TFL Vsebine / TFLGlasnik

1. UVOD

Trajnostno poročanje se je v zadnjem desetletju razvilo v enega ključnih instrumentov za transparentnost poročanja in odgovornost podjetij na področju podajanja trajnostnostnih informacij. V ospredje stopajo okoljski, družbeni in upravljavski (ESG)¹ vidiki, ki dopolnjujejo tradicionalno finančno računovodsko poročanje. Z Direktivo EU o korporativnem trajnostnem poročanju (v nadaljevanju: direktiva CSRD²) in Evropskimi standardi za poročanje o trajnosti (v nadaljevanju: ESRS) je obveznost priprave trajnostnih poročil postala realnost za številna podjetja v Evropski uniji.

Ker se velika večina podatkov za poročila o trajnostnosti zbira, obdeluje in shranjuje v informacijskih sistemih, postaja ključno vprašanje njihove kakovosti, integritete in sledljivosti. Tu v ospredje stopa revizor informacijskih sistemov,³ strokovnjak, ki povezuje področja informacijske tehnologije, revizije in trajnostnih zahtev.

Določene družbe⁴ so bile skladno z EU direktivo in lokalno zakonodajo (določila ZGD-1⁵) v letu 2024 prve zavezane k pripravi poročil o trajnostnosti. Iz prakse lahko vidimo, da so bila pri pripravi trajnostnih poročil v prvem letu uporabljena osnovna analitična orodja, ki temeljijo večinoma na Excelovih tabelah. Z razvojem poročanja v družbah, ki bodo zavezane k pripravi trajnostnih poročil v prihodnjih letih, in z njihovo zrelostjo pa pričakujemo, da se bo priprava teh priporočil v prihodnje avtomatizirala podobno, kot imajo družbe urejene procese računovodskega poročanja. S tem se bo tudi vloga revizorjev informacijskih sistemov pomembno povečala tako pri pripravi kot tudi pri reviziji trajnostnih poročil, tako da bodo nepogrešljiv del specialistov, revizorjevih veščakov.

Začnimo s kratko predstavitvijo, kaj je trajnostno poročanje in katere so obveznosti zunanjega revizorja v zvezi z revizijo poročil o trajnostnosti.

2. KAJ JE POROČANJE O TRAJNOSTNOSTI

Trajnostno poročanje (angl. *sustainability reporting*) je proces, s katerim podjetja javno razkrivajo informacije o svojem vplivu na okolje, družbo in gospodarstvo ter tveganja in priložnosti, ki vplivajo na družbo. Gre za poročila, ki presegajo zgolj finančne rezultate, saj zajemajo tudi nefinančne kazalnike, ki kažejo, kako podjetja delujejo v širših družbenih, okoljskih in upravljavskih okoliščinah.

Osrednji namen trajnostnega poročanja je zagotoviti transparentnost. Tako družbe deležnikom – vlagateljem, zaposlenim, potrošnikom, lokalnim skupnostim, regulatorjem – ter drugim omogočijo vpogled v svoje okoljske, družbene in upravljavske prakse.

Med ključnimi temami, ki jih družbe običajno vključijo, so:

• okoljski vidiki: poraba energije in vode, emisije toplogrednih plinov, ravnanje z odpadki, uporaba naravnih virov, krožno gospodarstvo;
• družbeni vidiki: pravice zaposlenih, varnost in zdravje pri delu, enakost spolov, spoštovanje človekovih pravic, vpliv na lokalne skupnosti;
• upravljavski vidiki: etično poslovanje, protikorupcijski ukrepi, struktura upravljanja, preglednost odločanja.

Za zagotovitev primerljivosti in verodostojnosti obstajajo Evropski standardi poročanja o trajnostnosti, ki veljajo v EU-ju, ESRS (*European Sustainability Reporting Standards*).⁶

Od leta 2024 naprej morajo večje evropske družbe skladno z direktivo CSRD poročati o trajnostnosti z enako skrbnostjo kot o finančnih rezultatih v svojih računovodskih poročilih.

3. OBVEZNOSTI REVIZORJA V ZVEZI S TRAJNOSTNIM POROČANJEM

S sprejetjem *Direktive (EU) 2022/2464* je Evropska unija uvedla celovit okvir za poročanje o trajnostnem poslovanju. Ključni del tega okvira predstavljajo Evropski standardi za poročanje o trajnostnosti (ESRS), ki natančno določajo vsebino in obliko poročil o trajnostnosti. S tem se je pojavila tudi nova odgovornost za revizorje – zagotoviti zanesljivost in popolnost informacij, ki jih družbe razkrivajo v svojih poročilih o trajnostnosti, ki so del letnega poročila družb.

Namen revizije je potrditi, da so razkritja o trajnostnosti resnična, popolna in skladna z zahtevami standardov ESRS. Revizor mora presoditi, ali družba ustrezno poroča o svojih vplivih na okolje, družbo in upravljanje ter ali so uporabljene metode merjenja in izračuni skladni z določili evropske zakonodaje. To mora revizor opraviti skladno z določili Mednarodnega standarda poslov dajanja zagotovil 3000 (prenovljen) – *Posli dajanja zagotovil, razen revizij ali preiskav računovodskih informacij iz preteklosti* s pridobitvijo omejene ravni zagotovila (angl. *limited assurance*).

Revizor ima pri preverjanju poročila o trajnostnosti več ključnih nalog:

• pregled skladnosti poročila s standardi ESRS – revizor preveri, ali družba razkriva vse zahteve, določene v posameznih standardih (npr. ESRS E1 – *Podnebne spremembe*, ESRS S1 – *Lastna delovna sila* itd.);
• presoja procesov zbiranja podatkov – revizor oceni, ali so notranji kontrolni mehanizmi in informacijski sistemi družbe primerni za zanesljivo zbiranje podatkov o trajnostnosti;
• analiza tveganj – revizor prepozna področja, na katerih je povečano tveganje za napačne ali zavajajoče informacije, ter temu prilagodi obseg preverjanja;
• zagotavljanje sledljivosti podatkov – pomembno je, da so vsi podatki v poročilu o trajnostnosti podprti z dokumentiranimi viri in dokazili;
• zagotovilo – revizor na koncu izda poročilo o zagotovilu, v katerem izrazi svoje mnenje o tem, ali je poročilo o trajnostnosti pripravljeno v skladu z zakonodajo in standardi.

Revizor mora pri revidiranju delovati neodvisno, objektivno in nepri- stransko, v skladu z etičnimi kodeksi Mednarodne zveze računovodskih strokovnjakov (IFAC⁷). Neodvisnost je ključna, saj revizorjeva ocena neposredno vpliva na zaupanje vlagateljev, regulatorjev in drugih deležnikov družbe.

4. VKLJUČENOST REVIZORJA INFORMACIJSKIH SISTEMOV PRI TRAJNOSTNEM POROČANJU

Revizor IS predstavlja pomembno podporo tako pripravljavcem kot tudi revizorjem trajnostnih poročil. Gre za dve različni vlogi, zato v nadaljevanju izpostavljamo vsako vlogo ločeno kot del posameznega tima glede na vidik, s katerega sodeluje. Na prvi pogled se zdi, da gre za dve popolnoma različni vlogi, vendar pa sta si obe zelo podobni. Prav tako je znanje, ki ga revizor IS pri svojem delu potrebuje, zagotovo najpomembnejše s področja razumevanja zakonodaje trajnostnega poročanja ter poznavanja procesa priprave trajnostnega poročila, ki ga ima vzpostavljenega posamezna družba.

4.1. Revizor informacijskih sistemov kot del tima pripravljavcev poročil

Revizor IS bo kot del tima pripravljavcev trajnostnih poročil sodeloval s timom, ki za družbo zbira podatke in na podlagi teh pripravi trajnostno poročilo. Revizor IS ima kot del tima notranje revizije znanje in izkušnje pri pregledu različnih IT sistemov ter pozna ustrezno evidentiranje poslovnih procesov in implementacijo notranjih kontrol. V temu delu bo družbi zagotovo lahko v pomoč kot svetovalni posel notranje revizije.

V praksi imajo družbe za te naloge zaposlene ali pa najamejo zunanje sodelavce/podizvajalce. Ne glede na to bo vloga revizorja IS pri pripravi poročil o trajnostnosti igrala pomembno vlogo tako v začetni fazi zbiranja podatkov kot tudi kasneje, pri sami pripravi poročila o trajnostnosti. Kadar revizor IS deluje v svetovalni vlogi, družbi ne daje revizijskega mnenja, ampak je v strokovno podporo in priporočila za izboljšanje sledljivosti in transparentnosti podatkovnih tokov.

Revizor IS s svojim znanjem lahko pomembno prispeva na naslednjih področjih:

a) Pregled učinkovitosti informacijskih rešitev, s katerimi se zbirajo podatki za pripravo poročil o trajnostnosti

V sodobnih družbah je IT oddelek ključni partner pri načrtovanju, izvajanju in izboljševanju informacijskih rešitev, ki omogočajo zbiranje podatkov za pripravo poročil o trajnostnosti. Njegova vloga ni omejena zgolj na tehnično podporo, ampak ima strateški pomen, saj neposredno vpliva na kakovost, zanesljivost in skladnost podatkov, ki jih družba uporablja za poročanje o okoljskih, družbenih in upravljavskih vidikih. Pravilno zasnovane in učinkovito delujoče informacijske rešitve so nujne, da družba izpolnjuje zahteve evropske in druge lokalne zakonodaje ter ohranja zaupanje vlagateljev, regulatorjev in širše javnosti.

Prvi sklop nalog oddelka informacijskih sistemov obsega načrtovanje in izbiro rešitev. Na podlagi analize potreb družba opredeli, katere podatke je treba zbirati, na primer emisije CO₂, porabo energije in vode ali družbene kazalnike. Na podlagi tega družba oceni zmogljivosti obstoječih informacijskih sistemov ter presodi, ali ti že podpirajo zbiranje in obdelavo podatkov, ali pa so potrebne nadgradnje. Na podlagi teh ugotovitev družba izbere najustreznejše tehnologijo, kot so specializirane platforme, orodja za poslovno analitiko, rešitve za shranjevanje velike količine podatkov ali oblačne storitve. Prav v tej fazi je dobra priložnost za vključitev revizorja IS, ki lahko že v fazi načrtovanja preveri tveganja, povezana z izbiro rešitev, oceni skladnost predlaganih tehnologij z zakonodajo in standardi ter svetuje glede vzpostavitve notranjih kontrol, ki bodo zagotavljale sledljivost in zanesljivost podatkov.

Ko so tehnične rešitve izbrane, sledi implementacija in integracija informacijskega sistema. To vključuje povezovanje različnih virov podatkov v enotno platformo, ki omogoča avtomatizirano zbiranje informacij brez nepotrebnih ročnih vnosov. S tem se zmanjšuje možnost napak in pospešuje proces poročanja. Sledi tudi oblikovanje podatkovne arhitekture, ki zagotavlja sledljivost podatkov in ustvarjanje revizijskih sledi, kar je ključno za transparentnost in poznejše preverjanje. Tudi v tej fazi lahko revizor IS pomembno pripomore z neodvisnim pregledom integracijskih procesov, presojanjem varnosti podatkovnih tokov in preverjanjem, ali so uvedeni ustrezni mehanizmi za revizijsko sledenje.

Posebno pomembna naloga je zagotavljanje varnosti in skladnosti. Podatki o trajnostnem poslovanju so pogosto občutljivi, zato mora družba vzpostaviti robustne mehanizme zaščite, kot so enkripcija, nadzor dostopa in varnostne kopije. Poleg tega načrtuje postopke za obnovitev informacijskih sistemov ob izpadu ali kibernetskem napadu, s čimer zagotavlja kontinuiteto poslovanja. Vloga revizorja IS je v tem delu lahko izjemno pomembna, saj lahko testira varnostne kontrole, preveri odpornost sistema na kibernetske grožnje in oceni, ali so postopki za obnovitev podatkov dovolj zanesljivi.

IT oddelek ima pomembno vlogo tudi pri stalni podpori in optimizaciji procesov. To pomeni redno spremljanje delovanja sistemov, reševanje tehničnih težav, izobraževanje uporabnikov in iskanje možnosti za nadaljnje izboljšave. Med te izboljšave spadajo uvedba umetne inteligence za napredno analizo podatkov, uporaba podatkovnih baz za hitrejšo obdelavo večje količine informacij ali razširitev avtomatizacije z integracijskimi orodji. Revizor IS lahko pri tem z rednimi pregledi in notranjimi revizijami oceni učinkovitost uvedenih izboljšav, opozori na nova tveganja in priporoči dodatne kontrole, kjer je to potrebno.

Primer: Sodelovanje IT oddelka in revizorja IS pri uvedbi informacijskega sistema za trajnostno poročanje

Družba XYZ, d. o. o., je želela izboljšati kakovost in preglednost svojih trajnostnih poročil, zato se je odločila za uvedbo integrirane informacijske platforme, ki bo omogočala samodejno zbiranje podatkov o porabi energije, emisijah CO₂, odpadkih in varnosti pri delu.

V fazi načrtovanja je IT oddelek analiziral obstoječe sisteme in ugotovil, da trenutni ERP in poročila, pripravljena z orodjem MS Excel, ne omogočajo zanesljive konsolidacije podatkov. Skupaj z zunanjim ponudnikom so izbrali rešitev za trajnostno poročanje, ki omogoča integracijo z obstoječimi merilnimi napravami in finančnimi sistemi.

Že v tej fazi je bil vključen revizor IS, ki je preveril:

• ali izbrana rešitev omogoča sledljivost podatkov in revizijske sledi;
• ali ponudnik izpolnjuje varnostne standarde;
• ali sistem zagotavlja zaščito osebnih podatkov skladno z zakonodajo.

Po implementaciji je revizor IS sodeloval pri testiranju prenosa podatkov iz merilnikov v informacijski sistem, preveril, ali samodejni preračuni emisij delujejo pravilno, in ocenil zanesljivost varnostnih kopij.

b) Ocena ustreznosti notranjih kontrol in procesov validacije

Večina ključnih poslovnih procesov v družbah – od finančnega poročanja do priprave poročanja o trajnostnosti – poteka v informacijskih sistemih. Zato ima revizor IS ključno vlogo kot pomoč IT oddelku pri osnovanju in zagotavljanju, da so notranje kontrole v teh sistemih ustrezno zasnovane, učinkovito delujejo in da so podatki, ki jih družba uporablja za odločanje in poročanje, zanesljivi in pravilni.

Primer: Vloga revizorja IS pri preverjanju notranjih kontrol v informacijskih sistemih

Družba XYZ, d. o. o., ki deluje v kemični panogi, uporablja integrirani sistem ERP, v katerem potekajo ključni poslovni procesi – od nabave surovin in finančnega poročanja do zbiranja podatkov o porabi energije, količini odpadkov in emisijah za trajnostno poročanje.

Ker družba pripravlja poročilo o trajnostnosti skladno z evropsko direktivo CSRD, se je odločila preveriti, ali informacijski sistem vsebuje dovolj zanesljive notranje kontrole, ki preprečujejo napake ali prirejanje podatkov.

V pregled je bil vključen revizor IS, ki je skupaj z IT oddelkom izvedel naslednje:

• pregledal je implementirane kontrole dostopov – ali imajo uporabniki, ki vnašajo okoljske podatke, omejene pravice (npr. samo za vnos, ne pa tudi za brisanje ali spreminjanje zapisov);
• testiral delovanje validacijskih pravil – izvedel je testni vnos podatka o porabi energije, ki presega dovoljene meje, da preveri, ali sistem samodejno prikaže opozorilo;
• presodil postopek odobritve (avtorizacije) – preveril je, ali sistem zahteva potrditev podatkov, ki jih vnese odgovorna oseba, preden se uporabijo v poročilu;
• preveril, ali obstajajo ustrezne revizijske sledi – analiziral je, ali sistem beleži, kdo in kdaj je spreminjal posamezne vrednosti, ter ali se te spremembe hranijo v arhivu.

Rezultat sodelovanja je bil izboljšan nadzor nad kakovostjo in sledljivostjo podatkov, kar je družbi omogočilo pripravo zanesljivega trajnostnega poročila, hkrati pa zmanjšalo tveganje za napake v poročilu o trajnostnosti.

c) Svetovanje glede sledljivosti in transparentnosti podatkovnih tokov

Sledljivost podatkovnih tokov pomeni, da je mogoče vsakemu podatku v informacijskem sistemu slediti od izvora do končnega izhoda – od vnosa, prek obdelave, do končnega poročila. Transparentnost podatkov pa pomeni, da so postopki zbiranja, obdelave, shranjevanja in uporabe podatkov jasni, razumljivi in preverljivi za notranje in zunanje deležnike. Ta dva vidika sta ključna za zanesljivo finančno in trajnostno poročanje, skladnost z zakonodajo, učinkovito upravljanje tveganj in notranje kontrole.

V okviru poročanja po standardih ESRS je sledljivost podatkov ključna, saj mora družba dokazati, od kod izvirajo okoljski, družbeni in upravljavski podatki, ki jih vključi v poročilo o trajnostnosti. Revizor IS s svetovalnim delom pomaga vzpostaviti povezave med podatki v informacijskih sistemih in trajnostnimi kazalniki, določiti odgovorne osebe za podatkovne vire in dokumentirati podatkovne poti od vira do objavljenega kazalnika.

Revizor IS s svojimi strokovnimi priporočili pomaga družbi: a) razumeti in obvladovati tveganja, povezana s podatkovnimi tokovi, b) izboljšati notranje kontrole in dokumentacijske procese ter povećati zaupanje deležnikov v točnost in integritetu podanih informacij v poročilih o trajnostnosti.

Primer: Zagotavljanje sledljivosti podatkovnih tokov za kazalnik »sestava uprave in nadzornega sveta po spolu«

Družba XYZ, finančna družba z več kot 500 zaposlenimi, mora v skladu z ESRS S1 in ESRS G1 razkriti kazalnik o sestavi uprave in nadzornega sveta po spolu, vključno z deležem žensk na vodstvenih položajih. Ti podatki se pridobivajo iz kadrovskega informacijskega sistema, ki vsebuje osebne podatke zaposlenih, ter se nato konsolidirajo v poročilo o trajnostnosti.

Vodstvo družbe je pri pripravi poročila ugotovilo, da ni povsem jasno, od kod prihajajo uporabljeni podatki in kdo je odgovoren za njihovo potrjevanje – to je predstavljalo tveganje za točnost in popolnost poročila o trajnostnosti.

Zato je bil v proces vključen revizor IS, ki je:

1. analiziral podatkovni tok – sledil je poti podatkov od vnosa v kadrovski informacijski sistem (kjer se beležijo osnovni podatki zaposlenih), prek baze upravljavskih funkcij v kadrovski službi, do končne tabele, ki se uporablja za poročanje o trajnostnosti;
2. preveril sledljivost sprememb – ugotovil, da kadrovski informacijski sistem ne beleži dovolj natančnih revizijskih sledi za spremembe statusa zaposlenih (npr. spremembe funkcij ob napredovanju);
3. določil odgovorne osebe – skupaj z vodjo kadrovske službe je pripravil matriko odgovornosti, ki določa, kdo vnaša, preverja in potrjuje podatke o članih uprave in nadzornega sveta;
4. svetoval glede transparentnosti – priporočil je, da se v poročilu jasno navede vir podatkov (kadrovski informacijski sistem), datum posodobitve in uporabljena metodologija.

Po izvedbi priporočil je družba zagotovila, da je mogoče vsakemu podatku o članu uprave ali nadzornega sveta slediti do izvornega zapisa v kadrovskem informacijskem sistemu, zabeležiti, kdo je podatek vnesel, in potrditi njegovo pravilnost.

Rezultat takega svetovanja je bila izboljšana sledljivost in transparentnost podatkov, tveganje napačnega razkritja se je zmanjšalo, deležniki pa imajo večje zaupanje v upravljavske informacije, predstavljene v trajnostnem poročilu.

Č) Preverjanje uporabe pravilnih metodologij in izračunov, zlasti v avtomatiziranih sistemih

Vloga revizorja IS pri svetovanju o implementaciji preverjanja pravilnih metodologij in izračunov v avtomatiziranih sistemih je ključna za zagotavljanje integritete in zanesljivosti podatkov v digitalnem okolju. Z interdisciplinarnim znanjem iz IT-ja, revizije in upravljanja tveganj revizor IS družbi pomaga vzpostaviti ustrezne notranje kontrole, ki zagotavljajo pravilnost, sledljivost in skladnost izračunov v procesnem delu informacijskega sistema.

Primer: Vloga revizorja IS pri preverjanju avtomatiziranih izračunov družbenih kazalnikov

Družba XYZ, ki deluje na področju zdravstvene opreme, pripravlja trajnostno poročilo skladno z ESRS S1 – *Lastna delovna sila*. Za poročanje uporablja kadrovski informacijski sistem in analitično podporo temu sistemu, ki samodejno izračunava več družbenih kazalnikov, med drugim:

• stopnjo fluktuacije zaposlenih;
• povprečno število ur usposabljanja na zaposlenega;
• delež zaposlenih, ki so vključeni v programe varnosti in zdravja pri delu;
• delež zaposlenih s pogodbami, sklenjenimi za določen čas.

Vodstvo družbe je zaznalo tveganje, da avtomatizirani algoritmi morda niso usklajeni z metodologijami, določenimi v internih politikah in standardih ESRS.

Revizor IS, ki ni del revizijske ekipe, angažirane za pregled trajnostnostnega poročila, je bil vključen kot svetovalec in je:

1. pregledal logiko in metodologijo izračunov (algoritmov) – preveril je, ali kadrovski informacijski sistem uporablja pravilne definicije in časovne intervale pri izračunu fluktuacije in usposabljanj;
2. skupaj z IT oddelkom testiral pravilnost izračunov – izvedel je test s simuliranimi podatki (npr. 100 zaposlenih, 5 odhodov, 3 nove zaposlitve) in primerjal rezultat sistema z ročnim izračunom, da potrdi pravilnost izračuna/ algoritma;
3. svetoval o vzpostavitvi notranjih kontrol – predlagal je uvedbo revizijske sledi za vsako spremembo metodologije izračuna in avtomatizirano obvestilo ob nenavadnem odstopanju pri kazalnikih.

Celoten prispevek je dostopen za naročnike!