Pista di audit CSRD

Come funziona

L'azienda invia un PDF. Nessuno sa quale sistema l'abbia generato, chi abbia firmato l'estrazione, se sia il dato di chiusura o una versione intermedia. Questo è il punto di partenza tipico nei fascicoli che vediamo sul primo anno CSRD. Lo standard di riferimento per chiudere quel buco è duplice: ESRS 2 BP-2 chiede che le caratteristiche dei dati riportati siano descritte (perimetro, metodologia, fonti, ipotesi); ISAE 3000 (Revised) chiede al revisore che la documentazione consenta a un professionista esperto, non coinvolto nell'incarico, di comprendere natura, tempi ed estensione delle procedure svolte.

In pratica, il revisore di sostenibilità si trova davanti a tre passaggi da tracciare per ogni numero materiale: il dato grezzo (la fattura energetica, il record HR, la lettura del contatore), la trasformazione (fattori di emissione applicati, perimetro di consolidamento, esclusioni motivate) e l'aggregazione finale che entra nel disclosure. Quando uno dei tre anelli non si tika, le carte sono leggere e l'opinione è a rischio.

Una pista di audit CSRD non sostituisce quella finanziaria, e non si comporta nello stesso modo. I dati ESRS arrivano da sistemi non contabili, spesso senza riconciliazione mensile, senza chiusura, senza segregation of duties costruita su quel flusso. Si potrebbe sostenere che il livello di evidenza appropriata vada calibrato su questa fragilità d'origine: per la limited assurance bastano procedure prevalentemente analitiche e di indagine; per la reasonable serve qualcosa di più vicino al test di dettaglio finanziario. Tra le due, una zona grigia ampia, che il legislatore italiano ha scelto di non chiudere nel D.Lgs. 125/2024.

Esempio pratico: Industrie Sostenibili Verona S.r.l.

Cliente: produttore di componenti in plastica riciclata, sede a Verona, fatturato EUR 78M nel 2024, 320 dipendenti. Soggetto CSRD dal FY2025 (rendicontazione 2026), large undertaking.

Passaggio 1 — Definire il perimetro (ESRS 2 BP-1) La direzione e il responsabile sostenibilità definiscono il confine organizzativo per E1-1: Scope 1 limitato ai tre siti italiani (gas naturale e diesel flotta); Scope 2 esteso ai tre siti più due stabilimenti di lavorazione presso clienti, sotto controllo operativo. La memorandum del confine viene datato gennaio 2025, firmato da CFO e responsabile sostenibilità, con allegata la mappa siti e il rationale del controllo operativo.

Passaggio 2 — Acquisizione dei dati fonte Si estraggono le fatture gas naturale dai sistemi contabili dei tre siti (gennaio-dicembre 2024) e i dati di rifornimento diesel dal gestionale flotta. Per lo Scope 2 si acquisiscono le fatture energetiche e si scaricano i fattori di emissione dai database ISPRA e Terna. Ogni file fonte viene loggato in un foglio di tracciamento con hash o numero documento, data di estrazione, nome di chi ha estratto, nome di chi ha controllato che il valore estratto corrisponda al PDF originale. Si tika ogni riga.

Passaggio 3 — Conversione e aggregazione Si applicano i fattori ISPRA (3,67 kg CO₂e/m³ gas naturale 2024; 2,35 kg CO₂e/litro diesel) e i fattori Terna (412 g CO₂e/kWh per la rete italiana 2024). Foglio di calcolo con formule visibili, fonti citate inline, ogni conversione rintracciabile alla riga del dato fonte. Controllo di coerenza: confronto con il calcolo dell'esercizio precedente per identificare scostamenti anomali.

Complicazione (e qui il fascicolo si rompe). A maggio il responsabile sostenibilità segnala che i dati Scope 2 sono stati calcolati con due metodologie, location-based e market-based, ma documentata è solo la location-based. ESRS E1-5 richiede entrambe quando rilevanti. A luglio il fornitore del software emissioni rilascia una nuova release che ricalcola i fattori 2024 con valori leggermente diversi (Terna ha aggiornato lo statistical yearbook a giugno). A settembre, durante una circolarizzazione interna, emerge che il sito di Mantova è stato escluso dal perimetro per errore: era operativo da ottobre 2023, non da gennaio 2025 come riportato nel memo iniziale.

Passaggio 4 — Validazione e firma finale Risultato finale ricostruito: Scope 1 pari a 485 t CO₂e; Scope 2 location-based 1.280 t CO₂e e market-based 1.156 t CO₂e; sito Mantova reintegrato per i tre mesi del 2024; nota metodologica sulla release software con riconciliazione tra vecchio e nuovo fattore. Dichiarazione di controllo finale firmata da responsabile sostenibilità e CFO, con riferimento al numero di revisione del file pubblicato.

Cosa succede davvero. La pista qui sopra regge la limited assurance. Regge perché c'è la traccia di ogni rottura, non perché il processo sia stato lineare. Se la direzione avesse "scritto le carte dopo," riconciliando location/market e Mantova solo in fase di disclosure, l'auditor avrebbe avuto un dato finale corretto e una pista indifendibile. La differenza non è nel numero. È nel fatto che la rottura è documentata.

Cosa rileva chi fa assurance ESRS

Tier 1 — Rilievo regolatore. Tra le segnalazioni preliminari emerse nel 2025 sui primi report ESRS, CONSOB e gli organismi europei (EFRAG IG 1 e IG 2) hanno indicato come ricorrente l'assenza di pista di audit sui dati Scope 3. Le aziende raccolgono dichiarazioni dai fornitori via questionario non strutturato, senza documentazione intermedia che consenta il controllo incrociato. Il revisore non può verificare se quei dati siano stati sottoposti a critica prima dell'inclusione nel disclosure, e nei nostri incarichi CSRD questo è il punto in cui la limited assurance si avvicina più spesso al disclaimer.

Tier 2 — Errore frequente sullo standard. Si confonde la pista di audit con l'archivio di mail e PDF. ESRS 1 par. 81 non chiede di "avere i documenti." Chiede che la documentazione consenta tracciamento e verifica. Una cartella con 200 file Excel senza numerazione, senza metadata, senza versioning non è una pista. Un terzo deve poter localizzare in pochi minuti il record fonte di un'affermazione e replicare la conversione. Se serve un'ora e una telefonata al responsabile, le carte sono leggere.

Tier 3 — Gap documentale strutturale. Nelle entità in cui non esiste un data steward formale per la sostenibilità, la responsabilità si diffonde tra finanza, HSE e operations. Il COSO non lo prescrive perché parla di financial reporting; il D.Lgs. 125/2024 non lo prescrive in modo esplicito. Ma senza un ruolo unico che chiuda il flusso dato-grezzo-fino-a-disclosure, la pista nasce frammentata e nessuna procedura ex post la ricostruisce credibilmente.

Quando la pista di audit CSRD fa la differenza

Diventa decisiva quando l'incarico di limited assurance è in corso e l'auditor deve formarsi un'opinione sul singolo datapoint materiale. Il calendario europeo prevede l'estensione obbligatoria della reasonable assurance entro il 2028; nel frattempo la limited resta la soglia operativa. Se la pista non consente di tracciare i dati critici, il revisore può modificare l'opinione o rifiutarla. Si verifica, nei fascicoli che ho visto sul primo anno, che le aziende che hanno costruito la pista durante il FY2024 (anno di decorrenza per le large undertakings) abbiano avuto un secondo anno gestibile; quelle che hanno aspettato il 2027 hanno dovuto ricostruire serie storiche per le emissioni e per i KPI sociali, con costi materiali e con risultati che non sempre tengono in fase di assurance.

C'è chi accetta come pista una catena di fogli di calcolo se la fonte è verificabile e il versioning è disciplinato. Altri argomentano che senza un sistema con audit log immutabile il livello di assurance non possa raggiungere il limited, perché manca la garanzia di non manipolabilità ex post. La posizione di CONSOB nei primi controlli sui report 2025 sembra più vicina alla prima lettura, purché la fonte primaria sia incontrovertibile e la documentazione intermedia sia datata in tempo reale, non ricostruita.

Pista di audit CSRD vs. pista di audit per dati finanziari

La distinzione è di origine: i dati finanziari nascono da processi contabili iterativi; quelli ESRS nascono da processi operativi e vengono aggregati a posteriori per la rendicontazione. Una pista CSRD che funzioni si costruisce sapendo che parte da un livello di evidenza più basso, e che la documentazione esplicita deve compensare ciò che la contabilità fa in automatico per il bilancio civilistico.

Secondo ordine

La CSRD nasceva per spostare sull'azienda il costo del controllo interno sulla sostenibilità. Nei primi due anni di applicazione italiana sta accadendo il contrario: il revisore si trova a costruire (o a ricostruire) parte della disciplina documentale che il cliente non aveva, perché il fee per l'assurance limited non copre il tempo che servirebbe per pretenderla a monte. Negli studi medi e con compensi irrisori sulla parte sostenibilità, il rischio è che la pista venga scritta dopo, e che CONSOB la legga prima.

Termini correlati

CSRD — Direttiva 2022/2464/UE recepita in Italia con D.Lgs. 125/2024. La pista di audit è uno strumento di conformità documentale.

ESRS — Lo standard europeo di rendicontazione di sostenibilità. ESRS 1 par. 81 contiene il requisito di tracciabilità.

Limited assurance sulla sostenibilità — L'incarico in cui la pista di audit CSRD diventa la base per la formazione dell'opinione.

Datapoint ESRS — Ogni elemento di dato (esempio: emissioni Scope 1) che deve disporre di tracciabilità verificabile.

Confine organizzativo CSRD — La definizione del perimetro di consolidamento, primo elemento della pista.

Fattore di emissione — Il moltiplicatore applicato ai dati di attività per arrivare alle emissioni. La fonte va documentata nella pista.

Assurance sulla sostenibilità — La categoria ampia di incarichi di revisione su dati non finanziari, di cui la limited assurance CSRD è un sottoinsieme in espansione.

Strumenti ciferi

Nessuno strumento, oggi, costruisce automaticamente una pista di audit CSRD conforme. Il Workbook di documentazione ESRS di ciferi offre un template di organizzazione con sezioni dedicate al tracciamento dei dati fonte, alle conversioni applicate e ai controlli intermedi, pensato per chi sta scrivendo la pista la prima volta e vuole evitare che le carte diventino leggere a metà esercizio. Accedi al Workbook ESRS.

---