CSRD Assurance Requirements: Limited vs Reasonable Assurance Explained

Introduzione

Lei, come responsabile della conformità o CISO di una banca italiana, può intraprendere un'azione pratica nei prossimi dieci minuti: rivedere la documentazione relativa alla gestione dei rischi aziendali associati alle norme CSRD (Sistema di Rapporto sulle Risorse e le Responsabilità Corporative). È importante perché, con il nuovo CSRD entrato in vigore, la gestione e l'assicurazione delle informazioni finanziarie diventano più stringenti, con effetti diretti sulle banche italiane come UniCredit, Intesa Sanpaolo e Mediobanca.

La conformità alle normative CSRD riveste importanza cruciale per i servizi finanziari europei, poiché comporta rischi concreti in termini di multe, fallimenti nei controlli di audit, interruzioni operative e danno alla reputazione. Ad esempio, gli errori nella documentazione relativa alle responsabilità ambientali e sociali possono portare a multe fino al 2% del fatturato globale, somme che si traducono in milioni di euro per le grandi banche.

Il Problema Fondamentale

Superiamoo la descrizione di superficie per affrontare il costo reale: calcoliamo l'EUR perso, il tempo sprecato e l'esposizione al rischio. Molte organizzazioni sbagliano nell'interpretare i livelli di assicurazione richiesti dai regolamenti CSRD. La distinzione tra garanzia limitata e ragionevole ("Limited Assurance" vs "Reasonable Assurance") ha implicazioni concrete sulle procedure interne e sulla documentazione.

Riferendoci ai regolamenti, per quanto riguarda il "Limited Assurance", si parla di una certificazione fornita dall'ente di revisione che conferma l'accuratezza delle informazioni solo in parte. D'altro canto, il "Reasonable Assurance" richiede una verifica più ampia e approfondita, offrendo una garanzia più elevata sull'esattezza complessiva delle informazioni. Secondo gli standard ISSA 5000, ad esempio, il livello di assicurazione dovrebbe riflettere la complessità e il rischio associati alla specifica organizzazione.

L'indebita interpretazione può portare a risparmi apparenti nella fase di rilascio dei rapporti, ma a spese di investimenti più significativi in seguito, per raddrizzare il tiro. Un esempio concreto: una banca potrebbe risparmiare 50.000 euro scegliendo l'assicurazione limitata, ma potrebbe dover affrontare costi aggiuntivi di 200.000 euro per riestrarne la procedura al livello di assicurazione ragionevole, nonché potenziali multe per non conformità.

Perché è Urgente Ora

Le modifiche recenti al regolamento, come l'introduzione del NIS2 (Regolamento sull'interoperabilità delle informazioni di sicurezza) e l'aggiornamento del GDPR, insieme alle azioni di sorveglianza da parte di regolatori come la Banca d'Italia e la CONSOB, rendono più pressante la conformità alle nuove regole di assicurazione. Inoltre, la pressione del mercato, con clienti sempre più sensibili alle certificazioni di sostenibilità, esige un livello di trasparenza e di affidabilità elevato.

L'attuale discrepanza tra le capacità di molte organizzazioni finanziarie e le esigenze dei regolatori è significativa. Secondo uno studio, solo il 35% delle banche italiane soddisfa pienamente i requisiti di assicurazione ragionevole. Ciò significa che due banche su tre potrebbero essere esposte a rischi significativi e non sono preparate a gestire le nuove responsabilità imposte dal CSRD.

Per renderla pratica, immagini se Lei come responsabile della conformità dovesse presentare la documentazione alla prossima riunione del consiglio di amministrazione. Sarebbe nel suo interesse assicurarsi che i rapporti finanziari siano basati su un'assicurazione ragionevole, al fine di evitare eventuali incongruenze e rischi associati.

In sintesi, il passaggio dal "Limited Assurance" al "Reasonable Assurance" non è solo una sfida tecnica, ma rappresenta anche un'opportunità per migliorare la governance e la trasparenza dell'organizzazione, nonché per distinguersi nel mercato competitivo del settore finanziario europeo.

Il Framework di Soluzione

Per affrontare il compito di garantire in modo adeguato i requisiti della CSRD, è essenziale adottare un approccio strutturato. Ecco come procedere passo dopo passo:

Passo 1: Mappare i Rischi e gli Obiettivi
Prima di tutto, Lei deve identificare quali sono i rischi di Compliance pertinenti per la propria banca o società finanziaria. Questa mappa dovrebbe includere tutti gli obiettivi di Compliance correlati a CSRD, ESRS e ISSA 5000.

Passo 2: Valutare il Livello di Garanzia Richiesto
Ogni obiettivo di Compliance ha un livello di garanzia associato. Ad esempio, la garanzia limitata potrebbe essere sufficiente per alcuni aspetti della CSRD, mentre per altri potrebbe essere richiesta una garanzia ragionevole.

Passo 3: Creare una Strategia di Garanzia
Una volta che Lei conosce i requisiti di garanzia, può sviluppare una strategia per soddisfarli. Questo include la definizione di processi interni, la formazione del personale e l'implementazione di controlli di garanzia.

Passo 4: Implementare i Controlli di Garanzia
Dopo aver creato la strategia, è il momento di implementare i controlli di garanzia. Questi possono includere controlli di assicurazione interni, controlli basati su processi e controlli di automazione.

Passo 5: Verificare e Testare i Controlli
Con i controlli in vigore, il passaggio successivo è verificare e testarli regolarmente per assicurarsi che funzionino come previsto.

Passo 6: Preparare la Documentazione
Infine, Lei deve preparare la documentazione che dimostri il rispetto dei requisiti di garanzia. Questo include la documentazione dei processi, i risultati dei test dei controlli e la documentazione del processo decisionale.

Quello che Lei considera "buono" rispetto a "solo superato" è il risultato di una strategia ben definita e di controlli ben implementati che soddisfano pienamente i requisiti di garanzia. "Solo superato" è quando i requisiti sono soddisfatti al minimo, spesso a spese della qualità e della complessità dei controlli.

Errori Comunemente Commessi

Gli errori comuni commessi dalle organizzazioni includono:

1. Identificazione Errata dei Rischi e degli Obiettivi
   Alcune organizzazioni non identificano correttamente i rischi e gli obiettivi di Compliance pertinenti. Questo porta a una pianificazione errata dei processi e dei controlli di garanzia. Invece di questo, Lei dovrebbe mappatura dettagliata dei rischi e degli obiettivi come descritto nel primo passo.

2. Definizione Approssimata della Strategia di Garanzia
   Un'altra area comune dove si commettono errori è nella definizione approssimata della strategia di garanzia. Ciò porta a controlli insufficienti o inappropriati. Lei dovrebbe invece sviluppare una strategia di garanzia dettagliata e ben pianificata come descritto nel secondo passo.

3. Mancanza di Verifica e Test dei Controlli
   Molte organizzazioni non verificano o testano abbastanza spesso i loro controlli di garanzia. Questo può portare a un'evasione dei controlli o ad un'attuazione non adeguata. Lei dovrebbe invece verificare e testare i controlli regolarmente come descritto nel quinto passo.

4. Documentazione Scarsa o Inadeguata
   Infine, manca spesso una documentazione adeguata dei processi e dei controlli di garanzia. Questo può rendere difficile dimostrare il rispetto dei requisiti di garanzia agli auditori. Lei dovrebbe invece preparare una documentazione completa come descritto nel sesto passo.

5. Rielaborazione Continua dei Controlli
   Ulteriori errori includono l'adozione di controlli statici e la mancanza di rielaborazione continua dei processi di garanzia. In un ambiente in rapida evoluzione come quello finanziario, è fondamentale che i controlli siano aggiornati regolarmente e siano in grado di adattarsi alle nuove esigenze di Compliance.

6. Falta di Monitoraggio e Reporting degli Indicatori di Performance
   Un altro aspetto comunemente trascurato è la mancanza di un sistema di monitoraggio e reporting adeguato per gli indicatori di performance dei controlli di garanzia. Questo può rendere difficile rilevare i problemi in anticipo e intervenire tempestivamente.

7. Mancanza di Investimenti nella Tecnologia di Compliance
   Infine, i controlli di garanzia richiedono risorse e investimenti tecnologici adeguati. Negli ultimi tempi, molte banche italiane come UniCredit, Intesa Sanpaolo e Mediobanca hanno compreso l'importanza di investire nella tecnologia per migliorare la Compliance. La mancanza di questi investimenti può portare a una gestione dei rischi inefficiente e non conforme ai requisiti di garanzia.

Strumento e Approcci

Approccio Manuale
Il primo approccio che considereremo è l'approccio manuale. Questo include la documentazione manuale, la verifica manuale dei controlli e la preparazione manuale della documentazione.

I pros di questo approccio includono la semplicità di implementazione e la manutenibilità. Tuttavia, i cons includono la mancanza di scalabilità, la bassa precisione e il tempo richiesto per l'esecuzione manuale delle attività. Questo approccio funziona bene per organizzazioni piccole o per controlli di garanzia di minor rilevanza.

Piattaforme di Compliance Automatizzate
L'approccio successivo da considerare è l'utilizzo di piattaforme di Compliance automatizzate. Queste piattaforme possono automatizzare molti dei processi e delle attività di Compliance, come la documentazione, la verifica dei controlli e la preparazione della documentazione.

I pro di questo approccio includono la scalabilità, la precisione e il risparmio di tempo. Tuttavia, i cons includono il costo iniziale e la complessità di implementazione. Questo approccio è particolarmente adatto per organizzazioni di medie grandi dimensioni o per controlli di garanzia di rilevanza elevata.

Quando si sceglie una piattaforma di Compliance automatizzata, è importante cercare le seguenti caratteristiche:

• Compatibilità con i requisiti normativi della CSRD, ESRS e ISSA 5000
• Capacità di automatizzare la documentazione, la verifica dei controlli e la preparazione della documentazione
• Integrazione con i sistemi esistenti dell'organizzazione
• Supporto per la garanzia limitata e ragionevole
• Protezione dei dati e privacy in conformità con la normativa GDPR e Lega PD

In questo contesto, Matproof rappresenta una valida soluzione per le banche italiane e per le società finanziarie in Europa. Matproof è una piattaforma di automazione della Compliance progettata specificamente per i servizi finanziari dell'UE. Offre la generazione di policy alimentata da IA in tedesco e inglese, la raccolta automatica di prove dai fornitori di servizi cloud, l'agente di conformità degli endpoint per il monitoraggio dei dispositivi e la residenza dei dati del 100% nell'UE (ospitata in Germania). Inoltre, Matproof soddisfa i requisiti di normativi come DORA, SOC 2, ISO 27001, GDPR e NIS2, rendendola una scelta ideale per gli istituti finanziari che cercano di garantire i requisiti di garanzia in modo efficiente e in conformità con la normativa.

Cominciare: I Tuoi Prossimi Passi

La gestione delle nuove disposizioni di assicurazione per la direttiva CSRD può sembrare un compito intimidente, ma seguendo un piano d'azione chiaro e concreto, potete prepararvi ed essere pronti per questi cambiamenti. Ecco un piano in cinque passaggi che potete seguire questa settimana:

1. Analisi dei requisiti: Esaminare attentamente i requisiti di assicurazione per la CSRD (Direttiva europea) e l'ESRS (European Sustainability Reporting Standards) e confrontarli con i vostri attuali processi di assicurazione. Dovete determinare quali sono le aree in cui avete bisogno di migliorare.

2. Consultazione dei fornitori: Contattare i vostri fornitori di servizi di assicurazione per discutere i cambiamenti necessari e ottenere un'idea delle sfide logistiche e del costo associato.

3. Struttura di governance: Creare una struttura di governance interna che copra i nuovi requisiti di assicurazione. Questa struttura deve comprendere ruoli chiari e responsabilità condivise.

4. Strategia di comunicazione interna ed esterna: Sviluppare un piano di comunicazione per informare gli stakeholder interni ed esterni dei cambiamenti e distogliere i loro timori o preoccupazioni.

5. Valorizzazione delle competenze interne: Identificare i membri del vostro team che hanno competenze in materia di assicurazione e di sostenibilità, e sviluppare un piano di formazione per aumentare queste competenze all'interno dell'azienda.

Per approfondimenti ulteriori, consigliamo di consultare pubblicazioni ufficiali come il sito della Commissione Europea, che fornisce dettagli sui regolamenti e le direttive, e la Banca d'Italia, che offre linee guida specifiche per le banche italiane.

Domande Frequenti

Ecco alcune delle domande più frequenti relative alle nuove disposizioni di assicurazione per la CSRD, con risposte dettagliate e pratiche che si basano sui testi delle normative:

1. "Cosa vuol dire 'assicurazione limitata' e quando è appropriato utilizzarla?"

   L'"assicurazione limitata" (Limited Assurance) si riferisce a un livello di lavoro minore rispetto all'"assicurazione ragionevole" (Reasonable Assurance). Viene utilizzata quando l'organizzazione considera che l'informazione richiesta sia di bassa rilevanza o quando l'efficacia dei controlli di processo non può essere valutata con certezza. Secondo l'ISSA 5000, può essere applicata quando i controlli di processo sono stati progettati per garantire che i dati siano accurati, ma senza uno scopo di assicurazione ragionevole.

2. "Come posso determinare se il mio rapporto di sostenibilità necessita di assicurazione ragionevole o limitata?"

   La decisione di utilizzare l'assicurazione limitata o ragionevole dipende dalla rilevanza e dalla complessità delle informazioni finanziarie e non finanziarie nel rapporto. Secondo la CSRD, se le informazioni finanziarie e non finanziarie costituiscono una parte sostanziale e rilevante della relazione, allora l'assicurazione ragionevole è necessaria. Gli esperti di assicurazione dovrebbero essere coinvolti per fornire una stima professionale.

3. "Qual è la differenza tra l'assicurazione di un'unica entità e quella di un gruppo?"

   Nel caso di un'unica entità, l'assicurazione si basa principalmente sulle informazioni finanziarie e non finanziarie generate all'interno dell'azienda. Per un gruppo, l'assicurazione deve coprire le informazioni finanziarie consolidate e le informazioni chiave per assicurare la coerenza e l'affidabilità delle informazioni presentate.

4. "Come posso preparare il mio team per soddisfare i nuovi requisiti di assicurazione?"

   Preparare il proprio team implica fornire formazione sulle nuove normative, sviluppare competenze specifiche e garantire che siano allineati con i nuovi processi di assicurazione. Potete anche considerare l'assunzione di consulenti esterni per supportare il processo di formazione e di implementazione.

5. "Qual è il ruolo della Garante Privacy nella nuova direttiva CSRD?"

   La Garante Privacy ha un ruolo fondamentale nel garantire che le informazioni raccolte e presentate nell'ambito della CSRD siano trattate in conformità con le norme di privacy e protezione dei dati previste dal GDPR e dalle leggi nazionali. Questa include la supervisione e il controllo del trattamento dei dati personali, nonché la fornitura di consigli e la difesa dei diritti degli interessati.

Principali Appuntamenti

In sintesi, ecco alcuni punti chiave che dovreste tenere a mente dopo aver letto questo articolo:

• L'assicurazione limitata e ragionevole hanno livelli diversi di verifica e implicazioni diverse per la vostra organizzazione.
• Il vostro piano di assicurazione deve riflettere la complessità e la rilevanza delle informazioni nella vostra relazione di sostenibilità.
• La formazione del personale e la creazione di una struttura di governance adeguata sono fondamentali per soddisfare i nuovi requisiti.
• Potete utilizzare strumenti come Matproof per automatizzare i processi di assicurazione e di conformità, rendendo più efficiente il vostro percorso verso la conformità con la CSRD.
• Per una valutazione gratuita e una consultazione dettagliata sulle possibilità di Matproof, visitate https://matproof.com/contact.