Och kommer revisorerna kunna kvalitetssäkra sådan rapportering?
Utökad extern rapportering är ett samlingsnamn för ett antal olika rapporter och uppgifter som har det gemensamt att de inte avser att lämna finansiell information utan annan information. I denna artikel belyser Mats Olsson utvecklingen inom området.
Utökad extern rapportering, så kallad EER (extended external reporting, tidigare definierat som emerging external reporting), är ett samlingsnamn för ett antal olika rapporter och uppgifter vilka har det gemensamt att de inte avser lämna finansiell information utan annan information. Exempel på sådana rapporter och uppgifter är:
KPI:er, det vill säga nyckeltal. Det finns en rad nyckeltal vilka inte inkluderas i den eventuellt förekommande revisionen utan ligger utanför denna. Det gäller många gånger uppgifter vars värde för till exempel investerare är väl så högt som den finansiella rapporten i sig. Det kan gälla nyckeltal som rör personal, resursförbrukning, kundrelationer samt även uppgifter om underleverantörers påverkan av de tjänster och produkter man levererar.
Riskhantering. Redovisningen av en verksamhets riskbeskrivning.
Integrerad rapportering. Att beskriva en verksamhets strategi, styrning, resultat och potential att skapa värde över tid.
Miljöredovisning. Allt fler organisationer redovisar i dag sin miljöpåverkan på olika sätt, såväl på grund av lagstiftning som frivilligt.
Hållbarhetsredovisning. Större företag har sedan några år i Sverige lagkrav på hållbarhetsredovisning där man bland annat beskriver ekonomiska, miljömässiga och sociala områden.
I denna artikel beskriver jag översiktligt vart utvecklingen är på väg rörande den utökade externa rapporteringen och med den det från revisorn följande bestyrkandet utifrån det arbete som sedan början av 2018 sker i IAASB (International Auditing and Assurance Standards Board). IAASB har tillsatt en arbetsgrupp som arbetar med dessa frågor. Kopplat till denna arbetsgrupp finns ett antal experter från olika delar av såväl världen som näringslivet.
Arbetet som bedrivs liknar IAASB vid ett husbygge där man nu är i slutet av fas 1, se figur 1.
Revisorn måste kunna branschen
Ett intressant problemområde IAASB tidigt stött på i arbetet med EER är hur revisorn ska kunna verifiera att informationen som lämnas inte ger felaktiga signaler till omvärlden, även om den i sak är korrekt. Det finns sannolikt nyckeltal som är viktiga för en verksamhet men som kan leda läsaren till felaktiga slutsatser. Detsamma torde gälla till exempel riskhantering och hållbarhet. Revisorn måste alltså vara så bekant med branschen i allmänhet och organisationen i synnerhet att man kan verifiera att den lämnade informationen är:
relevant,
komplett,
neutral,
tillförlitlig samt
begriplig.
Då det i flera fall av bestyrkande kan komma att handla om att intyga beskrivningar i text, prydda med väl valda data, så kommer revisorns arbete precis som i revisionsarbetet inte bara handla om att det som ”finns där” också bör och ska finnas där, utan väl så mycket om ”vad som borde funnits där”. För det sistnämnda krävs flera av de klassiska attributen för en god revisor – erfarenhet, skepticism och oberoende.
Vidare måste den som upprättar rapporten göra lämpliga avgränsningar, och här märks skillnader mot traditionell ekonomisk rapportering. Antag att ett byggnadsbolag till exempel vill visa sin värdekedja eller sin miljöpåverkan. Då inhämtas uppgifter från såväl varuleverantörer som underentreprenörer. Dessa kan i sin tur ha materialleverantörer och underleverantörer. Frågan är var man ska sätta gränsen? Vad är tillräckligt för att lämnad information från ”ditt” byggnadsbolag ska bli relevant – och hur ska sådan information, som kan omfatta icke-finansiell information i flera led vid sidan om kundens egen, kunna granskas på ett effektivt sätt?
Fler utmaningar
Ett annat exempel som visar på utmaningar jämfört med ”vanlig” revision kan till exempel röra en maskin eller en maskinpark. Som revisor bekräftar du värde, existens och tillhörighet och det finns ganska klara regler för hur man verifierar detta. I en EER-rapport kanske du ska bestyrka när maskinen är byggd eller genomsnittsåldern på maskinparken, var den fysiskt finns, hur många enheter den kan producera per timma, hur många enheter den producerat rent faktiskt senaste året och så vidare. Helt eller delvis kan man som intygslämnare hamna i situationer man inte kunnat förutse och det är därför givetvis extra viktigt att innan man tar på sig ett EER-uppdrag ha uppdragets omfattning samt förutsättningar så klara som möjligt för sig.
Den som upprättar rapporten har ansvar för densamma inklusive val av vilken information som lämnas, vad den baseras på, att den är komplett, relevant, tillförlitlig, begriplig samt neutral. Revisorn, den som bestyrker, har som uppgift att bedöma att rapporten har ett rationellt syfte. Revisorn ska vidare hitta vägar för att verifiera de olika påståenden som rapporten innehåller samt dra slutsatser och kommunicera dem i en bestyrkanderapport.
”Husbygget” med den utökade externa rapporteringen (EER)
FIGUR 1 IAASB:s ”husbygge”
IAASB:s arbete med utökad extern rapportering, så kallad EER, är nu så långt kommet att man i början av 2019 avser att lämna ett exposure draft över första fasen av arbetet. Under våren är det möjligt att lämna synpunkter och därefter går IAASB vidare i processen.
IAASB:s avsikt är att i möjligaste mån standardisera revisorernas rapportering rörande de nya områdena av icke-finansiell information på vis att den ska kunna gå att granska i enlighet med ISAE3000. Initialt har man identifierat tio ”key challenges”.
De tio ”key challenges” är:
Fastställande av ramarna för det specifika EER-uppdraget
Utvärdering av lämpliga kriterier på ett konsistent vis
Beaktande av väsentlighetskriteriet för att avgöra vad som ska framgå av rapporten
Fastställande av påståenden
Mognadsgraden i organisationens ledning samt den interna kontrollen
Hur man säkerställer att den beskrivande informationen (vilken kan vara kortare eller längre ”story-telling”) från organisationen är relevant
Hur man säkerställer relevansen i framtids orienterad information
Hur man tillämpar professionell skepticism samt professionellt omdöme
Hur man säkerställer att man har adekvat kompetens tillgänglig för genomförandet av uppdraget
Hur man kommunicerar på ett tydligt sätt i sitt bestyrkande
Hur dessa kopplas till den befintliga ISAE3000 framgår av figur 2 på nästa sida.
Ett problem är den i flera fall bristande mognadsgraden hos de rapporterande organisationerna. EER är en så pass ung vetenskap att många upplever problem redan när det handlar om definitioner (av till exempel KPI:er) samt till exempel kraftigt varierande mognadsgrader på interna processer och kontroller hos de uppgiftslämnande organisationerna. Dessutom görs iakttagelsen att de som rapporterar har en tendens att välja ”fördelaktig information” och alltså exkludera eventuellt negativ information. I detta avseende kan revisorerna få en intressant roll. Antag att alla företag i en viss bransch initialt väljer att redovisa viss icke-finansiell information, information som i sig är korrekt men som kan leda läsaren till beslut som inte hade fattats med en mer rättvisande beskrivning. Om inte vi som bransch uppmärksammar detta, kan det ju bli så att ”när alla säger fel, då blir det rätt”, något som i detta läge måste betecknas som en risk.
En annan intressant skillnad är hur väsentlighetskriteriet hanteras. Vid granskning av finansiell information är det ju i regel kvantitativa siffror som arbetas fram som grund för vad en revisor anser vara väsentligt. När vi ska granska icke-finansiell information hamnar vi i en annan situation. Vi får då ta ställning till vilken information som är väsentlig givet att den kan få stor påverkan på tredje mans agerande, men samtidigt bedöma om informationen i sak bör vara av intresse för den avsedda målgruppen. I den bästa av världar skulle dessa båda bedömningar sammanfalla, se den prickade linjen i figur 3, men sådan är inte verkligheten. Vi har dessutom inga belopp att ”luta oss mot”.
Figur 2
Kopplingen mellan EER och ISAE3000
ISAE3000 | EER-uppdrag | ||
---|---|---|---|
Struktur | Punkt i ISAE3000 | Key challenge | |
Accept av uppdraget, p 21–23 | 21–23 | ||
Förutsättningar för uppdraget, p 24–26 | 24–26 | 5 | Mognadsgrad i governance och intern kontroll |
Uppdragsbrev/avtalsvillkor, p 27–29 | 27–29 | 1 | Fastställande av EER-uppdraget |
Kvalitetskontroll | |||
Krav på ansvarig revisor, p 31, 33–35 | 33–35 | 9 | Säkerställa att rätt och tillräcklig kompetens finns för uppdraget |
Sammansättning av teamet, p 32 | 32 | 9 | Säkerställa att rätt och tillräcklig kompetens finns för uppdraget |
Uppdragsanknuten kvalitetskontroll, p 36 | 36 | ||
Prof skeptiskt inställning, prof omdöme och skicklighet i och tekniker för bestyrkande, p 37–39 | 37–39 | 8 | Utöva profesionell skepticism och professionellt omdöme |
Planera och utföra uppdraget, p 40 | 40 | ||
Fastställa om kriterierna passar omständigheterna i uppdraget, p 41–43 | 41–43 | 2 | Bedöma lämpligheten av kriterias konsistens över tid |
Väsentlighet, p 44 | 44 | 3 | Använda väsentliga begrepp för att bedöma vad som bör ingå i rapporten |
Förstå det underliggande granskningsobjektet och andra omständigheter för uppdraget, p 45 | 45 | ||
Inhämta bevis, p 48 | 48 | ||
Övervägande av risk och hantering av risk, p 48 B | 48B | 4 | Göra uttalanden och antaganden |
Utforma och utföra åtgärder för att hantera de bedömda riskerna, p 48 B–50 | 48B–50 | 4, 6, 7 | Hantera bestyrkande av berättande information |
Arbete utfört av en specialist, p 52–55 | 52–55 | 7 | Hantera bestyrkande av framtidsorienterande information |
Skriftliga uttalanden, p 56–60 | 56–60 | 4, 6, 7 | Väsentlighet i genomförandet |
Efterföljande händelser, p 61 | 61 | ||
Annan information, p 62 | 62 | ||
Beskrivning av tillämpa kriterier, p 63 | 63 | ||
Dra slutsatser, p 64–66 | 64–66 | ||
Utvärdering av tillräcklighet och riktighet i de bevis som inhämtas, p 64 | 64 | ||
Bedöma om det finns väsentliga ej korrigerade felaktigheter, p 65 | 65 | 3 | Bedöma om lämnad information är fri från väsentliga felaktigheter |
Upprätta bestyrkanderapporten, p 67–77 | 67–77 | 10 | Kommunicera tydligt i bestyrkanderapporten |
IAASB:s arbete är nu i inne i den senare delen av första fasen. Som framgår av figur 1 är det en hel del arbete som återstår. Under den världsturné som gjordes under hösten 2018, och där jag hade möjlighet att delta vid ett möte i Bryssel, har framkommit att användare av bestyrkta rapporter fortfarande lever i vantro om vad en begränsad säkerhet är i förhållande till en rimlig säkerhet.
Utvecklingen går snabbt men den kanske största frågan för vår bransch är om det verkligen kommer att finnas en efterfrågan på andra bestyrkanden än lagstadgade? Och kommer omvärlden någonsin begripa vad vi intygar samt med vilken grad av säkerhet? Tankarna går osökt till vad den franske filosofen Voltaire påstås ha skrivit en gång: ”Det enda vi vet med säkerhet är att allt är osäkert.”
Figur 3 Bedömning av väsentligheten
Mats Olsson
är auktoriserad revisor på Adrian & Partners i Göteborg, tidigare ledamot samt vice ordförande i IFAC:s SMP-kommitté 2012–2017.