International Auditing and Assurance Standards Board ISA 240 Internasjonal revisjonsstandard

Transkript

1 International Auditing and Assurance Standards Board ISA 240 Internasjonal revisjonsstandard ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper 2009

2 2 ISA 240 International Auditing and Assurance Standards Board International Federation of Accountants 545 Fifth Avenue, 14th Floor New York, New York USA This International Standard on Auditing (ISA) 240, «The Auditor s Responsibilities Relating to Fraud in an Audit of Financial Statements» was prepared by the International Auditing and Assurance Standards Board (IAASB), an independent standard-setting body within the International Federation of Accountants (IFAC). The objective of the IAASB is to serve the public interest by setting high quality auditing and assurance standards and by facilitating the convergence of international and national standards, thereby enhancing the quality and uniformity of practice throughout the world and strengthening public confidence in the global auditing and assurance profession. The original English version of this publication may be downloaded free of charge from the IFAC website: The approved text is published in the English language. The mission of IFAC is to serve the public interest, strengthen the worldwide accountancy profession and contribute to the development of strong international economies by establishing and promoting adherence to high quality professional standards, furthering the international convergence of such standards and speaking out on public interest issues where the profession s expertise is most relevant. Copyright April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Permission is granted to make copies of this work provided that such copies are for use in academic classrooms or for personal use and are not sold or disseminated and provided that each copy bears the following credit line: «Copyright April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Used with permission of IFAC. Contact permissions@ifac.org for permission to reproduce, store or transmit this document.» Otherwise, written permission from IFAC is required to reproduce, store or transmit, or to make other similar uses of, this document, except as permitted by law. Contact permissions@ifac.org. ISBN: *** Internasjonal revisjonsstandard 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper er opprinnelig utgitt på engelsk av the International Auditing and Assurance Standards Board i the International Federation of Accountants (IFAC) i April 2009, og oversatt til norsk og utgitt av Den norske Revisorforening i April 2010, med tillatelse fra IFAC. IFAC har vurdert oversettelsesprosedyren, og oversettelsen er gjort i samsvar med Policy Statement Policy for Translating and Reproducing Standards Issued by IFAC. Den godkjente teksten til de internasjonale standardene for revisjon og kvalitetskontroll er den som er utgitt på engelsk av IFAC. Engelsk utgave av internasjonal revisjonsstandard 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper 2009 the International Federation of Accountants (IFAC). Norsk utgave av internasjonal revisjonsstandard 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper 2010 the International Federation of Accountants (IFAC). Originalens tittel: International Standard on Auditing (ISA) 240, «The Auditor s Responsibilities Relating to Fraud in an Audit of Financial Statements».

3 3 ISA 240 INTERNASJONAL REVISJONSSTANDARD 240 REVISORS OPPGAVER MED OG PLIKTER TIL Å VURDERE MISLIGHETER VED REVISJON AV REGNSKAPER (Gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere.) INNHOLD Punkt Innledning Denne ISA-ens virkeområde... 1 Karakteristiske trekk ved misligheter Ansvar for å forebygge og avdekke misligheter Ikrafttredelsesdato... 9 Mål Definisjoner Krav Profesjonell skepsis Diskusjon i revisjonsteamet Risikovurderingshandlinger og beslektede aktiviteter Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter Vurdering av revisjonsbevis Revisor ikke i stand til å fortsette oppdraget Uttalelser fra ledelsen Kommunikasjon med ledelsen og dem som har overordnet ansvar for styring og kontroll Kommunikasjon til regulerings-, kontroll- og påtalemyndigheter Dokumentasjon Veiledning og utfyllende forklaringer Karakteristiske trekk ved misligheter... A1 A6 Profesjonell skepsis... A7 A9 Diskusjon i revisjonsteamet... A10 A11 Risikovurderingshandlinger og beslektede aktiviteter... A12 A27 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter... A28 A32

4 4 ISA 240 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter... A33 A48 Vurdering av revisjonsbevis... A49 A53 Revisor ikke i stand til å fullføre oppdraget... A54 A57 Uttalelser fra ledelsen... A58 A59 Kommunikasjon med ledelsen og dem som har overordnet ansvar for styring og kontroll... A60 A64 Kommunikasjon til regulerings-, kontroll- og påtalemyndigheter... A65 A67 Vedlegg 1: Eksempler på mislighetsrisikofaktorer Vedlegg 2: Eksempler på mulige revisjonshandlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter Vedlegg 3: Eksempler på omstendigheter som kan tyde på misligheter Internasjonal revisjonsstandard (ISA) 240 «Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper» må leses i sammenheng med ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene».

5 5 ISA 240 Innledning Denne ISA-ens virkeområde 1. Denne internasjonale revisjonsstandarden (ISA-en) omhandler revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av et regnskap. Den utdyper særlig hvordan ISA og ISA skal anvendes i forhold til risikoer for vesentlig feilinformasjon som skyldes misligheter. Karakteristiske trekk ved misligheter 2. Feilinformasjon i et regnskap kan oppstå som følge av misligheter eller feil. Det som skiller misligheter fra feil, er hvorvidt den underliggende handlingen som fører til feilinformasjonen i regnskapet, er tilsiktet eller utilsiktet. 3. Misligheter er et omfattende juridisk begrep, men for denne ISA-ens formål er revisors oppmerksomhet rettet mot misligheter som forårsaker vesentlig feilinformasjon i regnskapet. To typer tilsiktet feilinformasjon er relevante for revisor: feilinformasjon som resultat av uredelig regnskapsrapportering og feilinformasjon som resultat av underslag av eiendeler. Selv om revisor kan ha mistanke om eller, i sjeldne tilfeller, kan konstatere at det foreligger misligheter, tar ikke revisor standpunkt til hvorvidt det juridisk sett faktisk har forekommet misligheter. (Jf. punkt A1 A6) Ansvar for å forebygge og avdekke misligheter 4. Hovedansvaret for å forebygge og avdekke misligheter ligger både hos dem som har overordnet ansvar for styring og kontroll i enheten, og hos ledelsen. Det er viktig at ledelsen, under tilsyn av dem som har overordnet ansvar for styring og kontroll, legger stor vekt på å forebygge misligheter, noe som kan bidra til at mulighetene for misligheter reduseres, og å avskrekke enkeltpersoner fra å begå misligheter gjennom å overbevise dem om sannsynligheten for at de vil bli oppdaget og straffet. Dette innebærer en forpliktelse til å skape en bedriftskultur som preges av ærlighet og etisk atferd, som kan styrkes av at de som har overordnet ansvar for styring og kontroll, fører et aktivt tilsyn. Tilsynsoppgavene til dem som har overordnet ansvar for styring og kontroll, omfatter det å ta hensyn til muligheten for at ledelsen overstyrer kontroller eller på annen måte utøver utilbørlig innflytelse på den økonomiske rapporteringsprosessen, for eksempel ledelsens eventuelle forsøk på å styre resultatet for å påvirke analytikeres oppfatning av enhetens prestasjon og lønnsomhet. Revisors oppgaver og plikter 5. En revisor som gjennomfører en revisjon i samsvar med ISA-ene, er ansvarlig for å skaffe seg betryggende sikkerhet for at regnskapet sett under ett ikke inneholder vesentlig feilinformasjon, verken som følge av misligheter eller feil. På grunn av revisjonens iboende begrensninger er det en 1 ISA 315 (revidert) «Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser». 2 ISA 330 «Revisjonshandlinger for å håndtere anslått risiko».

6 6 ISA 240 uunngåelig risiko for at det kan forekomme at noe vesentlig feilinformasjon i regnskapet ikke blir oppdaget, selv om revisjonen er hensiktsmessig planlagt og gjennomført i samsvar med ISA-ene Som beskrevet i ISA 200, 4 er de potensielle virkningene av iboende begrensninger særlig betydelige i tilfelle feilinformasjon som følge av misligheter. Risikoen for at vesentlig feilinformasjon som skyldes misligheter, ikke avdekkes, er høyere enn risikoen for at vesentlig feilinformasjon som skyldes feil, ikke avdekkes, siden misligheter kan innebære avanserte og nøye planlagte opplegg for å skjule dem, for eksempel forfalskning, bevisst unnlatelse av å registrere transaksjoner eller bevisst feil fremstilling overfor revisor. Slike forsøk på å skjule misligheter kan være enda vanskeligere å avdekke når de er kombinert med fordekt samarbeid. Fordekt samarbeid kan føre til at revisor tror at revisjonsbevis er troverdig når det i virkeligheten er falskt. Revisors evne til å avdekke misligheter avhenger blant annet av faktorer som gjerningsmannens dyktighet, hyppigheten og omfanget av manipulasjonen, i hvilken grad det foreligger fordekt samarbeid, den forholdsmessige størrelsen av enkeltbeløpene som er manipulert, og på hvor høyt nivå i organisasjonen de involverte befinner seg. Selv om revisor kan være i stand til å identifisere muligheter for at misligheter kan begås, er det vanskelig for revisor å fastslå hvorvidt feilinformasjon på områder der det anvendes skjønn, som for eksempel regnskapsestimater, skyldes misligheter eller feil. 7. Videre er risikoen for at revisor ikke avdekker vesentlig feilinformasjon som skyldes ledelsesmisligheter større enn for ansattes misligheter, siden ledelsen ofte på grunn av sin posisjon er i stand til direkte eller indirekte å manipulere registreringer, presentere uriktig finansiell informasjon eller overstyre kontrollrutiner som er utformet for å forhindre at andre ansatte begår liknende misligheter. 8. For å oppnå betryggende sikkerhet plikter revisor å opprettholde profesjonell skepsis gjennom hele revisjonen, vurdere muligheten for at ledelsen overstyrer kontroller og forstå at revisjonshandlinger som effektivt avdekker feil ikke nødvendigvis er hensiktsmessige når det gjelder å avdekke misligheter. Kravene i denne ISA-en er utarbeidet for å hjelpe revisor med å identifisere og vurdere risikoene for vesentlig feilinformasjon som skyldes misligheter, og med å utforme revisjonshandlinger for å avdekke slik feilinformasjon. 8a. Det kan følge ytterligere ansvar for revisor i henhold til lov, forsrkift eller relevante etiske krav om et foretaks brudd på lover og forskrifter, herunder misligheter, som kan gå ut over denne og andre ISAèr. For eksempel: (Jf. punkt A5a) (a) Reagere på identifisert eller mistanke om brudd på lover og forskrifter. Inkludert også krav til særskilt kommunikasjon med ledelsen og de som har overordnet ansvar for styring og kontroll, herunder vurdere hensiktsmessigheten av deres svar på manglende overholdelse og avgjøre om ytterligere tiltak er nødvendig. (b) Kommunisere identifisert eller mistanke om brudd på lover og forskrifter til andre revisorer (for eksempel i forbindelse med revisjon av konsernregnskap); og (c) Dokumentasjonskrav vedrørende identifisert eller mistanke om brudd på lover og forskrifter. Å overholde eventuelle tilleggsansvar kan gi revisor ytterligere opplysninger som er relevante for dennes arbeid i samsvar med denne og andre ISAèr (for eksempel om ledelsens integritet, eller når det er hensiktsmessig, de som har overordnet ansvar for styring og kontroll). 3 ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene» punkt A51. 4 ISA 200 punkt A51.

7 7 ISA 240 Ikrafttredelsesdato 9. Denne ISA-en gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere. Mål 10. Revisor har som mål å: (a) (b) (c) Definisjoner identifisere og vurdere risikoene for vesentlig feilinformasjon i regnskapet som skyldes misligheter, innhente tilstrekkelig og hensiktsmessig revisjonsbevis vedrørende de anslåtte risikoene for vesentlig feilinformasjon som skyldes misligheter, gjennom utforming og iverksettelse av egnede handlinger, og håndtere misligheter eller mistenkte misligheter identifisert gjennom revisjonen, på en hensiktsmessig måte. 11. For ISA-enes formål har følgende begreper den betydning som er beskrevet nedenfor: Krav (a) (b) Profesjonell skepsis Misligheter En bevisst handling begått av en eller flere personer innen ledelsen, av personer som har overordnet ansvar for styring og kontroll, av ansatte eller av andre, som innebærer uredelighet for å oppnå en urettmessig eller ulovlig fordel. Mislighetsrisikofaktorer Hendelser eller forhold som indikerer incentiver eller press til å begå misligheter eller som gir en mulighet for å begå misligheter. 12. I samsvar med ISA skal revisor opprettholde profesjonell skepsis gjennom hele revisjonen og være inneforstått med at det kan foreligge vesentlig feilinformasjon som skyldes misligheter, uten hensyn til revisors tidligere erfaringer med ærligheten og integriteten til ledelsen og dem som har overordnet ansvar for styring og kontroll i enheten. (Jf. punkt A7 A8) 13. Med mindre revisor har grunn til å tro noe annet, går revisor vanligvis ut fra at registrerte opplysninger og dokumenter er ekte. Dersom forhold som identifiseres under revisjonen, gir revisor grunn til å tro at et dokument ikke er autentisk eller at vilkår i et dokument er blitt endret uten at revisor er blitt opplyst om dette, skal revisor foreta ytterligere undersøkelser. (Jf. punkt A9) 14. Når svarene på forespørsler rettet til ledelsen eller dem som har overordnet ansvar for styring og kontroll, ikke stemmer overens, skal revisor undersøke uoverensstemmelsene. Diskusjon i revisjonsteamet 15. ISA 315 krever at medlemmer av revisjonsteamet diskuterer og at oppdragsansvarlig revisor beslutter hvilke forhold som skal kommuniseres til de medlemmene av revisjonsteamet som ikke deltar i 5 ISA 200 punkt 15

8 8 ISA 240 diskusjonen. 6 Denne diskusjonen skal legge spesielt vekt på hvordan og hvor enhetens regnskap kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, herunder hvordan misligheter kan oppstå. Diskusjonen skal gjennomføres uten hensyn til eventuelle oppfatninger medlemmene av revisjonsteamet kan ha om at ledelsen og de som har overordnet ansvar for styring og kontroll, er ærlige og har integritet. (Jf. punkt A10 A11) Risikovurderingshandlinger og beslektede aktiviteter 16. Ved gjennomføring av risikovurderingshandlinger og beslektede aktiviteter for å opparbeide seg en forståelse av enheten og dens omgivelser, herunder enhetens interne kontroll, som påkrevd i ISA 315, 7 skal revisor utføre handlingene i punkt for å innhente informasjon til bruk ved identifisering av risikoene for vesentlig feilinformasjon som skyldes misligheter. Ledelsen og andre i enheten 17. Revisor skal rette forespørsler til ledelsen om: (a) (b) (c) (d) ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, herunder arten, omfanget og hyppigheten av slike vurderinger, (Jf. punkt A12 A13) ledelsens prosess for å identifisere og håndtere risikoene for misligheter i enheten, herunder eventuelle spesifikke risikoer for misligheter som ledelsen har identifisert eller er blitt gjort oppmerksom på, eller transaksjonsklasser, kontosaldoer eller tilleggsopplysninger der det er sannsynlig at det foreligger en risiko for misligheter, (Jf. punkt A14) eventuell kommunikasjon fra ledelsen til dem som har overordnet ansvar for styring og kontroll vedrørende ledelsens prosesser for å identifisere og håndtere risikoer for misligheter i enheten, og eventuell kommunikasjon fra ledelsen til ansatte vedrørende ledelsens synspunkter på forretningspraksis og etisk atferd. 18. Revisor skal rette forespørsler til ledelsen, og andre personer i enheten etter behov, for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten. (Jf. punkt A15 A17) 19. I enheter som har internrevisjonsfunksjon, skal revisor rette forespørsler til dertil egnede personer innen funksjonen for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten, og for å innhente deres synspunkter på risikoene for misligheter. (Jf. punkt A18) De som har overordnet ansvar for styring og kontroll 20. Med mindre alle de som har overordnet ansvar for styring og kontroll er involvert i ledelsen i enheten, 8 skal revisor opparbeide seg en forståelse av hvordan de som har overordnet ansvar for styring og kontroll fører tilsyn med ledelsens prosesser for å identifisere og håndtere risikoene for 6 ISA 315 punkt ISA 315 punkt ISA 260 «Kommunikasjon med dem som har overordnet ansvar for styring og kontroll» punkt 13.

9 9 ISA 240 misligheter i enheten og den interne kontrollen som ledelsen har opprettet for å redusere disse risikoene. (Jf. punkt A19 A21) 21. Med mindre alle som har overordnet ansvar for styring og kontroll, er involvert i ledelsen av enheten, skal revisor rette forespørsler til dem for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten. Disse forespørslene rettes delvis for å understøtte ledelsens svar på forespørsler. Uvanlige eller uventede sammenhenger som er blitt identifisert 22. Revisor skal vurdere hvorvidt uvanlige eller uventede sammenhenger som er blitt identifisert under gjennomføringen av analytiske handlinger, herunder handlinger knyttet til inntektskontoer, tyder på at det foreligger risikoer for vesentlig feilinformasjon som skyldes misligheter. Annen informasjon 23. Revisor skal vurdere hvorvidt annen informasjon som er innhentet av revisor tyder på at det foreligger risikoer for vesentlig feilinformasjon som skyldes misligheter. (Jf. punkt A22) Vurdering av mislighetsrisikofaktorer 24. Revisor skal vurdere hvorvidt informasjon innhentet gjennom andre risikovurderingshandlinger og beslektede aktiviteter tyder på at det foreligger en eller flere mislighetsrisikofaktorer. Selv om mislighetsrisikofaktorer ikke nødvendigvis tyder på at det foreligger misligheter, har de ofte forekommet i situasjoner hvor det er blitt påvist misligheter og kan derfor tyde på at det foreligger risikoer for vesentlig feilinformasjon som skyldes misligheter. (Jf. punkt A23 A27) Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter 25. I samsvar med ISA 315 skal revisor identifisere og vurdere risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå og på påstandsnivå, for transaksjonsklasser, kontosaldoer og tilleggsopplysninger Ved identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, skal revisor ta utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer. Punkt 47 angir dokumentasjonen som er påkrevd der revisor konkluderer med at antakelsen ikke er en relevant omstendighet for oppdraget og derfor ikke har identifisert inntektsføring som en risiko for vesentlig feilinformasjon som skyldes misligheter. (Jf. punkt A28 A30) 27. Revisor skal behandle de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, som særskilte risikoer, og skal følgelig, i den grad dette ikke allerede er gjort, opparbeide seg en forståelse av enhetens tilknyttede kontroller, herunder kontrollaktiviteter, som er relevante for slike risikoer. (Jf. punkt A31 A32) 9 ISA 315 punkt 25.

10 10 ISA 240 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter Overordnede handlinger 28. I samsvar med ISA 330 skal revisor fastsette overordnede handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå. 10 (Jf. punkt A33) 29. Ved fastsettelse av overordnede handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå, skal revisor: (a) (b) (c) utpeke og følge opp personalet basert på kunnskapene, ferdighetene og evnene til de personene som er blitt tildelt betydelig ansvar på oppdraget og revisors vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter for oppdraget, (Jf. punkt A34 A35) vurdere hvorvidt enhetens valg og anvendelse av regnskapspolicyer, særlig de som er knyttet til subjektive målinger og komplekse transaksjoner, kan indikere uredelig regnskapsrapportering som følge av ledelsens forsøk på å styre resultatet, og innlemme et element av uforutsigbarhet i utvelgelsen av typen, tidspunktet og omfanget av revisjonshandlinger. (Jf. punkt A36) Revisjonshandlinger for å håndtere vurderte risikoer for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå 30. I samsvar med ISA 330 skal revisor utforme og utføre ytterligere revisjonshandlinger hvis art, tidspunkt og omfang er tilpasset de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå. 11 (Jf. punkt A37 A40) Revisjonshandlinger for å håndtere risikoer knyttet til ledelsens overstyring av kontroller 31. Ledelsen er i en unik posisjon til å begå misligheter, siden den har mulighet til å manipulere registreringer og bevisst utarbeide et feilaktig regnskap ved å overstyre kontroller som ellers synes å fungere formålstjenelig. Selv om risikoen for at ledelsen overstyrer kontroller varierer fra enhet til enhet, er risikoen allikevel tilstedeværende i alle enheter. Som følge av den uforutsigbare måten slik overstyring kan gjennomføres på, er det en risiko for vesentlig feilinformasjon som skyldes misligheter, og således en særskilt risiko. 32. Uavhengig av revisors vurdering av risikoene for at ledelsen overstyrer kontroller, skal revisor utforme og gjennomføre revisjonshandlinger for å: (a) Teste hensiktsmessigheten av posteringer i hovedboken og andre justeringer som er foretatt ved utarbeidelsen av regnskapet. Ved utformingen og gjennomføringen av revisjonshandlinger for slike tester skal revisor: (i) rette forespørsler til personer som er involvert i regnskapsrapporteringsprosessen vedrørende utilbørlige eller uvanlige aktiviteter knyttet til behandlingen av posteringer og andre justeringer, 10 ISA 330 punkt ISA 330 punkt 6.

11 11 ISA 240 (ii) (iii) velge posteringer og andre justeringer som er foretatt ved slutten av en regnskapsperiode, og vurdere behovet for å teste posteringer og andre justeringer gjennom hele perioden. (Jf. punkt A41 A44) (b) Gjennomgå regnskapsestimater med sikte på manglende objektivitet og vurdere hvorvidt eventuelle omstendigheter som er årsak til den manglende objektiviteten, utgjør en risiko for vesentlig feilinformasjon som skyldes misligheter. Ved denne gjennomgåelsen skal revisor: (i) (ii) vurdere hvorvidt ledelsens skjønnsmessige vurderinger og beslutninger ved utarbeidelsen av regnskapsestimatene i regnskapet, selv om de hver for seg er rimelige, tyder på manglende objektivitet hos enhetens ledelse som kan utgjøre en risiko for vesentlig feilinformasjon som skyldes misligheter. Hvis dette er tilfellet, skal revisor revurdere regnskapsestimatene under ett, og foreta en tilbakeskuende gjennomgåelse av ledelsens skjønnsmessige vurderinger og forutsetninger knyttet til betydelige regnskapsestimater i regnskapet for foregående år. (Jf. punkt A45 A47) (c) For betydelige transaksjoner som faller utenfor enhetens vanlige virksomhet eller som på andre måter synes uvanlige ut fra revisors forståelse av enheten og dens omgivelser og annen informasjon som innhentes under revisjonen, skal revisor vurdere hvorvidt den forretningsmessige begrunnelsen (eller den manglende begrunnelsen) tyder på at transaksjonene kan ha blitt gjennomført i forbindelse med uredelig regnskapsrapportering eller for å skjule underslag av eiendeler. (Jf. punkt A48) 33. For å håndtere de identifiserte risikoene for at ledelsen overstyrer kontroller, skal revisor bestemme hvorvidt det er nødvendig å gjennomføre andre revisjonshandlinger i tillegg til de som er særskilt nevnt ovenfor (for eksempel der det foreligger særskilte ytterligere risikoer for at ledelsen overstyrer kontroller som ikke dekkes av revisjonshandlingene som er gjennomført for å oppfylle kravene i punkt 32). Vurdering av revisjonsbevis (Jf. punkt A49) 34. Når revisor trekker sin totalkonklusjon om hvorvidt regnskapet er konsistent med revisors forståelse av enheten, skal revisor vurdere hvorvidt analytiske handlinger som er gjennomført nær avslutningen av revisjonen, tyder på at det kan foreligge risiko for vesentlig feilinformasjon som følge av misligheter, som revisor ikke tidligere har vært klar over. (Jf. punkt A50) 35. Dersom revisor identifiserer feilinformasjon, skal revisor vurdere hvorvidt denne feilinformasjonen kan tyde på misligheter. Dersom det foreligger en slik indikasjon, skal revisor vurdere feilinformasjonens innvirkning på andre sider av revisjonen, særlig påliteligheten av uttalelser fra ledelsen, ut fra den antakelsen at et tilfelle av misligheter sannsynligvis ikke er en isolert hendelse. (Jf. punkt A51) 36. Dersom revisor identifiserer feilinformasjon, uansett om den er vesentlig eller ikke, og har grunn til å tro at feilinformasjonen er eller kan være en følge av misligheter og at ledelsen (særlig ledelse på høyt nivå) er innblandet, skal revisor foreta en ny vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter og dens innvirkning på arten, tidspunktet for utførelse og omfanget av revisjonshandlinger for å håndtere de vurderte risikoene. Revisor skal også vurdere hvorvidt

12 12 ISA 240 omstendigheter eller forhold tyder på et mulig fordekt samarbeid blant ansatte, ledelsen eller tredjeparter når revisor revurderer påliteligheten til tidligere innhentet revisjonsbevis. (Jf. punkt A52) 37. Når revisor bekrefter at, eller ikke er i stand til å fastslå hvorvidt, regnskapet inneholder vesentlig feilinformasjon som følge av misligheter, skal revisor vurdere implikasjonene for revisjonen. (Jf. punkt A53) Revisor ikke i stand til å fortsette oppdraget 38. Dersom revisor, som følge av feilinformasjon som skyldes misligheter eller mistenkte misligheter, får kjennskap til eksepsjonelle omstendigheter som reiser tvil om revisors mulighet til å fortsette revisjonsoppdraget, skal revisor: (a) (b) (c) fastslå de profesjonelle og juridiske forpliktelsene som gjelder under disse omstendighetene, herunder hvorvidt revisor er forpliktet til å rapportere til de(n) som velger revisor eller, i enkelte tilfeller, til regulerende myndigheter, vurdere hvorvidt det er riktig å trekke seg fra oppdraget, når dette er mulig under gjeldende lov eller forskrift, og dersom revisor trekker seg fra oppdraget: (i) drøfte sin fratredelse fra oppdraget og årsakene til fratredelsen med det riktige ledelsesnivået og dem som har overordnet ansvar for styring og kontroll, og

13 13 ISA 240 (ii) fastsette hvorvidt det foreligger en yrkesmessig eller juridisk forpliktelse til å rapportere fratredelsen fra oppdraget og årsakene til fratredelsen til de(n) som velger revisor eller, i enkelte tilfeller, til regulerende myndigheter. (Jf. punkt A54 A57) Uttalelser fra ledelsen 39. Revisor skal innhente skriftlige uttalelser fra ledelsen og. der det passer, fra dem som har overordnet ansvar for styring og kontroll, om at: (a) (b) (c) (d) de erkjenner sitt ansvar for utformingen, iverksettelsen og vedlikeholdet av intern kontroll for å forhindre og avdekke misligheter, de har opplyst revisor om resultatene av ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, de har opplyst revisor om sin kjennskap til misligheter eller mistanke om misligheter som påvirker enheten og som omfatter: (i) (ii) (iii) ledelsen, ansatte som utfører betydelige oppgaver i den interne kontrollen, eller andre der misligheter kan ha en vesentlig innvirkning på regnskapet, og den har opplyst revisor om sin kjennskap til eventuelle påstander om misligheter eller mistanke om misligheter som påvirker enhetens regnskap, som er kommunisert av ansatte, tidligere ansatte, analytikere, tilsynsmyndigheter eller andre. (Jf. punkt A58 A59) Kommunikasjon med ledelsen og dem som har overordnet ansvar for styring og kontroll 40. Dersom revisor har identifisert misligheter eller har innhentet informasjon som tyder på at misligheter kan foreligge, skal revisor kommunisere disse forholdene, hvis det ikke er forbudt i henhold til lov eller forskrift, til rett tid til det riktige ledelsesnivået for å informere dem som har hovedansvaret for å forhindre og avdekke misligheter om forhold som er relevante for deres ansvarsområde. (Jf. punkt A59a- A60) 41. Dersom revisor har identifisert misligheter eller har mistanke om misligheter som omfatter: (a) (b) (c) ledelsen, ansatte som utfører betydelige oppgaver i den interne kontrollen, eller andre der mislighetene fører til vesentlig feilinformasjon i regnskapet, skal revisor kommunisere disse forholdene med dem som har overordnet ansvar for styring og kontroll i rett tid, med mindre alle de som har overordnet ansvar for styring og kontroll er involvert i ledelsen av enheten. Dersom revisor har mistanke om misligheter som omfatter ledelsen, skal revisor kommunisere disse mistankene med dem som har overordnet ansvar for styring og kontroll, og drøfte med dem arten, tidspunktet og omfanget av de revisjonshandlingene som er nødvendige for å fullføre revisjonen. Slik kommunikasjon er påkrevet så fremt det ikke er forbudt ved lov eller forskrift. (Jf. punkt A59a, 61 A63) 42. I samsvar med ISA 260 (revidert) «Kommunikasjon med dem som har overordnet ansvar for styring og kontroll» skal revisor kommunisere, så fremt det ikke er forbudt ved lov eller forskrift, alle andre forhold knyttet til misligheter med dem som har overordnet ansvar for styring og kontroll, som etter revisors skjønn er relevante for deres ansvarsområde. (Jf. punkt A59a, A64)

14 14 ISA 240 Rapportering av misligheter til myndighet utenfor enheten 43. Dersom revisor har identifisert eller har mistanke om misligheter, skal revisor fastsette hvorvidt lov, forskrift eller relevante etiske krav: (Jf. punkt A65 A67) (a) Krever at revisor rapporterer hendelsen eller mistanken til en part utenfor enheten. (b) Vurdere hvilken type rapportering som etter omstendighetene er hensiktsmessig til en part utenfor enheten. Dokumentasjon 44. Revisor skal inkludere følgende i revisjonsdokumentasjonen 12 av revisors forståelse av enheten og dens omgivelser og vurderingen av risikoene for vesentlig feilinformasjon som kreves i ISA 315: 13 (a) (b) de beslutningene av betydning som er fattet under diskusjoner blant medlemmer av revisjonsteamet vedrørende i hvilken grad enhetens regnskap er eksponert for vesentlig feilinformasjon som skyldes misligheter, og de identifiserte og vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå og påstandsnivå. 45. Revisor skal inkludere følgende i revisjonsdokumentasjonen av revisors håndtering av de anslåtte risikoene for vesentlig feilinformasjon som det er krav om i ISA 330: 14 (a) (b) de overordnede handlingene for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå og arten, tidspunktet for utførelse og omfanget av revisjonshandlinger samt disse revisjonshandlingenes tilknytning til de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå, og resultatene av revisjonshandlingene, herunder de som er utformet for å håndtere risikoen for at ledelsen overstyrer kontroller. 46. Revisor skal inkludere i revisjonsdokumentasjonen kommunikasjon om misligheter som er foretatt til ledelsen, dem som har overordnet ansvar for styring og kontroll, regulerende myndigheter og andre. 47. Dersom revisor har konkludert med at antakelsen om at det foreligger en risiko for vesentlig feilinformasjon som skyldes misligheter knyttet til inntektsføring, ikke er en relevant omstendighet for oppdraget, skal revisor inkludere begrunnelsene for denne konklusjonen i revisjonsdokumentasjonen. * * * 12 ISA 230 «Revisjonsdokumentasjon» punkt 8 11 og A6. 13 ISA 315 punkt ISA 330 punkt 28.

15 15 ISA 240 Veiledning og utfyllende forklaringer Karakteristiske trekk ved misligheter (Jf. punkt 3) A1. Misligheter, uansett om det dreier seg om uredelig regnskapsrapportering eller underslag av eiendeler, innebærer motivasjon eller press til å begå misligheter, en oppfattet mulighet til å gjøre dette og en viss rettferdiggjørelse av handlingen. For eksempel: Motivasjon eller press til å foreta uredelig regnskapsrapportering kan forekomme fordi ledelsen er under press, fra kilder utenfor eller innenfor enheten, for å nå et forventet (og kanskje urealistisk) resultatmål eller økonomisk resultat særlig siden konsekvensene for ledelsen kan være betydelige dersom den ikke når økonomiske mål. Likeledes kan enkeltpersoner motiveres til å underslå eiendeler fordi de for eksempel lever over evne. En oppfattet mulighet til å begå misligheter kan foreligge når en enkeltperson tror at interne kontroller kan overstyres, for eksempel fordi personen er i en tillitsposisjon eller har kjennskap til spesifikke mangler i den interne kontrollen. Enkeltpersoner kan være i stand til å rettferdiggjøre det å begå en uredelig handling. Enkelte personer har en holdning, karakter eller etiske verdier som tillater dem med viten og vilje å begå en uærlig handling. Selv vanligvis ærlige personer kan imidlertid begå misligheter dersom omgivelsene utsetter dem for tilstrekkelig press. A2. Uredelig regnskapsrapportering involverer tilsiktet feilinformasjon, herunder utelatelser av beløp eller tilleggsopplysninger i regnskap, for å villede regnskapsbrukere. Det kan skyldes ledelsens forsøk på å styre resultatet for å villede brukere av regnskapet ved å påvirke deres oppfatning av enhetens avkastning og lønnsomhet. Slik styring av resultatet kan begynne med at ledelsen foretar mindre alvorlige handlinger eller utilbørlig justering av forutsetninger og endringer av skjønnsmessige vurderinger. Press og incentiver kan føre til at disse handlingene øker i omfang og til slutt ender med uredelig regnskapsrapportering. En slik situasjon kan oppstå når ledelsen bevisst foretar valg som fører til uredelig regnskapsrapportering ved å gi vesentlig feilinformasjon i regnskapet på grunn av press for å oppfylle markedsforventninger eller et ønske om å maksimere kompensasjon som er basert på prestasjoner. I enkelte enheter kan ledelsen ønske å redusere resultatet med et betydelig beløp for å redusere skatt eller verdsette inntekter for høyt for å sikre bankfinansiering. A3. Uredelig regnskapsrapportering kan innebære: Manipulasjon, forfalskning (herunder dokumentforfalskning) eller endring av regnskapsmateriale eller underbyggende dokumenter som regnskapet er utarbeidet på grunnlag av. Uriktig rapportering i eller tilsiktet utelatelse fra regnskapene av hendelser, transaksjoner eller annen informasjon av betydning. Tilsiktet feilaktig anvendelse av regnskapsprinsipper vedrørende beløp, klassifisering, presentasjon eller tilleggsopplysninger. A4. Uredelig regnskapsrapportering omfatter ofte ledelsens overstyring av kontroller som ellers synes å fungere effektivt. Misligheter kan begås ved at ledelsen overstyrer kontroller ved å: Foreta falske posteringer, særlig nær en regnskapsperiodes slutt, for å manipulere driftsresultater eller for å oppnå andre formål. Foreta utilbørlige justeringer av forutsetninger og endringer av skjønnsmessige vurderinger som anvendes for å estimere kontosaldoer. Utelate, fremføre eller utsette registrering i regnskapet av hendelser og transaksjoner som har forekommet i regnskapsperioden.

16 16 ISA 240 Utelate, tilsløre eller feilaktig fremstille tilleggsopplysninger som kreves av det aktuelle rammeverket for finansiell rapportering, eller tilleggsopplysninger som er nødvendige for å oppnå et rettvisende bilde Skjule fakta som kan ha innvirkning på beløpene som føres i regnskapet. Engasjere seg i komplekse transaksjoner som er utformet for å gi en uriktig fremstilling av enhetens økonomiske situasjon eller resultater. Endre registrerte opplysninger og vilkår knyttet til betydelige og uvanlige transaksjoner. A5. Underslag av eiendeler innebærer tyveri av en enhets eiendeler, og begås ofte av ansatte og gjelder ofte forholdsvis små og ubetydelige beløp. Det kan imidlertid også omfatte ledelsen, som vanligvis er bedre i stand til å skjule underslag på måter som er vanskelige å avdekke. Underslag av eiendeler kan begås på flere forskjellige måter, blant annet ved å: Underslå innbetalinger (for eksempel underslå innkrevde kundefordringer eller omlede innbetalinger av tidligere avskrevne fordringer til personlige bankkontoer). Stjele fysiske eiendeler eller intellektuell kapital (for eksempel stjele inventar for personlig bruk eller salg, stjele skrap for videresalg, inngå en hemmelig avtale med en konkurrent ved å gi opplysninger om teknologiske data mot betaling). Få en enhet til å betale for varer og tjenester det ikke har mottatt (for eksempel utbetalinger til leverandører som ikke eksisterer, returprovisjoner betalt av leverandører til enhetens innkjøpere som gjengjeld for høyere priser, utbetalinger til ansatte som ikke eksisterer). Bruke en enhets eiendeler til personlig bruk (for eksempel bruke enhetens eiendeler som sikkerhet for et personlig lån eller et lån til en nærstående part). Underslag av eiendeler ledsages ofte av falske eller villedende registrerte opplysninger eller dokumenter for å skjule at eiendeler mangler eller er pantsatt uten nødvendig tillatelse. Ansvar for forebygging og avdekking av misligheter Revisors ansvar (Jf. punkt 8a) A5a. Lov, forskrift eller relevante etiske krav kan kreve at revisor i tillegg utfører handlinger og gjennomfører ytterligere tiltak. For eksempel krever International Ethics Standards Board for Accountants `Code of Ethics for Professional Accountants (IESBA`s etikkregler) at revisor forbereder seg på å respondere på identifiserte eller mistenkte brudd på lover og forskrifter, og avgjøre hvorvidt det er behov for ytterligere tiltak. Slik forberedning kan inkludere kommunikasjon av identifiserte eller mistenkte brudd på lover og forskrifter til andre revisorer innenfor et konsern, inkludert oppdragsansvarlig revisor for konsernet, revisor i en konsernenhet eller andre revisorer som utfører arbeid på deler av konsernet for andre formål enn revisjon av konsernregnskapet. 15 Særlige hensyn knyttet til enheter i offentlig sektor A6. I offentlig sektor kan revisors forpliktelser knyttet til misligheter være et resultat av lov, forskrift eller andre pålegg som gjelder for enheter i offentlig sektor eller er særskilt dekket av revisjonsmandatet. I offentlig sektor er revisors forpliktelser følgelig ikke nødvendigvis begrenset til å vurdere risikoer for vesentlig feilinformasjon i regnskapet, men kan også omfatte en videre forpliktelse til å vurdere risikoer for misligheter. 15 The International Ethics Standards Board for Accountants (IESBA) punkt

17 17 ISA 240 Profesjonell skepsis (Jf. punkt 12 14) A7. Å være profesjonelt skeptisk krever løpende evaluering av hvorvidt informasjonen og revisjonsbevisene som innhentes tyder på at det foreligger vesentlig feilinformasjon som skyldes misligheter. Det innebærer en vurdering av påliteligheten av informasjonen som skal anvendes som revisjonsbevis og av kontrollene over utarbeidelsen og vedlikeholdet der dette er relevant. På grunn av de karakteristiske trekkene ved misligheter, er en profesjonelt skeptisk holdning særlig viktig ved vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter. A8. Selv om revisor ikke kan forventes å se bort fra tidligere erfaring med enheten med hensyn til ærligheten og integriteten til ledelsen og dem som har overordnet ansvar for styring og kontroll, er revisors profesjonelle skepsis av særlig betydning ved vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, siden omstendighetene kan ha endret seg. A9. Som beskrevet i ISA 200 omfatter en revisjon som gjennomføres i samsvar med ISA-er sjelden granskning av om dokumentasjonen er autentisk, og revisor er og forventes heller ikke å være noen ekspert på slike vurderinger. 16 Dersom revisor identifiserer forhold som gir revisor grunn til å tro at et dokument ikke er autentisk eller at vilkår i et dokument er blitt endret uten at revisor er blitt opplyst om dette, foretar imidlertid revisor ytterligere undersøkelser, for eksempel ved å: Innhente en bekreftelse direkte fra en tredjepart. Bruke arbeidet til en ekspert for å bedømme om dokumentet er autentisk. Diskusjon i revisjonsteamet (Jf. punkt 15) A10. Diskusjon med medlemmer av revisjonsteamet om i hvilken grad enhetens regnskap er eksponert for vesentlig feilinformasjon som skyldes misligheter: gir mer erfarne medlemmer av revisjonsteamet mulighet for å dele sin innsikt i hvordan og hvor regnskapet kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, gjør revisor i stand til å vurdere en hensiktsmessig håndtering av en slik risiko og å fastsette hvilke medlemmer av revisjonsteamet som skal utføre bestemte revisjonshandlinger, gjør revisor i stand til å fastsette hvordan resultatene av revisjonshandlinger skal kommuniseres til revisjonsteamet og hvordan eventuelle påstander om misligheter som revisor får kjennskap til skal håndteres. A11. Diskusjonen kan omfatte forhold som: En meningsutveksling blant medlemmene av revisjonsteamet om hvordan og hvor de tror at enhetens regnskap (herunder de individuelle oppstillingene og tilleggsopplysningene) kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, hvordan ledelsen kan foreta og skjule uredelig regnskapsrapportering og hvordan eiendeler i enheten kan underslås. En vurdering av forhold som kan tyde på styring av resultatet og metoder ledelsen kan benytte for å styre resultatet, som kan føre til uredelig regnskapsrapportering. En vurdering av risikoene for at ledelsen kan forsøke å presentere tilleggsopplysninger på en måte som tilslører riktig forståelse av sakene det blir opplyst om (for eksempel ved å ta med for mye uvesentlig informasjon eller ved å benytte uklart eller tvetydig språk). En vurdering av kjente eksterne og interne faktorer som påvirker enheten og som kan skape incentiver eller press overfor ledelsen eller andre til å begå misligheter, skape muligheter til 16 ISA 200 punkt A47.

18 18 ISA 240 å begå misligheter eller tyde på en bedriftskultur eller et arbeidsmiljø som gjør ledelsen eller andre i stand til å rettferdiggjøre misligheter. En vurdering av ledelsens tilsyn med ansatte som har tilgang til kontanter eller andre eiendeler som er eksponert for underslag. En vurdering av eventuelle uvanlige eller uforklarlige endringer i atferden eller livsstilen til ledelsen eller ansatte som revisjonsteamet har fått kjennskap til. Vektlegging av betydningen av å opprettholde en riktig holdning gjennom hele revisjonen med hensyn til muligheten for vesentlig feilinformasjon som skyldes misligheter. En vurdering av typer omstendigheter som kan, hvis man støter på dem, indikere mulige misligheter. En vurdering av hvordan et element av uforutsigbarhet vil bli innlemmet ved valg av arten, tidspunktet for utførelse og omfanget av de revisjonshandlingene som skal utføres. En vurdering av hvilke revisjonshandlinger som kan velges for å håndtere risikoen for at enhetens regnskap inneholder vesentlig feilinformasjon som skyldes misligheter, og hvorvidt visse typer revisjonshandlinger er mer effektive enn andre. En vurdering av eventuelle påstander om misligheter som revisor har fått kjennskap til. En vurdering av risikoen for at ledelsen overstyrer kontroller. Risikovurderingshandlinger og beslektede aktiviteter Forespørsler til ledelsen Ledelsens vurdering av risikoen for vesentlig feilinformasjon som skyldes misligheter (Jf. punkt 17(a)) A12. Ledelsen er ansvarlig for enhetens interne kontroll og for utarbeidelsen av enhetens regnskap. Det er derfor hensiktsmessig at revisor retter forespørsler til ledelsen vedrørende ledelsens egne vurderinger av risikoen for misligheter og kontrollene som er iverksatt for å forhindre og avdekke dem. Arten, omfanget og hyppigheten av ledelsens vurderinger av disse risikoene og kontrollene varierer fra enhet til enhet. I enkelte enheter foretar ledelsen omfattende vurderinger årlig eller som en del av den løpende overvåkingen. I andre enheter kan ledelsens vurderinger være mindre strukturerte og mindre hyppige. Arten, omfanget og hyppigheten av ledelsens vurderinger er relevante for revisors forståelse av enhetens kontrollmiljø. At ledelsen ikke har foretatt en vurdering av risikoen for misligheter kan for eksempel under visse omstendigheter være et tegn på at ledelsen ikke legger særlig vekt på intern kontroll. Særlige hensyn knyttet til mindre enheter A13. I enkelte enheter, særlig i mindre enheter, kan ledelsens vurdering hovedsakelig være rettet mot risikoene for ansattmisligheter eller underslag av eiendeler. Ledelsens prosess for å identifisere og håndtere risikoene for misligheter (Jf. punkt 17(b)) A14. For enheter som er geografisk spredt, kan ledelsens prosesser omfatte forskjellige nivåer for overvåking av driftsenheter eller forretningssegmenter. Ledelsen kan også ha identifisert bestemte driftsenheter eller forretningssegmenter der sannsynligheten for at det foreligger risiko for misligheter er høyere. Forespørsler til ledelsen og andre personer i enheten (Jf. punkt 18) A15. Revisors forespørsler til ledelsen kan gi nyttig informasjon om risikoene for vesentlig feilinformasjon i regnskapet som følge av ansattmisligheter. Det er derimot lite sannsynlig at disse forespørslene gir nyttig informasjon om risikoene for vesentlig feilinformasjon i regnskapet som

19 19 ISA 240 skyldes ledelsesmisligheter. Forespørsler rettet til andre personer i enheten kan gi enkeltpersoner en mulighet til å gi revisor informasjon som ellers ikke ville ha blitt formidlet. A16. Eksempler på andre personer i enheten som revisor kan rette forespørsler til om faktiske eller mistenkte misligheter omfatter: Driftspersonale som ikke er direkte involvert i regnskapsrapporteringen. Ansatte på forskjellige myndighetsnivåer. Ansatte som arbeider med initiering, behandling eller registrering av komplekse eller uvanlige transaksjoner og de som fører tilsyn med eller overvåker disse personene. Enhetens juridiske avdeling. Den ansvarlige for etiske spørsmål eller tilsvarende person. Den eller de som er tildelt ansvaret for å håndtere påstander om misligheter. A17. Ledelsen er ofte på grunn av sin stilling i posisjon til å begå misligheter. Revisor opprettholder derfor en profesjonelt skeptisk holdning ved evaluering av ledelsens reaksjoner på forespørsler, og kan beslutte at det er nødvendig å underbygge svar på forespørsler med annen informasjon. Forespørsler til internrevisjon (Ref: Punkt 19) A18. ISA 315 (Revidert) og ISA 610(Revidert) fastsetter krav og gir veiledning ved revisjon av enheter som har internrevisjonsfunksjon. 17 For å oppfylle kravene vedrørende misligheter i disse ISA-ene kan revisor rette forespørsler om spesifikke aktiviteter i funksjonen, deriblant: Hvilke revisjonshandlinger, om noen, internrevisjonsfunksjonen har utført for å avdekke misligheter i løpet av året. Hvorvidt ledelsen har reagert på eventuelle funn som følge av disse revisjonshandlingene på en formålstjenelig måte. Opparbeidelse av en forståelse av tilsynet som føres av de som har overordnet ansvar for styring og kontroll (Jf. punkt 20) A19. De som har overordnet ansvar for styring og kontroll i en enhet, fører tilsyn med systemer for overvåking av risikoer, økonomisk kontroll og overholdelse av lovgivning. I mange land er eierstyring og selskapsledelse godt utviklet, og de som har overordnet ansvar for styring og kontroll har en aktiv rolle i tilsynet med enhetens vurdering av risikoene for misligheter og med den relevante interne kontrollen. Siden ansvaret til dem som har overordnet ansvar for styring og kontroll og ledelsen kan variere fra enhet til enhet og fra land til land, er det viktig at revisor forstår deres respektive ansvar, slik at revisor kan opparbeide seg en forståelse av tilsynet som føres av de relevante personene. 18 A20. En forståelse av tilsynet som føres av dem som har overordnet ansvar for styring og kontroll, kan gi innsikt i hvilken grad enheten er eksponert for ledelsesmisligheter, hvorvidt den interne kontrollen med risikoer for misligheter er tilstrekkelig og ledelsens kompetanse og integritet. Revisor kan opparbeide seg denne forståelsen på en rekke forskjellige måter, for eksempel ved å være til stede på møter der slike diskusjoner finner sted, lese referater fra disse møtene eller rette forespørsler til dem som har overordnet ansvar for styring og kontroll. 17 ISA 315 (Revidert) punkt 6(a) og 23, og ISA 610 (Revidert) «Bruk av interne revisorers arbeid». 18 ISA 260 punkt A1 A8 drøfter hvem revisor kommuniserer med når foretakets styrings- og kontrollstrukturer ikke er klart definert.