logo

Kredittilsynets forunderlige vurderinger:

Ekstern revisors bruk av internrevisjonens arbeid

Artikkelforfatteren mener at Kredittilsynet i to offentliggjorte brev både feiltolker revisorlovens uavhengighetsregler og viser en feil forståelse og tolkning av RS 610 - Vurdering av internrevisjonens arbeid. Han er også bekymret for den måten Kredittilsynet har gjennomført prosessen på.

Kredittilsynet skal iht. kredittilsynsloven føre tilsyn med bl.a. revisorer og revisjonsselskaper som er godkjent etter revisorloven. Kredittilsynet kontrollerer om revisjonsoppdrag gjennomføres i samsvar med revisorloven, blant annet om god revisjonsskikk følges og om revisor ivaretar sin uavhengighet# Kilde: www.kreditttilsynet.no (Årsmeldingen 2007)..

Tilsynsfunksjonen er viktig og det forutsettes derfor at den gjennomføres med høy kvalitet. Når et tilsynsorgan velger å offentliggjøre sine vurderinger av standarder for god revisjonsskikk og forhold til revisorlov, forventes det god kvalitet i vurderingene og et tilfredsstillende presisjonsnivå i uttalelsene slik at det ikke skapes usikkerhet.

Kredittilsynet har på www.kredittilsynet.no (/revisorer/offentlige brev) offentliggjort to brev som vedrører ekstern revisors adgang til å bygge på arbeid utført av internrevisjon, jf. RS (Revisjonsstandard) 610 - Vurdering av internrevisjonens arbeid. Det første brevet er til Ernst & Young fra 2002 og det nyeste brevet er til PwC datert 17.12.2007. Brevene er resultat av en tilsynsprosess der det har vært utarbeidet «foreløpige merknader etter tilsyn» og endelige merknader etter at revisjonsselskapene har inngitt sine tilsvar. Det foreligger også et brev til Ernst & Young fra 2003 av prinsipiell interesse om revisjonsmodellen i DnB som ikke ligger på web-siden.

Det er min vurdering at Kredittilsynets offentliggjorte brev har et innhold som viser en feil forståelse og tolkning av RS 610 - Vurdering av internrevisjonens arbeid, jf. også ISA (International Standard on Auditing) 610 (Exposure Draft, December 2006) og senere oppdateringer. Jeg mener også at revisorlovens uavhengighetsregler er feil tolket. I tillegg skapes det gjennom enkelte av utsagnene i brevene unødvendig usikkerhet om forståelsen av god revisjonsskikk. Jeg er også bekymret for den måten Kredittilsynet har gjennomført prosessen på og som har ledet frem til de vurderinger og konklusjoner som er offentliggjort.

Kredittilsynet gir i brevet av 2007 uttrykk for at ekstern revisor i henhold til RS 610 ikke kan bruke internrevisjonens arbeid som revisjonsbevis for å redusere arbeid man ellers ville ha måttet gjøre selv, men kun kan bygge på internrevisjon som en del av foretakets internkontroll forøvrig. Konklusjonen synes å være basert på både en fortolkning av RS 610 og en vurdering av uavhengighetskravene i revisorloven. Det er en stor og fundamental revisjonsmessig forskjell på

  • -å bruke internrevisjonens arbeid for å redusere eget arbeid og

  • -å vurdere internrevisjonen som en kontrollaktivitet i forbindelse med vurdering av risikoanslag for feilinformasjon i regnskapet.

Konsekvensen av Kredittilsynets tolkning ville være at ekstern revisor ikke kan redusere omfanget av tester av kontroller basert på at tilsvarende tester er utført av internrevisjonen, men må vurdere iht. RS 315# RS 315 - Forståelse av foretaket og dets omgivelser og vurdering av risikoene for vesentlig feilinformasjon. hvordan internrevisjonens arbeid reduserer risikoen for feil på regnskapspostnivå/regnskapspåstandsnivå. Deretter må eksternrevisor foreta et betydelig omfang av tester av internrevisjonens arbeid iht. RS 330# RS 330 - Revisjonshandlinger for å håndtere anslått risiko., pkt. 45-46 for eventuelt å kunne redusere omfanget av substanskontroller av regnskapsinformasjon.

Kredittilsynet har i brevene gitt generelle uttalelser og synspunkter om god revisjonsskikk som langt på vei kan synes å ta sikte på å frata ekstern revisor anledning til å bruke profesjonelt skjønn i det enkelte tilfelle. Etter min mening er dette ikke Kredittilsynets rolle, og uttalelsene er egnet til å skape usikkerhet om god revisjonsskikk på de berørte områder.

Et tilsynsorgan må forvalte sin posisjon på en klok måte slik at makten til å bruke sanksjoner ikke oppfattes som en trussel mot revisorenes rett og plikt til å vurdere innholdet i god revisjonsskikk. Jeg har kommentarer til prosessen i slutten av artikkelen.

Kort innføring i ekstern revisors bruk av internrevisjonens arbeid

Eksterne og interne revisorer har ulike oppdragsgivere og rammebetingelser. I enkelte foretak kan likevel internrevisjonen, avhengig av den instruks som er fastsatt, utføre arbeidsoppgaver som er likeartede med eksternrevisors oppgaver. I slike tilfeller vil ekstern revisor vurdere om de utførte interne revisjonshandlingene er relevante for det arbeid som ekstern revisor skal utføre. Dersom de interne arbeidsoppgavene og revisjonshandlingene er relevante, vil ekstern revisor vurdere om han/hun kan bruke internrevisjonens arbeid for å endre eller redusere eget arbeid.

Ekstern revisor vil først måtte vurdere om internrevisjonen har tilstrekkelig objektivitet og profesjonell kompetanse. Deretter må ekstern revisor vurdere om det konkrete internrevisjonsarbeidet er gjennomført av kvalifisert personale, med et tilfredsstillende opplegg for ledelse, planlegging, kvalitetssikring og dokumentasjon. Det må også vurderes om konklusjoner trekkes basert på tilstrekkelig revisjonsbevis. Ekstern revisor vil utføre revisjonshandlinger (ettertesting og/eller testing av tilsvarende poster og/eller observasjoner) rettet mot det arbeidet som skal brukes av ekstern revisor i egen prosess/dokumentasjon. Jo høyere vesentlighet, risiko for feil og/eller grad av skjønnsmessige vurderinger som er involvert ved en regnskapspost, dess mer arbeid må ekstern revisor utføre selv i tillegg til internrevisjonens arbeid.

I en virksomhet der internrevisjonen utfører tilnærmet full finansiell revisjon tilsvarende ekstern revisor (typisk for enkelte finanskonsern), vil det være vanlig med utstrakt samarbeid og koordinering mellom de to grupper revisorer for å oppnå en mest mulig risikoreduserende og kostnadseffektiv revisjon.

Det er min vurdering at en finansiell revisjon som gjennomføres med både interne og eksterne revisorer, vil være mer risikoreduserende i forhold til feil i regnskapsavleggelsen enn de tilfellene hvor kun ekstern revisor er involvert. Spesielt gjelder dette for finanskonsern med mange virksomhetsområder, kompliserte produkter, systemer og regulatoriske betingelser. Internrevisjonen har sin styrke i kunnskap om interne forhold og en løpende oppfølging av virksomheten, mens ekstern revisor med sitt «utenfra-inn» -ståsted og høy regnskapskompetanse kan fokusere hovedvekten av sine ressurser mot høyrisikoområder.

Gjeldende forståelse og praktisering av RS 610 gjennom mange år i Norge og internasjonalt er at ekstern revisor, dersom gitte krav i standarden er oppfylt, kan bruke internrevisjonens arbeid for å endre og redusere (dvs. delvis erstatte) arbeid som han/hun ellers måtte utføre selv. Dette omfatter både risikovurderingshandlinger, tester av kontroller og substanskontroller av regnskapsinformasjon.

Litt historikk hentet fraNOU 1997:9 (s. 30):

«I slutten av 80-årene ble ordningen med at internt ansatte revisorer kunne utføre den lovbestemte bekreftelsen av årsoppgjøret i banker fjernet, og funksjonen overført til eksterne, valgte revisorer. I praksis har de interne revisjonsavdelinger i stor grad fortsatt å utføre finansiell revisjon, men nå som en ikke-lovpålagt sikring for bankens ledelse».

I DnC, en av bankene som nå inngår i DnB NOR, ble A.S. Forenede Revisorer valgt til første eksterne revisor i banken i 1978 med virkning fra og med 1979. Etter den tid har det i ca. 30 år blitt praktisert en revisjonsordning iht. RS 610 og god revisjonsskikk der ekstern revisor har brukt arbeid utført av internrevisjonen som en del av sitt eget arbeid.

Knut Løken, en dyktig nestor i norsk revisjon, som var leder av DnCs internrevisjon i mange år på 1980-tallet, ble senere avdelingsdirektør i Kredittilsynet og var også leder av revisorlovutvalget. Han beskriver i sin bok Kontroll # Knut Løken, Kontroll, Cappelen, 5.utgave, 2.opplag, 1999.(1999), som ble utgitt i nær tid med revisorlovens ikrafttredelse (1. august 1999), mulige arbeidsdelingsmodeller mellom intern og ekstern revisor og hensiktsmessigheten ved ulike modeller. Det fremkommer i boken ingen påpekning av uavhengighetsproblemer i relasjon til revisorloven. Tvert i mot skriver han (s. 357):

«Så lenge det ikke er gitt retningslinjer for arbeidsdelingen verken i lov eller god revisjonsskikk, vil det naturligvis kunne etableres ordninger av forskjellig art. Kort sagt bør man i det enkelte tilfelle med bakgrunn i hensiktmessighet, internrevisjonens størrelse, kvalifikasjoner, uavhengighet m.m. forsøke finne frem til det mest effektive revisjonsopplegg for foretaket.»

Jeg har derfor vanskelig for å forstå bakgrunnen for at Kredittilsynet nå i ettertid vil hevde at en slik langvarig, veletablert og kjent praksis iht. RS 610 er i strid med revisorloven, noe revisorlovutvalgets leder uttrykkelig skriver at ikke er regulert. Gjennom de samme 30 år har det vært tilsvarende uavhengighetsregler knyttet til revisormedarbeidere som i dag.

Det foreligger også annen dokumentasjon om forholdet mellom ekstern- og internrevisjon i Norge. Norges Statsautoriserte Revisorers Forening hadde i sin tid en internrevisjonskomité som skrev en artikkel i RR nr. 8/88# Revisjon og Regnskap nr. 8/88 Internrevisjonskomiteen: Likheter og ulikheter Internrevisjon - Eksternrevisjon.. Her påpekes forskjeller og likheter mellom ekstern og intern revisor, blant annet når det gjelder uavhengighet. I en gjennomgang av «Anbefaling til god revisjonsskikk vedrørende ekstern revisors bruk av den interne revisjonens arbeid» skriver komiteen at «Effektiviteten i det totale revisjonsarbeid vil derfor øke når den interne og den eksterne revisor samordner sitt arbeid i alle faser av revisjonsprosessen» og at «Den dokumentasjon som den interne revisor innhenter, bør normalt nyttiggjøres på lik linje med dokumentasjon fremskaffet av ekstern revisors eget personale».

Også andre nordiske finanskonsern har i lang tid praktisert ISA 610 slik at ekstern revisor i stor grad bruker finansiell revisjon utført av internrevisjon for å redusere omfanget av eget arbeid.

En bred tilsvarende internasjonal anvendelse av RS 610 er referert av Basel Committee on Banking Supervision i august 2002# Basel Committee on Banking Supervision; Internal Audit in Banks and the Supervisors Relationship with Auditors: A Survey, August 2002. (understreket her):

«46. Almost all supervisors underline the importance of regular consultation between external and internal auditors. In many countries, external auditors use the work of internal auditors, but they must first undertake various measures to determine the extent to which they can rely on the internal auditors’ work. This co-ordination enables a more effective external audit and avoids duplication of work.»

Det kan også nevnes at kvalitetskontroll# Revisorforeningens Kvalitetskontroll skjer i samarbeid med Kredittilsynet og har til formål å kontrollere at medlemmene opptrer i overensstemmelse med revisorloven, herunder at medlemmene utfører sin virksomhet i samsvar med god revisjonsskikk. (kilde: revisorforeningen.no). gjennomført i Revisorforeningens regi ikke medførte innvendinger til den måten RS 610 ble praktisert på i det samme år og på samme revisjonsoppdrag som Kredittilsynet nå har uttalt seg om i 2007-brevet.

God revisjonsskikk

Generelt

Revisjonens innhold er gitt i revisorlovens § 5-1 og iht. § 5-2 skal revisor utføre sin virksomhet iht. god revisjonsskikk. Revisjonsstandardene som representerer god revisjonsskikk er i utgangspunktet en nøyaktig oversettelse av de internasjonale standardene. Dersom det på grunn av norsk lovgivning er behov for å stille strengere krav eller avvike fra de internasjonale standardene, skal avvikene merkes tydelig og normalt som et såkalt N-punkt.

Det kan fastslås at det ikke er noen N-punkt knyttet til RS 610 og i utgangspunktet må man derfor i Norge kunne bruke arbeid utført av internrevisjonen i den utstrekning dette faller innenfor rammen av RS 610.

IAASB# IAASB er et «independent standardsetting board» innenfor IFAC. (Kilde: http://www.ifac.org/IAASB/) The International Auditing and Assurance Standards Board (IAASB) serves the public interest by: setting, independently and under its own authority, high quality standards dealing with auditing, review, other assurance, quality control and related services, and facilitating the convergence of national and international standards. This contributes to enhanced quality and uniformity of practice in these areas throughout the world, and strengthened public confidence in financial reporting. har som formål å tjene offentlige interesser ved å fastsette revisjonsstandarder av høy kvalitet og bidra til felles standarder globalt som sikrer brukernes tillit til revisjonsprofesjonen. Over de siste årene har IAASBs arbeidsprogram fokusert på å restrukturere og klargjøre eksisterende revisjonsstandarder slik at de blir mindre tvetydige og slik at det blir et klarere skille mellom krav og anbefalinger (Clarity project)# Se artikkel i RR 2/2006 «Klargjøring av internasjonale revisjonsstandarder» av Kelly Ånerud, CPA..

IAASB følger omfattende hørings- og kvalitetssikringsprosesser i sitt arbeid med standardene. Jeg mener derfor man ved tolkning av de direkte oversatte norske revisjonsstandarder må legge avgjørende vekt på hva IAASB og de store høringsorganene mener og hvordan revisjonsstandardene praktiseres internasjonalt. Vi kan ikke ha en situasjon der Kredittilsynet i Oslo skal legge en annen og egen forståelse til grunn for norske forhold. Jeg kan heller ikke se at revisorloven hjemler en slik praksis.

Det forelå i desember 2007 (da Kredittilsynet skrev sitt brev) en Proposed Redrafted ISA 610 fra desember 2006 med gode høringskommentarer fra mange store organisasjoner. Etter min mening kunne Kredittilsynet med fordel lest utkastet til klargjørende standard fremfor å foreta egne fortolkninger.

God revisjonsskikk angir at formålet med revisjonen av et regnskap er å gjøre revisor i stand til å uttale seg gjennom revisjonsberetningen (RS 200). For å oppnå dette akkumulerer og vurderer revisor revisjonsbevis (RS 500). Revisor må dokumentere revisjonsbevisene i sine arbeidspapirer (RS 230) og iht. revisorlovens § 5-3 skal dokumentasjonen være tilstrekkelig til å kunne underbygge og etterprøve revisors konklusjoner.

Som ledd i innhenting av revisjonsbevis vil revisor blant annet:

  • 1utføre risikovurderingshandlinger iht. RS 315,

  • 2gjennomføre tester av kontroller iht. RS 330

  • 3gjennomføre substanskontroller av regnskapsinformasjon iht. RS 330

En tilfredsstillende planlegging av revisjonen skal iht. RS 300 bidra til at revisjonsarbeidet utføres på en mål- og kostnadseffektiv måte.

Konseptet i RS 610 - Vurdering av internrevisjonens arbeid

RS 610 og RS 315 angir at revisor som et ledd i sine risikovurderingshandlinger må skaffe seg forståelse av internrevisjonens aktiviteter.

Det kan i utgangspunktet være to hovedbetraktningsmåter ved ekstern revisors vurdering av internrevisjon:

  • 1Internrevisjonen er en del av internkontrollen (og vurderes som et ledd i evalueringen av internkontrollen), men utfører ikke arbeid som er relevant for ekstern revisor eller som det ikke er effektivt å bruke for ekstern revisor.

  • 2Internrevisjonen utfører revisjonsarbeid som er relevant for revisor ved dennes gjennomføring av revisjonen iht. RS 315 (risikovurderingshandlinger) og RS 330 (tester av kontroller og substanskontroller) og som ekstern revisor kan bruke for å endre eller redusere deler av de revisjonshandlinger som han/hun ellers ville måtte utføre.

Av denne artikkelen vil det fremgå at konseptet i RS 610 har vært, og er, at ekstern revisor kan bruke arbeid utført av internrevisjonen til endring av, eller som delvis erstatning for, arbeid han/hun ellers ville måtte utført, dersom han/hun finner at arbeidet er relevant og tilfredsstiller kravene i RS 610. Som dokumentert i artikkelens punkt 2 har RS 610 vært praktisert i samsvar med denne forståelsen i ca. 30 år i bankforetak i Norge og også internasjonalt. Årsaken til dette er at internrevisjon, selv om den ikke har samme grad av uavhengighet som ekstern revisor, utfører likeartede revisjonshandlinger og kan ha tilfredsstillende integritet, objektivitet og profesjonalitet. RS 610 stiller krav til de vurderinger og revisjonshandlinger ekstern revisor må utføre rettet mot internrevisjonens arbeid. Det er ekstern revisor som profesjonelt må vurdere om internrevisjonens arbeid kan brukes i det enkelte tilfelle, og ekstern revisors ansvar reduseres ikke ved at han/hun bruker internrevisjonens arbeid. Derfor gjelder lovkrav om uavhengighet ekstern revisor og ikke intern revisor. (I Danmark er det også lovkrav om uavhengighet knyttet til intern revisor.)

Kredittilsynets oppfatning av RS 610

Kredittilsynet tolker RS 610 til kun å dekke alternativ 1 ovenfor, dvs. at internrevisjonen kun kan betraktes som en del av internkontrollen på linje med andre internkontrolltiltak. Bruk av internrevisjonens arbeid og konklusjoner som grunnlag for reduksjon av egne tilsvarende risikovurderingshandlinger, tester av kontroller og substanskontroller er etter Kredittilsynets oppfatning i strid med god revisjonskikk og revisorloven. Konsekvensen av Kredittilsynets standpunkt vil medføre at en internasjonal revisjonsstandard, ISA 610, etter sin hensikt, ville være forbudt i Norge. Revisjonsselskaper som bruker ISA 610 i sin revisjon av internasjonale konsern (eksempelvis andre nordiske finanskonsern), ville måtte endre revisjonstilnærmingen i norske datterselskap/filialer. Dette er ikke i samsvar med forarbeidene til revisorloven# NOU 1997: 9, pkt 10.6.3, 5. avsnitt «Utvalget har dessuten lagt vekt på at revisjon er et internasjonalt yrke, hvor det er av betydning at funksjonen følger de samme prinsipper over grensene. Noe annet vil skape utrygghet for hva revisorenes funksjoner bak den lovbestemte bekreftelse omfatter, og således også hva bekreftelsene innebærer i de enkelte land. Det foreliggende forslag til nye standarder i Norge for revisjonen, med tilhørende oppgaver, er da også fullt ut i overensstemmelse med internasjonal god revisjonsskikk fra den verdensomspennende revisjons- og regnskapsføringsorganisasjonen IFAC.» og målene til IFAC/IAASB om «... enhanced quality and uniformity of practice in these areas throughout the world.»

Punkt

Extant ISA 610

Proposed Redrafted 610 (Updated agenda item June 16-20, 20081)

Tittel

Using the work of internal auditors

1

This ISA does not deal with instances when personnel from internal auditing assist the external auditor in carrying out external audit procedures.

This ISA does not deal with instances when individual internal auditors provide direct assistance to the external auditor in carrying out audit procedures.

8

All judgments relating to the audit of the financial statements are those of the external auditor.

Text deleted, but encompassed in:

The external auditor has sole responsibility for the audit opinion expressed, and that responsibility is not reduced by the external auditor’s use of the work of the internal auditors.

Det er forunderlig at Kredittilsynet har klart å tolke RS 610 slik man har gjort. Både revisjonsstandarden, teori og praksis viser at ekstern revisor kan bruke internrevisjonens arbeid. På IAASBs hjemmeside kan man finne alle høringsuttalelser til klargjøringen av standarden i clarity-prosjektet. Høringsuttalelser jeg har lest (fra viktige store organisasjoner) legger vekt på å bruke internrevisjonens arbeid for å redusere omfanget av eget arbeid og unngå dobbeltarbeid. Heldigvis vil den oppdaterte standarden klargjøre forholdet på en slik måte at det ikke bør være tvil om det prinsipielle konseptet.

Jeg er noe usikker på hvorfor og hvordan Kredittilsynet har kommet så feil ut i sine vurderinger og konklusjoner når det i svar på utkast til rapport er gitt mange klargjørende innspill som burde fått tankeprosessen inn i andre baner. Blant annet er pensumboken ved Høyere revisorstudium, nå MRR (Master i regnskap og revisjon) på NHH helt klar på dette; se Eilifsen m.fl. Auditing and Assurance Services (International edition# Eilifsen, Messier jr, Glover & Prawitt; Auditing and Assurance Services (International edition) McGraw-Hill, 2006, side 139., side 139.

Kredittilsynet har i tidligere brev og i løpet av prosessen frem mot siste brev anført en del argumenter, for sin tolkning. I sum fremstår argumentene som et noe anstrengt forsøk på å underbygge en konklusjon som synes trukket på forhånd.

Det er enkelte formuleringer i dagens RS 610 som Kredittilsynet har benyttet som argument for sitt syn. Jeg kan ikke kommentere alle forhold Kredittilsynet har påpekt som jeg er uenig i, men synes det er betenkelig å legge for stor vekt på enkelt formuleringer uten å se helheten og konseptet i RS 610. Den nye teksten som følge av oppdateringen iht. Clarity-prosjektet er ikke endelig godkjent og ordlyden nedenfor må derfor ikke benyttes som endelig standard. Eksemplene i tabellen viser likevel at ord som Kredittilsynet har tillagt ikke ubetydelig vekt i sine vurderinger (understreket i venstre kolonne) er foreslått endret (se høyre kolonne) eller tatt bort, uten at standardens innhold skal være vesentlig endret, iflg. IAASB.

Kredittilsynet synes å ha lagt stor vekt på formuleringen om standardens begrensning (pkt. 1 ovenfor) i brevene både i 2002 og 2007 og brukt dette som delvis argument for at ekstern revisor ikke kan bruke internrevisjonens revisjonshandlinger fordi det anses som eksternt revisjonsarbeid (external audit procedures).

Som svar på direkte forespørsel i e-post i august 2007 bekreftet imidlertid den faglige ledelsen i IAASB at standarden tillater ekstern revisor å bruke arbeid som internrevisjonen har utført som en del av sitt ordinære mandat (f.eks. for styret) betinget av at kravene i standarden om vurdering av bl.a. objektivitet, kompetanse og relevans ble oppfylt. Dette inkluderer også bruk av substanskontroller utført av internrevisjonen, tilsvarende som i den amerikanske standarden SAS 65/ AU 322.17.# AU322.17: Some procedures performed by the internal auditors may provide direct evidence about material misstatements in assertions about specific account balances or classes of transactions. (...).The results of these procedures can provide evidence the auditor may consider in restricting detection risk for the related assertions. (...). Begrensningen i standardens pkt. 1 gjelder direkte assistanse utført på spesifikke instrukser fra ekstern revisor, noe som forøvrig er beskrevet og regulert i AU 322.27. Kopi av eposten ble oversendt Kredittilsynet som tydeligvis ikke har tatt hensyn til denne klargjøringen fra IAASB.

Det er betenkelig og underlig at Kredittilsynet ikke tillegger faglige vurderinger fra IAASB stor betydning ved tolkning av standarder som IAASB selv utgir. Egne nasjonale fortolkninger skal man være forsiktig med. Så langt jeg forstår, kan man heller ikke omdefinere eller omfortolke en internasjonal revisjonsstandard til et annet innhold enn det den er ment å skulle gi uttrykk for. For øvrig er mange av forholdene også i RS 610 betinget av ekstern revisors egne vurderinger (profesjonelt skjønn).

Selv om enkelte forhold skulle falle utenfor standardens virkeområde, er det ikke nødvendigvis forbudt å følge standarden analogisk. Det betyr kun at man ikke har formelle krav og veiledninger gjennom standarden, og da må ekstern revisor bruke eget profesjonelt skjønn på problemstillingen. Eksempelvis må man, etter min mening, kunne bruke internrevisjonens arbeid både i forhold til misligheter (RS 240), vurdering av lover og forskrifter (RS 250) og kommunikasjon (RS 260).

IAASBs Clarity Project# og ISA 610

ISA 610 foreligger både i en «proposed redrafted» ISA 610 fra desember 2006 som ble sendt på høring, samt i nyere justerte versjoner til senere møter i IAASB basert på høringskommentarer og IAASBs egne drøftinger. Behandlingen i IAASB er meget transparent og saksdokumenter og referat fra hvert møte er tilgjengelig på IFACs websider sammen med audio-opptak fra diskusjonene i møtene. Det er derfor gode muligheter for personer med spesielle interesser og andre til å følge diskusjonen og utviklingen. IAASB er nå ferdig med sin behandling og endelig oppdatert standard kan forventes godkjent i oktober/november når Public Interest Oversight Board (PIOB) har konkludert med at alle prosedyrer i tilknytning til stadardoppdateringen er fulgt.

Jeg ønsker spesielt å gjengi et utdrag fra høringskommentaren til «proposed redrafted» ISA 610 fra Basel Committee on Banking Supervision# The Basel Committee on Banking Supervision provides a forum for regular cooperation on banking supervisory matters. Its objective is to enhance understanding of key supervisory issues and improve the quality of banking supervision worldwide. (med mine understrekninger):

«In this case, the Committee believes that the desired outcome is for the external auditor to obtain an understanding of the internal audit function so that the external auditor can determine the extent to which the work of internal audit can be effectively used to modify or reduce the nature, timing and extent of audit procedures that the external auditor would otherwise need to carry out. The Committee recommends that the IAASB modify the ISA’s objective to be more reflective of this desired outcome.»

Det kan, etter min mening, ikke være tvil om at Baselkomiteen har en riktig forståelse av ISA 610 og motsatt av Kredittilsynet, som med fordel kunnet lyttet til Baselkomiteens synspunkter, se fotnoten. Baselkomiteen mener altså at deler av internrevisjonens arbeid kan brukes av ekstern revisor som erstatning for eget arbeid man ellers ville måtte utført.

PCAOB# The PCAOB (Public Company Accounting Oversight Board) is a private-sector, non-profit corporation, created by the Sarbanes-Oxley Act of 2002, to oversee the auditors public companies in order to protect the interests of investors and further the public interest in the preparation of informative, fair, and independent audit reports. har for øvrig i sin standard nummer 5 «An Audit of Internal Control Over Financial Reporting That is Integrated with An Audit of Financial Statements» para.16 benyttet formuleringen: «The auditor should evaluate the extent to which he or she will use the work of others to reduce the work the auditor might otherwise perform himself or herself».

Det fremgår av audio-opptakene fra diskusjonen i IAASB# www.ifac.org/IAASB/MeetingAudio.php?meetingdate=2008_06_16. at man var ambivalent til å bruke ordet «otherwise» i standardens ordlyd i tilknytning til formuleringen «reduce the extent of audit procedures (otherwise) to be performed» fordi ordet «otherwise» ikke ga noen tilleggsinformasjon til setningen og man sløyfet til slutt ordet. Det fremgår også av diskusjonen at å «bruke arbeidet» innebærer bruk som revisjonsbevis i tilknytning til revisjonens formål. Det skilles i standarden ikke mellom bruk av internrevisjonens «test of controls» og «substantive procedures», og man kan være trygg på at IAASB vet forskjellen på revisjonshandlingene. Standarden gjelder for «audit procedures» generelt.

Av øvrige klargjøringer i den oppdaterte standarden kan nevnes:

  • Det skal som ledd i risikovurderingen i ISA 315 gjøres en vurdering av om internrevisjonen er relevant for ekstern revisors formål. ISA 610 kommer først til anvendelse når man har til hensikt å bruke internrevisjonens arbeid. («The entity’s internal audit function is likely to be relevant to the audit if the nature of the internal audit function’s responsibilities and activities are related to the entity’s financial reporting, and the auditor expects to use the work of the internal auditors to modify the nature or timing, or reduce the extent, of audit procedures to be performed. When the auditor determines that the internal audit function is likely to be relevant to the audit, ISA 610 (Redrafted) applies.)»# Kilde: www.ifac.org/IAASB/Meeting-Resource, June 16-20, 2008, Conforming amendments to ISA 315, A96a.

  • Ekstern revisor skal evaluere og må foreta revisjonshandlinger rettet mot det arbeidet han/hun vil bruke. Revisjonshandlingene kan være testing av utført arbeid eller testing av tilsvarende poster/transaksjoner eller observasjoner. Spesielt den engelske revisorforeningen har vært motstander av krav om ettertesting da dette vil redusere effektiviteten i bruken av internrevisjonens arbeid. Omfang og type av revisjonshandlinger rettet mot internrevisjonens arbeid vil være et resultat av ekstern revisors vurderinger, men ikke tilsvarende de krav til tester som må gjøres av (intern) kontroller iht. RS 330, pkt. 45-46. Her er det altså et tydelig skille mellom kravene til å «bygge på» internkontroll og «bruke» internrevisjonens arbeid.

For øvrig er også den oppdaterte standarden preget av at ekstern revisor må foreta sine vurderinger, og konsekvensene for videre revisjon vil være en følge av de vurderinger som foretas.

Selv om standarden etter sin ordlyd ikke dekker eksempelvis RS 250 - Vurdering av lover og forskrifter ved revisjon av regnskapet, vil det være naturlig at ekstern revisor også på dette og andre områder kan bruke internrevisjonens arbeid. Normalt vil en internrevisjon i finansnæringen utføre omfattende revisjon av overholdelse (compliance) med lover og forskrifter. Innenfor eksempelvis kapitalkravsberegninger og risikostyringssystemer (Basel 2) er det eget forskriftskrav om at internrevisjonen regelmessig skal revidere systemet, og jeg oppfatter at Kredittilsynet er en av brukerne av dette arbeidet. Ekstern revisor kan være en annen bruker.

Revisjonsfaglige utfordringer

Ekstern revisor må nøye tenke gjennom hvordan man eventuelt kan vurdere internrevisjonen både som et risikoreduserende internkontrolltiltak ved fastsettelse av kontrollrisikoen og samtidig bruke internrevisjonens tester av kontroller for å redusere eget testomfang. Her kan det være fare for å dobbeltregne effekten av internrevisjon i revisjonsmodellen.

Et synspunkt er at selv om man vurderer internrevisjonen som et overvåkingsorgan med risikoreduserende effekt på de enkelte regnskapspåstander /-poster, burde det være mulig å samtidig bruke internrevisjonens tester av kontroller for å redusere eget testarbeid. En slik betraktning synes å ligge til grunn ved bruk av PCAOBs standard AS 5, pkt. 23-24 og 16-19, i tilknytning til testing av internkontroll i SOX-virksomheter.

I de tilfeller internrevisjonen utfører substanskontroller synes Kredittilsynet å legge til grunn at dette kan redusere kontrollrisikoen, men ikke oppdagelsesrisikoen. Dette ville tilsi at ekstern revisor først iht. RS 330 vil måtte teste internrevisjonens substanskontroller som et ledd i bekreftelse av kontrollrisikoen, for deretter å utføre samme type substanskontroller selv (dog i et mindre omfang) for å redusere oppdagelsesrisikoen. Da type substanskontroller normalt vil være likeartede, kan det reise seg spørsmål om det er nødvendig uavhengighet til stede til at vilkårene i den underliggende revisjonsmodell er oppfylt (Revisjonsrisiko = Iboende risiko x kontrollrisiko x oppdagelsesrisiko).

Revisorloven og uavhengighet

Revisorlovens § 4-1 stiller krav til ekstern revisors uavhengighet og angir en del konkrete inhabilitetsforhold, herunder ansettelses- eller underordningsforhold til den revisjonspliktiges virksomhet og dennes eiere, styrende organer, ledelse, mv. Revisorlovens § 4-3 har en bestemmelse om at «Det bare kan benyttes revisjonsmedarbeidere som oppfyller kravene i § 4-1.»

Kredittilsynets vurderinger og synspunkter

Kredittilsynet har på forunderlig vis i sitt brev i 2007 i oppsummeringens andre kulepunkt kommet med følgende påstand:

«Internrevisjonen blir i realiteten også en revisormedarbeider i strid med revisorlovens uavhengighetsregler dersom eksterne revisjonshandlinger utført av internrevisjonen erstatter revisors egne revisjonshandlinger.»

Her synes det å være direkte sammenheng til synspunkter i brevet fra 2002 hvor Kredittilsynet har gitt uttrykk for en generell holdning til finansiell revisjon utført av internrevisjon som jeg ikke finner akseptabel og som jeg har merket også ved senere anledninger. I 2002-brevet stå bl.a:

«Når konsernet velger å anvende ressurser fra internrevisjonen til finansiell revisjon, og når denne revisjonen er sammenfallende med den revisjon ekstern revisor har plikt til å utføre etter revisorloven, kan ordningen vanskelig forstås på annen måte enn at den er ment som en ordning der «Internrevisor bistår ekstern revisor med utførelse av eksterne revisjonshandlinger» (jf. RS 610 pkt. 1).»

For det første er henvisningen ovenfor i brevet «jf. RS610 pkt. 1» gitt i tilknytning til en forståelse i Kredittilsynet av RS 610 pkt. 1 som er feil. Ordlyden er som tidligere nevnt klargjort annerledes av IAASB, se tabellen i pkt. 3.3.

For det andre vil styrer, revisjonsutvalg og ledelse i flere konsern sette mulig risiko for, og eventuell konsekvens av, feil i regnskapsavleggelsen høyt på fokuslisten, spesielt etter innføringen av IFRS. Det vil derfor ikke være unaturlig om mandatet til en internrevisjonsavdeling reflekterer styrende organers behov for trygghet for en rettvisende regnskapsavleggelse. Når det nå også er kommet lovkrav om erklæringer fra styret og daglig leder knyttet til en rettvisende halvårsrapportering i børsnoterte selskaper, vil behovet for et dokumentert grunnlag for å avgi en slik bekreftelse kunne ytterligere understreke betydningen av intern finansiell revisjon i en aller annen form. Det kan være betimelig å minne om at Finansinspektionen i Sverige i 2007 kritiserte daglig leder og styret i Carnegie for med store konsekvenser bl.a. ikke å ha etablert tilstrekkelig intern kontroll over regnskapsavleggelsen. Banken (Carnegie) kunne ikke unngå ansvar for bristende intern kontroll selv om de eksterne revisorene hadde uttalt seg positivt.

DnB NOR er et finanskonsern med flere kompliserte konsernregnskap som skal rapporteres kvartalsvis. Når styret, revisjonsutvalg og konsernsjef har funnet grunn til å søke den ekstra trygghet som ligger i en kvartalsvis finansiell revisjon utført av internrevisjonen, burde det ikke være vanskelig å forstå de reelle hensyn som ligger bak en slik vurdering. Jeg oppfatter ikke Kredittilsynets betegnelse; «revisormedarbeider i strid med revisorlovens uavhengighetsregler» som en adekvat karakteristikk for slike tilfeller.

I Kredittilsynets brev i 2007 blir arbeidet i tillegg omtalt som (understreket her): « ... i de tilfeller internrevisjonen på eget initiativ utfører finansiell revisjon.» Kredittilsynets fremstilling kunne tyde på at intern finansiell revisjon betraktes som et tilfeldig påfunn av frivillig art, til tross for at internrevisjonens instruks og årsplaner er fastsatt av styret, iht. forskrift fastsatt av, - Kredittilsynet . Jeg vil påpeke at den finansielle revisjonen i konsernrevisjonen i DnB NOR har vært praktisert i en 30-årsperiode og det samtidig med til enhver tid gjeldende forskriftskrav om at ekstern revisors revisormedarbeidere skal oppfylle samme type uavhengighetskrav som i dag.

Jeg vil også på nytt vise til boken «Kontroll» av Knut Løken, revisorlovutvalgets leder, fra 1999. I boken skriver han eksplisitt at det ikke er gitt retningslinjer i revisorloven om arbeidsdelingen mellom intern og ekstern revisjon og at man bør finne frem til det mest effektive revisjonsopplegg i det enkelte tilfelle.

Ekstern juridisk vurdering

Nedenfor følger utdrag fra en ekstern juridisk vurdering av Kredittilsynets fortolkning av revisorlovens uavhengighetsregler. Vurderingen, datert 3. juli 2008, er gjort av dr. juris Kristin Normann i advokatfirmaet Selmer.

1 OPPDRAGET OG PROBLEMSTILLING

Vi er bedt om å vurdere om ekstern revisors bruk av internrevisjonens finansielle revisjon er i strid med lov om revisjon og revisorer 15. januar 1999 nr. 2 (revisorloven) krav til uavhengighet.

Bakgrunnen for oppdraget er at Kredittilsynet i merknader etter stedlig tilsyn hos PricewaterhouseCoopers AS (PwC) 17.12. 2007 blant annet har konkludert med at PwCs revisjonstilnærming ved revisjon av DnB NOR-konsernet strider mot revisorlovens krav til uavhengighet. Konklusjonen begrunnes med at internrevisor må betraktes som eksternrevisors «revisjonsmedarbeider» når revisor har bygget på internrevisjonens substanskontroll for å redusere oppdagelsesrisikoen. Konsekvensen av en slik lovfortolkning er at de generelle kravene til eksternrevisors uavhengighet og objektivitet kommer til anvendelse også på internrevisjonens medarbeidere, jf. § 4-3 jf. § 4-1. Ordningen vil dermed være i strid med revisorloven fordi internrevisjonsmedarbeidere både har et underordningsforhold til konsernledelsen og er økonomisk avhengige på grunn av sitt ansettelsesforhold.

Vi har i det følgende ikke foretatt noen vurdering av om PwCs revisjon av DnB NOR i 2005 var i strid med revisorloven og/eller krav til god revisjonsskikk. Vi har heller ikke foretatt en nærmere fortolkning av innholdet i RS 610 Vurdering av internrevisjonens arbeid.

I det følgende omtales selskapets valgte revisor enten som «revisor» eller som «eksternrevisor».

2 OPPSUMMERING OG KONKLUSJON

  • Revisorloven regulerer ikke revisors bruk av internrevisjonens arbeid. Lovens forarbeider gir heller ingen veiledning for den nærmere avgrensningen av ekstern revisors bruk av internrevisjonens arbeid.

  • Revisorlovens krav til selskapets valgte revisors uavhengighet har utviklet seg samtidig med at revisor i samsvar med kravene til god revisjonsskikk har brukt internrevisjonens arbeid. Revisorloven § 4-3 om revisjonsmedarbeideres uavhengighet er en videreføring av forskrift 19.09.1990 om revisjon og revisorer § 2-7 tredje ledd som igjen videreførte forskrift 28. desember 1976 om revisjon og revisorer. Uavhengighetsreglene var inntatt i revisorloven 14. mars 1964 § 5 og aksjeloven 4. juni 1976 nr. 59 § 10-4.

  • Internkontrollforskriften regulerer ikke forholdet mellom ekstern og internrevisor.

  • Revisjonsdirektivet 2006/43/EC 17. mai 2006 erstatter tidligere 8. selskapsdirektiv og regulerer på tilsvarende måte som revisorloven ikke revisors forhold til internrevisor. Direktivet bygger på EU-rekommandasjon 16. mai 2002 om revisors uavhengighet. Kredittilsynet legger til grunn i høringsbrev 1. juni 2007 Om gjennomføring av revisjonsdirektivet 2006/43/EC at revisorloven dekker direktivkravene. Rekommandasjonen omtaler den eksterne revisors deltakelse i klientens internrevisjon, men sondrer ikke mellom de tilfellene hvor internrevisjonen utfører operasjonell revisjon og de tilfellene hvor internrevisjonen utfører finansiell revisjon.

  • Det er dokumentert langvarig norsk og internasjonal praksis med å bruke internrevisjonens arbeid for å unngå dobbeltarbeid mellom ekstern og internrevisor.

  • Det er gjennomgående ingen diskusjon i artikler og bøker om hvor vidt bruk av internrevisjonens arbeid skaper et avhengighetsproblem med unntak av Gulden Revisjon, Teori og Metode 2007 som viser til at det sannsynligvis ikke er akseptabelt at revisor anvender internrevisjonens rapporter og annen dokumentasjon som bevis for riktigheten av regnskapsopplysninger, jf. revisorloven § 4-3 jf. § 4-1. Guldens konklusjon bygger på tilsvarende resonnement som Kredittilsynets merknader i brev 17.12. 2007 uten at dette er nærmere begrunnet. Gulden viser ikke til at han i Den eksterne revisor 2007 ga uttrykk for et annet syn, og heller ikke til annet kildemateriale eller reelle hensyn til støtte for hans endrede oppfatning.

Etter vår vurdering løser revisorloven § 4-3 jf. § 4-1 ikke spørsmålet om revisor kan bygge på internrevisjonens substanskontroll for å redusere oppdagelsesrisikoen. Vi kan derfor ikke se at Kredittilsynets fortolkning av revisorloven § 4-3 jf. § 4-1 slik den fremkommer i merknader etter stedlig tilsyn hos PwC 17.12. 2007, har støtte i det foreliggende rettskildematerialet. Vår konklusjon er at revisor kan bruke internrevisjonens arbeid så lenge dette gjøres på en måte som ikke er i strid med god revisjonsskikk, jf. revisorloven § 5-2.»

EU og IFAC

Jeg har gjennomgått både EU-rekommendasjonen om revisors uavhengighet og IFACs etiske regelverk. I begge dokumenter er det diskutert uavhengighetsproblematikk knyttet til underordningsforhold /«employment» og uavhengighetsproblemer knyttet til ekstern revisors levering av internrevisjonstjenester til klienten.

Det er imidlertid ikke problematisert rundt oppkonstruerte eksterne revisormedarbeiderforhold slik Kredittilsynet har gjort og fokusert som noe problem at ekstern revisor følger ISA 610 og gjør bruk av internrevisjonens arbeid. Det ville for øvrig være overraskende om IFACs organer som både utarbeider etiske regler / uavhengighetsregler og revisjonsstandarder (gjennom IAASB) skulle fastsette en revisjonsstandard (ISA 610) som ikke lot seg gjennomføre på grunn av uavhengighetsreglene.

ISA/RS 610 angir i klartekst at internrevisor ikke har samme uavhengighet som ekstern revisor, men at ekstern revisor likevel kan bruke internrevisjonens arbeid når vilkårene i standarden oppfylles.

Ekstern juridisk vurdering

Jeg har bedt advokat, dr.juris, Kristin Normann i advokatfirmaet Selmer om en vurdering av Kredittilsynets fortolkning av revisorlovens uavhengighetsregler. Hun har gitt meg tillatelse til å gjengi oppsummeringen fra hennes vurderinger i notat av 3. juli 2008. Se egen ramme.

Kristin Normann har i vurderingen bl.a. referert til Guldens synspunkter om et «sannsynlig» uavhengighetsproblem. I boken er dette omtalt i tilknytning til å bygge på substanskontroller for å redusere oppdagelsesrisikoen. Gulden har endret oppfatning ift. tidligere utgave og motsatt av en annen bok trykket samme år.

Ekstern revisor kan imidlertid etter Kredittilsynets uttalelser ikke bruke noen deler av internrevisjonens arbeid, heller ikke tester av internkontroll, for å redusere eget tilsvarende arbeid. Det mener også jeg må være konsekvensen, gitt det feilaktige utgangspunktet. Revisjonsbevis er iht. RS 500 en kumulativ størrelse som resultat av gjennomføring av flere ulike typer revisjonshandlinger. Internrevisjonen kan vel neppe anses å være habil, i revisorlovens forstand ved noen revisjonshandlinger (tester av kontroller) og inhabil ved andre (substanskontroller) så lenge det er summen av tilstrekkelige og hensiktsmessige bevis som skal danne grunnlag for konklusjonen i revisjonsberetningen, jf. RS 500, pkt. 2.

Kristin Normanns konklusjon er rimelig klar:

«Vi kan derfor ikke se at Kredittilsynets fortolkning av revisorloven § 4-3 jf. § 4-1 slik den fremkommer i merknader etter stedlig tilsyn hos PwC 17.12. 2007, har støtte i det foreliggende rettskildematerialet. Vår konklusjon er at revisor kan bruke internrevisjonens arbeid så lenge dette gjøres på en måte som ikke er i strid med god revisjonsskikk, jf. revisorloven § 5-2»

Kredittilsynet som standardsetter/-fortolker

Jeg er usikker på hvor klokt det er av Kredittilsynet å gi bastant uttrykk for mange klare oppfatninger om ulike revisjonsmessige forhold som egentlig skal finne sin løsning i god revisjonsskikk og hvor standardene kontinuerlig vil være i klargjørings- og fornyelsesprosser. Jeg viser til forordet# Forord til standarder for kvalitetskontroll, revisjon, begrenset revisjon, attestasjonsoppdrag og beslektede tjenester, opprinnelig vedtatt av styret i NSRF med virkning fra 1. januar 1998, senere justert med virkning fra 1. januar 2006). til revisjonsstandardene, pkt. 11:

«Den rettslige standard «god revisjonsskikk» forutsettes å ha et dynamisk innhold. Revisorene har fått en direkte oppfordring til å lede den faglige utvikling i en retning som er hensiktsmessig for samfunnet. Revisjonsstandardene tar sikte på å konkretisere innholdet i den rettslige standarden.»

Jeg kan ikke se av forarbeidene til revisorloven at Kredittilsynet er tiltenkt noen aktiv rolle i utvikling av revisjonsstandardene. I NOU 1997:9, kap 10.6, fremgår det at lovutvalget ikke finner grunn til å fravike eksisterende prinsipper for standardutvikling og at myndighetene ikke har noen sentral rolle.

I den oppdaterte ISA 200 - Overall objectives of the independent auditor and the conduct of an audit in accordance with International Standards on Auditing, heter det:

«Professional Judgment (Ref: Para. 16)

A23. Professional judgment is essential to the proper conduct of an audit. This is because interpretation of relevant ethical requirements and the ISAs and the informed decisions required throughout the audit cannot be made without the application of relevant knowledge and experience to the facts and circumstances.»

Standardene for god revisjonsskikk forutsetter at ekstern revisor utøver profesjonelt skjønn, og det skjønnet bør ikke erstattes av faglige (situasjonsbestemte) påstander fremsatt av Kredittilsynet.

Nedenfor gjengis eksempler på utsagn i Kredittilsynets offentliggjorte brev som det kan stilles spørsmål ved, og hvor det er vanskelig å finne åpenbart faglig grunnlag for uttalelsene. Av plasshensyn har jeg måttet utelate vurderingen av hvert utsagn.

«Bare dokumentasjon av revisors egne revisjonshandlinger kan anses som arbeidspapirer i revisorlovens forstand. Internrevisjonens arbeidspapirer vil følgelig ikke kunne være en del av den dokumentasjon som skal sikre at revisors konklusjoner er tilstrekkelig underbygget og etterprøvbare»

«I de tilfeller revisor benytter arbeid utført av andre, herunder internrevisjonen, må revisors konklusjoner i revisjonsberetningen hovedsakelig være basert på resultatet av egne revisjonshandlinger»

«...revisor gjennom utførelse av egne selvstendige risikovurderingshandlinger dokumenterer tilstrekkelig førstehåndskjennskap til virksomhetens prosesser og kontroller»

Ovennevnte eksempler på uttalelser fra Kredittilsynet burde ikke vært offentliggjort. Uttalelsene skaper etter min mening kun usikkerhet innenfor et område hvor det er forutsatt kontinuerlig utvikling og der revisors eget skjønn skal være «essential» ved vurderingene.

Faglig oppsummering og synspunkter på prosessen

Jeg har forståelse for Kredittilsynets utgangspunkt. Det er foretatt et tilsyn hvor det kan være utfordringer knyttet til det å etterprøve hvordan ekstern revisors dokumentasjon iht. revisorlovens § 5-3 underbygger konklusjonen i revisjonsberetningen når store deler av arbeidet er gjennomført av en internrevisjon. I tillegg er det lite veiledninger i RS 610 og RS 230 (dokumentasjon) for hvordan man skal dokumentere bruk av andres arbeid. Her synes Kredittilsynet å ha identifisert reelle utfordringer som det bør arbeides videre med.

Det forundrer meg likevel at Kredittilsynet har valgt å bruke ressurser rettet mot den prinsipielle bruken av internrevisjonens arbeid istedenfor hvordan ekstern revisors dokumentasjon kan tilrettelegges for å bedre grunnlaget for et tilsyn.

Kredittilsynet har i brev av 27.1.2003 til Ernst & Young, som svar på et brev med beskrivelse av revisjonsordningen i DnB, uttalt: « ... det ble gitt uttrykk for at de beskrevne overordnede prinsipper som ligger til grunn for ordningen, ikke syntes å være i strid med revisorloven eller god revisjonsskikk.» Kredittilsynet tar likevel forbehold om at «den årlige praktiseringen av modellen vil være avgjørende for om revisors bruk av internrevisjonens arbeid ligger innenfor de rammer revisorloven og god revisjonsskikk setter.»

Når det gjelder den finansielle revisjonen, uttaler Kredittilsynet i samme brev: «Vi vil likevel bemerke at De opplyser at internrevisjonen utfører ca. to tredeler av den substansielle (finansielle/lovpålagte) revisjonen i konsernet. Det stiller generelt store krav til eksternrevisors evaluering/testing av internrevisjonens arbeid.»

Selv om Kredittilsynet i ovennevnte brev tar et naturlig forbehold om gjennomføringen av revisjonsarbeidet, er det ikke reist prinsipielle innvendinger til ordningen (slik den var og hadde vært praktisert i ca. 30 år). Revisjonskomiteen i DnB tok i 2003 dette til etterretning.

Det fremgår av Kristin Normanns vurdering gjengitt tidligere i artikkelen at hun har konkludert med at Kredittilsynets fortolkning av revisorloven, når det gjelder å betrakte internrevisjonen som en inhabil revisormedarbeider, ikke har støtte i det foreliggende rettskildematerialet. Hennes konklusjon er at revisor kan bruke internrevisjonens arbeid så lenge dette gjøres på en måte som ikke er i strid med god revisjonsskikk, jf. revisorloven § 5-2.

Jeg mener å ha dokumentert gjennom artikkelen at ekstern revisor iht. god revisjonskikk og RS 610 kan bruke intern revisjonens arbeid for å endre og redusere omfanget av revisjonshandlinger som han/hun ellers måtte ha utført. Bruken inkluderer også internrevisjonens substanskontroller for å redusere oppdagelsesrisikoen. Jeg bygger på følgende oppsummering:

  • Langvarig norsk og internasjonal praktisering iht. god revisjonsskikk

  • Knut Løkens bok og pensumboken ved NHHs høyere revisorstudium

  • Revisorforeningens kvalitetskontroll som ikke hadde innvendinger til den måten RS 610 ble praktisert på

  • Direkte uttalelse fra den faglige ledelsen i IAASB som bekrefter forståelsen jeg har gitt uttrykk for

  • IAASBs arbeid med klargjøringen av ISA 610, herunder høringskommentarer og utkastet til oppdatert standard, som en endelig bekreftelse

Det er overraskende at Kredittilsynet til tross for ovenstående har klart å komme til den konklusjon at ekstern revisor kun kan forholde seg til internrevisjonen på samme måte som til andre deler av den interne kontrollen i foretaket.

Jeg har fått tilbakemeldinger i løpet av prosessen om at representanter fra Kredittilsynet har gitt uttrykk for at det ville være bedre om internrevisjonen benyttet sine ressurser på andre områder enn finansiell revisjon. Slike synspunkter uttrykker en holdning til risikoen ved finansiell rapportering som er vanskelig å forstå, jf. også Carnegie-saken i Sverige omtalt tidligere.

I sum fremstår det som om Kredittilsynet ikke har tilstrekkelig forståelse for finansiell revisjon utført av internrevisjon, et tett samarbeid mellom ekstern og internrevisjon og at ekstern revisor bruker internrevisjonens arbeid i henhold til etablert god revisjonsskikk. Reelle hensyn taler, etter min mening, imidlertid for en slik modell som har vært praktisert når forutsetningene ligger til rette for det.

Kredittilsynet har i denne saken på vanlig måte sendt revisjonsselskapet foreløpige merknader etter tilsyn. Revisjonsselskapet har på sin side både hatt møter med Kredittilsynet og gitt et utførlig svar. Kredittilsynet har valgt å ikke ha møter med den revisjonspliktige eller dennes internrevisjon før endelige konklusjoner ble trukket, selv om den revisjonspliktige har et revisjonsutvalg som har i oppgave bl.a. å følge opp revisjonsselskapets uavhengighet.

Det skriftlige svaret fra revisjonsselskapet inneholdt, i hovedsak, samme type faglige vurderinger og påpekninger som fremkommer i denne artikkelen, bortsett fra den juridiske vurderingen som ikke forelå på det tidspunktet.

Jeg oppfattet prosessen videre som underlig. Kredittilsynet ga ikke kommentarer eller tilbakemeldinger til de fyldige revisjonsfaglige vurderinger som ble dokumentert i svaret, men man fikk muntlig beskjed om at saken skulle behandles i styret. Det ble etterspurt å få se hvilket saksunderlag som styret ville bli forelagt, noe som ble avvist fra Kredittilsynets side.

Etter styremøtet ble man meddelt at styret i Kredittilsynet støttet administrasjonens synspunkter og konklusjoner. I tillegg fikk revisjonsselskapet valget mellom å bekrefte at man ville endre på revisjonspraksis i samsvar med Kredittilsynets vurderinger eller bli utsatt for offentlig kritikk/pålegg. Kredittilsynet har i sitt offentlige brev skrevet at: «PwC har i brev av 13. desember 2007 bekreftet at revisjonstilnærmingen vil bli endret, ...», men unnlatt å opplyse at det i samme brev fra PwC ble presisert at endringen ville skje til tross for faglig uenighet med Kredittilsynet.

Det vil være opplysende for interesserte utenforstående, også revisjonsklienten, å få åpent innsyn i de vurderinger som ledet til en oppsiktsvekkende konklusjon i Kredittilsynets styre som går på tvers av etablert god revisjonsskikk gjennom ca. 30 år og som er i strid med de vurderinger IAASB (som utgir standarder for god revisjonsskikk) selv har foretatt og nå presisert i en oppdatert standard som kun venter på formell godkjennelse. I tillegg har man fortolket revisorloven på en måte som dr. juris Kristin Normann ikke finner støtte for i det foreliggende rettskildematerialet. Det er videre gitt flere uttalelser om forståelsen av god revisjonsskikk som er egnet til å skape usikkerhet og som det er vanskelig å finne faglig grunnlag for.

Administrasjonen har selvfølgelig nedlagt et grundig kvalitetssikringsarbeid før man har involvert styret og da bør grunnlaget for de generelle faglige konklusjonene også kunne bli tilgjengelig for offentligheten - etter å ha tatt bort eventuell konfidensiell selskapsspesifikk informasjon.

Jeg synes avslutningen på tilsynsprosessen i denne saken har vært betenkelig. Det kan fremstå som om Kredittilsynet har presset gjennom en forståelse av revisorloven og en praktisering av god revisjonsskikk som det ikke er grunnlag for.

Etter min oppfatning er verken de faglige vurderingene eller prosessen tillitsvekkende, og Finansdepartementet bør vurdere å etablere et ekspertorgan for revisjonsspørsmål på samme måte som i regnskapsspørsmål. Kredittilsynet bør også vurdere tiltak for å sikre tillit og faglig respekt for vurderingene som skal foretas på revisjonsområdet.

Mål og servicekrav

Kredittilsynet ønsker å være en åpen og forutsigbar organisasjon med høy servicegrad.

God service innebærer at henvendelser og andre saker skal behandles så raskt som mulig, at kvaliteten på arbeidet er god, og at behandlingen av brukerne er korrekt og respektfull, også når myndighetsutøvelsen tilsier reaksjoner som kan oppleves som negative, eller har negative konsekvenser for den det gjelder.

Kredittilsynets mål, metoder og praksis skal være kjent, og resultater skal rapporteres og offentliggjøres. Det skal gis nødvendig innsyn i virksomheten, og Kredittilsynet skal alltid kunne redegjøre for og kommentere virksomhetsutøvelsen. (Kilde: www.kredittilsynet.no/om oss)