I Årsredovisning Online har du som kund möjlighet att upprätta årsredovisningen elektroniskt, och skriva under med en underskrift som uppfyller lagens krav. Denna artikel beskriver hur detta går till på en teknisk nivå, hur det digitala original som skapas är strukturerat, och hur man kan verifiera att dokumentet är korrekt signerat och inte har förändrats.

En årsredovisning får upprättas i elektronisk form, där styrelsens ledamöter och eventuell VD skriver under med en elektronisk underskrift. Lagen (årsredovisningslagen, 2 kap. 7 §) kräver att denna elektroniska underskrift är en "avancerad elektronisk underskrift" enligt eIDAS-förordningen^*. Det digitala original som skapar i Årsredovisning Online uppfyller detta krav.

^* Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Övergripande beskrivning

Det dokument som signeras av styrelseledamöterna och eventuell VD eller revisor är ett iXBRL-dokument (iXBRL är det format som används vid digital inlämning av årsredovisningen till Bolagsverket). Dokumentet presenteras för respektive ledamot, och signeras med BankID. Dock är iXBRL inte ett lämpligt format för distribution, bl.a. för att det inte går att skriva ut på ett enkelt och tillförlitligt sätt. Därför skapar Årsredovisning Online också en PDF-version av årsredovisningen.

Den PDF som skapas är visuellt identisk med iXBRL-filen, förutom att det läggs till en extra sida allra sist. Denna sida har en lista över alla som har signerat, och visar namnet på respektive person så som det anges i BankID. Det framgår också när respektive person har signerat.

I PDF:en lägger vi sedan med iXBRL-dokumentet och alla signaturer, plus lite ytterligare information, som bifogade filer. Till sist skapar vi ett "sigill" på PDF:en (tekniskt sett är detta ytterligare en signatur, där Årsredovisning Online Sverige AB står som signatär). Detta sigill intygar att dokumentet är signerat på rätt sätt och utgör ett förändringsskydd, så att det inte går att ändra PDF:ens utseende eller de bifogade filerna utan att göra sigillet ogiltigt.

Mål med lösningen

Det finns många aspekter på hantering av digitalt original och elektroniska underskrifter. Vi har tagit hänsyn till ett antal olika krav när vi designade vår lösning. De viktigaste var följande:

• Att uppfylla lagens krav
• En smidig lösning för användaren
• Originalet ska gå att visa och skriva ut på ett bra sätt
• Bra hantering av både styrelsens och revisorns underskrifter när man har revisor
• Det ska gå att verifiera att dokumentet är signerat på ett korrekt sätt och inte har förändrats efter signeringen

Lagkrav - avancerad elektronisk underskrift

Som nämndes i inledningen är det tillåtet att upprätta årsredovisningen i elektronisk form, givet att dokumentet skrivs under med en "avancerad elektronisk underskrift" enligt eIDAS-förordningens definition. Detta krav uppfylls i och med att signeringen sker med hjälp av BankID. Se denna sida för mer information.

Smidig lösning för användaren

All hantering av signaturer sker inuti Årsredovisning Online. Man behöver inte själv ladda upp årsredovisningen till en tredjepartstjänst för signering, och man behöver inte lämna vår webbsida. Den som upprättar årsredovisningen i Årsredovisning Online kan lätt bjuda in ledamöter och eventuell VD eller revisor att signera. Det framgår tydligt vem som har signerat när och när alla har signerat (eller om det saknas underskrifter).

Originalet ska gå att visa och skriva ut

Det digitala originalet paketeras som en PDF-fil, vilket gör att det är enkelt och praktiskt att visa och skriva ut det, och även att dela det elektroniskt.

Hantering av både styrelsens och revisorns underskrifter

När företaget har revisor så skriver revisorn en revisionsberättelse, som lämnas tillsammans med årsredovisningen. Revisionsberättelsen kan upprättas i Årsredovisning Online, och blir då ett separat dokument, som är ett eget digitalt original. Dessutom skriver revisorn en s.k. "revisorspåteckning" på årsredovisningen, vanligtvis under styrelsens underskrifter på sista sidan. Revisorn signerar både revisionsberättelsen och årsredovisningen med påteckningen.

Revisorn gör formellt sin revision efter att årsredovisningen är färdig och signerad av styrelsen. Lydelsen på revisorspåteckningen kan variera, och innehåller dessutom det datum då revisorn är klar med sin revision, vilket inte är känt när styrelsen skriver under. Så som digitala signaturer fungerar kan inte det signerade dokumentet förändras i efterhand, vilket gör att man inte kan komplettera dokumentet med påteckningen utan att styrelsens underskrifter blir ogiltiga. Detta gör att man behöver göra en av två saker:

1. Bestämma lydelsen för revisorpåteckningen i förväg, inklusive datumet, och låta styrelseledamöterna signera ett dokument där detta redan ingår. Detta får som konsekvens att om lydelsen eller datumet behöver ändras så behöver man ta fram ett nytt dokument och styrelsen behöver göra om sina signaturer.
2. Låta styrelsen signera ett dokument utan revisorpåteckningen, och låta revisorn signera ett nytt dokument med påteckningen tillagd. Detta gör att styrelsens underskrifter fortfarande är giltiga även om man ändrar lydelsen eller datumet för påteckningen, men gör istället att man behöver kunna säkerställa att den enda skillnaden mellan de två dokumenten är just revisorspåteckningen.

I Årsredovisning Online används lösning 2, d.v.s. styrelsen och revisorn skriver under två olika dokument. Revisorns dokument skapas genom att utgå från styrelsens dokument och lägga till endast revisorspåteckningen. Eftersom dessa dokument är iXBRL-filer går det enkelt och mekaniskt att verifiera att detta är den enda skillnaden. Båda dokumenten paketeras som bifogade filer i den PDF som utgör det digitala originalet.

Verifiering av signaturer

Inom en snar framtid (under hösten 2020) kommer vi att lansera en valideringstjänst där man kan ladda upp ett digitalt original till en webbsida och se information om vem som har signerat ett dokument och om signaturerna är giltiga. Dock har vi sedan tidigare publicerat källkod som visar hur man kan validera signaturerna i ett digitalt original. Vårt exempelprojekt finns på GitHub.

Tekniska detaljer

Bifogade filer i PDF:en

Följande filer bifogas i den färdiga PDF:en.

om_elektroniska_underskrifter.pdf

En kort beskrivning av strukturen på det omslutande PDF-dokumentet.

manifest.json

En JSON-fil som innehåller en maskinläsbar lista på bifogade filer och signaturer.

original_arsredovisning.xhtml

Årsredovisningen som signeras av styrelsen, i formatet iXBRL. Tekniskt sett är det som signeras en SHA-256-hash av detta dokument.

styrelse_vd_visible_data.txt

Den text som visas för ledamöter och VD i BankID-app:en vid signering. Denna text ingår i det som signeras.

original_arsredovisning_med_revisorspateckning.xhtml

Årsredovisningen som signeras av revisorn, med revisorspåteckningen tillagd, i formatet iXBRL. Filen finns endast med om företaget har revisor. Tekniskt sett är det som signeras av revisorn en SHA-256-hash av detta dokument.

revisor_arsredovisning_visible_data.txt

Den text som visas för revisorn i BankID-app:en vid signering av årsredovisningen. Denna text ingår i det som signeras. Filen finns endast med om företaget har revisor.

signatur_[index]_[förnamn]_[efternamn].xml (en eller flera filer)

De olika ledamöternas, eventuell VD:s och eventuell revisors signatur. Detta är den faktiska signaturen som returneras av BankID. Formatet är XML-DSig. Det finns en fil per person som signerar.