Pronti alla sfida della Csrd

Il conto alla rovescia è iniziato. Le aziende con più di 500 dipendenti, infatti, dovranno adeguarsi alla Csrd (Corporate Sustainability Reporting Directive) a partire dal 1° gennaio del 2024 pubblicando report dettagliati sui loro di dati di sostenibilità entro il 2025. Si tratta di un impegno significativo che impone sia un ripensamento sul fronte della governance sia dell’intero sistema di controllo interno e di gestione dei rischi. Una sfida non da poco, come è emerso nell’ultimo lunch talk organizzato il 23 maggio scorso dal titolo “Sistemi di controllo interno sul reporting di sostenibilità-Tendenze in atto e sviluppi futuri”.

Come ha evidenziato Patrizia Giangualano, consigliere direttivo di Nedcommunity, e coordinatrice del Reflection group La governance in materia di rischi e di controlli, “consapevoli della sfida stiamo lavorando a una guida alla lettura della Crsd, disponibile fra poco nel nostro sito. Del resto, i regulators, il mercato ed in generale tutti gli stakeholder, spingono perché le aziende rafforzino i propri sistemi di controllo interno per mitigare il rischio di errori materiali nell’informativa di sostenibilità, analogamente a quanto già avvenuto in tema di financial reporting”.

Gianmaria Garegnani, associato Nedcommunity e membro del Reflection group, ha sottolineato come l’entrata in vigore della Csrd rappresenti un appuntamento importante che pone non poche questioni metodologiche: “Siamo abituati a ragionare su sistemi di controllo dell’informativa finanziaria, ma adesso per quanto riguarda quella di sostenibilità tutti gli step devono essere rivisitati. Lecito quindi chiedersi se potremo fare leva sulle nostre conoscenze e gli strumenti che già abbiamo imparato ad adottare oppure dobbiamo usarne altri. E poi dobbiamo chiederci se il concetto di compliance integrata sia perseguibile. Il modo di farlo adattando i framework a dei bagagli così differente rappresenta una sfida di vasta portata non solo per le grandi aziende ma anche per le Pmi. Per non parlare del fatto che, in virtù del reporting Scope 3, la Crsd prevede la raccolta di informazioni su tutta la catena di valore e quindi anche le piccole aziende saranno impattate”.

Anche secondo Paolo Mantovano, partner di KPMG Advisory – Governance, Risk & Compliance, “emerge la necessità di rafforzare il sistema di controllo interno sull’informativa di sostenibilità analogamente a quanto è stato fatto negli ultimi anni con riferimento all’informativa di natura finanziaria, al fine di mitigare il rischio di errori materiali nell’informativa stessa.  Concretamente ci sono alcuni temi rilevanti che necessitano di un approfondimento: il primo è quello della definizione del perimetro ovvero della selezione degli indicatori, tra quelli oggetto di reporting, attraverso lo sviluppo di metriche di valutazione risk-basd che permettano di concentrarsi sui dati e i Kpi maggiormente a rischio o più rilevanti. Nel caso dell’informativa di sostenibilità la maggiore complessità rispetto a quella di natura finanziaria deriva da diversi aspetti, ad esempio la Csrd ha esteso il perimetro del reporting a tutta la value chain ovvero a dati e KPI rilevanti che risiedono in terze parti tra cui Fornitori, clienti, etc. Un altro aspetto rilevante è rappresentato dal fatto che i dati e le informazioni di natura ESG oggetto di rendicontazione sono alimentati da processi, controlli e sistemi informativi spesso poco maturi che espongono l’informativa di sostenibilità  a potenziali rischi di errore, da cui la necessità di intervenire per rafforzare processi e sistemi di controllo. Poi c’è il tema della eterogeneità di queste metriche e dell’assenza di standard di controllo”.

Ma come implementare il sistema di controllo? “In primo luogo – continua Mantovano – tendendo presente che il percorso prevede l’identificazione degli impatti, la valutazione dei rischi, la definizione degli indicatori e metriche più rilevanti per poi individuare, o eventualmente disegnare e implementare controlli di processo che devono garantire la qualità dei dati in termini di accuratezza e completezza. Un riferimento importante per il disegno di un solido sistema di controllo sull’informativa di sostenibilità è sicuramente rappresentato dalla nuova linea guida del COSO (Committee of Sponsoring Organizations of the Treadway Commission, ndr), pubblicata il 30 marzo del 2023  “Internal Control over sustainability Reporting-ICSR” che suggerisce anche di integrare il sistema di controllo interno sull’informativa di sostenibilità con quello sull’informativa finanziaria per cogliere tutte le possibili sinergie ed evitare controlli duplicati o ridondanti al fine di rendere il sistema di controllo interno efficace e “sostenibile” nel tempo.

Luca Cencioni, Group accounting policy, internal control system and Eni SpA financial, ha sottolineato che “parliamo di un tema rilevante ma anche di frontiera. Nel 2024 assisteremo a una modifica profonda con un vero bilancio integrato e la necessità di sviluppare un nuovo sistema di controllo interno anche sulla componente non finanziaria. Occorre adottare un approccio concreto valorizzando l’esperienza maturata sul fronte del sistema di controllo sulle componenti finanziarie. Anche in assenza di regole ancora completamente definite è opportuno avviare le attività partendo dall’individuazione dei KPI maggiormente rilevanti operando un ragionevole risk assessment basato su informazioni interne ed esterne. Individuati i Kpi va ripercorso il processo di generazione del dato e individuati i presidi di controllo anche considerando la complessità dei sistemi coinvolti”.

Per ottimizzare l’efficienza dei controlli – continua Cencioni – risulta rilevante la definizione di un unico sistema di controllo che copra entrambi gli ambiti, finanziario e no, valorizzando le sinergie dei presidi di controllo a livello di processo, entity e IT su entrambe le dimensioni oggetto di controllo. In questa prospettiva assumono rilevanza le soluzioni organizzative in merito alla attribuzione delle responsabilità dei controlli attribuendo, ad esempio, come fatto in Eni, al dirigente preposto la responsabilità del sistema di controllo interno sia sulla componente financial che non financial. Un punto complesso su cui lavorare riguarda la modalità di valutazione delle carenze che vengono identificate. In sostanza abbiamo appena iniziato un percorso sul quale la definizione delle regole da parte dell’Efrag e della Sec rappresenteranno certamente la milestone principale sulla quale andare a costruire in modo più puntuale il sistema di controllo più efficace”.