Rendicontazione di sostenibilità: errori e presidi di controllo

La revisione della rendicontazione di sostenibilità va ben oltre la semplice verifica aritmetica degli indicatori e tocca la valutazione di un sistema organizzativo e informativo che coinvolge funzioni aziendali diverse, dati quantitativi e qualitativi, processi formalizzati e prassi operative spesso non ancora mature. Nell’area governance questa complessità trasversale è particolarmente evidente, perché qui si concentrano alcuni snodi decisivi.

Riferimenti normativi: Direttiva UE 28.02.2024, n. 825

Mappatura preventiva errori

Attività
La complessità dell’attività di controllo spinge il revisore a predisporre, prima dell’avvio delle verifiche, una mappatura preventiva dei possibili errori.

Funzione
Tale mappatura deve consentire di:
– orientare il lavoro sulle aree maggiormente critiche;
– selezionare procedure mirate;
– passare da una verifica formale a un controllo sostanziale.

Conseguenze
In questo modo, si riduce il rischio che omissioni, incoerenze o affermazioni non supportate da dati attendibili e verificabili restino ben nascoste all’interno di un report apparentemente redatto a regola d’arte.

Errori riguardanti il perimetro della rendicontazione

Problema
Il perimetro della rendicontazione di sostenibilità non coincide automaticamente con quello del bilancio.

Attività
Il revisore:
– svolgerà le sue verifiche partendo da una riconciliazione con il bilancio (individuale o consolidato), con l’organigramma societario e con le operazioni straordinarie dell’esercizio, verificando che eventuali mancate inclusioni siano ben motivate e non strumentali;
– verificherà l’eventuale esclusione dalla rendicontazione di società, siti o Paesi con performance più critiche e le reali motivazioni;
– non limiterà il controllo alle attività proprie dell’impresa e lo estenderà alla catena del valore, includendo fornitori critici, clienti, distributori, uso dei prodotti e fine vita.

Errori inerenti all’analisi di materialità

Problema
Il revisore deve verificare la solidità del processo, ben consapevole dello scarso valore di un’analisi di materialità ridotta a mero esercizio reputazionale, fondato su questionari generici o consultazioni poco strutturate.

Attività
Una volta appurato che sono stati debitamente considerati sia gli impatti su persone e ambiente sia i rischi e le opportunità finanziarie per l’impresa, il revisore concentrerà la sua attenzione sulla documentazione di soglie, pesi e criteri di valutazione, sulla spiegazione dei temi eventualmente eliminati rispetto all’anno precedente e sulla reale incidenza dello stakeholder engagement nella selezione dei temi materiali.

Errori relativi all’effettività della governance ESG

Problema
La presenza di un comitato o di una funzione sostenibilità non è sufficiente, da sola, a dimostrare l’effettività della governance ESG, in quanto la conseguente attribuzione di responsabilità reali non è automatica.

Attività
Devono quindi essere esaminati deleghe, verbali degli organi sociali, flussi informativi, report al board e collegamenti con i sistemi di remunerazione.
Anche nell’ambito della verifica delle modalità di svolgimento dell’analisi di materialità, il revisore accerterà che impatti, rischi e opportunità siano descritti in modo specifico e quindi collegati a processi, siti, prodotti, aree geografiche, funzioni responsabili e azioni di gestione.

Errori concernenti dati e controlli interni

Problema
La presenza di fogli Excel manuali, magari non sempre protetti o tracciati, non garantisce la bontà delle informazioni ESG.

Attività
Il revisore dovrà verificarla eseguendo walkthrough dei flussi, verificando versioning, accessi, formule, approvazioni, blocchi celle, riconciliazioni e segregazione dei compiti.
In assenza di un data owner ben identificato, il revisore dovrà acquisire documenti e informazioni quali la matrice RACI, le lettere di attestazione interne, l’evidenza delle review di primo e secondo livello e l’indicazione delle responsabilità sui singoli datapoint.

Verifiche necessarie
I dati ESG dovranno essere confrontati con quanto risulta dal sistema ERP, dai sistemi HR, HSE, procurement, energy management, nonché dalla contabilità generale, dai rapporti di manutenzione e dalle risultanze dei sistemi ISO.
Per ogni KPI dovrà essere disponibile un data dictionary con tanto di definizione, formula, fonte, frequenza, unità di misura, controlli, responsabile e trattamento di stime o esclusioni.
Le conversioni tra chilogrammi e tonnellate, MWh e GJ, litri e metri cubi, FTE e headcount dovranno essere verificate e, se errate, ricalcolate.
Nei gruppi articolati si dovrà verificare il rischio di doppio conteggio, testando aggregazioni, eliminazioni infragruppo, duplicati e flussi condivisi tra società, siti e business unit.
Il processo di cut-off dovrà essere controllato campionando fatture, bollette, registri HR, incidenti e dati di produzione a cavallo dell’esercizio.
Le stime dovranno essere dichiarate e illustrate, con indicazione di metodologia, assunzioni, fonti, valutazione della ragionevolezza e analisi di sensitività, e dovranno essere approvate formalmente dal management.

Errori sul fronte della compliance

Possono presentarsi alcuni casi:
– le dichiarazioni anticorruzione devono risultare tracciabili e, quindi, supportate da evidenze su risk assessment, formazione, terze parti, due diligence, segnalazioni, indagini interne, omaggi e sponsorizzazioni;
– il whistleblowing deve essere confrontato con le risultanze relative a canali di segnalazione, registri dei casi, flussi verso l’audit committee, tempi di chiusura, esiti e remediation;
– privacy e cybersecurity non possono essere descritte solo in termini generali e la loro disclosure deve essere incrociata con registri dei data breach, documentazione del DPO, attività del SOC, procedure di incident response, polizze cyber ed eventuali comunicazioni alle autorità;
– la remunerazione ESG deve essere verificata nei piani di incentivazione, nelle metriche, nei pesi, nelle consuntivazioni e nelle approvazioni del comitato remunerazioni, se esistente.

Conclusioni

La qualità dell’assurance deriva dalla capacità aziendale di collegare ogni informazione dichiarata a prove concrete ed è evidentemente condizionata dalla bontà delle strutture organizzative e informative presenti nell’impresa.

Scarica l’articolo in PDF