{{updated}}

Nu de EU Corporate Sustainability Reporting Directive (CSRD) en de Europese Duurzaamheidsrapportagestandaarden (ESRS) van kracht worden, bereiden bedrijven zich voor op de uitdaging om te voldoen aan nieuwe en strenge auditvereisten.

Om bedrijven te helpen navigeren door dit complexe landschap, hebben Coolset, een alles-in-één platform voor duurzaamheidsdatabeheer, en Flynth, een toonaangevend (CSRD) accountantskantoor, samengewerkt om een gedetailleerde Audit FAQ te maken. Deze bron is ontworpen om bedrijven duidelijke, praktische antwoorden te geven op 25 veelgestelde vragen over CSRD-auditing.

1. Hebben bedrijven die rapporteren over CSRD een interne duurzaamheidsmanager nodig om compliance te garanderen, of is het mogelijk om een CSRD-rapport te maken met een intern team?

‍Onder het Omnibusvoorstel zouden bedrijven met minder dan 1.000 werknemers niet langer wettelijk verplicht zijn om onder CSRD te rapporteren. Echter, degenen die ervoor kiezen om vrijwillig te rapporteren (of zich voorbereiden op toekomstige verplichtingen) wordt nog steeds geadviseerd om een cross-functioneel projectteam te vormen. Een duurzaamheidsmanager blijft nuttig om de rapportage te coördineren over financiën, HR, inkoop en operaties. Voor meer informatie, bekijk ons artikel over beste praktijken in CSRD-rapportage.

2. ESRS vereist dat gasverbruik wordt gepresenteerd in lagere calorische waarde, maar veel facturen presenteren het in hogere calorische waarde. Zullen auditors dit strikte onderscheid handhaven?

Als de hogere calorische waarde wordt gebruikt en dit duidelijk wordt uitgelegd in de tabel waar het gasverbruik is opgenomen in het duurzaamheidsrapport, zal dit geen probleem zijn. Transparantie is het cruciale onderdeel in rapportage.

3. Hoe verwacht je dat auditors zeer technische gegevens valideren die mogelijk buiten hun expertisegebied vallen?

Net als bij financiële audits zullen auditors voor CSRD en ESRS experts zijn. Voor CSRD-audits kunnen externe experts op gebieden zoals broeikasgassen (GHG), ecologie en biodiversiteit worden ingezet. Het is echter niet altijd nodig dat de auditor een expert inschakelt; het hangt af van de complexiteit van de gegevens.

4. Wie is primair verantwoordelijk voor de accreditatie van CSRD-auditors?

In Nederland is de NBA (Nederlandse Beroepsorganisatie van Accountants) primair verantwoordelijk voor de accreditatie van CSRD-auditors.

5. Hoe zullen de auditorverklaringen worden gestructureerd?

De exacte structuur van de auditorverklaringen voor CSRD is nog niet volledig beschikbaar en zal uiterlijk bekend zijn wanneer de eerste auditrapporten in de eerste helft van 2025 worden gepubliceerd. Het lijkt erop dat er aparte verklaringen zullen zijn voor de financiële audit en de CSRD-audit. De verklaring voor de CSRD-audit zal een assurance-rapport zijn met een beperkt niveau van zekerheid. Het is te verwachten dat dezelfde soorten oordelen mogelijk zullen zijn als voor de financiële audit: een goedkeurende verklaring, een verklaring met beperking, een verklaring met onthouding en een afkeurende verklaring.

6. Is het betrekken van een auditor in het proces verenigbaar met het behouden van zijn onafhankelijkheid?

Ja, het betrekken van een auditor in het CSRD- en ESRS-auditproces kan verenigbaar zijn met het behouden van zijn onafhankelijkheid, mits het zorgvuldig wordt beheerd. Als de klant specifiek om een oordeel vraagt, kan de auditor een zogenaamde uitgebreide 3810N-opdracht aangaan. Bovendien kan de auditor in de context van zorgplicht en adviesfunctie samen met de klant kijken naar het implementatieproces, om ervoor te zorgen dat antwoorden in lijn zijn met de EFRAG-vereisten. De auditor moet echter zelf beoordelen of zijn onafhankelijkheid gewaarborgd blijft. Als dit niet het geval is, zal de auditor dit aangeven.

7. Kunnen bedrijven worden beboet voor niet-compliance van de CSRD, zelfs met beperkte zekerheid?

Ja, bedrijven kunnen worden beboet voor niet-compliance van de CSRD. Het niet voldoen aan de CSRD-vereisten kan ertoe leiden dat de auditor geen assurance-verklaring afgeeft, zelfs geen beperkte zekerheid. Het ontbreken van een assurance-verklaring kan juridische en financiële gevolgen hebben, waaronder boetes.

8. Wie is verantwoordelijk voor het waarborgen dat de audit volgens de EFRAG-richtlijnen wordt uitgevoerd?

In Nederland is de NBA (Nederlandse Beroepsorganisatie van Accountants) verantwoordelijk voor de accreditatie van auditors die betrokken zijn bij CSRD-audits, evenals voor het toezicht en de controle van hun werk in lijn met EFRAG, de organisatie die de officiële CSRD-rapportagevereisten heeft opgesteld.

9. Hoeveel tijd verwachten auditors te besteden aan een enkel CSRD-rapport?

Het is moeilijk om precies in te schatten hoeveel tijd een auditor aan een CSRD-rapport zal besteden, maar een goede planning is cruciaal. Het is raadzaam om in de planningsfase ongeveer een week in te plannen voor het auditwerk en één tot twee weken voor het rapport, afhankelijk van de omvang. Het kan nuttig zijn om vroeg inzicht te krijgen in het aantal gegevenspunten dat je als organisatie zult rapporteren, zodat de auditor kan bijdragen aan de planning en tijdsinvestering. Voor bedrijven die nu te maken hebben met uitgestelde compliance (Wave 2 verschoven naar 2027, met een rapport in 2028), biedt het voorstel een kans om systemen vroeg op te bouwen, auditors van tevoren te betrekken en proefaudits uit te voeren voordat verplichte assurance begint.

10. Wat zijn de verwachte kosten van een audit voor een middelgroot bedrijf dat rapporteert onder de CSRD?

Hoewel de exacte kosten vaak moeilijk te benaderen zijn, is het niet onwaarschijnlijk dat het auditbudget met 50% van de huidige auditkosten zal toenemen. Dit hangt af van de complexiteit van de rapportage en de omvang van de audit.

Kostenverwachtingen kunnen verschuiven onder de voorgestelde Omnibus-wijzigingen. Bedrijven die nieuw zijn vrijgesteld onder de drempel van 1.000 FTE kunnen auditkosten volledig vermijden, tenzij ze ervoor kiezen om vrijwillig te rapporteren. In die gevallen kunnen eenvoudigere audits (mogelijk gebruikmakend van de voorgestelde VMKB-standaard) de budgetvereisten verminderen in vergelijking met volledige ESRS-afstemming.

11. Is de eis van beperkte zekerheid van toepassing op alle audits, ongeacht de grootte van het bedrijf (bijv. beursgenoteerde versus niet-beursgenoteerde bedrijven)?

Ja, alle organisaties die onder de CSRD vallen, zijn verplicht om ten minste beperkte zekerheid te verkrijgen voor hun CSRD-rapportage, ongeacht de grootte van de organisatie. Dit betekent dat er geen onderscheid is tussen beursgenoteerde en niet-beursgenoteerde bedrijven.

12. In welk formaat moeten gegevens die onder CSRD worden gerapporteerd, worden ingediend?

De gegevens moeten worden ingediend in het Europese Single Electronic Format (ESEF). De rapportagetaxonomie wordt uitgegeven door EFRAG.

13. Is het waarschijnlijk dat duurzaamheidsrapporten uiteindelijk net zo gebruikelijk en begrijpelijk worden als financiële rapporten?

Ja, het is waarschijnlijk dat duurzaamheidsrapporten steeds belangrijker en begrijpelijker worden, mogelijk zelfs belangrijker dan financiële rapporten. Dit komt omdat duurzaamheidsrapporten een bredere sociale relevantie hebben en de interesse van een breder publiek trekken.

14. In welke mate zullen auditors vertrouwen op externe experts voor specifieke milieu- of sociale gegevens die buiten hun traditionele expertise vallen?

Het is aan de auditor om te bepalen of hij of zij voldoende expertise heeft om oordelen te vellen over specifieke milieu- of sociale kwesties. In gevallen waarin technische informatie vereist is, kan het gebruik van een externe specialist goed geschikt zijn.

{{custom-cta}}

15. Hoe moeten bedrijven omgaan met het combineren van financiële en duurzaamheidsrapportage, vooral wanneer de gegevenssets zo verschillend zijn?

Hoewel de aard van financiële en duurzaamheidsgegevens verschillend is, zijn de gegevenssets vaak meer met elkaar verweven dan ze op het eerste gezicht lijken. Veel sociale gegevens, zoals personeelsinformatie, zijn al aanwezig in loon- en personeelsdossiers.

Informatie over koolstofemissies kan nieuw zijn, maar kan worden afgeleid van inkoopgegevens voor gas, elektriciteit, benzine, enz., die ook in financiële administratie worden vastgelegd. Het is daarom cruciaal om de controle- en boekhoudafdelingen te betrekken bij het verzamelen en registreren van duurzaamheidsgegevens. Voor een ordelijke en conforme vastlegging met een audittrail is het raadzaam om gespecialiseerde software te overwegen.

16. Zullen bedrijven in staat zijn om duurzaamheidsindicatoren in toekomstige rapporten aan te passen naarmate nieuwe gegevens of methodologieën de nauwkeurigheid verbeteren, en hoe zullen auditors omgaan met dergelijke herzieningen?

Ja, bedrijven zullen in staat zijn om duurzaamheidsindicatoren in toekomstige rapporten aan te passen naarmate nieuwe inzichten of methodologieën beschikbaar komen. Bijvoorbeeld, als emissiefactoren veranderen door nieuwe wetenschappelijke inzichten, kunnen ze worden opgenomen in het duurzaamheidsrapport.

Indien van toepassing worden vergelijkende cijfers van het voorgaande jaar ook aangepast om consistentie en vergelijkbaarheid te waarborgen. De ESRS staat foutcorrecties en opname van nieuwe inzichten toe, mits duidelijk wordt aangegeven wat er is veranderd en waarom. Auditors zullen de impact van de wijzigingen beoordelen en verifiëren dat ze correct zijn verwerkt.

17. Wat is de rol van digitale tools bij het vergemakkelijken van CSRD-compliance, vooral voor bedrijven die nieuw zijn in duurzaamheidsrapportage?

Digitale tools spelen een cruciale rol bij het vergemakkelijken van CSRD-compliance, vooral voor bedrijven die nieuw zijn in duurzaamheidsrapportage. Er zijn verschillende soorten tools beschikbaar: sommige bieden projectondersteuning, sommige richten zich op gegevensvastlegging en -verzameling, en sommige ondersteunen het schrijven van rapporten.

Bij het selecteren van een tool is het belangrijk om te beoordelen waar de organisatie specifieke hulp bij nodig heeft. Als de behoefte zich uitstrekt tot alle drie de aspecten, is het verstandig om een tool te kiezen die al deze functies biedt.

18. Is er een mogelijkheid dat sommige sectoren strenger worden gecontroleerd door auditors vanwege hun hoge milieu- of sociale impact, en hoe moeten deze bedrijven zich hierop voorbereiden?

Hoewel er geen sprake is van strengere controle van bepaalde sectoren, zullen auditors meer aandacht besteden aan risicovolle onderwerpen in sectoren die een grote impact hebben op bijvoorbeeld het milieu of kinderarbeid. In die sectoren zullen deze onderwerpen als hoog risico worden beschouwd, wat betekent dat auditors er meer aandacht aan zullen besteden tijdens hun werk.

Hoewel alle CSRD-gereguleerde organisaties onderworpen zullen zijn aan een beperkte assurance-audit, zal de focus op specifieke onderwerpen variëren afhankelijk van de sector en het bedrijfsprofiel.

19. Zullen bedrijven die actief zijn in meerdere EU-lidstaten onderworpen zijn aan audits door meerdere auditors, en hoe zullen conflicten in auditbevindingen worden beheerd?

In principe zal er een geconsolideerd rapport worden opgesteld, waarbij de audit en het oordeel plaatsvinden op groepsniveau, zoals het geval is bij financiële audits. De groepsauditor kan lokale auditors gebruiken in de lidstaten waar de groepsentiteiten zijn gevestigd.

Het is aan de groepsauditor om de bevindingen van de lokale auditors te integreren en eventuele conflicten in auditbevindingen te beheren. Dit proces verschilt niet wezenlijk van de aanpak die wordt gebruikt bij financiële audits.

20. Hoe verwacht je dat materialiteitsbeoordelingen, die vaak subjectief zijn, worden gevalideerd en geverifieerd binnen de CSRD?

Materialiteitsbeoordelingen zullen worden gevalideerd en geverifieerd door ervoor te zorgen dat er een transparant en conform proces is. Het is essentieel dat materialiteit volledig wordt bekendgemaakt in het duurzaamheidsrapport. Auditors zullen waarschijnlijk benchmarken tegen andere organisaties in dezelfde sector om te verifiëren dat er geen belangrijke kwesties over het hoofd zijn gezien in de materialiteitsanalyse.

Het is belangrijk voor bedrijven om aan te tonen dat ze alle relevante onderwerpen uit de ESRS hebben behandeld en duidelijk te maken welke onderwerpen wel of niet als materieel worden beschouwd.

21. Moeten bedrijven zich nu voorbereiden op de overgang van beperkte naar redelijke zekerheid, en welke stappen kunnen ze nemen om deze overgang te vergemakkelijken?

Het Omnibusvoorstel beveelt aan om alle eisen voor redelijke zekerheid te schrappen en in plaats daarvan bedrijven alleen onderworpen te laten zijn aan beperkte zekerheden. Bedrijven kunnen echter nog steeds vrijwillig kiezen voor redelijke zekerheid. Zodra deze processen zijn ingevoerd, zullen er vanzelf verbeteringen ontstaan die de overgang naar redelijke zekerheid vergemakkelijken. Bij het opzetten van systemen is het verstandig om rekening te houden met de eisen voor redelijke zekerheid, zoals het vaststellen van scheiding van taken en het implementeren van controles over de gegevens. Dit zal het voor de organisatie gemakkelijker maken om in de toekomst aan hogere auditvereisten te voldoen.

22. Zijn er bestaande certificeringen of kaders waar bedrijven zich bij moeten aansluiten om hun compliance van CSRD-rapportagevereisten te vereenvoudigen?

Hoewel niet verplicht, kan het nuttig zijn voor bedrijven om gebruik te maken van certificeringen of kaders zoals de Milieubarometer, de CO2-Prestatieladder, B Corp of andere relevante certificeringen. De ESRS verwijst bijvoorbeeld naar initiatieven zoals SBTi (Science-Based Targets initiative) voor klimaattransitieplannen. Het gebruik van dergelijke kaders kan helpen bij het vaststellen van beleid en doelen die in lijn zijn met de CSRD-vereisten.

23. Hoe gaan auditors om met potentiële belangenconflicten wanneer bedrijven externe consultants gebruiken die ook auditdiensten aanbieden voor duurzaamheidsrapportage?

Auditors moeten hun onafhankelijkheid behouden. Wanneer een externe consultant adviesdiensten heeft verleend, kan diezelfde consultant de audit niet uitvoeren, wat een direct belangenconflict vermijdt. Er kan echter een belangenconflict ontstaan als de adviesopdracht later wordt beëindigd en de consultant ook auditdiensten wil aanbieden. Gezien de huidige werkdruk in de auditindustrie is het onwaarschijnlijk dat dit een veelvoorkomend probleem zal zijn.

24. Hoe moeten bedrijven transparantie en gegevensbescherming in balans brengen bij het rapporteren van gevoelige of vertrouwelijke informatie in hun CSRD-rapporten?

De ESRS beschrijft welke informatie als gevoelig kan worden beschouwd en daarom niet hoeft te worden gerapporteerd. Dit betreft echter zeer specifieke gevallen. In de meeste gevallen is het doel van de CSRD om transparantie te bevorderen over de milieu-, sociale en governanceprestaties (ESG) van een bedrijf, wat betekent dat de meeste informatie wel moet worden bekendgemaakt.

Natuurlijk blijven privacyregels van toepassing bij het opstellen van het rapport en moet gevoelige persoonlijke gegevens zorgvuldig worden beschermd.

25. Welke rol spelen belanghebbenden bij het bepalen van de materialiteit van duurzaamheidskwesties voor een bedrijf?

Belanghebbenden spelen een cruciale rol bij het bepalen van materialiteit. Bedrijven moeten actief in gesprek gaan met hun belangrijkste belanghebbenden, zoals klanten, werknemers, leveranciers en maatschappelijke organisaties, om te begrijpen welke duurzaamheidskwesties zij belangrijk vinden. Deze input moet worden geïntegreerd in de materialiteitsanalyse, zodat het duurzaamheidsrapport een evenwichtige en relevante weergave biedt van de kwesties die belangrijk zijn voor de organisatie en haar belanghebbenden.

‍