Slik jobber en bærekraftsrevisor

Snart går landets første bærekraftsrevisorer i gang med å revidere CSRD-rapportene til norske selskaper. Men hvordan jobber en bærekraftsrevisor? Hvordan strukturerer de arbeidet, hvordan bør CFO forberede seg, hvor finner de flest feil, og hva driver opp antall fakturerte timer?

Nina Rafen er partner og leder for Climate Change and Sustainability Services (CCASS) i EY. Hun sier at revisors gjennomgang av selskapets bærekraftsrapport objektivt sett handler om å vurdere hvorvidt rapporteringen følger gjeldende lover og standarder, som regnskapsloven § 2-3, de europeiske standardene for bærekraftsrapportering (ESRS) og EU-taksonomien. 

– Selv om det i denne runden er snakk om moderat grad av sikkerhet, øker dette tilliten til informasjonen. Det er i praksis en prosess som innebærer forståekse fir selskapets bærekraftsstrategi, forretningsmodell, risikobilde og rapporteringsprosess, sier hun. 

Går gjennom grunnlaget for rapporteringen

Første steg er å få en oversikt over hvordan selskapet har utarbeidet bærekraftsrapporten. Det omfatter:

• Dobbelt vesentlighetsvurderinger: Hvilke bærekraftsforhold har selskapet vurdert som vesentlige målt opp mot påvirkning, finansiell risiko og muligheter? Er det snakk om miljøpåvirkning, sosiale forhold, styring eller andre forhold?

• Kontrollsystemer: Hvilke prosesser, rutiner og kontroller sikrer at det er pålitelig informasjon som rapporteres?

• Datainnsamling og bearbeiding: Hvilke kilder er brukt, og hvilken metodikk er fulgt for å beregne for eksempel klimagassutslipp eller sosiale nøkkeltall?

Rafen understreker at denne fasen er kritisk, siden den danner grunnlag for revisors risikovurdering.

 – Vi ser at selskapene til sin bærekraftsrapportering trenger en mer omfattende vurdering av, og informasjon fra, andre deler av virksomheten enn det man er vant til fra finansiell rapportering. CFOen trenger derfor å samarbeide med flere deler av organisasjonen, fra ingeniører til HR, for å sikre at dataene er relevante og pålitelige. 

Revisor vil typisk snakke med nøkkelpersoner i selskapet, lese interne dokumenter og vurdere informasjonen – og eventuelt estimatene – som selskapet benytter for å oppfylle kravene i ESRS. Hvis selskapet for eksempel oppgir at de rapporterer på utslipp fra hele verdikjeden (scope 3), vurderer revisor hvorvidt dette gjøres på en pålitelig måte.

Evaluering av innholdet i selve bærekraftsrapporten

Neste steg er å vurdere om nødvendig informasjon er med i rapporten, basert på ESRS, EU-taksonomien og selskapets vesentlighetsvurdering.

– Når dobbeltvesentlighetsanalysen er vurdert, kommer vi til selve rapporteringen. Standardene sier at man skal rapportere på blant annet styring og kontroll, mål og strategi, policyer og KPI-er. Revisor prioriterer handlingene på grunnlag av risiko for vesentlige feil, sier Rafen.

– Når vi skal avgi en beretning med moderat sikkerhet, betyr det at vi gjør en risikobasert tilnærming. Vi ser på områder hvor vi tror det er størst sannsynlighet for vesentlig feilinformasjon. På noen områder går vi ned og tester datakvalitet, mens vi på andre områder i større grad bruker analyser og forespørsler til ledelsen, sier Rafen.

En viktig del av dette er å vurdere selskapets estimater og strategiske mål. Dersom selskapet for eksempel har ambisjoner om å kutte 40 prosent av sine klimagassutslipp innen fem år, vil revisor undersøke om tallene for dagens utslipp er pålitelige, og om selskapet faktisk har en plan for å nå målet.

Identifisere risiko og mulige feil

I den tredje fasen ser revisor på områder med risiko for feilinformasjon. Det kan dreie seg om feilaktige beregninger av nøkkeltall, ufullstendige opplysninger eller andre feil. Risikoen for bevisst skjønnmaling (grønn- eller sosialvasking) må også vurderes.

Rafen sier at det ofte er større risiko for feil i tallene som kommer fra deler av organisasjonen som ikke er vant til å rapportere tall – og hvor prosessene eller prinsippene for rapportering fortsatt er umodne. Dette kan for eksempel være opplysninger om forbruk, eller utslippsdata som aldri har vært gjenstand for ekstern kontroll eller revisjon. Hvis tallene hentes fra manuelle Excel-ark eller e-poster, øker risikoen også.

Ifølge Rafen er feiltypene flere, men de dukker gjerne opp når selskapet må hente informasjon fra miljøer som ikke er vant til rapportering. Avvikende tall eller manglende dokumentasjon er gjengangere.

– Dersom vi begynner å finne avvik i ett område, kan det endre risikovurderingen og føre til at vi utvider arbeidet også andre steder i rapporten. Gjennom vårt arbeid og dialog med selskapene kommer vi også med observasjoner i forhold til forbedringsmuligheter i både rapporteringen og rapporteringsprosessen, sier hun.

Attestasjonen: Selve uttalelsen

Til slutt utformer revisor sin attestasjonsuttalelse. Ved moderat sikkerhet konkluderer revisor med at:

• De ikke har funnet noe som tyder på vesentlige feil.

• Det fortsatt er en viss risiko for feil, siden man ikke har undersøkt alle detaljer.

– Det er en stor forskjell mellom betryggende grad av sikkerhet, som tilsvarer revisjon av finansregnskapset, og moderat sikkerhetsom vi skal gi. EU mener at det vil være krevende for selskapene å gå rett til betryggende sikkerhet, fordi det krever svært modne prosesser. Derfor er det en gradvis innfasing, der selskapene skal rapportere fullt ut i samsvar, men revisor gjør mer begrensede handlinger i for å kunne gi moderat grad av sikkerhet i starten.

Dersom revisor finner vesentlige svakheter i rapporteringen, kan det bli aktuelt å presisere dette i uttalelsen. De kan for eksempel påpeke at sammenligningstall fra tidligere år ikke er revidert, eller at de har merknader til visse påstander, men uten at det nødvendigvis gir grunnlag for å trekke hele rapporten i tvil.

Å få en moderat attestasjonsuttalelse fra revisor er altså ikke en garanti for at alt er korrekt, menat revisor ikke er kjent med forhold som tilsier at rapporteringen ikke er i samsvar med kravene.

1. Større troverdighet overfor investorer og myndigheter: Attestasjonen gir en uavhengig vurdering av selskapets bærekraftsinformasjon.

2. I tråd med lovkrav: Rapporteringen følger regnskapsloven, ESRS og eventuelt EU-taksonomien der det er relevant.

3. Identifiserte forbedringsområder: Revisor vil typisk gi konkrete tilbakemeldinger på hva selskapet kan forbedre til neste rapporteringsrunde.

Tips til CFO for smidigere (og billigere) prosess

CFOen spiller en viktig rolle i å samle inn og kvalitetssikre data, men det er sjelden økonomiavdelingen kan sitte på hele ansvaret. Tverrfaglig samarbeid er helt nødvendig, særlig der rapporteringen krever teknisk informasjon om utslipp eller sosiale forhold i leverandørkjeden.

– Jo bedre systemer og interne kontroller du har rundt den rapporteringen, jo enklere blir det for revisor å stole på prosessene. Hvis CFO har dokumentert datafangsten grundig, med klare prosedyrer, slipper man at revisor må teste like mye i detalj. Da reduseres også timeantallet og kostnadene, sier Rafen.

Hun understreker at selskapet kan engasjere en ekstern rådgiver til å bygge opp rapporteringsstrukturen, siden revisor er underlagt uavhengighetsregler. Det er likevel helt vanlig med flere runder med diskusjon mellom revisor og selskapet om tolkningsspørsmål og lovkrav.

Kostnaden for en bærekraftsrevisjon med moderat sikkerhet varierer mye. Dersom selskapet har gode prosesser, trenger revisor færre timer. Har selskapet ingen etablert praksis, vil revisor bruke mer tid og dermed gi en høyere faktura. Rafen viser til at europeiske anslag – som også kom til uttrykk i NOU’en ved det norske lovarbeidet – antyder en økning på 20-30 prosent sammenlignet med en vanlig, finansiell revisjon.