logoRevisjon og regnskap

Logg på for å laste ned PDF
Regnskap

Statsautorisert revisor

Kåre Rødssæteren

Ernst & Young

Angrepsvinkel og revisjonsbevis:

Risikoklassifisering i mindre foretak

De nye revisjonsrisikostandardene har innført sentrale begreper for klassifisering av risiko som påvirker omfanget av revisors arbeid. De sentrale begrepene er «Særskilt risiko» og «Risikoer der substanskontroller alene ikke gir tilstrekkelige og hensiktsmessige revisjonsbevis».

Det er spesielt i forbindelse med implementeringen av hva som ansees som «Risikoer der substanskontroller alene ikke gir tilstrekkelige og hensiktsmessige revisjonsbevis» kommet frem flere syn på hvilke konsekvenser dette har i praksis. Det er spesielt for mindre foretak at synspunktene har vært diskutert. Denne artikkelen har som mål å beskrive innholdet i «Risikoer der substanskontroller alene ikke gir tilstrekkelige og hensiktsmessige revisjonsbevis» for mindre foretak. Jeg vil diskutere hvordan dette praktisk kan forstås og betydning både for revisors angrepsvinkel og bevisinnsamling. Artikkelen vil ikke berøre problemstillinger vedrørende «Særskilt risiko». Artikkelen er forfatterens egen oppfatning av revisjonsstandardene og representerer ikke nødvendigvis Ernst & Youngs offisielle syn.

Kravene i revisjonsstandardene

Det som gjør denne problemstillingen interessant er hvilke betydning dette får for omfanget av revisjonen og selvsagt om det medfører økte dokumentasjonskrav. I dagens marked med pressede honorarer, og spesielt ved revisjon av mindre foretak, er hvilke minimumskrav som gjelder viktig for revisor. Mange opplever at de gjennom tradisjonelle revisjonshandlinger oppnår tilstrekkelig sikkerhet for at regnskapet er uten vesentlige feil. De opplever at tilleggskravene derfor har liten betydning for kvaliteten av utført revisjon, og fremstår som formaliteter. Jeg ønsker derfor å ta utgangspunkt i de generelle kravene i revisjonsstandardene.

Generelle krav til revisors risikovurdering

Risikovurderingshandlinger

For alle revisjoner skal RS 315 følges uavhengig av revisjonsklientens størrelse. Revisor må gjennomføre og dokumentere risikovurderingshandlinger, dvs. revisjonshandlingene som revisor er pliktig til å utføre for å opparbeide seg en forståelse av foretaket og dets omgivelser, herunder foretakets interne kontroll. Revisor utfører risikovurderingshandlinger for å forstå bestemte aspekter ved foretaket og dets omgivelser, og komponentene i foretakets interne kontroll. Denne forståelsen anvender revisor til å identifisere og vurdere risikoene for vesentlig feilinformasjon i regnskapet, enten det er på regnskapspåstandsnivå eller regnskapet som helhet.

Forståelse av internkontrollen - Generelt

Et sentralt aspekt ved revisors risikovurdering er forståelsen og vurderingen av intern kontroll. Kravene i de nye revisjonsstandardene er blitt mer konkrete på dette punktet og mange vil også hevde mer omfattende. Revisor må opparbeide seg en forståelse av den interne kontrollen som er relevant for revisjonen. Revisor bruker forståelsen av den interne kontrollen til å identifisere typer av mulig feilinformasjon og til å vurdere faktorer som påvirker risikoene for vesentlig feilinformasjon (RS 315.41).

Dette betyr at hovedformålet for revisor er å forstå komponentene i intern kontrollen til å identifisere og vurdere risiko. Det er det generelle kravet og det er begrenset til det som er relevant for revisjonen. Hva som er relevant for revisjonen er omtalt i RS315.47-53.

Det er krav til å dokumentere art, omfang og tidspunkt for planlagte og utførte risikovurderingshandlinger (forespørsler, observasjon, «vugge til grav» mv.) og hvilke kilder som informasjonen kommer fra (hvilke personer man har snakket med, hvilke dokumenter som er lest mv.). Revisors forståelse av komponentene må dokumenteres i samsvar med RS 315.122.

Forståelse av internkontrollen - Overordnet nivå

På overordnet nivå (COSO bruker virksomhetsnivå) for mindre foretak, vil forståelsen av kontrollmiljø og foretakets (i mange tilfeller eierens) risikovurderingsprosess være sentral. Kontrollaktiviteter og overvåkning på overordnet nivå i mindre foretak vil for mange inngå i kontrollmiljøet. Tenker da spesielt på ledelsens tilstedeværelse og manglende arbeidsdeling.

Informasjon og kommunikasjon er knyttet til forståelse av regnskapssystemet og transaksjonsbehandlingen. For mindre foretak vil dette overordnet bety å få en oversikt over regnskapssystemets elementer (hovedbok, reskontro, lønnssystem mv.), hvilke transaksjonsklasser, estimater og øvrige posteringer samt hvilke systemer som understøtter dette (for eksempel bruk av Mamut, Visma Business eller tilsvarende som økonomisystem, Huldt & Lillevik for lønnskjøring mv.).

Forståelse av internkontroll - Regnskapspåstandsnivå

Revisors skal opparbeide seg forståelse av intern kontrollen på regnskapspåstandsnivå (COSO bruker aktivitetsnivå). Revisor skal vurdere utformingen av kontrollene og fastslå at de er iverksatt. Det er viktig å merke seg at det ikke er noe krav om å identifisere og dokumentere kontroller, herunder spesielt kontrollaktiviteter som reduserer risikoen for vesentlig feilinformasjon.

Revisors forståelse er knyttet til regnskapskontroller (kalt kontrollaktiviteter og overvåkning i revisjonsstandarden). Revisor skal med andre ord ikke fokusere på selskapets drift og forretningskontroller dersom det ikke har betydning for tall i regnskapet. Dette er en viktig begrensning og en må lese dette i sammenheng med kravet i RS 315.81 om forståelsen av transaksjonsstrømmer (transaksjonsklasser). Det fremgår klart at revisor skal fokusere på den delen av intern kontrollen som vedrører regnskapet fra initiering av transaksjoner, posteringer, estimater og øvrige hendelser til utarbeidelsen av endelig årsregnskap med noter, herunder konsernregnskap om det er relevant. For mange betyr dette en rutinebeskrivelse på vesentlige områder som transaksjonsklasser og kilder for regnskapsinformasjon til bruk i estimater og tilleggsinformasjon.

I praksis vil revisor rette forespørsler til foretakets ansatte og observere rutiner, kontroller og dokumentasjon for å skaffe seg oversikt over transaksjonsbehandling, regnskapsavslutningsprosessen og øvrige posteringer i regnskapet. Det er verdt å merke seg at forespørsler alene ikke er tilstrekkelig til å evaluere utformingen av en kontroll som er relevant for en revisjon og for å fastslå hvorvidt den er iverksatt (RS315.55). Dette innebærer at revisor må etterprøve uttalelser fra selskapets ansatte og ledelse. I revisjonslitteraturen er dette ofte benevnt som «Walk Through» eller «vugge til grav-test». Dette er kun en del av kartleggingen og representerer ikke en test av kontroll.

Risikovurdering

Når revisor har identifisert risikoer for feilinformasjon i regnskapet, skal han følge RS 315.100. Kravet i RS’en er at revisor må vurdere de identifiserte risikoene for vesentlig feilinformasjon på regnskapsnivå, og på regnskapspåstandsnivå for transaksjonsklasser, kontosaldoer og tilleggsopplysninger. For å oppnå dette, vil revisor:

  • knytte de identifiserte risikoene til det som kan gå galt på regnskapspåstandsnivå,

  • vurdere hvorvidt risikoene er av en slik karakter (betydning) at de kan medføre vesentlig feilinformasjon i årsregnskapet, og

  • vurdere sannsynligheten for at risikoene medfører vesentlig feilinformasjon i årsregnskapet.

Med å knytte risikoene til det som kan gå galt på regnskapspåstandsnivå, fastslår revisor om de identifiserte risikoene for vesentlig feilinformasjon er knyttet til bestemte transaksjonsklasser, kontosaldoer og tilleggsopplysninger samt relevante regnskapspåstander. Hva som kan gå galt på regnskapspåstandsnivå for transaksjonsklasser vil ofte være generisk, slik som for eksempel for transaksjonsklasser at transaksjonen kommer i feil periode (periodisering), feil beløp (nøyaktighet) på feil konto (klassifisering). Det omfatter også kundespesifikke forhold som omfatter både misligheter og feil. Slike forhold påvirker i mange tilfeller kontrollrisikoen og revisor identifiserer ofte kontroller som styrer disse risikoene gjennom sin forståelse av internkontrollen og dette danner basis for revisors valg av angrepsvinkel.

Revisor kan også knytte risikoen til årsregnskapet som helhet og kan påvirke mange regnskapspåstander. Slike risikoer kan særlig stamme fra svakheter i kontrollmiljøet. Dette kan særlig være aktuelt for mindre foretak når en står ovenfor en svært svak regnskapsfører eller en ledelse med manglende integritet.

Særlige bestemmelser for revisors risikovurdering

De sentrale bestemmelsene finnes i RS 315.108 for «særskilt risiko» og i 115 for «Risikoer der substanskontroller alene ikke gir tilstrekkelige og hensiktsmessige revisjonsbevis»

RS315.108 krever (uthevet tekst) at revisor, som del av risikovurderingen som er beskrevet under punkt 100, må fastslå hvilke av de identifiserte risikoene som etter revisors skjønn er risikoer som krever spesiell revisjonsmessig vurdering (disse risikoene defineres som «særskilte risikoer»). I tillegg beskriver RS 330 punkt 44 og 51 følgene for de videre revisjonshandlinger av å definere en risiko som særskilt. For Særskilt risiko er det tilleggskrav vedrørende intern kontroll-vurderingen i RS 315.113. Denne krever at revisor identifiserer tilknyttede kontroller, herunder kontrollaktivitetene og må gjennomføre en evaluering av utforming og fastslå hvorvidt de er implementert. Dette er ikke tema i denne artikkelen og er med for fullstendighetens skyld her og for å vise sammenlignbarhet i tabellen nedenfor.

RS 315.115 krever (uthevet tekst) at revisor som del av risikovurderingen som er beskrevet under punkt 100, må revisor evaluere utformingen og iverksettingen av foretakets kontroller, herunder relevante kontrollaktiviteter, for de risikoene for vesentlig feilinformasjon på regnskapspåstandsnivå som det etter revisors skjønn ikke er mulig eller hensiktsmessig å redusere til et akseptabelt lavt nivå bare med revisjonsbevis fra substanskontroller.Konsekvensene for videre revisjonshandlinger av å identifisere disse risikoene er beskrevet under punkt 25 i RS 330»

Oppsummering

Tabellen i høyre hjørne oppsummer kravene og viser forskjellene for ulike typer risiko:

Risikoer som ikke dekkes av substanskontroller alene

Risikoer som dekkes av substans-kontroller alene

Særskilt risiko (vil alltid også være i en av de andre to kategoriene)

Forstå utforming og iverksettelse av kontrollelementene for identifisere risiko?

Pliktig

Pliktig

Pliktig

Dokumentere risikovurderings-handlinger?

Pliktig

Pliktig

Pliktig

Identifisere kontroller, herunder kontrollaktiviteter som styrer disse risikoene, og forstå utforming og implementering?

Pliktig

Nei

Pliktig

Dokumentere de identifiserte tilknyttede kontrollene og deres egenskaper?

Pliktig

Nei

Pliktig (Egenskaper kun for de som skal testes)

Testing

Pliktig

IA

Valgfritt

Rotasjon

Maks hvert 3. år

IA

Ikke tillatt