NKRFS fagkonferanse 2014

NKRFS fagkonferanse 2014 RISIKOVURDERINGER (ISA 315 og ISA 330) Morten Alm Birkelid Daglig leder Hedmark Revisjon IKS 1

Revisors mål RS 315 Identifisere og anslå risikoen for vesentlig feilinformasjon Misligheter eller feil på regnskaps- og påstandsnivå Forståelse av enheten og dens omgivelser Virksomhetens intern kontroll 2

Risikovurderingshandlinger Obligatoriske handlinger: Forespørsler til ledelsen Identifisere misligheter eller feil Analytiske handlinger Observasjon og inspeksjon 3

Forståelse av enheten og dens omgivelser Enhetens art og dens omgivelser: Organisering av tjenesteproduksjonen Finansiell rapportering Styringsstruktur Nærstående parter 4

Forståelse av enheten og dens omgivelser Enheten og dens interne kontroll: Revisor skal opparbeide seg en forståelse av den interne kontrollen som er relevant for revisjonen Komponentene i den interne kontrollen: Kontrollmiljø Enhetens risikovurderingsprosess Informasjonssystemet Kontrollaktiviteter Overvåking av kontroller 5

Generelle og karakteristiske trekke ved den interne kontrollen Den interne kontrollens generelle art og karakteristiske trekk Kontroller som er relevante for revisjonen Arten og omfanget av forståelsen av relevante kontroller Komponenter i den interne kontrollen 6

Forståelse av enheten og dens omgivelser Kontrollmiljø Ledelseskultur ærlighet og etisk adferd Kommunikasjon og håndheving av integritet Forpliktende engasjement i forhold til kompetanse Ledelsesfilosofi og lederstil Organisasjonsstruktur Delegering av myndighet og ansvar Personalpolitikk og -rutiner Opplysninger i årsmelding Hvor sterk er de sterke sidene i kontrollmiljøet 7

Forståelse av enheten og dens omgivelser Enhetens risikovurderingsprosess Identifisere risikoer Anslå betydning av risikoer Vurdere sannsynlighet for at risikoen vil inntreffe Fastsette tiltak for å håndtere risikoene 8

Forståelse av enheten og dens omgivelser Enhetens risikovurderingsprosess: Nye tjenester som skal leveres Nytt nøkkelpersonale Nye IT-løsninger Omorganisering ny kontoplanstruktur Nye regnskapsregler 9

Forståelse av enheten og dens Informasjonssystemet Revisor skal opparbeide seg en forståelse av de delene av informasjonssystemet, herunder tilknyttede tjenesteproduksjonsprosesser, som er relevante for finansiell rapportering: Vesentlige transaksjonsklasser Samspill forsystem og regnskap Samspill manuelle rutiner og automatiske rutiner Regnskapsdokumentasjon omgivelser Prosess for å utarbeide årsregnskap Kontroll knyttet til posteringer, ikke standard posteringer som ikke uføres regelmessig 10

Forståelse av enheten og dens omgivelser Kontrollaktiviteter som er relevante for revisjonen Dvs aktiviteter som revisor mener er nødvendige å forstå for å kunne vurdere risikoene for vesentlig feilinformasjon på påstandsnivå og utforme videre revisjonshandlinger for å håndtere de anslåtte risikoene Gjennomgang av budsjett-regnskap, avvikskontroll Fysiske kontroller Arbeidsdeling Fullmakter Revisor skal også opparbeide seg en forståelse av hvordan enheten har håndtert risikoer som følge av bruk av IT. Overvåking av kontroller 11

Risikovurderingshandlinger Kontrollaktiviteter som er relevante for revisjonen: Eksempler: Budsjett Årshjul og vedtaksprosess, rapportering til KS/FSK Likvid/finans Disposisjonsrett bank mm, attestasjons- og anvisningsrutiner Innkjøp IT Enhetens egne vurderinger 12

Komponenter i den interne kontrollen I IT-systemer eller manuelle systemer Autorisasjon Gjennomgåelse av prestasjoner og resultater Informasjonsbehandling Fysiske kontroller Arbeidsdeling 13

Komponenter i den interne kontrollen Generelle IT-kontroller Retningslinjer og rutiner som gjelder mange applikasjoner som skal sørge for at applikasjonskontroller fungerer effektivt Kontroll med: Datasenter- og nettverksdrift Kjøp, endring og vedlikehold av systemprogramvare Programendringer Tilgangskontroller Kjøp, utvikle og vedlikehold av applikasjoner 14

Komponenter i den interne kontrollen Applikasjonskontroller Manuelle eller automatiserte rutiner som vanligvis gjelder transaksjonsbehandling i individuelle programmer. Forebyggende art Avdekkende art Rutinene anvendes for å initiere, registrere, prosessere og rapportere transaksjoner eller andre økonomiske data Gyldighet, autorisert, registrert, fullstendig og nøyaktig 15

Identifisering og vurdering av risikoene for vesentlig feilinformasjon Revisor skal identifisere og vurdere risikoene for vesentlig feilinformasjon på: Regnskapsnivå Påstandsnivå for transaksjonsklasser, kontosaldoer og tilleggsopplysninger Dette for å danne seg et grunnlag for utformingen og utførelsen av videre revisjonshandlinger 16

Identifisering og vurdering av risikoene for vesentlig feilinformasjon Revisor må: Identifisere risikoer og kontroller knyttet til disse for: Transaksjonsklasser Kontosaldoer Tilleggsopplysninger i regnskapet Vurdere de identifiserte risikoen og hvordan de påvirker regnskap/regnskapspåstander Knytte de identifiserte risikoene til det som kan gå galt på påstandsnivå, tatt i betraktning de relevante kontrollene som revisor planlegger å teste Vurdere sannsynligheten for feilinformasjon 17

Regnskapspåstander Påstander om transaksjonsklasser og hendelser: Gyldighet Fullstendighet Nøyaktighet Periodisering Klassifisering 18

Regnskapspåstander Påstander om kontosaldoer ved regnskapsperiodens slutt: Eksistens Rettigheter og forpliktelser Fullstendighet Verdsettelse og allokering 19

Regnskapspåstander Påstander om presentasjon og innhold: Gyldighet og rettigheter og forpliktelser Fullstendighet Klassifisering og forståelighet Nøyaktighet og verdsettelse 20

Risikoer som krever spesiell revisjonsmessig oppmerksomhet Ved utøvelse av skjønn skal revisor fastslå hvilke risikoer som er særskilte risikoer. Revisor skal da minst vurdere følgende: Hvorvidt risikoen er en mislighetsrisiko Hvorvidt risikoen er knyttet til nylig vesentlig økonomisk, regnskapsmessig eller annen utvikling og derfor krever spesiell oppmerksomhet Transaksjonens kompleksitet 21

Risikoer som krever spesiell revisjonsmessig oppmerksomhet Ved utøvelse av skjønn skal revisor fastslå hvilke risikoer som er særskilte risikoer. Revisor skal da minst vurdere følgende (forts): Hvorvidt risikoen innebærer vesentlig transaksjon med nærstående parter Graden av subjektivitet ved måling av den økonomiske informasjonen knyttet til risikoen, særlig de målingene som innebærer stor grad av målingsusikkerhet Hvorvidt risikoen innebærer vesentlige transaksjoner utover enhetens normale virksomhet eller som på andre måter som synes å være uvanlige. 22

Risikoer som krever spesiell revisjonsmessig oppmerksomhet Risikoer for vesentlig feilinformasjon kav være større for vesentlig ikke-rutinemessige transaksjoner som oppstår som følge av: Økt involvering fra ledelsen i den regnskapsmessige behandlinger Økt grad av manuelle inngrep ved datainnsamling og databehandling Komplekse beregninger eller regnskapsprinsipper Regnskapsestimat inntekter 23

Hva må revisor dokumentere mht identifikasjon og vurdering av risiko? Dokumentasjonskrav i ISA 315 (pkt 32): Diskusjon som er gjennomført i team Forståelse av virksomheten, jf pkt 11 og 14-24 De identifiserte og vurderte risikoene for vesentlig feilinformasjon, jf pkt 25 Risikoene som er identifisert, og tilknyttede kontroller som revisor har opparbeidet seg forståelse av, jf pkt 27-30 24

Revisors mål RS 330 Å innhente tilstrekkelige og hensiktsmessige revisjonsbevis vedrørende de anslåtte risikoene for vesentlig feilinformasjon gjennom utforming og utførelse av egnede revisjonshandlinger for å håndtere disse risikoene Gjøres gjennom; Substanskontroller: Detaljtester Analytiske substanshandlinger Test av kontroller 25

Test av kontroller Revisor skal utforme og utføre test av kontroller dersom: Kan bygge på at virksomhetenes egen kontroll fungerer Substanskontroller alene ikke gir tilstrekkelig og hensiktsmessige revisjonsbevis på påstandsnivå 26

Risikoidentifisering Betydning for: Valg av angrepsvinkel Tidspunkt Omfang Art Eksempler på anslått risiko Høy Middels Lav 27

Hva skal vi trekke utvalget fra? Populasjon og undermengder Regnskapet er populasjonen. Den deles inn i (stratifiseres) undermengder med forskjellige egenskaper: Regnskapsposter Transaksjonsklasser Estimater Posteringer Korrigeringer Regnskapspåstander 28

Regnskapsposter Når er en regnskapspost vesentlig? Saldo større enn arbeidsvesentlighetsgrense Risiko med vesentlig effekt er linket til regnskapsposten Vesentlig transaksjonsklasse eller estimat er knyttet til regnskapsposten Når er en regnskapspost ikke vesentlig? Saldo større enn arbeidsvesentlighetsgrense, MEN Risikoen for vesentlige feil er så lav at det er tilstrekkelig med overordnede analyser for å dekke risikoen Må dokumentere begrunnelsen (revisors beste skjønn) Veldig viktig for å avgrense populasjonen Fokus er på hva som er vesentlig Kan ikke dokumentere alt som er uvesentlig 29

Utvalgsprosessen Utvalgsprosessens 5 trinn: 1. Utforme utvalget 2. Fastsette utvalgsstørrelsen 3. Foreta utvalget og utføre revisjonshandlingen 4. Vurdere resultatet fra utvalget 5. Dokumentere handlinger, vurderinger og resultat 30

Fastsette utvalgsstørrelsen Test av kontroller Test av egenskaper (attribut-testing) Virker kontrollen eller ikke Antall kontroller er populasjonen Omfanget er avhengig av hvor mye sikkerhet vi henter fra internkontrollen Jo høyere sikkerhet fra kontrollene (forventer gode kontroller), jo større omfang (utvalg) av test av kontroller. Lavere omfang av substanskontroller. Full sikkerhet, dvs kontrollrisiko til lav Begrenset sikkerhet, dvs kontrollrisiko til moderat Kontrollrisiko høy -> bygger ikke på kontroller 31

Fastsette utvalgsstørrelsen Test av kontroller Faktorer som påvirker hvilke tester vi velger og omfanget Hvor mye vi skal bygge på internkontrollen (nivået på kontrollrisikoen) Tidligere års erfaring med utførelse Nivået på øvrige internkontrollelementer som kontrollmiljø mv Arten av kontrollen Hyppigheten Perioden som kontrollen dekker Hvordan kontrollen virker sammen med øvrige kontroller Hvilke risikoer som dekkes Kompetansen til den som utfører manuelle kontroller Kompleksiteten på utførelsen av kontrollen 32

Fastsette utvalgsstørrelsen Test av kontroller begrenset sikkerhet Type kontroll Kontroll-frekvens Utvalg Kommentarer Manuell Flere pr dag 10 Manuell Daglig 5 Dersom oftere, men mindre enn daglig. Test 10%. Manuell Ukentlig 2 Manuell Månedlig 1 Manuell Kvartalsvis 1 Manuell Årlig 1 Applikasjon 1/10 1 av hver trans.type+ effektive generelle ITkontroller. IT-avhengig 1/10 Hvis ineffektive generelle IT-kontroller, testes som 33 manuell

Fastsette utvalgsstørrelsen Test av kontroller full sikkerhet Type kontroll Kontrollfrekvens Utvalg Manuell Flere pr dag 25 Kommentarer Manuell Daglig 25 Dersom oftere, men mindre enn daglig. Test 10%. Manuell Ukentlig 5 Manuell Månedlig 2 Manuell Kvartalsvis 2 Manuell Årlig 1 Applikasjon 1/25 1 av hver transaksjonstype+ effektive generelle ITkontroller. IT-avhengig 1/25 Hvis ineffektive generelle ITkontroller, testes som manuell 34

Test av 25 - tilstrekkelig Utvalgsstørrelsen er basert på statistikk Testing av egenskaper kontrollens utførelse (attribut virker kontrollen eller ikke) Oppdagende utvalg med 90% sikkerhet / 10% risiko Discovery sampling er en attribut-samplingsteknikk Siden vi normalt gjør flere tester mot en påstand, vil det være tilstrekkelig med 90% sikkerhet knyttet til en test. Utvalget skal være representativt for populasjonen Velger i utgangspunktet tilfeldig Det sentrale er at alle enheter kan bli valgt Tilfeldighetene kan være basert på Fakturanummer Bilagsnummer Sidenummer Linjenummer 35

Test av kontroller Kontrollavvik og utvalgstørrelse Dersom en forventer flere kontrollavvik, blir utvalget større. Tabellen nedenfor er basert på samme sikkerhet (90%) uavhengig av andel feil. Basert på full testing. Antas å gjelde forholdsmessig for begrenset utvalg Forventet kontrollavvik Utvalg Økning Sikkerhet Feilandelen er under: 0 25-90% 10% 1 40 15 90% 10% 2 60 35 90% 10% 36

Resultatet Test av kontroller Ingen avvik Ingen avvik avdekket. Kontrollen synes å fungere som forutsatt. Kontrollavvik Følgende avvik x,y og z er avdekket Dokumentere opp Kommunikasjon med ledelsen Konsekvenser for testomfang og eventuelt ytterligere tester Vurdere om feilen er enkeltstående, representativ eller systematisk Vurdere mulige indikasjoner på misligheter Konsekvenser for anslått risiko 37

Fastsette utvalgsstørrelsen - substanskontroller Utvalgsstørrelsestabeller Bygger på 95% sikkerhet (5% risiko) Betyr at tabellene ofte gir for stort utvalg Pengeenhetsmetoden gir 25% mindre utvalg enn tilfeldig utvalg. Statistisk mer effektivt. Revisjonsrisikotabeller Brukt i Big 4. Bygger på statistikk Tar hensyn til de elementene som er omtalt i oppsummeringen 38

Fastsette utvalgsstørrelsen substanskontroller på interimsdato Krav i ISA 330.22 (b) + A55-58 Må kunne forsvare konklusjoner på interimen Må utføre test av kontroller/ substanskontroller for gjenværende periode. Avhengig av nivået på anslått risiko Jo høyere risiko jo nærmere 31.12 mht kontrolldato 39

Oppsummering hva påvirker utvalgsstørrelsen? Anslått risiko på påstandsnivå Påvirkes av selskapets internkontroll Størrelsen på populasjonen Omfanget av nøkkelposter Revisjonsbevis (sikkerhet) fra øvrige substanskontroller for samme regnskapspåstand Utvalgsmetoden Forventet feilmargin/ avvik Arbeidsvesentlighet 40

Resultatet - Substanskontroller Ingen avvik Ingen beløpsmessig feil avdekket Identifiserte avvik Avdekket differanse på kr x xxx xxx. Beløpet er (a) under grensen for ikke-korrigerte feil eller (b) overført til kjente feil i skjema for ikkekorrigerte feil. For representativt utvalg: Feilen er knyttet til et utvalg på kr x xxx som utgjør x% av populasjonen. Projisert blir mulige feil kr y yyy. Projisert beløp er (a) under grensen for ikke-korrigerte feil eller (b) overført til skjema for ikke-korrigerte feil. Vi har vurdert betydningen av avdekkede feil mht vår anslåtte risiko og kvaliteten på selskapets interne kontroll. Med utgangspunkt i vår revurdering har vi (a) endret anslått risiko for regnskapspåstand F, G, N og notert forholdet som et punkt i brev til ledelsen eller (b) ikke funnet det nødvendig å endre anslått risiko. Ved attributt-utvalg blir det feilandel som vurderes 41

Foreta utvalget og utføre revisjonshandlingen Test av kontroller Mest vanlig er å velge tilfeldig Velge for hele perioden som dekkes av kontrollene OBS: Endringer i prosesser, teknologi og nøkkelpersoner vil medføre flere populasjoner gjennom året 42

Substanskontroller Tilfeldig Vanlig ved statistisk testing, men kan brukes ved ikkestatistisk testing også Systematisk Mest kjent er Pengeenhetsmetoden Bruker fastsatte intervaller for utvelgelse, som betyr at større enheter har høyere sjanger for å bli valgt ut Intervall beregnes ved verdien av populasjonen delt på antall utvalgsenheter. Startpunkt fastsettes tilfeldig 43

Analyser som revisjonsbevis Revisjonsbevis innhentet via analyser påvirker utvalgsstørrelsen Gir revisjonsbevis Gir indikasjoner på hvor det er høyere risiko for feil og bidrar til målstyring av detaljtestingen. Verdien av analysene avhenger av Forretningsforståelse som grunnlag for forventning Presisjonsnivå på analysene Fullstendighet og nøyaktighet av grunnlagsdata Muligheter for å måle sammenhenger 44

Analyse som revisjonsbevis 1. Hva er din forventning? 2. Hva er din vurdering av nivå på arbeidsvesentlighet 3. Gjennomfør beregning og sammenligning 4. Vurder resultat 45

Analyse som revisjonsbevis Anslått risiko Behov for bevis fra substanskontroller Presisjonsnivå Tolererbare feil Lav Lite Mindre presist Stort Moderat Middels Mer presist Mindre Høy Stort Svært presist Lite 46

Hva må revisor dokumentere mht håndtering av anslått risiko? Dokumentasjonskrav i ISA 330 (pkt 28): Typen, tidspunktet for utførelsen og omfanget av videre revisjonshandlinger som er utført Revisjonshandlingenes tilknytning til anslått risiko på påstandsnivå Resultatet av revisjonshandlingene Regnskapet samsvarer eller stemmer med underliggende regnskapsmateriale 47