FARs styrelses förslag till rekommendation återges.
Denna rekommendation avser att klargöra syftet med revisorns granskning av företagets system för intern kontroll samt att lämna anvisningar om granskningens inriktning och omfattning.
De allmänna principer som behandlas nedan är tillämpliga vid revision oavsett verksamhetens art eller juridiska form, även om den använda terminologin hänsyftar på aktiebolag.
INTERN KONTROLL
Med intern kontroll menas i detta sammanhang ett företags organisation och alla de samordnade rutiner i företaget som syftar till
att säkerställa en riktig och fullständig redovisning,
att trygga företagets tillgångar och därvid förhindra att bolaget drabbas av förluster på grund av förskingringar och andra oegentligheter eller oavsiktliga fel,
att öka företagets effektivitet samt att säkerställa att av företagsledningen fastlagda riktlinjer följs.
Intern kontroll kan skilja sig åt mellan olika företag och mellan olika delar av samma företag. Den interna kontrollens utformning är beroende av företagets verksamhet och storlek, företagsledningens möjligheter till personlig kontroll, verksamhetens geografiska spridning och många andra faktorer. En avvägning får göras mellan kostnaderna för den interna kontrollen och de fördelar i form av minskad risk, ökad effektivitet etc som den är avsedd att ge.
Intern kontroll kan principiellt delas upp i dels sådana kontroller som främst har till syfte att trygga företagets tillgångar, öka företagets effektivitet samt säkerställa att av företagsledningen fastlagda riktlinjer följs (administrativa kontroller), dels sådana som främst har till syfte att säkerställa en riktig och fullständig redovisning (redovisningskontroller).
Administrativa kontroller
Administrativa kontroller kan skapas genom att organisation, styrsystem, rapporteringssystem m m utformas på ändamålsenligt sätt. Administrativa kontroller har främst en indirekt inverkan på redovisningen, eftersom de i första hand är avsedda för andra ändamål än att säkerställa en riktig och fullständig redovisning, men de kan innebära att risken för avsiktliga och oavsiktliga fel minskar.
Organisatoriska kontroller grundas på företagets fördelning av befogenhet och ansvar. Härtill hör även de åtgärder företagsledningen vidtar för att begränsa möjligheten att disponera företagets tillgångar eller ikläda företaget skulder och ansvarsförbindelser. Ett företags organisationsplan och befattningsbeskrivningar kan vara mer eller mindre formaliserade och detaljerade. I ett företag med väl fungerande organisation vet var och en vilka hans uppgifter är och alla viktiga funktioner har fördelats. I begreppet organisatoriska kontroller ingår också att företaget har en lämplig kompetensnivå på sin personal. En väl fungerande organisation är ofta en förutsättning för att övriga administrativa kontroller skall kunna fungera.
Styrsystem med förutbestämda mål, standards o dyl ger olika befattningshavare möjlighet att utvärdera om verksamhetens effektivitet är tillfredsställande och om fastlagda riktlinjer följs. Kontroller av detta slag innefattar budgetsystem, kalkylsystem, kvalitetskontroll m m.
Rapporteringssystem syftar till att förse beslutsfattarna med ekonomisk information. Informationen bör presenteras på ett sådant sätt att väsentliga avvikelser från förväntade utfall framhävs, t ex genom jämförelser med föregående period, mot budgets och genom nyckeltal.
Redovisningskontroller
Redovisningskontroller har som ändamål att säkerställa en riktig och fullständig redovisning och åstadkommes genom en kombination av arbetsfördelning och systematisk uppbyggnad av redovisningen. Arbetsfördelningen syftar till att ingen person ensam skall handlägga en viss transaktion eller typ av transaktioner från början till slut och till att det arbete som utföres av en avdelning eller befattningshavare om möjligt blir föremål för oberoende kontroll av någon annan. Redovisningskontroller genom redovisningens uppbyggnad erhålls genom att kontrollmoment inläggs i en rutin, t ex genom blankettutformning, löpande avstämningar, kontrollräkningar och inventeringar.
Ansvar för den interna kontrollen
Ansvaret för att upprätta och bibehålla en betryggande intern kontroll i företaget åvilar dess ledning.
GRANSKNINGENS INRIKTNING
Revisorn skall i erforderlig omfattning granska den interna kontrollen för att bedöma huruvida styrelsen och verkställande direktören iakttagit sina åligganden med avseende på den interna kontrollen. Granskning av den interna kontrollen tjänar dessutom till att utröna räkenskapernas tillförlitlighet och ger underlag för bestämning av de övriga granskningsmetoder som skall tillämpas och omfattningen av de åtgärder som revisorn bör vidtaga för att bli i stånd att uttala sig om årsredovisningen.1
Granskningen av årsredovisningen utförs genom internkontrollgranskning och substansgranskning i lämplig avvägning.
Substansgranskningens mål är att direkt fastställa att redovisningens innehåll är väsentligen riktigt och utförs genom 1) verifiering av saldon (genom bekräftelser från tredje man, personlig observation, granskning av bakomliggande transaktioner m m) och/eller 2) analyser av avvikelser mot budgets, utfall för tidigare redovisningsperioder etc.
Målet för den internkontrollgranskning som behandlas här är att få underlag för en slutsats om huruvida företagets redovisningssystem har förutsättningar att ge och ger riktig och fullständig information.
Granskningen av den interna kontrollen innefattar momenten
utredning
verifiering
bedömning.
Verifieringen syftar här till att fastställa om kontrollen fungerat enligt utredningen.
Revisorn planerar sitt arbete så att den totala resursinsatsen hålls så låg som möjligt. Han måste då beakta att det inte är möjligt att helt förlita sig på den interna kontrollen. Revisorn måste åtminstone göra rimlighetsbedömningar av redovisningens innehåll. I många fall är det inte heller möjligt att helt förlita sig på substansgranskning. Särskilt granskningen av resultaträkningen försvåras om revisorn inte kan förlita sig på den interna kontrollen.
Inget system kan garantera att felaktigheter inte uppstår i redovisningen. I synnerhet är det svårt att förhindra avsiktliga felaktigheter av personer som självständigt behärskar och har tillgång till ett system. Det mindre företaget bereder i detta hänseende särskilda problem, eftersom förutsättningarna för en från internkontrollsynpunkt lämplig arbetsfördelning ofta saknas.
Granskningen av den interna kontrollen har inte till självständigt syfte att förhindra eller upptäcka förskingringar, andra oegentligheter eller sådana svagheter i företagets system som möjliggör förskingringar eller andra oegentligheter.
Genom sin granskning får revisorn ofta möjlighet att framföra förslag till förbättringar av systemen.
Revisorns granskning med syfte att erhålla underlag för bedömning av förvaltningen utvecklas närmare i en kommande rekommendation om förvaltningsrevision. Den här föreliggande rekommendationen behandlar endast revisorns granskning med syfte att bedöma räkenskaperna.
GENOMFÖRANDET AV GRANSKNINGEN
Planering
En förutsättning för att revisionen skall kunna utföras på ett tillfredsställande sätt är att revisorn har god kunskap om företagets verksamhet, organisatoriska uppbyggnad, konkurrenssituation etc. Genom sin kunskap om företaget kan revisorn bestämma mål för granskningen av de olika delarna av företagets verksamhet och redovisning. Han kan också preliminärt avgöra inom vilka områden han bör förlita sig på företagets kontrollsystem. Principerna för granskning är desamma för datorstödda som för manuella system.
Utredning och preliminär bedömning
För de områden, där revisorn ämnar förlita sig på företagets interna kontroll, måste han utreda företagets system. Detta kan göras genom diskussioner med företagets personal, genom granskning av företagets rutinbeskrivningar, flödesscheman m m. Det är ofta även lämpligt att följa någon eller några få transaktioner genom systemet för att på ett praktiskt sätt få förståelse för hur systemet fungerar.
Efter utredningen måste revisorn i regel göra en preliminär bedömning av den interna kontrollen. Den slutliga bedömningen kan göras först efter verifieringen. Vid den preliminära bedömningen skall revisorn avgöra vilka kontroller i den granskade rutinen som tillsammans säkerställer en riktig och fullständig redovisning och som skall bli föremål för verifiering. Dessa kontroller är ofta redovisningskontroller, men även vissa administrativa kontroller kan ingå.
Om revisorn planerat att på ett visst område förlita sig på företagets kontrollsystem, men systemet eller delar därav under utredningen visar sig otillfredsställande, måste revisorn där kontroller saknas, kompensera detta med utvidgad substansgranskning. Är kontrollsystemet så otillfredsställande att inte heller substansgranskning kan ge en tillfredsställande säkerhet, måste revisorn ta ställning till hur detta skall påverka hans revisionsberättelse.
Verifiering
De kontroller som revisorn valt att förlita sig på måste verifieras. Detta sker genom att revisorn stickprovsvis prövar att kontrollerna fungerat under den granskade perioden.
Stickproven skall väljas på sådant sätt att revisorn kan dra slutsatser om kontrollernas funktion under hela den period som granskas. Detta innebär att, om revisorn utför sin verifiering under löpande år, han antingen måste göra kompletterande verifiering avseende den ej granskade perioden, eller vidta andra granskningsåtgärder (analys av variationer, budgetavvikelser m m). Vid sin bedömning av vilka åtgärder som bör vidtas bör revisorn bl a överväga resultatet av tidigare utförd verifiering av den interna kontrollen, eventuella indikationer på att rutinerna förändrats, den återstående periodens längd, den granskade rutinens väsentlighet och övriga åtgärder i samband med bokslutsgranskningen.
Om företagets system ändras under löpande år måste revisorn bedöma vilken effekt detta får på hans granskning av perioderna före och efter ändringen.
Ett gynnsamt resultat av bedömning och verifiering ett år kan inte ligga till grund för ett beslut att helt underlåta att verifiera en väsentlig kontroll följande år. Däremot kan tillfredsställande resultat av verifieringen innebära att revisorns verifiering följande år kan minska i omfång, givetvis under förutsättning att företagets system inte förändrats.
Bedömning av fel och slutlig bedömning av den interna kontrollen
Revisorn skall bedöma de fel och avvikelser som han har funnit vid granskningen både med avseende på typ och antal samt söka fastställa orsakerna. Om exempelvis vissa typer av transaktioner behandlats på annat sätt än förutsatt och den preliminära bedömningen därför grundats på felaktiga förutsättningar, måste en förnyad bedömning göras grundad på den nya informationen.
I vissa fall uppträder felaktigheter slumpvis i företagets behandling av transaktioner, och revisorn kan inte finna något orsakssamband mellan felen. Han får då på basis av ett ev utvidgat stickprov göra en bedömning av huruvida ett tillräckligt stort antal av alla transaktioner blir korrekt behandlade i systemet för att detta skall ge väsentligen riktig och fullständig information. Om så är fallet kan han begränsa sin substansgranskning till vad han ursprungligen planerat. Hans slutliga bedömning kommer då att överensstämma med den preliminära.
Om antalet felaktigheter är så stort att revisorn inte kan lita på den kontroll han valt ut, måste han göra en ny bedömning. Därvid kan han kanske finna någon annan kontroll som han kan stödja sig på. I annat fall kan han inte förlita sig på den interna kontrollen inom detta avsnitt.
Dokumentation
Av revisorns dokumentation skall framgå vilka kontroller han valt att förlita sig på, hur dessa kontroller verifierats, hur fel utvärderats, vilka slutsatser som han dragit av det utförda arbetet samt hur dessa slutsatser påverkar den fortsatta granskningen.
Rapportering till företagsledningen
Om revisorn under sitt arbete uppmärksammar väsentliga svagheter i företagets kontrollsystem skall dessa rapporteras till företagsledningen så att denna kan åtgärda svagheterna och därigenom förhindra väsentliga avsiktliga eller oavsiktliga fel. Det kan vara lämpligt att revisorn särskilt påpekar för företagsledningen att han inte granskat alla delar av företagets kontrollsystem.
Rapporteringen som sådan påverkar inte revisorns fortsatta granskning; endast om företaget ändrar sina rutiner under pågående redovisningsperiod, kan granskningen påverkas, eftersom revisorn då har två olika system att bedöma.