В трёх предыдущих публикациях мы разобрали, как устроен COSO ERM 2017, почему ESG-рейтинги влияют на стоимость капитала и что представляет собой национальный ЭКГ-стандарт. Логика была выстроена, факты приведены, выводы сформулированы. Но остался один вопрос, который наверняка возник у каждого, кто работает во внутреннем аудите не первый год. Звучит он примерно так: «Я получил файл с данными для анкеты рейтингового агентства. На что конкретно я должен смотреть? Какие десять ячеек в этой таблице создают наибольший риск?»
Вопрос абсолютно законный. Пока внутренний контроль ограничивается проверкой факта наличия политик и своевременности сдачи форм, он выполняет функцию делопроизводителя. Как только он начинает проверять достоверность тех цифр, на основе которых внешний провайдер присваивает компании публичную оценку, он становится частью системы управления рисками. Об этом и поговорим.
Почему ESG-данные — это не бухгалтерия
Начнём с того, что отличает нефинансовую отчётность от привычной бухгалтерской. Отличий три, и все они имеют прямое отношение к методологии проверки.
Первое различие касается источников информации. Финансовая отчётность готовится централизованно, по единой учётной политике, под контролем главного бухгалтера или финансового директора. Данные для ESG-анкеты стекаются из разных мест: экологический блок ведёт служба главного инженера или эколог, социальный блок размазан между кадровой службой и отделом охраны труда, управленческий блок требует участия корпоративного секретаря и юристов. Каждое подразделение работает в своей методологической системе координат. Унификации, сопоставимой с бухгалтерским учётом, нет и близко.
Второе различие — нормативная база верификации. Для финансовой отчётности существуют Международные стандарты аудита, обязательные к применению. Для ESG-данных в России на сегодняшний день нет стандарта заверения, который по строгости и обязательности был бы сопоставим с МСА. Банк России в информационном письме от 30 июня 2023 года № ИН-02-05/46 дал рекомендации по методологии присвоения рейтингов, однако стандарт независимого заверения нефинансовой отчётности всё ещё находится в процессе формирования. Практикующий аудитор оказывается в ситуации, когда чётких правил игры пока нет, а ответственность за достоверность данных уже существует.
Третье различие — природа самих показателей. Оборот компании, чистая прибыль, EBITDA — это результаты арифметических операций над первичными документами, которые можно проверить встречной сверкой. Показатель «углеродоёмкость продукции» или «коэффициент текучести ключевого персонала» требует не только корректного счёта, но и методологически верного определения границ. Что именно включается в периметр? Какие коэффициенты пересчёта используются? Как агрегируются данные по разным производственным площадкам, работающим по разным технологиям? Ответы на эти вопросы лежат за пределами бухгалтерского учёта.
НРА в декабре 2023 года обновило методологию присвоения ESG-рейтингов, приведя её в соответствие с рекомендациями Банка России. Критерии оценки по каждому компоненту были пересмотрены, расширены и конкретизированы. С практической точки зрения это означает, что методология рейтингового агентства фактически превращается в готовый чек-лист для проверки. Аудитору не нужно изобретать критерии — они уже сформулированы.
Три компонента — три профиля риска
Рассмотрим, как устроена ESG-оценка с точки зрения задач внутреннего аудита. Каждая компонента порождает свой тип риска недостоверности.
Начну с экологического блока. Основная проблема здесь — ошибка в методике расчёта. Выбросы парниковых газов, объёмы сбросов загрязняющих веществ, масса образованных отходов — все эти показатели редко можно извлечь напрямую из бухгалтерской проводки. Они требуют применения коэффициентов пересчёта, учёта косвенных выбросов, перевода натуральных единиц в условные. В глоссарии Банка России чётко разделены прямые выбросы от источников, контролируемых компанией (Scope 1), косвенные энергетические выбросы от приобретаемой электроэнергии (Scope 2) и прочие косвенные выбросы по цепочке создания стоимости (Scope 3). Для каждого уровня охвата требуется собственная методика сбора и верификации.
Что здесь проверяет внутренний аудитор. Во-первых, соответствие методики расчёта отраслевому стандарту или методологии конкретного рейтингового агентства. Во-вторых, полноту периметра — все ли производственные площадки, дочерние структуры и арендованные активы попали в расчёт. В-третьих, наличие первичной документации, подтверждающей исходные данные: журналы учёта, акты, показания приборов, счета на электроэнергию. В-четвёртых, корректность применения пересчётных коэффициентов, включая коэффициенты перевода в CO₂-эквивалент.
Теперь о социальной компоненте. Здесь главный риск иного рода — неполнота или несопоставимость данных по персоналу. Текучесть кадров, средняя заработная плата, количество несчастных случаев, расходы на обучение сотрудников могут рассчитываться по совершенно разным методикам даже в рамках одной группы компаний. Например, одно дочернее общество считает текучесть как отношение уволенных к среднесписочной численности на конец периода, другое — к средней за период. Разница в методике даёт расхождение, которое рейтинговое агентство интерпретирует как ухудшение показателя, хотя на самом деле изменился только способ расчёта.
Внутренний аудитор в социальном блоке проверяет унификацию методик по всем юридическим лицам группы. Убеждается, что в расчёт включены все категории персонала: постоянные сотрудники, временные, работающие по договорам гражданско-правового характера. Подтверждает данные кадрового учёта первичными документами — приказами, табелями, расчётными ведомостями. И обязательно смотрит на сопоставимость данных за разные периоды: не менялась ли методика в течение анализируемого отрезка.
Управленческая компонента устроена иначе. Базовый риск здесь — разрыв между декларацией и реальностью. Рейтинговые агентства оценивают не просто наличие кодекса корпоративного управления или антикоррупционной политики как документа. Их интересует, работают ли эти механизмы на практике. Согласно рекомендациям Банка России, оценка G-компоненты охватывает структуру собственности, органы управления, стратегический процесс, систему вознаграждения, а также управление рисками и внутренний контроль. Ключевой вопрос, на который должен ответить аудитор: есть ли документальные доказательства того, что заявленные процедуры действительно функционируют.
Проверке подлежат протоколы заседаний комитетов совета директоров, в повестку которых включались вопросы устойчивого развития. Наличие утверждённой и актуализированной ESG-стратегии. Внедрение системы ключевых показателей эффективности для менеджмента, привязанных к ESG-метрикам, с подтверждением в распорядительных документах. Факт проведения внешней оценки системы внутреннего контроля или управления рисками.
Что добавляет ЭКГ-стандарт
ГОСТ Р 71198-2023, которому была посвящена отдельная публикация, добавляет в эту картину принципиально новый элемент — автоматический скоринг на основе государственных информационных систем. Данные Федеральной налоговой службы, Росстата, Казначейства, Социального фонда России используются для расчёта базового рейтинга, причём компания в этом процессе не участвует.
Для внутреннего аудита это означает появление дополнительного контура проверки. Теперь нужно сверять данные, которые компания подаёт в госорганы, с фактическим положением дел. Ошибка в налоговой декларации, несвоевременная сдача статистической формы, некорректные сведения о заработной плате в отчётности перед Социальным фондом — всё это напрямую, без какого-либо участия самой компании, снижает её ЭКГ-рейтинг.
В периметре ЭКГ внутренний аудитор дополнительно контролирует своевременность и полноту сдачи всех форм отчётности в государственные органы. Выявляет расхождения между данными управленческого учёта и официальной отчётностью по ключевым показателям. Проверяет наличие и корректность документов, подтверждающих социальные и благотворительные проекты, которые компания планирует заявить в анкетной части.
Десять ячеек, которые нельзя пропустить
Теперь перехожу к прямому ответу на вопрос, поставленный в начале. Вот десять показателей, наиболее чувствительных к искажениям и оказывающих максимальное влияние на итоговый рейтинг. Порядок перечисления отражает не степень важности, а логику движения от экологического блока через социальный к управленческому и государственному.
Первый показатель — выбросы парниковых газов по Scope 1 и Scope 2. Проверяется методика расчёта, коэффициенты пересчёта, полнота периметра, документальное подтверждение исходных данных, включая счета на топливо и энергию. Банк России в своём глоссарии даёт чёткие определения обоих охватов, и отступать от них нельзя.
Второй — углеродоёмкость продукции. Здесь критически важна корректность расчёта знаменателя, то есть объёма произведённой продукции в натуральном выражении. Типичная ошибка, которую я многократно наблюдал на практике — смешение тонн, кубометров и условных единиц без приведения к единой системе измерения.
Третий показатель — текучесть персонала. Проверяется методика расчёта и её единообразие по всем юридическим лицам группы. Если в разных подразделениях текучесть считают по-разному, агрегированный показатель становится бессмысленным.
Четвёртый — средняя заработная плата. Необходимо убедиться, что в расчёт включены все выплаты (оклад, премии, надбавки) и все категории персонала. В методологии ЭКГ-рейтинга этот показатель сравнивается со среднерегиональным уровнем, поэтому занижение даже на несколько процентов напрямую влияет на итоговый балл.
Пятый — коэффициент частоты несчастных случаев, известный как LTIFR. Проверке подлежит корректность расчёта человеко-часов и полнота учёта всех происшествий, включая лёгкие травмы и инциденты с участием подрядчиков.
Шестой показатель — наличие и фактическое выполнение экологических программ. Недостаточно показать утверждённый документ. Нужно подтвердить, что под программу выделен бюджет и существуют отчёты о её выполнении с приложением подтверждающих документов.
Седьмой — доля независимых директоров в совете директоров. Проверяется корректность определения независимости в соответствии с критериями Банка России или Кодекса корпоративного управления, а также наличие подтверждающих документов — анкет, протоколов, заключений.
Восьмой — антикоррупционная политика и практика её применения. Недостаточно предъявить текст политики. Нужно подтвердить, что сотрудники ознакомлены с ней под подпись, что проводилось обучение, что существует журнал учёта сообщений о нарушениях и записи о реально проведённых проверках.
Девятый показатель, специфичный именно для ЭКГ-рейтинга, — налоговая дисциплина. Проверяется отсутствие задолженности по налогам и сборам с подтверждением справкой из ФНС, своевременность сдачи деклараций, отсутствие крупных доначислений по актам налоговых проверок.
Десятый — деловая репутация, также для ЭКГ. Отслеживается наличие в открытых источниках информации о судебных спорах, административных правонарушениях, фактах включения в реестр недобросовестных поставщиков.
Технические показатели и проблема компетенции
После перечисления этих десяти пунктов у любого практикующего аудитора с финансовым образованием возникает резонный вопрос. Открывая методику расчёта выбросов парниковых газов, он видит там уравнения химических реакций, инженерные допущения и коэффициенты, смысл которых лежит далеко за пределами его профессиональной подготовки. Как аудитор-финансист может оценить корректность коэффициента пересчёта метана в CO₂-эквивалент?
Ответ на этот вопрос содержится не в учебнике по химии, а в Международном стандарте аудита 620 «Использование работы эксперта аудитора». Стандарт формулирует правило предельно чётко: если для получения достаточных и надлежащих аудиторских доказательств требуется квалификация в области, отличной от бухгалтерского учёта и аудита, аудитор обязан рассмотреть вопрос о привлечении эксперта. Это не рекомендация и не опция. Это профессиональная обязанность, закреплённая в стандарте.
МСА 620 требует от аудитора оценить компетентность, возможности и объективность привлекаемого эксперта, а также согласовать с ним характер, объём и цели его работы. Если аудитор не привлёк эксперта при проверке технически сложных ESG-данных и при этом выдал заключение без модификаций, он фактически принял на себя ответственность за область, в которой не обладает необходимой квалификацией. Это прямое нарушение профессиональных стандартов.
Возникает следующий вопрос: что в такой ситуации аудитор может и должен сделать самостоятельно, не перекладывая всю работу на эксперта? МСА 620 требует от аудитора выполнения собственных процедур в отношении работы эксперта. Применительно к ESG-данным это означает четыре направления.
Первое — проверка процесса, а не содержания технических расчётов. Аудитор не проверяет, правильно ли эксперт применил коэффициент пересчёта метана. Аудитор проверяет, что методика расчёта утверждена уполномоченным органом компании, что она применяется единообразно во всех подразделениях и за все периоды, что исходные данные для расчёта берутся из верифицируемых источников и что сам расчёт максимально автоматизирован. Чем меньше ручного вмешательства, тем ниже риск ошибки.
Второе направление — проверка периметра консолидации. Это зона прямой компетенции финансиста. Аудитор устанавливает, все ли производственные активы, консолидируемые в финансовой отчётности, включены в расчёт выбросов. Плюс арендованные мощности, если это предусмотрено методологией для Scope 1 и Scope 2. Пропуск крупного дочернего общества — это ошибка периметра, которую аудитор с финансовым бэкграундом способен выявить без привлечения технического специалиста.
Третье — сверка с косвенными данными, понятными финансисту. Объём выбросов должен коррелировать с объёмом производства в натуральном выражении. Платежи за негативное воздействие на окружающую среду не должны противоречить заявленным объёмам выбросов. Счета на электроэнергию и топливо в денежном выражении должны соотноситься с заявленными объёмами потребления энергоресурсов. Это аналитические процедуры, которыми аудитор-финансист владеет в совершенстве.
Четвёртое — оценка динамики показателей. Если компания показывает снижение углеродоёмкости на тридцать процентов год к году, но при этом не меняла технологию, не обновляла оборудование и не перестраивала структуру производства, это красный флаг. Финансист, привыкший анализировать тренды в отчётности, способен заметить аномалию и запросить объяснения. Для этого не нужно разбираться в химии, достаточно владеть аналитическим мышлением.
Кто может выступить в роли эксперта? Это может быть сотрудник технической службы самой компании, если подтверждена его объективность и он не участвовал в подготовке проверяемых данных. Это может быть внешний консультант-эколог или специализированная организация. Главное требование — подтверждённая квалификация в предметной области.
Алгоритм действий аудитора в такой ситуации выглядит следующим образом. Сначала он запрашивает методику расчёта выбросов и убеждается, что она утверждена, актуальна и применяется единообразно. Затем привлекает эксперта. Получает от эксперта заключение, в котором должно быть однозначно указано: соответствует методика установленным требованиям или нет, корректно ли выполнены расчёты, полны ли исходные данные. Параллельно выполняет собственные процедуры: проверяет периметр, сверяет с косвенными показателями, анализирует динамику. На основе совокупности полученных доказательств формирует итоговый вывод.
ГОСТ Р ИСО 14010-98, устанавливающий общие принципы экологического аудита, также фиксирует это требование: аудиторская группа должна обладать совокупной компетентностью, достаточной для достижения целей проверки. Если в группе нет специалиста-эколога, его необходимо привлечь.
Алгоритм для практической работы
Задача внутреннего аудита при подготовке компании к ESG- или ЭКГ-рейтингу — не дублировать работу внешнего верификатора, а обеспечить разумную уверенность в достоверности данных до момента их передачи рейтинговому агентству. Практически это реализуется в четыре шага.
Шаг первый. Инвентаризация источников. Составляется реестр всех подразделений и конкретных лиц, ответственных за подготовку данных по каждому показателю. Фиксируется, из каких информационных систем и первичных документов извлекаются данные.
Шаг второй. Тестирование методик. Выборочно проверяется корректность расчёта показателей по утверждённым методикам. Особое внимание уделяется тем показателям, которые ранее никогда не подвергались независимой проверке. Для технически сложных показателей привлекается эксперт в соответствии с МСА 620.
Шаг третий. Сверка с внешними источниками. Данные, подаваемые в государственные органы, сверяются с данными управленческого учёта. Все выявленные расхождения документируются, по каждому существенному расхождению получаются объяснения.
Шаг четвёртый. Документирование. Готовятся рабочие документы, подтверждающие объём и результаты проверки, включая заключение привлечённого эксперта. При возникновении запроса от рейтингового агентства или внешнего аудитора эти документы становятся основным доказательством добросовестности компании.
Что в итоге
ESG-рейтинги и ЭКГ-рейтинги перестали быть добровольной историей. В 2026 году они прямо влияют на доступ к государственным закупкам, на условия банковского финансирования и в конечном счёте на стоимость капитала. Служба внутреннего контроля, не включившая верификацию нефинансовых данных в свой мандат, добровольно игнорирует значительную часть рисков компании.
Десять показателей, перечисленных выше, не исчерпывают всей картины, но представляют собой минимально необходимый набор для начала системной работы. Аудитор, который проверил эти десять позиций, уже закрывает примерно восемьдесят процентов задачи по подготовке компании к внешней оценке.
Принципиальный вывод, который следует зафиксировать: аудитор с финансовым образованием не должен и не может проверять технические расчёты самостоятельно. Его задача иного рода — организовать процесс верификации, своевременно привлечь эксперта там, где это требуется, и выполнить собственные процедуры в пределах своей профессиональной компетенции. МСА 620 даёт для этого полную и непротиворечивую методологическую базу.
Включена ли в годовой план внутреннего аудита вашей компании верификация ESG-данных? Если да, то какие показатели оказались самыми проблемными при первой же проверке? Привлекали ли вы технических экспертов для экологического блока или пытались справиться своими силами?
#ESGКонтроль #ВнутреннийАудит #ЭКГРейтинг #МСА620