Seksjon 5

Utvalgte emner

En gruppe mennesker i et møte
  • 05/07/24

Kapittel 1 Bærekraft - et overblikk

Temaet bærekraft og spesielt klima befinner seg høyt oppe på den regulatoriske agendaen for tiden. Nye reguleringer som store og børsnoterte foretak må forholde seg til har kommet og kommer, og klimarisiko og taksonomirapportering er prioriterte områder for tilsynsmyndighetene. De nye reguleringene innebærer blant annet vesentlig utvidete rapporteringskrav.

Også åpenhetsloven og likestillings- og diskrimineringsloven har krav relatert til bærekraft. Disse omtales ikke her.

Hva er bærekraft?

Bærekraft er en utvikling som imøtekommer dagens behov uten å ødelegge mulighetene for at kommende generasjoner skal få dekket sine behov. Bærekraft omtales gjerne som “ESG”, som står for «Environmental, Social and Governance». ESG eller «miljø- , sosiale og forretningsmessige forhold» på norsk, og representerer en helhetlig tilnærming til bærekraft.

For å bekjempe globale utfordringer som klimaendringer, globalt overforbruk, forurensning og sosiale forskjeller er det behov for omstilling til en bærekraftig utvikling. Et av de viktigste initiativene fra EU for en bærekraftig omstilling er “the Green Deal”. Gjennom dette initiativet har EU laget en ambisiøs plan om et klimanøytralt EU innen 2025 for å nå målene i Parisavtalen om å begrense global oppvarming til 1.5 grader. Videre skal klimagassutslippene reduseres med 55 % innen 2030 og energibruk skal omstilles fra fossil til fornybar. Omstillingen - “det grønne skiftet” - er kapitalkrevende, og fordrer at næringslivet bidrar. For å styre privat kapital til bærekraftige investeringer har EU introdusert en rekke tiltak. To av de mest sentrale virkemidlene er EU-taksonomien og CSRD, som også vil gjelde i Norge.

Taksonomien

EU-taksonomien er et klassifiseringssystem for å bestemme om en økonomisk aktivitet er bærekraftig eller ikke. Taksonomien innføres trinnvis, for de største børsnoterte foretakene først, fra og med regnskapsåret 2023. Med EU-taksonomien må foretakene rapportere på hvilken andel av de økonomiske aktivitetene som anses å være bærekraftige. Hvorvidt en økonomisk aktivitet er bærekraftig, vil blant annet måles mot definerte klima- og miljømål.
Rapporteringspliktige foretak vil utvides i takt med rapporteringsplikten etter CSRD. Fra og med 2024 skal rapportering etter taksonomien være en del av bærekraftsrapporten etter CSRD. EU-taksonomien er nærmere omtalt i eget kapittel.

CSRD

CSRD står for Corporate Sustainability Reporting Directive og er et nytt regelverk for pliktig bærekraftsrapportering. CSRD innføres også trinnvis, for de største børsnoterte foretakene først, fra og med regnskapsåret 2024. De største foretakene i Norge måtte tidligere avgi en redegjørelse om samfunnsansvar. Denne redegjørelsen erstattes av bærekraftsrapporten etter CSRD fra og med 2024. Redegjørelsen om samfunnsansvar ble derfor avgitt siste gang for regnskapsåret 2023. Dette betyr at foretak som foreløpig ikke skal rapportere etter CSRD grunnet trinnvis innføring av rapporteringskravet, ikke har krav om å utarbeide redegjørelse om samfunnsansvar i denne mellomperioden.

Med CSRD får foretakene en betydelig utvidet rapportering sammenlignet med tidligere krav til bærekraftsrapportering. Det blir obligatorisk å følge europeiske rapporteringsstandarder som utdyper CSRD og gir omfattende og detaljerte rapporteringskrav, de såkalte European Sustainability Reporting Standards (ESRS). Rapporteringsstandardene er basert på eksisterende internasjonale rammeverk for bærekraftsrapportering, som GRI, TCFD og GHG-protokollen. Se mer om disse rammeverkene under. Det blir også krav om elektronisk merking av bærekraftsrapporten og rapporten skal attesteres av revisor.
CSRD er nærmere omtalt i eget kapittel.

Internasjonale initiativer og rammeverk

Foruten initiativene til bærekraftsrapportering som kommer fra EU, er det også andre tiltak innen bærekraftsrapportering som kan få betydning for norske foretak. International Sustainability Standards Board (ISSB) - utarbeider globale standarder for rapportering av bærekraft med investorfokus, og disse skal sikre en integrert rapportering med IFRS. ISSB har foreløpig publisert to standarder for bærekraftsrapportering: en generell standard og en med fokus på klima. Det er opp til det enkelte land å pålegge bærekraftsrapportering i samsvar med ISSB-standardene. Det er ingenting som tyder på at ISSB-standardene blir pliktige i Norge.

  • USAs Securities and Exchange Commission (SEC) har også publisert en standard for bærekraftsrapportering, men dette er et smalere forslag med fokus på klimarelaterte risikoer og muligheter. SEC har foreløpig stanset ikrafttredelse av standarden i påvente av en rettslig vurdering av reglene.
  • Eksisterende rammeverk blir benyttet i dagens frivillige bærekraftsrapporteringer. I tillegg er nye rammeverk, som de europeiske rapporteringsstandardene (ESRS), basert på de eksisterende rammeverkene. Det er særlig tre internasjonale rammeverk som er sentrale:
  • GRI - Global Reporting Initiative - er en standard med prinsipper og veiledning for helhetlig rapportering av bærekraft. GRI er foreløpig verdens og Norges mest brukte rammeverk for bærekraftsrapportering. GRI har fokus på vesentlige tema innen økonomi, miljø og samfunn. 
  • TCFD - Task force on climate-related financial disclosures - er det ledende rammeverket for rapportering av klimarisiko. Fokus ligger i hovedsak på klimarelaterte opplysninger og ikke på andre ESG temaer. 
  • GHG-protokollen eller Greenhouse Gas protocol er den mest brukte standarden for klimaregnskap. GHG-protokollen er en internasjonalt anerkjent standard som definerer krav og gir veiledning om hvordan en organisasjons klimaavtrykk skal måles. 

GRI, TCFD og GHG-protokollen er nærmere omtalt i bærekraftsportalen

Integrer bærekraft i den løpende virksomhetsstyringen

Arbeidet med bærekraft handler om mer enn rapportering. For å sikre en robust rapportering bør foretakene integrere bærekraftsrisikoer og -muligheter i forretningsstrategien og den løpende ledelsesrapporteringen. Styringsmodell, strategi, risikostyring og måling knyttet til bærekraft har historisk fått for lite oppmerksomhet. De børsnoterte foretakene er på veldig forskjellige stadier for integrering av bærekraft i virksomhetsstyringen og rapporteringen. Den økte oppmerksomheten mot temaet innebærer at det nå er helt nødvendig for alle store og børsnoterte foretak å ta stilling til styringsmodell og rapportering på området. Det er kun slik de kan møte forventninger fra regulerende myndigheter og omverden på relevant måte og gjøre seg klar for kommende obligatoriske rapporteringskrav.
En styringsmodell som ivaretar bærekraft i løpende drift bør være på plass i de store og børsnoterte foretakene. Her har styret et ansvar!

Les mer om styrets ansvar og oppgaver i Bærekraft i styrerommet.

Bærekraft - et prioritert område for Finanstilsynet

Klimarisiko og bærekraft er høyt oppe på agendaen til regulerende myndigheter i Norge og internasjonalt, og det er høye forventninger til mer detaljert redegjørelse for klimarisiko. I 2022 gjennomførte Finanstilsynet et tematilsyn rettet mot blant annet børsnoterte foretak om deres behandling av klimarisiko i årsregnskapet og i bærekraftsrapporteringen for 2021. Finanstilsynet publiserte tilsynsrapporten i desember 2022.

Finanstilsynet observerte at det ofte gis mangelfulle opplysninger om klimarisiko og de fleste foretakene oppgir ikke hvordan de skal nå klimarelaterte mål. Flere foretak tenderer til å vie omtale av klimamuligheter og grønne virksomhetsområder ufortjent mye plass.

Finanstilsynets gjennomgang av bærekraftsrapporter for 2022 viser bedring i bærekraftrapporteringen, men det er fortsatt svak rapportering om klimarelaterte forhold. Finanstilsynets prioriterte områder for 2023 innen bærekraft er taksonomirapportering, klimarelaterte forhold som klimamål, handlinger og fremdrift og klimagassutslipp i scope 3. Videre er tilsynsmyndigheten opptatt av at selskapene har bevissthet rundt sammenhengen mellom klimarisiko i bærekraftsrapporten og i den finansielle rapporteringen.

Bærekraftig omstilling i alle ledd

Regulerende myndigheter iverksetter en rekke tiltak for en bærekraftig omstilling. Kommende regulering kan treffe næringslivet på ulike måter. Blant annet kan nevnes EUs nye regelverk for grønne obligasjoner som kan ha betydning for selskaper som vil gå til markedet for å skaffe finansiering. For å merke en obligasjon som grønn, må midlene benyttes til økonomiske aktiviteter som er bærekraftige i henhold til taksonomien.

Et annet virkemiddel for bærekraftig omstilling er bruk av skatter og avgifter. EUs Carbon Border Adjustment Mechanism (CBAM) er et eksempel på dette. CBAM er en karbontoll på visse varer som importeres til EU. Formålet er å hindre at vareproduksjon flyttes til land med lavere klimaambisjoner og lavere prising av utslipp enn det EU har.


Få oversikt og siste nytt på alt av regulering knyttet til bærekraftsrapportering.

Kapittel 2 Skatt og avgift i et bærekraftsperspektiv

Skatt og avgift står helt sentralt i et bærekraftig samfunn. Skatte- og avgiftsregler benyttes aktivt som et virkemiddel for å få aktører til å gjøre eller avstå fra bestemt adferd. Et eksempel er CO2-avgift. I tillegg er skatteinntekter helt avgjørende for at samfunnet skal fungere. Investorer, kreditorer, myndigheter, ansatte og samfunnet for øvrig stiller i økende grad krav til at virksomheter har en rimelig og bærekraftig tilnærming til skatt.

Avgift

Det er viktig at styret er involvert i strategisk planlegging og styring av avgifter. Og er styret inneforstått med hvem som er involvert og ansvarlig for de ulike type avgiftene?

Avgifter er et sentralt virkemiddel for å fremme miljømessig bærekraft, tvinge frem endringer i utslippstunge produksjonsprosesser og redusere negativ påvirkning på klimaet. Dette ser vi spesielt gjennom økte satser på miljøavgifter, innføring av karbontoll i EU (CBAM - se eget avsnitt under), og innlemmelse av maritim bransje i klimakvotesystemet ETS (Emission Trading System).

Også innenfor avgiftsområdet ser man at nye rapporteringskrav i bærekraftssegmentet blir innført, på lik linje med skatteområdet, for eksempel innenfor CBAM. Gode spørsmål styret bør stille:

  • Hvem har ansvaret for implementeringen av nye avgifter som iverksettes, gjøres det en vesentlighetsanalyse om hvilke avgifter som vil kunne treffe, og hvordan de vil treffe?
  • Hvilket informasjons- og datagrunnlag benytter styret som underlag for å kartlegge og vurdere virkninger for selskapet? Og hvilke roller, funksjoner og ressurser bør være involvert i dette arbeidet?
  • Har selskapet en tiltaksplan for å redusere avgiftsbelagte utslipp?

CBAM

EU har vedtatt å innføre en Carbon Border Adjustment Mechanism (CBAM) som innebærer en ny betaling (toll) på importerte varer, basert på utslipp fra produksjonen av varen. Den norske regjeringen har lagt til grunn at CBAM ikke er EØS-relevant, og har derfor ennå ikke innført dette systemet. Selv om systemet ikke er innført i Norge per nå, ser vi at norske selskaper som eksporterer varer til EU i økende grad mottar omfattende skjemaer for utfylling av CO2-utslipp på de varene de enten er mellomleverandør eller produsent av.

EU er pr nå i en obligatorisk rapporteringsfase som varer frem til 1. januar 2026. Fra 2026 vil karbontollen innføres som en finansiell byrde, og alle importører av produkter som treffer produktlisten vil bli ilagt en sats etter det faktiske CO2-utslippet på den importerte varen. Produkter som rammes er i første omgang jern, stål, aluminium, sement, hydrogen, elektrisitet og kunstgjødsel.

Skatt

I OECDs Guidelines for Multinational Enterprises on Responsible Business Conduct (2023) er skatt og avgift fremhevet som ett av ti sentrale områder for ansvarlig virksomhetsstyring. I retningslinjene fremheves viktigheten av at foretak bidrar til det offentlige gjennom skatter der hvor foretaket utøver virksomhet. Skatteinntekter er helt avgjørende for at det offentlige skal kunne legge til rette for tilgang til kvalifisert arbeidskraft, infrastruktur, effektive domstoler og regulatoriske myndigheter som gir rimelige og rettferdige rammevilkår. Samspillet mellom virksomheter og samfunn har fått økt fokus de senere år, særlig i lys av finanskrisen og COVID-19 hvor offentlige myndigheter bidro med store summer for å redde næringsliv. Skatt har blitt et fokusområde for investorer, banker, interesseorganisasjoner og samfunnet for øvrig. Eksempelvis uttaler NBIM (forvalter av Statens Pensjonsfond Utland) i publiseringen av  “Tax and Transparency” klare forventninger på skatteområdet overfor selskapene de investerer i: “We expect companies to adopt appropriate and prudent tax policies and to be transparent about where they generate economic value.” 

Dersom man ser nærmere på hva som kjennetegner foretak med god tilnærming til skatt, er det gjennomgående for disse at skatt er definert som et vesentlig forhold ved utøvelse av virksomheten, og at skattemessig etterlevelse er løftet opp som et fokusområde hos ledelse og styre. 

For å sikre etterlevelse på skatteområdet og vise at dette tilstrebes gjennom daglig drift, bør foretaket ha etablert et rammeverk for håndtering av skatt. Rammeverket vil bestå av flere deler. For det første må det etableres en skattepolicy som trekker grensene for hva styret anser som akseptabel skatteadferd. I tillegg til skattepolicy, bør foretaket ha etablert rutiner, retningslinjer og instrukser for hvordan skatt håndteres i den daglige driften. Forventningene til hvordan skatt skal håndteres bør kommuniseres ut i alle deler av organisasjonen slik at det er klart når, hvem og hvordan skatterapporteringer skal gjennomføres og hvordan problemstillinger skal håndteres. Rammeverket for håndtering av skatt bør være et element i foretakets internkontroll. 

Et godt rammeverk for håndtering av skatt vil vise foretakets interessenter at  man har mekanismer på plass for å håndtere skattemessige problemstillinger etterhvert som de oppstår, i tillegg til at man opptrer som en ansvarlig samfunnsaktør.


Kapittel 3 Tilnærming til skatt

Synet på skatt har utviklet seg fra å være en ren kostnad for å drive forretninger til å bli en pris for tilgang til offentlige goder som kompetent arbeidskraft, infrastruktur, effektive regulatører og domstoler, og ikke minst, myndigheter med vilje og evne til å benytte betydelige motkonjunkturtiltak i ekstreme tider. Myndigheter, investorer, banker og øvrige interessenter krever en ansvarlig tilnærming til skatt. Det stilles store krav til styre og ledelse om forståelse av materielle skatteregler, men også hvordan skatt skal håndteres i foretakets daglige drift.

Foretakets tilnærming til skatt

Styret har et ansvar for å maksimere verdier for aksjonærene. Innenfor dette mandatet tilligger det styret å unngå unødvendige kostnader, herunder skattekostnader. Dette medfører et motsetningsforhold mellom maksimering av aksjonærverdier på den ene siden og skattekostnad på den andre. Likevel, det er fullt ut akseptert at man tilpasser seg skattereglene på en måte som reduserer skattekostnader, men tilpasninger må være innenfor regelverket, herunder hva som er lovgivers intensjon med reglene.

Hva slags tilnærming et foretak skal ha på skatt bør drøftes og forankres i foretakets øverste ledelse. Styret har ansvar for å definere hvordan foretaket skal forholde seg til skattemessige problemstillinger, herunder hvor langt foretaket skal gå i skattetilpasninger. I tillegg bør foretaket utarbeide retningslinjer for hvordan skatt etterleves i den daglige driften. Alle transaksjoner og disposisjoner vil ha en skattemessig side. Foretakets tilnærming til skatt bør derfor kommuniseres ut til alle ledd i organisasjonen, og det bør sikres at alle ansatte med roller tilknyttet skatt gis nødvendig opplæring og verktøy. Dette skal sikre at regelverket etterleves. Retningslinjer, manualer, instrukser og så videre som konkretiserer foretakets tilnærming på skatteområdet, bør ha en forankring i styret.

Ser vi nærmere på grensene for skattemessig tilpasning, så finnes det noen yttergrenser uavhengig av om det kan argumenteres for at foretaket agerer innenfor lovens bokstav og formål. Yttergrensene kjennetegnes gjerne av transaksjoner eller disposisjoner som:

  • Mangler eller har liten forretningsmessig substans.
  • Gir liten skattepliktig inntekt, men resulterer i skattemessige fordeler.
  • Forutsetter konstruerte, kunstige, forbigående, forhåndsbestemte, komplekse eller kommersielt unødvendige steg i gjennomføringen.
  • Preges av forventede inntekter som fremstår uforholdsmessige store sammenlignet med tjenester/varer solgt eller investert beløp.
  • Samme transaksjon gir skattemessige fordeler i ulike jurisdiksjoner.

Selv om det finnes unntak, bør den klare hovedregelen være at foretaket avstår fra transaksjoner og disposisjoner med de opplistede kjennetegnene. Dersom man likevel, etter grundig overveielse, vurderer gjennomføring av transaksjoner med slike kjennetegn, må det gjennomføres forsterkede kontrolltiltak for å sikre at skatterisikoen reduseres til et akseptabelt nivå. Slike kontrolltiltak kan for eksempel være en uavhengig vurdering av rådgiver, anmodning om bindende forhåndsuttalelse fra skattemyndighetene, at det opplyses detalj om transaksjonen eller disposisjonen i vedlegg til skattemeldingen med videre.

For foretak og konsern som opererer internasjonalt, stilles det ekstra krav til aktsomhet ved tilnærmingen til skatt. De fleste grenseoverskridende transaksjoner og disposisjoner vil ha skattemessige konsekvenser i to eller flere land. Dersom det er inngått skatteavtale mellom landene, vil det avhjelpe risiko for dobbeltbeskatning for de fleste type transaksjoner og disposisjoner.

Tradisjonelt har multinasjonale konsern dratt nytte av inkonsekvens mellom ulike nasjonale regelsett og skatteavtalen, og dermed oppnådd lavere effektiv skatt enn rene nasjonale foretak. Internasjonalt, og da særlig OECD/G20-landenes arbeid med BEPS-prosjektet (Base Erosion and Profits Shifting), har i stor grad hatt som formål å hindre uønsket bruk av skatteavtalen og inkonsekvens i nasjonale regelsett. Mer enn 140 land har forpliktet seg til å følge anbefalingene fra BEPS-prosjektet. Disse anbefalingene innebærer blant annet innføring av bestemmelser for å hindre misbruk av skatteavtaler, lavere terskel for å etablere skattemessig tilstedeværelse (fast driftssted), regler som hindrer misbruk av regler som gir fradrag for samme kostnad i flere land, og regler som medfører at inntekter ikke blir gjenstand for skattlegging. I tillegg har BEPS medført at mange land som tidligere ikke skattla lavt beskattet utenlandsinntekt, nå har innført regler tilsvarende norske NOKUS-regler. I tillegg har mange land nå også innført regler for land-for-land rapportering, internrettslige misbruksbestemmelser og regler for mellomstatlig informasjonsutveksling om skatteforhold.

Global minimumsskatt

I kjølvannet av BEPS bestemte OECD/G20 at man skulle se nærmere på innføring av regler for global minimumsskatt. Formålet med global minimumsskatt er å tette muligheten for større multinasjonale foretak til å kanalisere inntekter til lavskatteland. I 2023 vedtok EU et direktiv som innfører regler om global minimumsskatt. Norge har fulgt etter og lagt seg på linje med EU. Flere andre land har også fulgt med.

To pilarer

Global minimumskatt er bygget på to pilarer. Pilar 1 innebærer at markedsstaten gis større adgang til å skattlegge inntekter fra digital virksomhet enn hva tilfellet er i dag. Historisk har skatteplikt krevd fysisk tilstedeværelse, noe foretak som tilbyr digitale tjenester og digitale plattformer har i liten grad. Pilar 1 vil først og fremst medføre at teknologiforetak som har inntekter fra digital tjenesteyting eller innhenting av opplysninger vil kunne skattlegges i stater der tjenestene ytes og informasjon samles inn. Foruten skatteproveny, er ett av formålene med Pilar 1 å sikre større likebehandling mellom tradisjonell virksomhet og digital virksomhet.

Pilar 2 er den mest vesentlige delen av den globale minimumsskatten. Reglene retter seg mot store konsern (med mer enn EUR 750 millioner i omsetning) hvor formålet er å sikre at konsernets inntekter, uansett hvor i verden disse er opptjent, blir gjenstand for minimum 15 % skatt.

Pilar 2 er vedtatt i EU gjennom et direktiv, og pålegger EU-medlemsstatene å innføre Pilar 2-regler i nasjonal rett fra og med 2024. I Norge foreligger et forslag tilsvarende EUs direktiv, og det er antatt at reglene blir vedtatt med virkning fra 1. januar 2024.

Utviklingen på skatteområdet, både nasjonalt og internasjonalt, har medført at rammene for skattemessige tilpasninger snevres inn. I tillegg ser man at myndigheter, investorer, banker og øvrige interessenter stiller krav til at foretak har en ansvarlig tilnærming til skatt. Det stilles store krav til styre og ledelse om forståelse av materielle skatteregler, men også hvordan skatt skal håndteres i foretakets daglige drift.


Kapittel 4 Transaksjoner mellom nærstående

En høy andel av verdenshandelen skjer mellom parter som er nærstående, og der ulike eierkonstellasjoner styrer hvem som handler med hvem. Det er viktig å huske på at hvert aksjeselskap utgjør et selvstendig rettssubjekt. Dette innebærer at styret i selskapet må ivareta selskapets egen interesse, uavhengig av konsernets interesser eller særinteresser hos aksjonærer eller andre konsernselskap.

Både aksje- og skattelovgivningen stiller krav til innholdet i avtaler mellom nærstående. Styret må påse at det etableres rutiner og sikre at organisasjonen har tilstrekkelig kunnskap og kapasitet, og det må føre kontroll med at rutinene overholdes. Mangelfull etterlevelse kan medføre økonomisk risiko samt skatte- og omdømmerisiko.

Styrets huskeliste for transaksjoner med nærstående

Styret i et aksjeselskap har det overordnede ansvaret for styring og kontroll av transaksjoner mellom nærstående og må

  • påse at oversikten over alle nærstående parter oppdateres løpende
  • påse at alle vesentlige avtaler med nærstående er skriftlige
  • godkjenne vesentlige avtaler med nærstående
  • påse at selskapet har rutiner som sikrer at transaksjoner med nærstående er i tråd med armlengdeprinsippet
  • påse at kravene til rapportering av transaksjoner med nærstående overholdes
  • påse at det utarbeides internprisingsdokumentasjon i henhold til lokale krav
  • påse at de som ansvar er delegert til, har tilstrekkelig kompetanse og ressurser
  • påse at det etableres klare ansvarsstrukturer og at rutiner overholdes
  • påse at det gjennomføres regelmessige kontroller av selskapets håndtering av transaksjoner med nærstående
  • påse at det er særskilt oppfølging av transaksjoner med nærstående i lavskatteland og eksponerte jurisdiksjoner
  • påse at resultatmålingen i konsernregnskapet og selskapsregnskapene med rimelighet reflekterer forretningsmodellen og den underliggende funksjons- og risikofordelingen

Nærmere om kravene i lovgivningen

Vanlige forretningsmessige vilkår og prinsipper

Transaksjoner mellom selskap i samme konsern skal bygge på vanlige forretningsmessige vilkår og prinsipper. Vesentlige avtaler mellom konsernselskaper skal foreligge skriftlig. Dette følger av aksjeloven § 3-9. Man må se hen til hva som er markedspraksis for tilsvarende avtaler og at partenes ytelser er likeverdige. Dette gjelder i forhold til fastsettelse av verdien på det som overføres, og må sees i sammenheng med armlengdeprinsippet i skatteretten.

Armlengdeprinsippet

Armlengdeprinsippet er den grunnleggende skatterettslige standarden for prising av transaksjoner mellom nærstående. Priser og øvrige vilkår som avtales mellom nærstående skal være de samme som om transaksjonen var inngått mellom uavhengige foretak under sammenlignbare forhold og omstendigheter. Dette følger av skatteloven § 13-1 og OECDs mønsterskatteavtale artikkel 9.

Avtaler mellom nærstående

Etter aksjeloven § 3-8 skal styret godkjenne enkelte avtaler mellom selskapet og en aksjeeier, en aksjeeiers morselskap, et styremedlem eller daglig leder, samt nærstående til disse. Bestemmelsen gjelder avtaler der selskapets ytelse har en virkelig verdi som er større enn 2,5 % av balansesummen i selskapets sist godkjente årsregnskap.

Det er flere unntak som gjør at slik godkjennelse ikke kreves. Viktigst er kanskje unntaket for avtaler som inngås som ledd i selskapets vanlige virksomhet og som er grunnet på vanlige forretningsmessige vilkår og prinsipper. Det er også gitt unntak for avtaler der selskapets ytelse har en virkelig verdi som utgjør mindre enn 100 000 kroner. Styret bør være godt kjent med disse unntakene.

Redegjørelse, erklæring og revisorbekreftelse

Styret må vurdere om aksjeloven § 3-8 kommer til anvendelse, og i så fall sørge for at det utarbeides en redegjørelse for avtalen. Redegjørelsen bør omfatte hva avtalen går ut på, selskapets rolle i avtaleforholdet, partene, og hvorfor bestemmelsen kommer til anvendelse. Redegjørelsen skal være bekreftet av revisor, og for at revisor skal kunne avgi en slik bekreftelse kreves det normalt at det utarbeides en underliggende verdsettelse av de overførte ytelsene. Generelt vil det det være en fordel å involvere revisor så tidlig som mulig i slike transaksjoner, slik at man er sikker på at revisor er enig i metodikken og prinsippene som benyttes.

Styret skal også avgi en erklæring om at avtalen er i selskapets interesse, at det er rimelig samsvar mellom verdien av det vederlaget selskapet skal yte og verdien av det vederlaget selskapet skal motta, og at kravet til forsvarlig egenkapital og likviditet vil være oppfylt.

Redegjørelsen og erklæringen skal dateres og signeres av samtlige styremedlemmer før det uten opphold sendes til hver enkelt aksjeeier og til Foretaksregisteret.

Allmennaksjeselskaper

Merk at det foreligger egne regler i allmennaksjeloven som i noen grad avviker fra reglene i aksjeloven. Det er bl.a. gitt særregler for vesentlige avtaler mellom børsnoterte selskaper og tilknyttede parter.

Skatterapportering

Styret har et overordnet ansvar for at skatterapporteringen er i tråd med gjeldende regler. Det følger av skatteforvaltningsloven § 8-11 at selskap som har transaksjoner med nærstående til en verdi av minst kroner 10 millioner per år, eller som per 31. desember har mellomværende over kroner 25 millioner, skal levere en særskilt melding om «kontrollerte transaksjoner og mellomværende» sammen med skattemeldingen. Formålet med oppgaven er å gi skattemyndighetene et grunnlag for utvelgelse av hvilke skattytere og transaksjonsforhold de ønsker å kontrollere nærmere. Det er viktig å være klar over at oppfyllelse av oppgaveplikten ikke nødvendigvis er tilstrekkelig for å oppfylle den generelle opplysningsplikten. Vurder alltid vedlegg til skattemeldingen. Reglene omfatter både grenseoverskridende transaksjoner, transaksjoner mellom norske selskap, samt disposisjoner med faste driftssteder.

Skatteforvaltningsloven § 8-12 krever at store flernasjonale konsern må rapportere overordnet informasjon om aktiviteten i alle land hvor konsernet har virksomhet. Norske morselskap med datterselskap i utlandet hvor samlet inntekt overstiger 6,5 milliarder kroner, skal levere land-for-land rapport (CbCR) innen 31. desember i året etter regnskapsåret. En konsekvens av mangelfull eller uriktig skatterapportering er endret skattefastsetting, med tilhørende tilleggsskatt og forsinkelsesrenter.

Internprisingsdokumentasjon

Det følger av skatteforvaltningsloven § 8-11 at selskap som har plikt til å levere særskilt melding om «kontrollerte transaksjoner og mellomværende», som sammen med nærstående, har minst 250 ansatte, og enten a) salgsinntekt som overstiger kroner 400 millioner eller b) balansesum som overstiger kroner 350 millioner skal utarbeide internprisingsdokumentasjon. Dokumentasjonen skal gi grunnlag for å vurdere om priser og vilkår i transaksjoner og mellomværender med nærstående samsvarer med det som ville vært fastsatt i transaksjoner og mellomværender inngått mellom uavhengige parter under sammenlignbare forhold og omstendigheter. Hvilken informasjon myndighetene har behov for vil bero på de faktiske forhold og omstendigheter ved den enkelte transaksjon. Dokumentasjonen skal utarbeides årlig, og skal innleveres innen 45 dager etter anmodning fra skattemyndighetene. Merk at selskap som er hjemmehørende i utlandet kan være omfattet av andre lokale krav.

En vanlig konsekvens av ufullstendig eller mangelfull internprisingsdokumentasjon er at skattekontoret fastsetter skattepliktig inntekt basert på en uriktig eller upresis forståelse av faktum. Dette vil i praksis innebære risiko for langvarig prosess og dobbeltbeskatning.


Kapittel 5 Habilitet

Spørsmål om habilitet for enkeltmedlemmer i styret kan oppstå. Da er det viktig at forholdet raskt kommer på bordet og blir håndtert før saken som knyttes til habilitetsspørsmålet skal behandles i styret. I artikkelen gir vi veiledning om hvordan styret og styremedlemmet selv kan gjøre habilitetsvurderinger.

Styremedlemmene har plikt til å sørge for at selskapets virksomhet er forsvarlig organisert, jamfør allmennaksjeloven § 6-12 og plikt til å utøve nødvendig tilsyn med selskapets virksomhet. Et styremedlem har som hovedregel både rett og plikt til å delta i alle styremøter og behandlingen og avgjørelsen av alle saker. 

Inhabilitetsregelen i aksjeloven § 6-27 gjelder for alle styremedlemmer, også styremedlemmer som er valgt av og blant de ansatte i selskapet. Styremedlemmer som representerer de ansatte kan ikke trekke seg fra behandlingen av konkrete saker som vedrører kolleger og deres forhold fordi det eventuelt oppfattes som personlig vanskelig eller ubehagelig.

Vår erfaring er at styremedlemmer i aksjeselskaper tenderer til å anta at man er inhabil oftere enn hva man faktisk er. Dette er selvfølgelig bedre enn det motsatte, hvor man opptrer som habil når man faktisk er inhabil. Som styremedlem bør du ha en lav terskel for å foreta slike vurderinger, og du bør sørge for å dokumentere vurderingen og hvordan du har konkludert.

Et styremedlem skal opptre lojalt

Et overordnet prinsipp for styremedlemmer er at de i sine verv skal opptre lojalt og aktsomt overfor selskapet og dets interesser. Habilitetsreglenes formål er å sikre at du som styremedlem ikke legger vekt på særinteresse ved behandlingen og avgjørelsen av saker.

Ved behandling av saker hvor du som styremedlem har en særinteresse i saken, og det er risiko for konflikt mellom særinteressen og plikten til å ivareta selskapets interesse, skal du derfor ikke delta i behandlingen.

Hva menes med særinteresse?

Med særinteresse menes at saken må ha “særlig betydning” for deg eller dine nærstående. Eksempler på nærstående er styremedlemmets ektefelle, samboer, barn, søsken og foreldre samt foretak som styremedlemmet har interesser i. Særinteressen må være en fremtredende personlig eller økonomisk interesse som er i konflikt med selskapets interesse. Graden av interessekonflikt er avgjørende i vurderingen av om styremedlemmet er å anse som inhabil eller ikke.

Vurdering av habilitet

Styremedlemmet må selv vurdere om vedkommende har en særinteresse i saken og legge frem sin egen vurdering for styret. Den som kan være inhabil, bør normalt ikke delta i diskusjoner om egen habilitet eller være med i avgjørelsen av om det foreligger inhabilitet. Det må avklares før saksbehandlingen starter om det foreligger inhabilitet. Den (eventuel de) som kan være inhabil(e) må forlate styremøtet under behandlingen av saken der vurderingen av styremedlemmets habilitet gjøres. Det bør protokollføres i styrereferatet at styremedlemmet ikke deltok ved behandlingen av saken.

Eksempler på situasjoner der det foreligger en særinteresse kan være saker hvor styremedlemmet er kontraktsmotpart til selskapet, enten personlig eller gjennom et annet selskap vedkommende har betydelig interesse i, ved godkjennelse av salg av egne aksjer i selskapet eller ved beslutninger om at selskapet skal yte lån eller stille sikkerhet for lån til styremedlemmet eller nærstående til styremedlemmet. Inhabilitet er ikke nødvendigvis til stede i en sak som involverer arbeidsgiveren til styremedlemmet, med mindre saken kan ha en personlig betydning for styremedlemmet.

Et styremedlem er ikke inhabil alene av den grunn at styremedlemmet representerer en interesse som i den aktuelle saken ikke faller sammen med selskapets interesse, jamfør forarbeidene til aksjeloven. Et styremedlem kan neppe erklære seg inhabil fordi det er en vanskelig beslutning som skal vedtas. Noe slikt er det trolig ikke grunnlag for.

For ansattevalgte styremedlemmer gjelder en særlig lovfestet representasjonsrett. Retten er begrunnet med betydningen de ansattevalgtes deltakelse har i behandlingen av saker med konsekvens for de ansatte som gruppe. Hensikten med representasjon i styret er nettopp at de ansattes interesser skal ha et talerør, og innflytelse i styret.

Inhabilt medlem har deltatt i en beslutning

Dersom et inhabilt styremedlem har deltatt i en beslutning kan beslutningen bli kjent ugyldig. Ugyldighet forutsetter at deltakelsen til det inhabile styremedlemmet har hatt betydning for avgjørelsen i styret. Ugyldigheten kan ikke gjøres gjeldende overfor godtroende tredjemann som selskapet inngår avtale med.

Deltar et styremedlem i behandlingen av en sak hvor vedkommende er inhabil og det medfører økonomisk tap for tredjeperson, kan det medføre erstatningsansvar for styremedlemmet. 


Kapittel 6 Nytten av god kommunikasjon med revisor

God kommunikasjon med revisor kan bidra til at du gjør en bedre jobb som styremedlem. Din revisor har mange kontaktpunkter med styret hvorav noen er lovpålagt. Bruk møtene med revisor til å øke innsikten i revisors arbeid og hvordan dette kan styrke styrets oppfølging av tilsyns- og forvaltningsansvaret det har.

Styret må etter reglene sørge for å gjennomføre et møte med revisor i løpet av året der ledelsen ikke er tilstede. Vår erfaring er at samtalene mellom revisor og styret oppfattes som en verdifull mulighet for styret til å stille spørsmål styremedlemmene gjerne kan tenke seg å stille uten ledelsen tilstede. Vi opplever at styret eksempelvis benytter møtet til å snakke om samarbeidet mellom revisor og ledelsen, revisors oppfatning av administrasjonens kapasitet og kompetanse, forståelse av regelverk eller revisors meninger om kvaliteten på foretakets interne kontroll. Styret kan også ønske å diskutere revisors rolle, betydningen av innhold i nummererte brev fra revisor, betydningen av et fortsatt drift-avsnitt i revisjonsberetningen, grensene for styrets ansvar når usikkerheten knyttet til fortsatt drift øker, og hvordan revisor benytter sin vesentlighetsgrense.

Kommunikasjon med styret

Lovreglene inneholder krav til revisors skriftlige kommunikasjon med styret. Den skriftlige kommunikasjonen hjelper styret med å underbygge og dokumentere sin oppfølging av sitt tilsyns- og forvaltningsansvar generelt samt oppfølging av regnskapsrapporteringsprosessen og revisor spesielt.

Konsekvenser av påpekte feil og mangler for revisjonen og revisjonsberetningen, og om forholdet kan lede til ansvar for styret, er blant forholdene revisor skal kommunisere skriftlig om til styret. Det samme gjelder og svakheter i internkontroll. Så langt har lovreglene handlet om finansiell rapportering. Med implementeringen av krav om bærekraftsrapportering (CSRD) vil revisors skriftlige kommunikasjon også omfatte feil og mangler og svakheter i interne kontroller i tilknytning til bærekraftsrapporteringen.

Vesentlige mangler i foretakets interne kontroll, brudd på bokføringsreglene og andre lovkrav samt avdekkede misligheter, er et minimum av hva revisor skal påpeke. Kommunikasjonen kan være i brevs form eller på annen måte skriftlig, for eksempel en presentasjon. Kommunikasjonen skal nummereres.

Der påpekte forhold ikke rettes opp, men vedvarer, må revisor kommunisere på nytt og eventuelt påpeke at forholdet kan få den konsekvens at revisor plikter å trekke seg fra oppdraget.


Kapittel 7 Børser i Norge og tilhørende regler

I dette kapitlet beskrives kort de norske kapitalmarkedene (aksjer og obligasjoner), og hvordan børsnoterte og andre selskaper kan bruke disse markedene til å hente inn kapital. Selskapets aksjer kan noteres på Oslo Børs, Euronext Expand, Euronext Growth, Euronext NOTC-listen, og Family and Friends-listen. Obligasjonslån kan noteres på Oslo Børs, evt på Nordic ABM-listen. De norske kapitalmarkedene er svært effektive siden selskapene i gitte situasjoner kan hente kapital fra den ene dagen til den neste.

Opptakskrav på markedsplasser for aksjer

Tabellen under viser de viktigste opptakskravene for Oslo Børs, Euronext Expand og Euronext Growth.

 

Euronext Growth

Euronext Expand

Oslo Børs

Juridisk status av markedsplass

Multilateral handelsfasilitet

Regulert marked

Regulert marked

Juridisk enhet

AS, ASA eller tilsvarende utenlandsk enhet

Omdanning til ASA kan være en fordel for tilretteleggerne /investeringsbank (ansvar begrensning)

ASA eller tilsvarende utenlandsk enhet

ASA eller tilsvarende utenlandsk enhet

Investeringsbank/

finansiell rådgiver

Ja, en godkjent Euronext Growth-rådgiver er nødvendig

Nei. I praksis er det imidlertid behov for en investeringsbank til å bistå i prosessen.

Nei. I praksis er det imidlertid behov for en investeringsbank til å bistå i prosessen.

Formell listing- prosess med Børsen

Ned mot 1 til 2 uker

4-8 uker

(standard prosess tilpasses Oslo Børs sin styrekalender)

4-8 uker

(standard prosess tilpasses Oslo Børs sin styrekalender)

Finanstilsynet involvert?

Nei

Ja, vil gjennomgå prospekt og regnskaper (minst 5 ukers godkjennelsesprosess)

Ja, vil gjennomgå prospekt og regnskaper (minst 5 ukers godkjennelsesprosess)

Markedsverdi for selskapet (aksjeverdi)

Nei

Ja, NOK 8 million

Ja, NOK 300 million

Minimum antall aksjonærer (børsposteiere)

30

100

500

Spredningskrav (fri flyt – andel aksjer spredt blant allmennheten)

15%

(aksjonærer som eier mer enn 10% teller ikke)

25%

(aksjonærer som eier mer enn 5% teller ikke)


25%

(aksjonærer som eier mer enn 5% teller ikke)

Krav om due diligence? (Finansiell og juridisk)

Krav om (forenklet) juridisk- og finansiell due diligence. Euronext Growth-rådgiver skal vurdere omfanget av due diligence-undersøkelsene. Krav om uavhengighet for due diligence-rådgiver.

Full finansiell og juridisk due diligence. Krav om uavhengighet for due diligence-rådgivere.

Full finansiell og juridisk due diligence. Krav om uavhengighet for due diligence-rådgivere.

Likviditet / arbeidskapital

12 måneder fra første dag aksjene er tatt opp til handel. Kapitalhenting i forbindelse med notering kan hensyntas. 

12 måneder fra første noteringsdag. Kapitalhenting i forbindelse med notering kan hensyntas. 

Finansiell due diligence-rådgiver gjennomgår likviditesprognosen og rapporterer til Oslo Børs.

12 måneder fra første noteringsdag. Kapitalhenting i forbindelse med notering kan hensyntas. 

Finansiell due dilligence-rådgiver gjennomgår likviditesprognosen og rapporterer til Oslo Børs.

Informasjonsdokument/ noteringsprospekt

Krav om et såkalt Informasjonsdokument, mindre omfattende enn et EØS-prospekt. Godkjennes av Oslo Børs.

Krav til EØS-noteringsprospekt. Godkjennes av Finanstilsynet.

Krav til EØS-noteringsprospekt. Godkjennes av Finanstilsynet.

Regnskapsspråk

GRS, IFRS og andre aksepterte standarder

IFRS og IFRS-ekvivalente standarder.

IFRS og IFRS-ekvivalente standarder.

Historikk og virksomhet

Hovedregel er 2 år med konsoliderte regnskaper, men unntak kan gis, blant annet ved at siste delårsrapport er fullt ut revidert. Ikke krav om at virksomheten har startet.

Som minimum et revidert årsregnskap eller revidert delårsregnskap. Virksomheten må ha startet.

3 år med konsoliderte regnskaper. Ikke krav til inntekter, men krav om at vesentlig del av virksomheten har bestått i disse tre årene. Børsen kan gi unntak.

Finansiell, periodisk rapportering

Hel- og halvårlig. Frist for rapportering er 1 måned senere ift Euronext Expand og Oslo Børs.

Hel og halvårlig. Helårsregnskap innen 4 måneder, halvår innen 2 måneder. Markedspraksis er kvartalsvis rapportering.

Hel og halvårlig. Helårsregnskap innen 4 måneder, halvår innen 2 måneder. Markedspraksis er kvartalsvis rapportering.

ESEF

Nei

Ja

Ja

Krav om offentliggjøring av innsideinformasjon

Informasjonsplikt om innsideinformasjon gjelder fra søknadstidspunktet.

Informasjonsplikt om innsideinformasjon gjelder fra søknadstidspunktet.

Informasjonsplikt om innsideinformasjon gjelder fra søknadstidspunktet.

Krav om redegjørelse for eierstyring og selskapsledelse («corporate governance»)

Nei

Ja, krav om å redegjøre for utsteders prinsipper og praksis vedrørende foretaksstyring. Norsk utvalg for eierstyring og selskapsledelse (“NUES”) sin anbefaling må følges. 

Ja, krav om å redegjøre for utsteders prinsipper og praksis vedrørende foretaksstyring. Norsk utvalg for eierstyring og selskapsledelse (“NUES”) sin anbefaling må følges.  

CSRD - EUs bærekraftsdirektiv

Nei, men kan være aktuelt fra 2025 avhengig av størrelse på foretaket.

Ja, fra 2024 eller 2026 avhengig av størrelse på foretaket. 

Ja, fra 2024 eller 2026 avhengig av størrelse på foretaket. 

Taksonomiforordningen

Nei, men kan være aktuelt fra 2025 avhengig av størrelse på foretaket.

Ja, fra 2023 avhengig av størrelse på foretaket. 

Ja, fra 2023 avhengig av størrelse på foretaket

Styre og styreutvalg

Krav til egnethet. Minst ett styremedlem må innfri definerte kompetansekrav.

Krav om egnethet. Minst 2 styremedlemmer må være uavhengig. Minimum 40% av styret må være kvinner/menn. Alle styremedlemmer må innfri definerte kompetansekrav. Krav om revisjonsutvalg og kompensasjonsutvalg. Nominasjonskomite anbefalt av NUES.

Krav om egnethet. Minst 2 styremedlemmer må være uavhengig. Minimum 40% av styret må være kvinner/menn. Alle styremedlemmer må innfri definerte kompetansekrav. Krav om revisjonsutvalg og kompensasjonsutvalg. Nominasjonskomite anbefalt av NUES.

Euronext-markedene

Etter at Oslo Børs ble en del av Euronext i 2020 har selskaper på Oslo Børs sine markedsplasser nå tilgang til et større investor publikum enn tidligere da Oslo Børs var en selvstendig børs. Det betyr økt tilgang til kapital, likviditet og interesse. Oslo Børs har også blitt underlagt et regelverk som er harmonisert på tvers av Euronext-børsene i hele Europa. Euronext-regelverket inkluderer harmoniserte regelverk per børsmarked (regelbok I) og ikke-harmoniserte eller lokale regelverk som gjelder den enkelte lokasjon eller jurisdiksjon (regelbok II og annen veiledning). Regulatoriske myndigheter fra hvert land (Finanstilsynet i Norge) godkjenner de harmoniserte reglene i fellesskap og de ikke-harmoniserte godkjennes av hvert enkelt lands myndigheter alene.

Euronext-markedene består av Oslo Børs, Euronext Expand, Euronext Growth, Euronext NOTC-listen og Euronext Family & Friends-listen. Oslo Børs og Euronext Expand er definert som regulerte markeder. Euronext Growth er en multilateral handelsfasilitet, noe som innebærer et enklere alternativ til de tradisjonelle regulerte markedene. Denne markedsplassen er særlig relevant for mindre og mellomstore selskaper hvor det blant annet er enklere krav til å få aksjer tatt opp til handel og mindre omfattende krav til periodisk finansiell rapportering enn på de regulerte markedene.

De forskjellige markedsplassene diskuteres nedenfor. Vi starter med de enkleste noteringsalternativene som progressivt blir mer krevende med hensyn til noteringskrav og opptaksprosess.

Euronext NOTC-listen og Family & Friends-listen

Det enkleste kapitalmarkedet i Norge er Euronext NOTC-listen (“NOTC”) som eies og reguleres av Oslo Børs ASA, men som profileres separat fra Euronext Oslo Børs. Selskaper som har støtte fra en investeringsbank til å hente kapital, kan bli registrert på NOTC-listen etter søknad fra investeringsbanken og selskapet. Opptakskravene for NOTC er beskjedne (minst 50 aksjonærer, minst 1 års historikk, og minst 20 mill NOK i markedsverdi). NOTC-listen forvalter også Family & Friends-listen, som er ment for mindre selskaper (estimert markedsverdi av selskapets aksjer må være mindre enn NOK 100 millioner). I de siste par årene har Euronext Growth overtatt mye av funksjonen til NOTC som markedsplass.

Euronext Growth-listen

Opptakskravene til handel på Euronext Growth (“EG”) er mer krevende enn opptakskravene for NOTC. For opptak til handel på EG kreves det at selskapet oppnevner en Euronext Growth-rådgiver. Denne rådgiveren skal vurdere omfanget av due diligence-undersøkelsene (både juridisk og finansiell.) Selskapene må som hovedregel ha to år med reviderte (og dersom aktuelt, konsoliderte) regnskaper, og være i stand til å rapportere års- og halvårsregnskap. Selskapene må inneha 15 % fri flyt i aksjene og minimum 30 børsposteiere ved notering. Et opptak til handel på EG krever ikke IFRS, verken ved opptakstidspunktet eller senere, og heller ikke et godkjent prospekt av Finanstilsynet. Dette har bidratt til at opptak til handel på EG kan utføres raskt og effektivt.

Tidlig i prosessen, i forberedelse mot opptaket til handel på EG, vil selskapet ofte utføre en rettet emisjon, primært basert på en investorpresentasjon som angir betingelsene for emisjonen, samt selskapets regnskaper. En investeringsbank bistår normalt med investorpresentasjonen. En rettet emisjon (rettet til færre enn 150 investorer eller minimumstegning for den enkelte investor på EUR 100.000 dersom over 150 investorer) utløser normalt ikke krav til et tilbudsprospekt. Senere i prosessen, og i forkant av opptaket til handel, krever Børsen et Informasjonsdokument. Dette dokumentet beskriver selskapets forretningsmodell, risikofaktorer med mer. Dokumentet gjennomgås av Oslo Børs og fungerer som en forenklet utgave av et noteringsprospekt.

Oslo Børs og Euronext Expand

I motsetning til EG er Oslo Børs og Euronext Expand såkalte regulerte markeder. Regulert marked er en betegnelse benyttet av EU og er gjenstand for en rekke regelverk som skal sørge for at kapitalmarkedene i Europa er fullharmoniserte (identiske regler for å unngå friksjon for kapitalflyten i EU). Disse EU-regelverkene er innarbeidet i den norske verdipapirhandelloven. Oslo Børs er også markedsplass for noterte obligasjonslån (se nærmere beskrivelse i eget underkapittel).

Opptakskrav

For notering på Oslo Børs kreves det som utgangspunkt tre år med reviderte konsoliderte regnskaper, hvor det siste året (som inkluderer sammenligningstall for forrige år) må være utarbeidet iht. IFRS eller IFRS-ekvivalente regnskapsstandarder, mens for Euronext Expand er det tilstrekkelig med en revidert delårsrapport iht. IFRS eller IFRS-ekvivalente standarder. Dersom selskapet har publisert delårsregnskap er det krav om at dette utarbeides i henhold til IAS 34 (dersom selskapet rapporterer etter IFRS) og inkluderes i noteringsprospektet. Oslo Børs stiller krav om forenklet revisjon av delårsregnskapet. Om selskapet noteres litt inn i året vil som regel markedet og Oslo Børs forvente at selskapet publiserer delårsregnskap. Det kreves 25% fri flyt i aksjene for begge listene. For Oslo Børs (Euronext Expand i parentes) kreves minimum markedsverdi på NOK 300 millioner (NOK 8 millioner) og minst 500 børsposteiere (100 børsposteiere). For begge listene er det krav til full finansiell- og juridisk due diligence, herunder dokumentasjon av tilstrekkelig likviditet for de første 12 månedene etter notering.

Prospektet og Finanstilsynet rolle

Det kreves et noteringsprospekt godkjent av Finanstilsynet for notering på regulerte markeder (Oslo Børs og Euronext Expand). Prospektet må være grundig gjennomarbeidet før første innsendelse. I denne prosessen vil Finanstilsynet også kontrollere selskapets IFRS-regnskaper, siden disse inngår som en del av prospektet. Har selskapet gjennomført betydelige oppkjøp eller restruktureringer forut for noteringen er det ikke gitt at regnskap for utsteder alene er representativt for den virksomheten som børsnoteres og det vil kunne være et krav om at det utarbeides regnskaper både for selskapet som noteres, oppkjøpte selskaper og for restrukturert virksomhet (kompleks finansiell historikk). I de tilfellene de sammenslåtte selskapene har vært under felleskontroll utarbeides såkalt sammenstilt finansiell informasjon for å vise en representativ finansiell historikk for virksomheten som noteres. Ved oppkjøp eller salg av virksomhet i siste regnskapsperiode, ev at det er inngått avtale om dette forut for utstedelse av prospekt og det foreligger en vesentlig bruttoendring (>25 % endring av inntekt, eiendeler eller resultat) vil det være krav om pro forma finansiell informasjon. I de tilfellene der det har skjedd betydelige oppkjøp og restruktureringer før notering er det viktig å avklare krav til finansiell informasjon i prospektet med Finanstilsynet i forkant. Reviderte regnskap må være av god kvalitet slik at selskapet unngår kritiske og tidkrevende spørsmål fra Finanstilsynet ved deres gjennomgang. En normal godkjennelsesprosess hos Finanstilsynet tar 5-6 uker.

Etter notering vil selskapets regnskaper være underlagt Finanstilsynets løpende kontroll. Dette gjelder både for årsregnskap og for halvårsregnskap. I tillegg følger Finanstilsynet opp at selskapene følger de løpende forpliktelsene, se nedenfor.

Flytting fra Euronext Growth til Oslo Børs eller Euronext Expand - oppnotering (uplisting)

Mange av selskapene med aksjer tatt opp til handel på EG planlegger notering på Oslo Børs eller Euronext Expand (oppnotering). I prinsippet kreves det da en full noteringsprosess som skissert i avsnittet over. Merk at i den grad et selskap i forkant av EG-opptaket har gitt guiding på et fremtidig resultat, må selskapet ved en eventuell oppnotering til Oslo Børs eller Euronext Expand forholde seg til hvordan en slik guiding skal beskrives i noteringsprospektet.

Etter notering – løpende forpliktelser

Etter notering på Oslo Børs, Euronext Expand eller opptaket til handel på EG, har selskapene krav til å rapportere følgende primære kategorier av informasjon:

  1. Innsideinformasjon
  2. Periodisk finansiell informasjon
  3. Bærekraftsinformasjon
  4. Selskapshandlinger (corporate actions)
  5. Flaggeregler (gjelder ikke Euronext Growth)

Ad 1 - Innsideinformasjon

Noteringsprospektet (for Oslo Børs og Euronext Expand) og informasjonsdokumentet (for EG) inneholder informasjon til investorene. Etter notering fortsetter selskapene med å holde investorene oppdatert løpende i forhold til relevant informasjon, inkludert innsideinformasjon (iht verdipapirhandelloven eller børsens egne regler). Kort oppsummert er innsideinformasjon opplysninger som gjelder selskapet eller aksjene (evt obligasjonslån som er notert) og som er egnet til å påvirke aksjekursen merkbart. 

Innsideinformasjon skal som hovedregel rapporteres umiddelbart av selskapet til markedet, med mindre selskapet ser at man oppfyller adgangen til såkalt «utsatt offentliggjøring», som er en unntaksregel. I den grad selskapet velger «utsatt offentliggjøring», må innsidelister utarbeides og Oslo Børs’ markedsavdeling informeres underhånden (for å kunne overvåke aksjekursen – evt obligasjonskursen for noterte obligasjonslån).

Ad 2 - Finansiell, periodisk informasjon

Investorene ønsker jevnlig status for hvordan selskapene forvalter verdiene. Alle noterte selskap må offentliggjøre årsrapport og halvårsrapport. Det er ikke krav om revisjon eller forenklet revisjon av halvårsregnskap. Det er like krav for Oslo Børs og Euronext Expand, mens EG har noe lengre tidsfrister for krav til offentliggjøring. De fleste selskapene rapporterer imidlertid hvert kvartal i tråd med Oslo Børs sine anbefalinger. Selskapene ønsker som regel å rapportere så tidlig som mulig etter kvartalsslutt. Dette gir da også selskapene større muligheter til å kommunisere med markedet i en større del av det aktuelle kvartalet.

Både årsrapport og halvårsrapport må omfatte en ansvarserklæring fra de personene som er ansvarlige hos selskapet for selskaper som er notert på Oslo Børs og Euronext Expand, men dette kreves ikke for EG.
30 dager forut for rapportering av pliktige års-/delårsrapporter er det generelt handleforbud for primærinnsidere, såkalt røde perioder.

Ad 3 - Bærekraftsinformasjon

Bærekraftsdirektivet - Corporate Sustainability Reporting Directive (CSRD) trådte i kraft i EU januar 2023. CSRD vil innebære en utvidelse av kravene i dagens regnskapslov om redegjørelse for samfunnsansvar. Bærekraftsinformasjonen skal etter CSRD gis i årsberetningen. Selskaper notert på Oslo Børs eller Euronext Expand vil bli underlagt CSRD fra 2024 eller 2026, avhengig av størrelsen på selskapet. For selskaper med aksjer tatt opp til handel på Euronext Growth kan CSRD også være aktuelt, men dette er avhengig av størrelsen på selskapet. Se kapittelet Samfunnsansvar - utvidelser i rapporteringskrav for en oversikt over hvem som blir rapporteringspliktige etter CSRD og når.

Ad 4 - Selskapshandlinger (corporate actions)

Det er detaljerte krav til hvordan og når selskaper skal rapportere selskapshandlinger til markedet. Ved forslag eller beslutning om for eksempel utbytte, fortrinnsrettsemisjoner, splitt eller spleis av aksjer, endring av ISIN, reparasjonsemisjoner og innkalling til generalforsamling skal det offentliggjøres en separat melding med informasjon om relevante nøkkeldatoer.
 

Ad 5 - Flaggregler

For aksjer notert på regulert marked plikter den aksjeeier hvis eierandel når opp til, overstiger eller faller under 5 %, 10 %, 15 %, 20%, 25%, 1/3, 50 %, 2/3 eller 90% av det totale antall aksjer i selskaper, å straks sende melding til selskapet og Oslo Børs - en såkalt flaggemelding. Etter flaggereglene regnes aksjeeier som den som innehar aksjer, andre finansielle instrumenter enn aksjer eller rett til å stemme for andre aksjer.

Etter notering - hvordan hente ytterligere aksjekapital?

Fortrinnsrettsemisjon eller rettet emisjon?

Lovens hovedregel er at selskaper som skal hente ny egenkapital skal gjøre det gjennom en fortrinnsrettsemisjon slik at alle eksisterende aksjonærer kan tegne seg og ikke risikerer utvanning. En fortrinnsrettsemisjon vil også utløse krav om at fortrinnsrettene kan noteres og omsettes i de få ukene emisjonen utføres.

Allmennaksjeloven åpner imidlertid for at selskaper kan utføre en rettet emisjon til et mindre utvalg investorer (trenger ikke omfatte selskapets eksisterende aksjonærer). En forutsetning er at selskapets styre har nødvendige fullmakter og en saklig grunn til å utføre den rettede emisjonen. Fordelene med en rettet emisjon er at selskaper kan hente kapitalen fra den ene dagen til den neste, at den rettede emisjonen normalt ikke utløser prospektplikt og at emisjonen (i motsetning til en fortrinnsrettsemisjon) kan utføres raskt. Rettede emisjoner har utviklet seg til mer å være hovedregelen enn unntaket for børsselskapene i det norske kapitalmarkedet.

Reparasjonsemisjon med prospekt

Ulempen med en rettet emisjon er imidlertid at eksisterende aksjonærer blir utvannet. Selskapene søker derfor å bøte på dette med en reparasjonsemisjon som kommer i etterkant av den rettede emisjonen. I reparasjonsemisjonen vil eksisterende aksjonærer, som ikke tegnet seg i den rettede emisjonen, inviteres til å tegne seg til like betingelser som i den rettede emisjonen. Reparasjonsemisjonen innebærer imidlertid krav til utarbeidelse av prospekt som må godkjennes av Finanstilsynet i forbindelse med reparasjonsemisjonen da kretsen av aksjonærer som får tilbud om å tegne seg i en reparasjonsemisjon vil utløse prospektkrav. På dette tidspunktet har selskapet imidlertid allerede oppnådd å hente kapitalen i den rettede emisjonen.

Oslo Børs stiller en rekke krav til en rettet emisjon siden slike emisjoner innebærer diskriminering (utvanning) av eksisterende aksjonærer. Selskapets styre bør utføre slike emisjoner i tett dialog med sine juridiske rådgivere og begrunne valget for hvorfor fortrinnsretten er fraveket.

Hvordan hente obligasjonsfinansiering?

Forutsetninger for å hente obligasjonsfinansiering

Forutsetningen for å hente obligasjonsfinansiering er normalt at selskapet (obligasjonsutsteder) har kapasitet til å betjene lånet, dvs tilstrekkelig kontantstrøm til å betale renter og avdrag. Det er ikke et krav at slike lån må noteres, men ofte krever investorene at lånet noteres på Oslo Børs eller Nordic ABM for at selskapet skal ha krav til å rapportere innsideinformasjon, periodisk finansiell rapportering samt være gjenstand for Børsens overvåking og regelverk.

Investeringsbankens rolle

Gitt et mandat fra selskapet vil en valgt investeringsbank plassere lånet hos et utvalg investorer. Banken vil indikere til selskapet hvilke betingelser (primært hvor høy rente) lånet kan plasseres til, sett hen til selskapets kredittverdighet, gjeldsbetjeningsevne og lånesikkerhet. De fleste lån som plasseres i det norske markedet er enten usikrede lån eller lån med sikkerhetsstillelse i form av betalingsgarantier gitt av andre juridiske enheter innad i et konsern som selskapet som utsteder lånet er en del av. Investeringsbanken vil bistå med å lage investorpresentasjon, term sheet etc. Investeringsbanken vil indikere rente (kupong) for lånet. Obligasjonslån har ofte en varighet på 3-5, år og er normalt avdragsfrie med krav om tilbakebetaling på lånets siste dag(ballong). Normalt vil det ikke utarbeides prospekt, siden selskapet og banken(e) legger opp til å benytte regler som gir unntak fra prospektplikt.

Nordic Trustee’s rolle

Nordic Trustee fungerer som obligasjonseiernes tillitsmann i de fleste obligasjonslånene som utstedes i det norske markedet. Term sheet og låneavtalen for hvert enkelt obligasjonslån vil normalt være utarbeidet basert på standard maler (avtaler og dokumentasjon) fra Nordic Trustee, noe som bidrar til effektive utstedelsesprosesser.

Notering av lånet – dersom avtalt med långiverne

Dersom obligasjonslångiverne ønsker lånet notert, må selskapet forberede notering av lånet på Oslo Børs eller Nordic ABM. Dersom lånet skal noteres på Oslo Børs er det krav til prospekt og rapportering av regnskap etter IFRS. Prospektet skal godkjennes av Finanstilsynet. Dersom det er garantister til lånet er det krav til å vedlegge garantistene sine regnskaper i prospektet. Dersom lånet skal noteres på Nordic ABM er det ikke krav til prospekt eller IFRS- rapportering. Det er ikke krav om finansiell eller juridisk due diligence for å hente inn obligasjonskapital eller for notering av obligasjonene.

Løpende forpliktelser for obligasjonsutsteder

Etter notering på Oslo Børs (evt Nordic ABM) vil obligasjonsutsteder som minimum måtte offentliggjøre en revidert årsrapport og en urevidert halvårsrapport. Selskapet er ellers forpliktet til å rapportere iht løpende forpliktelser som vil omfatte innsideinformasjon, periodisk finansiell rapportering og selskapshandlinger (se beskrivelse i avsnittet «Etter notering – løpende forpliktelser» over). Det er også krav til revisjonsutvalg. Normalt krever långiverne at selskapet rapporterer regnskap hvert kvartal, dvs oftere enn det som følger av regelverket.
Etter notering må ikke bare utsteder, men også nedstrømsgarantister (f.eks. dersom morselskap garanterer for den noterte obligasjonsutstederen) rapportere regnskaper løpende til Oslo Børs. Oppstrømsgarantister (ofte operative datterselskaper som garanterer for sin mor/den noterte obligasjonsutstederen) har derimot ikke krav til å rapportere sine regnskaper da disse vil være konsolidert i konsernregnskapet til utsteder.


Kapittel 8 Flaggreglene

Flaggereglene omhandler en plikt til å informere markedet om endringer i innehav av større posisjoner i aksjer, rettigheter til aksjer eller stemmerettigheter gjennom en såkalt flaggemelding. Formålet med regelverket er å gi markedet informasjon om endringer i innflytelse i, eller eksponering mot, et selskap. Flaggemeldinger kan også gi viktig informasjon i markedsovervåkingssaker.

De norske flaggereglene ble justert i Norge i 2022, og er nå harmonisert med reglene for resten av EU/EØS. Flaggereglene gjelder fortsatt kun for selskaper med noterte aksjer og egenkapitalbevis på Oslo Børs og Euronext Expand, og med Norge som hjemstat. På Euronext Growth gjelder det ikke en flaggeplikt for investorene, men selskapene har en plikt til å informere markedet dersom de blir kjent med at visse eierterskler er overskredet (50 % og 90 %).

Det er tre typetilfeller som kan utløse flaggeplikt, aksjeerverv, erverv av andre finansielle instrumenter og flagging som følge av stemmeretter. Disse tre er kort oppsummert under.

Flaggeplikt ved aksjeerverv

Dersom en aksjeeiers eierandel overstiger eller faller under 5 %, 10 %, 15 %, 20 %, 25 %, 33,3 %, 50 %, 66,67 % eller 90 % av det totale antall aksjer i selskaper, plikter aksjeeieren å straks sende melding til selskapet og Oslo Børs - en såkalt flaggemelding. Utlån og innlån av aksjer og tilbakelevering og mottak av utlånte aksjer skal regnes som erverv og avhendelse etter denne paragrafen. Dette kan typisk være relevant der større aksjeeiere låner ut aksjer til selskapet eller investeringsbanker for å muliggjøre samtidig oppgjør av aksjer i forbindelse med emisjoner.

Flagging som følge av andre verdipapirer enn aksjer

Flaggeplikten gjelder tilsvarende for den som direkte eller indirekte innehar, erverver eller avhender finansielle instrumenter som enten gir eieren rett til å erverve allerede utstedte aksjer eller har lignende økonomisk virkning som slike finansielle instrumenter. De relevante finansielle instrumentene er omsettelige verdipapirer, opsjoner, terminkontrakter med løpende avregning, bytteavtaler, fremtidige renteavtaler, differansekontrakter og alle andre kontrakter eller avtaler med lignende økonomiske virkninger som kan gjøres opp fysisk eller finansielt.

At flaggeplikten ikke utelukkende ble knyttet mot underliggende innflytelse eller potensiell innflytelse var en av endringene i 2022, og innebærer at det er tilstrekkelig å inneha verdipapirer som er eksponert mot en oppgang eller nedgang i aksjekursen, for eksempel swaper og finansielle differansekontrakter (CFD/Contracts for Difference).

Ettersom reglene kun omfatter verdipapirer som gir rett til allerede utstedte aksjer, innebærer det at instrumenter som kun gir rett til å kreve at nye aksjer blir utstedt, som for eksempel tegningsretter eller konvertible obligasjoner ikke vil være omfattet av flaggeplikten.

Dersom det er aktuelt å vurdere flaggeplikt for finansielle instrumenter som ikke gir rett til fysisk oppgjør (typisk levering av aksjer), må det benyttes modeller for å beregne om flaggepliktterskelen er overskredet eller ikke, f.eks. Monte Carlo-modellen.

Flaggeplikt ved andre omstendigheter

Til slutt gjelder flaggeplikten tilsvarende for enkelte typer stemmeretter som den flaggepliktige innehar. Dette gjelder i følgende situasjoner:

  • stemmeretter som innehas av en tredjeperson og som den flaggepliktige etter avtale har forpliktet seg til å føre en langsiktig, felles strategi med, ved samordnet utøvelse av stemmeretter,
  • midlertidig overdragelse av stemmerett til den flaggepliktige mot vederlag,
  • aksjer med stemmeretter som den flaggepliktige (i) mottar som sikkerhet, og hvor den flaggepliktige kan utøve stemmerett etter eget skjønn og erklærer at vedkommende har til hensikt å stemme for aksjene, (ii) har fått evigvarende rettigheter til, og (iii) mottar for deponering, og der den flaggepliktige i mangel av instruks kan stemme for aksjene etter eget skjønn,
  • aksjer med stemmerett som en tredjeperson oppbevarer i eget navn på vegne av den flaggepliktige,
  • tildeling eller tilbakekall av fullmakt uten instruks til den flaggepliktige.

Innehavet skal beregnes ved både inngåelse og opphør av slike avtaler, herunder ved tildeling og tilbakekall av fullmakt

Flaggeplikt ved stemmefullmakter er særlig relevant med tanke på avholdelse av generalforsamlinger. Merk likevel at fullmakter kun vil telle med i beregningen dersom fullmaktene lar det være opp til fullmektigen til å beslutte stemmegivningen. Dersom fullmakten angir hvordan stemmegivningen skal være (ofte kalt bundet stemmefullmakt), regnes de ikke med når man beregner om flaggeplikten er overskredet.

Absolutt frist for når det skal flagges

En flaggemelding skal sendes “straks” etter at en flaggeterskel er nådd eller krysset. I tillegg er det oppstilt et absolutt krav om at det senest skal flagges innen åpning av markedet andre handelsdag etter flaggeomstendigheten. Hovedregelen man skal innrette seg etter er likevel at det skal flagges straks - det vil si den tid det tar å skrive flaggemeldingen - med mindre det foreligger særlige omstendigheter.

Nærstående

Hvem som blir ansett som nærstående under flaggereglene er særskilt definert. Det er viktig å merke seg at definisjonen avviker fra blant annet definisjonen av nærstående gjeldende for primærinnsidere og tilbudspliktreglene. Etter flaggereglene skal ikke beholdningen til personlige nærstående, som for eksempel ektefelle og mindreårige barn, konsolideres under den flaggeliktiges beholdning. Flaggebeholdningen skal kun konsolideres med beholdningen til stemmeretter som innehas av en tredjeperson og som den flaggepliktige etter avtale har forpliktet seg til å føre en langsiktig, felles strategi med, eller foretak eller person som etter nærmere kriterier kontrolleres av den flaggepliktige.

Krav til flaggemeldingen

Kravene til flaggemeldingen er tekniske og angitt i verdipapirforskriften § 4-1.

Finanstilsynets sanksjonsadgang

Oslo Børs er utpekt til å motta og offentliggjøre flaggemeldingene. Finanstilsynet fører tilsyn med overholdelsen av reglene om flaggeplikt, og har nylig fått utvidede hjemler til å ilegge overtredelsesgebyr og å suspendere stemmerettigheter ved overtredelse av flaggereglene. I 2023 var det per starten av desember ilagt syv forelegg for brudd på flaggereglene, noe som viser at Finanstilsynet aktivt håndhever regelverket.

Ytterligere informasjon

For nærmere detaljer om flaggeplikt har Finanstilsynet offentliggjort en omfattende veiledning "Veiledning til verdipapirhandelloven kapittel 4 – flaggeplikt (PDF)". 


Kapittel 9 Cyberrisiko og sikkerhet

Norske foretak står overfor en økende og mer kompleks cybertrussel. Det er flere og mer kompetente angripere, lengre verdikjeder og økende grad av digitale verdiforslag til kundene. Myndighetene er også aktive og bidrar gjennom regulering med fokus på åpen og robust infrastruktur hvor forbrukernes rettigheter er godt ivaretatt. Styret spiller sammen med ledelsen en avgjørende rolle i utformingen av sikkerhetsstrategien knyttet til cybertrusler, og her finner du konkrete råd til styret og øvrig ledelse.

Gjennom våre rådgivningsoppdrag ser vi at stadig flere lykkes gjennom å integrere cybersikkerhet i forretningsstrategien. Integrering av cybersikkerhet er åpenbart et grunnleggende premiss for et foretaks virksomhet. For styret og ledelsen vil håndtering av cyberrisiko være spesielt relevant i forbindelse med strategiske mål som implementering av digitale løsninger (inkludert kunstig intelligens), sikring av stabil leveranse av kritiske forretningsprosesser, og overholdelse av juridiske krav.

Dette gjør de beste foretakene ved styring av risiko knyttet til cyber:

  • Responderer raskt på trusler, og håndterer effektivt pågående hendelser.
  • Inkluderer cybersikkerhet og personvern i produktutvikling og tredjepartshåndtering.
  • Etablerer tekniske og prosessuelle kontroller for å forhindre alvorlige cyberhendelser.
  • Cyberbudsjett med prioritering av risikoområder for foretaket.
  • Opprettholder relasjoner med offentlig og privat sektor for å ivareta digital og operasjonell motstandsdyktighet.
  • Integrerer cybersikkerhet i kritiske forretningsprosesser og sentrale fagområder som er særlig utsatt for cyberhendelser.

    Dette er foretakenes kjennetegn knyttet til potensiale for vekst:
  • Forutser fremtidige cyberrisikoer basert på eksterne faktorer og forretningsstrategi.
  • Formidler sin tilnærming til cybersikkerhet overfor kunder og forretningspartnere slik at tillit til foretaket styrkes og omdømme underbygges.
  • Implementerer digitale tjenester hurtig.
  • Gir administrerende direktør og styret innsikt i endring av cyberrisiko og påfølgende forebyggende tiltak.

Artificial Intelligence - AI

2024 er året hvor AI for alvor vil etablere seg i norsk næringsliv, og med stort tempo. Flere av våre største kunder tar nå i bruk “digitale assistenter” og “søkemotorer på steroider”, og får ekstreme effektivitets- og analysefordeler i retur. Viktigheten av å ha kontroll på egen informasjon blir viktigere enn noen gang. Arbeidet med å kartlegge og klassifisere egne data vil kreve store ressurser, og mange har allerede definert gjennomføring av dette arbeidet som en forutsetning før man slipper kreftene løs.

AI brukes også av angripere til eksempelvis sofistikerte phishing-kampanjer og falske nyheter. Samtidig kan AI bidra til økt cybersikkerhet gjennom effektivisering av IT-sikkerhetsfunksjoner som analyser, anomalideteksjon og -prediksjon.

Økt regulering skaper motstandskraft

Digitaliseringen i alle sektorer og samfunnsfunksjoner har gjort oss vesentlig mer sårbare for cyberangrep og andre uønskede hendelser. EU har de senere år vist seg som en “regulatorisk supermakt”, og det er ventet en betydelig mengde reguleringer som nå tas inn i Norge, eksempelvis Network and Information Security Directive (NIS 1/2) og Digital Operational Resilience Act (DORA). Sistnevnte gjelder for finanssektoren.

Felles for alt av reguleringen er at det stilles vesentlig tøffere krav til aktivt å jobbe med cybersikkerhet. Dette blir særlig tydelig for bransjer som frem til nå har opplevd liten grad av myndighetsdialog på fagfeltet.

For å tilfredsstille kravene, er det av stor betydning at norske virksomheter forbereder seg og har kontroll på sine informasjonssikkerhetstiltak. Arbeidet bør starte i begynnelsen av 2024 for å sikre at virksomheten er klar for implementering innen 2025. De fleste norske foretak har implementert flere isolerte sikkerhetstiltak, men mangler ofte en systematisk tilnærming for å oppnå den helhetlige cybersikkerheten som kreves. Styret og ledelsen må legge til rette for at virksomheten etterlever kravene som ligger i reguleringen, og frigjøre ressurser og budsjett for implementering av tiltak for etterlevelse av regelverket.

Hva må ledelsen og styret gjøre?

En av Norges mest erfarne styreledere sa for en tid tilbake i et av våre arrangementer:
“Styrets tre oppgaver er strategi, kontroll og oppfølging av risikoer. Sistnevnte kan ikke løses uten aktivt å jobbe med cyberrisiko".

Norske foretak står hver dag i et globalt trusselbilde hvor særlig organisert kriminelle og nasjonalstater bruker store ressurser for å nå sine mål. Cyberhendelser som spionasje, bedrageri og utpressing er en ny normal. Ifølge PwCs Cybercrime Survey 2023 oppgir 6 av 10 respondenter at de har vært utsatt for én eller flere cybersikkerhetshendelser det siste regnskapsåret.Tilsvarende har samme antall opplevd målrettede angrep rettet mot tredjeparter og underleverandører, en trend som har vært stigende de seneste årene.

Ledelse og styret spiller en avgjørende rolle i utformingen av cybersikkerhetsstrategien, inkludert fastsettelse av mål, prioritering av risikoer og optimal fordeling av ressurser. Dette sikrer tilstrekkelig organisering og investeringer, men stiller også krav til målbarhet og effektivitet som tidligere har manglet i mange tilfeller.

I de tilfeller hvor det mangler kompetanse i styrerommet, ser vi at kompetanseheving kombinert med gode formidlere blir særlig viktig. Dette stiller høye krav til mottaker og motivasjonen til å lære og forstå, men krever også mye av den som formidler. Vi ser for eksempel ofte at sikkerhetsspesialister trenger veiledning og tilbakemeldinger for å utvikle seg til gode bidragsytere i virksomhetens diskusjon om strategi og virksomhetsrisiko.

Med dagens utvikling i trusselbildet, stadig lengre verdikjeder og økt sårbarhet, bør norske foretak sikre god styring og en kontinuerlig overvåking av risikobildet gjennom:

  1. Helhetlig risikostyring som inkluderer tredjeparter og underleverandører.
  2. Preventive tiltak som opplæring av sentrale ressurser for å forebygge menneskelige svikt.
  3. Kompetanseheving hos ledelsen for å sikre nødvendig forståelse for cybersikkerhet.
  4. Budsjetter som reflekterer en relevant balanse mellom cybertrusler og investeringer i cybersikkerhet.
  5. Kartlegging av relevante lovkrav (DORA, AI Act og NIS2) som virksomheten plikter å følge. Se mer informasjon om DORA og NIS 2 her.
  6. Styrt bruk av kunstig intelligens; bevisstgjøring, risiko- og verdivurdering, samt definere krav knyttet til deling av sensitiv data.

Våre råd til ulike roller i foretaket

  • Integrer cyberrisiko i viktige operasjonelle og strategiske beslutningsprosesser, og ta inn cyberrisiko som et tilbakevendende agendapunkt for styremøter.
  • Be om målinger og beregninger av cyberrisiko, gjerne datadrevne beslutninger, og juster risikovillighet opp mot organisasjonens mål og strategi.
  • Be om at ledelsen rapporterer status på handlingsplaner for å motvirke uønskede cyberhendelser.
  • Be ledelsen integrere cyberrisikoanalyse i viktige forretningsbeslutninger, eksempelvis ved lansering av et nytt produkt eller ved produksjonssetting av en applikasjon.
  • Sett forventninger om at cybersikkerhet har tilstrekkelig bemanning og finansiering.
  • Vurder gjennomføring av periodiske revisjoner og benchmarking av uavhengige tredjeparter.
  • Gjennomfør regelmessige gjennomganger med styret for å oppdatere gruppen om nylige cyberhendelser, trender, sårbarheter og risikoer. Bruk eksterne tredjeparter, der det er nødvendig, for å sikre nøyaktighet og kompetanse.
  • Vis at cybersikkerhet er viktig for virksomhetens utvikling - invester i cybersikkerhet.
  • Ha fokus på forebyggende sikkerhet og innarbeid en helhetlig sikkerhetstankegang i virksomheten.
  • Vis tillit, støtte og inkluder CISO og CIO i sentrale beslutninger om risikoer for digitale produkter og håndtering av cyberrisiko.
  • Ta tak i problemene og risikoene og iverksett de nødvendige endringene.
  • Legg til rette for en systematisk og løpende rapportering til styret om informasjonssikkerhet og fremdrift på planer innen området.
  • Involver interne (forretning, CISO og IT) og eksterne interessenter (kunder og leverandører) i arbeidet med utvikling av strategi og handlingsplan.
  • Samarbeid med CISO om budsjettering av informasjonssikkerhet.
  • Legg til rette for at budsjettering gjenspeiler strategiske målsettinger og risikoer.
  • Gjør deg kjent med organisasjonens forretningsstrategi.
  • Bygg et sterkt forhold til din administrerende direktør, og hold dialogen i gang for å hjelpe din administrerende direktør å legge til rette for en sikkerhetskultur fra serverrom til styrerom.
  • Bli kjent med forretningen, og få ferdighetene du trenger for å utvikle deg som CISO.
  • Orienter dine målsettinger mot forretningsverdi og kundetillit.

Bli et bedre styremedlem!

Vi gir deg veiledning til godt styrearbeid i praksis.

Last ned Styreboken (PDF, 5.07mb)

Trenger du hjelp med eierstyring og selskapsledelse?

Våre rådgivere kan bistå med evaluering av styret, styringsstruktur og underutvalg og komitéer.