德勤：通过 ESG 控制做好 CSRD 保证准备 - 经验教训

什么是 CSRD 和 ESRS？

企业可持续发展报告指令 (CSRD) 是一项于 2023 年 1 月 5 日生效的欧盟 (EU) 指令。它现代化并强化了有关公司必须报告的社会和环境信息的规则。 CSRD 在几年内分阶段对不同规模的公司提出要求，从必须从 2024 财年起报告的大型上市公司开始。 CSRD 确保投资者和利益相关者能够获得信息来评估公司对人类和环境的影响。目前，它需要对可持续性信息进行有限保证，并提供可持续性信息的数字分类。预计几年内将要求合理保证。
CSRD 下的公司必须根据欧洲可持续发展报告标准（ESRS）提交可持续发展报告。 ESRS 要求公司报告其对人类和环境的重大影响，以及社会和环境问题如何创造财务风险和机遇。 ESRS 1 设定了一般原则，而 ESRS 2 则规定了要披露的基本信息。其他十项标准及其披露要求需接受重要性评估。 ESRS 对于 CSRD 下的公司是强制性的，旨在确保报告可比的、相关的和可靠的可持续发展信息，与财务报告相当。

在过去的一年里，我们协助丹麦和国外的公司准备自 2024 财年生效的企业可持续发展报告指令 (CSRD) 报告要求。我们的项目范围从双重重要性评估 (DMA)、差距分析和实施，到设计和实施对可持续发展报告和保证服务的控制。基于这些项目，我们确定了许多组织面临的一些关键挑战。

2024 年 3 月 19 日，我们举办了一次网络研讨会，讨论这些挑战以及治理、控制和自动化如何应对这些挑战。本文提供了该网络研讨会的书面摘要。

请注意，我们在本文中互换使用术语“可持续性”和 ESG（环境、社会和治理）。

到目前为止，我们在可持续发展报告中发现了哪些问题？

2023年全年，德勤一直致力于跨学科项目，包括CSRD实施、ESG控制设计和实施、ESG数据管理和治理，以及CSRD报告保证准备的保证。以下是德勤可持续发展、内部控制和审计专业人员收集的一些观察结果。

治理：可持续发展报告流程提出了与治理、流程和控制以及技术相关的挑战。定义模糊的结构或孤岛可能会导致数据所有者动员得太晚、角色和职责不明确、数据收集或计算错误以及错过最后期限。需要一份包含明确书面会计原则的报告手册来解决这个问题，并确保所有可持续发展报告都以全球报告倡议组织 (GRI) 等公认的全球标准的标准化指标和指标为基础。

自制 KPI，可能与以下内容相关：如果缺乏明确、可衡量的定义，员工培训时间或社区捐赠可能很难提供保证。因此，强烈建议使用标准化的指标和指标。

流程和审计跟踪：从流程和控制的角度来看，前端数据捕获不完整或不准确、没有审计跟踪的手动调整以及对第三方数据的控制措施不足都可能导致报告不准确。为了应对这些挑战，公司需要确保所有源数据都被识别并包含在数据集中，手动调整有文档支持，并且有明确的审计跟踪和与源数据的协调。

技术与自动化：计算错误和数据传输问题可能会导致技术方面的报告不准确。公司需要确保 Excel 公式没有错误，并且数据传输过程是自动化的，以最大限度地减少错误风险。

总体而言，应对这些挑战需要公司为可持续发展报告建立一个与财务报告保证流程一样严格的结构化保证流程。公司需要确保他们在业务范围内对要求什么、由谁要求、为什么要求以及何时要求有足够的认识，并确保有足够的控制措施来确保报告信息的准确性和完整性。

2023 财年与公司合作的三大收获

 治理

首先，为了确保准确和完整的可持续发展报告，必须围绕数据管理和沟通重新思考或更新 ESG 治理。这包括为可持续发展报告建立明确的角色和职责，引导业务，并将 ESG 报告整合到现有的风险管理和报告流程中。通过这样做，公司可以更好地识别和减轻错误陈述和潜在的绿色清洗索赔的风险，并避免相关成本。他们还可以更好地构建 ESG 数据，以便在当今常见的年度报告之外更定期地向管理层报告。

在建立可持续发展报告线和组织结构时，大公司似乎出现了两种主要运营模式（见图 1）。在第一种选择中，可持续发展团队负责大多数 ESG 活动，包括 DMA、ESG 战略、政策实施和报告。在第二种选择中，财务部门（有时称为“可持续财务”）负责报告和质量控制，而可持续发展团队负责 DMA、ESG 战略和政策实施。

然而，没有一种适合所有公司的一刀切的选择。最佳选择取决于公司的知识储备、当前实践、复杂性和历史设置等因素。

我们还观察到，越来越多的内部控制和内部审计职能部门正在参与可持续发展报告。这一趋势凸显了制定强有力的控制措施以确保准确可靠的可持续发展报告的重要性。最终，建立可持续发展报告线和组织结构的最有效选择将取决于每家公司的独特需求和情况。

图 1：组织如何构建自身以管理可持续发展报告的两种方式正在出现。

这对你来说意味着什么？

1. 为您组织的不同任务设定明确的职责和报告关系。花足够的时间来解决这个问题，并确保在正确的时间生成见解并与相关利益相关者分享。

2. 在第一年将 CSRD 实施作为“项目”执行（然后在接下来的几年中实施）。

3. 嵌入一种结构、文化和流程来获取经验教训（从错误中学习，不要隐藏错误）。

4. 创建不同职能部门可以协作并共同完成新任务的空间。

5. 使用业务语言并确保数据治理的重要性众所周知。

6. 在组织的适当级别嵌入“激励结构”，以推动围绕数据管理和报告的参与。

对 ESG 数据和相关流程的控制

其次，围绕 ESG 数据建立控制对于确保准确可靠的报告也至关重要。企业应重点关注数据不准确和不可靠的最高风险，并标准化流程以确保数据准确、完整和有效。简化 ESG 数据收集、整合和报告还有助于提高可持续发展报告的准确性和效率。

为了实施可持续发展报告，遵循从 DMA 开始的结构化方法非常重要。在此阶段，公司确定其对社会和环境最重大的可持续发展影响以及对业务的财务影响——风险和机遇。

一旦 DMA 到位，公司就可以快速确定披露要求和需要报告的各个数据点。他们可以从那里制定相关流程（见图 2）并启动风险和控制的识别。这与许多公司通常针对财务报告风险所做的做法类似。

我们还建议公司同时开始“试运行”报告。这使公司能够深入了解其流程并识别需要控制的薄弱环节。通过在流程的早期考虑流程、数据点和内部控制，公司可以简化和标准化其流程，并使报告周期变得更容易。

拥有有效和高效的流程以及正确的控制措施最终可以确保公司能够更快地报告，花更少的时间进行重新检查和双重检查，并避免花费大量时间和资源来解决错误。通过遵循结构化且精心设计的流程，公司可以实现准确可靠的可持续发展报告，同时最大限度地降低错误风险并最大限度地提高所涉及资源的效率。

图 2：实施可持续发展报告的通用高级流程。

 一个实际的例子

为了展示对流程、风险和控制的深入了解如何帮助您推动高质量的可持续发展报告，我们可视化了能源消耗报告的典型流程（见图 3），这可以为公司思考提供一个起点过程流程和控制。在较高层面上，数据捕获和报告的关键流程包括 a) 源数据、b) 数据收集、c) 计算和 d) 整合的流程。

让我们更深入地研究每个过程。请注意，a）源数据、b）数据收集和c）计算过程都存在计量数据/源数据不准确、不完整或不及时注册/处理的风险。

源数据：除了上述一般数据风险外，源数据过程（通常比下面示例中描述的更复杂并且经常被“忽视”）还涉及计量点不完整的风险。为了减轻这些风险，公司可以实施控制措施，例如定期审查计量数据库或登记册、批准第三方发票以及重新检查计量数据的正确记录。

数据采集：除了上述一般数据风险外，数据采集过程还涉及计量数据分配不准确的风险。为了减轻这些风险，公司可以实施差异分析以及计量数据与第三方发票数据的核对等控制措施。

数据整合：数据整合过程涉及上述一般数据风险。为了降低这种风险，公司可以实施控制措施，例如数据收集与合并数据的协调以及方差分析。

指标计算：最后，指标计算过程涉及计算错误的风险。为了减轻这种风险，公司可以实施控制措施，例如重新检查所应用的排放因子和审查计算。

图 3：典型的能源消耗数据收集和报告流程。

对该流程、风险和控制的高层次演练可以帮助解决外部审计师在执行保证程序时经常关注的关键问题。实施有针对性的控制的组织可以降低出错风险并提高可持续发展报告的准确性和可靠性。

值得注意的是，可持续发展报告没有单一、神奇的解决方案，公司必须考虑自己的收集、计算和合并流程。内部控制专家和 ESG 主题专家必须共同努力，确保考虑到所有细微差别，例如现有数据、分配风险和数据完整性，并且不遗漏任何盲点。这些团队共同工作并遵循结构化、透明流程的组织可以实现高水平的准确、完整、可靠和可信的可持续发展报告，同时最大限度地减少错误风险并最大限度地提高所涉及资源的效率。

这对你来说意味着什么？

1. 明确控制范围（例如运营风险、可持续发展报告风险）。

2. 拥抱错误并从中学习，并分享良好实践来支持面临变革的人们。

3. 以适当的保证水平为目标（有限保证与合理保证）。

4. 优先考虑最重要和最复杂的数据流。

5. 利用组织中的现有控制（例如财务、IT、人力资源）。

6. 内部控制专家需要与 ESG 专家和“运营人员”合作。

7. 不要忘记您的源数据和主数据风险。

  技术

最后，公司应考虑技术如何支持其可持续发展报告工作。这包括构建工具和技术，使数据能够支持新的可持续企业能力和决策。这包括从更强大的电子表格控件到嵌入数据收集和整合工具或在新系统设计中嵌入控件。通过利用技术，公司可以提高可持续发展报告的准确性、效率和可靠性。

正如上一节所强调的，可持续发展报告中的错误和风险可能出现在数据传输、计算或缺失数据的延迟识别等领域。虽然手动控制可以帮助减轻这些风险——而且我们可以看到，在许多公司中，这些控制通常仍然是手动的——但它们可能并不总是最高效或最有效的解决方案。

自动化工作可以使控制更智能、更集中、更易于管理。通过自动化控制，公司可以降低错误风险并提高其报告的可持续发展信息的准确性、完整性和可信度。

接下来，我们将了解如何将自动化应用于上面能源消耗报告流程示例中的相同数据流（请参阅和 4），以创建更智能、更有效的控制。通过利用技术和自动化，公司可以改进其可持续发展报告流程，并确保其报告的信息准确、可靠并符合监管要求。

看看典型的收集和报告流程，有多个元素可以自动化。从较高的层面来看，这些是：

1. 至少，确保您对电子表格有良好的控制。

2. 将访问控制嵌入您的系统和数据平台。

3. 考虑获取或开发数据收集、整合和报告系统，以确保您将一切都集中在一处。

4.  嵌入审批流程。

5. 在数据收集和整合系统中，嵌入自动控制，例如输入控制、自动计算以及自动检查和平衡，以指示何时出现异常注册或发展。清晰地了解您的数据接口，并找到实现这些接口自动化的可能性。嵌入治理、风险和合规 (GRC) 系统，帮助您以一致和结构化的方式控制执行。从长远来看，考虑人工智能 (AI) ）可以帮助执行方差分析。

图 4：可自动化的典型收集和报告流程中的元素（与图像上方列表相对应的数字）。

这一切对你来说意味着什么？

1. 嵌入用于数据收集、整合和计算的强大方法和系统。

2. 预先考虑自动化——探索现有的解决方案。

3. 至少确保 Excel 文件和网络驱动器受到良好保护，并且对数据的访问进行管理。

4. 不要惊慌，但不要拖延，立即开始加强对可持续发展信息的内部控制。