ESGPortal.cz - Vše o ESG pro české firmy

Proč se téma ověřování ESG dat dostává do popředí

Od roku 2024 vstupuje v EU v platnost směrnice CSRD, která v článku 6 ukládá velkým i kótovaným podnikům, aby nechaly svá nefinanční (ESG) zveřejnění ověřit nezávislou třetí stranou. Zatímco první fáze (2025 reporty za 2024) dovoluje limited assurance, Evropská komise už předběžně avizovala přechod na reasonable assurance v horizontu 6 let. Pro finanční trhy, banky a dodavatelské řetězce to znamená zásadní posun: čísla v ESG reportu začnou mít stejnou váhu jako auditovaná účetní závěrka.

V roli externího auditora ESG dat působím od roku 2010 a podílel jsem se na více než 150 ověřeních podle ISAE 3000 (revised), ISAE 3410 a novějších německých standardů IDW AuS 410. Na českém trhu dnes vidím tři hlavní důvody, proč firmy s asurancí váhají:

Nejasný rozdíl mezi limited a reasonable assurance – management neví, co dostane navíc a kolik to bude stát.
Nedostatek interních procesů – data o odpadech, emisích či diverzitě stále sbírá EXCEL „na koleni”.
Obavy z nákladů a zdrojů – audit ESG údajů má prý stát statisíce a zabrat půl roku. Skutečnost je nuancovanější.

Následující článek proto krok za krokem vysvětluje:

co přesně pojem reasonable assurance znamená a jak se liší od limited,
jaký dopad budou mít nové požadavky ESRS 2 – Obecná zveřejnění na ověřovací postup,
jak se na audit připravit – procesně, datově i smluvně,
kolik bude ověření stát a jak rozložit rozpočet do více let,
jaké chyby české firmy dělají a jak jim předejít.

Limited vs. reasonable assurance – formální rozdíly

Definice podle ISAE 3000

International Standard on Assurance Engagements (ISAE) 3000 (Revised) rozlišuje dvě úrovně přesvědčení (assurance):

Limited assurance – auditor shromažďuje omezené množství důkazů (zejména dotazy a analytické postupy). Výsledkem je negativně formulovaný závěr: „Nebyl shledán důvod se domnívat, že sdělení je zkreslené.“
Reasonable assurance – auditor získává dostatečné a vhodné důkazní informace (testování vzorků, walkthrough procesů, fyzické inspekce) a vydává pozitivně formulovaný závěr: „Podle našeho názoru sdělení ve všech významných ohledech věrně zobrazuje…“

V praxi to znamená vyšší hloubku zkoušek, širší vzorkování dat a podstatně náročnější testy vnitřních kontrol. V účetním světě odpovídá limited assurance zhruba review, zatímco reasonable je plný audit.

Požadavky CSRD a ESRS

Článek 34 CSRD stanovuje, že:

"Audit subjekt musí poskytovat na nefinanční report minimálně limited assurance. Komise do 2028 přezkoumá možnost povinného reasonable assurance."

Standard ESRS 2 – Obecná zveřejnění (kapitola BP-1) navíc vyžaduje popsání kontrolního prostředí a procesů tvorby ESG dat. Firmy se tedy nevyhnou dokumentaci Data Governance Frameworku – bez něj auditor reasonable assurance nevydá.

Praktický rozbor těchto povinností najdete i v článku ESRS 2 – Obecná zveřejnění: základ každého reportu.

Jak se na reasonable assurance připravit – fáze, úkoly a rozpočty

1 | Gap assessment a maturity scan (4–6 týdnů)

Cíl: zjistit, nakolik stávající systém sběru dat splňuje požadavky ISAE 3000 a ESRS.

Výstup: tabulka zralosti (0–5) pro 12 procesních oblastí (Governance, Kontroly, IT systémy…).
Zdroje: 5–7 interních rozhovorů, revize procesní dokumentace, test 2 vzorků KPI.
Rozpočet: 100–180 tis. Kč při externím dodavateli; interně zhruba 80 h ESG týmu.

Na základě 42 gap-assessments z let 2021–2023 víme, že nejčastější slabinou je sledovatelnost datového řetězce – chybí tzv. audit trail od senzorů nebo excelu až po finální KPI v reportu.

2 | Design a implementace kontrol (3–9 měsíců)

Kontroly na úrovni entit (tone at the top, ESG politika, role a zodpovědnosti) a kontroly na úrovni procesů (schvalování dat, IT general controls).

Kontrola	Popis	Náklady (Kč)
SOD (segregation of duties)	Datový vlastník ≠ schvalovatel KPI	0 – procesní nastavení
Automatická validace	IF-ISERROR v ETL nástroji, alert při odchylce > 10 %	40 000 licence / rok
Verzování reportu	Git / SharePoint s workflow	do 20 000
Dokumentace metodik	Template podle ESRS	1–2 člověkodny / KPI

Inspiraci, jak ukotvit kontroly do firemní strategie, najdete v článku ESG politika ve firmě: co musí obsahovat….

3 | Dry-run audit (6 týdnů)

Ještě před ostrým auditem doporučuji dry-run – simulaci ověřovacích testů na malém vzorku metrik (např. emise Scopes 1 + 2, gender pay gap, míra recyklace). Cíle:

odhalit chybějící důkazní dokumentaci,
ověřit, že kontrola funguje operationally effective min. 3 měsíce v řadě,
vytrénovat interní tým na dotazy auditorů.

Rozpočet: 80–120 tis. Kč externě, interně cca 40 h.

4 | Ostrý audit – limited vs. reasonable

Tabulka s reálnými projekty (středně velká firma 500 FTE, 20 KPI):

Úroveň	Dny u klienta	Vzorky / KPI	Fakturace (Kč) bez DPH
Limited	7	3–5	250 000 – 350 000
Reasonable	15	10–20	550 000 – 800 000

Nárůst ceny je dán nejen počtem vzorků, ale i časem stráveným kontrolou IT systémů a fyzickou inspekcí (např. odečty měřičů energií).

Podrobný návod: 15 klíčových kroků k úspěšnému reasonable assurance

Mapujte stakeholders – finance, ESG, IT, compliance. Určete data owners.
Vyhotovte inventarizaci KPI – seznam metrik povinných podle ESRS, doplňte dobrovolné (např. GRI).
Přiřaďte metodiku – zdroj dat, výpočetní vzorec, frekvence aktualizace.
Implementujte kontrolní body – SOD, logger změn, threshold alert.
Standardizujte evidence – digitální archiv faktur, kalibrační listy, protokoly vážení.
Seřaďte KPI do „audit packů“ – balíček dokumentů, které auditor požaduje.
Proveďte interní test – vygenerujte 12 měsíců dat, ověřte navaznost.
Vyberte nezávislého auditora – Big4 nebo specializovaná ESG certifikační agentura; hodnoťte podle zkušeností v oboru.
Ujasněte si materialitu – prahová úroveň významnosti (obvykle 5 % u emisí, 2 % u HR dat).
Sestavte plán reálných termínů – data cut-off, evidenci uzavřete min. 6 týdnů před publikací reportu.
Proškolte zaměstnance – jak reagovat na dotazy, kde najít důkazní listy.
Spusťte audit – fieldwork, rozhovory, testy vzorků, ITGC review.
Řešte nálezy v reálném čase – management comments přímo ve sdíleném nástroji.
Uzavřete corrective actions – high findings do 30 dnů, medium do 90 dnů.
Publikujte opinion – přiložte k výroční zprávě, umístěte na web.

Příklady z české praxe

CASE A – Výrobce obalů (1 200 zaměstnanců)

Výchozí stav: 48 KPI, data v Excelu, pouze limited assurance.
Akce: implementace SaaS ESG tool, revize metodiky Scope 3.
Výsledek: reasonable assurance za 620 tis. Kč, zkrácení auditu z 12 na 8 týdnů.

CASE B – Retail banka (5 000 zaměstnanců)

Výchozí stav: robustní ITGC, ale neexistoval data lineage pro gender a diverzitu.
Akce: nasazení datové platformy, ETL do Snowflake, automatické logy.
Výsledek: bez nálezu na 95 % KPI, příprava trvala 14 měsíců, CAPEX 1,4 mil. Kč.

Časté chyby a jak jim předcházet

Chybějící dokumentace metodiky – auditor nemůže ověřit, když neví, jak se KPI počítá.
Nesladěné časové osy – finanční účetní závěrka uzavřena dřív, ESG data ještě sbíráte.
ITGC opomíjené v cloudu – SaaS nástroje potřebují kontrolu přístupových práv stejně jako on-prem.
Přecenění materiality – nastavíte příliš vysoký práh a auditor jej odmítne.
Ad-hoc úpravy dat – ruční zásahy v poslední chvíli bez logu = kvalifikovaný závěr.

Rozpočty a senzitivitní analýza

Při plánování nákladů doporučuji rozdělit je do tří kategorií:

Interní kapacity – ESG a finance tým (0,5 FTE ročně ≈ 400 tis. Kč).
IT nástroje – licence 100–300 tis. Kč / rok + implementace.
Externí audit – viz tabulka výše.

První rok bývá nejdražší (set-up), druhý rok ceny obvykle klesnou o 20–30 % díky stabilizaci procesů.

Závěr

Reasonable assurance už není otázkou jestli, ale kdy. Firmy, které začnou s přípravou včas, získají dvojí výhodu: vyšší důvěryhodnost u investorů a nižší náklady v okamžiku, kdy se ověření stane povinným. Klíčová je robustní datová architektura, jasná metodika KPI a kultura kontrol. S těmito prvky se reasonable assurance promění z hrozby v konkurenční výhodu.

Ověřování ESG dat s reasonable assurance: Jak se liší od limited, co to stojí a jak se připravit