Dataløsningen for å gjennomføre og ikke minst dokumentere revisjonsprosessen er nå fullt ut integrert i Revisoft Administrasjon. Løsningen er tilgjengelig under revisjon i klientbildet eller fra oppfølingsmodulen for oppdrag. Venstre del av bildet har en trestruktur med arkivinndeling, mens innholdet i høyre del av bildet avhenger av hvilken flipp som er valgt øverst og hvilket punkt som er valgt i trestrukturen.
Transaksjonsklasser og splittede arkivpunkter
Metodikken baserer seg på forhåndsdefinerte transaksjonsklasser og balansesaldoer. Dette fordi det ville vært umulig å få til en fornuftig handlingsbase uten en fast struktur å knytte handlingene opp mot. For å møte utfordringen med foretak som driver flere typer virksomhet (f.eks. ulike typer salg) er det laget et system for å kunne splitte arkivpunkter med bokstavene fra «A» til «G». For splittede arkivpunkt er det også mulig å endre arkivpunktets navn.
For en bilforhandler kan det f.eks. være hansiktsmessig å splitte transaksjonsklassen salg i; A Biler, B Verksted, C Delelager. Når arkivpunkter splittes vil også valg av kriterier skje individuelt (angis med arkivnummer og bokstav foran kriterieteksten). Splitting av arkivpunkter kan også gjøres for balansesaldoer, men det er for transaksjonklasser det vil være mest aktuelt. Splitting av arkivpunkter kan kun gjøres når flippen «Plan og utførelse» er valgt og man benytter følgende taster:
- Insert eller numerisk pluss: Splitte valgt arkivpunkt
- Delete eller numerisk minus: Slette valgte splittede arkivpunkt (fungerer ikke hvis punktet har utførte handlinger)
- F2: Endre navn på splittet arkivpunkt
Vesentlighet og kriterier
I arbeidet med å generere tilpassede revisjonsplaner inngår det å bruke kunnskapen om foretakets virksomhet til å bestemme vesentlighet på arkivpunktene for transaksjonsklasser, balansesaldoer og tilleggsopplysninger (heretter TBT). For transaksjonsklasser og balansesaldoer skulle dette gi rimelig fornuftig mening, mens for tilleggsopplysninger blir det søkt så lenge det kun er ett arkivpunkt for det store antall tilleggsopplysninger som kan være aktuelle for et årsregnskap.
Valg av vesentlighet har følgende virkning på hvilke handlinger fra basen som blir foreslått:
Vesentlighet | Betydning |
Ikke aktuell | Arkivpunktet er ikke aktuelt. Ingen handlinger tas med. |
Uvesentlig | Arkivpunktet er aktuelt, men uvesentlig. Ingen handlinger tas med. |
Normal | Alle minimumshandlinger tas med. |
Vesentlig | Alle handlinger tas med. |
Prosessen med å opprette / oppdatere en tilpasset revisjonsplan er som følger:
- Fastsett vesentlighet for de ulike arkivpunktene. Dette gjøres enklest med bruk av tastaturet (piltastene) og bokstavene (som er angitt i parentes) under «Vesentlighetsnivå for arkivpunkt». Merk at valget for vesentlighet kun vises for de arkivpunkter hvor det er aktuelt.
- Klikk på knappen for kriterier («Trakt» lengst til høyre over handlingstreet) for å vise listen over aktuelle kriterier i forhold til valgt vesentlighet. Kriterier som er «nye» som resultat av endring i definert vesentlighet settes på som standard og vises med uthevet tekst.
- Sørg for riktig valg av relevante kriterier ved å ta bort haken for kriterier som ikke er aktuelle.
- Klikk på knappen for «Lagre kriterievalg og oppdatere handlinger».
Valg av kriterier påvirker previsjonsplanen ved at handlinger hvor det er defindert kriterier kun kommer med når minst ett av de definerte kriteriene er krysset av.
Merk at knappen for kriterier blir oransje når det er kommet til nye kriterier som det ikke er tatt stilling til. Derfor viktig å gå inn på kriterielisten og huke vekk de nye som ikke er aktuelle for å unngå at revisjonsplanen får med seg uaktuelle handlinger.
Risikovurdering og videre revisjonshandlinger
Når oppdatering av revisjonshandlingene legger til en risikovurderingshandling settes valgene for risiko (sannsynlighet, konsekvens og anslått risiko) og revisjonsstrategi til «blank». Man må derfor først ta jobben med å vurdere risiko samt velge revisjonsstrategi før det kan planlegges og utføres videre revisjonshandlinger knyttet til risikoen.
Risikovurderingshandlingene vises i treet med en rød triangel (fareskilt) som symbol. For riskovurderingshandling har høyre del av bildet en fane for «Risikovurdering». Denne skal vises som standard for handlinger som ikke er utført (dvs hvor det er satt signatur og tatt stilling til videre revisjonsstrategi) samt hvor risikoen er «parkert». Bildet for risikovurdering inneholder foruten en tekstboks for dokumentasjon av sentrale forhold ved risikovurderingen følgende andre elementer:
- En 3 x 3 matrise for vurdering av risikoens konsekvens og sannsynlighet
- En nedtrekksboks for angivelse av anslått risiko
- Valg for karaktertrekkene «mislighet», «kontrollkrevende» og «særskilt»
- En 3 x 3 matrise for valg av revisjonsstrategi for videre revisjonshandlinger
- En knapp for å opprette / oppdatere videre revisjonshandlinger
- Felter for initialer og dato for (siste) utførelse samt eventuell gjennomgang
De to 3 x 3 matrisene fungerer slik at man med ett museklikk kan sette verdien for begge respektive størrelser. Ved valg i matrisen for konsekvens og sannsynlighet er det slik at anslått risiko settes etter følgende regel; Lav for valg under diagonalen (øvre venstre til nedre høyre), Middels for valg på diagonalen og Høy for valg over diagonalen. Den anslåtte risikoen kan overstyres i forhold til dette, men vil igjen bli satt dersom man endrer valget i matrisen.
Ved vurderingen av sannsynlighet og konsekvens er det riktig å ta hensyn til forventninger om foretakets kontroller og deres effektivitet. Hvis den anslåtte risikoen defineres som lav på grunnlag av forventninger om foretakets kontroller må det nødvendigvis utføres kartlegging og testing av disse kontrollene for å støtte opp om denne vurderingen. Nivået på angitt anslått risiko vises i handlingstreet via størrelsen på «fareskiltet».
Valget i matrisen for revisjonsstrategi har følgende betydning for de videre revisjonshandlinger:
- Kontrollstrategi:
Ingen -> ingen kontrolltesthandlinger kommer med
Kartlegge / teste -> alle kontrolltesthandlinger kommer med - Substansstrategi:
Ingen -> ingen substanshandlinger kommer med
Normal -> substanshandlinger definert som minimum kommer med
Utvidet -> alle substanshandlinger kommer med
Kombinasjonen ingen / ingen medfører altså at det ikke utføres noen videre revisjonshandlinger knyttet til den aktuelle risiko (risikoen «parkeres»). Grunnlaget for en slik strategi må nødvendigvis være at revisor har vurdert den anslåtte risikoen som lav og at denne vurderingen ikke i for stor grad er basert på forventninger om effektive interne kontroller. I tillegg kan det ikke være snakk om en vesentlig transaksjonsklasse eller balansesaldo. Likevel må det være mulig og fornuftig å bruke denne kombinasjonen når f.eks. enkle analyser / rimelighetsvurdering foretatt i forbindelse med risikovurderingen støtter at risikoen for vesentlig feilinformasjon er vurdert / redusert til et akseptabelt lavt nivå.
Endring av valget for revisjonsstrategi får (i kombinasjon med valgte kriterier) en umiddelbar effekt på hvilke forslag til videre revisjonshandlinger som kommer med fra handlingsdatabase. De videre revisjonshandlinger vises som underordnet i handlingstreet.
Tross systemet med kriterier er det på ingen måte gitt at samtlige foreslåtte videre handlinger er relevante eller hensiktsmessige i forhold til vurdert risiko og foretakets systemer / rutiner. Slike uaktuelle handlinger lukes bort ved å angi «Uaktuell» som konklusjon. I tillegg er det mulig å skjule alle uaktuelle handlinger ved å ta bort haven for «Vis uaktuelle» nederst til venstre i bildet. Merk at konklusjonen uaktuell vil videreføres ved årsskifte slik at det anbefales mens man jobber med planlegging av et videreført oppdrag å ha på «Vis uaktuelle» for å fange opp tidligere uaktuelle handling i år har blitt aktuelle.
Den videre gangen i revisjonen vil da være at man utfører de videre handlingene og til slutt vender tilbake til risikovurderingshandlingen fane for «Beskrivelse og konklusjon». Her kan det med fordel gis en kort oppsummering før det konkluderes på om de utførte revisjonshandlinger har gitt tilstrekkelig og hensiktsmessig revisjonsbevis for å fastslå at den identifiserte risiko for vesentlig feilinformasjon er redusert til et akseptabelt nivå.
Andre / videre revisjonshandlinger
For revisjonshandlingene med andre formål enn risikovurdering brukes kun fanen for «Beskrivelse og konklusjon».
Kontrolltesthandlinger og beskrivelse av foretakets rutiner / kontroller
Kontrolltesthandlingene er lagt opp til å omfatte både kartlegging / vurdering av rutiner / kontroller og eventuell testing av kontrollene. For å skille på om det også er utført testing av kontrollenes effektivitet har bildet en avkryssningsboks for «Testet kontrollen?».
Når det ikke planlegges test av kontroll er det altså tilstrekkelig med en generell kartlegging av relevante rutiner samt vurdering av om disse har eventuelle svakheter som bør følges opp / rapporteres til ledelsen.
Det anbefales å samle kunnskap om sentrale rutiner på et område i beskrivelseshandlingen for «Rutiner». Når det er identifisert kontroller som planlegges testet anbefales det å dokumentere kontrollens nøkkelegenskaper i kontrolltesthandlingens beskrivelsesfelt for nærhet til dokumentasjon av utført test og tilhørende konklusjon. Bruk gjerne huskeregel «THORE» (= Type, Hvordan, hvor Ofte, Risiko og Erfaring) ved systematisk dokumentasjon av nøkkelegenskapene til identifiserte kontroller. Avvik gjerne fra disse anbefalte plasseringer hvis noe annet anses mer hensiktsmessig, men unngå å dokumentere samme forhold flere steder og bruk referanser så dokumentasjonen blir sporbar og tilgjengelig for andre.
Rotasjon av kontrolltester
Revisjonsstandardene åpner for å benytte rotasjonsplan (inntil hvert tredje år) for test av kontroller som er uendret fra tidligere år. Husk krav om dokumentasjon for uendret kontroll (for eksempel ved én vugge-til-grav) de år kontrollen ikke testes. Dokumenter eventuell rotasjonsplan med angivelse av årstall.
Prinsipper for god dokumentasjon
Med mindre beskrivelsen av handlingen fra basen er veldig presis vil det normalt ikke være tilstrekkelig å kun sette konklusjonen. Beskrivelsen av utført handling kan med fordel inneholde følgende momenter; kilde (hvilke kilder er benyttet), omfang (hvor mye er sjekket), vurdering (hvilke vurderinger er foretatt) og resultat (hva er konklusjonen for handlingen). Husk at formålet med dokumentasjonen er at andre med kjennskap til revisjonsfaget skal kunne forstå og vurdere arbeidet som er utført.
Egendefinerte handlinger
Handlingsbasen kan nødvendigvis ikke dekke alle typer risiko eller inneholde alle mulige videre revisjonshandlinger. Det er derfor gitt mulighet for å legge til egendefinerte handlinger når flippen for «Utførelse» er valgt.
- Insert eller numerisk pluss: Opprett en egendefinert handling under valgt arkivpunkt / risikovurderingshandling
- Delete eller numerisk minus: Slette valgte egendefinerte handling (fungerer ikke hvis handlingen er utført)
- F2: Åpne bildet for egendefinerte handlinger for å kunne redigere handlingsbeskrivelsen etc
Feil og avvik
I ISA 450.5 er det krav om at revisor skal registrere avdekket feilinformasjon med mindre den er klart ubetydelig (altså under uvesentlighetsgrensen). Det er laget et eget bilde for å notere og følge opp feil og avvik (Knapp med «Fareskilt med !» til høyre over handlingstreet).
Haken for «Vis alle» må være «av» for å kunne legge til en ny registrering. Feil og avvik knyttes til den handling som er valgt i handlingstreet. Når «Vis alle» er «på» så skal listen i bildet for feil og avvik vise alle noterte feil / avvik uavhengig av hvilken handling som er valgt. Når man da velger en notert feil / avvik i listen så skal tilknyttet handling samtidig bli valgt i handlingstreet.
Bildet for feil og avvik har egen knapp for utskrift av liste over noterte feil og avvik med beløpsmessig sammendrag for hva som er rettet eller ikke.
Beskrivelseshandlinger
Til bruk for dokumentasjon av kunnskap om foretakets transaksjonsklasser og balansekontoer er det fra og med 2018 opprettet beskrivelseshandlinger knyttet til de ulike arkivpunkter. Dette var tidligere implementert med et sett med tekstbokser for notater på arkivpunktene, men har altså blitt erstattet (konvertert til beskrivelseshandlinger) for å få en forenklet og mer enhetlig struktur. Beskrivelseshandlingene er som standard følgende:
- Beskrivelse
- Risiko
- Personell
- Rutiner
- Revisjon
I tillegg er det lagt til «Sammendrag og konklusjon» som en kvalitetskontrollhandling på de enkelte arkivpunkter. Disse handlingene har kriterium «#Områdekonklusjon» og kan dermed fjernes samlet ved å skru av nevnte kriterium.
De tidligere tekstbokser for som lå under egen fane for sammendrag er på tilsvarende vis blitt implementert som beskrivelses- og kvalitetskontrollhandlinger under arkivpunkt 2 (Konklusjon og rapportering). Dette gjelder:
- Momenter til oppfølging for den pågående revisjonen
- Momenter til oppfølging ved senere revisjon
- Korrespondanse
- Sammendrag
- Beretning (totalkonklusjon)
Sjekklister
For den enkelte handling i basen er det nå mulig å også opprette en tilknyttet sjekkliste. Sjekklistene er basert på samme system som de øvrige revisjonshandlingene hva gjelder bruk av kriterier for å effektivt luke bort uaktuelle punkter. Tilgang til sjekklistene skjer ved en egen knapp over konklusjonsvalgene nede til høyre i fanen for «Beskrivelse og konklusjon».
Utskrifter
Under flippen «Utskrift» ligger følgende rapporter som kan skrives ut:
- Valg av vesentlighet for TBT
- Valg av kriterier
- Revisjonshandlinger / utførelse
- Sjekklister
For revsjonshandlinger og sjekklister kan man velge alle eller spesifikt avmerkede arkivpunkter. Det er videre mulig å avgrense utskriften av revisjonhandlinger på tidspunkt (løpende / årsoppgjør / begge) og konklusjon, samt å bestemme sideskift og hvor mye informasjon som skal tas med i utskriften.
Utskrift av liste over noterte «feil og avvik» fra bildet for Feil og avvik (se over).
Verktøy og snarveier
Tilgang til systemet for å generere revisjonsberetning (i Word) er fra og med 2018 flyttet til Verktøy-fanen. Knappen for å åpne et Utforsker-vindu med kundens elektroniske mappe (eller eventuelt å opprette slik mappe) samt knappen med link for å gå direkte til kundens sider i Altinn er nå plassert i øvre venstre hjørne av bildet.
En annen nyhet for 2018 er muligheten til å koble et revisjonsoppdrag mot et overordnet oppdrag («fellesoppdrag») slik at beskrivelser og handlinger som er sammenfallende for en gruppe av kunder kan vedlikeholdes ett sted og så «nedarves» til revisjonsoppdragene som har kobling mot fellesoppdraget. Når kobling mot overordnet oppdrag foreligger og det finnes beskrivelse hos det overordnede oppdraget så kan man bruke knappen oppe til høyre for feltet for beskrivelse til å skru på / av om tekst skal arves eller ikke.
Under Verktøy-fanen finnes også knapper for å eksportere revisjonsplanen til XML-fil og eventuelt importere den igjen til et annet oppdrag. Dette er funksjoner som ble laget for å muliggjøre arbeid på et revisjonsoppdrag i «frakoblet» modus og så kopiere inn igjen til server, men det har også vært mulig å kopiere mellom oppdrag (for eksempel bruk av mal-kunder) selv om dette på ingen måte er anbefalt.
Til slutt finnes en knapp for å slette revisjonsdataene knyttet til et oppdrag. Denne kan brukes dersom det er blitt opprettet revisjonsmetodikk ved en feil eller dersom årsskifte feilet slik at man ikke fikk med seg data fra forrige år og må blanke og prøve på nytt. Sletting er av sikkerhetsmessige grunner kun mulig når alle handlinger har konklusjon «uaktuell» eller «ikke fullført».
Tilbakemeldinger (feil og forbedringsforslag)
Handlingsbasen er på ingen måte komplett eller feilfri. Under arbeidet med å tilpasse denne til risikostandardene har veien blitt til underveis (herunder måten vi har forfattet / omskrevet handlingene på). Det er derfor både for revisjonshandlingene og for sjekkpunktene lagt inn en e-post knapp (til høyre og over handlingsbeskrivelsen) for tilbakemelding til metodikk@revisoft.no på feil og forbedringstips. Det oppfordres til å bruke denne akivt slik at vi kan dra nytte av den samlede kompetanse hos alle brukere i den videre utviklingen av metodikken.
Løpende endringer i handlingsbasen vil nå bli oppdatert også for allerede planlagte handlinger så lenge det ikke er konkludert endelig på dem.
Tilbakemeldinger på feil eller forbedringstips til den tekniske løsningen eller dette hjelpesystemet kan også sendes til metodikk@revisoft.no.