O wyzwaniach związanych z raportowaniem ESG rozmawiamy z radcą prawnym z Legal Marine, Mateuszem Romowiczem.

Może zacznijmy od tego, czym jest raportowanie ESG?

Genezą raportowania ESG w aktualnych założeniach jest zobowiązanie podjęte przez Komisję Europejską w komunikacie z 11 grudnia 2019 r. „Europejski Zielony Ład”. Komunikat ten dotyczył przepisów dyrektywy Parlamentu Europejskiego i Rady 2013/34/UE w zakresie sprawozdawczości niefinansowej pod kątem ekologii. 

W efekcie powyższego Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2464 wprowadziła daleko idące zmiany w Dyrektywie Parlamentu Europejskiego i Rady 2013/34/UE z dnia 26 czerwca 2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek.

Analizując regulacje tej dyrektywy tzw. CSRD należy dojść do niepokojącego wniosku, iż zakres informacji niefinansowych podlegających sprawozdawczości dalece wykracza poza informacje związane z wpływem przedsiębiorstwa na środowisko naturalne. Mamy tutaj do czynienia z przedstawieniem informacji, stanowiących tajemnicę przedsiębiorstwa, model działania biznesowego oraz strategii biznesowej przy równoczesnym braku odpowiedniego ich zabezpieczenia. Polska, tak jak pozostałe państwa członkowskie UE, będzie miała teraz 18 miesięcy na implementowanie ww. regulacji do swojego porządku prawnego, co może zrodzić inne problemy.

Pamiętajmy, również, że ta forma raportowania nie ograniczy się tylko do państw Unii Europejskiej np. obowiązek ten istnieje już w Wielkiej Brytanii. W kwietniu 2022 r. Wielka Brytania wprowadziła do swojego porządku prawnego dwa akty prawne w tym zakresie: The Companies (Strategic Report) (Climate-related Financial Disclosure) Regulations 2022 i The Limited Liability Partnerships (Climate-related Financial Disclosure) Regulations 2022.

Dodatkowo raportowanie ESG jest już w pewnym zakresie obowiązkowe w Nowej Zelandii oraz Malezji. Prace nad obowiązkiem raportowania ESG trwają również w USA, w Kanadzie i w Chinach. 

Panie mecenasie, dlaczego okres 18 miesięcy na implementację dyrektywy może okazać się problematyczny?

Dyrektywa tworzy pewną ramę prawną dla poszczególnych państw członkowskich, które to państwa mają obowiązek ją wdrożyć zgodnie ze regulacjami krajowymi i UE, ale jak praktyka uczy również przy pewnych odmiennościach. Prowadzić to może do sytuacji, iż raportowanie ESG w każdym z państw członkowskich będzie miało swoje specyficzne różnice, a to z kolei prowadzić może do wielu komplikacji i dodatkowych kosztów dla przedsiębiorców z branży morskiej, których biznesy z reguły obejmują wiele państw unijnych, że o nadmiernej „biurokratyzacji biznesu” nie wspomnę.

Patrząc z perspektywy pewnej standaryzacji raportowania ESG wydaje się, iż lepszą drogą byłoby rozporządzenie unijne, które byłoby bezpośrednio stosowane. W obecnym modelu może okazać się, iż przedsiębiorca będzie zmuszony do dostosowania swoich standardów raportowania ESG do każdego z państw UE, w których ma partnerów biznesowych lub swój oddział. Taka sytuacja oczywiście wygeneruje dodatkowe koszty, ryzyka biznesowe i z pewnością w początkowej fazie znaczny chaos. 

Gwoli pewnego przypomnienia, przepisy dyrektywy przewidują trzystopniowy harmonogram zastosowania nowych obowiązków przez jednostki. 

Jako pierwsze informacje przedstawią (za rok obrotowy 2024) największe podmioty, które już obecnie raportują tzw. informacje niefinansowe na podstawie ustawy o rachunkowości. Są to duże jednostki zainteresowania publicznego, których liczba pracowników przekracza 500 osób.  Rok później pierwsze raporty przedstawią pozostałe duże jednostki. Małe i średnie spółki giełdowe złożą po raz pierwszy raporty za rok obrotowy 2026.

Panie mecenasie jakiś czas temu opublikował Pan artykuł, w którym dość krytycznie ocenił Pan wprowadzenie raportowania ESG. Dlaczego tak negatywne podejście do tego tematu?

W mojej ocenie jest to kolejny etap zbędnej biurokratyzacji biznesu, która biorąc pod uwagę narrację, która jej towarzyszy wydaje się być dość niepokojąco nielogiczna. Głównymi przyczynkiem do wprowadzenia kolejnego bardzo szerokiego obowiązku raportowania dla przedsiębiorców w postaci ESG jest ekologia. Moje obawy budzi to, że ostatnio bardzo modne hasło „ekologia” staje się zbyt często wytrychem do wprowadzania coraz to bardziej uciążliwych i irracjonalnych regulacji z perspektywy obranych celów. Przypominam, że przedsiębiorcy już są objęci różnego rodzaju raportowaniami, określają swój ślad węglowy, nałożono na nich rozległe obowiązki w zakresie raportowania fiskalnego, które są coraz bardziej uciążliwie, a legislacyjny potworek w postaci ochrony danych osobowych również nie ułatwił prowadzenia biznesów w Polsce i w państwach UE. 

Niestety w tym szaleństwie nikt nie pomyślał o zabezpieczeniu interesów samych przedsiębiorców, którzy będą zmuszeni do ujawniania wielu danych dotyczących ich modeli biznesowych, które w mojej opinii nie za bardzo są związane z ekologią, a mogą zostać w bardzo różnoraki i niekoniecznie dobry dla przedsiębiorców sposób wykorzystane np. chociażby w zakresie niedozwolonego wywiadu gospodarczego. 

W czym upatruje Pan największe ryzyka, jeśli chodzi o raportowanie ESG?

Myślę, że przede wszystkim w tym, że na dziś nie wiemy jak to raportowanie będzie faktycznie wyglądało. Mamy już oczywiście dość konkretny pogląd biorąc pod uwagę dyrektywę CSRD, ale jak zwykle diabeł tkwi w szczegółach. Każde państwo w ciągu najbliższych kilkunastu miesięcy implementuje tę dyrektywę zgodnie ze swoimi standardami legislacyjnymi przy zachowaniu pewnych odmienności. 

Z drugiej strony to czego się obawiam, to sytuacja, w której raportowanie ESG stanie się przyczynkiem do typowania przedsiębiorstw, które będą warte przejęcia przez państwo lub korporacje. Jakkolwiek by to nie brzmiało dla niektórych abstrakcyjnie, trzeba sobie powiedzieć wprost. Dane przekazane w zakresie ESG przy równoczesnym miernym polskim cyberbezpieczeństwie mogą bardzo szybko wpaść w niepowołane ręce i zostać wykorzystane w bardzo różnych celach. 

Kolejną kwestią, która jest dla mnie zastanawiająca to jak faktycznie obowiązek raportowania ESG będzie realizowany transgranicznie? Jeżeli przedsiębiorca z Polski będzie współpracował z partnerami biznesowymi przykładowo z Włoch, Hiszpanii i Danii to czy w każdym z tych państw będzie musiał wykazać się raportowaniem w zakresie ESG czy tylko w Polsce? Zapewne, jeśli otworzy swój oddział lub zakład w rozumieniu przepisów prawa podatkowego w danym państwie to zapewne taki wymóg będzie musiał spełnić. Co jednak w sytuacji, gdy polski przedsiębiorca będzie brał udział w przetargu zagranicznym? Stawiam te pytania, bo obawiam się, iż wiele państw UE może wykorzystać raportowanie ESG do tego, aby znaleźć pretekst to ograniczenia kręgu oferentów w zakresie przetargów chroniąc swój local content. 

Po wtóre warto również po raz kolejny podkreślić problem braku uregulowania i tym samym zabezpieczenia kwestii Big Data. 

No właśnie panie mecenasie, czy mógłby Pan przybliżyć problem Big Data w kontekście raportowania ESG?

Big Data to z reguły nieosobowe dane generowane i gromadzone automatycznie w ilościach masowych bez bezpośredniej ingerencji człowieka. W pewnym uproszczeniu sposobem na ich pozyskiwanie może być wykorzystywanie oprogramowania komputerowego (algorytmów) lub czujników przetwarzających dane dostarczane przy użyciu odpowiedniego oprzyrządowania. Obecnie, z uwagi na rozwój sztucznej inteligencji (AI) to właśnie Big Data stanowią bazę do nauki sztucznej inteligencji, co może kreować liczne ryzyka biorąc pod uwagę, iż algorytmy uczą się jak funkcjonujemy zarówno prywatnie jak i biznesowo. Big Data stało się użytecznym elementem biznesowym, a niekiedy nawet fundamentem prowadzonej działalności w wielu państwach. To co jest problemem to brak regulacji w tych przestrzeniach. 

Z uwagi na powyższe należy zastanowić się jak najskuteczniej można te dane chronić przed wykorzystaniem przez konkurentów.  W przypadku raportowania ESG nie widzę nawet podstawowego zakresu ochrony Big Data pozyskanych w procesie ww. raportowania. Jeżeli dodamy do tego bardzo słabe standardy w zakresie polskiego cyberbezpieczeństwa to należy zastanowić się jaki faktycznie zakres informacji powinien być ujawniany, bo z pewnością nie będzie on odpowiednio zabezpieczony w Polsce. 

Pamiętajmy, że nasza obecna rzeczywistość i z pewnością przyszłość opierać się będzie na Big Data wykorzystywanych przez sztuczną inteligencję (AI) w różnych celach np. diagnozowaniu, leczeniu, projektowaniu domów, dopasowywaniu jak najlepszych ofert dla konsumentów etc. Obecnie korporacje prześcigają się w pozyskiwaniu danych, które następnie służą jako źródło wiedzy do AI, co może być bardzo różnie wykorzystywane przez algorytmy. Big Data przypomina trochę sytuację z bronią palną. Broń palna sama w sobie jest po prostu rzeczą, którą możemy w różnoraki sposób wykorzystać np. sportowo, kolekcjonersko, do samoobrony etc., ale z uwagi na fakt, iż jest to rzecz tak niebezpieczna i może zostać wykorzystana w celach przestępczych posiadanie jej i używanie jej jest bardzo restrykcyjnie uregulowane w wielu państwach. 

Co ciekawe, Big Data, która niesie za sobą dużo większe ryzyka niż broń palna, a z pewnością ma dużo większą siłę rażenia jest sferą prawnie w sumie w ogóle nieuregulowaną, a Big Data już wykorzystuje się w wielu niecnych celach.  Świetnym tego przykładem jest historia działalność Cambridge Analytica, która wykorzystując Big Data przeprowadziła bezprecedensową akcje propagandową przy okazji m.in. wyborów w USA, które wygrał Donald Trump oraz referendum w zakresie Brexitu.  Działania tej firmy pokazały jak przerażająco skuteczne jest umiejętne wykorzystanie Big Data i mediów społecznościowych w celu wpłynięcia na opinię publiczną przy wyborach prezydenckich oraz w zakresie tak ważnego dla Wielkiej Brytanii referendum. Nie muszę chyba podkreślać, o ile prostsze będzie ewentualne wpłynięcie na dany biznes lub jego przejęcie a nawet zniszczenie przy użyciu Big Data i kilku dodatkowych instrumentów. 

Nie jest to zbyt optymistyczna wizja panie mecenasie, jakie są Pana rekomendacje?

Wizja może nie jest optymistyczna, ale są to realne zagrożenia, które powinny zostać w końcu wyartykułowane, bo wszyscy przyzwyczailiśmy się do coraz większych obowiązków sprawozdawczych i różnego rodzaju obostrzeń przy okazji, których ujawniamy bardzo dużo wrażliwych danych, które niestety nie są odpowiednio zabezpieczone ani faktycznie ani prawnie.

Z drugiej strony raportowanie ESG może okazać się dość niegroźne, aczkolwiek uciążliwe, trochę tak jak ochrona danych osobowych, której wprowadzeniu towarzyszyło sporo obaw i zawirowań. 

Uważam, że unijni ustawodawcy powinni położyć dużo większy nacisk na uregulowanie Big Data oraz AI niż kreowanie kolejnych obowiązków dla i tak już dociążonych przedsiębiorców. W mojej ocenie w takim podejściu, które jest prezentowane obecnie jest zbyt dużo asymetrii. Pamiętajmy, że przedsiębiorcy w Unii i tak borykają się w wieloma problemami, które wynikają z pandemii Covid-19, wojny a Ukrainie, kryzysu energetycznego etc. 

Z kolei kwestia bardzo modnej ekologii nie może być pretekstem do ujawniania tajemnicy przedsiębiorstwa, bez odpowiedniego zabezpieczenia tych danych. 

Dziękuję za rozmowę.

Rozmowę przeprowadziła Anna Filipek