Jak audytor oceni dotychczasowe prace? Jakie pytania zada? Zakres dokumentacji, która jest potrzebna w trakcie audytu, zależy od zakresu prac: czy jest to badanie (racjonalna pewność) – szerszy zakres, czy przegląd (ograniczona pewność) – węższy zakres.
Niezależnie od zagadnień merytorycznych, które audytor będzie oceniać: co sprowadza się do odpowiedzi na pytanie, czy ujawnienia zostały opisane kompletnie w zakresie wyznaczonym przepisami, zgodnie z prawdą i na podstawie źródłowych danych, audyt bazuje na zrozumieniu, w jaki sposób organizacja zaprojektowała całokształt systemu zbierania danych, którego efektem jest raport.
Dlatego z punktu widzenia zainteresowania audytora rozdzielamy dwa obszary:
- oceny systemu kontroli wewnętrznej, czyli jak organizacja zaprojektowała i zaimplementowała przepisy, przekładając je na procesy, procedury oraz
- oceny zgodności ujawnionych danych z przepisami m.in ESRS, taksonomia UE art. 8 oraz standardów kalkulacji śladu węglowego.
W przyszłości dojdzie trzeci aspekt, jakim będzie potwierdzenie prawidłowości formy ESEF – oznaczenia ujawnień zgodne z taksonomią XBRL dla ESRS i art. 8.
Ślad rewizyjny
Audyt kojarzy się ze sprawdzaniem zgodności ujawnienia do dokumentu i z tym utożsamiane jest pojęcie śladu rewizyjnego, czyli zdolność do wykazania, że ujawnienia są na podstawie konkretnych dokumentów źródłowych. Tymczasem dużo bardziej złożonym elementem jest zaprezentowanie, jak został zaprojektowany całościowo system zbierania danych, którego efektem jest raport. Audytor musi zrozumieć jednostkę i jej system kontroli wewnętrznej. Dlatego można spodziewać się, że w przeglądzie SZR będą zadawane pytania nie tylko o procesy biznesowe i segmenty, ale także o system, proces i procedury. W szczególnych przypadkach audytor może głębiej wchodzić w zaprojektowane kontrole i je testować.
Zrozumienie, czyli co
Zrozumienie jednostki pozwala na ocenę, w jakiej branży działa organizacja, jaka jest jej struktura, jak są zorganizowane łańcuchy wartości i dostaw, jacy są interesariusze. Firmy, wchodząc w raportowanie ESRS, musiały zrobić mapowanie procesów, rozpoznanie łańcucha wartości, by odpowiednio zaprojektować metodologię identyfikacji ryzyk, szans, po dobór kwestii istotnych. Wszystkie dokumenty, analizy, opisy metod, założeń, opisy procesów, schematy prezentujące przepływ danych są dokumentacją, której będzie potrzebował audytor.
Czy takie opisy są konieczne? Z punktu widzenia płynności procesu audytu i pozytywnej oceny przejrzystości danych w lepszej sytuacji będą te firmy, które skompletują taką dokumentację.
Konkretne procesy biznesowe przekładają się na zaprojektowanie systemu zbierania danych zgodnego z wymogami informacyjnymi w zakresie ESG, a na to składa się:
- Opracowanie przepływu informacji, zdefiniowanie spójnego systemu: jakie dane, w jakiej strukturze mają być zbierane w całej organizacji w przekroju spółek zależnych, segmentów i działów odpowiedzialnych za informacje E-S-G, opracowanie opisu procesów, schematów, procedur, instrukcji. Struktura przepływu informacji powinna wynikać z systematyki wymagań informacyjnych ESRS i być z nią powiązana.
- Opracowanie odpowiedzialności, ponieważ w ramach przepływu informacji definiowane są role i funkcje, co jest wyrazem tego, że w proces zbierania danych są wpisane funkcje kontroli i nadzoru, w tym oznaczanie statusu wprowadzonej informacji, kto i kiedy wprowadził, zatwierdził, opublikował.
- W tle są zagadnienia dotyczące zarządzania uprawnieniami i dostępami, co dowodzi, że środowisko zbierania danych jest zaprojektowane w sposób gwarantujący jakość i bezpieczeństwo danych.
- Zaprojektowanie mechanizmów gwarantujących tworzenie się śladu rewizyjnego oznacza, że dane mają swoje źródło, ID, nazwę, przypisanie do roli, znana jest data wprowadzenia informacji, weryfikacji, możliwe jest zidentyfikowanie zmian, zmiany są kontrolowane,
- Zaprojektowanie koordynacji procesu raportowania, zapewnienia spójności wytycznych i spójności formatu, nadzór nad terminowością i jakością danych, co przekłada się także na kompletność ujawnień.
Ocena środowiska kontroli to także ocena zaangażowania i uczestnictwa kierownictwa, co wyraża się w podejściu do zaprojektowania całego procesu, przeznaczeniu środków adekwatnych finansowych, jaki i delegowanie zasobów merytorycznych.
Wybór narzędzia a praca biegłego rewidenta
Zaprojektowanie systemu zbierania danych jest powiązane z wyborem narzędzia. Inne oczekiwania będą stawiane przed systemem informatycznym, a inne przed systemem bazującym na „Excelu”. Wybór narzędzia informatycznego daje szersze możliwości w zakresie dokumentowania zdarzeń. Zaprojektowanie work flow, approval flow, czy zarządzania uprawnieniami poza system może okazać się niemożliwe. Od systemu zależy dalsza ocena podejścia do agregacji danych i zakresu możliwych kontroli spójności danych. Nie dziwią więc głosy, że czasochłonność prac audytorzy uzależniają od dobranych przez spółki narzędzi i metod pracy.
Audytor ocenia zgodność zaprojektowania procesów adekwatnie do wymogów ujawnieniowych, szczególnie w zakresie oceny procesu podwójnej istotności. Oceniana będzie dokumentacja, z której będzie wynikać przyjęta metodologia, założenia i procedury, jak przebiegała realizacja procesu, jaki był harmonogram, czy były wysyłane ankiety, czy prowadzono rozmowy bezpośrednie. Jakie były kolejne etapy oceny, które doprowadziły do listy ryzyk i szans oraz kwestii istotnych. Jak zapewniono kompletność oceny i zintegrowanie z systemem zbierania i zarządzania data point.
W zakresie specyficznych ujawnień będących odpowiedzią na kwestie istotne ESRS, kalkulacji śladu węglowego czy ujawnień z taksonomii UE art. 8 główna wytyczna dla audytorów zawiera się w ocenie procesów, które doprowadziły do prezentowanych ujawnień i oceny zgodności ujawnień z dokumentami źródłowymi. A to stwarza wymaganie, by na każdym etapie kompletowania danych tworzona była baza dokumentów źródłowych powiązanych z ujawnieniami. Szczególnych pytań można spodziewać się o ujawnienia zawierające dane szacunkowe. To stwarza wymaganie, by w systemie zbierania danych zaprojektować sposób pozyskiwania informacji o agregowanych danych zawierających szacunki i będące u ich podstaw założenia.
I może warto dodać, że zaprezentowanie założeń systemu zbierania danych i wykazanie weryfikowalności przepływu danych od źródła po finalne wnioski jest mocnym argumentem, by usprawniać prace audytora, a uzyskanie zrozumienia nie oznacza, że audytor każdą informację będzie testować.
Artykuł powstał we współpracy z siecią Kancelarie RP
