Sök

csrd-revision-bestyrkning-2026

Bild av Marcelo

Marcelo

EU-kommissionen ska anta en bestyrkandestandard för CSRD-rapportering senast den 1 oktober 2026. Det innebär att revisorer för första gången granskar din hållbarhetsrapportering enligt gemensamma europeiska krav — och att bristerna i datakedjan kostar. Här är vad Wave 1-bolag behöver veta inför nästa rapporteringscykel.

Vad är CSRD-bestyrkning och varför spelar det roll?

CSRD kräver inte bara att stora företag rapporterar om hållbarhet — det kräver också att rapporteringen bestyrkts av en oberoende granskare. Det är samma logik som för finansiell revision: en extern part bekräftar att data är tillförlitlig och fullständig.

Det som länge saknats är en gemensam europeisk standard för hur denna granskning ska gå till. Den standarden — ISSA 5000 (International Standard on Sustainability Assurance) — håller nu på att antas av EU-kommissionen. Deadline är satt till 1 oktober 2026.

För Wave 1-företag som redan lämnat sin första CSRD-rapport (räkenskapsår 2024) innebär detta att nästa rapporteringscykel — för räkenskapsår 2025 — genomförs under ett striktare och tydligare bestyrkanderegelverk.

Limited assurance: vad innebär det konkret?

csrd-revision-bestyrkning-2026 - HoloHouse
Foto: RDNE Stock project via Pexels

EU har valt att börja med limited assurance, inte reasonable assurance. Skillnaden är avgörande för hur krävande granskningen blir:

  • Limited assurance (”begränsad säkerhet”): Revisorn granskar om det finns väsentliga felaktigheter men genomför inte en fullständig kontroll av alla underlagsdata. Resulterar i en negativ slutledning: ”Inget har kommit till vår kännedom som tyder på att…”
  • Reasonable assurance (”rimlig säkerhet”): Revisorn genomför djupare kontroller och lämnar en positiv bekräftelse: ”Rapporten ger en rättvisande bild av…” (Krävs på sikt, tidplan ej fastlagd.)

Limited assurance innebär ett lägre beviskrav från revisorns sida — men det ska inte underskattas. Revisorn måste förstå er rapporteringsprocess, genomföra riktade stickprov och dokumentera sina slutsatser i en separat bestyrkandeberättelse.

Vad granskar revisorn i praktiken?

csrd-revision-bestyrkning-2026 - HoloHouse
Foto: Artem Podrez via Pexels

Under ISSA 5000 limited assurance fokuserar revisorn framför allt på:

  • Väsentlighetsanalysen — Har ni identifierat rätt hållbarhetsfrågor? Är processen för dubbel väsentlighetsanalys dokumenterad och försvarbar?
  • ESRS-täckning och fullständighet — Rapporteras alla obligatoriska datapunkter? Är eventuella undantag motiverade och korrekt redovisade?
  • Datainsamlingsprocesser — Hur samlas scope 1–3-data, personaldata (ESRS S1) och biodiversitetsdata (ESRS E4) in? Finns kontroller för att säkerställa riktigheten?
  • Mål och uppföljning — Är redovisade mål kopplade till mätbara indikatorer med tydliga baslinjeår? Finns dokumenterade framsteg?
  • Presentationsform — Uppfyller rapporten formkraven, inklusive digital taggning i iXBRL-format och integration i förvaltningsberättelsen?

FAR (branschorganisationen för revisorer och rådgivare) har påpekat att många företag underskattar hur resurskrävande bestyrkningsprocessen är — särskilt vad gäller insamling och spårbarhet för scope 3-data och supply chain-information.

Hur påverkas Wave 1-bolag av Omnibus?

En vanlig fråga är hur Omnibus I påverkar bestyrkandeskyldigheten. Den nya rapporteringsgränsen på 1 000 anställda och 450 MEUR innebär att färre bolag träffas av CSRD totalt sett — men för de bolag som är kvar i scopet gäller bestrykningskravet fullt ut.

Omnibus I påverkar primärt:

  • Antalet obligatoriska datapunkter (reducerat för Wave 2 och 3)
  • Vilka bolag som rapporteringsskyldiga
  • Rapporteringsfrister för Wave 2 och 3

Bestyrkandeskyldigheten för Wave 1-bolag är inte förändrad. Limited assurance kvarstår och ISSA 5000-standarden antas enligt ursprunglig tidplan senast 1 oktober 2026.

Fem förberedelsesteg inför CSRD-revisionen

Oavsett om ert företag redan rapporterar eller förbereder sig inför nästa rapporteringscykel finns det fem konkreta steg att ta nu:

  1. Kartlägg er datakedja — Identifiera var data är svag, saknas eller saknar spårbarhet. Fokusera framför allt på scope 3 kategori 1 (inköpta varor och tjänster), 11 (användning av sålda produkter) och 15 (investeringar).
  2. Dokumentera väsentlighetsanalysprocessen — Revisorn vill se hur ni kom fram till er lista. Spara underlag, mötesprotokoller och eventuella konsultinsatser som stödde processen.
  3. Koppla mål till mätbara indikatorer — Vaga mål som ”minska vår klimatpåverkan” klarar inte limited assurance. Specificera baslinjeår, nuläge och målnivå.
  4. Utbilda teamet i CSRD och ESRS — ISSA 5000 kräver att revisorn kan föra en kvalificerad dialog med er. En CSRD-utbildning för hållbarhetsteam, controllerfunktion och ledning säkerställer att ni talar revisorns språk. En intensivkurs i EU:s hållbarhetslagar ger snabb fördjupning.
  5. Involvera revisorn tidigt i processen — Diskutera er rapporteringsstrategi med revisorn innan nästa rapporteringscykel börjar. Det undviker dyra överraskningar när bestyrkningsarbetet väl drar igång.

Vad kostar CSRD-bestyrkning?

Kostnaderna varierar beroende på bolagets storlek, datamognad och vilken revisor som anlitas. Indikativa nivåer baserade på de första Wave 1-dialogerna i Europa:

  • Medelstora bolag (500–2 000 anst.): 150 000–400 000 kr för limited assurance
  • Stora börsbolag (2 000+ anst.): 500 000–1 500 000 kr, beroende på komplexitet och scope 3-täckning

Investeringen i välstrukturerade datainsamlingsprocesser och intern CSRD-kompetens reducerar revisorns tidsåtgång — och därmed kostnaden. En gap-analys mot ISSA 5000-kraven tidigt i processen ger konkret svar på vad som behöver åtgärdas och till vilken kostnad.

Vanliga frågor om CSRD-bestyrkning (FAQ)

När träder bestyrkandestandarden ISSA 5000 i kraft?

EU-kommissionen ska anta standarden senast 1 oktober 2026. Standarden gäller formellt från och med rapporteringen av räkenskapsåret 2025, det vill säga rapporten som publiceras under 2026.

Vem får utföra CSRD-bestyrkningsuppdrag i Sverige?

Revisorer och oberoende ackrediterade granskare som godkänts av Revisorsinspektionen. FAR arbetar med att ta fram praktiska tillämpningsanvisningar för sina medlemmar inför ISSA 5000.

Skiljer sig CSRD-bestyrkning från ISO 14001-certifiering?

Ja, de är fundamentalt olika. ISO 14001 certifierar att ett miljöledningssystem uppfyller en standard. CSRD-bestyrkning granskar om den information som faktiskt rapporteras är tillförlitlig och fullständig. De kompletterar varandra men ersätter inte varandra.

Vad händer om ett bolag inte klarar limited assurance?

Revisorn utfärdar en modifierad bestyrkandeberättelse med reservationer eller avvikelsemeningar. Det kan leda till tillsynsåtgärder, reputationsrisk och i förlängningen legala konsekvenser. Tidiga förberedelser minskar risken avsevärt.

Berörs SME av CSRD-bestyrkning?

Inte direkt — men indirekt. Stora bolag som omfattas av CSRD ställer krav på sina leverantörer att lämna hållbarhetsdata. Frivillig rapportering enligt VSME-standarden kan vara ett strategiskt val för SME som vill möta denna efterfrågan och stärka sin position i upphandlingar.

Behöver ditt företag stöd inför CSRD-revisionen?

HoloHouse hjälper er att kartlägga gapet mellan nuvarande rapportering och ISSA 5000-kraven — och ta fram en konkret handlingsplan. Kontakta oss för en inledande dialog, eller läs mer om våra hållbarhetskonsulttjänster.

Holohouse

HoloHouse (för brev) 

Mailbox 336 

411 41 Göteborg 

Mail Boxes Etc (för packet)

Lilla Kungsgatan 2, 411 08 Göteborg 

+46(0)31-202 789

Hello@holohouse.se

Instagram Facebook-f Youtube Linkedin

Våra tjänster

Karriär

Insikter

Om oss