logo

Del I:

Kredittilsynets tilsyn med revisorer - noen betraktninger

Kredittilsynet er tilsynsorgan for revisorer i Norge, og deres forvaltningspraksis er en sentral kilde i vurderingen av utført revisjon. Kan det av rapportene fra revisortilsynene trekkes noen lærdom? Vi har gjennomgått brev/rapporter fra kredittilsynets tilsyn de siste årene for å se ...

Det siste tiåret har rammebetingelsene for revisor gjennomgått betydelige endringer. 1. januar 1998 erstattet revisjonsstandardene («RS-ene») de tidligere normer for og anbefalinger til god revisjonsskikk. RS-ene er i all hovedsak en direkte oversettelse av de internasjonale revisjonsstandardene («ISA-ene»). Disse har igjen gjennomgått til dels svært omfattende endringer de senere årene - ikke minst med bakgrunn i de regnskaps- og revisjonsskandaler vi har opplevd internasjonalt. I midten av 1999 kom en ny revisorlov. Denne inneholder krav som går utover de som følger av revisjonsstandardene. I slutten av juni i år ble forslag til implementering av EUs revisjonsdirektiv («8. direktivet») i norsk lovgivning sendt på høring. Direktivet skal være gjennomført i nasjonal lovgivning innen 29. juni 2008. Gjennom dette åpnes det blant annet for å implementere de internasjonale revisjonsstandardene som forskrifter.

I seg selv bør ikke det siste få vesentlig betydning for norske revisorer, i og med at vi allerede har tatt i bruk disse standardene gjennom innføringen av RS-ene. Det kan imidlertid ikke være tvil om at det både i tilsynsvirksomheten til Kredittilsynet og i eventuelle rettssaker knyttet til revisors arbeid, vil kunne bli en strengere fortolkning av innholdet i standardene - mindre rom for skjønnsutøvelse - når disse eventuelt går fra å være rettslige standarder til å bli forskrifter. Med bakgrunn i erfaring fra implementeringen av IFRS er det imidlertid fortsatt uklart når og hvordan EU vil implementere de internasjonale revisjonsstandardene.

I dag debatteres revisjonsplikten for små selskap, og et eget utvalg ble nedsatt i mai i år for å vurdere forholdet. Det er delte meninger om små selskap skal ha revisjonsplikt eller ikke. Mange trekker frem det økonomiske perspektivet, men det er heller ikke tvil om at revisor gjennom lovgivning er tillagt en rekke oppgaver i forhold til slike selskap utover det rent revisjonsmessige. På den annen side er det også de som hevder at det i forhold til små selskap ikke er mulig å utføre en revisjon i samsvar med de standardene som gjelder - skal det eventuelt innføres en «enklere» revisjon for denne type selskap? I dag gjelder lov og standarder fullt ut for alle selskaper - revisjon er revisjon!

Kredittilsynet har en rekke oppgaver, herunder å føre tilsyn med revisorer og den finansielle rapporteringen til børsnoterte selskap. Vi har i lengre tid fulgt Kredittilsynets tilsynsaktivitet innen disse to områdene. I denne artikkelen, delt over dette og neste nummer av Revisjon og Regnskap, ser vi nærmere på Kredittilsynets tilsyn med revisorer. Man kan være enig eller uenig i de standpunkt Kredittilsynet inntar på disse to tilsynsområdene - men etter vår oppfatning er det ingen tvil om at Kredittilsynet gjør grundige vurderinger før konklusjoner trekkes. Erfaringsmessig tar tilsynsprosessene relativt lang tid - dette for å sikre forsvarlig saksbehandling på begge sider. De standpunktene Kredittilsynet inntar bør være kjent - derfor har vi skrevet denne artikkelen.

Som det fremgår er revisor underlagt omfattende rammebetingelser i sitt daglige virke, og de er i stadig endring. I tillegg skal de anvendes på det som etter hvert har blitt mange ulike tilgjengelige regnskapsspråk. Hvordan klarer så norske revisorer å forholde seg til og etterleve de omfattende kravene? Generelt får revisorer i Norge et godt skussmål fra Kredittilsynet. Men det er likevel - og selvsagt - forhold som kan gjøres bedre.

Kredittilsynets revisortilsyn

Det kan for oss synes som om Kredittilsynet, i tiden etter ikrafttredelsen av ny revisorlov, har økt tilsyns- og sanksjoneringsaktivitetene mot revisor.

Siden 2002 har Kredittilsynet samordnet tilsynsvirksomheten med kvalitetskontrollen til Den norske Revisorforening. Gjennom denne kontrolleres alle revisorer i Norge minst hvert femte år# Gjennom implementering av EUs revisjonsdirektiv vil kravet endres til hvert sjette år. For de som reviderer selskap av allmenn interesse (børsnoterte, kredittinstitusjoner, forsikringsselskap mv.) blir kravet hvert tredje år etter forslaget.. På bakgrunn av rapporteringen fra DnR kan Kredittilsynet finne det nødvendig med særskilt oppfølging av enkeltsaker/enkeltrevisorer.

Resultater fra de siste årene kan oppsummeres som følger# Hentet fra Den norske Revisorforenings «Årsrapport om kvalitetskontroll» for hhv. 2003, 2004, 2005 og 2006.:

2006

2006 i %

2005

2004

2003

Utmelding - Kredittilsynet informert

0

0

1

0

Godkjent

337

88 %

273

268

254

Mangler - handlingsplan og ny kontroll

43

11 %

40

22

17

Oversendes Kredittilsynet for videre oppfølging

4

1 %

8

2

4

Sum utførte kontroller

384

321

293

275

Utover samarbeidet med DnR knyttet til den periodiske kvalitetskontrollen, som har frigjort tid til annen og mer målrettet tilsynsvirksomhet, gjennomfører Kredittilsynet tilsyn på bakgrunn av egne risikovurderinger, innrapporteringer samt andre signaler - blant annet i form av oppslag i media. Innrapporteringer kommer hovedsakelig fra skatteetaten, bobestyrere i konkursbo og revisjonsklienter. I tillegg vil forhold som avdekkes gjennom øvrige deler av Kredittilsynets virksomhet - eksempelvis tilsyn med finansinstitusjoner og regnskapskontrollen - kunne medføre en nærmere gjennomgang av revisors arbeid.

Siden årtusenskiftet har Kredittilsynet gjennomført flere tematilsyn. I 2002 ble det såkalte «rådgivningstilsynet» av de store revisjonsselskapene gjennomført. Det har også vært tematilsyn knyttet til bl.a. revisjon av store konsern, revisjon av virksomhet underlagt særlovgivning samt revisjon av de regionale helseforetakene. I tillegg har Kredittilsynet den senere tiden hatt såkalte selskapstilsyn hvor de bl.a. ser nærmere på organisering mv. i revisjonsselskapene.

Hvert annet år gjennomfører Kredittilsynet også et såkalt dokumentbasert tilsyn, hvor alle revisorer i Norge må svare på spørsmål i et eget skjema som sendes ut. Siste dokumentbaserte tilsyn var i 2005 - det neste forventes således å komme i høst. Dette kan også gi grunnlag for ytterligere oppfølging fra Kredittilsynets side.

Kredittilsynets reaksjonsform kan i hovedsak deles inn i tre hovedgrupper:

  • Ingen kommentarer til den utførte revisjonen

  • Påpekning av mangler i den utførte revisjonen - forutsetter at revisor tar hensyn til disse i sitt videre revisjonsarbeid

    • kan i de groveste tilfellene også medføre nytt tilsyn på et senere tidspunkt for oppfølging

  • (Varsel om) tilbakekalling av godkjenning som revisor

Tidligere hadde Kredittilsynet flere reaksjonsformer tilgjengelig, hvor det bl.a. kunne gis ulike grader av kritikk - for eksempel irettesettelse eller streng irettesettelse. Disse ble så innført på den enkelte revisors «rulleblad». Etter dagens revisorlov har Kredittilsynet ikke en slik mulighet - det registreres ikke grader av kritikk på revisors rulleblad - enten har han/hun godkjenning som registrert eller statsautorisert revisor, eller så har han/hun det ikke. All korrespondanse fra tilsyn oppbevares naturligvis, og kan ved en eventuell senere sak inngå i det som blir kredittilsynets totalvurdering. Derfor synes det for oss som om konklusjonene i tilsynsrapportene har endret seg fra å gi kritikk av ulik grad, til i hovedsak å konstatere funn og deretter be om at revisor innretter sitt arbeid i samsvar med Kredittilsynets kommentarer fremover, eventuelt med varsel om at det vil kunne komme et oppfølgningstilsyn.

Fra Kredittilsynets årsmeldinger kan vi finne følgende statistikk for de senere årene:

2006

2005

2004

2003

2002

2001

2000

1999

Avsluttede tilsynssaker1

147

206

138

113

118

73

80

128

Innrapporteringer

78

95

84

65

38

32

31

23

Tilbakekall av godkjenning2

Statsautorisert revisor

5

2

0

0

1

0

4

1

Registrert revisor

9

2

4

3

5

7

5

10

Revisjonsselskap

1

0

0

1

8

2

0

0

1I årsmeldingen for 2006 er det vist til antallet avsluttede tilsynssaker, mens det for de øvrige årene er vist til antallet behandlede saker. Det er derfor noe uklart om tallet for 2006 er sammenlignbart med de øvrige årene.

2For 2006 skyldtes 11 av tilbakekallingene manglende besvarelse av det dokumentbaserte tilsynet i 2005.

Som vi ser er det en økende tendens i antallet tilsynssaker hensyntatt opplysningsendringen som fant sted i 2006. Tilsvarende tendens finner vi også igjen i antallet innrapporteringer av revisor til kredittilsynet. Det er ikke usannsynlig at det siste har å gjøre med det økte fokus på revisor som kom i forbindelse med flere regnskapsskandaler for noen år siden.

Gjennomgang av tilsynsrapporter

Vi har fulgt Kredittilsynets tilsyn med revisorer gjennom noen år. Delvis gjennom vårt virke i KPMG, delvis gjennom å be om innsyn i «revisorsaker». De siste par årene har vi systematisk fulgt med på alle saker vi har funnet i postjournalen hos Kredittilsynet mot revisorer som vedrører utført revisjon som sådan.

Gjennom dette har vi forsøkt å se om det er noen trender i det Kredittilsynet tar opp. Hva er det Kredittilsynet fokuserer på? Er det svakheter som er gjennomgående - noe revisorer i Norge kan ta lærdom av?

Gjennom sine rapporter er Kredittilsynet en premissleverandør mht. hva som forventes av en revisor i Norge. Sagt med andre ord - gjennom rapportene påvirker Kredittilsynet innholdet i revisorloven og god revisjonsskikk. En kan spørre seg om det er riktig at Kredittilsynets forståelse av lov og standarder ukritisk skal legges til grunn for eventuell sanksjonering av revisorer, men etter vår oppfatning er det uansett viktig å følge med på rapportene fra Kredittilsynet. De etablerer etter hvert en omfattende forvaltningspraksis i forhold til oppfølgning mot revisor. Den enkelte revisor bør være klar over dette. Likedan er det viktig å ha oversikt over Kredittilsynets betraktninger i den forstand at bransjen i enkelte tilfeller vil kunne ønske eller ha behov for å ta til motmæle mot de fortolkninger som gjøres av Kredittilsynet.

Dessverre er Kredittilsynets rapporter fra revisortilsyn vanskelig tilgjengelig. Rapportene finnes kun ved å følge med på tilsynets daglige postjournaler. Når disse ikke sjelden er på mer enn 25 sider og inneholder all korrespondanse til og fra Kredittilsynet, vil nok rapportene for de aller fleste revisorer fremstå som «ikke-tilgjengelige». Vi håper rapportene, i ikke all for fjern fremtid, blir gjort tilgjengelig på en langt mer brukervennlig måte, slik det for eksempel gjøres for endelige rapporter fra regnskapstilsynet.

I denne artikkelen har vi forsøkt å trekke ut enkelte av de mer gjennomgående trekkene fra Kredittilsynets rapporter. Dette er gjort ved å gjengi sitater fra ulike rapporter fra tilsyn med revisorer. Gjennom dette ønsker vi å gi noen få noen få «glimt» av det vi har sett - noen få eksempler for å illustrere hva Kredittilsynets syn på ulike områder er.

Etter systematisk å ha innhentet rapporter de siste to årene - samt mer sporadisk innhenting av rapporter en del år forut for det - sitter vi på et stort antall rapporter. Materialet er meget omfattende. Som nevnt har vi forsøkt å trekke ut enkelte av de mer gjennomgående trekkene. Når det er sagt, må du ha i mente at hver sak - hver rapport - er unik. Problemstillingene Kredittilsynet tar opp varierer - og det bakenforliggende saksforhold både hos revisjonskunde og hos revisor er forskjellig. Og - Kredittilsynets rapporter gir ikke et representativt uttrykk for nivået hos norske revisorer. Mange av de enkeltsakene Kredittilsynet ser på er saker hvor «noe har gått galt». Utvalget er følgelig skjevt - det er det viktig å ha med seg når tilsynets rapporter leses - likeså når en del av nedenstående sitater leses. I tillegg må en ha med seg at Kredittilsynet ikke sjelden vurderer «gamle» saker. Det betyr for eksempel at kravene i en revisjonsstandard kan være endret i forhold til standarden på det tidspunktet Kredittilsynet gjorde sine vurderinger. Ettersom revisjonsstandardene sjelden blir «enklere», og ettersom Kredittilsynet ikke sjelden uttrykker en eller annen form for kritikk, vil dette tidsetterslepet i seg selv kunne være en utfordring for praktiserende revisorer.

Det er følgelig viktig å være kjent med Kredittilsynets tilsynspraksis. Etter vår oppfatning har Kredittilsynets tilsynspraksis vært viet alt for lite oppmerksomhet - både i artikler, på kurs og i forskning. Herved setter vi søkelyset på temaet og håper flere vil ha fokus på dette i tiden fremover.

Vi gir i artikkelen ikke utrykk for egne syn i forhold til det som er gjengitt fra rapportene - i mange tilfeller ville vi heller ikke hatt tilstrekkelig grunnlag for å kunne gjøre det siden vi ikke kjenner faktum utover det som fremgår av rapportene. Vi har imidlertid forsøkt å gi noen generelle kommentarer til det som er tatt opp/påpekt i de sitatene vi har gjengitt - først og fremst for å forsøke å oppsummere hovedtrekkene i det vi oppfatter som Kredittilsynets syn.

Overordnede rammer for revisjon i Norge

Revisorloven (LRR) setter rammene for krav til utførelse av revisjon i Norge. I tillegg har DnR utgitt en rekke revisjonsstandarder som utdyper kravene i revisorloven - spesielt innholdet i «god revisjonsskikk».

Utgangspunktet finner vi i revisorloven § 5-1 og § 5-2 om revisjonens innhold og revisors plikter.

Om revisjonens innhold følger bl.a. at revisor skal:

  • «...vurdere om årsregnskapet er utarbeidet og fastsatt i samsvar med lov og forskrifter ...»

  • «...vurdere om den revisjonspliktiges ledelse har oppfylt sin plikt til å sørge for ordentlig og oversiktlig registrering og dokumentasjon av regnskapsopplysninger i samsvar med lov og forskrifter ...»

  • «...se etter at den revisjonspliktige har ordnet formuesforvaltningen på en betryggende måte og med forsvarlig kontroll...»

  • «...gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil ...»

Om revisors plikter følger bl.a. at revisor skal:

  • «...utføre revisjonen etter beste skjønn, herunder vurdere risikoen for at det kan foreligge feilinformasjon i årsregnskapet som følge av misligheter og feil ...»

  • «...påse at vedkommende har tilstrekkelig grunnlag til å vurdere om det foreligger brudd på lover og forskrifter av vesentlig betydning for årsregnskapet ...»

  • «...utføre sin virksomhet i samsvar med god revisjonsskikk ...»

Revisorloven har således i seg krav som det ikke er åpenbart at dekkes av revisjonsstandardene. Eksempler på slike områder er formuesforvaltning og intern kontroll, bokføring (registrering og dokumentasjon) og revisjon av årsberetningen. I tillegg kom det i ny revisorlov inn et nytt begrep, ved at revisjonen skal utføres «etter beste skjønn» - et begrep som var «ukjent» inntil 1999. Begrepet kom først inn i forbindelse med departementets behandling av lovforslaget, og det er ingen omfattende begrunnelse for eller veiledning til fortolkning av begrepet i Ot. prp. nr. 75 (1997-98). Hvordan begrepet skal forstås i forhold til revisjonsstandardene, er derfor usikkert. Vi har ikke intensjon om å gå inn i den diskusjonen i denne artikkelen, men trekker det frem da Kredittilsynet i noen av sine tilsynsrapporter bl.a. kommenterer ovennevnte forhold. Det er i den forbindelse verdt å merke seg at Kredittilsynet er entydig mht. at det er bestemmelsene i revisorloven som er det sentrale utgangspunktet når det gjelder krav til utførelse av revisjonen - RS-ene «står ikke på egne ben». I en rapport etter tilsyn har Kredittilsynet i den forbindelse bl.a. uttalt følgende når det gjelder krav til gjennomgang av formuesforvaltning og intern kontroll:

«Til dette bemerkes det at revisors plikter følger av lovteksten i § 5-1 andre ledd. Eventuelle kommentarer i forarbeider vil kunne være tolkningsmoment til forståelsen av lovteksten, og revisjonsstandarder på dette området er kun et supplement.»

Revisorloven har således en selvstendig stilling når det gjelder krav til revisjonens utførelse. Lovens bestemmelser åpner imidlertid for skjønn - herunder gjennom begrepet «god revisjonsskikk». Og det er ikke tvilsomt at RS-ene er med på å utdype innholdet i revisorloven - men ikke alene. I tillegg finnes uttalelser i forhold til loven og Kredittilsynets forvaltningspraksis. Bransjens egen praksis synes Kredittilsynet imidlertid å se bort fra i vurderingen, med unntak av ved spørsmål om reaksjonsform - jf. for eksempel følgende fra en tilsynsrapport:

«Hva som er «vanlig praksis i bransjen», vil i utgangspunktet ikke være av betydning for spørsmålet om et revisjonsoppdrag er utført i samsvar med lovgivningen eller ikke. Hva som anses for å være vanlig i bransjen, vil imidlertid kunne være av betydning for hvordan Kredittilsynet velger å reagere i forhold til en revisor i disse tilfellene.»

Det er Kredittilsynets forvaltningspraksis som er tema i det som gjennomgås videre i artikkelen.

Kredittilsynet mener:

Revisorloven kommer «først». Revisjonsstandardene utfyller loven på enkelte områder.

Andre sentrale overordnede forhold

I RS 200 - Formål og generelle prinsipper for revisjon av regnskaper heter det i pkt. 6 at

«Revisor må planlegge og gjennomføre revisjonen med en profesjonelt skeptisk holdning...».

Kravet om en «profesjonelt skeptiske holdning» er sentralt i revisjonsutførelsen, og er også i en rekke tilfeller trukket frem av Kredittilsynet. Blant annet i tilfeller hvor spesielle forhold er kjent for revisor, bør aktsomheten, etter Kredittilsynets oppfatning, økes. Jf. i den forbindelse følgende:

«Sett i sammenheng med den tilsynelatende sammenblandingen av privatøkonomi og firmaøkonomi som fremstår i form av et betydelig antall transaksjoner på mellomregningskonto, burde revisors aktsomhet vært skjerpet... Revisor skriver i sitt tilsvar at det «er innhentet en bekreftelse fra regnskapsfører som etter konferanse med daglig leder bekrefter beløpet». Kredittilsynet mener dette ikke er et tilstrekkelig og hensiktsmessig revisjonsbevis for bekreftelse av eksistens og tilhørighet for en vesentlig kontantbeholdning.»

«At revisor ble gitt et slikt oppdrag, kan i seg selv være en indikasjon på at kontrollkomiteen ikke hadde full tillitt til kvaliteten på [selskapets] regnskapsrapportering, noe som burde skjerpet revisors aktsomhet i hans revisjonshandlinger.»

En profesjonelt skeptisk holdning betyr bl.a. at revisor skal og må være kritisk til gyldigheten av fremskaffede revisjonsbevis samt påliteligheten av dokumenter og/eller uttalelser fra ledelsen.

Det siste vil vi komme tilbake til senere i artikkelen, herunder vise at Kredittilsynet ved en rekke anledninger har kritisert revisor for i for stor grad å basere sin revisjon på uttalelser fra ledelsen, uten å foreta egne vurderinger i tilstrekkelig grad.

Den videre gjennomgangen er ikke ment å gi et fullstendig bilde av alle forhold i en revisjonsprosess, men vi vil trekke frem eksempler på et utvalg områder vi mener kan være av interesse å få belyst. Gjennomgangen er forsøkt strukturert etter fasene i en revisjonsprosess, som kan illustreres slik:

I den videre gjennomgangen er fasene planlegging og vurdering/testing av intern kontroll og fasene substanskontroller og avslutning slått sammen. Rapportering er imidlertid behandlet for seg. Det skyldes at fasene glir over i hverandre - ikke nødvendigvis har noen klar grense, og at de til dels behandles sammen/om hverandre i Kredittilsynets rapporter. I tillegg til nevnte faser, har vi trukket frem enkelte særskilte områder, herunder forhold som følger av revisorloven, men som ikke nødvendigvis er dekket fullt ut i revisjonsstandardene.

Sitatene som gjengis gir ikke nødvendigvis et uttømmende bilde av de forhold som belyses. Vi har i gjennomgangen i all hovedsak kun hatt tilgang til den avsluttende tilsynsrapporten. Tidligere korrespondanse mellom Kredittilsynet og den enkelte revisor som ofte vil inneholde mer detaljerte og grundige vurderinger og beskrivelse av faktum, har vi ikke hatt tilgang til.

Planlegging og vurdering/testing av intern kontroll

Svakheter i planleggingen av revisjonen er en gjenganger i mange av de tilsynsrapportene vi har sett på, ofte i kombinasjon med mangelfull dokumentasjon. I den forbindelse trekker Kredittilsynet inn planleggingens betydning for angrepsvinkelen på revisjonen, herunder for valg av revisjonshandlinger.

I forlengelsen av dette har Kredittilsynet i mange tilfeller anført svakheter og mangler mht. kartleggingen av sentrale rutiner, herunder regnskaps- og interne kontrollsystemer. Dette vil kunne føre til feil i vurdering av kontrollrisiko, og derved gi et feilaktig grunnlag for valg av revisjonshandlinger. Eksempelvis vil en for lavt vurdert kontrollrisiko kunne innebære at det blir utført for lite substanskontroller. Videre påpeker Kredittilsynet i flere tilfeller at risikovurderingen i for liten grad er knyttet konkret til vesentlige regnskapsposter og transaksjonstyper.

Nedenfor har vi vist noen eksempler på kommentarer fra Kredittilsynet knyttet til planlegging og vurdering av interne kontrollrutiner. Som det fremgår er det ofte en kombinasjon av mangler ved det materielle i den utførte revisjonen og mangler ved dokumentasjonen.

«Planleggingen mangler informasjon om deler av viktige rutiner som innkjøp/kostnader, salg, lønn og betaling, som grunnlag for å vurdere intern kontroll, risiko knyttet til beløpene på revisjonsområdet, samt hvordan dette påvirker angrepsvinkel og omfanget på revisjonen.»

«I revisjonsplanen er det fremdeles ikke tatt inn beskrivelse som dokumenterer at det er foretatt nærmere kartlegging av sentrale rutiner, herunder regnskaps- og interne kontrollsystemer. Det er heller ikke dokumentert noen nærmere vurdering av risiko ned på vesentlige regnskapsområder og -poster, og det er ikke begrunnede vurderinger av fastsatte vesentlighetsgrenser ut fra forhold som virksomhetens art, egenkapital og brukergrupper. Det er ikke angitt en detaljert angrepsvinkel på revisjonen med forventet Type, tidspunkt for utførelse og omfang av revisjonsarbeidet.»

«Revisjonsplanleggingen er en hypotese, hvor revisor tillegger rutiner, kontrollsystemer mv. hos den revisjonspliktige visse forventede egenskaper. Gjennom den etterfølgende revisjonen skal revisors planleggingshypoteser bekreftes eller avkreftes. Er et område vurdert som et lavrisikoområde, så må revisor innhente revisjonsbevis for å få bekreftet det. Er området antatt uvesentlig for årsregnskapet, må revisor gjennom bevisinnhenting også få bekreftet det.»

«Dokumentasjonen inneholder ingen nærmere risikovurdering som er knyttet til vesentlige regnskapsposter og transaksjonsTyper, samt hvordan intern kontroll innvirker på Type, tidspunkt og omfang av substanskontroller. Dette også knyttet opp mot virksomhetens art og omfang.»

«... var revisors dokumenterte beskrivelse og vurdering av sentrale rutiner og systemer, ikke tilstrekkelige til å underbygge revisors risikovurdering om at kontrollrisikoen var annet enn høy. Dette medvirker også til at valg av angrepsvinkel for revisjonen, samt Type, tidspunkt og omfang av revisjonshandlinger, ikke er tilstrekkelig begrunnet.»

«Det savnes en mer detaljert og dokumentert gjennomgang og vurdering av sentrale rutiner. Dette for at det skal kunne etterprøves at revisors kontroll og vurdering av sentrale rutiner av betydning for årsregnskapet og den interne kontrollen i slike rutiner, er forsvarlig og at revisjonen er basert på tilstrekkelige og hensiktsmessige revisjonshandlinger. Den dokumenterte planlegging av revisjonen oppfyller dermed ikke de krav revisorloven, herunder god revisjonsskikk, oppstiller til planleggingen av revisjonen og dokumentasjon av dette...

«... Imidlertid må grunnlaget for valg av revisjonshandlinger synliggjøres i dokumentasjonen for revisjonen, slik at det er mulig å etterprøve revisors begrunnelse for valg av revisjonshandlinger.»

En liten kuriositet

«Kredittilsynet vil kommentere følgende utsagn i ovennevnte brev (side 2): «En oppsummering av risiko og vesentlige transaksjonsstrømmer finnes i [dokument]. [Dokument] vil da gi uttrykk for hvilke deler av regnskapet som skal være gjenstand for revisjon, og hvilken angrepsvinkel som skal benyttes. «Det er Kredittilsynets oppfatning at hele regnskapet skal revideres ...»

Gjengivelsen fra tilsynsrapportene kunne vært gjort betydelig mer omfattende. Etter vårt syn gjenspeiler imidlertid de utvalgte sitater det vi oppfatter som noe av det mest sentrale og gjennomgående i det Kredittilsynet tar opp når det gjelder planlegging og vurdering av intern kontroll. Oppsummert synes noe av kjernen å være at planleggingen av revisjonen ofte er for generell. Den må være konkret og detaljert nok til at det opparbeides en tilstrekkelig forståelse av en revisjonskundes virksomhet, transaksjonsstrømmer, rutiner og interne kontroll mv. Bare på den måten vil revisor ha et tilstrekkelig grunnlag for en målrettet risikovurdering, som igjen er grunnlaget for å bestemme angrepsvinkelen på revisjonen, herunder hvilke revisjonshandlinger som skal utføres. Særlig er dette viktig i forhold til de mest sentrale rutinene innenfor et selskaps kjernevirksomhet - innkjøp, salg, lager og likvidområdet. Og - det skal være mulig å etterprøve vurderingene!

Intern kontroll

Når det gjelder vurdering og testing av intern kontroll spesielt, går revisjon av inntekter igjen i flere av tilsynsrapportene - og da særlig rettet mot fullstendigheten av disse. Det er lite tvilsomt at revisjon av inntekter både er et viktig og et vanskelig område, og inntektsføring er kanskje det området hvor det oftest har vært feil/mangler i forbindelse med ulike regnskapsskandaler. Et par eksempler fra brev hvor forhold knyttet til revisjon av inntekter har vært tema:

«er det særlig for revisjon av inntekter at dokumentasjonen gir lite og utilstrekkelig revisjonsbevis, selv om dokumentasjonen underbygger gyldighet av registrerte inntekter. Det er ikke dokumentert kartlegging av hvordan leverte varer og tjenester blir fakturert og grunnlaget for dette. Arbeidspapirene inneholder heller ikke vurdering av hvordan rutiner på salgsområdet fungerer og sikrer at alle inntekter blir registrert.»

«... var revisjonshandlinger på inntektsområdet ikke tilstrekkelig dokumentert. Det var derfor nærmest umulig å kunne ta stilling til om de dokumentert utførte revisjonshandlingene var hensiktsmessige og tilstrekkelige til å underbygge revisors konklusjoner. Dette har også sammenheng med at revisors dokumenterte beskrivelser av sentrale rutiner og systemer, samt vurdering av risiko og intern kontroll i disse, var mangelfulle.»

«Det er videre påpekt at revisors kontroll av salgsinntekter tar utgangspunkt i utgående faktura. Dette gir sikkerhet for at fakturaene er bokført, men kan ikke gi sikkerhet for fullstendighet, noe revisor bekrefter i sin revisjonsberetning.»

Revisjon av fullstendighet av salgsinntekter er vanskelig. Det er derfor viktig å ha tilstrekkelig konkret kunnskap om de ulike inntektsstrømmer samt tilhørende kontroller, herunder hvordan salgstransaksjonene initieres og prosesseres frem til de ender i regnskapet, for derigjennom å kunne gjøre en spesifikk og målrettet risikovurdering. En slik kunnskap er nødvendig for å kunne planlegge og gjennomføre de mest effektive og hensiktsmessige revisjonshandlingene, for derved å få tilstrekkelig sikkerhet for fullstendigheten av inntektene.

Del II av artikkelen kommer i neste utgave av Revisjon og Regnskap.