Definition
Negli studi italiani, il primo incarico di limited assurance sulla sostenibilità ESRS è arrivato senza una metodologia consolidata. Il D.Lgs. 125/2024 ha trasposto la CSRD e ha esteso l'obbligo a società di medie dimensioni dal 2025, ma i team hanno scoperto in corso d'opera che l'ISAE 3000 (Revised) e l'ISAE 3410 non bastano a dimensionare il lavoro su disclosure narrative ESRS. La conseguenza pratica è un fascicolo che, nel primo anno, non somiglia a nulla che la nostra professione abbia visto prima.
Come funziona
L'ISAE 3000 (Revised) chiede al revisore di pianificare e svolgere procedure tali da ridurre il rischio di assurance a un livello "accettabile nelle circostanze", non a un livello basso. La distinzione, sulla carta, sembra leggera. Nei dossier che vediamo, è invece il punto di rottura. Per un dato GHG quantitativo si applicano analitiche comparative sulle serie storiche, interviste ai responsabili sostenibilità, riconciliazione con i sistemi di gestione energetica e test selettivi su sottoinsiemi di transazioni. Per una disclosure narrativa ESRS — una descrizione di policy sulla due diligence dei diritti umani, per dirne una — quelle stesse procedure non bastano e l'ISAE 3000 non specifica cosa metterci al loro posto.
L'ISAE 3410 governa gli incarichi su emissioni di gas a effetto serra e ammette espressamente, al paragrafo A46, il ricorso ad analitiche comparative come procedura primaria in regime di assurance limitata. Per gli ESRS si lavora invece su un perimetro più esteso. Si selezionano i datapoint considerati rilevanti per la materialità di impatto e finanziaria (ESRS 1 §29-§30) e si verifica un sottoinsieme calibrato sul rischio: emissioni Scope 1 e 2 con priorità maggiore, Scope 3 e value chain solo dove l'azienda dichiari di avere dati primari. Una verifica della gestione rifiuti su uno stabilimento, e non su tutti gli stabilimenti, è coerente con l'assurance limitata; saltare la riconciliazione tra dato dichiarato e dato grezzo non lo è.
La conclusione del revisore è in forma negativa. Si dichiara che, sulla base delle procedure svolte, nulla è emerso che induca a ritenere che le informazioni di sostenibilità non siano conformi ai criteri ESRS applicabili. La forma è asimmetrica rispetto all'opinione positiva della reasonable assurance, e questa asimmetria — che il lettore non specializzato tende a non cogliere — è la ragione per cui il report deve esplicitare il livello di assurance (ISAE 3000.A67) con un linguaggio che il management non possa "tradurre" agli stakeholder come una verifica piena.
Perché la metodologia gap pesa nel primo anno
Si potrebbe pensare che la limited assurance sia una versione ridotta della reasonable. La differenza sostanziale, però, sta nella natura delle procedure, non solo nella loro estensione. ISAE 3000 e ISAE 3410 sono nati su informazioni quantitative ricostruibili da sistemi (emissioni, indicatori di performance ambientale). Gli ESRS chiedono al revisore di confrontarsi con disclosure narrative dove "evidenza sufficiente e appropriata" non ha un parametro misurabile. Cosa accade in pratica: i team di primo anno applicano inquiry-and-analytical agli indicatori numerici e si trovano sguarniti sulle policy descrittive, dove la procedura sostitutiva — la lettura critica di policy aziendali, la verifica di coerenza con i processi reali — non rientra nella cassetta degli attrezzi storica della revisione finanziaria. L'opinione che ci siamo formati nei dossier che vediamo è che questa sia la vera lacuna del primo ciclo, perché la metodologia ISAE è stata calibrata su perimetri più stretti di quelli che il D.Lgs. 125/2024 oggi pretende.
Esempio pratico: industria manifatturiera italiana con relazione di sostenibilità ESRS
Cliente: Tecnosistemi Alberti S.p.A., azienda manifatturiera con sede a Torino, 840 dipendenti, ricavi FY2024 EUR 156M, soggetta a CSRD per il bilancio FY2025 ai sensi del D.Lgs. 125/2024.
Step 1 — Identificazione dei datapoint critici ESRS. Tecnosistemi Alberti dichiara emissioni Scope 1 e 2 pari a 8.400 tCO₂e annue. Ai sensi dell'ESRS E1 (Cambiamenti climatici), il datapoint è obbligatorio. Si seleziona inoltre il datapoint sulla gestione dei rifiuti (ESRS E5). Nel memorandum di pianificazione si documenta perché altri datapoint (Scope 3, biodiversità) non siano stati ritenuti critici alla luce della valutazione di rischio (ISAE 3000.A65).
Step 2 — Procedure analitiche e test selettivi. Per le emissioni Scope 1 e 2 si ottengono i report mensili dal sistema di gestione energetica per i dodici mesi dell'esercizio. Si confronta il dato dichiarato (8.400 tCO₂e) con i dati grezzi ricostruibili da consumi di gas naturale ed energia elettrica (8.376 tCO₂e). La differenza di 24 tonnellate è ricondotta ad arrotondamenti e a consumi su siti secondari, e l'ISAE 3410.A46 ammette le analitiche su questa scala. Si intervista il responsabile sostenibilità, si verifica il rapporto tecnico del consulente esterno che ha calcolato le emissioni, ma non si testano le singole fatture energetiche — quel livello di dettaglio appartiene alla reasonable assurance.
Step 3 — Complicazione: scope expansion mid-engagement. A novembre, dopo che la pianificazione è chiusa e le procedure sono in esecuzione, un fondo istituzionale tra i principali azionisti chiede a Tecnosistemi Alberti di includere nel report una disclosure Scope 3 sulla logistica in entrata, basandosi su dati forniti da tre vettori principali. Il management accetta. Il fascicolo era dimensionato senza Scope 3. Si valuta se sia possibile estendere l'assurance al nuovo datapoint nel tempo residuo: i dati dei vettori non sono auditati alla fonte, e la value chain non rientrava nella valutazione iniziale del rischio. Qui si apre la zona grigia. L'ISAE 3000.A52 consente di modificare i termini dell'incarico se le circostanze cambiano, ma il revisore deve documentare che le procedure restano sufficienti rispetto al rischio rivisto. Nel caso Tecnosistemi Alberti si conclude che il datapoint Scope 3 sia incluso nel perimetro con una procedura analitica separata, e che il limite informativo (dati primari non disponibili presso i vettori per due dei tre operatori) sia esplicitato come matter of emphasis nel report. Si valuta anche, nel team, se il limite giustifichi una conclusione qualificata: si decide per il matter of emphasis solo perché il management ha accettato di etichettare il dato come "stima da fonti secondarie" nel capitolo ESRS E1.
Step 4 — Conclusione di limited assurance. Si conclude che nulla è emerso che induca a ritenere che le emissioni Scope 1 e 2 e i dati sui rifiuti non siano conformi ai criteri ESRS. Sul Scope 3 si conferma la stessa forma con il matter of emphasis sulla qualità dei dati di filiera. Il report esplicita il livello di assurance (limitata) e che le procedure sono meno estese rispetto alla reasonable assurance (ISAE 3000.A67).
Cosa i revisori e i pratici fraintendono
- Tier 1 — Rilievo normativo nominato. L'EFRAG, nella revisione di conformità sui report ESRS 2024, ha osservato che alcuni team interpretano la limited assurance come assenza di test sui dati critici. L'ISAE 3000 (Revised) richiede invece procedure mirate sul campione selezionato in funzione del rischio. Il fraintendimento porta a presentare report di sostenibilità come "verificati" quando la verifica è stata circoscritta a inquiry e a una lettura non strutturata della documentazione.
- Tier 2 — Errore pratico riferito allo standard. Si confonde la limited assurance (ISAE 3000/3410) con un controllo di coerenza. L'ISAE 3000.A15 chiarisce che la limited assurance richiede comunque l'acquisizione di evidenza appropriata; il livello è inferiore, le procedure restano rigorose. Saltare il test delle fatture energetiche, come nell'esempio, è ammesso. Non riconciliare il dato dichiarato con il dato grezzo non lo è.
- Tier 3 — Lacuna documentale. Nei fascicoli si documenta poco il razionale di selezione delle procedure. L'ISAE 3000.A65 chiede al revisore di rendere tracciabile il processo decisionale: quali datapoint sono critici, perché sono stati scelti, come la copertura ridotta si calibra sul rischio. Negli studi italiani, questa è la sezione del fascicolo che la CONSOB, quando inizierà a ispezionare la sustainability assurance, troverà più sguarnita.
Limited assurance vs reasonable assurance
| Dimensione | Limited assurance | Reasonable assurance |
|---|---|---|
| Evidenza richiesta | Sufficiente per un rischio "accettabile" | Sufficiente per ridurre il rischio a un livello basso |
| Forma di conclusione | Negativa ("nulla è emerso...") | Positiva ("le informazioni sono conformi...") |
| Estensione delle procedure | Test selettivi su sottoinsiemi | Test estesi su popolazioni significative |
| Costo relativo | Frazione della reasonable (tipicamente meno della metà) | Costo pieno |
| Quando si applica tipicamente | Sustainability reporting ESRS, GHG, dati ESG | Audit finanziari, informazioni con impatto materiale |
| Standard | ISAE 3000 (Revised), ISAE 3410 | ISAE 3000 (Revised) a livello reasonable |
Disaccordo tra partner: qualifica o matter of emphasis
Su un dossier del primo ciclo CSRD (cliente manifatturiero del Nord-Est, fatturato sopra i 100M, perimetro ESRS E1 ed E5), Partner A propone una conclusione qualificata limited perché i dati di filiera per la value chain sono frammentari e il management ha rifiutato di rivedere la disclosure ESRS S2. Partner B obietta che la conclusione qualificata, sotto limited assurance, è uno strumento sproporzionato per evidenza inattendibile su perimetro narrativo, e che ISAE 3000.79-80 ammette un matter of emphasis quando il limite è informativo e il management lo ha esplicitato in nota. Partner A risponde che il matter of emphasis non protegge il revisore se uno stakeholder portasse il caso davanti alla CONSOB, perché la forma negativa della conclusione lascia ambiguo cosa il revisore abbia effettivamente verificato. Partner B replica che, sotto limited assurance, una qualifica per evidenza insufficiente alza un'aspettativa sulla profondità della procedura che lo standard non riconosce: si finisce per implicare che la reasonable sarebbe stata fattibile, quando non lo era. Il dossier si chiude con un matter of emphasis e una sezione sui limiti dell'evidenza per i dati di value chain. Entrambi i partner, alla fine, sottoscrivono. Ma la discussione si ripeterà in ogni studio nei prossimi due anni, perché lo standard non offre una risposta univoca.
L'incentivo perverso del primo ciclo
I compensi della limited assurance sono una frazione di quelli della reasonable, e questo è coerente con il livello di lavoro previsto. Il problema, negli studi italiani, è che la CONSOB — quando inizierà l'attività ispettiva sulla sustainability assurance prevista dal D.Lgs. 125/2024 — non scalerà il rischio ispettivo proporzionalmente. Un rilievo su un report ESRS pesa quanto un rilievo su un audit finanziario, in termini reputazionali e di vigilanza. La conseguenza è asimmetrica: gli studi medio-piccoli, che hanno meno margine sul prezzo e più paura del Bollettino, tendono a sovra-investire nelle procedure e a erodere il margine. Gli studi grandi, abituati a calibrare l'effort sulla materialità finanziaria, tendono a sotto-investire perché trasferiscono in automatico la metodologia dell'audit alla sustainability assurance. Nessuna delle due posizioni è giusta. La prima è economicamente insostenibile sul medio periodo, la seconda è metodologicamente inadeguata per l'oggetto. E in entrambi i casi i compensi irrisori della prima fase di mercato non riflettono il rischio reale che il revisore si assume firmando il report.
Quando la distinzione conta su un incarico
La limited assurance è appropriata quando i dati sono rilevanti per gli stakeholder ma non direttamente collegati alle cifre del bilancio sottoposto a revisione finanziaria: emissioni di CO₂, dati sui diritti umani, indicatori di diversità. Un'azienda manifatturiera europea che rendiconta emissioni secondo ESRS E1 sceglie tra limited (norma) e reasonable (rara, su richiesta volontaria di stakeholder qualificati). Se la direzione opta per limited, si documenta che le procedure saranno ridotte e il report comunica esplicitamente il livello. Se un internal auditor o una funzione di compliance presenta la limited come equivalente alla reasonable, il rischio di responsabilità del revisore si alza in modo non lineare: gli stakeholder possono ragionevolmente leggere "verificato indipendentemente" come reasonable assurance.
Esempio pratico con entrambi i concetti: società di logistica spagnola
Cliente: Transitos Iberia S.L., logistica con sede a Valencia, 620 dipendenti, ricavi FY2024 EUR 89M, rendicontazione volontaria GRI ed ESRS dal 2025.
FY2024. La direzione richiede limited assurance su emissioni Scope 1, 2 e 3 (datapoint GRI 305-1, 305-2, 305-3, ESRS E1). Si testa un campione di fatture di carburante ed energia per 3 mesi su 12, si intervista il responsabile ambientale, si valida il metodo di calcolo. La conclusione è in forma negativa.
FY2025 (pianificato). Un cliente strategico di Transitos Iberia chiede reasonable assurance sullo stesso set di datapoint, perché vuole usare le informazioni di sostenibilità per decisioni di supply chain. Si dovranno testare fatture di carburante ed energia su tutti i 12 mesi, verificare il sistema di tracciamento delle emissioni a monte, produrre un'opinione positiva. I costi salgono del 60-80%; il livello di certezza sale proporzionalmente.
Differenza chiave documentata nel memorandum di pianificazione FY2025: la reasonable assurance richiede test estesi su tutte le operazioni significative (ISAE 3000.A50), mentre la limited del FY2024 ha consentito un campione del 25%.
Conseguenza di una confusione tra i due livelli. Se nel FY2024 il revisore avesse presentato la limited al cliente strategico come "verifica indipendente piena", il cliente avrebbe avuto fondamento per sostenere di aver ricevuto informazioni fuorvianti sul livello di certezza. L'ISAE 3000 (Revised) impone di comunicare chiaramente il livello di assurance raggiunto: il mancato rispetto integra una violazione dello standard.
Termini correlati
- Assurance ragionevole — il livello di assurance più elevato, in cui si è ridotto il rischio di assurance a un livello basso. - Criteri ESRS — gli standard di sostenibilità europei che regolano la rendicontazione e determinano i datapoint verificabili. - Datapoint ESRS — l'elemento di informazione di sostenibilità specifico verificato in un incarico di assurance. - ISAE 3410 — lo standard sugli incarichi di assurance per emissioni di gas a effetto serra, specializzazione dell'ISAE 3000. - Opinione con revisione negativa — la forma di conclusione della limited assurance. - Rendicontazione di sostenibilità — la comunicazione di informazioni non finanziarie sulla sostenibilità di un'azienda agli stakeholder.