Co zrobić, by raport przeżył atestację? Ścieżka audytowa

Prezentacja ESG Governance Framework w nowoczesnej sali konferencyjnej. Mężczyzna w garniturze wyjaśnia proces audytowy zespołowi siedzącemu przy stole z laptopami. Na ekranie widoczny jest schemat zarządzania ESG, a na laptopach dane analityczne. Zdjęcie ilustruje artykuł o raportowaniu ESG i atestacji.

Wyobraź sobie, że spędzasz trzy miesiące na zbieraniu danych ESG. Wypełniasz raport. Zlecasz projekt zewnętrznemu doradcy. Wysyłasz dokument do biegłego rewidenta na atestację, i słyszysz: „Nie możemy potwierdzić wiarygodności tych danych, bo nie ma dokumentacji ich źródeł.” Taki scenariusz nie jest teoretyczny. Dyrektywa CSRD nakłada obowiązek zewnętrznej atestacji raportów ESG przez niezależnego biegłego rewidenta — i audytor nie podpisuje się pod danymi, do których nie ma ścieżki weryfikacji. Ładny PDF nie wystarczy.

Ten artykuł pokazuje, jak zbudować ścieżkę audytową, która realnie działa.

Czym jest atestacja raportu ESG i kto jej dokonuje?

Atestacja (assurance) to niezależna weryfikacja rzetelności danych ESG przez biegłego rewidenta. To nie jest korekta edytorska. To weryfikacja na poziomie zbliżonym do audytu finansowego.

Zgodnie z CSRD raporty poddawane są najpierw tzw. ograniczonej pewności (limited assurance). Oznacza to, że audytor sprawdza wybrane procesy, wykonuje testy analityczne i weryfikuje próbki danych. Nie zagłębia się w każdą fakturę — ale jeśli zapyta o źródło konkretnej liczby i nie otrzyma odpowiedzi, wyda opinię negatywną lub z zastrzeżeniami.

Docelowo CSRD przewiduje przejście na pełną pewność (reasonable assurance) — wtedy weryfikacja obejmie wszystkie kontrole wewnętrzne i szczegółowe testowanie danych. Termin adopcji unijnego standardu atestacji to najpóźniej 1 października 2026 r.

Kto przeprowadza atestację? Biegły rewident lub akredytowany dostawca usług atestacyjnych — podmiot niezależny od firmy, z uprawnieniami potwierdzającymi znajomość standardów ESRS i metodologii ESG.

Co audytor ESG sprawdza?

Zanim zaczniesz budować dokumentację, musisz wiedzieć, czego audytor szuka. Oto lista konkretnych elementów weryfikacji:

Spójność metodologii

Audytor sprawdzi, czy te same typy emisji obliczasz tą samą metodą w każdym roku. Zmiana wskaźnika emisji bez udokumentowanego uzasadnienia jest nieprawidłowością. Wskaźniki KOBiZE dla Polski są aktualizowane co roku — zmiana wartości musi być odnotowana wraz z datą i źródłem.

Identyfikowalność każdej liczby

Każda wartość w raporcie powinna mieć przypisane: źródło danych (faktura, protokół serwisowy, ankieta dostawcy), datę pobrania, osobę odpowiedzialną i metodę obliczeń. Dane z pliku Excel bez historii zmian nie spełniają tego wymogu.

Czytaj dalej:  Zielone kredyty dla MŚP: które banki oferują lepsze warunki?

Kompletność zakresu

Audytor sprawdzi, czy raport obejmuje wszystkie wymagane kategorie emisji i wszystkie lokalizacje firmy. Brak danych z jednego zakładu produkcyjnego lub pominięcie emisji ucieczkowych z klimatyzacji to błąd, który może skutkować zastrzeżeniem w opinii.

Zgodność ujawnień z politykami wewnętrznymi

Jeśli raport deklaruje politykę zerowej tolerancji dla dyskryminacji — audytor poprosi o dokument tej polityki, datę jej przyjęcia i dowód jej komunikacji wśród pracowników. Słowa w raporcie muszą mieć pokrycie w dokumentach.

Dokumentacja analizy istotności (DMA)

Audytor zweryfikuje, dlaczego firma uznała pewne tematy za nieistotne i je pominęła. Decyzje w analizie podwójnej istotności muszą być udokumentowane i uzasadnione — nie oparte na przekonaniu zarządu, lecz na udokumentowanym procesie.

Dlaczego Excel nie wystarczy do atestacji?

Plik Excel nie rejestruje historii zmian:

  • Nie wiadomo, kto zmienił wartość, kiedy i dlaczego.
  • Brak mechanizmu zatwierdzania danych przez uprawnioną osobę.
  • Nie ma powiązania z dokumentami źródłowymi.

Przy limited assurance audytor może jeszcze zaakceptować Excel jako narzędzie zbierania danych — pod warunkiem, że istnieje dodatkowa dokumentacja wspierająca każdą wartość. Przy reasonable assurance Excel jako jedyne narzędzie nie przejdzie.

Co zamiast Excela? Firma może użyć:

  • Rozbudowanego systemu ERP z modułem ESG — jeśli firma już używa SAP, Oracle lub podobnego systemu, warto zapytać o dostępne moduły.
  • Strukturyzowanej dokumentacji w folderach z kontrolą wersji — minimum operacyjne dla MŚP, które nie mogą zainwestować w platformę.

Jak zbudować ścieżkę audytową krok po kroku?

Przypisz właścicieli danych w każdym obszarze

Każdy wskaźnik ESG musi mieć przypisaną konkretną osobę odpowiedzialną za jego zbieranie i aktualizację. Nie „dział HR” — konkretny pracownik. Stwórz macierz RACI (Responsible, Accountable, Consulted, Informed) dla wszystkich danych.

Stwórz rejestr źródeł danych

Dla każdego wskaźnika opisz: skąd pochodzi dane (jaki system, jaki dokument), jak często jest aktualizowane, jaką metodą obliczane i kto zatwierdza wartość finalną. Ten rejestr to pierwszy dokument, którego zażąda audytor.

Czytaj dalej:  Klient żąda danych emisyjnych w 30 dni? Oto plan działania

Archiwizuj dokumenty źródłowe

Faktury za energię i paliwo, protokoły serwisowe klimatyzatorów z wpisami uzupełnionych czynników, ankiety od dostawców do Zakresu 3, raporty z systemu HR — wszystkie muszą być archiwizowane i dostępne na żądanie. Rekomendowany okres przechowywania to minimum 5 lat.

Udokumentuj metodologię w „księdze metodyki”

To wewnętrzny dokument opisujący: które wskaźniki KOBiZE stosujesz, dlaczego wybrałeś metodę lokalizacyjną lub rynkową dla Zakresu 2, jak zbierasz dane z łańcucha dostaw, jakie założenia przyjmujesz przy szacowaniu brakujących danych. Aktualizuj ten dokument przy każdej zmianie metodyki.

Wdroż procedurę zatwierdzania danych

Przed złożeniem raportu każdy wskaźnik powinien przejść wewnętrzny przegląd: weryfikację przez właściciela danych, akceptację przez controllera lub CFO i zatwierdzenie przez zarząd. Udokumentuj ten proces — daty, osoby, wersje raportu.

Najczęstsze błędy, które skutkują zastrzeżeniem audytora

Emisje ucieczkowe z klimatyzacji pominięte lub obliczone bez protokołów serwisowych. F-gazy mają współczynnik GWP nawet 2088 dla czynnika R410a — pominięcie ich zmienia wynik w Zakresie 1 o dziesiątki ton CO₂e. Audytor to sprawdzi.

Dane za poprzedni rok zmienione bez śladu korekty. Korekty są dopuszczalne i konieczne — ale muszą być opisane: co zmieniono, dlaczego i jak wpłynęło na dane historyczne. Bez tej dokumentacji audytor podważy porównywalność danych.

Polityki ESG przyjęte „na potrzeby raportu” bez dowodów wdrożenia. Data przyjęcia polityki trzy tygodnie przed złożeniem raportu i brak szkoleń dla pracowników to klasyczna pułapka. Audytor nie atestuje deklaracji — atestuje działania.

Dane z Zakresu 3 oparte wyłącznie na estymacji, bez ankiet od dostawców. Szacowanie całego Zakresu 3 metodą spend-based jest dopuszczalne na początku — ale audytor sprawdzi, czy firma podjęła działania w celu uzyskania danych bezpośrednich od kluczowych dostawców. Zakres 3 to często ponad 70% śladu węglowego — brak jakiegokolwiek wysiłku zbierania danych jest podejrzany.

Brak dokumentacji analizy DMA. Firma, która pominęła np. obszar różnorodności biologicznej i nie ma pisemnego uzasadnienia tej decyzji, naraża się na zastrzeżenie. Audytor zawsze weryfikuje, które tematy zostały odrzucone i dlaczego.

Czytaj dalej:  Raport ESG: jak się przygotować w 7 krokach?

Jak doradca ESG może pomóc w budowaniu ścieżki audytowej?

Dobry doradca nie kończy pracy na dostarczeniu raportu. Buduje infrastrukturę danych, która pozwoli firmie samodzielnie raportować w kolejnych latach.

W Green Impact ESG jako element Raportowania ESG dostarczamy:

  • Rejestr źródeł danych i macierz odpowiedzialności dla wszystkich wskaźników.
  • Wzorcową „księgę metodyki” dostosowaną do specyfiki branży i skali firmy.
  • Procedury zbierania danych z łańcucha dostaw (Zakres 3).
  • Szkolenia wewnętrzne dla zespołów odpowiedzialnych za zbieranie danych — HR, finanse, zakupy, produkcja.
  • Wsparcie podczas samej atestacji — przygotowanie odpowiedzi na pytania biegłego rewidenta.

Ścieżka audytowa to nie koszt dodatkowy — to zabezpieczenie przed kosztowną poprawką całego raportu.

Kiedy zacząć budować ścieżkę audytową?

Rok przed złożeniem pierwszego raportu.

Pierwsze firmy objęte CSRD złożyły raporty za rok 2024 w 2025 r. Kolejna fala — duże firmy niebędące dotychczas pod NFRD — raportuje za 2025 rok w 2026 r. Notowane MŚP wchodzą w obowiązek za rok 2026 z publikacją w 2027 r.

Jeśli Twoja firma raportuje za 2026 rok — dokumentacja powinna powstawać od stycznia 2026. Nie od listopada, gdy raport jest już pisany.

Dla MŚP nienotowanych, które dobrowolnie stosują VSME lub odpowiadają na ankiety kontrahentów — te same zasady dokumentacji działają na mniejszą skalę. Kontrahent korporacyjny może poprosić o dowody danych, które dostarczyłeś w ankiecie. Brak dokumentacji = brak wiarygodności = ryzyko utraty kontraktu.

Zrób to razem z nami

Green Impact ESG specjalizuje się we wspieraniu MŚP w budowaniu systemów raportowania, które są jednocześnie proporcjonalne do skali firmy i wytrzymałe na weryfikację przez atestanta.

Umów bezpłatną rozmowę wstępną, podczas której ocenimy Twój punkt startowy i powiemy, co konkretnie musisz zbudować przed pierwszą atestacją.

👉 Skontaktuj się z nami — bez zobowiązań, z konkretnymi odpowiedziami.

Kategoria:

Ostatnie wpisy

Bezpłatna konsultacja ESG

Porozmawiajmy – podpowiemy od czego zacząć. Spotkanie bez opłat.

Poznaj nas
Umów spotkanie

Kategorie

Potrzebujesz wsparcia w zakresie ESG?

Skontaktuj się z nami – szybko odpowiemy i zaproponujemy niezobowiązujące spotkanie.

Bez zbędnego formalizmu, konkretnie o Twojej sytuacji.

Umów bezpłatną konsultację