Her følger informasjon om teorien som ligger bak denne delen av revisjonsmetodikken og prinsippene som er forsøkt lagt til grunn for utarbeidelsen av handlingsbasen som ligger inne i systemet.
Transaksjonsklasser, balansesaldoer og tilleggsopplysninger
Handlingsbasen er strukturert etter en fast arkivinndeling med utgangspunkt i den som ble introdusert med Descartes versjon 2. For å tilpasse til de nye risikostandardene ble punktene 8 og 9 som tidligere var inntekter og kostnader erstattet med henholdsvis tilleggsopplysninger og transaksjonsklasser, mens balansesaldoene lå på punkt 10 til 20. Etter et par års bruk viste denne strukturen seg å være lite hensiktsmessig da det ble veldig mye på 9 samtidig som en del transaksjonsklasser med små volumer var bedre å arkivere sammen med tilhørende balansesaldoer. Fra og med 2008 ble derfor strukturen lagt om til slik at enkelte arkivpunkter har blitt revisjonsområder som inneholder både transaksjonsklasser og balansesaldoer. Fra 2012 ble det lagt til arkivpunkt 4 for konsernregnskap og fra 2018 er planlegging og revisjonsstrategi flyttet til arkivpunkt 1. Arkivstrukturen er dermed for tiden slik:
- Planlegging og revisjonsstrategi
- Konklusjon og rapportering
- <ledig>
- Konsernregnskap
- Tilleggsopplysninger / Årsavslutning
- Skatteområdet
- <ledig>
- Salgstransaksjoner
- Kjøpstransaksjoner
- Revisjonsområder / Balansesaldoer (… 20)
Revisjonsstandarden ISA 315.25 krever at det i tillegg til vurdering av risiko på regnskapsnivå (risiko som kan gi feil ved flere sider av regnskapet eller regnskapet som helhet) også må gjøres detaljert vurdering av risiko på regnskapspåstandsnivå for transaksjonsklasser, balansesaldoer og tilleggsopplysninger (heretter TBT). Den norske ISA 315 bruker begrepet «kontosaldo», men det er rimelig opplagt (spesielt ut fra den engelske teksten) at det er snakk om saldo på balansekontoer. Derfor benytter denne metodikken betegnelsen «balansesaldo».
Regnskapspåstander
Eksempler på regnskapspåstander er nå gitt i ISA 315.A124 (veiledningstekst) og ISA 315.A125 åpner for å benytte andre påstander enn de som er nevnt i veiledningen så lenge alle aspekter blir dekket.
Denne metodikken bruker kun tre påstander; nøyaktighet, fullstendighet og realitet. Inspirasjon er hentet fra den amerikanske vitneeden «the truth, the whole truth and nothing but the truth» (sannheten, hele sannheten og intet annen enn sannheten). Målet med er regnskap er å fortelle den økonomiske «historien» om foretakets virksomhet og denne parallellen synes derfor både relevant og praktisk. Disse tre påstandene er sammenfallende med grunnleggende bokføringsprinsipp nr 2, 3 og 4 (se bokføringsloven §4). Metodikkens tre påstander og hvordan de innholdsmessig henger sammen med og dekker aspektene fra eksempelpåstandene i ISA 315.A124 fremgår av følgende tabell:
Denne metodikk
|
Transaksjonsklasser
|
Balansesaldoer
|
Tilleggsopplysninger
|
Nøyaktighet «sannheten» |
Nøyaktighet Periodisering Klassifisering |
Verdsettelse og fordeling | Nøyaktighet og verdsettelse Klassifisering og forståelighet |
Fullstendighet «hele sannheten» |
Fullstendighet | Fullstendighet | Fullstendighet |
Realitet «intet annet enn sannheten» |
Gyldighet | Eksistens Rettigheter og forpliktelser |
Gyldighet og rettigheter og forpliktelser |
Revisjonshandlinger – typer, formål og art
Etter ISA 330.A5 skal begrepet «type» revisjonshandling forstås som revisjonshandlingens «formål» mens «art» refererer til de ulike varianter av handlinger som revisor kan utføre.
Revisjonshandlingene i basen er fordelt etter seks ulike handlingstyper (dvs «formål»):
- Risikovurdering (R)
Dette er handlinger hvor revisor skal vurdere risikoen knyttet til en eller flere regnskapspåstander for en transaksjonsklasse, balansesaldo eller tilleggsopplysning. Handlingsbeskrivelsen består normal av to deler. Den første inneholder tips om hva som kan gå galt, og den neste beskriver hvilken handling revisor skal foreta i forbindelse med å vurdere risikoen for at noe går galt. - Kontrolltest (K)
Dette er handlinger hvor revisor skal kartlegge / vurdere og eventuelt også teste kontroller som foretaket har etablert for å redusere risiko. Beskrivelsene består normalt av tre deler. Den første inneholder beskrivelse av fornuftige systemer / rutiner (dvs kontroller) som foretakene kan / bør ha. Deretter kommer handlingen som beskriver hva revisor skal gjøre for å samle kunnskap om rutinene og vurdere om de er hensiktsmessige og til slutt kommer handlingen for hvordan kontrollen kan testet for å se om den faktisk følges og fungerer. - Analyse (substans) (A)
Dette er handlinger hvor analyser brukes som revisjonsbevis for en eller flere regnskapspåstander. - Detaljtest (substans) (D):
Dette er handlinger hvor revisor undersøker detaljene bak et regnskapselement for å finne revisjonsbevis for en eller flere regnskapspåstander. - Kvalitetskontroll (V):
Dette er handlinger som knytter seg til revisjonsselskapet systemer og rutiner for å sikre at revisjonen utføres iht revisjonsstandardene og at det avgis riktig revisjonsberetning. - Beskrivelse (B)
Dette er en nyvinning fra og med 2018 for at revisjonsstrategien (tidligere form av et Word-dokument) skulle kunne integreres sammen med revisjonsplanen i metodikken. Dette er ikke «handlinger» som sådan, men punkter (overskrifter) ment for tekst i form av dokumentasjon av kunnskap og vurderinger knyttet til foretaket.
Egenskapen handlingsart referer til de ulike varianter av revisjonshandlinger revisor kan foreta for å samle revisjonsbesvis (jfr ISA 500.A14..A25). Da en enkelt handling i basen kan omfatte flere slike handlingsarter er systemet lagt opp til at man kan velge flere arter for hver handling. Det er i systemet definerte følgende handlingsarter:
- Analytisk
- Observasjon
- Forespørsel
- Diskusjon i teamet *
- Bekreftelse
- Etterregning
- Gjentakelse
- Inspeksjon av dokumentasjon
- Inspeksjon av eiendeler
- Konsultasjon *
Det to handlingsartene som er merket med stjerne (*) er ikke nevnt i ISA 500, men fremgår som aktuelle typer handlinger i bl.a. ISA 240.15 og ISA 315.10 (diskusjon i teamet) og ISA 220.18 (konsultasjon). NB! Angivelse av arter er dessverre fortsatt ikke komplett for alle handlingene i basen.
Utgangspunktet for handlingsbasen var alle standard revisjonhandlinger fra Descartes 2.0, men det er nå foretatt betydelig endringer og skrevet mye ny tekst. Handlingsbasen fra Descares 2.0 hadde ingen handlinger med formål risikovurdering og kvalitetskontroll, så disse er helt nye. Målet har vært å legge til risikovurderingshandlinger slik at disse dekker alle regnskapspåstander for alle TBT. Revisjonshandlingene for kontrolltest og substans (analyse / detalj) er deretter lagt inn under den risikohandlingen de er ment å skulle dekke. For handlingene i basen er det i tillegg til type og art lagt til følgende egenskaper / valg.
- Pliktig = Handlinger som er pliktige iht lover / standarder
- Minimum = Handlinger som inngår i et normalt revisjonsprogram
- Løpende = Handlinger som er egnet til å utføres løpende
- Kriterium = Hjelpemiddel for å luke ut uaktuelle handlinger
- Lover etc = Referanse til relevante lover, regler og standarder
- Hjelpeskjema = Referanse til dokumentmaler for handlingen
I dataløsningen vises handlinger egnet til løpende revisjon med stjerne (*) etter handlingens overskrift. Tekst som er gitt i «Lover etc» og «Hjelpekjema» fremkommer på egne «flipper» sammen med selve handlingsbeskrivelsen. Tittelen på «flippene» vises med uthevet tekst når det finnes noe innhold.
Anslått risiko
ISA 315 og ISA 330 bruker gjennomgående begrepet «anslått risiko» eller «risikoen for vesentlig feilinformasjon» (før revisjon). Anslått risiko er i relasjon til revisjonsrisikomodellen produktet av iboende risiko og kontrollrisiko. Revisjonsrisikomodellen kan dermed uttrykkes på følgende måter:
Revisjonsrisiko = Iboende risiko * Kontrollrisiko * Oppdagelsesrisiko
Revisjonsrisiko = Anslått risiko * Oppdagelsesrisiko
Komponentene er:
- Revisjonssrisiko = risikoen for at revisors konklusjon på regnskapet er feil (dvs det avgis feil beretning)
- Iboende risiko = risikoen for at vesentlige feil oppstår
- Kontrollrisiko = risikoen for at vesentlige feil slipper gjennom selskapets kontroller
- Oppdagelsesrisiko = risikoen for at vesentlige feil ikke oppdages av revisors kontrollhandlinger
Revisjonsprosessen
ISA 315 og ISA 330 legger opp til at revisjonen skal utføres på følgende måte:
- Forstå foretaket og dets omgivelser
- Anslå risiko for vesentlig feilinformasjon på regnskapsnivå
- Fastsette overordnede handlinger for å håndtere anslått risiko på regnskapsnivå
- Anslå risiko for vesentlig feilinformasjon på regnskapspåstandsnivå for TBT
- Utforme og utføre videre revisjonshandlinger for å håndtere anslått risiko på regnskapspåstandsnivå for TBT
- Vurdere ut fra utførte handlinger og innhentet bevis om risikovurderingene fortsatt er hensiktsmessige
- Fastslå om tilstrekkelig og hensiktsmessig revisjonsbevis er innhentet til at risikoen for vesentlig feilinformasjon i årsregnskapet er redusert til et akseptabelt nivå.
Denne metodikken har i handlingsbasen / dataløsningen revisjonshandlinger og «tekstbokser» for å dekke hele prosessen. Når det gjelder dokumentasjonen knyttet til punktene 1 til 3 er det fra og med 2018 lagt til «beskrivelseshandlinger» under arkivpunkt 1 som erstatter det tidligere Word dokumentet for overordnet revisjonsstrategi (Word). Som del av planleggingen for 2018 må derfor all informasjon fra Word-dokumentet som fortsatt er aktuell kopieres inn til respektive beskrivelseshandlinger. Dermed vil det fra og med 2018 være slik at all kunnskap, vurdering og handlinger knyttet til stegene 1 til 7 dokumenteres i dataløsningen
Alle deler av og sentrale forhold ved revisjonsprosessen må dokumenteres slik at det i ettertid er mulig å vurdere om revisjonen er utført iht revisjonsstandardene.
Vurdering og klassifisering av risiko
ISA 315.26 angir hva revisor skal gjøre i forbindelse med vurdering av anslått risiko og krever bl.a. følgende:
- identifisert risiko må knyttes til det som kan gå galt på regnskapspåstandsnivå
- vurdere risikoens sannsynlighet
- vurdere risikoens konsekvens (om den kan medføre vesentlig feilinformasjon i årsregnskapet)
I tillegg kreves det at revisor i forbindelse med risikovurderingen fastslår om:
- risikoen kreves spesiell revisjonsmessig vurdering («særskilt risiko» ISA 315.27..29)
- risikoen er slik at den ikke kan dekkes av substanskontroller alene (ISA 315.30)
(i denne metodikken betegnet «kontrollkrevende«) - risikoen knytter seg til vesentlig feilinformasjon som skyldes misligheter
(«mislighetsrisiko» ISA 240.25)
I henhold til ISA 240.27 skal revisor alltid behandle en mislighetsrisiko (i betydningen en risiko for vesentlig feilinformasjon som skyldes misligheter) som en særskilt risiko. Misligheter som kan gi vesentlig feilinformasjon deles inn i; uredelig regnskapsrapportering og underslag av eiendeler. Det er uredelig regnskapsrapportering som utgjør størst risiko for ekstern revisor fordi når slikt forekommer vil det normalt alltid gi vesentlige feil. Underslag av eiendeler knytter seg som oftest til ansatte og vil i forholdet til årsregnskapets vesentlighetsgrenser normalt gjelder små og ubetydelige beløp. Den interne kontroll / revisjon vil primært ha fokus rettet mot underslag av eiendeler. Ekstern revisor må også være på vakt etter underslag av eiendeler foretatt av ledelsen da forekomsten av slikt sier mye om ledelsens holdinger og beløpene i denne sammenheng også kan bli vesentlige.
Descartes 3 behandlet risikoer og mislighetsrisikoer hver for seg og klassifiserer den enkelte risiko etter følgende de tre adskilte typer:
- T1: Risikoer der substanskontroller alene ikke gir tilstrekkelig og hensiktsmessig revisjonsbevis
- T2: Særskilte risioer som krever spesiell revisjonsmessig aktsomhet
- T3: Risikoer der substanskontroller alene gir tilstrekkelig og hensiktsmessig revisjonsbevis
I motsetning til løsningen fra Descartes 3 ser denne metodikken på «særskilt», «kontrollkrevende» og «mislighet» som karaktertrekk ved en risiko og utelukker dermed ikke at en risiko kan ha alle kombinasjoner av disse karaktertrekkene (f.eks. både være særskilt og kontrollkrevende).
Konsekvensen av risikoklassifisering
For en risiko vurdert som særskilt gjelder følgende:
- revisor må opparbeide seg en forståelse av enhetens kontroller/kontrollaktiviteter som er relevante for den aktuelle risikoen (ISA 315.29)
- når revisor baserer seg på kontrolltesning må kontrollene testes ved hver revisjon (ISA 330.15)
- revisor må utføre substanskontroller som er spesielt tilpasset risikoen (ISA 330.21)
Førstnevnte krav var i den gamle RS-en formulert som at revisor må «vurdere foretakets kontroller og fastslå om de er implementer» (RS 315 punkt 113) den nye formuleringen kan synes vagere, men det må vel legges til grunn at revisor ifm å «opparbeide seg en forståelse» nødvendigvis må inkludere i dette å fastslå om kontrollen er implementert.
For en risiko vurdert som kontrollkrevende gjelder følgende:
- revisor må utføre tester av relevante kontroller for å innhente bevis for at de fungerer effektivitet (ISA 330.8 jfr punkt (b))
ISA 330 har forøvrig følgende generelle krav knyttet til testing av kontroller:
- når kontrollenes effektivitet testes for en del av perioden må det fastsettes hvilke revisjonsbesvis som skal innhentes for den gjenværende periode (punkt 12 (b))
- for å kunne bruke revisjonsbevis fra en tidligere periode for en kontrolls effektivitet, må revisor innhente revisjonsbesvis for at kontrollen ikke er endret (punkt 14)
- for å kunne bygge på kontroller som er endret siden de sist ble testes må det utføres nye tester (punkt 14 (a))
- for kontroller som ikke er endret må minst testes ved hver tredje revisjon (punkt 14 (b)) og slike tester skal fordeles over revisjonsperiodene slik at ikke alle kontroller testet i en og samme periode og at man deretter ikke foretar test av kontroller i de to påfølgende perioder.
Risikovurdering og forholdet til testing av kontroller
Før RS 315 og RS 330 gikk det klart frem at dersom man ikke hadde til hensikt å teste de interne kontroller knyttet til en regnskapspåstand, så måtte kontrollrisikoen i revisjonsrisikomodellen settes til «høy». Etter overgangen til begrepet «anslått risiko» (som er produktet av iboende risiko og kontrollrisiko) fremkommer ikke lenger dette kravet like klart, men prinsippet er fortsatt gjeldene. Dette fremkommer av ISA 330.8 (a) hvor det kreves kontrolltester når:
revisors vurdering av risiko for vesentlig feilinformasjon på påstandsnivå omfatter en forventning om at kontrollene fungerer effektivitet…
Fritt omskrevet til:
På regnskapspåstandsnivå kan revisor ikke basere sin vurdering av anslått risiko («risiko for vesentlig feilinformasjon») på at denne er redusert av den intern kontroll (dvs kontrollrisikoen er lavere enn «høy») uten å ha fått kontrollens effektivitet bekreftet ved testing.
Vesentlige transaksjonsklasser, balansesaldoer og tilleggsopplysninger (TBT)
For hver enkelt vesentlige TBT krever ISA 330.18 at revisor må utforme og utføre substanskontroller uavhengig av den vurderte risiko. For å kunne tilfredsstille dette kravet er det først nødvendig å identifisere hvilke TBT som er vesentlige. Videre må revisor påse at det minst er foretatt én substanshandling (analyse eller detalj) for hver vesentlig TBT.
Feil, mangler og forslag til forbedringer bes rapportert til metodikk@revisoft.no.