Hvilke standarder er aktuelle for attestasjon av bærekraftsrapportering?

Det er i CSRD ikke fastsatt hvilke standarder som skal benyttes for attestasjonen, men det er lagt opp til at EU-kommisjonen på et senere tidspunkt^{*Innen 1. oktober 2026 for moderat sikkerhet og innen 1. oktober 2028 for betryggende sikkerhet.} skal vedta hvilke standarder som skal anvendes.

The International Auditing and Assurance Standards Board (IAASB), som utarbeider standardene som benyttes i dag for blant annet revisjon og attestasjoner, jobber med en egen standard for attestasjon av bærekraftsrapportering, International Standard for Sustainability Assurance (ISSA) 5000. Denne standarden skal etter planen vedtas i løpet av 2024 og vil etter all sannsynlighet bli den standarden som vil bli gjeldende for attestasjon av bærekraftsrapportering etter CSRD. I tillegg til denne standarden utarbeides det en veiledning fra Committee of European Auditing Oversight Bodies (CEAOB) for å dekke eventuelle EU-spesifikke elementer. Denne veiledningen forventes også i løpet av 2024.

Inntil det er fastsatt felles standarder som skal gjelde i EU, er det opp til landene selv å bestemme hvilke standarder som skal benyttes. I Norge er dette regulert i revisorloven § 9-4 a, som fastsetter at revisorene skal gjennomføre oppdragene i samsvar med god revisjonsskikk for attestasjon av pliktig bærekraftsrapportering. Det forklares videre at dette blant annet innebærer at revisor skal

1. opparbeide seg en forståelse av virksomheten, den interne kontrollen og andre forhold som kan være av betydning for attestasjonen av bærekraftsrapporteringen,

2. identifisere risikoene for vesentlig feilinformasjon i bærekraftsrapporteringen, enten det skyldes misligheter eller utilsiktede feil,

3. utforme og gjennomføre attestasjonshandlinger for å håndtere de identifiserte risikoene,

4. innhente tilstrekkelig og hensiktsmessig bevis for sin attestasjonsuttalelse om bærekraftsrapporteringen.

Vi har allerede i dag standarder som benyttes ved attestasjoner av bærekraftsrapportering, og som gir innhold til god revisjonsskikk for attestasjon av bærekraftsrapportering inntil egne standarder blir utarbeidet. Aktuelle gjeldende standarder:

• ISAE 3000 (revidert) - Attestasjonsoppdrag som ikke er revisjon eller forenklet revisorkontroll av historisk finansiell informasjon – generell standard som kan benyttes for attestasjoner av bærekraftsinformasjon. Denne standarden omfatter både oppdrag med moderat og betryggende sikkerhet.

• ISAE 3410 Attestatsjonsoppdrag om klimagassrapporter – spesifikk standard som gjelder dersom det skal avgis en attestasjon av en enhets klimagassrapport.

I tillegg har IAASB utarbeidet en veiledning^{*Non-Authoritative Guidance on Applying ISAE 3000 (Revised) to Sustainability and Other Extended External Reporting (EER) Assurance Engagements} om anvendelse av ISAE 3000 på attestasjon av bærekraftsrapportering, som gir god veiledning for disse oppdragene.

Om attestasjon og nivåer av sikkerhet

Som nevnt tidligere er det ved innføringen krav om attestasjon med moderat sikkerhet.^{*Moderat sikkerhet (limited assurance) – Målet med et attestasjonsoppdrag som skal gi moderat sikkerhet, er å redusere risikoen ved attestasjonsoppdraget til et nivå som er akseptabelt under hensyn til omstendighetene ved oppdraget, men der risikoen er større enn ved et attestasjonsoppdrag som skal gi betryggende sikkerhet, som grunnlag for at revisors konklusjon kan uttrykkes i en negativ form.} På et senere tidspunkt innføres krav om attestasjon med betryggende sikkerhet^{*Betryggende sikkerhet (reasonable assurance) – Målet med et attestasjonsoppdrag som skal gi betryggende sikkerhet, er å redusere risikoen ved attestasjonsoppdraget til et akseptabelt lavt nivå under hensyn til oppdraget, som gir grunnlag for at revisors konklusjon kan uttrykkes i en positiv form.}. Nedenfor vil jeg beskrive litt om innholdet i disse, og overordnet vise hva som er forskjellene og likhetene på attestasjon med moderat og betryggende sikkerhet.

Felles for både attestasjonsoppdrag med moderat og betryggende sikkerhet er at de har som formål å tilføre tillit til om det som rapporteres er riktig. Kravene som stilles til de som skal avgi bærekraftsrapporteringen, er de samme uavhengig av hvilken sikkerhet attestasjonen skal gis med. Det vil si at det er de samme kravene til både omfang og kvalitet til bærekraftsrapporteringen uavhengig av hvilken sikkerhet attestasjonen skal avgis med, eller om den ikke skal attesteres.

En attestasjon med betryggende sikkerhet kan på mange måter sammenlignes med en revisjon av et årsregnskap. En revisjonsberetning forteller deg om regnskapet oppfyller gjeldende lovkrav og ikke inneholder vesentlig feilinformasjon. Revisors uttalelse inneholder en konklusjon i positiv form, det vil si en form for bekreftelse. En attestasjonsuttalelse for en bærekraftsrapport med betryggende sikkerhet vil i stor grad ha samme form og innhold som en revisjonsberetning.

En attestasjon med moderat sikkerhet følger en del av samme metodikk og fremgangsmåte som ved en revisjon eller attestasjon med betryggende sikkerhet, men er ikke like omfattende, og sikkerheten som oppnås, er lavere. Revisors uttalelse inneholder en konklusjon i negativ form, det vil si at revisoren uttaler om han/hun er blitt oppmerksom på forhold som gir ham/henne grunn til å tro at bærekraftsrapporten inneholder vesentlig feilinformasjon. Ved oppdrag der konklusjonen gis med moderat sikkerhet, gjennomføres færre og mindre omfattende handlinger enn ved betryggende sikkerhet da det kreves mindre bevis for å kunne avlegge uttalelsen.

Ved både moderat og betryggende sikkerhet er fremgangsmåten for revisor risikobasert. Det vil si at revisor opparbeider seg en forståelse av virksomheten, intern kontroll og andre forhold som kan være av betydning for attestasjonen, og at det er denne forståelsen som danner grunnlag for det videre arbeidet.

For oppdrag med moderat sikkerhet vil revisors fremgangsmåte generelt være på et noe mer aggregert nivå enn ved betryggende sikkerhet. Handlingene som gjennomføres av revisor, vil også kunne være forskjellige i omfang og type ved at oppdrag med moderat sikkerhet baserer seg i større grad på forespørsler, observasjoner og analytiske handlinger på mer aggregert nivå enn ved betryggende sikkerhet. Revisors arbeid vil gå mer i detaljer basert på for eksempel funn i de analytiske handlingene. De gjennomførte handlingene vil danne grunnlag for uttalelsen hvor revisoren uttaler om han/hun er blitt oppmerksom på forhold som gir grunn til å tro at informasjonen om bærekraftsrapporten inneholder vesentlig feilinformasjon. Ved oppdrag med betryggende sikkerhet vil handlingene være mer omfattende og gjøres på et mer detaljert nivå, da de skal danne grunnlag for en konklusjon der revisor gir utrykk for om bærekraftsrapporteringen er avlagt etter gjeldende lovkrav og ikke inneholder vesentlig feilinformasjon.

Selv om arbeidet som gjennomføres ved oppdrag med moderat sikkerhet er noe mer aggregert enn ved betryggende sikkerhet, vil attestasjon av bærekraftsrapportering med moderat sikkerhet være omfattende og arbeidskrevende. Det er en del faktorer som spesielt de første årene vil påvirke arbeidet som kreves, uavhengig av sikkerhetsnivå i attestasjonen. Noen av disse er at det kan være første gang selskapene rapporterer, og at de ikke har samme etablerte rutiner og kontroller for innsamling, sammenstilling og rapportering som ved finansiell rapportering, rapporteringsstandardene er nye (ESRS), rapporteringen omfatter mange ulike områder, og det vil kunne være større behov for bruk av spesialister enn ved revisjon av finansiell revisjon.