ESG tager tid: Lad nu vær med at undervurdere mængden af det arbejde, der er påkrævet

Når det kommer til ESG og de nye krav i CRSD direktivet, så er det endt med at blive lidt som når man skal have skiftet til vinterdæk på bilen – man har alle intentionerne om at være ude i god tid og alligevel så ender man panisk med at sidde og bestille tid til hjulskifte, når den først sne er faldet.

Det forholder sig faktisk sådan, at lovforslaget, der implementerer CSRD-direktivet i Danmark, ikke er trådt ikraft endnu, og forventes først at gøre det 1. juni 2024. Det er dog helt klart forventningen, at det bliver vedtaget, og det er altså med et krav om, at de første virksomheder skal rapportere allerede for regnskabsåret 2024.

Hvad betyder det så for jer som virksomhed? Ja, hvis I ikke allerede er godt i gang med arbejdet, så kan I se ind i en hektisk tid resten af 2024.

Tilføj noget i stil med: I det følgende vil jeg give jer et hurtigt overblik over det arbejde, som venter jer i relation til ESG, med fokus på de steps, der relaterer sig til data-delen.

Når vi taler om CSRD, så kommer vi ikke uden om også at komme ind på dobbelt væsentlighed, da det er dette, som afgør, hvad det er virksomhederne skal rapportere på. En dobbelt væsentlighedsvurdering er ikke noget, som foretages en gang, og hvor resultatet bruges på samtlige virksomheder - der er ikke tale om en one-size-fits-all.

Der er i stedet tale om en virksomhedsspecifik vurdering, som tager udgangspunkt i, hvordan hver enkelt virksomhed påvirkes af bæredygtighedsforhold samt hvilken indvirkning de selv har på bæredygtighedsforhold. Det kræver altså, at I har et godt kendskab til jeres virksomhed, for at være i stand til at foretage denne vurdering. Derfor er det ikke en af de opgaver, som I giver til det nyeste medlem af teamet, selv om det kan være utrolig fristende.

Selv om arbejdet med dobbelt væsentlighedvurdering synes at være omfattende og krævende, hvilket det helt bestemt også er, så er det lige før, at jeg har lyst til at sige, at der faktisk er tale om den lette del. For det er efter at denne vurdring er foretaget, at alt arbejdet rigtig begynder.

Når det først er blevet fastlagt, hvad det er, at der skal rapporteres på, så er det, at der skal foretages en gap analyse, for at finde ud af, hvad der er godt styr på, og hvor det er, at I er helt på bar bund. Det er altså her, at I får et egentlig indblik i, hvor godt eller dårligt det står til, og på baggrund af den indsigt, kan der udarbejdes en plan for hvilke handlinger, der skal foretages for at komme i mål.

Når vi snakker om ESG-data og -rapportering, så skal vi også forholde os til datakvalitet, da direktivet sætter krav om, at revisor skal erklære sig om ESG-rapporteringen. I første omgang vil det dog kun være med begrænset grad af sikkerhed, men det forventes, at det på sigt vil blive hævet til høj grad af sikkerhed.

Derfor skal der arbejdes med processer, risici og kontroller, for lige som på finansielle data, så skal disse ting også på plads for ESG-data, hvis kvaliteten skal sikres nogenlunde. Og nu kan det godt være, at der sidder nogen derude og tænker, at der jo kun er tale om begrænset grad af sikkerheder til at starte med, så er alt dette virkelig nødvendigt?

Det korte svar er, nok ikke. Men det lidt længere svar er, at hvis I ikke gør det nu, hvor I alligevel skal alt arbejdet igennem med at få skabt overblik over processerne, hvor data skal indsamles fra mv., så vil I skulle alt arbejdet igennem igen, om lad os sige tre år, når kravene til revision ændrer sig til høj grad af sikkherhed., så det skal være med høj grad af sikkerhed Så lad nu vær med at springe over hvor gærret er lavst.

Så der er ikke andet for end at smøge ærmerne op og så ellers komme i gang med at:

1. Få udarbejdet flow charts for processerne for at sikre, at I har indsigt i hvor data kommer fra, hvordan det behandles, hvilke steps det gennemgår, mv..
2. Få identificeret risici relateret til processerne, ved at spørge, hvad det er der potentielt kan gå galt ved hvert enkelt step i processerne. Her er det vigtigt også at huske risikoen for besvigelse.
3. Få vurderet hvilke af de identificeret risici som er væsentlige og hermed skal mitigeres eller reduceres. Her er det nødvendigt at have en indsigt i ledelsens risikoappetit.
4. Få designet kontroller der mitigerer eller reducerer de væsentlige risici til et acceptabelt niveau. Husk at der ikke altid er sammenhæng mellem, hvad vi ideelt gerne vil have udført, og hvad der er praktisk muligt.
5. Få kontrollerne implementeret og accepteret af forretningen for at sikre, at de bliver en fast del af processerne og hermed bliver udført. Her kan det være nødvendigt at sætte tid af til at lære forretningen op i, hvordan kontrollerne skal udføres og dokumenteres.

Med disse fem punkter er I klar til at gå i gang med arbejdet omkring processer, risici og kontroller for ESG-data, og lad nu vær med at undervurdere hvor meget arbejde der ligger i dette, og hvor lang tid det faktisk kan ende med at tage. For godt nok er der tale om handlinger, som på mange måder ligner det, vi kender fra finansiel data, men på mange måder er der en verden til forskel.