logo

ISA 265 Kommunikasjon av internkontrollmangler

ISA 265 er en ryddig kokebok for kommunikasjon av mangler i internkontroll. Først vurderer revisor manglenes betydning, deretter beskriver standarden hva som skal kommuniseres til hvem, når og på hvilken måte.

ISA 265 gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere. Kommunikasjon av internkontrollmangler som avdekkes i 2010-revisjonen, skal således kommuniseres i henhold til standardens krav.

Ifølge standarden er «revisors mål å sikre hensiktsmessig kommunikasjon til dem som har overordnet ansvar for styring og kontroll samt ledelsen av mangler i intern kontroll som revisor har identifisert under revisjonen og som, etter revisors profesjonelle skjønn, er av en slik betydning at de fortjener deres oppmerksomhet.»

Revisor avdekker mangler i internkontroll blant annet gjennom vurdering av virksomhetens kontrollutforming (ISA 315) og/eller gjennom testing av kontrollgjennomføringen (ISA 330). Basert på dette arbeidet sitter revisor igjen med en liste med mangler i internkontroll.

ISA 265 omhandler hva som er en (vesentlig) mangel, hvilke mangler som skal kommuniseres, til hvem, når og hvordan. Nedenfor gjennomgås standarden steg for steg.

Hva som er en (vesentlig) mangel i internkontroll

Standarden definerer en mangel i internkontroll som (1) en kontroll som er utformet, implementert eller gjennomført på en slik måte at den ikke er i stand til å forhindre, eller avdekke og korrigere, feilinformasjon i regnskapet i rett tid, eller (2) en kontroll som er nødvendig for å forhindre, eller avdekke og korrigere, feilinformasjon i regnskapet i rett tid, mangler. Definisjonen inneholder ingen substansielle endringer fra nåværende praksis: Hvis en kontroll mangler, er feil utformet, eller er feil gjennomført, så er det en mangel.

Mangler kan enten være vesentlige eller ikke. Revisor skal bruke profesjonelt skjønn til å vurdere hva som er en vesentlig mangel. Vurderingen har betydning for påfølgende krav til kommunikasjon, da det kreves at vesentlige mangler kommuniseres skriftlig til dem som har et overordnet ansvar for styring og kontroll (heretter styret).

En vesentlig mangel i internkontroll defineres som «en mangel eller kombinasjon av mangler i intern kontroll som, etter revisors profesjonelle skjønn, er tilstrekkelig viktig til at den fortjener oppmerksomhet fra dem som har overordnet ansvar for styring og kontroll.»

Jeg synes dette er en utmerket definisjon. Revisor kan i praksis vurdere betydningen av mangler gjennom en omvendt konsekvenslogikk: Hvis revisor mener at en mangel må kommuniseres til styret, så er det pr. definisjon en vesentlig mangel. Dette er mye enklere enn å vurdere vesentlighet ut fra en rekke innviklede kriterier, og det fremhever betydningen av revisors profesjonelle skjønn i motsetning til mer mekaniske metoder. Standarden inneholder utfyllende veiledning til hva som typisk er vesentlige mangler, og hva revisor typisk bør vurdere. Et av de viktigste kriteriene er selvfølgelig potensiell effekt på regnskapet.

Husk at mangler i internkontroll kan forekomme selv om revisor ikke har identifisert feilinformasjon under revisjonen. Det sentrale er den potensielle risikoen for feil som mangelen medfører. Man kan også spørre seg om regnskapsfeil kan forekomme selv om det ikke er mangler i internkontrollen. Eksempelvis kan et optimalt kontrollnivå være å forhindre 95 % av feilene. Dersom kontrollen fungerer som forutsatt, må man forvente noen feil uten at kontrollen dermed er mangelfull. Revisjon er i seg selv en slik type kontroll.

Husk også at det i mindre virksomheter sjeldent er behov for omfattende formalisering, da ledelsen selv utfører en rekke kontrollaktiviteter og har dyp, direkte innsikt i virksomheten. Selv om formalisering gjør revisjonen lettere, så er ikke det i seg selv et tilstrekkelig argument for at virksomheten bør øke formaliseringsgraden. Manglende formalisering er muligens dermed ikke en mangel, eventuelt ikke en vesentlig mangel? Tilsvarende problemstillinger kan også oppstå rundt arbeidsdeling. Jeg viser til Finanstilsynets veiledning til Forskrift for Risikostyring og Internkontroll for interessante tanker rundt hva som er god kontroll i mindre virksomheter.

Hva som skal kommuniseres til hvem, når og hvordan

Kommunikasjon til styret

Vesentlige mangler skal kommuniseres skriftlig og rettidig til styret. Det kreves at kommunikasjonen inneholder en beskrivelse av manglene og deres mulige effekt, samt tilstrekkelig informasjon til at man kan forstå bakgrunnen for revisors kommunikasjon - typisk hva som er revisors rolle, at man ikke går god for at man har funnet alle potensielle mangler, og at revisors plikt er begrenset til å kommunisere vesentlige mangler.

Uavhengig av tidspunktet for den skriftlige kommunikasjonen kan revisor muntlig orientere styret og ledelsen om vesentlige mangler, slik at de raskt får iverksatt tiltak. Dette fritar imidlertid ikke revisor fra kravene til skriftlig kommunikasjon som beskrevet over.

Øvrige mangler kan selvfølgelig også kommuniseres til styret selv om det ikke er krav om det. Eksempelvis kan revisor ønske å gjøre dette for å synliggjøre revisjonsinnsats og dyktighet. Standarden stiller ingen krav til hvordan slik kommunikasjon skal foregå, men det vil etter min mening være viktig å skille tydelig mellom hva som er vesentlige mangler og hva som er øvrige mangler. Jeg vil også anbefale en viss varsomhet, slik at et stort antall øvrige mangler ikke tar oppmerksomheten bort fra de vesentlige manglene.

Kommunikasjon til ledelsen

Revisor skal rettidig kommunisere mangler til ledelsen på hensiktsmessig nivå. Generelt skal manglene kommuniseres til det nivået i ledelsen som har ansvaret for og myndighet til å vurdere manglene og til å iverksette nødvendige utbedrende tiltak. Vesentlige mangler kommuniseres skriftlig, og typisk til daglig leder og øverste økonomileder. Øvrige mangler kommuniseres til operasjonelle ledere som er direkte involvert i de berørte kontrollområdene, men kun dersom manglene er ukjente for ledelsen og tilstrekkelig viktige til å fortjene deres oppmerksomhet. Merk også at kommunikasjon av vesentlige mangler til ledelsen kan droppes dersom det ikke er hensiktsmessig, for eksempel dersom de selv er en del av mangelen. Jeg antar at revisor bør dokumentere hvorfor vesentlige mangler eventuelt ikke kommuniseres til ledelsen.

Oversikt over kommunikasjonskrav

Type mangel:

Kommuniseres til:

Når og hvordan

Vesentlig mangel

StyretDaglig Leder / økonomileder

Rettidig og skriftligEventuelt også muntligStandarden setter krav til innhold i kommunikasjonen

Øvrige mangler

Rett ledelsesnivå(De som har ansvaret for mangelen og har myndighet til å rette den opp)

RettidigValgfri kommunikasjonsformKommuniseres kun dersom manglene ikke er kjent fra før og de er viktige nok til å fortjene ledelsens oppmerksomhet.

Avsluttende kommentarer

Standarden er velstrukturert, lettlest og gir en god oversikt over kravene. Jeg har oppsummert hovedinnholdet i standarden og knyttet noen refleksjoner til innholdet. Avslutningsvis vil jeg komme med noen tilleggskommentarer.

I ISA-verdenen er det ikke krav til å kommunisere internkontrollmangler i revisjonsberetningen. I noen land er det derimot det, slik som under SOX-regimet i USA. Man kan derfor ha tre nivåer for hvem det skal kommuniseres til: (1) eksternt gjennom beretningen (material weakness), (2) til styret (significant deficiency), og (3) til ledelsen (deficiencies). I forarbeidene til ISA/RS 265 drøftes problemstillingen, og man kommer frem til at «material weakness» ikke eksisterer i ISA-verdenen da det ikke er krav om kommunikasjon av mangler i beretningen. I ISA-verdenen eksisterer derfor kun «significant deficiencies» og «deficiencies». På norsk er dette oversatt til henholdsvis vesentlige mangler og mangler. Jeg blir irritert over at «significant» oversettes til «vesentlig» på norsk. Det kan skape kommunikasjonsforvirring på internasjonale oppdrag, og det henger ikke på greip med oversettelsen av «material» i andre sammenhenger. Dette vil nok ordne seg i praksis, men det er greit å være klar over hvordan begrepene er oversatt, slik at man ikke feilrapporterer vesentlige mangler som «material weaknesses» når man eksempelvis rapporter til amerikansk konsernrevisor.

Kommunikasjonskravene i ISA 265 står på egne ben. Imidlertid er det fornuftig å se kravene i sammenheng med øvrige liknende krav, slik som revisorlovens krav til nummererte brev, revisorlovens krav til kommunikasjon med revisjonsutvalget, og NUES-standardens krav til kommunikasjon med revisjonsutvalget. Jeg går ikke inn på hvordan dette praktisk kan legges opp, men nøyer meg med å påpeke behovet for samordning av kommunikasjonen - særlig i konsern med flere styrer.

Til slutt: Jeg tror at fremtidig utvikling vil gå i retning av tydeligere definert «god-praksis»/«minimums-praksis» for internkontroll, og at revisor kommer til å vurdere internkontroll opp mot dette fremfor å resonnere rundt potensielle regnskapseffekter. I dag foreligger slike «praksis-rammeverk» gjennom eksempelvis COSO-anbefalingene, diverse governance-anbefalinger og faglitteratur. Imidlertid tror jeg det er behov for ytterligere utvikling av internkontrollfaget, noe jeg allerede merker interesse for blant revisjonsklienter, akademikere, studenter og kollegaer.