Efektywność kontroli nad sprawozdawczością zrówno­ważonego rozwoju (COSO i ESRS)

30 marca 2023 r. Committee of Sponsoring Organizations of the Treadway Commission (COSO) oficjalnie opublikował opracowanie pt. Achieving Effective Internal Control over Sustainability Reporting (ICSR): Building Trust and Confidence through the COSO Internal Control – Integrated Framework. Celem jego wydania było przedstawienie wskazówek dotyczących tego, w jaki sposób można w efektywny i ustrukturyzowany sposób ukształtować system kontroli nad sprawozdawczością zrównoważonego rozwoju, która w ostatnich latach istotnie zyskuje na znaczeniu. Dzieje się tak w szczególności w krajach Unii Europejskiej, gdzie wydawane (i planowane do wydania) są kolejne regulacje, takie jak dyrektywa w sprawie raportowania zrównoważonego rozwoju, Corporate Sustainability Reporting Directive (CSRD), czy też projekty jednolitych standardów raportowania zrównoważonego rozwoju, czyli European Sustainability Reporting Standards (ESRS), rozszerzające zakres i obowiązek publikowania przez przedsiębiorstwa informacji na temat ich działalności w omawianym zakresie. Punktem odniesienia dla wspomnianej publikacji jest model COSO Internal Control – Integrated Framework (tzw. COSO 2013), czyli szeroko wykorzystywana ramowa struktura kształtowania systemów kontroli wewnętrznej, w tym w szczególności kontroli nad sprawozdawczością finansową (ang. internal control over financial reporting, ICFR), np. na potrzeby regulacji SOX. Najnowsza publikacja COSO, będąca tzw. wytycznymi uzupełniającymi (ang. supplemental guidance) do  COSO 2013, wskazuje na możliwość zastosowania tego modelu również dla potrzeb efektywnego ukształtowania nowego procesu raportowego i związanych z nim kontroli wewnętrznych nad sprawozdawczością w zakresie zrównoważonego rozwoju (ang. internal control over sustainability reporting, ICSR).

Raportowanie interesariuszom działań podejmowanych na rzecz zrównoważonego rozwoju oraz ich efektów jest coraz ważniejszym obszarem działalności przedsiębiorstw. Stanowi narzędzie budowania relacji z otoczeniem, a jednocześnie tworzy okazję, by gruntownie zrewidować i poszerzyć wiedzę o własnej organizacji oraz jej wpływie na otoczenie i na tej podstawie zaktualizować wewnętrzne procesy, cele strategiczne itd. . W związku z rosnącym znaczeniem raportowania zrównoważonego rozwoju, w szczególności w krajach UE, coraz większego znaczenia nabiera kwestia zapewnienia odpowiedniej jakości prezentowanych danych i ujawnień (numerycznych oraz opisowych),  tj. ich adekwatności, dokładności i kompletności. Oznacza to, że podmioty zobowiązane do publikacji sprawozdań z zakresu zrównoważonego rozwoju powinny odpowiednio dostosować lub zbudować wewnętrzne procesy kontroli nad selekcją, zbieraniem, przetwarzaniem i weryfikacją niezbędnych danych.

Na obszarze UE nadal obowiązuje Non-Financial Reporting Directive (NFRD), dyrektywa nakładająca obowiązek ujawniania informacji niefinansowych na duże jednostki zainteresowania publicznego, tj. ok. 11 000 podmiotów na całym kontynencie. Nie obliguje ona do stosowania którychkolwiek z istniejących standardów raportowania, w związku z czym sprawozdania poszczególnych firm nie zawsze są porównywalne. Zmieni się to jednakże wraz z początkiem obowiązywania wspomnianej dyrektywy CSRD, czyli od 1 stycznia 2024 r. Regulacja ta, wprowadzająca wymóg stosowania w sprawozdawczości zrównoważonego rozwoju jednolitych europejskich standardów, wspomnianych ESRS, z czasem obejmie wszystkie duże, a następnie także małe i średnie notowane na giełdach przedsiębiorstwa (szacuje się, że łącznie będzie to ok. 40 tys. spółek).

ESRS składają się z oddzielnych, ale powiązanych ze sobą elementów. Na zestaw standardów składają się wytyczne do raportowania poszczególnych zakresów tematycznych z obszaru środowiskowego, społecznego oraz ładu zarządczego, jak również standard przekrojowy ESRS 2: General disclosures, zawierający wskaźniki obowiązkowe dla wszystkich raportujących podmiotów. Nakłada on na nie obowiązek upubliczniania m.in. ogólnych informacji na temat strategii i zarządzania, a także szczegółów przeprowadzonej na potrzeby raportu analizy istotności. W ramach ESRS 2 spółki będą musiały ponadto informować, jak sprawowana jest w nich kontrola nad sprawozdawczością w zakresie zrównoważonego rozwoju. Zagadnienie to ujęto w wymogu ujawnieniowym (Disclosure Requirement) GOV-5 - Zarządzanie ryzykiem i kontrola wewnętrzna nad sprawozdawczością w zakresie zrównoważonego rozwoju. Zgodnie z nim, organizacje raportujące będą ujawniać:

• zakres, główne cechy i elementy składowe systemu i procesów zarządzania ryzykiem i kontroli wewnętrznej nad sprawozdawczością w zakresie zrównoważonego rozwoju,
• stosowane podejście do oceny ryzyka, w tym metodykę priorytetyzacji ryzyk,
• kluczowe zidentyfikowane ryzyka, aktualne i potencjalne, oraz strategie ich ograniczania, w tym powiązane z tym procesy kontrolne,
• w jaki sposób wyniki oceny ryzyka i kontroli wewnętrznej nad sprawozdawczością w zakresie zrównoważonego rozwoju w organizacji wpływają na poszczególne funkcje i procesy wewnętrzne,
• w jaki sposób okresowo  ustalenia raportowane są organom administrującym, zarządzającym i nadzorczy,.

Na kwestię zapewnienia odpowiednich mechanizmów kontroli wewnętrznej nad określeniem właściwego zbioru (zakresu) danych, ich gromadzeniem oraz  tworzeniem raportów zwraca również uwagę standard ESRS 1: General reguirements. W załączniku C tego standardu (Appendix C: Qualitative characteristics of information) wskazane jest, iż w celu uniknięcia ryzyka istotnego zniekształcenia (ang. risk of material errors or material misstatements) informacji prezentowanych w sprawozdaniach zrównoważonego rozwoju oraz zapewnienia, iż prezentowane:

• dane numeryczne i ujawnienia opisowe będą adekwatne i istotne dla prezentowanych zagadnień,
• szacunki i prognozy będą mogły zostać identyfikowane jako takie (i odróżnione od danych rzeczywistych), a proces ich dokonywania będzie odpowiednio zaprojektowany, tzn. pozwalał będzie na przedstawienie wiarygodnych przewidywań (niezależnie od tego, że mogą się one nie sprawdzić), opartych na racjonalnych i weryfikowalnych założeniach,

podmioty zobowiązane do publikacji sprawozdań zrównoważonego rozwoju powinny wdrożyć efektywne procesy kontroli nad zbieraniem danych i przygotowaniem tychże sprawozdań. Naprzeciw tym wymogom wychodzą właśnie wytyczne uzupełniające wydane przez COSO w marcu 2023 r.

Ramowa struktura systemu kontroli wewnętrznej pierwotnie została przedstawiona przez COSO w 1992 r., a następnie zrewidowana i zaktualizowana w 2013 r. Od wielu lat jest to podstawowy model kształtowania efektywnych systemów kontroli wewnętrznej, w tym nad sprawozdawczością finansową (np. SOX). Ramy modelu COSO oparte zostały na następujących założeniach:

• Rolą systemu kontroli wewnętrznej jest dostarczenie tzw. racjonalnego (tzn. nie absolutnego) zapewnienia, iż sposób organizacji procesów wewnętrznych w efektywny sposób wspiera osiąganie celów (operacyjnych, taktycznych lub strategicznych) danej organizacji.
• Efektywność systemu kontroli wewnętrznej zależy od osób zaangażowanych w jego funkcjonowanie, a nie tylko od przyjętych polityk, wdrożonych procedur czy też wydanych instrukcji.
• Kontrola wewnętrzna jest procesem i środkiem do celu (wsparcia osiągania celów danej organizacji), a nie celem samym w sobie.
• Kontrola wewnętrzna jest nastawiona na osiągnięcie celów w jednym lub kilku obszarach.

Model COSO 2013 składa się z 5 komponentów oraz 17 zasad (przedstawione w tabeli poniżej), które rekomendowane są do wdrożenia w celu zbudowania efektywnie działającego systemu kontroli wewnętrznej.

Efektywnie zaprojektowany i wdrożony system kontroli wewnętrznej powinien umożliwić stworzenie w organizacji wielowymiarowego układu przenikających się i wpływających na siebie mechanizmów kontrolnych, zintegrowanych z procesami operacyjnymi i efektywnie wspierających realizację ich celów. W szczególności powinien zapewniać dostarczanie odpowiedniej jakości danych (finansowych lub o innym charakterze), wykorzystywanych następnie dla potrzeb sprawozdawczości finansowej lub w zakresie zrównoważonego rozwoju. Wzajemne zależności pomiędzy różnymi warstwami działania systemu kontroli wewnętrznej przedstawia poniższy rysunek.

Wdrożenie systemu kontroli wewnętrznej opartej na uznanych na świecie ramach modelu COSO oraz wynikających z niego rekomendowanych praktykach rynkowych w zakresie strukturyzowania procesów operacyjnych i kontroli wewnętrznej pomaga w dostarczeniu wielu korzyści dla organizacji, w tym w szczególności:

• wsparciu realizacji celów operacyjnych i strategicznych;
• zapewnieniu, że polityki, procedury, zadania, zachowania oraz inne aspekty funkcjonowania organizacji przyczynią się do jej efektywnego działania;
• zapewnieniu odpowiedniej jakości sprawozdawczości wewnętrznej i zewnętrznej (np. finansowej lub w zakresie zrównoważonego rozwoju);
• ograniczeniu ryzyka popełnienia nadużyć lub oszustw;
• adekwatnym zarządzaniu zidentyfikowanymi, istotnymi ryzykami, które zagrażają realizacji celów;
• przyczynieniu się do poprawy efektywności funkcjonowania procesów.

Zgodnie ze swoim oświadczeniem z 30 marca 2023 r. organizacja COSOstwierdziła, że warto wykorzystać istniejący już i sprawdzony w sprawozdawczości finansowej model kontroli wewnętrznej i opracować dodatkowe wskazówki związane z jego wykorzystaniem, tak aby mógł efektywnie pomóc w kształtowaniu kontroli nad sprawozdawczością w zakresie zrównoważonego rozwoju. Najnowsza publikacja COSO ma zatem w zamierzeniu stanowić swego rodzaju mapę drogową, pozwalającą na dostosowanie istniejących ram i zasad – znanych już wielu podmiotom i ich interesariuszom z innych zastosowań, np. sprawozdawczości finansowej – do potrzeb sprawozdawczości w zakresie zrównoważonego rozwoju. Ponadto wykorzystanie jednolitej podstawy koncepcyjnej do potrzeb różnych, aczkolwiek powiązanych ze sobą rodzajów sprawozdawczości, tj. finansowej oraz w zakresie zrównoważonego rozwoju, powinno pomóc w stworzeniu efektywnych (w tym kosztowo, biorąc pod uwagę zaangażowanie zasobów materialnych, kapitału ludzkiego oraz czasu) procesów sprawozdawczych.

Uzupełniające wytyczne COSO nawiązują do przedstawionych powyżej 17 zasad i adaptują je do potrzeb sprawozdawczości w zakresie zrównoważonego rozwoju, tak aby podmioty, które zdecydują się na zastosowanie modelu COSO do kontroli nad ową sprawozdawczością , mogły to zrobić w sposób efektywny, w oparciu o zdobyte już doświadczenia. Dokument wskazuje również pewne – kluczowe w opinii COSO – różnice pomiędzy sprawozdawczością finansową oraz w zakresie zrównoważonego rozwoju, wynikające z odmiennych celów, którym służą oraz reguł i definicji, którymi się posługują, a które wpływają na konieczność modyfikacji istniejących procesów lub zbudowania nowych. Kluczowe różnice pomiędzy wspomnianymi rodzajami sprawozdawczości w opinii COSO dotyczą:

• podstawowych koncepcji „sprawowania kontroli” (rachunkowość i sprawozdawczość finansowa) i „wywierania wpływu” (na otoczenie i interesariuszy, a nie jednostki powiązane, jak w standardach rachunkowości; sprawozdawczość w zakresie zrównoważonego rozwoju), stanowiących odmienne podstawy koncepcyjne obu typów raportowań (ang. control vs. influence),
• wykorzystania informacji jakościowych, które jest relatywnie większe w przypadku raportowania w zakresie zrównoważonego rozwoju (ang. quantitative vs. qualitative) oraz
• prezentowania sytuacji i danych historycznych a informacji nastawionych przede wszystkim na przyszłość (ang. historical vs. forward looking). W tym wypadku daje się jednakże zauważyć pewna zbieżność, gdyż sprawozdawczość finansowa ewoluuje od podejścia historycznego do „przyszłościowego”, podczas gdy sprawozdawczość w zakresie zrównoważonego rozwoju ma w swoim DNA nastawienie na przyszłość i odpowiednie odzwierciedlenie długoterminowego wpływu danego podmiotu na jego różnych interesariuszy i wielowymiarowe otoczenie.

Jako kluczowe działania związane z ustanowieniem efektywnie działającego – zarówno z punktu widzenia ryzyka i kontroli, jak i efektywności wykorzystania zasobów i organizacji pracy – systemu kontroli nad sprawozdawczością w zakresie zrównoważonego rozwoju wytyczne wymieniają, określone w dokumencie jako Key Takeaways: Stakeholder Goals around Sustainability:

• konieczność kultywowania kultury odpowiedzialności (ang. cultivate a culture of accountability), wskazując, iż aby kontrola wewnętrzna działała skutecznie, konieczne jest, aby każda osoba zaangażowana w realizację jej celów rozumiała znaczenie istnienia skutecznych mechanizmów zapewniających dostęp do adekwatnych oraz wiarygodnych informacji i danych;
• dokonanie przeglądu powiązań między misją i celami organizacji (ang. revisit the interrelationship of purpose and various objectives), tak aby zapewnić, iż są one spójne, zrównoważone oraz zrozumiałe w całej organizacji;
• powołanie wielofunkcyjnego zespołu (ang. establish a cross-functional team) zaangażowanego w realizację zadań związanych ze sprawozdawczością w zakresie zrównoważonego rozwoju. Wytyczne COSO wskazują, iż zaangażowanie zespołu obejmującego osoby z różnych działów organizacji pomaga zapewnić zróżnicowaną perspektywę i szeroką wiedzę merytoryczną w zakresie oceny kwestii związanych ze zrównoważonym rozwojem, a także stworzenie odpowiednich mechanizmów kontrolnych oraz wskaźników efektywności. Dokument wskazuje, iż w takich zespołach mogą uczestniczyć również osoby spoza danej organizacji, związane np. z jej kluczowymi partnerami (co wynika z opisanej roli sprawozdawczości w zakresie zrównoważonego rozwoju i tego, że wywodzi się ona z koncepcji „wywierania wpływu”);
• wykorzystanie posiadanej już przez organizację wiedzy (ang. leverage existing expertise). COSO wskazuje, iż ICSR jest zasadniczo kolejnym zastosowaniem koncepcji wykorzystywanych już w przypadku kontroli nad sprawozdawczością finansowąj (ICFR), a na tym polu organizacje, a w szczególności ich działy finansowe, posiadają już zwykle duże doświadczenie, które może być wykorzystane podczas tworzenia systemu ICSR;
• wykorzystanie istniejących mechanizmów kontrolnych (ang. leverage existing controls). System ICSR może wymagać wprowadzenia nowych procesów lub mechanizmów kontrolnych. Dokument zwraca jednak uwagę, iż zwykle istnieją już pewne procesy, np. dotyczące kontroli wewnętrznej nad sprawozdawczością finansową (ICFR), które mogą zostać zmodyfikowane i zastosowane do monitorowania sprawozdawczości w zakresie zrównoważonego rozwoju;
• wykorzystanie technologii i platform IT wspomagających raportowanie (ang. leverage enabling technologies and platforms). W tym aspekcie COSO wskazuje, iż wykorzystanie do raportowania w zakresie zrównoważonego rozwoju platform informatycznych, z odpowiednio zaimplementowanymi mechanizmami kontroli, może przyczynić się do zapewnienia efektywności przetwarzania danych oraz poprawić ich jakość i zaufanie do nich;
• koncentrację na użyteczności dla procesu podejmowania decyzji (ang. focus on decision usefulness). Tworzenie dodatkowych mechanizmów kontrolnych, definiowanie nowych wskaźników monitorujących oraz rozszerzanie zbiorów i katalogów danych do raportowania może być niechętnie akceptowane przez organizacje z uwagi na czas, wysiłek oraz koszty, które trzeba z tego powodu ponieść. COSO sugeruje, żeby organizacje patrzyły na te kwestie przez pryzmat użyteczności dla procesów decyzyjnych i koncentrowały się na określeniu takiego zbioru danych i właściwych im mierników (nawet jeżeli jest niewielki), który jest najważniejszy dla realizacji wyznaczonych celów, ze względu na jego znaczenie dla redukcji ryzyka ich nieosiągnięcia oraz dla zmniejszenia kosztów;
• odpowiednie zaplanowanie rozpoczęcia prac (ang. start early). Zaprojektowanie i usprawnienie systemu kontroli, który w pełni wspiera realizację celów sprawozdawczych, może być czasochłonne, więc istotne jest, aby odpowiednio wcześniej zainicjować właściwe działania.