A partir de 2025, las organizaciones europeas deberán presentar informes extrafinancieros de acuerdo con la directiva europea CSRD (corporate sustainability reporting Directive). Empezando por las grandes empresas que cotizan en bolsa, que deberán hacerlo a partir del 1 de enero de 2024, y después será el turno de todas las grandes empresas que cotizan en bolsa y las pymes a partir de 2026. Si bien los departamentos de RSE son los principales interesados, esto también se aplica a los departamentos de riesgos. Al publicar su encuesta sobre el uso de SIGR (sistemas de información de gestión de riesgos) a principios de año, Amrae (Asociación para la gestión de riesgos y seguros de la empresa) informó de queCreciente interés de estos servicios por la integración del procesamiento de datos ESG en estas solucionesPero el tema es complejo y las herramientas de gestión de riesgos, los mapas y los SIGRI en particular, tendrán que adaptarse.

François Beaume, vicepresidente de transformación digital de la asociación y vicepresidente de riesgos y seguros de Sonepar, destaca que lo que cambia principalmente con la CSRD es la exigencia de un informe estructurado. "Hasta ahora, el proceso de mapeo de riesgos consistía esencialmente en recopilar 'percepciones'", señala. En otras palabras, la organización establece un método para recopilar opiniones de los representantes relevantes de las profesiones, luego asigna pesos y prioriza ciertas opiniones. "Es, en efecto, un proceso científico, con escalas, un mapa de riesgos", se apresura a señalar, "pero sigue siendo un instrumento de recopilación individual que rara vez se basa en historiales, cohortes, etc. Con la CSRD, pasamos de lo cualitativo a lo cuantitativo". François Beaume también señala que, sin embargo, pocos riesgos se prestan realmente a estos métodos estadísticos. Y, por ejemplo, el riesgo geopolítico de ser expropiado tras un conflicto reciente o un boicot. En este caso, la estimación se realizará a la luz del contexto actual, y no a partir de datos históricos, que en este caso no existen.

Datos mal adaptados y mapeo de riesgos

En cambio, con la CSRD, y en particular con los riesgos ambientales y sociales, se trata de hecho de una cuestión de Recopilar mediciones y datosLa directiva se basa en más de 1.100 indicadores de análisis de riesgos con una doble materialidad (impacto de los tres componentes ESG en la actividad de la empresa, por un lado, impacto de la actividad de la empresa en estos tres componentes, por otro) que son potencialmente aplicables. Una organización solo está obligada a elaborar indicadores relacionados con su actividad y con ciertos riesgos que la afectan directamente, lo que reduce el alcance. Pero el hecho es que esto generalmente requiere la elaboración de unos cientos de indicadores. Cada riesgo puede corresponder a varios de ellos, por lo que el departamento de riesgos debe trabajar con los departamentos de la empresa. "Lo que es diferente con la CSRD es que se trata de un enfoque normativo con especificaciones muy precisas", resume François Beaume. Sin embargo, la gestión de riesgos suele estar mucho menos estandarizada, porque es un enfoque de la empresa para la empresa, con sus propios desafíos. Con la CSRD, entramos en un marco que es idéntico para todas las organizaciones".

Una de las herramientas centrales de la gestión de riesgos es la cartografía. Pero ¿es adecuada para la CSRD? François Beaume señala que las cartografías que se llevan a cabo actualmente en las empresas probablemente no incluirán todos los datos necesarios para la presentación de informes extrafinancieros, o los incluirán en un formato que no es lo suficientemente riguroso para la directiva europea y los controles que prevé. Hoy en día, estos mapas se basan en datos de opinión que, por lo tanto, deberán reemplazarse por mediciones y completarse, o incluso cruzarse, con datos externos. "La CSRD consiste en correlacionar nuestra opinión interna con la visión de las partes interesadas externas, como las ONG, los sindicatos y algunos proveedores", explica François Beaume. "Es más complejo, pero no partimos de cero, ya que lo hacíamos para la DPEF (declaración de rendimiento extrafinanciero, ndlr). "Además, hoy en día, los mapas generalmente solo se utilizan para medir el riesgo incurrido por la empresa, y no el riesgo que la organización representa para el entorno externo (se mantiene el principio de doble materialidad).

Una colaboración entre RSE, RRHH, CFO, riesgos, raramente CIO

Las soluciones de medición, captura, recopilación, análisis y elaboración de informes de datos serán esenciales. "Lógicamente, en muchas empresas, los equipos de RSE, riesgos, RR.HH. y CFO (y rara vez el departamento de TI) están trabajando actualmente en la estructuración de indicadores para el CSRD", explica el vicepresidente de transformación digital de Amrae. "Se trata de una tarea muy pesada y tendrá que ser recurrente. Sobre todo porque también es necesario estructurar el registro de auditoría, es decir, la trazabilidad de la cadena de indicadores, describir el modelo de indicadores y el método de recopilación". Organizaciones independientes de terceros (ITO) De hecho, serán responsables de dar su opinión sobre la información compartida en el informe y sobre el método de recopilación.

Los mapas no son dispositivos independientes de los sistemas de información y ya extraerán información de ellos, pero ofrecen "una visión de una situación dada, para actuar en un momento dado. Para la presentación de informes CSRD, se recurrirá necesariamente a determinados paquetes de software como el ERP". Sin embargo, para el vicepresidente de transformación digital de Amrae, multiplicar los mapas en función de los diferentes riesgos no tendría sentido, e incluso podría resultar contraproducente. "Varios elementos de la directiva obligan a las empresas a adaptar sus métodos de evaluación de riesgos para cumplirlos y esto es cada vez más complejo", añade François Beaume. Hasta ahora, teníamos total libertad para organizarnos para la presentación de informes. Ahora, debemos cumplir con las normas ESRS (European Sustainability Reporting Standards).

Un SI esencial para el riesgo y la CSRD

El CSRD hace indispensable el sistema de información, ya que aumentará inevitablemente el volumen de indicadores recopilados por las empresas. "Sería difícil gestionarlo sólo con Excel", insiste François Beaume. "Se necesitarán herramientas específicas". Algunos editores como Kshuttle ya ofrecen soluciones de informes que también tienen en cuenta la directiva europea, según el representante de Amrae. Según este último, ya existen en el mercado una docena de ofertas especializadas. Sin embargo, elegir el software adecuado sigue siendo complejo.Como lo destacó a principios de año Emmanuelle Olivié-Paul, presidenta y fundadora de AdVaes.