Dataløsningen for å gjennomføre og ikke minst dokumentere revisjonsprosessen er nå fullt ut integrert i Revisoft Administrasjon. Løsningen er tilgjengelig under revisjon i klientbildet eller fra oppfølingsmodulen for oppdrag. Venstre del av bildet har en trestruktur med arkivinndeling, mens innholdet i høyre del av bildet avhenger av hvilken flipp som er valgt øverst og hvilket punkt som er valgt i trestrukturen.

Transaksjonsklasser og splittede arkivpunkter

Metodikken baserer seg på forhåndsdefinerte transaksjonsklasser og balansesaldoer. Dette fordi det ville vært umulig å få til en fornuftig handlingsbase uten en fast struktur å knytte handlingene opp mot. For å møte utfordringen med foretak som driver flere typer virksomhet (f.eks. ulike typer salg) er det laget et system for å kunne splitte arkivpunkter med bokstavene fra “A” til “G”. For splittede arkivpunkt er det også mulig å endre arkivpunktets navn.

For en bilforhandler kan det f.eks. være hansiktsmessig å splitte transaksjonsklassen salg i; A Biler, B Verksted, C Delelager. Når arkivpunkter splittes vil også valg av kriterier skje individuelt (angis med arkivnummer og bokstav foran kriterieteksten). Splitting av arkivpunkter kan også gjøres for balansesaldoer, men det er for transaksjonklasser det vil være mest aktuelt. Splitting av arkivpunkter kan kun gjøres når flippen “Planlegging” er valgt og man benytter følgende taster:

  • Insert eller numerisk pluss: Splitte valgt arkivpunkt
  • Delete eller numerisk minus: Slette valgte splittede arkivpunkt (fungerer ikke hvis punktet har utførte handlinger)
  • F2: Endre navn på splittet arkivpunkt

Vesentlighet og kriterier

I arbeidet med å generere tilpassede revisjonsplaner inngår det å bruke kunnskapen om foretakets virksomhet til å bestemme vesentlighet på arkivpunktene for transaksjonsklasser, balansesaldoer og tilleggsopplysninger (heretter TBT). For transaksjonsklasser og balansesaldoer skulle dette gi rimelig
fornuftig mening, mens for tilleggsopplysninger blir det søkt så lenge det kun er ett arkivpunkt for det store antall tilleggsopplysninger som kan være aktuelle for et årsregnskap.

Den tidligere løsningen med å definere “fokus” som en kombinasjon av vesentlighet og risiko kunne ikke videreføres i forhold til systemet med egne risikovurderingshandlinger. Valg av vesentlighet har følgende virkning på hvilke handlinger fra basen som blir foreslått:

Vesentlighet Betydning
Ikke aktuell Arkivpunktet er ikke aktuelt. Ingen handlinger tas med.
Uvesentlig Arkivpunktet er aktuelt, men uvesentlig. Ingen handlinger tas med.
Normal Alle minimumshandlinger tas med.
Vesentlig Alle handlinger tas med.

Prosessen med å opprette / oppdatere en tilpasset revisjonsplan er som følger:

  1. Fastsett vesentlighet for de ulike arkivpunktene. Dette gjøres enklest med bruk av tastaturet (piltastene) og bokstavene (som er angitt i parentes).
  2. Klikk for å oppdatere listen over aktuelle kriterier i forhold til valgt vesentlighet.
  3. Sørg for riktig valg av relevante kriterier ved å ta bort haken for kriterier som ikke er aktuelle.
  4. Klikk på knappen for “Oppdatere revisjonshandlingene”
  5. Gå videre til flippen “Utførelse” for å risikovurdere samt utforme og utføre videre revisjonshandlinger

Valg av kriterier påvirker previsjonsplanen ved at handlinger hvor det er defindert kriterier kun kommer med når minst ett av de definerte kriteriene er krysset av.

Den tidligere muligheten til å generere revisjonsplanen til Word er nå borte. Dette fordi den løsningen ikke lenger er vurdert å være hensiktsmessig så lenge prosessen med å vurdere risiko og fastsette videre handlinger medfører at revisjonsplanen blir dynamisk og gjenstand for stadige endringer.

Risikovurdering og videre revisjonshandlinger

Når oppdatering av revisjonshandlingene legger til en risikovurderingshandling settes valgene for risiko (sannsynlighet, konsekvens og anslått risiko) og revisjonsstrategi til “blank”. Man må derfor først ta jobben med å vurdere risiko samt velge revisjonsstrategi før det kan planlegges og utføres videre revisjonshandlinger knyttet til risikoen.

Risikovurderingshandlingene vises i treet med en rød triangel (fareskilt) som symbol. For riskovurderingshandling har nederste del av bildet til høyre en flipp for “Risikovurdering”. Denne skal vises som standard for risikovurderingshandlinger som ikke er utført (dvs hvor det er satt signatur og tatt stilling til videre revisjonsstrategi). Bildet for risikovurdering inneholder foruten en tekstboks for dokumentasjon av sentrale forhold ved risikovurderingen følgende andre elementer:

  • En 3 x 3 matrise for vurdering av risikoens konsekvens og sannsynlighet
  • En nedtrekksboks for angivelse av anslått risiko
  • Valg for karaktertrekkene “mislighet”, “kontrollkrevende” og “særskilt”
  • En 3 x 3 matrise for valg av revisjonsstrategi for videre revisjonshandlinger
  • En knapp for å opprette / oppdatere videre revisjonshandlinger
  • Felter for initialer og dato for (siste) utførelse samt eventuell gjennomgang

De to 3 x 3 matrisene fungerer slik at man med ett museklikk kan sette verdien for begge respektive størrelser. Ved valg i matrisen for konsekvens og sannsynlighet er det slik at anslått risiko settes etter følgende regel; Lav for valg under diagonalen (øvre venstre til nedre høyre), Middels for valg på diagonalen og Høy for valg over diagonalen. Den anslåtte risikoen kan overstyres i forhold til dette, men vil igjen bli satt dersom man endrer valget i matrisen. Ved vurderingen av sannsynlighet og konsekvens er det riktig å ta hensyn til forventninger om foretakets kontroller og deres effektivitet. Hvis den anslåtte risikoen defineres som lav på grunnlag av forventninger om foretakets kontroller må det nødvendigvis utføres kartlegging og testing av disse kontrollene for å støtte opp om denne vurderingen. Nivået på anslått risiko vises også i treet ved ulik størrelse på “fareskiltet”.

Valget i matrisen for revisjonsstrategi har følgende betydning for de videre revisjonshandlinger:

  • Kontrollstrategi:
    Ingen -> ingen kontrolltesthandlinger kommer med
    Kartlegge / teste -> alle kontrolltesthandlinger kommer med
  • Substansstrategi:
    Ingen -> ingen substanshandlinger kommer med
    Normal -> substanshandlinger definert som minimum kommer med
    Utvidet -> alle substanshandlinger kommer med

Kombinasjonen ingen / ingen medfører altså at det ikke utføres noen videre revisjonshandlinger knyttet til den aktuelle risiko (i Descatres omtalt som at risikoen “parkeres” / ikke “følges opp”). Grunnlaget for en slik strategi må nødvendigvis være at revisor har vurdert den anslåtte risikoen som lav og at denne vurderingen ikke i for stor grad er basert på forventninger om effektive interne kontroller. I tillegg kan det ikke være snakk om en vesentlig transaksjonsklasse eller balansesaldo. Likevel må det være mulig og fornuftig å bruke denne kombinasjonen når f.eks. enkle analyser / rimelighetsvurdering foretatt i forbindelse med risikovurderingen støtter at risikoen for vesentlig feilinformasjon er vurdert / redusert til et akseptabelt lavt nivå.

Etter at revisjonsstrategien er satt og knappen for videre revisjonshandlinger er trykket skal de videre revisjonshandlinger dukke opp i treet under risikovurderingshandlingen. Den videre gangen i revisjonen vil da være at man utfører disse handlingene og til slutt vender tilbake til risikovurderingshandlingen. Under
“Beskrivelse og konklusjon” gjøres da en oppsummering samt fastsettelse av konklusjon på om de utførte revisjonshandlinger har gitt tilstrekkelig og hensiktsmessig revisjonsbevis for å fastslå at den identifiserte risiko for vesentlig feilinformasjon er redusert til et akseptabelt nivå.

Når tiden tillater det er planen å legge inn maskinell sjekk / kvalitetskontroll på om valgene for risikovurdering er konsistente (for eksempel at man for en kontrollkrevende risiko også har testing av kontroller som strategi).

Andre revisjonshandlinger

For revisjonshandlingene med andre formål enn risikovurdering brukes kun bildet for “Beskrivelse og konklusjon”. For kontrolltesthandlinger må det vurderes om dokumentasjonen av sentrale elementer ved fortakets kontroll (jfr THORE = Type, Hvordan, hvor Ofte, Risiko og Erfaring) legges i tekstboksen her eller inn som et notat på respektive arkivpunkt (jfr nedenfor). Kontrolltesthandlingene er lagt opp til å både omfatte kartlegging / vurdering og eventuell testing av kontrollene. For å skille på om det kun er utført kartlegging / vurdering eller også testing av kontrollenes effektivitet er det lagt til en avkryssningsboks for “Testet kontrollen?”.

Med mindre beskrivelsen av handlingen fra basen er veldig presis vil det normalt ikke være tilstrekkelig å kun sette konklusjonen. Beskrivelsen av utført handling kan med fordel inneholde følgende momenter; kilde (hvilke kilder er benyttet), omfang (hvor mye er sjekket), vurdering (hvilke vurderinger er foretatt) og resultat (hva er konklusjonen for handlingen).

Egendefinerte handlinger

Handlingsbasen kan nødvendigvis ikke dekke alle typer risiko eller inneholde alle mulige videre revisjonshandlinger. Det er derfor gitt mulighet for å legge til egendefinerte handlinger når flippen for “Utførelse” er valgt.

  • Insert eller numerisk pluss: Opprett en egendefinert handling under valgt arkivpunkt / risikovurderingshandling
  • Delete eller numerisk minus: Slette valgte egendefinerte handling (fungerer ikke hvis handlingen er utført)
  • F2: Åpne bildet for egendefinerte handlinger for å kunne redigere handlingsbeskrivelsen etc

Feil og avvik

Det mulig å notere ned feil og avvik under flippen for dette. I ISA 450.5 er det krav om at revisor skal registrere avdekket feilinformasjon med mindre den er klart ubetydelig (altså under uvesentlighetsgrensen). Det som registreres knyttes til den valgte revisjonshandling. Feil og avvik som
registreres blir tatt med videre til sammendrag. Under utskrifter er det mulig å skirve ut en rapport over registrerte feil og avvik.

Beskrivelseshandlinger

Til bruk for dokumentasjon av kunnskap om foretakets transaksjonsklasser og balansekontoer er det fra og med 2018 opprettet beskrivelseshandlinger knyttet til de ulike arkivpunkter. Dette var tidligere implementert med et sett med tekstbokser for notater på arkivpunktene, men har altså blitt erstattet for å få en forenklet og mer enhetlig struktur. Beskrivelseshandlingene er som standard følgende:

  • Beskrivelse
    • Risiko
    • Personell
    • Rutiner
    • Revisjon

I tillegg er det lagt til “Sammendrag og konklusjon” som en kvalitetskontrollhandling på de enkelte arkivpunkter. Disse handlingene har kriterium “#Områdekonklusjon” og kan dermed fjernes samlet ved å skru av nevnte kriterium.

De tidligere tekstbokser for som lå under egen fane for sammendrag er på tilsvarende vis nå implementert som beskrivelses- og kvalitetskontrollhandlinger under arkivpunkt 2 (Konklusjon og rapportering). Dette gjelder:

  • Momenter til oppfølging for den pågående revisjonen
  • Momenter til oppfølging ved senere revisjon
  • Korrespondanse
  • Sammendrag
  • Beretning (totalkonklusjon)

Sjekklister

For den enkelte handling i basen er det nå mulig å også opprette en tilknyttet sjekkliste. Sjekklistene er basert på samme system som de øvrige revisjonshandlingene hva gjelder bruk av kriterier for å effektivt luke bort uaktuelle punkter. Tilgang til sjekklistene skjer ved en egen knapp under tekstboksen i bildet for “Beskrivelse og konklusjon”.

Utskrifter

Under flippen “Utskrift” ligger følgende rapporter som kan skrives ut:

  • Valg av vesentlighet for TBT
  • Valg av kriterier
  • Revisjonshandlinger / utførelse
  • Sjekklister
  • Feil og avvik
  • Oppsummering og konklusjon (sammendrag)

For revsjonshandlinger og sjekklister kan man velge alle eller spesifikt avmerkede arkivpunkter. Det er videre mulig å avgrense utskriften av revisjonhandlinger på tidspunkt (løpende / årsoppgjør / begge) og konklusjon, samt å bestemme sideskift og hvor mye informasjon som skal tas med i utskriften.

Verktøy og snarveier

Tilgang til systemet for å generere revisjonsberetning (i Word) er fra og med 2018 flyttet til Verktøy-fanen. Knappen for å åpne et Utforsker-vindu med kundens elektroniske mappe (eller eventuelt å opprette slik mappe) samt knappen med link for å gå direkte til kundens sider i Altinn er nå plassert i øvre venstre hjørne av bildet.

En annen nyhet for 2018 er muligheten til å koble et revisjonsoppdrag mot et overordnet oppdrag (“fellesoppdrag”) slik at beskrivelser og handlinger som er sammenfallende for en gruppe av kunder kan vedlikeholdes ett sted og så “nedarves” til revisjonsoppdragene som har kobling mot fellesoppdraget. Når kobling mot overordnet oppdrag foreligger og det finnes beskrivelse hos det overordnede oppdraget så kan man bruke knappen oppe til høyre for feltet for beskrivelse til å skru på / av om tekst skal arves eller ikke.

Under Verktøy-fanen finnes også knapper for å eksportere revisjonsplanen til XML-fil og eventuelt importere den igjen til et annet oppdrag. Dette er funksjoner som ble laget for å muliggjøre arbeid på et revisjonsoppdrag i “frakoblet” modus og så kopiere inn igjen til server, men det har også vært mulig å kopiere mellom oppdrag (for eksempel bruk av mal-kunder) selv om dette på ingen måte er anbefalt.

Til slutt finnes en knapp for å slette revisjonsdataene knyttet til et oppdrag. Denne kan brukes dersom det er blitt opprettet revisjonsmetodikk ved en feil eller dersom årsskifte feilet slik at man ikke fikk med seg data fra forrige år og må blanke og prøve på nytt. Sletting er av sikkerhetsmessige grunner kun mulig når alle handlinger har konklusjon “uaktuell” eller “ikke fullført”.

Tilbakemeldinger (feil og forbedringsforslag)

Handlingsbasen er på ingen måte komplett eller feilfri. Under arbeidet med å tilpasse denne til risikostandardene har veien blitt til underveis (herunder måten vi har forfattet / omskrevet handlingene på). Det er derfor både for revisjonshandlingene og for sjekkpunktene lagt inn en e-post knapp (til høyre og over handlingsbeskrivelsen) for tilbakemelding til metodikk@revisoft.no på feil og forbedringstips. Det oppfordres til å bruke denne akivt slik at vi kan dra nytte av den samlede kompetanse hos alle brukere i den videre utviklingen av metodikken.

Løpende endringer i handlingsbasen vil nå bli oppdatert også for allerede planlagte handlinger så lenge det ikke er konkludert endelig på dem.

Tilbakemeldinger på feil eller forbedringstips til den tekniske løsningen eller dette hjelpesystemet kan også sendes til metodikk@revisoft.no.

< Forrige