Menu

Loading Results

CSRD og COSO

Effektiviser bærekrafts-rapporteringen

ipad og PC som viser grafer med tall
  • Innsikt
  • april 24, 2026

Jobber du med internkontroll over bærekraftsrapportering? Da kan COSO-rammeverket bli et kraftfullt verktøy for økt tydelighet og struktur i bærekraftsrapporteringen. Her får du en innføring i hva COSO er, og hvordan det kan integreres i eksisterende systemer og prosesser. 

CSRD (Corporate Sustainability Reporting Directive) gjør bærekraftsrapportering til et obligatorisk krav for en rekke virksomheter. For deg som jobber med internrevisjon og internkontroll er det derfor viktig å forstå hvordan CSRD kan forankres i eksisterende kontrollrammeverk, særlig COSO.

Les mer om CSRD og hvem som omfattes her. 

COSO-rammeverket kan styrke både de interne og eksterne prosessene som ligger til grunn for bærekraftsrapporteringen. Selv om det tradisjonelt er utviklet for finansiell rapportering, gir det en strukturert tilnærming til styring, risiko og kontroll som passer godt til CSRD-kravene. Ved å integrere CSRD i COSO-rammeverket kan virksomheter oppnå større tydelighet, bedre struktur og mer konsistent rapportering.

COSO-rammeverket (Committee of Sponsoring Organizations of the Treadway Commission) er en internasjonal standard for internkontroll og risikostyring. Hovedkomponentene inkluderer:

  • Kontrollmiljø: Grunnlaget for organisasjonens holdning til internkontroll og etisk bevissthet.
  • Risikovurdering: Identifisering og vurdering av risikoer knyttet til oppnåelse av virksomhetens mål.
  • Kontrollaktiviteter: Retningslinjer og prosedyrer som bidrar til å redusere risiko og sikre måloppnåelse.
  • Informasjon og kommunikasjon: Relevante og pålitelige informasjonsstrømmer i hele organisasjonen.
  • Overvåkingsaktiviteter: Løpende og periodisk evaluering av hvor effektiv den interne kontrollen er.

COSO og forholdet til bærekraftsrapportering 

I mars 2023 lanserte COSO veiledningen «Internal Control over Sustainability Reporting» (ICSR) – en bærekraftsorientert videreutvikling av det integrerte internkontrollrammeverket fra 2013. Veiledningen hjelper virksomheter å styrke bærekraftsrapporteringen gjennom et tydelig tankesett og praksiser for internkontroll og risikostyring, forankret i COSOs fem hovedkomponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon samt overvåkingsaktiviteter.

Ved å bruke COSO som ramme for bærekraftsrapportering får virksomheten en helhetlig tilnærming til ESG. Selv om revisors gjennomgang av CSRD-rapporteringen i første omgang er en overordnet kontroll, vil revisor fortsatt ta stikkprøver av utvalgte datapunkter. Effektive interne kontroller gjør at revisor kan basere seg på disse, redusere omfanget av stikkprøver og spare tid for alle involverte.

For å komme i gang bør du kartlegge dagens kontrollmiljø og hvordan datainnsamling og rapportering faktisk gjennomføres. Standardiser roller, definisjoner og kontroller for å sikre forståelig og konsistent rapportering på tvers av organisasjonen. Vær også tydelig på hvorfor hvert datapunkt rapporteres – det gjør det enklere å definere hvor og hvordan en effektiv prosess skal bygges.

De fem komponentene

Forpliktelse til kompetanse og etiske verdier

  • Utarbeid en bærekraftspolicy som dekker virksomhetens samlede forpliktelser. Gå gjennom eksisterende policyer og integrer bærekraftsperspektivet i eksempelvis innkjøps- og HR-policyer.

  • Klargjør roller og ansvar knyttet til datahåndtering. Dette er avgjørende for å oppfylle kravene og sikre transparens.

Styrets uavhengighet og tilsyn 

  • Invester i opplæring og engasjement hos styret og ledergruppen. Dette engasjementet går utover ren etterlevelse av regelverk – det reflekterer en ambisjon om å utvikle seg i takt med bærekraftsagendaen, forstå risikoer og gripe nye muligheter.

  • Sørg for at styret betrakter bærekraft som en integrert og sentral del av virksomheten.

  • Beskriv hvordan interne bærekraftsstandarder kommuniseres til ansatte, tjenesteleverandører og andre interessenter.

  • Definer KPI-er som benyttes for å måle og evaluere etterlevelse av CSRD og øvrige bærekraftsopplysninger. 

Dobbel vesentlighet er et kjernekrav i CSRD. Begynn med å definere og avgrense omfanget (scope) for den aktuelle risikovurderingen. Dobbel vesentlighet kombinerer påvirknings- og finansiell vesentlighet og krever en helhetlig vurdering av både interne og eksterne forhold – ikke bare risikoer, men også påvirkninger og muligheter. I denne sammenhengen avgrenser vi analysen til risikoer knyttet til virksomhetens bærekraftsrelaterte interne prosesser, særlig forhold som kan påvirke datainnsamling, kontroller og rapporteringskvalitet.

Identifisere og analysere risikoer:

  • CSRD signaliserer et tydelig skifte i retning av økte krav og forventninger. Hold deg oppdatert på nyheter og rapporter innen bærekraft, delta på bransjemøter og bygge relevante nettverk. Vær lydhør overfor forventninger, krav og behov fra ansatte, investorer, kunder og leverandører.
  • EU-regelverk og nasjonale lover/forskrifter må følges. Utpek en dedikert funksjon som overvåker regelverksendringer, forvalter en compliance-kalender og følger opp tiltak.
  • Tilpass bærekraftsmålene til opplysningskravene, ettersom manglende samsvar kan medføre potensielle regulatoriske sanksjoner og omdømmerisiko.
  • Dokumenter løpende virksomhetens etterlevelse av CSRD ved å identifisere hvilke områder som er vesentlige for bærekraftsopplysningene, basert på vesentlighetsanalysen.

Vurdere betydningen av rapporteringsrisiko og vurdere risiko for misligheter:

  • Identifiser og dokumenter vesentlige usikkerheter knyttet til estimater. Vurder faktorer som regelverksetterlevelse, ressursmangel, konsekvenser av klimaendringer og interessentenes forventninger.
  • Dokumenter arbeidet med vesentlighetsvurderinger og vis hvordan disse vurderingene styrer innholdet i bærekraftsrapporteringen.
  • Dokumenter hvordan rapporterte opplysninger og datapunkter oppfyller relevante kvalitative egenskaper og påstander knyttet til bærekraft, som nøyaktighet, fullstendighet og sammenlignbarhet.

Utforme og implementere kontrollaktiviteter, retningslinjer og prosesser:

  • Utform prosesser for datainnsamling og validering. Dette er et vesentlig steg for å kunne vurdere i hvilken grad man kan ha tillit til det virksomheten rapporterer i bærekraftsrapporten.

  • Utarbeid risikoreduserende strategier som bidrar til å beskytte virksomheten mot både materielle og immaterielle risikoer – fra økonomiske sanksjoner til omdømmetap.

  • Utvikle en strategi for hvordan interessentdialog og -engasjement skal gjennomføres. Aktiv involvering av interessenter, utover ren etterlevelse, kan bidra til å avdekke risikoer som ellers ikke er synlige. 

Relevant kvalitetsinformasjon og intern kommunikasjon:

  • Utarbeid en tydelig oversikt over prosesser for vurdering av bærekraftskonsekvenser. Dette er ikke bare viktig for interessenter, men fungerer også som en refleksjon av virksomhetens bærekraftsreise.

  • Sikre åpenhet rundt kravene til offentliggjøring, ettersom manglende transparens ikke bare kan medføre sanksjoner for manglende etterlevelse, men også svekke interessentenes tillit.

Løpende og separate evalueringer samt rapporteringsavvik:

  • Arbeid med regelmessige gjennomganger av retningslinjer og strategier. Dette er viktig for å avdekke mangler i etterlevelsen og for løpende å videreutvikle virksomhetens bærekraftsengasjement.

  • Tilpass insentivstrukturer slik at de også omfatter bærekraftsmål.

  • Gjennomfør kontroller for å sikre relevansen og kvaliteten i bærekraftsrapporteringen. Slike kontroller bidrar til å redusere risikoen for manglende etterlevelse og negative konsekvenser som følge av feilaktige opplysninger.

  • Sørg for at den digitale merkingen av bærekraftsopplysningene er i samsvar med de tekniske kravene i henhold til RTS (regulatoriske tekniske standarder) og rapporteringsmanualen fra ESMA (European Securities and Markets Authority). ESEF vil stille betydelige krav til både finansiell rapportering og bærekraftsrapportering.

Slik kan vi støtte deg

Vi hjelper deg å implementere CSRD på en helhetlig måte, inkludert støtte til å  designe og implementere kontrollprosesser som er integrert med eksisterende finansprosesser. Sammen med nøkkelpersoner i din virksomhet, kan vi bidra til å effektivisere og standardisere arbeidet med dobbel vesentlighetsanalyse, samt etablere policyer, prosedyrer og praksis tilpasset relevante CSRD-krav.

Ta gjerne kontakt for en uforpliktende prat om hvordan vi kan bistå dere. En god start for mange er en workshop om CSRD, COSO og hvordan du bygger effektive interne prosesser for bærekraftsrapportering – tilpasset din bransje og modenhet.

Les mer om våre tjenester

Tanja Sæland

– Moderne internkontroll handler ikke lenger kun om etterlevelse av regelverk. Våre kunder etterspør i økende grad bedre innsikt, høyere grad av automatisering og løpende, datadrevet risikostyring som også bidrar til økt operasjonell effektivitet.

Tanja SælandPartner i PwC

Bransjer vi hjelper med rådgivning

Vi har kompetansen som skal til for å løse sammensatte problemstillinger i en rekke bransjer.

Meld deg på vårt nyhetsbrev

Hold deg oppdatert på det som påvirker deg og din bedrift.

Kontakt oss

Tanja Sæland

Partner | Governance, Risk & Compliance, Oslo, PwC Norway

952 60 630

Kontakt meg

© 2020 - 2026 PwC. Alle rettigheter forbeholdt. PwC refererer til PwC-nettverket og/eller en eller flere av dets medlemsfirmaer, som hver enkelt er en egen juridisk enhet. Vennligst se www.pwc.com/structure for mer informasjon.