REVISJON ISA 240: Revisors ansvar i forhold til misligheter ved revisjon av regnskaper International Standard on Auditing (ISA) 240 «Revisorens oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper» er utviklet med hensikt å bidra til en integrert vurdering av risikoen for at regnskapet inneholder vesentlig feilinformasjon som skyldes misligheter og håndtering av denne risikoen i løpet av hele revisjonsprosessen. Det stilles større krav til informasjonsinnhenting, kommunikasjon og dokumentasjon enn tidligere. Revisorens kommunikasjon med internrevisjon er beskrevet spesifikt i standarden. Tekst: Avdelingsdirektør Kelly Ånerud Bakgrunn I forbindelse med oppdateringen av ISA 240 var det et ønske om å tilpasse standarden til risikomodellen og særlig til standardene ISA 315 «Forståelse av foretaket og dets omgivelser og vurdering av risikoene for vesentlig feilinformasjon» og ISA 330 «Revisjonshandlinger for å håndtere anslåtte risikoer». I lys av flere finansielle skandaler, ny lovgivning og behov for å gjenvinne tillit i revisjonsbransjen hadde den amerikanske revisorforeningen American Institute of Certified Avdelingsdirektør Kelly Ånerud er for tiden utnevnt som teknisk rådgiver til INTOSAIs nominerte medlem i International Auditing and Assurance Standards Board (IAASB). IAASB fastsetter internasjonale revisjonsstandarder International Standards on Auditing (ISAs). Hun har vært INTOSAIs representant i IAASBs arbeidsgruppe for ISA 230 Dokumentasjon, og er for tiden INTOSAIs representant i IAASBs arbeidsgruppe for ISA 402 Service Organisasjoner. Artikkelforfatteren arbeider som teknisk rådgiver i komiteen som arbeider med utvikling av internasjonale revisjonsstandarder. Foto: Jon Aarekol. 8 Observasjonsposten nr. 1-2007
Public Accountants nylig gitt ut Statement on Auditing Standards (SAS) 99 «Consideration of Fraud in a Financial Statement Audit». Det var også ønskelig med en større grad av harmonisering mellom ISA 240 og SAS 99. Begge disse standardene er ment å påvirke revisors adferd mer i retning av «å bruke hodet» og vekk fra en «sjekkliste mentalitet». Klargjøring av standarden ISA 240 ble opprinnelig vedtatt av International Auditing and Assurance Standards Board (IAASB) i februar 2004. Gjeldende revisjonsstandard i Norge, RS 240 (revidert), er basert på den opprinnelige versjonen av ISA 240 og ble vedtatt at styret i Den norske Revisorforening i september 2005. ISA 240 har nylig gått gjennom IAASBs klargjøringsprosess for å tydeliggjøre bl.a. formålet med standarden og kravene som stilles til revisoren. Den klargjorte standard skiller tydelig mellom krav som revisoren må oppfylle og annen veiledningsinformasjon. Denne artikkelen tar utgangspunkt i den klargjorte versjon av ISA 240 som ble vedtatt av IAASB i oktober 2006. Den klargjorte standard vil tidligst tre i kraft for revisjon av regnskaper for perioder som begynner per eller etter 15. desember 2008. «Mislighetstrekanten» Normalt er det tre faktorer til stede når misligheter begås: Muligheter. Den som har tenkt å begå misligheter må kunne se at det er mulig å gjennomføre den tiltenkte handlingen. Mulighetene kan eksistere som resultat av svakheter i internkontroll rutiner, eller i rutiner for rapportering av uregelmessigheter til ledelsen eller styret 1. Motivasjon. Vedkommende må være motivert av et eller annet. Dette kan være for eksempel muligheter for en resultat-avhengig bonus eller annen form for lønnsutbetalinger, eller for eksempel at vedkommende opplever en vanskelig personlig finansiell situasjon og skal bare «låne» et lite beløp for å komme over kneika. Rettferdiggjørelse. Vedkommende har «gode» argumenter for hvorfor han/hun utfører sine handlinger. Dette kan være et resultat av dårlig etikk eller en ukultur i organisasjonen, for eksempel «alle andre gjør det, hvorfor skal ikke jeg?» eller «jeg får så lite betalt ellers..» Vedkommende kan også forsvare seg med å tenke at «dette er bare midlertidig, jeg skal tilbakebetale beløpet før noen oppdager det», osv. Denne modellen, som vist i figur 1, er enkel å huske og kan være et godt hjelpemiddel for revisoren. Den understreker også den viktige jobben revisoren har når det gjelder å kommunisere uregelmessigheter som er identifisert, slik at nødvendige tiltak og forbedringer kan iverksettes. Generelt om misligheter og ansvarsforhold Innledningsvis beskriver standarden noen karakteristikker i forhold til Den beskriver forskjell mellom misligheter og feil. Standarden fokuser på misligheter som resulterer i et regnskap som inneholder vesentlig feilinformasjon. Videre beskriver standarden hvilket ansvar ledelsen og styret har, samt revisorens ansvar. Revisoren har ansvar for å oppnå betryggende sikkerhet for at regnskapet ikke inneholder vesentlig feilinformasjon, uansett om dette skyldes misligheter eller feil. Det vil alltid være noen iboende begrensninger ved revisjonen når det gjelder Til tross for dette må revisoren utføre sitt arbeid med en profesjonell skeptisk holdning. Dette omfatter bl.a. en vurdering av hvilke muligheter ledelsen har for å overstyre internkontrollrutiner, uansett hvilken erfaring revisoren har med ledelsen fra før. Formålet med standarden Formålet med standarden er tredelt: identifisere og vurdere risikoen for at regnskapet inneholder vesentlig feilinformasjon som skyldes utforme og utføre revisjonshandlinger for å skaffe tilstrekkelig og hensiktsmessig revisjonsbevis i forhold til risikoen for at regnskapet inneholder vesentlige feil som skyldes fastsette hensiktsmessige handlinger i forhold til identifiserte misligheter eller mistanke om Krav Standarden fastsetter flere krav som revisoren må oppfylle. Kravene er beskrevet kort nedenfor. I tillegg til kravene, inneholder revisjonsstandarden utfyllende veiledning om hvordan standarden anvendes i praksis. Standarden inneholder også noe veiledning rettet spesielt mot små virksomheter og mot offentlig sektor. Profesjonell skeptisk holdning Standarden krever at revisoren skal utføre sitt arbeid med en profesjonell 1 I denne artikkelen benyttes ordet «Styret» for begrepet «de som har overordnet ansvar for styring og kontroll,» på engelsk «those charged with governance» Figur 1: Grafisk framstilling av mislighetstrekanten. Observasjonsposten nr. 1-2007 9
skeptisk holdning, uansett revisorens tidligere erfaringer med ledelsen og styret. Denne holdningen gjelder også i forhold til vurdering av revisjonsbevis. Dersom forhold i løpet av revisjonen indikerer at regnskaper eller dokumenter ikke er ekte, eller er blitt endret uten at revisoren er blitt gjort oppmerksom på dette, skal revisoren undersøke dette nærmere. Det er også et krav om å undersøke nærmere dersom revisoren oppdager avvik i informasjon innhentet fra ledelsen og styret. Diskusjon i revisjonsteamet Standarden bygger på krav i ISA 315. I tråd med dette er det et krav om at revisjonsteamet skal gjennomføre en diskusjon, en slags «idédugnad» om Diskusjonen skal omhandle risikoen for at regnskapet inneholder vesentlig feilinformasjon på grunn av misligheter, og ideer om hvor og hvordan slike misligheter kunne oppstå. Diskusjonen skal finne sted uansett hvilken tro revisoren har på ledelsens og styrets moral og etikk. Oppdragsansvarlig revisor må også vurdere hvilke forhold som skal kommuniseres til andre medlemmer av revisjonsteamet som ikke deltar i diskusjonen. Risikovurdering prosedyrer og relaterte aktiviteter Revisoren skal rette forespørsler til ledelsen om: ledelsens vurdering av risikoen for at regnskapet inneholder vesentlig feilinformasjon inklusiv hva denne vurderingen omfatter og hvor ofte den finner sted ledelsens prosesstiltak for å identifisere og følge opp i forhold til å minske risikoen for misligheter i virksomheten hvordan ledelsen kommuniserer til styret i forhold til prosedyrene og tiltakene prosessen i (2) ledelsens kommunikasjon til de ansatte om deres holdninger til forretningsprinsipper og etikk Revisoren skal undersøke med ledelsen, og andre hensiktsmessige personer for å finne ut om disse personer kjenner til, eller har mistanke om, misligheter som vedrører virksomheten. Dersom virksomheten har internrevisjon, skal revisoren innhente synspunkter fra internrevisjonen om deres vurdering av risikoen for Revisoren skal undersøke hvordan styret utøver tilsyn overfor ledelsen og skal undersøke med styret om de kjenner til, eller har mistanke om, misligheter som vedrører virksomheten. Videre skal revisoren vurdere om uvanlige relasjoner er identifisert som et resultat av analytiske kontrollhandlinger. Revisoren må også vurdere om annen informasjon som er innhentet kan indikere risikoen for Det skal også vurderes om informasjon innhentet som resultat av risikovurderingen generelt gir indikasjoner om at mislighetsrisikofaktorer er til stede. Identifikasjon og vurdering av risikoer for misligheter Som påkrevd i ISA 315 skal revisoren identifisere og vurdere risikoen for at regnskapet inneholder vesentlig feilinformasjon både på regnskapsnivå og regnskapspåstandsnivå. Risikoen for misligheter ved inntektsføring skal vurderes særskilt. Risikoen for misligheter skal behandles som en særskilt risiko som krever spesiell revisjonsmessig oppmerksomhet. Dette betyr at revisoren må opparbeide seg kjennskap til relevante kontrollrutiner og -aktiviteter i forhold til risikoen for Handlinger i forhold til anslåtte risikoer for misligheter I tråd med ISA 330 skal revisoren utarbeide handlinger for å håndtere de anslåtte risikoene for vesentlig feilinformasjon som skyldes misligheter på regnskapsnivå. Med bakgrunn i dette skal revisoren: benytte personer på oppdraget, tatt i betraktning nødvendig kunnskap og kompetanse til de oppdragsansvarlige personer og revisors vurdering av risikoen for vesentlig feilinformasjon i regnskapet som skyldes misligheter vurdere om regnskapsprinsipper som benyttes, særlig de som gjelder subjektive vurderinger og komplekse transaksjoner, kan indikere at misligheter er til stede innlemme et element av uforutsigbarhet i forhold til hvilke revisjonshandlinger som utføres og når Revisoren skal også utføre revisjonshandlinger for å håndtere den anslåtte risikoen for vesentlig feilinformasjon som skyldes misligheter på regnskapspåstandsnivå. Muligheter for ledelsen til å overstyre kontrollrutiner skal anses som en særskilt risiko. Det er derfor viktig å utforme revisjonshandlinger i forhold til dette. Revisoren skal derfor, som et minimum: teste transaksjoner ført i hovedboken og andre justeringer som er foretatt ved utarbeidelsen av regnskapet. gjennomgå estimater i regnskapet for indikasjoner av manglende objektivitet hos ledelsen (såkalt «management bias») vurdere det forretningsmessige innholdet av andre vesentlige transaksjoner utenfor det normale virksomhetsområde med tanke på om formålet med slike transaksjoner kan ha vært å begå misligheter Vurdering av revisjonsbevis I forbindelse med gjennomføring av analytiske kontrollhandlinger for å komme frem til en totalkonklusjon om regnskapet, skal revisoren vurdere om resultatene av disse handlingene kan indikere en tidligere ukjent risiko for at regnskapet inneholder feilinformasjon, skal revisoren vurdere om feilen kan skyldes Dersom det er indikasjoner på misligheter, må revisoren vurdere konsekvenser for sin revisjon, inklusiv påliteligheten av eventuelle erklæringer innhentet fra ledelsen. Dersom revisoren har grunn til å tro at mislighetsindikasjoner involverer ledelsen, skal revisoren gå gjennom sin risikovurdering på ny, og vurdere hvordan denne påvirker typen, tidspunktet for utførelse og omfanget av revisjonshandlinger. Videre må revisoren vurdere om det kan ha vært sammensvergelse blant ledelsen og hvordan dette eventuelt påvirker påliteligheten av revisjonsbevis. at, eller ikke kan konkludere om, regnskapet inneholder vesentlig feilinformasjon skal revisoren vurdere hvilke konsekvenser dette har for revisjonsrapporten. Figur 2 viser den integrerte prosessen for risikovurdering og -håndtering Når revisoren ikke er i stand til å fullføre oppdraget Dersom forholdene tilsier at revisoren ikke er i stand til å fullføre oppdraget 10 Observasjonsposten nr. 1-2007
skal revisoren kommunisere slike forhold til styret uten opphold. Dersom revisoren har mistanke om misligheter som involverer ledelsen, skal revisoren kommunisere sin mistanke til styret og diskutere behov for revisjonshandlinger for å avslutte revisjonen. I tråd med ISA 260 «Kommunikasjon om revisjonsmessige forhold til dem som har overordnet ansvar for styring og kontroll» skal revisoren kommunisere med styret i ethvert annet forhold som kan være av betydning mht deres ansvarsområde. Figur 2: Integrert prosess for risikovurdering og håndtering. på grunn av feilinformasjon som skyldes misligheter eller mistanke om misligheter, skal revisoren: vurdere de profesjonelle og juridiske forpliktelser som gjelder under disse omstendigheter, herunder om det er krav om å rapportere til oppdragsgiveren eller til regulatoriske myndigheter vurdere muligheten for å trekke seg fra oppdraget dersom dette tillates, og dersom revisoren hvis han/hun trekker seg fra oppdraget: diskutere sin fratredelse og årsakene til fratredelsen med det riktige ledelsesnivået vurdere om det er en yrkesmessig eller juridisk forpliktelse til å rapportere fratredelsen, og årsakene til fratredelsen, til oppdragsgiveren eller til regulatoriske myndigheter Uttalelser fra ledelsen Revisoren skal innhente skriftlige uttalelser fra ledelsen om at: ledelsen erkjenner sitt ansvar for utvikling, implementering og vedlikehold av internkontroll systemer for å forebygge og avdekke misligheter ledelsen har informert revisoren om sin vurdering av risiko for at regnskapet inneholder feilinformasjon som skyldes misligheter ledelsen har informert revisoren om sin kjennskap til misligheter som påvirker virksomheten og som involverer: ledelsen ansatte som utfører betydelige oppgaver i forbindelse med internkontroll andre der misligheter kan ha en vesentlig innvirkning på regnskapet, og ledelsen har informert revisoren om sin kjennskap til eventuell påstander om misligheter som påvirker regnskapet som er kommunisert til ledelsen av ansatte, tidligere ansatte, analytikere, tilsynsmyndigheter eller andre Kommunikasjon med ledelsen og styret Dersom revisoren har identifisert misligheter eller har innhentet informasjon som tyder på at misligheter foreligger, skal revisoren kommunisere slike forhold uten opphold til det riktige ledelsesnivået. Hensikten med dette er å kunne informere de som har et primært ansvar for å forebygge og avdekke misligheter om forhold som er relevante for deres ansvarsområde. Med mindre alle i styret er medlemmer av ledelsen, i tilfeller hvor revisoren har identifisert misligheter, eller har mistanke om misligheter som involverer: ledelsen ansatte som utfører betydelige oppgaver mht i forbindelse med internkontroll andre der misligheter kan ha en vesentlig innvirkning på regnskapet, Kommunikasjon til påtaleregulatoriske- og regulatoriske påtalemyndigheter Dersom revisoren har identifisert misligheter, eller har mistanke om misligheter, skal revisoren vurdere om det foreligger et ansvar for å rapportere slike forhold til noen utenfor virksomheten. Selv om revisors taushetsplikt i utgangspunktet kan forhindre slik rapportering, kan det likevel være et krav til slik rapportering ut fra et juridisk ansvar. Dokumentasjon I tråd med ISA 315 skal revisorens dokumentasjon omfatte: Vesentlige beslutninger fra diskusjonen i oppdragsteamet vedrørende risikoen for at regnskapet inneholder feilinformasjon som skyldes Identifiserte og anslåtte risikoer for at regnskapet inneholder feilinformasjon både på regnskapsnivå og regnskapspåstandsnivå. I tråd med ISA 330, skal revisorens dokumentasjon omfatte: Overordnede revisjonshandlinger for å håndtere de anslåtte risikoene for vesentlig feilinformasjon som skyldes misligheter på regnskapsnivå, og typen, tidspunktet for utførelse og omfanget av revisjonshandlinger, samt tilknytning av disse revisjonshandlinger til de anslåtte risikoene for vesentlig feilinformasjon som skyldes misligheter på regnskapspåstandsnivå. Resultatet av revisjonshandlinger, herunder de som er utformet for å håndtere risikoen for at ledelsen overstyrer kontrollrutiner. Observasjonsposten nr. 1-2007 11
Revisoren skal dokumentere sin kommunikasjon om misligheter med ledelsen, styret, regulatoriske myndigheter og andre. at antagelsen om at det foreligger en risiko for vesentlig feilinformasjon som skyldes misligheter knyttet til inntektsføring ikke er relevant, skal årsakene til dette dokumenteres. Veiledningsmateriale og vedlegg Veiledningsmateriale gir utfyllende informasjon om hvordan standarden skal anvendes i praksis. Vedleggene inneholder eksempler på mislighetsrisikofaktorer, revisjonshandlinger og omstendigheter som kan gi indikasjoner om at misligheter foreligger. Tillegg for offentlig sektor I tråd med samarbeidsavtalen mellom IAASB og The International Organization of Supreme Audit Institutions (INTOSAI) vil INTOSAI utarbeide et tillegg til standarden som gir veiledning i hvordan standarden skal anvendes i offentlig sektor. For mer informasjon om samarbeidsprosjektet mellom INTOSAI og IAASB besøk hjemmesiden til INTOSAI s Professional Standards Committee: http://psc.rigsrevisionen.dk/fas KOLLEGER Eit halvt år før han rundar 70 sluttar Alfred Martinovits i Riksrevisjonen. 31. januar var hans siste arbeidsdag. Mange rundt han i seksjon F.2.5 vil nok garantert savne den høgreiste, stillfarne, men alltid oppmerksomme og lyttande ungararen. Hans kunnskap og innsikt innan politikk, næringsliv og finansverda har hatt mykje å sei for det faglige arbeidet i seksjonen. Tekst og foto: Jon Aarekol Alfred Martinovts har hatt ein lang og kronglute veg å gå. Han opplevde krigen på nært hald dei første leveåra i Budapest. Min mor var den som på en måte bevarte roen og verdigheten midt oppe i all elendigheten, seier Martinovits. Hun brukte oppholdene våre i bomberommene, og de var det mange av, til å vitse og lage morsomme historier ut av dødsalvorlige ting. På den måten ble vi ikke nervevrak hele bunten. Tysk flyktning Som flyktning frå sovjetiske troppar etter 2. verdskrigen kom den vesle familien hans til Tyskland i 1945. Alfred var då 7 år. Dei nådde den amerikanske sona etter ein dramatisk togtur. Toget vart bombardert heile vegen. Kuleregnet slo ned i toget. Dei fann etter kvart ut at bak stålhjula var det plass der dei kunne søke dekning. Eit hardt og nådelaust liv venta dei, først 9 månader i ei jernbanevogn på eit sidespor nær byen Passau, deretter tre år i ein flyktningeleir i nærleiken. Her var det for det meste kroatar, serbarar og ungararar. Kroatene og serberne var stadig i tottene på hverandre, så vi ungarere fikk oppgavene med å være tillitsfolk for dem, minnes Martinovits. Tilværelsen den første tiden gikk med til å holde liv i seg, få tak i mat. Særlig var jakten på sigaretter og tobakk intens. Dette var mangel- 12 Observasjonsposten nr. 1-2007