Oppgåve 1 COSO-modellen har ein eigen definisjon av kva intern kontroll er; ein prosess som gjennomførast av styret, leiinga og tilsette for å oppnå målretta og kostnadseffektiv drift, påliteleg rapportering og overholde lover og reglar. Det er altså tre målsettingar 1) målretta og kostnadseffektiv drift 2)påliteleg rapportering 3)overholde lover og reglar Intern kontroll er ikkje statisk, men ein prosess som skjer i eit løpande samspel mellom leiinga og dei tilsette på alle nivå. Dette samspelet skjer mellom dei fem komponentane i internkontrollen; kontrollmiljø, risikovurdering, kontrollaktivitetar, informasjon og kommunikasjon og overvaking og oppfølging. Det er også viktig at internkontroll skjer på alle nivå i organisasjonen; føretaket, verksemda, avdelingar og funksjonar. Risiko er hendingar med negative konsekvensar for måloppnåinga. Innanfor risikovurdering er det i COSO 1 fire prinsipp. Første prinsipp er at ein må formulere og fastsette konkrete målsettingar. For å kunne føreta ei risikovurdering må ein først vite kva måla til organisasjonen er. Andre prinsipp er at ein må identifisere og analysere risiko. Dette må gjerast for heile organsiasjonen og ein må ta omsyn til både interne og eksterne risikofaktorar. Tredje prinsipp er at ein må vurdere risikoen for mislegheiter. Ei mislegheit er ei tilsikta handling for å oppnå uberettiga fordelar. Risikoen for mislegheiter auker ved ytre press og dersom moglegheitene for mislegheitar er til stades. Fjerde prinsipp er identifisering og vurdering av risiko for vesentlege endringar. Dette kan vere både interne og eksterne endringar som påverkar målsettingane innanfor drift, rapportering og overholding av lover og reglar. Risikovurdering er difor kort fortalt identifisering av interne og eksterne risikofaktorar. Ut i frå risikovurderinga og målsettingane må ein fastsette kor stor risiko ein aksepterer. Risikoappetitt vil seie kor store avvik frå måla ein godtar i jakta si på verdiar. Ein må bestemme seg for korleis ein vil handtere risikoen, og handle deretter. Det er fleire måtar å handtere risiko på Unngå risiko: avvikle eller gå ut av aktivitetar som er kjelde til risiko Dele risiko: overføre eller dele risiko med andre Akseptere risiko: ikkje føreta seg noko som helst Redusere risiko: iverksette kontrolltiltak som reduserer anten sannsynet eller konsekvensane Dersom ein handterer risikoen ved å iverksette kontrolltiltak må ein rangere hendingane i frå openbare til lite kjent. Konsekvensane må rangerast frå ubetydelege til kritiske. Risikovurderinga er grunnlaget for iverksetting av kontrolltiltak. Ein kan dele kontroll inn i seks grupper: autorisering og godkjenning, arbeidsdeling, fysisk sikring og kontroll, forhandsdefinerte formularer, koder og registre, etterkontroll og kontroll med informasjonsbehandlinga. Innanfor kontrollaktivitetar er det tre prinsipp. Første prinsipp er at ein må velje og utvikle kontrollaktivitetar. Først må ein velje ut aktivitetar som treng ekstra kontrolltiltak. Deretter må ein vurdere kva for samansetnad av kontrolltiltak ein vil iverksette. Svake kontrolltiltak kan kompenserast med andre sterkare kontrolltiltak. Deretter må ein vurdere på kva nivå ein vil iverksette
kontrolltiltaka. Andre prinsipp er at ein må velje og utvikle generelle kontrolltiltak knytt til teknologi. Dette gjeld for både utstyr og programvare. Eit generelt kontrolltiltak kan vere adgangskontrollar. Tredje prinsipp er iverksetting gjennom retningslinjer og rutiner. Ei retningslinje bestemmer kva som skal gjerast, mens ein instruks fortel korleis ei bestemt arbeidsoppgåve skal gjennomførast. Full sikring mot risiko er praktisk umogleg. I tillegg er det kostbart med kontrolltiltak, og kan føre til redusert effektivitet. Difor bør ein etablere effektive rutiner slik at alle veit kva som skal gjerast til kvar ei tid. Når ein gjennomfører ei risikovurdering må ein ta omsyn til den totale risikoen. Dette kan settast opp som eit gongestykke: Ibuande risiko*kontrollrisiko=total risiko for manglande måloppnåing. Ibuande risiko er risikoen ved å drive eit føretak, og kontrollrisiko er risikoen knytt til at internkontrollen ikkje førebyggjer eller oppdagar risiko. Det er tre ulike kontrollnivå. Preventive kontrollar er det mest effektive. Desse skal førebyggje risiko. Oppdagande kontrollar oppdagar risiko, mens korrigerande kontrollar skal korrigere kontrollsystemet for å hindre at noko liknande skal skje igjen. Eksempel på kontrollaktivitetar kan vere autorisering, adgangskontrollar og begrensa adgang, arbeidsdeling, løpande avstemmingar og fysisk kontroll og sikring. Spørsmål c) i) Alle rutinene i ei verksemd skal oppfylle kvalitetskrava til rekneskapsrapporteringa, og skal difor sikre at økonomisk informasjon er korrekt presentert og skildra. Alle kvalitetskrava kan eksemplifiserast med varelagerrutinen Gyldigheit vil seie at noko er gjeldande. Reglane for behandling av eit varelager er fulgt, slik at dette f.eks. er korrekt verdsett Fullstendigheit tyder at ein sikrer at alle varer på eit varelager er tatt med. Ingen varer er uteblitt og eventuelle manglar blir kartlagt og fulgt opp Eksistens og tilhøyrsle vil seie at ein sikrer at alle varer faktisk eksisterer, men også tilhøyrer føretaket. Det vil seie at ein må vere sikker på at varer ikkje er bestilt av tilsette, eller er leigd frå andre. Ein må gjennomføre fysisk vareteljing, og oppdatere varelagerregisteret med faktisk behaldning. Periodisering knyt seg til reglane om korleis ein skal behandle transaksjonar. Dette kan vere vanskeleg ved f.eks. årsskifte. Her må ein passe på at varekostnad blir ført og periodisert i korrekt år. ii) Tydninga av kvalitetskrava varierer frå rekneskapspost til rekneskapspost. Dette er fordi viktigheita av ulike rekneskapspostar varierer. Når det gjeld postar som er grunnlag for avgifter og skattar til det offentlege, er det knytt store kvalitetskrav til desse. Eit døme er skattetrekk. At dette er korrekt utrekna og at saldo på konto for avsett skattetrekk er høg nok er viktig for å unngå straffereaksjonar frå det offentlege. Andre postar som kun har intern tydning for føretaket, har ikkje like store kvalitetskrav. Døme kan vere avsetnad til sjølvpålagte opprydningsutgiftar. Oppgåve 2 Bokføringslova er grunnlaget for rapportering og kontroll. Dei som har rekneskapsplikt, plikt til å levere inn næringsoppgåve eller plikt til å levere inn omsetningsoppgåve har også bokføringsplikt. Gjennom eit slikt felles regelverk er det moglegheit for å gjennomføre samanlikningar. Ein kan
samanlikne ulike år i same bedriften, eller ein kan samanlikne ulike bedrifter i same år. Det gjev også moglegheit for kontroll i ettertid, og er grunnlaget for innkrevjing av skattar og avgifter til det offentlege. Formålet med bokføringslova er difor å sette ein standard for korleis informasjon frå ulike forretningsaktivitetar i ei verksemd skal behandlast, dokumenterast og oppbevarast. Alle bokføringar i eit rekneskap skal underbyggjast av dokumentasjon. Det er vanleg å kronologisk tilordne slik dokumentasjon ein identifikasjonskode. Bilagsnummer er døme på slike identifikasjonskoder. Når ein fører informasjon inn i eit rekneskapssystem er det vanleg å behandle denne informasjonen med tilordningskodar, f.eks. kontonummer. Ved å ta utgangspunkt i ei bokføring i rekneskapet, skal det vere mogleg å spore denne tilbake til dokumentasjonen. Det skal også vere mogleg å gå andre vegen ved å ta utgangspunkt i dokumentasjonen for å så finne den bokførste informasjonen i rekneskapet. Dette kjem av bokføringslova 4 punkt 7 og 6. Her står det at det skal føreligge tovegs kontrollspor mellom dokumentasjon, spesifikasjonar og pliktig rekneskapsrapportering. I tillegg står det at dokumentasjonav bokførte opplysningar skal vere nummerert eller identifisert på annan måte som gjer det mogleg å kontrollere at den er fullstendig. Dersom ein tilordner dokumentasjon bilagsnummer i stigande og følgjande rekkefølgje, er det mogleg å kontrollere om noko av dokumentasjonen manglar. Oppgåve 3 Hovudmålsettinga for internkontrollen i innkjøpsrutina er å sikre at ein kun betalar for bestilte og mottatte varer som tilhøyrer føretaket. Dette føreset at ein sikrar at varekostnad og andre kostnadar har førekome, tilhøyrer føretaket og er bokført med korrekt beløp, på korrekt konto i korrekt periode. I tillegg må ein sikre at all leverandørgjeld eksisterer, tilhøyrer føretaket og er korrekt verdsett Mykje av informasjonen som nyttast i ei innkjøpsrutine er lagra i elektroniske register. Denne informasjonen blir nytta fleire gonger, og det er difor viktig at denne er korrekt og oppdatert. Døme på slike register er innkjøpsregister som inneheld informasjon om innkjøpsordrar, lagerregister som inneheld informasjon om varebehaldning og antal varer på lager, prisregister som inneheld informasjon om prisar på varer og leverandørregister som inneheld informasjon om leverandørane. Eit generelt kontrolltiltak i forhold til desse registra er å begrense tilgangen til dei, og sikre kontrollar som oppdaterer og kontrollerer at informasjonen er korrekt. Eit anna generelt kontrolltiltak er arbeidsdeling. Arbeidsdeling vil seie at tilsette eller aktivitetar fungerer som ein kontroll over andre personar eller aktivitetar i organsiasjonen. På den måten er det ingen enkeltperson som kontrollerer alle forretningsaktivitetane i ei rutine. I dette tilfellet vil det seie arbeidsdeling mellom funksjonane bestilling, varemottak, fakturamottak, betaling og rekneskapsføring. Arbeidsdeling er ikkje eit mål i seg sjølv, men førebyggjer feil og mislegheiter. Dersom det er vanskeleg å oppnå tilfredsstillande arbeidsdeling, kan dette kompenserast med at leiinga tek meir del i den daglege drifta og kontrollerer og overvaker dei tilsette i større grad. Ved bestilling må ein tenke på kven som har moglegheit til å bestille varer. Dette bør det fastsettast ei rutine på, og ein bør også delegere innkjøpsmyndigheit. På denne måten begrenser ein innkjøp til eit fåtall personar. På denne måten er det vanskelegare å utføre bestillingar som er i strid med retningslinjene, f.eks. innkjøp som overskrider budsjett og private innkjøp. Ein bør også ha arbeidsdeling mellom dei som utarbeider bestillingsforslaget og dei som faktisk bestiller. Vurdering av innkjøpsbehov er også viktig. Det er både risiko knytt til det å ikkje bestille varer tidsnok, og det å gjennomføre unødvendige kjøp. Ein kan utvikle system der ein bestemmer minimumsbehaldning og bestillingsnivå. På denne måten blir det automatisk utarbeidd eit bestillingsforslag når ei vare når
minimumsbehaldninga. Bestillingsnivået må kontrollerast manuelt før det blir sendt vidare til innkjøpsavdelinga. Når bestillingar bygger på informasjon frå varelageret, er det viktig at det utførast kontrollar som sikrer at denne informasjonen er korrekt. Ved varemottak er det viktig at ein kontrollerer varene. At ein mottek varer som faktisk er bestilt og at kvalitet og kvantum er korrekt. Eit generelt kontrolltiltak er som tidlegare nemnd arbeidsdeling. Arbeidsdeling mellom varemottaket og innkjøpsavdelinga kan vere med på å førebyggje og avdekke feil. Når ein mottek varer må ein som nemnd kontrollere at varene faktisk er bestilt, og at ein ikkje mottek feil forsending. Dette kan ein kontrollere ved å sjekke forsendinga mot bestillingsordren. I tillegg må ein sjekke bestillingsordren mot pakkseddelen som følgjer med varene. Desse må igjen kontrollerast mot faktisk mottatt varer. Faktisk mottatte varer blir notert på ein mottaksseddel, og feil, manglar, skadar eller avvik blir notert på eit avviksskjema for vidare oppfølgjing. Mottaksseddelen leverast til fakturaavdelinga slik at mottatt faktura kan kontrollerast mot mottaksseddelen. Det er også viktig at varelageret oppdaterast med faktisk mottatte varer. Her er det også lurt med arbeidsdeling mellom dei som mottar varer og dei som oppdaterer varelageret. I fakturamottaket må ein som tidlegare nemnd kontrollere informasjonen på inngåande faktura mot mottaksseddelen. Også andre faste data slik som leveringsadresse og pris må kontrollerast. Dersom fakturaen stemmer må den godkjennast og gjerast klar for utbetaling. Her bør det også vere arbeidsdeling mellom dei som godkjenner fakturaen og dei som gjennomfører utbetalinga. Rekneskapsføring av faktura og utbetaling bør også vere ein uavhengig funksjon i frå dei andre aktivitetane. All bokføring må byggje på godkjent dokumentasjon, og det er også viktig at ein har folk med den rette kunnskapen slik at bokføringa blir korrekt utført og følgjer rekneskapsreglane. Oppgåve 4 I forskriften til rekneskapsførerlova 3-1 står det at tidlegare rekneskapsførar plikter å gi opplysningar til ny rekneskapsførar om forhold som tilseier at ny rekneskapsførar ikkje bør påta seg oppdraget, dersom ny rekneskapsførar spør om dette. Det same står i standarden av juni 2014 om god rekneskapsføringsskikk pkt. 2.2. Ny rekneskapsførar skal be om ein uttalelse om oppdragsforholdet frå tidlegare rekneskapsførar, og oppdragsgivar skal orienterast om at dette har skjedd. Denne uttalelsen skal innhentast før den nye rekneskapsføraren inngår oppdragsavtale med oppdragsgivar. Tidlegare rekneskapsførar skal minimum opplyse om forhold knytt til oppdragsutføringa som inneberer misleghald av oppdragsavtalen eller brot på krav gitt i eller medhald av lov. Dette skal normalt opplysast om innan 14 dagar etter mottak av førespurnaden frå ny rekneskapsførar. Desse opplysningane kan gis utan hinder av teieplikta, jf. rekneskapsførarlova 10 tredje ledd. Rekneskapsførar teieplikt kjem av rekneskapsførarlova 10. Både rekneskapsførar og medarbeidarane har teieplikt om alt dei får kjennskap til under verksemda si. Dette gjeld også etter at oppdraget er avslutta. Likevel er det unntak, og teieplikta gjeld ikkje dersom ein rekneskapsførar kontrollerer ein annan rekneskapsførars rekneskapsføraroppdrag, jf. rekneskapsførarlova 10 andre ledd. Som tidlegare nemnd gjeld heller ikkje teieplikta dersom ny rekneskapsførar ber om opplysningar frå tidlegare rekneskapsførar, jf. rekneskapsførarlova 10 tredje ledd. Teieplikta gjeld heller ikkje ovanfor domstol eller politiet når det er opna etterforskning i ei straffesak, jf. rekneskapsførarlova 10 fjerde ledd. Etter rekneskapsførarlova 10 femte ledd kan rekneskapsførar også underette politiet dersom det er forhold som gjev grunn til mistanke om at det er føretatt ei straffbar handling. Autoriserte rekneskapsførarar er også rapporteringspliktige etter hvvl. 4. Dersom det er mistanke om ei straffbar handling, er ein også unntatt av teieplikta, jf. hvvl. 18
Spørsmål c) Krava til innhaldet i oppdragsavtalen mellom oppdragsgivar og rekneskapsførarverksemda kjemav rekneskapsførarlova 3. Oppdragsavtalen skal innehalde spesifikasjon av rekneskapsfunksjonane og andre oppdrag som rekneskapsføraren skal utføre, og for kva tid oppdraget skal gjelde, jf. rekneskapsførarlova 3 første ledd. Innhaldet i oppdragsavtale er nærmare spesifisert i standard av juni 2014 om god rekneskapsføringsskikk pkt. 3.2. Oppdragsavtalen skal innehalde informasjon om tidsfristar, kven som er ansvarleg rekneskapsførar for oppdraget, korleis personopplysningar skal behandlast og kven som skal gis informasjon hos oppdragsgivar. Oppdragsgivar må heller ikkje gis inntrykk av at oppdragsgivars eige ansvar reduserast gjennom bruk av rekneskapsførar. Spørsmål d) Informasjon om overordna intern kontroll på oppdragsnivå finn ein i standard av juni 2014 om god rekneskapsføringsskikk pkt. 7.1. Det er oppdragsansvarleg eller ein annan autorisert rekneskapsførar som minst ei gong i året skal kontrollere at oppdragsavtalen og krav gitt i eller i medhald av lov etterlevast for kvar oppdragsgivar. Kontrollen skal minst omfatte at oppdragsavtalen er a jour, fullmakter er skriftleg dokumentert og a jour, oversikt over mottak og utlevering av oppdragsgivars rekneskapsmateriale er a jour, vurdering av oppdragsgivars interne rutiner er gjennomført og dokumentert, avstemmingar utførast og dokumenterast tilfredsstillande, handlingar i forbindelse med årsoppgjer er gjennomført, rapportering gjennomførast i henhald til oppdragsavtalen og krav gitt i eller i medhald av lov, framdriftsoversikt er a jour og oppdraksdokumentasjon er a jour.