Hoppa till innehåll

Väktare eller affärspartners? Certifieringsrevisorers dubbla roller

    Väktare eller affärspartners? Certifieringsrevisorers dubbla roller

    Certifiering berör oss dagligen. Bakom miljömärken som FSC och Svanen, eller ekologiska märken som EU ecolabel och KRAV, finns en granskning som benämns certifiering. I hissar, skolor, vårdcentraler, fabriker och på andra arbetsplatser hittar vi certifikat som intygar om ett strukturerat arbetssätt för kvalitet, arbetsmiljö, säkerhet eller hållbarhet. Många ledare väljer i dag att visa upp att deras verksamheter är tillförlitliga genom att följa internationellt accepterade standarder och låta en extern granskare komma dit och intyga – certifiera – att standarden följs.

    Den här artikeln handlar om certifieringsrevisorerna, en växande grupp experter vars arbetsområde inte tycks ha några gränser. Samtidigt är deras starka position långt ifrån självklar eller enkel. Å ena sidan fyller certifieringsrevisorer en samhällsfunktion som väktare för konsumenter och övriga samhällsintressen genom att granska att organisationer lever upp till de krav de påstår sig följa genom standarder. I denna roll förväntas certifieringsrevisorerna vara oberoende genom att ha distans till den verksamhet som granskas och inte låta sig påverkas av vänskapsband eller politiska eller kommersiella intressen. Samtidigt behöver de komma tillräckligt nära för att kunna kontrollera att den praktik som granskas uppfyller kraven för granskningen. Problemet förstärks ofta av en ekonomisk relation mellan granskaren och den granskade, då certifiering vanligen utgör en köp-sälj-relation där den som granskar är beroende av intäkterna som genereras genom affären. I denna roll blir certifieringsrevisorn en affärspartner med intresse att upprätthålla långsiktiga och goda relationer till sina kunder.

    Hur gör då granskare för att kombinera dessa roller? Det är en fråga som länge intresserat redovisningsforskare, där Michael Powers (2011) arbete har fått särskilt stort genomslag, men också forskare som studerar granskningspraktiker som certifiering, till exempel Dogri Kouakou med flera (2013), och ackreditering, till exempel mina egna studier i samarbete med Ingrid Gustafsson (2013). Det är också frågan som diskuteras i denna artikel utifrån studier av revisorer som arbetar med ledningssystemscertifiering. ISO 9001 för kvalitetssäkring är ett exempel på en ledningssystemsstandard, men den är inte unik. Mängden standarder med ledningssystemansats har tvärtom ökat kraftigt sedan 1990-talet, vilket gör denna typ av certifiering intressant att undersöka närmare.

    Certifiering är en del av dagens granskningssamhälle, där allt fler organisationer granskas, revideras, inspekteras, verifieras, certifieras eller ackrediteras av någon annan organisation och lägger mycket resurser på att göra sig granskningsbara för dessa. Ofta görs det genom att utveckla ett ledningssystem för sin verksamhet med vilket man sedan kan arbeta strukturerat och målinriktat för att bli effektiv men också samhällsnyttig utifrån aspekter som säkerhet, hållbarhet, mångfald och rättvisa. Denna granskningsexplosion tillskrivs ofta en misstroendelogik: investerare, kunder och medborgare anses inte kunna lita på att organisationer beter sig acceptabelt, och de behöver därför granskas av utomstående för att synliggöra eventuella felaktigheter och kunna ge allmänheten kännedom om vad som försiggår i organisationer.

    En central uppgift för en certifieringsrevisor är att granska det dokumenterade ledningssystemet – att systemet är heltäckande, innehållsligt konsekvent, med tydliga processbeskrivningar och utvärderingskriterier, och att det innehåller hänvisningar till relevanta styrdokument. Under en certifiering går revisorn igenom ledningssystemet, kapitel för kapitel, och ställer frågor till representanter för den verksamhet som granskas om praktiska exempel från det dagliga arbetet. I vissa fall görs platsbesök i den operativa verksamheten och intervjuer med chefer längre ut i den verksamhet som granskas. Om certifieringsrevisorn efter ett sådant kontrollarbete bedömer att organisationen uppfyller kraven i standarden, kan ett certifikat utfärdas som organisationen kan visa upp på sin webbplats, i avtal och på kontrakt, alternativt sätta på sina produkter, för att därmed signalera att organisationen är tillförlitlig.

    Men kan vi lita på revisorns bedömning när den som granskas betalar revisorn? Är revisorn verkligen oberoende? Inom revision av ekonomisk redovisning har lösningen varit att låta en annan trovärdig part – i detta fall revisorsprofessionen – disciplinera sina medlemmar, revisorerna, genom att skapa regler för dem och därmed säkra oberoendet. Certifieringsrevisorer är dock inte medlemmar i någon professionsorganisation, och det finns inga formella krav på sådant medlemskap eller på utbildningsbakgrund för dessa revisorer. Deras bakgrund varierar – vissa är ingenjörer, medan andra utbildats inom till exempel organisation och ledarskap, juridik eller miljövetenskap. En lösning som emellertid är gemensam för certifieringsrevisorer är att deras arbetsgivare, certifieringsorganisationerna, är granskade av en extern ackrediteringsorganisation och på detta sätt antas revisorernas oberoende säkras.

    En av de vanligaste ackrediteringsstandarderna, ISO 17021, innehåller omfattande skrivningar om hur en certifieringsorganisation ska organiseras enligt ett utvecklat ledningssystem med olika rutiner: för hur avvikelser från standardföljande identifieras och sanktioner utfärdas, hur länge en och samma revisor får arbeta med en kund, hur de anställdas kompetens ska underhållas och utvärderas på regelbunden basis, liksom rutiner för separationen mellan granskningsverksamheten och eventuella kringtjänster och för skapandet av en expertkommitté med särskild uppgift att bevaka oberoendet. Alla dessa regler handlar om att säkra oberoendet i certifieringsverksamheten. Liknande ledningssystemkrav ställs sedan på ackrediteringsrevisorer genom de standarder som ackrediteringsorganisationer också behöver följa. För även ackrediterare behöver granskas för sitt oberoende, genom en meta-ackreditering, då ytterligare en extern granskare utför granskning av ackrediteringsorganisationen.

    Inom EU är ackrediteringsfunktionen organiserad genom nationell, statligt driven ackreditering där varje medlemsland har en egen myndighet som måste vara medlem i den europeiska medlemsorganisationen EA, som i sin tur utför granskningar på sina medlemmar utifrån ISO 17011-standarden. De nationella ackrediteringsmyndigheterna är genom medlemskapet i EA även medlemmar i den internationella medlemsorganisationen IAF.

    Den organiserade struktur som byggts upp för att säkra oberoendet för certifiering innehåller med andra ord flera lager av kontroller. Det finns liknande strukturer med lager av kontroller även på andra områden, till exempel för hållbart skogsbruk enligt Forest Stewardship Councils (FSC) standarder och för rättvisa arbetsförhållanden enligt de standarder som utvecklats av Social Accountability International (SAI). Certifiering enligt både FSC- och SAI-standarder görs av fristående certifieringsorganisationer som behöver vara ackrediterade av Accreditation Services International (ASI) respektive Social Accountability Accreditation Services (SAAS). Därutöver är ASI och SAAS medlemmar i den internationella medlemsorganisationen ISEAL Alliance, en meta-ackrediterare som granskar sina medlemmar.

    Dessa strukturer syftar till att säkra certifieringsrevisorers oberoende i allmänintressets tjänst, men hur klarar då certifieringsrevisorerna rollen som affärspartner som tjänar de betalande kundernas intressen? Från min egen forskning om certifieringsrevision i praktiken framgår att revisorer på olika sätt försöker tona ner framställningen av sig själva som väktare för allmänintresset med uppbackning av flera lager av kontroller och att de även intar en tillmötesgående position gentemot kunder.

    Ett exempel observerades under ett fältbesök som en certifieringsrevisor gjorde vid en FSC-certifiering för hållbart skogsbruk där skogsägaren själv på förhand planerade de skogsbesök som skulle ingå i fältbesöket och motiverade den valda rutten med att de olika skogarna illustrerade intressanta skogsbruksaktiviteter: röjning, gallring, bränning och slutavverkning. Revisorn godkände kundens plan men kommenterade samtidigt att det borde ha varit revisorn som bestämde platser för fältbesöken.

    Ytterligare exempel handlar om revisorer som bytts ut på kundens begäran efter att kundföretaget uttryckt missnöje mot en specifik revisors sätt att ställa frågor eller meddelat att man ansett att revisorn inte haft ”rätt” kompetens. Men det finns också motsatta exempel, där en enskild revisor uppskattats och därför stannat kvar med samma kund i decennier, trots att den rekommenderade maxtiden för revisorer att arbeta med samma kund är några få år.

    Ytterligare exempel på hur revisorer agerar tillmötesgående gentemot sina kunder observerades under ett möte då ett revisorsteam före slutlig rapportering från en revision presenterade preliminära revisionsresultat för en mindre grupp representanter för kundföretaget. I detta fall omförhandlades efter missnöje från kundföretaget några ”mindre avvikelser”, som ingått i den preliminära rapporten, till att i den slutliga revisionsrapporten definieras som mer positivt laddade ”förbättringsåtgärder”.

    Dessa exempel illustrerar att en certifieringsrevisor i praktiken anstränger sig för att behålla en god affärsrelation med sina kunder genom att visa välmening och vara tillmötesgående. Rollen som affärspartner är alltså i hög grad närvarande under revisionsprocessen, vilket samtidigt kan hota certifieringsrevisorns trovärdighet som oberoende väktare för allmänintresset.

    För att förklara denna motstridighet och lyfta fram konsekvenser av denna utveckling, blir det intressant att återkomma till den speciella typ av standarder som alltmer kommit att användas vid certifiering: ledningssystemsstandarder och den starka tro på formell organisation som karakteriserar dessa. En grundläggande idé för att säkra olika värden vid en certifiering är, som visats här, att utveckla ett dokumenterat ledningssystem med genomtänkta mål och processbeskrivningar av hur dessa är tänkta att uppnås. Samma princip gäller för att säkra certifierings- och ackrediteringsorganisationers oberoende. Det är sedan ledningssystemet – den formella bilden av en verksamhet – som sätts i fokus för den externa granskningen.

    Den expertis som närs inom denna typ av granskning har en generell karaktär: revisorer som anställs avcertifieringsbolag blir generalister på att kontrollera rutiner i ledningssystem utifrån den mångfald standarder som bolagen vanligen erbjuder sina kunder. På liknande sätt som att en organisation som vill bli certifierad för flera standarder behöver bli granskad för var och en av dessa, så behöver ett certifieringsbolag som vill kunna erbjuda sina kunder certifiering mot flera olika standarder också söka ackreditering för var och en av dessa standarder. Då många ackrediteringsorganisationer kan erbjuda ackreditering för många certifieringsstandarder, blir både certifieringsrevisorer och ackrediteringsrevisorer generalister på att granska, även om det krävs viss specialistkunskap om alla de standarder som de olika granskningarna utgår från.

    Det är emellertid tveksamt om det finns en direkt överensstämmelse mellan å ena sidan den formella bild av en verksamhet som representeras i det dokumenterade ledningssystemet, som utgör den huvudsakliga grunden för mycket av dagens granskning, och å andra sidan den dagliga praktik som pågår i organisationen som granskas. Mycket organisationsforskning talar emot en sådan koppling. Samtidigt ser vi hur populariteten för ledningssystemsstandarder med tredjepartsgranskning ökar kraftigt. En möjlig förklaring till denna utveckling ligger i den spridda tron på formella organisationer och hoppet om att de kan fungera bra så länge de struktureras på ett rationellt sätt, till exempel genom ett genomarbetat ledningssystem. Med ett sådant perspektiv på kraften i formaliserade strukturer för organiserad verksamhet behöver inte certifieringsrevisorns idoga arbete med att granska de dokumenterade ledningssystem som deras kunder arbetat fram uppfattas som ett problem ur ett affärspartnerperspektiv.

    Så länge det inte finns en automatisk koppling mellan å ena sidan de formella strukturer och rutiner som beslutsfattare i organisationer tar fram och som revisorerna sedan granskar och å andra sidan det som sker i den dagliga verksamheten i de granskade organisationerna, behöver således inte revisorns roll som kritisk väktare bli så besvärande eller hotfull som den vid första anblicken kan uppfattas. Men vad blir då nyttan av all granskning, och en växande grupp experter som tillskrivs allt högre tilltro, när det som granskas och visas upp är en formell bild som inte överensstämmer med den dagliga praktiken i de granskade verksamheterna?

    Kristina Tamm Hallström
    Docent i företagsekonomi vid Handelshögskolan i Stockholm och forskningsledare på Stockholms centrum för forskning om offentlig sektor (Score).


    Referenser
    Gustafsson, I. & Tamm Hallström, K. (2013). The certification paradox: Monitoring as a solution and a problem. I M. Reuter, F. Wijkström & B. Kristensson Uggla (red.), Trust and organizations: Confidence across borders. New York: Palgrave.
    Kouakou, D., Boiral, O. & Gendron, Y. (2013). ISO auditing and the construction of trust in auditor independence. Accounting, Auditing & Accountability Journal, 26(8), s. 1279–1305.
    Power, M. (2011). Assurance worlds: Consumers, experts and independence. Accounting, Organizations and Society, 36, s. 324–326.