logoRevisjon og regnskap

Logg på for å laste ned PDF
Revisjon

Statsautorisert revisor

Hilde Roheim Ebbesberg

Den norske Revisorforening

Risikostyrings­forskriften og revisors bekreftelse

Finanstilsynet har utgitt en veiledning til risikostyringsforskriften der det fremgår hva som forventes i tilfeller der virksomhetens valgte revisor skal avgi en uavhengig bekreftelse om virksomhetens risikostyring og internkontroll.

Foretak som er underlagt tilsyn av Finanstilsynet, blant annet regnskapsvirksomheter og eiendomsmeglervirksomheter, er underlagt forskrift om risikostyring og internkontroll. Styret i den enkelte virksomheten skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll.

Styret skal fastsette retningslinjer og daglig leder skal sørge for å etablere systemer på basis av en vurdering av aktuelle risikoer, følge opp endringer og påse at det er tatt forsvarlig hensyn til foretakets risikoer.

Foretaket skal løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Risiko må vurderes ved vesentlige endringer i virksomheten eller i forhold som påvirker virksomheten. Det er særskilt angitt at det skal foretas risikovurdering ved endringer eller etablering av produkter og rutiner av vesentlig betydning, for eksempel at en boligmegler starter med megling av næringseiendom eller at en regnskapsfører starter med faktureringstjenester.

Uavhengig bekreftelse

Enkelte av foretakene som er underlagt risikostyringsforskriften, er pålagt å ha internrevisjon. For de som ikke har krav til dette, eller eventuelt har dette på frivillig basis* Dette må i så fall følge de kravene som stilles i risiko­styringsforskriften § 9., er det satt vilkår om at styret skal sørge for at foretakets valgte revisor avgir en årlig bekreftelse om at det er foretatt risikovurderinger, vurdering av gjennomføringen av internkontrollen, at det foreligger dokumentasjon, samt at foretakets rutiner sikrer at den samlede vurderingen av risikosituasjonen som er forelagt styret, bygger på de risikovurderingene som er gjort.

Hva kreves av revisor i denne forbindelse? Forventes det at revisor går inn i vurderingene og at revisor har en formening om dette er holdbart?

Både ja og nei.

Finanstilsynet har utgitt en veiledning til forskriften. Av dennes kapittel 4 fremgår det hva som forventes av revisor når han avgir den uavhengige bekreftelsen, jf. forskriftens § 10:

«Det er ikke krav om at revisor skal bekrefte kvaliteten på foretakets risikovurderinger og dokumentasjon av rutiner og kontrolltiltak, men at det faktisk er foretatt slike vurderinger og at det foreligger dokumentasjon. Når det gjelder bestemmelsens siste strekpunkt, skal revisor kontrollere at de rutinene foretaket har etablert for gjennomføring av internkontrollprosessen sikrer at det er samsvar mellom de risikovurderingene som gjennomføres i linjen og den rapportering som skjer til styret.»

Revisor skal med dette bekrefte at det er gjennomført en prosess og at styret har tatt stilling til denne. Det fremgår av veiledningen at revisor ikke skal bekrefte kvaliteten av risikovurderingen. Revisor må likevel kontrollere holdbarheten til en viss grad. Det må være tydelig at det er gjort en rimelig vurdering på bakgrunn av revisors erfaring og kjennskap til klienten. Det må være gjennomført en prosess som har «rot i virkeligheten». Prosessen skal ikke være utarbeidet kun som en formalitet, men må være en realitet. Dersom for eksempel revisor gjennom revisjonen avdekker vesentlige mangler ved internkontrollen, og disse forholdene ikke er reflektert i selskapets risikovurdering, fremstår ikke foretakets risikovurderingsprosess som dekkende. Revisor kan da måtte gjøre nærmere undersøkelser med tanke på risikovurderingsprosessen til foretaket ut over kravene til å kommunisere mangler i internkontrollen til ledelsen som følger av ISA 265.7–11 og vurdering med hensyn til revisjonen. Er det vurdert tiltak? Er de satt i verk? Det må avklares om forholdene er vurdert mot risikovurderingen, slik at prosessen synes å være holdbar, selv om det ikke er reflektert i den årlige rapporten. Det må gis tilbakemelding til klienten når slike forhold er avdekket, eller det er andre avvik fra krav i forskriften. Revisor må ta forholdene opp i nummerert brev, og det bør gis frist for retting.