Quadro normativo e requisiti di assurance

L'ESRS G1 si regge su tre pilastri: strategia e modello di business (SBM), governance (GOV), metriche e target (MT). Gli altri principi ESRS si applicano solo se materiali; l'ESRS G1.SBM-3 resta obbligatorio per chiunque rientri nella CSRD. Questo è il punto che più spesso sfugge nella pianificazione dell'incarico, e il punto da cui nascono gli errori di scoping a catena.

Calendario di applicazione e soglie

La CSRD si applica in tre ondate progressive.

Prima ondata (esercizi dal 1° gennaio 2025): Grandi imprese di interesse pubblico già soggette alla Direttiva sulla rendicontazione non finanziaria (NFRD), con almeno 500 dipendenti.

Seconda ondata (esercizi dal 1° gennaio 2026): Grandi imprese che superano due dei tre criteri: 250+ dipendenti, bilancio €25M+, ricavi €50M+.

Terza ondata (esercizi dal 1° gennaio 2028): PMI quotate con più di 10 dipendenti (escluse le micro-imprese sotto i 10 dipendenti).

Il livello di assurance richiesto rimane limitato per tutti gli esercizi fino al 2033. L'articolo 19bis.1 della CSRD prevede il passaggio ad assurance ragionevole dal 2034, ma la decisione finale dipende dalla revisione che la Commissione europea condurrà nel 2028.

Requisiti per i fornitori di assurance

Secondo l'articolo 34.1 della CSRD, chi rilascia l'assurance limitata deve possedere competenze specifiche in sostenibilità. Per i revisori legali questo si traduce in formazione aggiuntiva sui principi ESRS e sui framework di materialità. L'ISAE 3000 (Revised) fornisce l'impianto metodologico, ma va adattato alla natura delle informazioni di sostenibilità, che non sono contabili e non si riconciliano con la quadra del bilancio.

Qui va detto qualcosa che la dottrina sottovaluta: la pressione sui compensi irrisori già esistente sulla revisione legale si sta replicando pari pari sull'assurance CSRD, perché il mercato italiano si ostina a trattare la sostenibilità come un'appendice a costo zero del mandato principale. È una diagnosi scomoda, ma è verificabile ogni volta che si legge un preventivo. La conseguenza pratica è che le ore pianificate per G1 spesso non bastano a verificare davvero né il registro delle segnalazioni né i training record del 231.

Datapoint obbligatori ESRS G1

L'ESRS G1 contiene 17 datapoint, distribuiti tra informazioni qualitative obbligatorie e metriche quantitative soggette a valutazione di materialità. La distinzione non è accademica: la profondità delle procedure varia in modo significativo tra i due gruppi, e chi fa assurance deve saperlo prima di scrivere il memo di pianificazione.

Informazioni sempre obbligatorie

ESRS G1.SBM-3 (Interessi e punti di vista degli stakeholder): Ogni impresa deve rendicontare come tiene conto degli interessi degli stakeholder nella strategia aziendale e nelle decisioni operative. Questo datapoint non si può escludere con una valutazione di non-materialità.

ESRS G1.GOV-1 (Ruoli e responsabilità degli organi amministrativi): Va divulgato il ruolo dell'organo di supervisione sulla condotta aziendale, con descrizione dei processi di supervisione e controllo.

Informazioni soggette a materialità

I restanti 15 datapoint si applicano solo se la condotta aziendale risulta materiale secondo la valutazione della doppia materialità ex ESRS 2.IRO-1. Fra questi:

- Politiche specifiche per corruzione e concussione (ESRS G1.GOV-2) - Target quantitativi e timeline (ESRS G1.GOV-4) - Metriche di performance sulla formazione anticorruzione (ESRS G1.GOV-5) - Processi di whistleblowing e protezione dei segnalanti (ESRS G1.GOV-6)

Cosa succede davvero

Sulla carta il perimetro è lineare. Nella pratica italiana la GOV-2 si sovrappone al Modello 231 già esistente: l'Organismo di Vigilanza produce una relazione semestrale, il collegio sindacale la legge, la direzione la archivia. Il revisore della sostenibilità arriva e chiede evidenza dei flussi informativi. A quel punto si scopre che la relazione c'è, ma i verbali delle riunioni tra OdV e collegio sindacale non lo sono sempre. Non è un vizio del revisore: è che il D.Lgs. 231/2001 non impone un registro formale di quei flussi, mentre l'ESRS G1 presume che esista. Il revisore non documenta un'irregolarità, bensì una zona di prassi dove l'obbligo nuovo si innesta su un assetto vecchio.

Esempio pratico: Verifica ESRS G1 per manifatturiero

Contesto cliente: Industrie Meccaniche Lombarde S.p.A., società manifatturiera con sede a Bergamo, 420 dipendenti, ricavi €78M (esercizio 2025). Prima applicazione CSRD, seconda ondata. Settore automotive con operazioni in Italia, Germania e Polonia.

Passaggio 1: Identificazione dell'ambito di applicazione

L'impresa supera due dei tre criteri (dipendenti: 420 > 250, ricavi: €78M > €50M) e rientra nella seconda ondata CSRD. Si applica l'ESRS G1 con assurance limitata.

Nota di documentazione: si verifichi che i criteri dimensionali siano stati superati per due esercizi consecutivi ai sensi dell'articolo 3.4 della CSRD. Si documenti nel memo di pianificazione il calcolo delle soglie e la data di prima applicazione.

Passaggio 2: Valutazione della materialità per datapoint condizionali

L'impresa ha condotto la doppia materialità e ha concluso che la corruzione è materiale (impatto reputazionale nel settore automotive, rischio normativo in Germania sotto lo StGB §§ 331-337). Il whistleblowing risulta materiale per impatto normativo: Direttiva UE 2019/1937, recepita con D.Lgs. 24/2023 in Italia, con norme parallele in Germania e Polonia.

Nota di documentazione: si ottenga il report di materialità dell'impresa. Si verifichi che la metodologia sia coerente con ESRS 2.IRO-1. Si documentino i criteri quantitativi e qualitativi usati per la determinazione.

Qui nasce uno dei punti di disaccordo più frequenti tra revisori. Alcuni colleghi applicano alla soglia di materialità sugli "incidenti di corruzione" un criterio quantitativo mutuato dall'ISA Italia 240 (ammontare monetario, impatto sul bilancio). Altri sostengono che l'ESRS G1 richieda una soglia puramente qualitativa, perché la materialità di impatto prescinde dalla quantificazione finanziaria. La prima scuola ha ragione quando il gruppo è medio e le segnalazioni sono poche; la seconda ha ragione quando la corruzione si manifesta in forme non pecuniarie (favori, conflitti di interesse non dichiarati). Il fascicolo deve motivare quale criterio si è scelto e perché, perché il controllo MEF previsto dal 2025 cercherà proprio questa motivazione.

Passaggio 3: Verifica delle politiche anticorruzione (ESRS G1.GOV-2)

L'impresa ha adottato una politica anticorruzione di gruppo, approvata dal Consiglio di Amministrazione nel marzo 2024. La politica copre i tre paesi di operazione e disciplina gift & hospitality, conflitti di interesse, due diligence sui partner commerciali.

Nota di documentazione: si ottenga copia della politica e si verifichi: data di approvazione, copertura geografica, procedure specifiche sulle aree ad alto rischio. Si verifichi che la politica sia stata comunicata al personale tramite formazione documentata.

Passaggio 4: Controllo del sistema di whistleblowing (ESRS G1.GOV-6)

Il sistema include una hotline gestita da terze parti (EthicsGlobal S.r.l.), attiva 24/7 in italiano, tedesco e polacco. Nel 2025 sono state registrate 7 segnalazioni: 3 per molestie, 2 per sicurezza sul lavoro, 1 per irregolarità contabili, 1 per conflitto di interesse. Tutte chiuse entro i 90 giorni previsti dalla procedura interna, in linea con l'art. 5, comma 1, lett. e) del D.Lgs. 24/2023.

Nota di documentazione: si ottenga il registro 2025. Si verifichi su un campione di 3 segnalazioni: protocollo di registrazione, tempistiche di investigazione, azioni correttive, protezione dell'identità. Si verifichi la conformità al D.Lgs. 24/2023.

Complicazione del caso

Durante la procedura il team scopre che la segnalazione n. 4 (irregolarità contabili) risulta registrata il 14 luglio 2025, ma il verbale dell'investigazione è datato 2 dicembre 2025. Quattro mesi e mezzo di buco. Nessuna comunicazione intermedia al segnalante, nessun verbale di istruttoria. La direzione spiega che il caso è stato discusso "informalmente" in tre riunioni dell'Organismo di Vigilanza, ma i verbali OdV citano la segnalazione solo nell'ultima. Qualcuno, a un certo punto, ha dovuto scrivere le carte dopo. Il revisore non è lì per accertare la malafede; è lì per dire che l'evidenza documentale, così come si presenta, non permette di concludere che il termine di 90 giorni sia stato davvero rispettato. Il rilievo va nella lettera di management, e l'OdV dovrà spiegare al collegio sindacale perché il flusso informativo si è interrotto.

Il sistema, nel complesso, è conforme al D.Lgs. 24/2023 e ai requisiti ESRS G1. Il caso singolo resta aperto sul piano documentale.

Checklist pratica per l'assurance ESRS G1

1. Verificare l'applicabilità: si confermi che l'impresa rientri nelle soglie CSRD e si identifichi l'ondata (prima, seconda o terza).

2. Mappare i datapoint obbligatori: si distingua tra ESRS G1.SBM-3 e G1.GOV-1 (sempre obbligatori) e gli altri 15 datapoint (soggetti a materialità).

3. Rivedere la valutazione di materialità: si verifichi che la metodologia ESRS 2.IRO-1 sia stata applicata con rigore sui datapoint condizionali.

4. Testare politiche e procedure: per ogni area materiale, si verifichi l'esistenza, l'approvazione formale e l'attuazione operativa.

5. Verificare i controlli interni: si documentino e si testino i controlli chiave su prevenzione della corruzione, conflitti di interesse, protezione dei segnalanti, coordinandoli con il Modello 231 ove presente.

6. Controllare la completezza: si accerti che tutti i datapoint applicabili siano nel report di sostenibilità e che le omissioni siano motivate.

Errori comuni nell'assurance ESRS G1

- Trattare tutti i datapoint come condizionali: l'ESRS G1.SBM-3 è sempre obbligatorio, a prescindere dalla materialità. Le procedure devono coprire questo datapoint per ogni impresa CSRD.

- Applicare procedure da audit finanziario: l'assurance limitata si regge soprattutto su inquiry e analytical review. Estendere i test of details a livelli da audit finanziario va oltre il livello di assurance richiesto e non lo rafforza.

- Ignorare la conformità nazionale: i sistemi di whistleblowing devono rispettare sia l'ESRS sia il D.Lgs. 24/2023 (per l'Italia) e le corrispondenti implementazioni nazionali della Direttiva UE 2019/1937, che non coincidono su tempistiche e soggetti obbligati.

- Non distinguere revisore, collegio sindacale e Organismo di Vigilanza: i tre organi hanno perimetri diversi ex D.Lgs. 39/2010, artt. 2403 e 2409-bis C.C., D.Lgs. 231/2001. Una procedura che li tratta come intercambiabili produce carte di lavoro che non reggeranno a un controllo CONSOB o MEF.

Contenuti correlati

- ESRS 2 General Disclosures: guida alla doppia materialità - Come si conduce la valutazione di materialità che determina l'applicabilità dei datapoint ESRS G1 condizionali.

- ISAE 3000 per sostenibilità: adattare le procedure di assurance - Framework metodologico per strutturare l'assurance limitata sui report di sostenibilità CSRD.

- CSRD in Italia: guida all'implementazione - Quadro normativo italiano sul recepimento CSRD e ruolo del MEF nella supervisione.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.