EU-kommissionen inför krav på bestyrkning av hållbarhetsrapporter 2026. Om ditt företag rapporterar enligt CSRD måste ni förstå vad detta innebär — och vad revisorn nu kommer att granska i er rapport.
Den nya bestyrkandestandarden för hållbarhetsrapportering träder i kraft senast 1 oktober 2026. Wave 1-bolag som redan rapporterar för räkenskapsår 2024 berörs direkt. Här förklarar vi vad limited assurance innebär, hur det skiljer sig från annan revision, och vad ni behöver göra nu.
Vad är bestyrkning av hållbarhetsrapporter?
Bestyrkning (på engelska: assurance) innebär att en oberoende granskare — vanligtvis en revisor — verifierar att informationen i er hållbarhetsrapport är korrekt och tillförlitlig. Det är inte detsamma som redovisningsrevision av finansiella rapporter, men logiken är densamma: en extern part intygar att ni har gjort som ni påstår.
Enligt CSRD-direktivet är bestyrkning av hållbarhetsinformation obligatorisk för alla bolag som omfattas. EU-kommissionen antog de första riktlinjerna under 2025, och den fullständiga bestyrkandestandarden fastställs senast 1 oktober 2026.
För Wave 1-bolag (stora börsnoterade företag, banker och försäkringsbolag med rapporteringsplikt från räkenskapsår 2024) innebär detta att revisionsdialogen är här — nu.
Vad innebär limited assurance — och hur skiljer det sig från reasonable assurance?
EU inför hållbarhetsbestyrkning i två steg:
- Limited assurance (begränsad granskning) — det obligatoriska startkravet. Revisorn granskar om det finns väsentliga felaktigheter i er hållbarhetsrapport, men granskningen är begränsad i sin djuphet. Slutsatsen formuleras negativt: ”Vi har inte funnit något som tyder på att rapporten innehåller väsentliga felaktigheter.”
- Reasonable assurance (rimlig säkerhet) — den djupare granskningen som EU planerar att introducera på sikt, troligen efter 2030. Revisorn genomför en mer omfattande granskning och formulerar ett positivt utlåtande: ”Vi bekräftar att rapporten ger en rättvisande bild.”
Skillnaden är inte bara semantisk. Limited assurance kräver att era processer, datainsamlingsrutiner och interna kontroller är tillräckligt väldokumenterade för att en extern granskare ska kunna bilda sig en uppfattning. Det räcker inte att ha rätt siffror — ni måste också kunna visa hur ni kom fram till dem.
För att förbereda er organisation för revision kan ni läsa mer om HoloHouses hållbarhetskonsulttjänster och hur vi stödjer företag i CSRD-implementeringen.
Vad kräver EU:s nya bestyrkandestandard (ISSA 5000)?
Den internationella revisorsorganisationen IAASB (International Auditing and Assurance Standards Board) har tagit fram en ny hållbarhetsspecifik bestyrkandestandard: ISSA 5000. EU-kommissionen baserar den europeiska standarden på detta ramverk.
ISSA 5000 kräver att revisorn granskar:
- Datakvalitet och spårbarhet: Kan ni visa varifrån era siffror kommer? Är mätmetoderna konsekventa mellan rapporteringsperioder?
- Dubbel väsentlighetsanalys: Är er dubbel väsentlighetsanalys dokumenterad och försvarbar? Har ni inkluderat rätt intressentperspektiv?
- ESRS-överensstämmelse: Uppfyller er rapport de specifika informationskraven i de ESRS-standarder ni valt att rapportera mot?
- Interna kontroller: Finns det processer för att säkerställa att hållbarhetsdata samlas in, valideras och rapporteras på ett konsekvent sätt?
- Väsentlighetsbedömningar: Är era egna bedömningar av vad som är väsentligt dokumenterade och motiverade?
Det här är en fundamental förändring jämfört med hur många bolag arbetat med hållbarhetsrapportering tidigare. Att ”göra sitt bästa” räcker inte längre — ni behöver ett revisionsspår.
Vad svenska Wave 1-bolag behöver göra nu
Om ert bolag tillhör Wave 1 (och redan rapporterar för räkenskapsår 2024 och 2025) är det dags att sätta bestyrkning på agendan — inte som ett framtida problem, utan som ett operativt krav.
Konkreta åtgärder ni bör vidta under 2026:
1. Etablera en revisionsdialog tidigt
Ta kontakt med er revisor redan nu och fråga specifikt om deras CSRD-assurance-kapacitet. Många revisionsbyråer bygger fortfarande upp sin kompetens. Om er nuvarande revisor inte har CSRD-certifierad personal, kan ni behöva anlita en specialistkonsult parallellt.
2. Dokumentera era datainsamlingsprocesser
Revisorn behöver kunna följa en röd tråd från rådata till publicerade siffror. Det innebär att ni måste dokumentera: vilka system används, vem ansvarar för vilken data, hur valideras informationen, och hur hanteras datakvalitetsproblem.
3. Granska er dubbel väsentlighetsanalys
Väsentlighetsanalysen är ofta det första revisorn tittar på. Den måste vara systematisk, dokumenterad och baserad på faktiska intressentkonsultationer — inte en intern bedömning utan externa underlag. Läs vår guide om dubbel väsentlighetsanalys för att kontrollera att er process uppfyller kraven.
4. Förstärk interna kontroller kring ESRS-datapunkter
Gå igenom vilka ESRS-standarder ni rapporterar mot och identifiera de datapunkter som är svårast att spåra och verifiera. Prioritera att bygga intern kontroll kring dessa — det är troligen där revisorn kommer att hitta brister.
5. Utbilda beslutsfattare om revisionskraven
Styrelsen och ledningsgruppen ansvarar personligen för CSRD-rapportens korrekthet. Det räcker inte att hållbarhetschefen vet hur revisionen fungerar — beslutsfattare på alla nivåer behöver förstå vad det innebär att skriva under en CSRD-rapport 2026. Vår intensivkurs i EU:s hållbarhetslagar täcker bestyrkning som ett specifikt moment.
Vad revisorn konkret granskar i din CSRD-rapport
Baserat på ISSA 5000 och EU:s vägledning är följande områden typiskt föremål för limited assurance-granskning:
| Granskningsområde | Vad revisorn tittar på | Vanliga brister |
|---|---|---|
| Väsentlighetsanalys | Process, dokumentation, intressentkonsultation | Saknar externa intressentperspektiv |
| Klimatdata (ESRS E1) | Scope 1, 2, 3-beräkningar, mätgränser | Inkonsekventa Scope 3-metoder |
| Sociala datapunkter (ESRS S1) | Personaldata, jämställdhet, löneuppgifter | Data fragmenterad i HR-system |
| Styrning (ESRS G1) | Antikorruption, affärsetik, visselblåsarrutiner | Policyer saknar implementeringsdokumentation |
| Interna kontroller | Godkännandeprocesser, datastyrning | Inga formella kontrollrutiner för hållbarhetsdata |
Listan är inte uttömmande, men ger en bild av var de flesta Wave 1-bolag behöver stärka sina processer inför revision.
FAR och den svenska kontexten
I Sverige är det FAR (branschorganisationen för auktoriserade revisorer och rådgivare) som leder arbetet med att implementera CSRD-bestyrkning i svensk revisionspraktik. FAR har publicerat riktlinjer för sina medlemmar och erbjuder utbildning i CSRD-assurance.
Viktigt för svenska bolag att känna till:
- Bestyrkning av hållbarhetsrapporter är en ny kompetens för många revisionsbyråer — kapaciteten byggs upp nu
- Revisorn som granskar er hållbarhetsrapport kan, men behöver inte, vara samme revisor som granskar er årsredovisning
- Kostnaden för CSRD-revision beräknas initialt vara hög, men väntas normaliseras när marknaden mogniar
- FAR:s tolkningsguider och vägledningar kompletterar ISSA 5000 med svensk kontext
Om ni vill förstå hela CSRD-tidslinjens konsekvenser för ert bolag, läs vår genomgång av CSRD-tidslinje och rapporteringskrav.
HoloHouse hjälper er förbereda inför CSRD-revision
HoloHouse arbetar med svenska bolag i alla faser av CSRD-implementeringen — från väsentlighetsanalys och ESRS-mappning till att bygga de interna kontroller som revisorn behöver se.
Inför CSRD-revision erbjuder vi:
- CSRD GAP-analys: Identifiera specifikt vad som saknas för att klara limited assurance — dokumentationsgap, processkvalitet, datakvalitet
- Revisionsförberedelse: Gå igenom era ESRS-datapunkter tillsammans med en erfaren konsult och identifiera svaga punkter innan revisorn gör det
- Styrelse- och ledningsgruppsubildning: Säkerställ att beslutsfattarna förstår vad de skriver under och vad revised innebär för deras personliga ansvar
- Processdesign: Bygg interna kontroller och datastyrningsrutiner som håller för revision
Läs mer om hur vi hjälper företag med CSRD-utbildning och förberedelse eller kontakta oss direkt nedan.
Vanliga frågor om CSRD-bestyrkning
När börjar kravet på bestyrkning gälla?
EU-kommissionen ska anta den europeiska bestyrkandestandarden senast 1 oktober 2026. Wave 1-bolag som rapporterar för räkenskapsår 2025 (publicering 2026) berörs direkt. Wave 2-bolag (>1 000 anst + >450M EUR, rapporterar för FY2026) berörs från 2027.
Vem får utföra bestyrkning av hållbarhetsrapporter?
Enligt CSRD ska bestyrkning utföras av auktoriserade revisorer (i Sverige: FAR-certifierade revisorer) eller i vissa fall av oberoende tredjepartscertifieringsorgan. EU-kommissionen planerar att öppna upp för utökat certifieringslandskap på sikt.
Hur skiljer sig limited assurance från vad som gällt tidigare?
Tidigare var hållbarhetsrapportering i stor utsträckning frivillig och obevistyrkt. Många bolag har använt GRI-standarder med frivillig tredjepartsverifiering. CSRD gör bestyrkning obligatorisk och harmoniserar processen inom EU — det är en fundamental förändring.
Vad händer om vår rapport inte klarar limited assurance-granskningen?
Revisorn kan vägra att godkänna rapporten, utfärda ett modifierat utlåtande, eller ta upp väsentliga felaktigheter. I de mest allvarliga fallen kan bolagets ledning ställas till personligt ansvar för felaktig rapportering. Det är därför viktigt att förbereda sig noggrant.
Kan vi göra någon intern förberedelse själva?
Ja. Börja med att genomföra en intern ”pre-assurance”-granskning — gå igenom er rapport med revisionsglasögon och fråga er: kan vi verifiera varje siffra och påstående med dokumentation? Anlita sedan gärna en extern konsult för att identifiera de blinda fläckarna.
Redo att förbereda er CSRD-rapport för revision?
HoloHouse erbjuder CSRD GAP-analyser och revisionsförberedelse för svenska bolag. Vi hjälper er identifiera vad som saknas — innan revisorn gör det.
Kontakta oss för en kostnadsfri inledande dialog → | Läs om våra tjänster
