Granskning utförd av tredje part

Hur den svenska granskningen går till har beskrivits ovan i avsnitt 6.1, men hur en tredjeparts-granskare skulle gå till väga, vad som granskas och hur det sker, återstår att diskutera. Här återkommer jag till ett i avsnitt 3.5.2 tidigare nämnt arbetspapper101 från Accountancy Europe som i ljuset av ändringsdirektivets införande i medlemsländerna resonerar kring hur behovet av oberoende granskning av hållbarhetsredovisningar har växt under en följd av år och hur revis-ionsbranschen kan ställa sig till denna utveckling.

6.3.1 Standardiserad granskningsprocess

Oavsett om en oberoende granskning av hållbarhetsrapporten i framtiden skulle göras obliga-torisk i Sverige eller om den oberoende granskningen kommer att förbli frivillig för bolagen, behöver det finnas ett standardiserat arbetssätt som tillämpas lika över olika bolag och olika marknader. En standard som används för att säkerställa en effektiv och likvärdigt granskning är ISAE 3000102 från den internationella revisions- och granskningsorganisationen IAASB103. ISAE 3000 behandlar specifikt granskning av icke-finansiell information. Granskningen defi-nieras som ”andra bestyrkandeuppdrag än revisioner och översiktliga granskningar av historisk finansiell information”. ISAE 3000 definierar ett bestyrkandeuppdrag som ett uppdrag där en revisor har som mål att inhämta tillräckliga och ändamålsenliga bevis för att kunna lämna ett

100 Se avsnitt 4.3.

101 Accountancy Europe oktober 2017. 102 ISAE 3000 (omarbetad).

103 International Auditing and Assurance Standards Board (IAASB) är en oberoende organisation som utfärdar internationella standarder för revision, kvalitetskontroller och granskningar. IAASB är knuten till den internation-ella redovisningsorganisationen IFAC, International Federation of Accountants.

uttalande som utformas så att det ökar graden av tilltro hos andra intressenter än utgivaren av informationen, paragraf 12 a.

För att följa standarden ISAE 3000 måste revisorn och övriga medlemmar i uppdragsteamet demonstrera en hög etisk nivå och ett gott yrkesmässigt omdöme inkluderande personlig in-tegritet, objektivitet, yrkeskunskap och noggrannhet, konfidentialitet samt professionellt bete-ende.104 Granskningen ska ske genom att utvärdera materialet samt sätta omfattning och be-gränsningar på granskningen, tidsramar och inriktning. Revisorn ska också utvärdera om de kriterier som informationen ska valideras mot är lämpligt, samt vidta övriga mått och steg som krävs för att uppnå ett meningsfullt resultat av granskningen. 105

Det finns enligt ISAE 3000 två nivåer på granskning, bestyrkandeuppdrag med rimlig säkerhet och bestyrkandeuppdrag med begränsad säkerhet, paragraf 12 a i. Rimlig säkerhet definieras som en mer omfattande granskning, ett uppdrag där revisorn minskar uppdragsrisken ”till en nivå som är godtagbart låg med hänsyn till uppdragsförhållandena”. Begränsad säkerhet defi-nieras som en mindre omfattande granskning, ett uppdrag där revisorn minskar uppdragsrisken ”till en nivå som är godtagbar med hänsyn till uppdragsförhållanden” och där risken är högre än för ett uppdrag med rimlig säkerhet. De två olika nivåerna skiljer sig i omfattningen på ar-betet, vilka procedurer som genomförs, vilka revisionsbevis som krävs och framför allt vilken riskreducering man genom granskningen uppnår för intressenterna. Tendensen på revisionssi-dan har varit att det blir vanligare med rimlig säkerhet och att granskning med begränsad sä-kerhet blir allt mindre vanligt.106

Vad som ska granskas kan sammanfattningsvis sägas vara den icke-finansiella informationen som ska valideras mot kriterier givna av det rapporteringsramverk107 som har valts. Hur gransk-ningsengagemanget ska utföras styrs i detalj av granskningsstandarden och av vald nivå på granskningsinsatsen.

104 ISAE 3000 (omarbetad) paragraf 3 a med hänvisning till ISQC 1. 105 Accountancy Europe oktober 2017 s. 3.

106 Frostenson, Helin och Sandström s. 103 f.

En tredjepartsgranskning kan givetvis redan idag göras på frivillig basis av de svenska bolag som omfattas av kravet på hållbarhetsrapport. Om bolaget rapporterar i enlighet med GRI ska det tydligt framgå av rapporten om den är externgranskad eller ej.108 I och med kravet på håll-barhetsrapport kommer granskningen att behöva utökas till att inte bara valideras mot kriteri-erna i rapporteringsramverket, utan också mot vad som i ÅRL och europarättsliga normer utgör tilläggskrav utöver vad ramverket anger. Här uppstår ett möjligt problem i att granskningen i praktiken måste ske mot två uppsättningar normer, ett legalt (ÅRL, europarättsliga dokument) och ett frivilligt (rapporteringsramverket), om bestyrkanderapporten ska kunna avse hållbar-hetsrapporten i sin helhet.

6.3.2 Certifiering av tredjepartsgranskare

En certifiering innebär ett godkännande av en utövare av granskningsverksamhet, där kompe-tens och rutiner prövas mot givna standarder. Eftersom ändringsdirektivet ger medlemsstaterna möjligheten att införa krav på att hållbarhetsrapporten verifieras av en oberoende leverantör av kvalitetssäkringstjänster, alltså en tredjepartsgranskare, kommer det i sådana stater där krav på externgranskning införs, även finnas behov av ackreditering av företag som kan utföra sådana granskningar.

Enligt EU-rätten och förordningen (EG) 765/2008 ska varje medlemsstat ha ett nationellt ack-rediteringsorgan som utses av medlemsstatens regering. I Sverige är det myndigheten Styrelsen för ackreditering och teknisk kontroll, SWEDAC, som har fått detta uppdrag genom förord-ningen (2009:895) med instruktion för Styrelsen för ackreditering och teknisk kontroll.

SWEDAC beslutar om ackreditering exempelvis av certifieringsbolag som ska utfärda certifi-kat för ledningssystemen ISO 9001 (kvalitet), ISO 14001 (miljö) och ISO 45001 (arbetsmiljö). Myndigheten har ett brett tillsynsuppdrag över laboratorier, certifierings- och kontrollorgan och har getts rätt att utfärda föreskrifter i serien STAFS109 genom författningssamlingsförordningen (1976:725).

108 Frostenson, Helin och Sandström s. 74.

I den franska rätten har den franska motsvarigheten till SWEDAC, COFRAC110, getts uppdra-get att ackreditera organisationer som granskar hållbarhetsrapporter. Den franska lösningen in-nebär att hållbarhetsrapporten utgör en del av förvaltningsberättelsen, men det är tredjeparts-granskaren, inte revisorn, som är ansvarig för granskningen. En liknande ackreditering skulle kunna införas även i Sverige, i det fall lagstiftaren väljer att i framtiden kräva en tredjeparts-granskning av hållbarhetsrapporten.

6.3.3 Vad en tredjepartsgranskning bör omfatta utöver rapporteringsramverkets kriterier

En tredjepartsgranskning av hållbarhetsrapporten innebär som nämnts att rapporten inte bara valideras mot kriterierna i rapporteringsramverket utan även mot ÅRL och europarättsliga nor-mer. Vad är det då som ska granskas i det avseendet? Det måste bli en prövning mot hela 6 kap. 12 § med dess europarättsliga bakgrund och svenska förarbeten. Jag vill i sammanhanget belysa några särskilda bedömningar som blir aktuella vid granskning.

Granskaren behöver, förutom vad rapporteringsramverkets kriterier anger, verifiera att hållbar-hetsrapporten innehåller upplysningar i frågor som berör miljö, sociala förhållanden, personal, respekt för mänskliga rättigheter och motverkande av korruption. I detta sammanhang ska fö-retaget ange vilken policy föfö-retaget tillämpar, granskningsförfaranden som genomförts och re-sultatet av policyn. Det torde vara en relativt rättfram uppgift som stöds av redan befintliga processer i företaget kring miljö-, arbetsmiljöpolicyer och personalpolicy. Granskningen bör heller inte bli så svår.

En svårare fråga med besvärliga gränsdragningar har sitt ursprung i punkten 4 i 6 kap. 12 § ÅRL. Hållbarhetsrapporten ska enligt punkten ange ”de väsentliga risker som rör [hållbar-hets]frågorna och [..] när det är relevant, företagets affärsförbindelser, produkter eller tjänster som sannolikt får negativa konsekvenser”. I ändringsdirektivets skäl 8 utvecklas detta till att omfatta leverantörs- och underleverantörskedjor. Bedömning företagsledningen har gjort av

väsentlighet och relevans för uppgifterna i hållbarhetsrapporten ska således verifieras med

hän-syn tagen till förutsättningar utanför företagets egen, direkt bedrivna verksamhet. Här får granskaren inte bara förlita sig på företagets uppgifter utan måste ha kontakt med externa

110 Jfr. avsnitt 6.2.

intressenter för att kunna verifiera informationen i hållbarhetsrapporten. Förfarandet liknar det vid finansiell revision, när revisorn inte enbart kan ha företagets ledning och ekonomiavdelning som källor utan måste inhämta förstahandsuppgifter och revisionsbevis från banker, kunder och leverantörer, till exempel för kontroll av balansposter. Just de gjorda väsentlighetsbedömning-arna är kanske svårast att verifiera. Det besvärligaste är inte heller att avgöra om en viss angiven uppgift är väsentlig och relevant, utan snarare att veta om någon väsentlig och relevant uppgift har utelämnats från hållbarhetsrapporten.

Granskaren ska också verifiera punkten 6 i 6 kap. 12 § ÅRL om centrala resultatindikatorer av relevans för verksamheten. I den verifieringen ingår givetvis en bedömning om en resultatindi-kator verkligen är central och relevant, en avvägning som är svår att göra. En bedömning be-höver också göras om centrala- och/eller relevanta indikatorer har utelämnats.

Med detta sagt ska slutsatsen inte dras att den externa granskarens uppgift är omöjlig. Istället ska konstateras att samma utmaningar som företagsledningen möter vid upprättandet av håll-barhetsrapporten också möter granskaren av rapporten. En nära likhet föreligger således med granskningen av årsredovisningens övriga delar. Där företagsledningen gör svåra redovisnings-mässiga bedömningar, speglas det av motsvarande svåra bedömningar i revisionen.