ISA for MKE i praksis
Revisorforeningens styre vedtok 31. oktober 2024 å ta i bruk ISA for MKE, standarden for revisjon av mindre komplekse enheter. Norske revisorer kan bruke standarden fra årsoppgjøret 2024, og mange må derfor vurdere standardvalget allerede nå. Standarden er kortere og mer samlet enn de ordinære ISA-ene, men kravene til faglig kontroll, revisjonsbevis og dokumentasjon er ikke lavere. Denne artikkelen viser hvordan standarden kan brukes i praksis: fra valg av standard til risikovurdering, respons og dokumentasjon.
Hva ISA for MKE er, og hva den ikke er
ISA for MKE er den norske tilpasningen av IAASBs internasjonale standard for revisjon av mindre komplekse enheter. Internasjonalt gjelder standarden for regnskapsår som begynner 15. desember 2025 eller senere. I Norge åpnet Revisorforeningen for den i bruk fra årsoppgjøret 2024.
Det viktigste å få tak i er at standarden er selvstendig. De ordinære ISA-ene viser til hverandre på kryss og tvers. ISA for MKE samler kravene for en MKE-revisjon i ett dokument, med deler som følger revisjonsprosessen fra aksept til beretning. Revisor kan derfor ikke bruke ISA for MKE som grunnmur og hente inn enkeltkrav fra ordinær ISA når noe mangler. Hvis standarden ikke dekker et forhold som er relevant for oppdraget, må revisor vurdere om oppdraget fortsatt hører hjemme i ISA for MKE.
Standarden er heller ikke en lettversjon av ordinær ISA. Profesjonell skepsis, tilstrekkelig og hensiktsmessig revisjonsbevis og etterprøvbar dokumentasjon gjelder fortsatt. Standarden er kortere fordi den er skrevet for oppdrag uten den kompleksiteten vi finner i større eller mer sammensatte foretak, ikke fordi revisjonen skal være mindre grundig.
Rammene for bruk av standarden ligger i tre grupper. Alle må vurderes.
Spesifikke forbud er absolutte. Standarden kan ikke brukes på børsnoterte foretak, foretak av allmenn interesse, kollektive investeringsordninger, forsikrings- eller bankforetak, eller foretak der lov eller forskrift krever en annen revisjonsstandard. For konsernrevisjoner er regelen mer nyansert, men fortsatt streng: ISA for MKE kan brukes for enkelte mindre komplekse konsern, men ikke når komponentrevisorer er involvert, med mindre deltakelsen bare gjelder fysisk tilstedeværelse for en konkret revisjonshandling, for eksempel varetelling eller fysisk inspeksjon.
Kvalitative karakteristiske trekk må vurderes konkret. Standarden peker på seks områder: virksomhet og bransje, organisasjonsstruktur og størrelse, eierstruktur, økonomifunksjon, IT-miljø og rammeverket for finansiell rapportering. Listen er ikke uttømmende. Det er heller ikke nok å krysse av for at noen punkter passer. Revisor må vurdere om foretaket samlet sett er mindre komplekst.
Kvantitative terskler kan fastsettes av lovgiver eller relevant standardsetter. I Norge er terskelen knyttet til foretak eller konsern som oppfyller definisjonen av små foretak etter regnskapsloven. Brønnøysundregistrenes omtale av regnskapsloven § 1-5 beskriver dette som foretak eller konsern som to år på rad oppfyller minst to av tre krav:
balansesum under 84 millioner kroner
salgsinntekter under 168 millioner kroner
færre enn 50 årsverk
Dette er en nødvendig inngangsvurdering, men ikke nok alene. Revisor må også kontrollere de spesifikke forbudene og gjøre den kvalitative vurderingen.
Et gjennomgående eksempel
For å gjøre artikkelen konkret bruker jeg et fiktivt selskap: Vestmark Mekaniske AS. Selskapet driver mekanisk verksted og leverer til maritim industri. Det har åtte ansatte inkludert daglig leder, omsetning rundt 28 millioner kroner og ordrebasert drift med forskuddsbetaling på større kontrakter. Daglig leder eier 55 prosent, sønnen 30 prosent og en ekstern investor 15 prosent. Selskapet rapporterer etter regnskapsloven og bruker et vanlig norsk regnskapssystem.
Vestmark fremstår som et typisk MKE-oppdrag. Ingen forbud treffer foretaket. Det har én vesentlig driftsenhet, et oversiktlig produktspekter og en enkel eierstruktur. Eksempelet brukes gjennom artikkelen for å vise standardvalg, risikovurdering, revisjonshandlinger og dokumentasjon.
Vurderingen av om standarden kan brukes
Vurderingen av om ISA for MKE kan brukes på oppdraget, er etter mitt syn det viktigste startpunktet. Det er også noe en kvalitetskontrollør raskt vil be om å se.
Jeg anbefaler å skrive vurderingen og arkivere den i oppdragsmappen, uavhengig av hvilket revisjonsprogram eller hvilken arbeidsfil man bruker. Dokumentasjonen bør vise fire ting:
at foretaket er innenfor den norske småforetaksterskelen
at ingen spesifikke forbud rammer foretaket
hvordan de kvalitative trekkene er vurdert
en datert konklusjon fra oppdragsansvarlig revisor
Standardvalget bør også fremgå av engasjementsbrevet eller annen skriftlig avtale med ledelsen.
Boksen nedenfor viser hvordan en slik vurdering kan se ut for Vestmark.
Felt |
Eksempeltekst |
|---|---|
Foretak og år |
Vestmark Mekaniske AS. Regnskapsår: 2025. |
Norsk kvantitativ terskel (Del A.4/A.4N) |
Foretaket ligger innenfor den norske terskelverdien for revisjon av foretak som oppfyller definisjonen av små foretak etter regnskapsloven. Vestmark har salgsinntekter på ca. 28 MNOK, åtte ansatte og ligger klart under tersklene for salgsinntekter, balansesum og årsverk. Dette er en nødvendig inngangsvurdering, men ikke nok alene. |
Spesifikke forbud (Del A.1) |
Ingen spesifikke forbud rammer foretaket. Vestmark er ikke børsnotert, ikke foretak av allmenn interesse, ikke kollektiv investeringsordning, og driver verken bank- eller forsikringsvirksomhet. Lov eller forskrift krever ikke bruk av annen revisjonsstandard. Konsernrevisjon med komponentrevisorer er ikke aktuelt. |
Kvalitative trekk (Del A.3) |
Virksomhet og bransje: mekanisk verksted med leveranser til maritim industri, ett forretningsområde og en hovedinntektsstrøm. Organisasjon og størrelse: åtte ansatte, kort vei fra produksjon til daglig leder og ingen mellomledelse. Eierstruktur: tre fysiske personer — daglig leder 55 %, sønn 30 % og ekstern investor 15 %. Ingen kompliserte eierledd. Økonomifunksjon og IT: sentralisert økonomifunksjon, vanlig regnskapssystem, timeregistrering og ordrestyring. Ingen egenutviklede systemer eller krevende integrasjoner. Rammeverk og estimater: regnskapsloven. Estimatene gjelder i hovedsak ukurans og garantiavsetninger. |
Samlet konklusjon |
Oppdraget vurderes samlet som mindre komplekst. Foretaket ligger innenfor den norske terskelen, ingen forbud rammer, og de kvalitative trekkene støtter bruk av ISA for MKE. Standardvalget dokumenteres i oppdragsmappen og tas inn i engasjementsbrevet. |
Signatur |
Utført av / dato: Oppdragsansvarlig revisor [signatur og dato] Gjennomgått av / dato: [initialer og dato] |
Et eget notat er ikke den eneste mulige formen. Poenget er at grunnlaget må kunne leses og forstås i ettertid. Dokumentasjonen bør stå på egne ben og vise hvorfor ISA for MKE var riktig standard for akkurat dette oppdraget.
Vurderingen må også holdes oppdatert. Den kan ikke bare gjøres ved aksept eller årlig fortsettelse. Hvis det kommer ny informasjon underveis som gjør oppdraget mer komplekst, må revisor vurdere standardvalget på nytt. Det kan for eksempel være endringer i eierstruktur, nye finansieringsformer, mer krevende estimater eller en forretningsmodell som blir mindre oversiktlig.
Risikovurdering og respons
Risikovurderingen i ISA for MKE bygger på samme risikobaserte tenkning som ordinær ISA 315, men kravene er samlet og tilpasset mindre komplekse enheter. Revisor skal identifisere risikoer for vesentlig feilinformasjon, vurdere iboende risiko og kontrollrisiko, og bruke vurderingen til å planlegge responsen.
For Vestmark er arbeidet oversiktlig. En samtale med daglig leder gir mye av forretningsforståelsen. En runde på verkstedet og et møte med regnskapsansvarlig gir forståelse av informasjonsflyten fra ordre til faktura og regnskap. Inntekter peker seg ut som det mest sentrale området, fordi ordrebasert fakturering med forskudd gir risiko for feil periodisering rundt balansedag. Egenproduserte komponenter på lager gir også risiko, særlig knyttet til verdsettelse og ukurans. Lønn er mer standardisert og vurderes lavere i dette eksempelet.
Poenget er ikke at disse risikoene er nye. De ville vært relevante også etter ordinær ISA. Forskjellen er at ISA for MKE legger bedre til rette for en kort og presis dokumentasjon, så lenge alle kravene dekkes og koblingen til revisjonshandlingene er tydelig. For Vestmark kan en forsvarlig risikovurdering trolig skrives på to til tre sider.
Responsen følger risikovurderingen. På inntekter og varelager vil hovedvekten normalt ligge på substanshandlinger: avstemming av kontrakter mot fakturering, kontroll av ordreporteføljen rundt balansedag og fysisk kontroll av lager med selvstendig vurdering av verdsettelse for utvalgte komponenter. Kontrolltesting gir ofte begrenset verdi i små virksomheter med manuelle rutiner og begrenset rollesegregering. Da er det vanskelig å bygge revisjonen på kontroller. For Vestmark vil kontrollrisikoen derfor normalt settes høyt, med mindre revisor har et konkret grunnlag for noe annet.
Det betyr ikke at kontrollvurderingen kan hoppes over. Revisor må vurdere relevante kontroller og ta stilling til om de gir grunnlag for å sette kontrollrisikoen lavere enn maks. For Vestmark blir svaret trolig nei, men begrunnelsen må stå i arbeidspapiret.
En vanlig misforståelse er at ISA for MKE betyr full substansrevisjon. Det gjør den ikke. Standarden beholder kontrollvurderingen. Den endrer først og fremst hvordan arbeidet kan struktureres og dokumenteres.
Misligheter og ledelsens overstyring
Mislighetsrisiko håndteres gjennom kravene til profesjonell skepsis, risikovurdering og respons. IAASB har varslet at ISA for LCE skal vedlikeholdes i takt med utviklingen i de ordinære ISA-ene. Inntil videre er det dagens krav i ISA for MKE som gjelder.
I mindre komplekse enheter er ledelsens overstyring av kontroller ofte den mest sentrale mislighetsrisikoen. I Vestmark eier daglig leder majoriteten og har tett operativ kontroll. Da er risikoen relevant uavhengig av om revisor har tillit til ledelsen. Standarden krever konkrete handlinger rettet mot denne risikoen.
MKE-standarden endrer ikke revisors ansvar for ledelsens overstyring av kontroller. Revisor må fortsatt teste manuelle posteringer og andre justeringer, vurdere regnskapsestimater kritisk og gjennomgå vesentlige uvanlige transaksjoner, herunder nærstående transaksjoner. Forskjellen ligger først og fremst i hvordan arbeidet dokumenteres: kortere, mer målrettet, men fortsatt etterprøvbart.
For Vestmark betyr dette et uttrekk av manuelle posteringer og andre justeringer, en selvstendig vurdering av estimater for ukurans og garantiavsetninger, og kontroll av transaksjoner med selskaper som daglig leder eller sønnen kontrollerer.
Profesjonell skepsis er ikke en formulering som kan legges inn til slutt. Den må vises i arbeidet. Det bør ikke bare stå at ledelsens forklaring er akseptert. Arbeidspapiret bør vise hva ledelsen forklarte, hva revisor gjorde for å etterprøve forklaringen, og hvilken konklusjon revisor selv trakk.
Dokumentasjon som holder
Dokumentasjonskravet er ikke nytt. Arbeidet må kunne etterprøves av en erfaren revisor uten muntlig forklaring fra den som utførte det. I MKE-oppdrag er det særlig tre ting jeg vil være opptatt av:
Kobling mellom risiko, handling og konklusjon. Hver vesentlig risiko bør kunne spores til en konkret handling, og hver handling bør kunne spores tilbake til risikoen. For Vestmark får risikoen for feil periodisering av inntekter et eget notat som viser hva som er gjort, hvilket utvalg som er kontrollert, og hva resultatet ble.
En konklusjon som faktisk konkluderer. Hver handling bør ende i en faglig vurdering, ikke bare en observasjon. «Ingen vesentlige feil identifisert» sier hva revisor fant. Konklusjonen må også forklare hvorfor arbeidet gir tilstrekkelig og hensiktsmessig revisjonsbevis.
Kort, men etterprøvbart. Dokumentasjonen trenger ikke være lang. Den må vise hva revisor vurderte, hvilket bevis som ble innhentet, og hvorfor konklusjonen følger av arbeidet.
Boks 2 viser hvordan periodiseringsrisikoen hos Vestmark kan dokumenteres i et arbeidspapir.
Felt |
Eksempeltekst |
|---|---|
Identifisert risiko |
Inntekter kan være feilperiodisert fordi kontrakter faktureres med forskudd og enkelte leveranser krysser balansedagen. Iboende risiko vurderes som forhøyet. Kontrollrisiko vurderes som høy fordi manuelle rutiner og begrenset rollesegregering gjør det vanskelig å bygge revisjonen på kontroller. |
Handling |
Gjennomgang av kontraktsporteføljen for fakturerte beløp seks uker før og fire uker etter balansedag. Avstemming mot leveransedokumentasjon, produksjonsrapport og fakturagrunnlag. Selvstendig vurdering av leveringstidspunkt mot fakturadato og avtalevilkår. |
Utvalg |
Alle kontrakter med fakturert beløp over arbeidsvesentligheten på kr 240 000, samt risikobasert gjennomgang av fakturaer og kreditnotaer nær balansedag. |
Resultat |
14 kontrakter gjennomgått. To kontrakter med leveranse etter balansedag og fakturert beløp på til sammen kr 412 000 var feilperiodisert. Justering er foreslått og akseptert av ledelsen. Det ble ikke identifisert tilsvarende feil i øvrige kontrollerte kontrakter eller i den risikobaserte gjennomgangen rundt balansedag. |
Konklusjon |
Etter bokført justering vurderes periodiseringen som forsvarlig for de kontrollerte kontraktene. Basert på gjennomførte handlinger, utvalgets dekning og den risikobaserte gjennomgangen rundt balansedag er det ikke identifisert indikasjoner på ytterligere vesentlig feilperiodisering. |
Signatur |
Utført av / dato: [initialer og dato] Gjennomgått av / dato: [initialer og dato] |
Eksempelet er enkelt, men det viser det kontrolløren normalt vil lete etter: en tydelig risiko, en begrunnet handling, et konkret utvalg, et resultat med tall og en konklusjon som svarer på risikoen.
Motstykket er velkjent: et sjekklistepunkt med «utført», en kort kommentar om at stikkprøver er gjennomført, og en konklusjon om at ingen feil er identifisert. Det holder sjelden hvis det ikke går an å se hva som faktisk er gjort, og hvorfor revisor mener beviset er tilstrekkelig.
Skalering eller egen standard?
Et naturlig spørsmål er hva ISA for MKE egentlig tilfører. Revisorer har lenge skalert ordinær ISA på små oppdrag. Forskjellen er mindre dramatisk enn noen kanskje håper, men den er reell.
De ordinære ISA-ene har alltid hatt veiledning for mindre enheter. En revisor som bruker ordinær ISA godt, har allerede handlingsrom til å jobbe forholdsmessig. Det nye med ISA for MKE er strukturen: én samlet standard som gjør det enklere å lage arbeidsprogram, maler og dokumentasjon som passer oppdragene.
Min vurdering er derfor at ISA for MKE først og fremst gir en bedre arbeidsform for mindre komplekse oppdrag. Standarden gjør det lettere å arbeide målrettet. Den gjør det ikke forsvarlig å arbeide mindre grundig.
For oppdrag som klart passer de kvalitative trekkene, for eksempel enkle aksjeselskap med oversiktlig drift og enkel eierstruktur, kan standarden være et godt valg. For grensetilfeller ville jeg valgt ordinær ISA og dokumentert hvorfor. Det er tryggere å bruke ordinær ISA på et oppdrag som kunne vært MKE, enn å bruke MKE på et oppdrag som i ettertid viser seg å være for komplekst.
Fem praktiske anbefalinger
Når ISA for MKE tas i bruk, ville jeg særlig lagt vekt på fem forhold:
Dokumenter standardvalget. Skriv en kort vurdering av hvorfor ISA for MKE kan brukes på oppdraget. Vurderingen bør dekke kvantitativ terskel, spesifikke forbud og kvalitative trekk ved en mindre kompleks enhet.
Vær konservativ i grensetilfeller. Hvis oppdraget ligger nær grensen for hva standarden er ment å dekke, velg ordinær ISA og dokumenter hvorfor. Det er bedre enn å forsvare et svakt MKE-valg i ettertid.
Hold sammen risiko, handling og konklusjon. Den kortere strukturen gjør koblingen enda viktigere. Leseren av arbeidspapiret skal se hvilken risiko handlingen svarer på, hva som er gjort, og hvorfor konklusjonen følger av beviset.
Behandle ledelsens overstyring som en reell risiko. Også i mindre komplekse enheter må revisor teste manuelle posteringer, vurdere estimater kritisk og se på vesentlige uvanlige transaksjoner.
Ikke glem kvalitetsstyringen. ISA for MKE endrer ikke revisjonsselskapets ansvar etter ISQM 1 og ISQM 2. Der oppdragskvalitetskontroll eller ekstra faglig gjennomgang ellers kreves, må den fortsatt gjennomføres.
Veien videre
Det viktigste arbeidet fremover er ikke å gjøre mindre revisjon. Det er å lage bedre arbeidsformer for de oppdragene standarden faktisk passer for. Det betyr gode maler, tydelige rutiner for standardvalg og dokumentasjon som viser sammenhengen mellom risiko, handling og konklusjon.
For revisjonsselskaper med flere MKE-oppdrag i porteføljen vil det første året handle om praksis: lage maler, trene på grensedragningen og bygge en dokumentasjonsform som står seg i kvalitetskontroll. Det er ikke gjort på en ettermiddag, men det kan gi et bedre fundament for små og oversiktlige revisjonsoppdrag.
Mange revisjonsprogrammer er fortsatt tidlig i tilpasningen til ISA for MKE. Løsningene jeg har sett, tilbyr gjerne en MKE-oppdragstype, men mye av tilpasningen ligger fortsatt hos hvert revisjonsselskap gjennom egne maler og egne arbeidsprogram.
På sikt bør vi kunne forvente arbeidsprogram som følger standardens egen struktur, der standardvalget er dokumentert som et obligatorisk steg gjennom hele oppdraget, og der arbeidsfilene viser en tydelig kobling mellom risiko, handling og konklusjon. Da gjenspeiles strukturen i standarden også i måten revisjonen faktisk utføres på.
Ressurser
IAASB: ISA for LCE Standard og First-Time Implementation Guide, tilgjengelig på iaasb.org.
Revisorforeningen: Vedtak 31. oktober 2024, veiledningsmateriell, eksempel på revisjonsberetning og oppdragstyper for ISA for MKE.
Finanstilsynet: Årsrapport 2024, tematilsynsrapporter for revisorer og revisjonsselskaper.
Revisjon og Regnskap 7-2024 «Ny revisjonsstandard for mindre komplekse enheter: En milepæl».
