جدول المحتويات
1. الإطار التنظيمي ومتطلبات التوكيد 2. الجدول الزمني والحدود للشركات 3. مستويات التوكيد والمعايير المطبقة 4. مثال عملي: شركة خدمات مالية متوسطة 5. قائمة التحقق العملية 6. الأخطاء الشائعة 7. المحتوى ذو الصلة
الإطار التنظيمي ومتطلبات التوكيد
الخطأ الأول: الاعتقاد بأن قراءة التوجيه كافية
أكثر خطأ نراه تكراراً هو أن المدقق يقرأ نص توجيه CSRD ويعتقد أنه فهم ما يُطلب منه. النص التنظيمي يُخبرك ماذا تُبلّغ. لا يخبرك كيف تتحقق. الفجوة بين الاثنين واسعة. من واقع خبرتنا، المدقق الذي يقضي أسبوعاً في قراءة التوجيه ثم يبدأ عملية التوكيد يكتشف في الأسبوع الثالث أنه يحتاج لإعادة البدء من الصفر. لأن تقييم الأهمية المزدوجة (double materiality) ليس مجرد فقرة في التوجيه. هو عملية كاملة تسبق كل شيء آخر.
المادة 19أ تحدد أن الشركات الكبيرة التي تستوفي معيارين من حدود الحجم الثلاثة تلتزم بمعايير ESRS الكاملة بداية من السنوات المالية التي تبدأ في 1 يناير 2025 أو بعده. المادة 34 توضح أن التوكيد مطلوب من المدقق القانوني أو مقدم خدمات توكيد مستقل مؤهل. لا يوجد استثناء من متطلب التوكيد للشركات التي تستوفي حدود CSRD.
ما يحدث عملياً هو أن كثيراً من الشركات تتعامل مع التوكيد كإجراء صوري. تُعدّ تقرير الاستدامة وتطلب من المدقق ختمه دون فهم أن ISAE 3000 يتطلب إجراءات حقيقية حتى في مستوى التوكيد المحدود.
مراحل التطبيق
تطبق متطلبات CSRD على ثلاث موجات، وكل موجة تضيف عشرات الآلاف من الشركات:
الموجة الأولى (2025) تشمل الشركات الكبيرة الخاضعة حالياً لتوجيه التقارير غير المالية (NFRD). حوالي 11,700 شركة في الاتحاد الأوروبي تدخل في هذه الفئة. هذه الشركات لديها خبرة سابقة في إعداد تقارير الاستدامة، لكن الانتقال من NFRD إلى CSRD يتطلب تغييراً جوهرياً في نطاق التقرير وعمقه.
الموجة الثانية (2026) تشمل الشركات الكبيرة الأخرى التي تستوفي حدود CSRD. تقدير المفوضية الأوروبية يضع العدد عند 49,000 شركة إضافية. هنا تكمن الأزمة الحقيقية. أغلب هذه الشركات لم تُعدّ تقرير استدامة من قبل. مدققوها لم يُنفذوا عملية توكيد على معلومات غير مالية. في الميدان، نجد أن كثيراً منها بدأ الاستعداد متأخراً جداً.
الموجة الثالثة (2027) تشمل الشركات الصغيرة والمتوسطة المدرجة، مع خيار التأجيل حتى 2028. حوالي 4,000 شركة مؤهلة.
أنا أعتقد أن الموجة الثانية ستكشف حجم المشكلة الحقيقي، لأن 49,000 شركة تدخل السوق في وقت واحد بينما عدد مقدمي التوكيد المؤهلين لا يكفي لتغطية جزء صغير منها.
دور مقدمي التوكيد والفجوة الهيكلية
يحدد الاتحاد الأوروبي في المادة 34.1 أن التوكيد يجب أن يتم من قبل "المدقق القانوني أو شركة التدقيق القانوني للشركة، أو شخص طبيعي أو اعتباري مؤهل كمقدم خدمات توكيد مستقل." هذا يفتح السوق لمقدمي خدمات ليسوا مدققين قانونيين. لكنهم يجب أن يلتزموا بمتطلبات استقلالية ومؤهلات مماثلة.
يطبق مقدمو التوكيد معيار ISAE 3000 (المراجع) أو إطار عمل توكيد معادل معترف به من السلطة المختصة في الدولة العضو. ISAE 3000 يحكم عمليات التوكيد على المعلومات غير المالية التاريخية. للشركات التي تبلّغ عن بيانات مستقبلية تحت ESRS، قد ينطبق ISAE 3400 (فحص المعلومات المالية المستقبلية).
لكن الحقيقة أن فتح السوق لمقدمي خدمات غير المدققين القانونيين لا يحل مشكلة الكفاءة. يُعيد توزيعها فقط. مقدم توكيد مستقل بدون خبرة في تدقيق انبعاثات الكربون أو تقييم مخاطر سلسلة التوريد الاجتماعية سيواجه نفس العجز الذي يواجهه المدقق القانوني. الشهادة المهنية وحدها لا تُنشئ الكفاءة الفنية.
لماذا تعجز الشركات المتوسطة عن مواكبة CSRD
الشركات متوسطة الحجم التي تدخل تحت CSRD في الموجة الثانية تستخدم عادةً شركات تدقيق محلية أو إقليمية. هذه الشركات تواجه تحدياً مزدوجاً: تعلّم ESRS وتعلّم تطبيق ISAE 3000 على الاستدامة في الوقت نفسه. ليس ISAE 3000 بمعيار جديد. لكن تطبيقه على معايير ESRS الاثني عشر يتطلب فهماً عميقاً لكل من إطار العمل والصناعة المحددة للعميل.
تحت ESRS E1 (تغير المناخ)، يتطلب تقييم الأهمية المزدوجة فحص التأثيرات والمخاطر والفرص الداخلية والخارجية معاً. هذا يختلف جذرياً عن الأهمية المالية في ISA 320، التي تسأل سؤالاً واحداً فقط: هل هذا الخطأ يؤثر على قرارات مستخدمي البيانات المالية؟ الأهمية المزدوجة تسأل سؤالين مختلفين تماماً. مقدم التوكيد يحتاج للتحقق من أن الشركة حددت القضايا المهمة بشكل صحيح قبل اختبار دقة البيانات المُبلّغ عنها.
من وجهة نظري المتواضعة، هذا هو التحدي الأصعب في CSRD. ليس جمع البيانات. ليس كتابة التقرير. بل فهم أن مفهوم الأهمية نفسه تغيّر، وأن أدواتك القديمة لا تكفي.
الجدول الزمني والحدود للشركات
حدود الشركات الكبيرة
تدخل الشركة تحت متطلبات CSRD إذا استوفت معيارين من ثلاثة حدود في تاريخ إقفال الميزانية:
- متوسط عدد الموظفين أكثر من 250 موظف خلال السنة المالية - صافي الإيرادات أكثر من 40 مليون يورو - إجمالي الأصول أكثر من 20 مليون يورو
تطبق هذه الحدود على أساس منفرد أو موحد. الشركة الأم في مجموعة تستوفي الحدود على أساس موحد تخضع للمتطلبات حتى لو كانت كياناتها الفردية تحت الحدود.
في الميدان، رأينا شركات تحاول التحايل على الحدود بإعادة هيكلة كياناتها القانونية لتجنب استيفاء معيارين. هذا يبقى حبراً على ورق من واقع ما رأيناه، لأن التقييم يتم على أساس الجوهر الاقتصادي لا الشكل القانوني فقط.
الجدول الزمني للتطبيق والتوكيد
| فئة الشركة | سنة التطبيق | سنة التوكيد | المعيار المطبق |
|---|---|---|---|
| شركات كبيرة (NFRD حالية) | 2025 | 2026 | ISAE 3000 / معيار المراجعة 3000 |
| شركات كبيرة (جديدة) | 2026 | 2027 | ISAE 3000 / معيار المراجعة 3000 |
| شركات صغيرة ومتوسطة مدرجة | 2027 | 2028 | ISAE 3000 / معيار المراجعة 3000 |
الشركات تنشر تقرير الاستدامة مع تقريرها السنوي. التوكيد مطلوب للسنة المالية نفسها التي يبدأ فيها التطبيق. لا يوجد سنة تأخير.
خيار التأجيل للشركات الصغيرة والمتوسطة
الشركات الصغيرة والمتوسطة المدرجة يمكنها تأجيل التطبيق لسنة واحدة (حتى 2028). يجب الإعلان عن قرار التأجيل في تقرير الإدارة للسنة المالية التي كان سيُطبق فيها التوجيه. هذا الخيار غير متاح للشركات الكبيرة في الموجتين الأولى والثانية.
معايير ESRS المطبقة
جميع الشركات الخاضعة لـ CSRD تطبق معايير ESRS ذات الصلة بناءً على تقييم الأهمية المزدوجة:
المعايير المتقاطعة إجبارية للجميع: ESRS 1 (المتطلبات العامة) وESRS 2 (المفاهيم العامة).
المعايير البيئية تشمل ESRS E1 (تغير المناخ، وهو إجباري لجميع الشركات)، وESRS E2 (التلوث)، وESRS E3 (المياه والموارد البحرية)، وESRS E4 (التنوع البيولوجي والنظم الإيكولوجية)، وESRS E5 (استخدام الموارد والاقتصاد الدائري).
المعايير الاجتماعية تشمل ESRS S1 (القوى العاملة الخاصة)، وESRS S2 (العمال في سلسلة القيمة)، وESRS S3 (المجتمعات المتأثرة)، وESRS S4 (المستهلكون والمستخدمون النهائيون).
معيار الحوكمة الوحيد هو ESRS G1 (سلوك الأعمال).
مستويات التوكيد والمعايير المطبقة
ما يخطئه أغلب المدققين بشأن التوكيد المحدود
يعتقد كثير من المدققين أن التوكيد المحدود يعني عملاً أقل. هذا فهم مُبسّط وخطير. التوكيد المحدود يعني استنتاجاً بثقة أقل، لكنه لا يعني إجراءات سطحية. المادة 34 من CSRD تطلب توكيداً محدوداً. يعبّر مقدم التوكيد عن استنتاجه بشكل سلبي: "لم يلفت انتباهنا ما يجعلنا نعتقد أن المعلومات غير مُعدة، من جميع الجوانب المهمة، وفقاً لمعايير ESRS."
الفرق بين المحدود والمعقول ليس في الجدية. في الطبيعة.
التوكيد المحدود يتضمن: استفسارات من الإدارة والموظفين المسؤولين، إجراءات تحليلية على مستوى عالٍ، مراجعة مستندية للأنظمة والعمليات، واختبارات محدودة لدقة البيانات.
التوكيد المعقول يتضمن: اختبارات مفصلة للعمليات والضوابط، تأكيدات خارجية، إعادة إجراء الحسابات، ومراقبة العمليات مع اختبارات جوهرية واسعة النطاق.
المفوضية الأوروبية حددت التوكيد المحدود كنقطة بداية. مراجعة التوجيه مخططة بحلول 2028، وقد تدرس المفوضية الانتقال للتوكيد المعقول لاحقاً.
لكن الحقيقة أن بعض المكاتب تقدم توكيداً محدوداً بإجراءات لا ترقى حتى لمستوى المراجعة المحدودة. استفسار واحد من المدير المالي ومراجعة سطحية لجدول Excel لا تفي بمتطلبات ISAE 3000 الفقرة 47أ. وهذا النوع من الحوكمة الورقية هو ما سيكشفه المنظمون عاجلاً أو آجلاً.
تطبيق معيار ISAE 3000 المراجع
يحكم ISAE 3000 (المراجع) عمليات توكيد المعلومات غير المالية التاريخية. الفقرات الأساسية لتوكيد CSRD تتطلب فهماً دقيقاً:
الفقرة 23 تُلزم المراجع بالحصول على فهم لظروف العميل. يشمل ذلك نظام المعلومات ذي الصلة بإعداد المعلومات الخاضعة للفحص. ليس فقط النظام المالي. أنظمة بيانات الاستدامة أيضاً، حتى لو كانت جداول Excel يديرها موظف واحد.
الفقرة 47أ تخص التوكيد المحدود تحديداً: يجب على المراجع تصميم وتنفيذ إجراءات لتحديد ما إذا كان هناك ما يلفت انتباهه يجعله يعتقد أن المعلومات تحتوي على أخطاء مهمة.
الفقرة 66 تتطلب أن يكون تقرير التوكيد مكتوباً ويحتوي على التعبير الواضح عن استنتاج المراجع.
التحديات الفنية في تطبيق ESRS
معايير ESRS تطرح مشكلات فنية لا يواجهها المدقق في التدقيق المالي التقليدي:
أولاً، مشكلة البيانات المتوقعة. ESRS E1 يتطلب معلومات عن الأهداف المناخية المستقبلية وخطط الانتقال. ISAE 3000 صُمم للمعلومات التاريخية. للبيانات المستقبلية، قد ينطبق ISAE 3400. المدقق يجد نفسه أمام معيارين مختلفين في عملية واحدة. لا أحد يتحدث عن هذا التعقيد.
ثانياً، مشكلة البيانات الكمية مقابل النوعية. تقارير ESRS تتضمن مؤشرات كمية مثل انبعاثات غازات الدفيئة بالطن المكافئ لثاني أكسيد الكربون، ومعلومات نوعية مثل سياسات إدارة المخاطر المناخية. إجراءات التوكيد للمؤشرات الكمية تختلف جذرياً عن إجراءات التحقق من المعلومات النوعية. المدقق الذي يُطبّق نفس المنهجية على كليهما يرتكب خطأً مهنياً.
هناك خلاف مشروع بين الممارسين حول كيفية التعامل مع هذا التداخل. بعضهم يرى أن عملية التوكيد يجب أن تُعامل البيانات المستقبلية كمعلومات تكميلية خارج نطاق ISAE 3000 ولا تحتاج لرأي مستقل. آخرون يرون أن استبعاد خطط الانتقال المناخي من نطاق التوكيد يُفرغ ESRS E1 من جوهره ويحول التقرير إلى تمرين إجرائي بلا قيمة. كلا الموقفين له ما يبرره، والمنظمون الأوروبيون لم يحسموا المسألة بعد.
السبب الجذري لهذه المشكلة أن CSRD وُلد من تلاقي عالمين لم يتحدثا مع بعضهما البعض قبلاً: عالم الإفصاح المناخي وعالم التدقيق المالي. الأول يتعامل مع السيناريوهات والاحتمالات. الثاني يتعامل مع الأرقام التاريخية القابلة للتحقق. وCSRD طلب من الثاني أن يُوكّد عمل الأول باستخدام أدوات لم تُصمم لهذا الغرض.
مثال عملي: شركة خدمات مالية متوسطة
> سيناريو العميل > > شركة التمويل المتقدم ذ.م.م. هي شركة خدمات مالية مقرها في أبو ظبي تقدم قروضاً للشركات الصغيرة والمتوسطة في دولة الإمارات العربية المتحدة ومصر. معلومات السنة المالية 2024: > > - صافي الإيرادات: 52 مليون يورو > - إجمالي الأصول: 385 مليون يورو > - متوسط عدد الموظفين: 180 > - الشركة الأم مسجلة في هولندا ومدرجة في بورصة أمستردام > > تستوفي الشركة معيارين من ثلاثة (الإيرادات والأصول) لحد الشركات الكبيرة تحت CSRD. تطبيق إجباري بداية من السنة المالية 2026.
تحديد معايير ESRS المطبقة على العميل
توثيق في ورقة العمل: قائمة معايير ESRS بناءً على تقييم الأهمية المزدوجة للعميل، مع المنطق لكل معيار مطبق أو مستبعد.
أجرت الشركة تقييم أهمية مزدوجة وحددت المعايير ذات الصلة:
المعايير الإجبارية تشمل ESRS 1 وESRS 2 (متطلبات عامة) وESRS E1 (تغير المناخ، إجباري لجميع الشركات).
المعايير المطبقة بناءً على الأهمية: ESRS S1 (القوى العاملة الخاصة، حُكم بأنها مهمة بسبب نمو العمالة السريع) وESRS G1 (سلوك الأعمال، مهم لقطاع الخدمات المالية).
المعايير المستبعدة: ESRS E2 إلى E5 (التأثير البيئي المباشر محدود لشركة خدمات مالية) وESRS S2 إلى S4 (التأثير الاجتماعي غير المباشر محدود).
تخطيط عملية التوكيد المحدود
توثيق في ورقة العمل: استراتيجية التوكيد العامة، مخاطر التحريف المهم المحددة، الإجراءات المخططة لكل معيار ESRS.
نطبق ISAE 3000 الفقرة 23 لفهم ظروف العميل:
أنظمة البيانات: الشركة تستخدم نظام Oracle للبيانات المالية ونظام Workday لإدارة الموارد البشرية. بيانات الاستدامة تُجمع يدوياً في جداول Excel. وهنا تبدأ المشكلة.
المخاطر المحددة تشمل: دقة بيانات انبعاثات Scope 1 و2 (الكهرباء ووقود المركبات)، اكتمال بيانات التدريب للموظفين تحت ESRS S1، توافق سياسات مكافحة الفساد مع متطلبات ESRS G1، وموثوقية عوامل الانبعاثات المستخدمة من المستشار الخارجي.
تنفيذ الإجراءات وما حدث فعلاً
توثيق في ورقة العمل: الإجراءات المنفذة، النتائج، المتابعة المطلوبة.
لـ ESRS E1 (البيانات المناخية): استفسرنا من مدير العمليات عن مصادر الانبعاثات، وراجعنا فواتير الكهرباء لستة أشهر لتأكيد الاستهلاك، وأعدنا حساب انبعاثات Scope 2 باستخدام عوامل الشبكة الإماراتية، وراجعنا تقرير مستشار خارجي لحساب البصمة الكربونية.
لـ ESRS S1 (القوى العاملة): حصلنا على تقرير من نظام Workday يُظهر ساعات التدريب بالموظف، وقارنّا عدد الموظفين المُبلّغ مع كشوف الراتب، وراجعنا سياسة التطوير المهني المعتمدة من مجلس الإدارة، وفحصنا عينة من شهادات التدريب (15 موظفاً من 180).
لـ ESRS G1 (سلوك الأعمال): راجعنا سياسة مكافحة الفساد المحدثة في مارس 2024، وتأكدنا أن جميع أعضاء مجلس الإدارة وقّعوا إقرار المصالح، وفحصنا سجل الشكاوى والبلاغات الداخلية، وراجعنا تقرير لجنة التدقيق الداخلي حول فعالية الضوابط.
ثم حدث ما لم نتوقعه.
عند إعادة حساب انبعاثات Scope 2، وجدنا أن المستشار الخارجي استخدم عامل شبكة كهرباء قديماً يعود لعام 2021 بدلاً من عامل 2024 المحدّث. الفرق: 8% في إجمالي الانبعاثات المُبلّغة. بيانات التدريب كانت كاملة ودقيقة للموظفين المختبرين. سياسات الحوكمة تتوافق مع متطلبات ESRS G1.
لكن المسألة لم تنتهِ عند الـ 8%. طلبنا من الإدارة تصحيح عامل الانبعاثات وتحديث الأرقام. وافقت الإدارة على التصحيح، لكنها اعترضت على استخدام عامل 2024 لأن المستشار الخارجي أكد أن عامل 2021 "أكثر استقراراً." هل تقبل حجة المستشار أم تصر على العامل الأحدث؟ لا يوجد نص صريح في ESRS E1 يُحدد أي عامل يجب استخدامه. هذه منطقة رمادية تتطلب حكماً مهنياً.
من واقع خبرتنا، الموقف الصحيح هو استخدام أحدث عامل متاح من مصدر رسمي معترف به. رفضنا حجة "الاستقرار" لأنها تُخفي عدم رغبة الإدارة في رفع أرقام الانبعاثات المُبلّغة. هذا النوع من الضغط سيواجهه كل مقدم توكيد CSRD. الاستعداد له أهم من حفظ فقرات المعيار.
تقييم النتائج وإعداد التقرير
توثيق في ورقة العمل: تقييم الأخطاء المكتشفة، تحديد ما إذا كانت مهمة، الاستنتاج النهائي لكل معيار.
بعد التصحيح، أصدرنا تقرير توكيد محدود برأي نظيف مع لفت انتباه لأول سنة تطبيق وقيود البيانات التاريخية المتاحة. لكن لفت الانتباه ليس ترخيصاً للتساهل. أنا أعتقد أن كثيراً من تقارير التوكيد في السنة الأولى ستستخدم لفت الانتباه كمظلة لتغطية ضعف الإجراءات. هذا خطر مهني حقيقي.
قائمة التحقق العملية
استخدم هذه القائمة للاستعداد لعمليات توكيد CSRD:
1. حدد فئة العميل والجدول الزمني للتطبيق. راجع حدود الشركة الكبيرة على أساس سنوي لتحديد سنة التطبيق الأولى (ISAE 3000 الفقرة 12، التخطيط).
2. راجع تقييم الأهمية المزدوجة للعميل. تأكد أن الشركة طبقت ESRS 1 الفقرات 63 إلى 68 لتحديد المعايير ذات الصلة قبل بدء عملية التوكيد. لا تبدأ بدون هذا التقييم. سيُفسد كل ما يليه.
3. حدد أنظمة البيانات وضوابط المعلومات. وثّق مصادر كل مؤشر كمي مطلوب تحت معايير ESRS المطبقة (ISAE 3000 الفقرة 23). إذا كانت البيانات في جداول Excel، وثّق ذلك صراحة مع ضوابط التحقق المطبقة عليها.
4. خطط لمزيج الإجراءات للتوكيد المحدود. لا تفترض أن إجراءات التدقيق المالي كافية. بيانات الاستدامة تحتاج اختبارات مختلفة في طبيعتها ومصادرها.
5. استعد للتعامل مع البيانات المستقبلية. خطط الانتقال المناخي تحت ESRS E1 قد تحتاج لتطبيق ISAE 3400 إلى جانب ISAE 3000.
6. ابدأ تدريب فريقك على معايير ESRS الآن. تعلّم إطار العمل يستغرق شهوراً وليس أسابيع. المكتب الذي يبدأ التدريب قبل ستة أشهر من أول عملية سيكون في وضع أفضل بكثير من المكتب الذي يبدأ قبل شهر.
الأخطاء الشائعة
الخلط بين أنواع الأهمية هو الخطأ الأكثر شيوعاً والأكثر ضرراً. أهمية ESRS (مزدوجة) تتطلب تقييم التأثير المالي على الشركة والتأثير الخارجي للشركة على البيئة والمجتمع. ISA 320 يسأل فقط عن التأثير على قرارات مستخدمي البيانات المالية. استخدام المفهوم المالي وحده يعني أنك أخطأت في تحديد نطاق المعايير المطبقة من البداية.
تقديم توكيد معقول بدلاً من محدود خطأ مكلف ماليا وقانونياً. التوجيه يطلب توكيداً محدوداً. الإجراءات الأوسع ترفع التكلفة والمسؤولية القانونية بدون فائدة تنظيمية.
إهمال تقييم أنظمة المعلومات يُقوّض العملية بأكملها. أغلب بيانات الاستدامة تُجمع خارج الأنظمة المالية. جداول Excel بدون ضوابط إدخال أو مسار تدقيق ليست مصدر بيانات يمكن الاعتماد عليه. عندما يعتمد تقرير الاستدامة بالكامل على ملف واحد يُديره شخص واحد بدون مراجعة مستقلة، فأنت لا تُقدم توكيداً. أنت تُوقّع على عمل شخص آخر.
المحتوى ذو الصلة
- دليل معيار المراجعة 3000 (المراجع) - كيفية تطبيق معايير التوكيد على المعلومات غير المالية - آلة حاسبة الأهمية للتوكيد - حساب عتبات الأهمية لعمليات التوكيد المحدود والمعقول - دليل تطبيق ESRS للمدققين - شرح مفصل لمتطلبات كل معيار من معايير التقرير الأوروبية للاستدامة - إطار التقارير المتكاملة للمدققين - كيف يتقاطع إطار التقارير المتكاملة مع متطلبات CSRD للاستدامة