ved vurderingen skal der overvejes ledelsens og medarbejdernes incitament til besvigelser, samt hvilket pres der lægges på ledelsen og medarbejderne for at opnå virksomhedens bæredygtighedsmål. Det vil sige, at man skal anvende teorien i den velkendte besvigelsestrekant (dvs. incitament, mulighed og retfærdighedsgørelse). Set i forhold til omfanget af ESG-rapporteringen og deadlines herfor samt samfundets forventninger, må det antages, at en ofte eksisterende situation vil være, at en medarbejder føler sig presset til at rapportere nogle ESG-tal, som der ikke er sikkerhed for med henblik på at nå en deadline eller fremstå bæredygtigt.
Princip 9 vedrører analyse af væsentlige ændringer og nye tendenser, hvilket skal ses i sammenhæng med, at princip 9 er en del af risikostyringen. Der er således tale om, at man i forbindelse med risikovurderingen under princip 7 skal overveje nye tendenser inkl. kommende lovændringer, økonomiske tendenser og fysiske risici i forhold til ESG.
Kontrolaktiviteter
Den tredje komponent i COSO-modellen er kontrolaktiviteter. Kontrolaktiviteter består af tre principper.
Princip 10 vedrører valg og etablering af interne kontroller. De interne kontroller skal tage udgangspunkt i organisationens bæredygtighedsmål og de risici, som er identificeret under risikostyringen (princip 6-9). Der er ikke en ”one-fit-all” løsning. De interne kontroller vil være forskellige fra organisation til organisation. I første omgang bør det overvejes, om nogle af de eksisterende kontroller også dækker bæredygtighedsmålene og risiciene. De fleste organisationer har dog behov for særskilte kontroller for ESG-området.
Princip 11 beskæftiger sig med anvendelsen af IT. En organisation skal sikre, at de generelle IT-kontroller for de systemer som anvendes i ESG-processerne er tilstrækkelige. Generelt set benytter de fleste organisationer en eller flere af følgende tre mulighed for IT-understøttelse i ESG-processen: (1) systemer, som er integreret med andre forretningssystem inkl. ERP-systemet, (2) særskilt system til styring af bæredygtighedsmålene og rapporteringen og (3) regneark. Organisationen skal vurdere, om den eksisterende IT-sikkerhed omfatter systemerne, som anvendes i ESG-processen. Specielt, hvis der anvendes et særskilt system eller regneark, bør organisationen overveje, om disse er dækket af en tilstrækkelig IT-sikkerhed. Organisationerne bør også overveje, om der er behov for udvidelse af deres IT-revision, idet en IT-revision typisk udelukkende omfatte IT-sikkerhed, som er væsentlig i forhold til et retvisende regnskab.
Princip 12 omhandler politikker og forretningsgange. Organisationen bør sikre, at dens politikker og forretningsgange omfatter ESG-processen. I nogle tilfælde vil det være mest hensigtsmæssigt at indarbejde EGS-bestemmelser i eksisterende politikker og forretningsgange. I andre tilfælde vil det være mere hensigtsmæssigt at udarbejde særskilte politikker og forretningsgang eller en kombination heraf. Politikkerne og forretningsgangene skal stille de relevante medarbejdere i stand til at leve op til bæredygtighedsmålene samt måle og rapportere dem korrekt. Organisationen skal i denne forbindelse overveje, om der er behov for supplerende undervisning i forståelsen af politikker og forretningsgange.
Information og kommunikation
Den fjerde komponent i COSO-modellen er ”information og kommunikation”. Denne komponent består af tre principper.
Princip 13 beskriver brugen af relevant information. For så vidt angår ESG, betyder det, at organisationen skal have data, der dækker organisationens bæredygtighedsmål, og at disse data skal have en tilstrækkelig kvalitet. Med udgangspunkt i organisationens bæredygtighedsmål, skal den identificere hvilke data, der er behov for, indsamle disse og behandle dem, således at der opnås informationer, som er anvendelige for ESG-beslutninger og rapportering. Det er i denne forbindelse særligt vigtigt at sikre, at dataenes kvalitet ikke forringes undervejs i behandlingen af dataene, samt sikre, at der er et revisionsspor, således at dataenes oprindelse kan spores. Mange virksomheder kan med fordel etablere en intern revisionsafdeling til at hjælpe med at vurdere kvaliteten af ESG-dataene.
Princip 14 berører intern kommunikation. Når en organisation har fastlagt rollefordelingen og udarbejdet politikker og forretningsgange for ESG-området, er det væsentligt, at disse kommunikeres til alle relevante medarbejdere/aktører i organisationen. Det er vigtigt, at informationen rammer alle relevante medarbejdere og ikke kun medarbejdere, som er ansvarlige for interne kontroller. Kommunikationen kan foretages på flere måde, fx via intranet eller mails. Kommunikationen bør tilrettes modtagerne, således at der er en særskilt kommunikation til beslutningstagere. I tillæg hertil skal organisationen sørge for at bestyrelsen modtager den information om ESG og bæredygtighedsmålene, som er nødvendig for at bestyrelsen kan vare sit ansvar.
Princip 15 vedrører kommunikation til eksterne interessenter vedrørende forhold, som kan påvirke de interne kontroller. De eksterne interessenter kan for eksempel være investorer og bankforbindelser, som kan have interesse i organisationens bæredygtighed. Informationen bør indeholde informationer om organisationens håndtering, risikostyring og interne kontroller på ESG-området. Bestyrelse, ledelsen, kommunikationsafdelingen og afdeling for investor relationship har en særlig rolle i denne kommunikation, hvorfor det er væsentligt, at de er klædt godt på til varetagelse heraf.
Overvågningsaktiviteter
Den femte og sidste komponent i COSO-modellen er overvågningsaktiviteter, som består af to principper.
Princip 16 omhandler løbende evaluering af de interne kontroller. Det understreges her, at der bør foretages løbende evaluering af de interne kontrollers effektivitet. Denne evaluering bør foretages af en uafhængig og kompetent person, hvor der lægges vægt på, at personen har viden om interne kontroller. Samtidig understreges det, at vurderingen af kontrollerne effektivitet skal tage hensyn til løbende ændringer inden for ESG-områder og løbende ændringer af organisationens aktiviteter. Dette skal ses i sammenhæng med, at de fleste organisationer løbende kommer til at justere deres bæredygtighedsmål i takt med udviklingen i samfundet og forbedret muligheder for at være bæredygtig.
Princip 17 taler om evaluering og kommunikation af kontrolsvagheder. Kontrolsvaghederne skal analyseres, kommunikeres og udbedres med rettidig omhu. Princip 17 hænger sammen med princip 16, idet kontrolsvaghederne er identificeret under princip 16. Idet ESG-området er forholdsvist nyt, må det forventes, at der i begyndelsen er en del kontrolsvagheder, som løbende udbedres, hvorved kontrolmiljøets modenhed forbedres.
Konklusion
Samlet set danner COSO-modellen en systematisk ramme for et effektivt kontrolmiljø, også for delvist uhåndgribelige områder som ESG. Som beskrevet ovenfor har COSO udgivet en fortolket udgave af COSO-modellen, der beskriver, hvordan modellen kan anvendes i et ESG-perspektiv. Med denne i hånden bliver det lettere for de enkelte organisationer at etablere et effektivt kontrolmiljø for ESG-området.
Kilde: https://www.coso.org/_files/ugd/3059fc_a3a66be7a48c47e1a285cef0b1f64c92.pdf