Balans fördjupning 2022

Riskanalysen – Grunden till en revision med kvalitet i ljuset av ISA 315 (omarbetad 2019)

(2022-10-18)

I den här artikeln ger FAR:s operativa grupp Normgivning Revision en bakgrund till varför ISA 315 omarbetats, vad som ändrats och hur det påverkar revisorerna. I artikeln lyfts också hur standarden kan tillämpas på mindre komplexa företag.

En revision baseras på väsentlighet och risk. Så har det varit och så är det även framåt. Riskanalysen är central i revisionen och grunden till kvaliteten i det arbete revisorn utför. Hela revisionen påverkas av riskerna för väsentliga felaktigheter och helt naturligt behöver revisorn granska mer om risken för fel är högre och tvärt om när risken är lägre. Så långt har inget förändrats med den uppdaterade standarden ”ISA 315 Identifiera och bedöma riskerna för väsentliga felaktigheter (omarbetad 2019)” (i det fortsatta ”ISA 315”, ”standarden” eller den ”omarbetade standarden”) som gäller för räkenskapsår som börjar den 15 december 2021 eller senare, det vill säga kalenderår 2022 om det inte är förkortat räkenskapsår.

Den här artikeln syftar till att ge en bakgrund till varför standarden omarbetats, vad som ändrats, hur det påverkar revisionerna samt hur standarden kan tillämpas på mindre komplexa företag. För att kunna förstå standarden är det viktigt att läsa den – artikeln kan på intet sätt ersätta att gå till källan. För den som är bekväm med engelska rekommenderar vi originalversionen på engelska. Standarden finns även översatt till svenska på FAR Online.

Standarden är omfattande, kraven i sig är ganska få men det finns 241(!) anvisning- och tillämpningspunkter och därtill sex bilagor. Det är kanske inte något som går att sträckläsa men det är viktigt att då E och då gå till själva källan för att lära sig och för att kunna känna sig trygg i tillämpningen. Kom ihåg att det bästa sättet att lära sig är att tillämpa standarden på ett faktiskt uppdrag och efter några stycken brukar det sitta. De program som finns för revision kommer även de att behöva anpassas utifrån den uppdaterade standarden för att vara ett fortsatt stöd i tillämpningen.

Varför en uppdaterad standard?

IAASB ser löpande över sina standarder för revision. Ofta sker ändringar för att komma till rätta med problem som uppstått eller för att det sker andra förändringar inom redovisnings- och rapporteringsområdet. När det gäller ISA 315 lyfter IAASB fram tre huvudskäl som till stor del baseras på en uppföljning av tillämpningen av den tidigare ISA 315:

  • Antalet och typen av betydande risker varierade mycket i den praktiska tillämpningen

  • Det var svårt att i det praktiska arbetet tillämpa den tidigare standarden vad gällde förståelse av den interna kontrollen

  • It-relaterade risker var inte tillräckligt beaktade i den tidigare standarden

Därutöver har även ändringar i andra standarder beaktats och skalbarhet när det gäller mindre komplexa bolag har förtydligats. IAASB:s ambition är även att i anvisnings- och tillämpningspunkterna tydligare förklara varför olika krav finns.

Vad har ändrats?

Den uppdaterade ISA 315 har skrivits om från grunden. Mycket är kvar sedan tidigare medan andra delar skrivits om, utökats och/eller förtydligats. Sammanfattningsvis innebär den omarbetade ISA 315

  • Tydligare dokumentation av förståelsen av fler affärsprocesser som grund för riskbedömningen.

  • Tydligare fokus på förståelse av it och it-relaterade risker.

  • Tydligare vilka kontroller som ska förstås och vilka kontroller som bedömas utifrån utformning och införande.

  • Tydligare koppling mellan bedömd risk och den granskning som utförs.

I artikeln beskriver vi vad som ändrats inom de olika områdena och även hur riskbedömningen enligt ISA 315 kan anpassas till mindre komplexa företag, och i synnerhet ägarledda företag.

Själva processen för revisionen är uppbyggd som tidigare och börjar med förståelse av företagets affärsprocesser. Utan att förstå processerna går det inte att göra en riktig riskbedömning. Förståelsen och riskbedömningen är sedan grunder för hur granskningsåtgärderna utformas.

BALANS_Fordjupning_20221018_bild1

Centrala definitioner

För att förstå den uppdaterade standarden börjar vi med några centrala definitioner:

Definition

Kommentar

Exempel

Betydande transaktionsslag, konton eller upplysningar – Ett transaktionsslag, konto eller en upplysning som det finns ett eller flera relevanta påståenden om.

Begreppet ”transaktionsslag, konto eller en upplysning” är centralt i ISA 315. Förenklat är det en rad, eller del av, i resultateller balansräkningen men det kan även vara en upplysning i en not till någon av räkningarna. För enkelhets skull kallar vi det i det fortsatta för ”resultat- eller balanspost”.

En resultat- eller balanspost är betydande om det finns ett relevant påstående, se vidare nedan.

Resultat- eller balansposter som har en risk för väsentliga felaktigheter. Nedan exempel är ofta sådana poster:

  • Intäkter

  • Kostnad såld vara

  • Personalkostnader

  • Varulager

  • Kundfordringar

  • Upplupna kostnader

Betydande risk – En identifierad risk för väsentliga felaktigheter:

  1. för vilken bedömningen av den inneboende risken ligger nära den övre delen av spektrumet av inneboende risker till följd av den grad i vilken de inneboende riskfaktorerna påverkar kombinationen av sannolikheten för att en felaktighet uppkommer och omfattningen av den eventuella felaktigheten om den skulle uppkomma, eller

  2. att den ska behandlas som en betydande risk enligt kraven i andra standarder.

I grunden samma innebörd som tidigare. Kanske kan någon ytterligare risk bedömas som betydande.

Exempel enligt i. kan vara nedskrivningsprövning av aktier i dotterföretag vid identifierade indikationer på nedskrivningsbehov.

Exempel på ii. kan vara risk för oegentligheter i intäkter och företagsledningens åsidosättande av kontroller.

Risk för väsentliga felaktigheter – I ISA föreligger en risk för väsentliga felaktigheter när det finns en rimlig möjlighet att

  1. en felaktighet uppkommer (dvs. sannolikheten), och

  2. att den är väsentlig om den uppkommer (dvs. dess storlek). (ISA 200 A15a).

Begreppet ”rimlig möjlighet” kan behöva lite förtydligande. I förarbetena till ISA 315 har begrepp som ”reasonably possible” eller ”more than remote” använts för att beskriva när en risk på påståendenivån är väsentlig, det vill säga att risken är rimligt möjlig. Det handlar alltså om ganska låga nivåer.

För ett bolag som inventerar fram årets varukostnad finns det i många fall en rimlig möjlighet att existens eller fullständighet i lagret (och därmed även kostnad såld vara) är fel. Det finns alltså en risk för väsentliga felaktigheter.

Påståenden – Uttalanden, uttryckliga eller på annat sätt uttalade, med avseende på redovisningen, värderingen, presentationen och lämnandet av information i de finansiella rapporterna som ligger i ledningens försäkran om att de finansiella rapporterna upprättas i enlighet med det tillämpliga ramverket för finansiell rapportering. Revisorn använder påståenden när han eller hon beaktar de olika typerna av potentiella felaktigheter som kan uppstå när han eller hon identifierar, bedömer och hanterar riskerna för väsentliga felaktigheter.

Påståenden kallas ofta räkenskapspåståenden. Här är det ingen skillnad mot tidigare standard, men det är ändå på sin plats att påminna om dem.

Exemplen till höger är de påståenden som anges i standarden. De förklaras mer i detalj i A190 till standarden. Notera att andra benämningar kan användas så länge innebörden är densamma.

Påståenden om transaktionsslag och händelser samt tillhörande upplysningar för den räkenskapsperiod som omfattas av revisionen:

  • Förekomst

  • Fullständighet

  • Riktighet

  • Avklipp

  • Klassificering

  • Presentation

Påståenden om saldon och tillhörande upplysningar vid räkenskapsperiodens slut:

  • Existens

  • Rättigheter och förpliktelser

  • Fullständighet

  • Riktighet, värdering och allokering

  • Klassificering

  • Presentation

Relevanta påståenden – Ett påstående om ett transaktionslag, konto eller en upplysning är relevant när det åtföljs av en identifierad risk för väsentliga felaktigheter. Fastställandet av huruvida ett påstående är ett relevant påstående görs före beaktande av eventuella tillhörande kontroller (dvs. den inneboende risken).

Det här är lite av kärnan i riskbedömningen. Revisorn ska bedöma vilka risker för väsentliga felaktigheter som kan finnas för de olika resultat- och balansposterna.

Exempel på ofta vanligt förekommande relevanta påståenden för några poster:

  • Intäkter – fullständighet och avklipp

  • Varulager – existens och värdering

  • Kundfordringar – värdering

  • Skulder till kreditinstitut – klassificering

Inneboende riskfaktorer – Egenskaper hos händelser eller omständigheter som påverkar känsligheten för felaktigheter, vare sig dessa beror på oegentligheter eller misstag, i ett påstående om ett transaktionsslag, konto eller en upplysning, före beaktandet av kontroller. Sådana faktorer kan vara kvalitativa eller kvantitativa, och kan omfatta:

  • komplexitet,

  • subjektivitet,

  • förändring,

  • osäkerhet, eller

  • känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter i den mån de påverkar den inneboende risken.

Standarden tydliggör olika aspekter som revisorn beakta i riskanalysen. I bilaga 2 till standarden finns exempel på hur revisorn kan resonera vad gäller inneboende riskfaktorer.

Komplexitet kan till exempel vara att tolka olika avtalsvillkor ur ett redovisningsperspektiv.

Osäkerhet kan till exempel handla om att bedöma den redovisningsmässiga hanteringen av tvister.

I definitionerna ovan används betydande både vad gäller resultat- och balanskonton och för risker. Det kan vara lite förvirrande till en början. Kanske vore det bättre att kalla dem betydelsefulla resultat- och balanskonton respektive betydande risker. Standardsättarna har dock valt att använda betydande i båda fallen.

Definitionerna enligt ISA innebär att det i princip finns tre olika typer av resultat- eller balansposter: betydande, väsentlig respektive ej väsentlig.

Betydande resultat- eller balanspost definieras ovan som att det finns en identifierad risk för väsentliga felaktigheter på påståendenivån kopplat till posten. Det är främst dessa betydande resultateller balansposter som ISA 315 riktar in sig på och där revisorn behöver bestämma granskningsinsatsen enligt ISA 330. Det kan till exempel vara ett stort lager med många transaktioner.

Enbart väsentlig resultat- eller balanspost är en post som inte har någon identifierad risk för väsentliga felaktigheter kopplat till något påstående men som är större än den övergripande väsentlighetsnivån. Enligt ISA 330 behöver även dessa granskas med substansgranskning, dock behöver den granskningen inte vara lika ingående. Det kan till exempel vara den egna fastigheten som förvisso överstiger väsentlighetstalet, men där inget sker mer än avskrivningar år från år.

Ej väsentlig resultat- eller balanspost, den sista kategorin, behöver revisorn inte granska utöver att beakta den i sin inledande respektive avslutande analytiska granskning.

En annan nyhet är en glidande riskskala – ett spektrum av inneboende risk. Tidigare fanns bara två nivåer, betydande risk och annan risk. Risker i det övre spektrumet av inneboende risker är som tidigare betydande risker. Bedömningen görs utifrån en sammanvägd bedömning av sannolikheten för fel och den potentiella storleken på felet om det skulle uppstå.

Tanken med spektrumet av inneboende risk är att granskningen ska bli mer anpassad till den verkliga riskbilden och på sätt bli mer effektiv i att fånga de risker som är lite högre. Det är också viktigt att komma ihåg att den inneboende risken alltid ska bedömas före eventuella kontrollaktiviteter. I den uppdaterade standarden har detta tydliggjorts även om det inte är en ändring i sak.

BALANS_Fordjupning_20221018_bild2

Schematisk bild av riskspektrumet där rött indikerar betydande risk och grönt en lägre risk i spektrumet.

Förståelse

ISA 315 handlar om att identifiera och bedöma riskerna för väsentliga felaktigheter. För att kunna göra riskbedömningen krävs en god förståelse för den verksamhet som ska revideras. När det gäller förståelsen har standarden främst förtydligats avseende vad revisorn förväntas göra. Det är inte så mycket som är nytt, däremot är strukturen på kraven samt tillämpning och förtydliganden tydligare nu. De områden som ska täckas av förståelsen är:

  • Företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering

  • Komponenterna i företagets system för intern kontroll

    • Kontrollmiljön, företagets riskbedömningsprocess och företagets process för att övervaka systemet för intern kontroll

      • Kontrollmiljö

      • Företagets riskbedömningsprocess

      • Företagets process för att övervaka systemet för intern kontroll

    • Informationssystem och kommunikation, samt kontrollaktiviteter

      • Informationssystem och kommunikation

      • Kontrollaktiviteter

Den uppdaterade standarden är tydligare strukturerad kring hur revisorn ska förstå de olika komponenterna i kontrollmiljön och sedan utvärdera dem utifrån de företagsspecifika omständigheterna och vilket finansiellt ramverk som tillämpas (K2, K3 eller IFRS). Dessutom krävs förståelse för hur företaget (ledning/styrelse) mäter resultat och prestation.

Denna del av ISA 315 bör läsas ett par gånger för att förstå vad som behöver göras och för att kunna anpassa arbetet till förutsättningarna för det företag som ska granskas. I kraven enligt standarden ska till exempel revisorn förstå hur företagets riskbedömningsprocess ser ut och sedan utvärdera den. Många mindre komplexa företag har ingen sådan process, i vart fall inte formaliserad. I de fallen behöver revisorn själv lägga mer tid på att bedöma riskerna.

Användningen av it-system blir allt viktigare i företagen. Detta påverkar även revisorns riskbedömning. Den uppdaterade ISA 315 ställer tydligare krav på att förstå företagets informationssystem och hur de påverkar väsentliga transaktionsslag, konton och upplysningar. I praktiken borde det innebära att revisorn ska ta del av och förstå företagens systemdokumentation. Vidare ska revisorn utvärdera om it-systemen på ett bra sätt stödjer upprättandet av företagets finansiella rapporter.

It-systemen kan se väldigt olika ut hos företagen, från enkla standardsystem till avancerade integrerade system. Oaktat företagens storlek och komplexitet så behöver revisorn förstå och utvärdera hur it-systemen påverkar den finansiella rapporteringen. Här gäller det att se om det även finns eventuella försystem som är viktiga att beakta. Bilaga 5 till standarden ger bra hjälp i att förstå it-miljön för olika typer av företag. Att avgöra om ett system är ett standardsystem eller inte kräver en god förståelse för it-system. Även ett standardsystem kan ha betydande möjligheter att konfigurera det utifrån det enskilda företages förutsättningar och även ändra konfigurationen. Här bör behandlingshistoriken vara en viktig källa för förståelsen.

Förståelsen av it-systemen och it-miljön omfattar de system vars information används i företagets redovisning. För att få tillräcklig förståelse bör revisorn lämpligen minst inhämta följande information:

  • Uppgift om it-applikationen eller it-applikationerna (till exempel namn, leverantör och version), om de är vanligt förekommande samt generellt anses vara tillförlitliga.

  • Uppgift om några ändringar gjorts av applikationen under året (till exempel uppdateringar), om kunden har möjlighet att själv ändra applikationen eller om kunden har direkt åtkomst till data som applikationen registrerar (till exempel direkt åtkomst till databas).

  • Uppgift om eventuella systemfel, störningar eller förluster av data inträffat under året.

  • Hur åtkomstkontroller hanteras (lösenord, begränsade åtkomsträttigheter till program och data, etcetera) samt förståelse om tillgången till applikationen är lämpligen begränsad så att inte obehöriga kan påverka redovisningens innehåll.

  • Hur applikationen/erna används inom företaget.

  • Vilken it-miljö som omgärdar it-applikationerna.

Den inhämtade förståelsen av it-applikationer och it-miljön syftar till att identifiera om det finns risker med företagets användning av it. ISA 315 ger i bilaga 5 även vägledning kring hur revisorn kan tänka kring it-applikationer som inte är föremål, respektive är föremål för it-relaterade risker. Nedan återges exemplet för ett ej komplext system.

Exempel på kännetecken för en it-applikation som sannolikt inte är föremål för it-relaterade risker

  • Fristående applikation.

  • Datavolymen (transaktioner) är inte betydande.

  • Applikationens funktion är inte komplex.

  • Alla transaktioner stöds av ursprunglig dokumentation på original på papper.

It-applikationen (ovan) är sannolikt inte föremål för it-relaterade risker på grund av att

  • Datavolymen inte är betydande och därför förlitar sig inte ledningen på allmänna it-kontroller för att bearbeta och underhålla data.

  • Ledningen inte förlitar sig på automatiserade kontroller eller andra automatiserade funktioner, och revisorn inte har identifierat automatiserade kontroller enligt punkt 26 a (ISA 315 uppdaterad 2019).

  • Även om ledningen använder systemgenererade rapporter i sina kontroller förlitar den sig inte på dessa rapporter. I stället stämmer ledningen av rapporterna mot dokumentationen på papper och verifierar beräkningarna i rapporterna.

  • Revisorn kommer direkt att kontrollera informationen som har tagits fram av företaget och som används som revisionsbevis.

Som nämndes i inledningen var ett skäl till varför standarden har uppdaterats att den tidigare standarden var svår att förstå när det gällde vilka kontroller som behövde kartläggas och förstås. Den uppdaterade standarden är tydlig på att följande kontroller behöver identifieras:

  1. kontroller som avser en risk som har fastställts vara en betydande risk,

  2. kontroller över bokföringsposter, däribland icke standardiserade bokföringsposter som används för att redovisa transaktioner av engångskaraktär, ovanliga transaktioner eller justeringar,

  3. kontroller som revisorn planerar att testa funktionen av, dvs testning av huruvida de fungerat i praktiken för att förhindra väsentliga felaktigheter, för att fastställa substansgranskningens karaktär, tidpunkt och omfattning. Detta ska omfatta kontroller som avser risker för vilka inte enbart substansgranskning kan inhämta tillräckliga och ändamålsenliga revisionsbevis för, och

  4. övriga kontroller som revisorn betraktar som lämpliga att inhämta förståelse kring grundat på revisorns professionella omdöme.

För de kontroller som identifierats ovan behöver revisorn även identifiera vilka it-applikationer och andra aspekter av företagets it-miljö som är föremål för it-relaterade risker och för dem identifiera de relaterade it-riskerna, och företagets allmänna it-kontroller som hanterar sådana risker. Här är det viktigt att revisorn har en bra förståelse för hur it påverkar den finansiella rapporteringen. I och med att revisorn alltid ska identifiera kontroller över bokföringsposter kommer redovisningssystemet alltid att vara aktuellt att bedöma. Precis som i förståelsen av it-systemen är det viktigt att utvärdera riskerna kopplat till andra system och överföring av data.

För de kontroller som identifierats i a. till d. ovan samt för företagets allmänna it-kontroller enligt stycket ovan ska revisorn utvärdera huruvida kontrollen är utformad på ett effektivt sätt för att hantera risken för väsentliga felaktigheter på påståendenivån, eller effektivt utformad för att stödja funktionen av andra kontroller och avgöra huruvida kontrollen har införts. Revisorn gör detta genom att utföra åtgärder utöver att ställa frågor till företagets anställda. På engelska kallas detta att utvärdera ”design and implementation”. ISA 315 är tydlig med att allmänna it-kontroller endast behöver bedömas om det finns en it-relaterad risk kopplat till it-applikationen eller it-miljön.

Den uppdaterade standarden gör också skillnad på indirekta och direkta kontrollkomponenter i företagets system för intern kontroll. Kontrollmiljön, företagets riskbedömningsprocess och processen för att övervaka systemet för intern kontroll är huvudsakligen indirekta och är viktiga för att de mer direkta kontrollerna ska fungera. Informationssystem och kontrollaktiviteter stödjer mer direkta kontroller och kan därmed hantera risker på påståendenivån.

Riskbedömning

Efter att ha samlat in en god förståelse är det dags för själva riskbedömningen. Här har den uppdaterade standarden tydliggjort ett antal inneboende riskfaktorer som ska hjälpa till i riskbedömningen. Dessa har lagts till i standarden för att riskanalysen ska bli bättre och mer precis.

Inneboende riskfaktorer – Egenskaper hos händelser eller omständigheter som påverkar känsligheten för felaktigheter, vare sig dessa beror på oegentligheter eller misstag, i ett påstående om ett transaktionsslag, konto eller en upplysning, före beaktandet av kontroller. Sådana faktorer kan vara kvalitativa eller kvantitativa, och kan omfatta komplexitet, subjektivitet, förändring, osäkerhet eller känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter i den mån de påverkar den inneboende risken.

Bedömningen av de inneboende riskfaktorernas påverkan behöver revisorn alltså göra för varje väsentlig resultat- eller balanspost på påståendenivån och för den finansiella rapporten på övergripande nivå. Detta krav har tillkommit för att tydliggöra den professionella skepticismen i riskbedömningsprocessen.

Observera här att bedömningen av de inneboende riskerna och hur mycket substansgranskning som behöver genomföras avseende dessa risker, inte ska påverkas av revisorns bedömning av företagets kontrollaktiviteter. I de fall revisorn inte avser att testa kontrollernas funktion så kan han eller hon alltså inte ta hänsyn till hur kontrollerna är utformade och implementerade för att reducera substansgranskningen. Även om revisorn genom intervju och genom att följa en transaktion och bedöma hur de tillhörande kontrollerna är utformade och införda (så kallad ”walk-through”) kommer fram till att företaget har relevanta kontroller inom ett visst riskområde så kan det inte reducera omfattningen av substansgranskningen. Däremot bör uppmärksammade brister i intern kontroll leda till lägre arbetsväsentlighet och därmed ökad substansgranskning samt även en anpassning av hur och när substansgranskningen utförs jämfört mot vad som skulle ha gjorts i det fall det är möjligt att förlita sig på kontroller i granskningen.

Förståelsen för företagets kontrollmiljö är i sig inte revisionsbevis som kan minska omfattningen av substansgranskningsinsatser som svar på en inneboende risk (relevant påstående). Förståelsen kan dock påverka hur och när substansgranskningen genomförs.

När riskbedömningen är klar ska revisorn göra en extra kontroll att ingenting har missats genom att göra en förnyad bedömning av alla resultat- och balansposter som är väsentliga men inte betydande. Som tidigare ska såklart riskanalysen uppdateras löpande om det finns anledning till detta, exempelvis på grund av externa händelser (pandemi, krigsutbrott, inflation), förvärv/avyttringar och andra ändringar av verksamheten.

Påverkan på granskningsåtgärderna

Hur kommer det då påverka revisionerna? I många fall finns det en bra dokumentation sedan tidigare år som beaktar mycket av det som tydliggjorts i den uppdaterade standarden. I de fallen behöver dokumentationen uppdateras så att den bättre överensstämmer med kraven så som de formuleras nu.

I andra fall kan en större uppdatering av förståelsen och riskbedömningen behöva göras för att granskningen ska uppfylla de nya kraven och därmed även ge en bättre förståelse för företaget och dess risker vilket i sin tur ska leda till en revision som bättre beaktar väsentlighet och risk. Första året för ett nytt uppdrag kommer dokumentationen av förståelsen och riskbedömningen sannolikt ta längre tid. I många fall är företagens verksamhet relativt stabil och förståelsen och riskbedömningen över tid behöver då bara årligen bekräftas och vid behov uppdateras.

Själva granskningen av årsredovisningen kommer troligen inte påverkas i någon större omfattning utöver utökad granskning på grund av att nya risker identifierats eller eventuellt minskad granskning inom vissa områden på grund av att risken för väsentliga fel kan sättas lägre än tidigare. I det ligger även att en mer precis riskanalys kan medföra att granskningen blir mer fokuserad på de områden med högre risk istället för att samma granskningsåtgärder utförs oavsett riskbedömningen.

Skalbarhet och dokumentation

Tanken med ISA 315 är den ska kunna användas för alla typer och storlekar av företag och verksamheter. För att förtydliga detta har det lagts till avsnitt om skalbarhet under tillämpning och förtydliganden. Läs dessa, de är till stor hjälp när det gäller att tillämpa den uppdaterade standarden på mindre komplexa företag. Inom flera områden ges exempel så som detta:

Vissa företag, inklusive mindre komplexa företag, och i synnerhet ägarledda företag, kanske inte har etablerade strukturerade processer och system (t.ex. en riskbedömningsprocess eller en process för att övervaka systemet för intern kontroll) eller kanske har etablerade processer eller system med begränsad dokumentation eller brist på konsekvens i hur de genomförs. När sådana system och processer saknar formalitet kan revisorn ändå genomföra riskbedömningen genom observationer och frågor.

Andra företag, vanligtvis mer komplexa företag, förväntas ha mer formaliserade och dokumenterade riktlinjer och rutiner. Revisorn kan använda sådan dokumentation när han eller hon genomför riskbedömningen. (A17 exempel)

Dokumentation är alltid en central fråga i revisionen. Revisorn har ett krav på att dokumentera sin granskning så att den kan synas i efterhand. När det gäller ISA 315 så anges särskilt i punkt 38 att följande ska dokumenteras:

  1. uppdragsteamets diskussion och de betydelsefulla beslut som fattas,

  2. viktiga delar av revisorns förståelse i enlighet med punkterna 19, 21, 22, 24 och 25, de informationskällor revisorns förståelse bygger på samt de riskbedömningsåtgärder som har utförts,

  3. utvärderingen av utformningen av identifierade kontroller, och fastställandet av huruvida sådana kontroller har införts, i enlighet med bestämmelserna i punkt 26, och

  4. de identifierade och bedömda riskerna för väsentliga felaktigheter på rapport- och påståendenivån, däribland betydande risker och risker för vilka enbart substansgranskning inte ger tillräckliga och ändamålsenliga revisionsbevis samt skälen till de väsentliga bedömningar som görs.

I tillämpningspunkterna och förtydligandena anges vidare (våra kursiveringar):

Revisorn får använda sitt professionella omdöme för att avgöra på vilket sätt kraven i punkt 38 ska dokumenteras. (A239)

och

För revisionerna av mindre komplexa företag kan formen på och omfattningen av dokumentation vara enkel och relativt kortfattad. Formen på och omfattningen av revisorns dokumentation påverkas av arten, storleken och komplexiteten på företaget och dess system för intern kontroll, tillgången på information från företaget samt den granskningsmetod och -teknik som tillämpas under revisionen. Det är inte nödvändigt att dokumentera hela revisorns förståelse av företaget och angränsande frågor. Viktiga delar av den förståelse som revisorn dokumenterar kan inbegripa sådana på vilken revisorn har grundat sin bedömning av risker för väsentliga felaktigheter. Revisorn behöver däremot inte dokumentera alla inneboende riskfaktorer som beaktades när han eller hon identifierade och bedömde riskerna för väsentliga felaktigheter på påståendenivån. (A241)

Vid revisioner av mindre komplexa företag kan dokumentationen av revisionen införlivas i revisorns dokumentation av den övergripande strategin och granskningsplanen. På liknande sätt kan t.ex. resultaten av riskbedömningen dokumenteras separat eller dokumenteras som en del av revisorns dokumentation av fortsatta granskningsåtgärder. (A241 Exempel)

Hur ska detta tolkas? Det kräver eftertanke utifrån förutsättningar och omständigheter i det aktuella fallet. Dokumentationen ska stå för sig själv och vara så omfattande som är tillräcklig för att göra det möjligt för en erfaren revisor, som inte har någon tidigare erfarenhet av revisionen av det specifika uppdraget, att förstå art, tidpunkter och omfattning av de granskningsåtgärder som har genomförts. Riskbedömningen har stora inslag av professionella bedömningar. Det ska gå att visa logiken bakom gjorda bedömningar utan att för den skull behöva dokumentera självklarheter. Det viktiga är att revisorn gör välgrundade bedömningar baserat på förståelsen för och utvärderingen av företagets system för intern kontroll.

Den inneboende risken för väsentliga felaktigheter bedöms alltid före eventuella kontroller. Ett sätt att minska omfattningen av substansgranskningen är att faktiskt testa kontrollens funktion. De revisionsbevis som samlas in i samband med riskanalysen räcker inte som bevis för detta (möjligen med undantag för kontroller där granskningen av utformningen och införandet täcker till exempel en årskontroll).

I ISA 330 står det bland annat:

A 26. Enbart förfrågningar räcker inte för att granska kontrollers funktion. Därför kombineras förfrågningar med andra granskningsåtgärder. I detta avseende kan förfrågan i kombination med inspektion eller upprepning ge högre säkerhet än förfrågan och observation, eftersom en observation endast gäller vid den tidpunkt när den görs.

I mindre komplexa företag är kontroller ofta informella och dokumenteras inte alltid, därmed inte sagt att det inte finns kontroller. Att säga att ett företag helt saknar kontroller skulle innebära att revisorn måste granska väldigt mycket. I normalfallet borde revisorn kunna granska transaktionstäta poster som intäkter genom en kombination av test av kontroller och substansgranskning. Börja med att fråga företagsledaren: ”Hur vet du att allt har fakturerats?” Här brukar även det lilla företaget ha någon form av kontroll. Däremot är dessa kontroller ofta inte dokumenterade.

I dessa fall kan förfrågan om en kontrolls funktion kompletteras med att kontrollen görs om eller genom observation. Ett konkret exempel på observation är till exempel att revisorn närvarar när företaget gör en kontrollinventering. Då ser ju revisorn att kontrollen utförs.

Med en ökad förståelse för företagets verksamhet går det att bedöma risker mer precist. Det innebär att granskningen kan fokuseras där risken för väsentliga felaktigheter är större. Om den som utför granskningen bättre förstår varför den utförs och vilken risk den ska möta ökar kvaliteten i revisionen, revisorn kan också bidra med bättre insikter och rekommendationer till företaget och revisionen kännas än mer meningsfull.

Mona Alfredsson, Auktoriserad revisor, ordförande i FAR:s operativ grupp Normgivning Revision.

Björn Irle, Auktoriserad revisor, FAR.

Källor och länkar

  • FAR Online ISA 315 (omarbetad 2019) på svenska (kräver inloggning)

    Länk

  • IAASB ISA 315 (Revised 2019), på engelska

    Länk

  • IAASB Implementation guide

    Länk

  • IAASB projektsida för den riktigt intresserade

    Länk