Granskningen av den interna kontrollen är en indirekt metod att granska substansen bakom redovisningen.
Ämnet ”Granskning av intern kontroll” har varit föremål för mycket arbete i revisionskommittén. Redan 1968 publicerades ett första utkast till rekommendation om granskning av intern kontroll, och frågan har med större eller mindre prioritet behandlats av revisionskommittén sedan dess.
Granskning av intern kontroll är ju ett centralt ämne för alla revisorer och borde inte vara kontroversiellt. FAR-ledamöternas svar på det utkast som tidigare i höst sändes ut för kommentarer visar också att stor enighet råder om innehållet i rekommendationsförslaget (medan det beträffande sättet att framställa idéerna finns många synpunkter).
Det förslag till rekommendation som styrelsen nu har antagit innehåller därför inga direkta nyheter innehållsmässigt. Idéerna överensstämmer väl med principerna i rekommendationen ”Om revision av räkenskaperna i svenska aktiebolag” och har länge legat till grund för undervisningen inom FARs utbildningsprogram.
BEGRÄNSNINGAR
Eftersom granskningen av den interna kontrollen påverkar revisorns hela arbete är ämnet synnerligen omfattande. Det har därför varit nödvändigt (för att få rekommendationens omfattning hanterbar) att begränsa det behandlade området. Detta har gjorts på två sätt, dels genom att vissa delar av granskningen av intern kontroll inte behandlas i förslaget, dels genom att förslaget inte tar upp praktiska problem.
Den första begränsningen hänger samman med att revisorns uttalanden i revisionsberättelsen avser dels årsredovisningen, dels ansvarsfrihet för styrelsens och verkställande direktörens förvaltning. Revisorns granskning av den interna kontrollen avser att ge underlag för båda dessa uttalanden. Uttalandet om ansvarsfrihet kräver bl a att revisorn granskar i vilken utsträckning styrelsen tillsett att organisationen beträffande bokföringen och medelsförvaltningen innefattar en tillfredsställande kontroll respektive i vilken utsträckning verkställande direktören sörjt för att bolagets bokföring fullgjorts i överensstämmelse med lag och att medelsförvaltningen skötts på betryggande sätt. Hur revisorn skall arbeta för att få hela det nödvändiga underlaget för uttalandet om ansvarsfrihet kommer att behandlas i en kommande rekommendation om förvaltningsrevision. I det föreliggande förslaget har därför den begränsningen gjorts att endast revisorns granskning med syfte att bedöma räkenskaperna tas upp till behandling.
Ett annat för revisionskommittén aktuellt projekt, som också gränsar till området granskning av intern kontroll, är projektet ”Revision i mindre företag”. En rekommendation om detta problemområde kan tänkas påverka den slutliga utformningen av rekommendationen om granskning av intern kontroll. I förslaget har dock de principer som legat till grund för rekommendationen ”Om revision av räkenskaperna i svenska aktiebolag” bibehållits.
Metodfrågor har i stor utsträckning lämnats utanför förslaget. Bl a har datorstödda system inte fått någon särbehandling. Målen för granskningen av datorstödda system är desamma som för granskningen av manuella system och principerna för genomförandet är också desamma. Om man i datorstödda system i utredningsfasen granskar bl a driftskontroller i systemet och i verifieringsfasen använder sig av datarevisionsprogram eller testdata, är detta exempel på metoder att utreda och verifiera, liksom granskning av rutinerna för uträkning av ackordslöner och granskning av attester är exempel på metoder att utreda och verifiera kontroller i en manuell del av ett system. Om förslaget hade tagit upp metoder av detta slag hade det blivit alltför omfångsrikt. Revisionskommittén förutsätter att metoderna i stället kommer att behandlas i andra sammanhang, såsom i FARs undervisning och eventuellt i anvisningar från databehandlingskommittén.
SAMBANDET MED DEN GRUNDLÄGGANDE REKOMMENDATIONEN
Som jag inledningsvis framfört, innebär förslaget i huvudsak ingenting nytt. En stor del av innehållet finns redan i dag i komprimerad form i FARs rekommendation ”Om revision av räkenskaperna i svenska aktiebolag”. Revisionskommittén har för avsikt att i samband med att förslaget antas som rekommendation upprätta ett förslag till anpassning av den grundläggande rekommendationen.
TERMINOLOGIFRÅGOR M M
Rekommendationen är uppdelad i tre delar. Den första beskriver begreppet intern kontroll från företagets synpunkt, och definierar vissa termer som återkommer senare i rekommendationen. Den andra ”Granskningens inriktning” behandlar allmänt revisorns granskning av den interna kontrollen. Den interna kontrollen ses i detta avsnitt ur revisorns synvinkel. Här används en ny term (substansgranskning) vilken kommenteras nedan. Den sista delen behandlar hur revisorn skall granska den interna kontrollen.
Intern kontroll
I förslaget utvidgas begreppet intern kontroll något från den definition som återfinns i den grundläggande rekommendationen ”Om revision av räkenskaperna i svenska aktiebolag”. Orsaken till detta är att revisorn i vissa situationer även vid granskningen av redovisningen kan förlita sig på kontroller som i första hand är avsedda för andra ändamål än att säkerställa en riktig och fullständig redovisning. Om exempelvis ett företag har ett budgetuppföljningssystem som i första hand är avsett att säkerställa att av företagsledningen fastlagda riktlinjer följs, kanske detta system som en biprodukt även får till följd att redovisningen i företaget blir riktig och fullständig. Revisorn kan då vid sin utredning av systemet bestämma sig för att till en del förlita sig på budgetuppföljningen (vilken då måste bli föremål för verifiering). Det faller sig ju naturligt att ett företag med bra organisation, bra styrsystem och bra rapportsystem skall kunna revideras genom att revisorn förlitar sig på dessa omständigheter och att därigenom revisorns granskning blir mindre omfattande än för ett i övrigt jämförbart företag med dåliga system.
Administrativa kontroller och redovisningskontroller
I förslaget delas kontrollåtgärderna in med hänsyn till syftet. De åtgärder som har till ändamål att säkerställa en riktig och fullständig redovisning kallas i förslaget redovisningskontroller, medan andra delar av den interna kontrollen kallas administrativa kontroller. En viss arbetsfördelning kan vara gjord i första hand för att åstadkomma en hög effektivitet, och är då en administrativ kontroll. Om den däremot gjorts för att säkerställa att redovisningen blir riktig, så är den en redovisningskontroll. Tryggandet av företagets tillgångar har förts till de administrativa kontrollerna. Företaget vidtar åtgärder för att trygga tillgångarna (och förhindra att företaget råkar in i engagemang av felaktigt slag), och dessa åtgärder är enligt kommittén då jämförbara med åtgärder för att öka effektiviteten (som ju också är administrativa kontroller). En vara kan stjälas eller förstöras; båda ger samma effekt för företaget.
Substansgranskning
I förslagets andra del införs en för många ny term, nämligen substansgranskning. Revisorns granskning är uppdelad i två delar, nämligen sådan granskning som avser att utröna hur information kommer in i redovisningen (internkontrollgranskning) och sådan granskning som avser att direkt utröna vilken information som kommit in i redovisningen, dvs vad substansen bakom redovisningen är. Granskningen av den interna kontrollen är alltså en indirekt metod att granska substansen.
Viss information är överhuvudtaget inte möjlig att granska genom enbart substansgranskning. I många fall är det praktiskt ogörligt att genom substansgranskning fastställa att försäljningssumman i företaget är riktig. Å andra sidan kan man inte heller enbart genom internkontrollgranskning fastställa att balans- och resultaträkningarna är korrekta.
Även om det alltså inte i alla situationer är möjligt för revisorn att välja mellan internkontrollgranskning och substansgranskning, föreligger ofta en valsituation.
Det förtjänar påpekas att granskning på basis av den interna kontrollen ofta blir mindre omfattande än en granskning som huvudsakligen utförs genom substansgranskning. Visserligen måste revisorn verifiera att den interna kontrollen fungerat tillfredsställande under den tid granskningen avser, men han kan i gengäld ofta minska sin substansgranskning så mycket att det mer än uppväger granskningen av den interna kontrollen. Redan i verifieringsfasen bör ju revisorn kunna nöja sig med en lägre objektiv säkerhet (med statistisk vokabulär = säkerhetstal) om han vet att de flesta transaktioner kommer fram ur en rutin som, åtminstone på papperet, verkar tillfredsställande. Låt oss se ett exempel där jag i statistiska termer vill visa vad jag menar:
Antag exempelvis att vi skall kontrollera att ackordsuträkningen i en lönerutin är tillfredsställande. Vi räknar med att ungefär 3 % av årets 15 000 ackordsuträkningar är fel och vi bestämmer oss för att godkänna systemet om 95 %, eller mer av beräkningarna är korrekta. Om den interna kontrollen i rutinen är dålig och vi alltså måste fastställa hur många fel som begåtts, måste vi antagligen välja ett högt säkerhetstal, exempelvis 99 % och då granska (kontrollräkna) 625 uträkningar. Om vi har ett gott kontrollsystem som normalt skall fånga upp felaktigheter kanske vi kan nöja oss med 80 % säkerhet, vilket ger en stickprovsstorlek på 157. (Om felmängden motsvarar den antagna, dvs vi får 5 fel i stickprovet på 157, kan vi med 99 % säkerhet säga att felmängden i populationen inte är mer än ca 7 – 8 %.)
I något remissvar nämndes att den primära målsättningen för revisorn borde vara att påverka företaget att förbättra den interna kontrollen i stället för att utöka revisorns insatser med substansgranskning. Det är naturligtvis mycket angeläget att revisorn påverkar företaget i förbättrande riktning, men han måste också övertyga sig om att redovisningen för den tid hans berättelse skall avse, varit tillfredsställande.
Verifiering
En synpunkt som framkom vid remissbehandlingen var att ordet ”verifiera” används i två sammanhang, dels så att en kontroll verifieras (vid internkontrollgranskningen), dels så att saldon verifieras (vid substansgranskningen). Revisionskommittén ansåg att termen, även om den hittills kanske framför allt använts i samband med internkontrollgranskningen, är neutral och applicerbar på båda typerna av granskning.
GRANSKNINGENS INNEHÅLL OCH UTFÖRANDE
Innehållet i dessa delar av rekommendationen kan sammanfattas i nedanstående flödesschema, som i princip använts i de senaste årens upplagor av FARs grundkurs.
Revisionsprocessen
1 | ||||||||
Nej | ||||||||
2 | ||||||||
Ja | ||||||||
3 | ||||||||
Nej | ||||||||
4 | ||||||||
Ja | ||||||||
5 | ||||||||
Nej | ||||||||
7 | ||||||||
Ja | ||||||||
Nej | ||||||||
6 | ||||||||
Ja | ||||||||
8 | 8 | 8 | ||||||
Mindre omfattning | Större omfattning | |||||||
SUBSTANSGRANSKNING | ||||||||
(Ren eller oren) | (oren) | |||||||
REVISIONSBERÄTTELSE |
Planering av revision
Avser revisorn på basis av sin tidigare kunskap om företaget att förlita sig på den interna kontrollen?
Utredning och preliminär bedömning av den interna kontrollen
Verkar systemet ha förutsättningar att säkerställa en riktig och fullständig redovisning?
Verifiering av det interna kontrollsystemet
Fungerar systemet enligt utredningen?
Kan substansgranskning ge en tillfredsställande säkerhet beträffande redovisade belopp?
Rapport till företaget med förslag till förbättringar i rutinerna
Olof Herolf, auktoriserad revisor Price Waterhouse & Co och ledamot i FARs revisionskommitté