ISA:s 300- och 400-serier ger vägledning om hur revisorn ska behandla planeringen av revisionen samt skaffar sig kunskap om redovisningssystemet och system för intern kontroll och hur man bedömer revisionsrisken. Lars Egenäs och Marie Norregårdh från FARs revisionskommitté går här igenom de olika delarna i 300- och 400-serierna.
ISA:s 300-serie behandlar planeringen av revisionen med bl.a. beaktande av väsentlighet och risk. För att kunna göra en god planering av revisionsuppdraget och en relevant riskbedömning krävs att revisorn har kunskap om verksamheten.
ISA:s 400-serie behandlar riskbedömning och intern kontroll samt påverkan på detta till följd av en datoriserad informationssystemmiljö och anlitande av servicebyrå. Dessa standarder har till syfte att lägga fast standard för och ge vägledning om hur revisorn skaffar sig kunskap om redovisningssystemet och system för intern kontroll samt om hur han eller hon bedömer revisionsrisk och dess komponenter inneboende risk, kontrollrisk och upptäcktsrisk.
Planering samt kunskap om verksamheten
ISA 300 – Planering
Syftet med denna ISA är att lägga fast en standard för och ge vägledning om hur revisorn bör planera en revision av finansiella rapporter. Revisorn skall planera revisionsarbetet så att revisionen utförs på ett effektivt sätt, samt utarbeta och dokumentera en övergripande revisionsplan som beskriver den förväntade inriktningen på och omfattningen av revisionen och hur den skall utföras.
ISA:n beskriver de förhållanden som revisorn bör ta hänsyn till när han eller hon utarbetar den övergripande revisionsplanen. De områden som ISA 300 lyfter fram är:
Kunskap om verksamheten
Förståelse av redovisnings- och internkontrollsystemen
Risk och väsentlighet
Granskningsåtgärdernas karaktär, omfattning och förläggning i tiden
Koordinering, ledning, övervakning och kontroll
Andra förhållanden
Med revisionsplanen som grund ska revisorn därefter utarbeta och dokumentera ett granskningsprogram som anger typ, tidpunkt för utförande samt omfattning av planerade granskningsåtgärder som krävs för att genomföra den övergripande revisionsplanen.
Motsvarande avsnitt i FARs Revisionsprocessen är 2.2, ”Planering av revisionen”. Vi bedömer inte att det finns några väsentliga skillnader mellan Revisionsprocessen och den nya ISA:n.
ISA 310 – Kunskap om verksamheten
Syftet med denna ISA är att lägga fast standarder för och ge vägledning om vad som menas med kunskap om verksamheten som tas upp i ISA 300 och varför den är viktig för revisorn och de medarbetare som arbetar med uppdraget. Den beskriver också varför den har betydelse i alla faser av en revision samt hur revisorn skaffar sig och använder denna kunskap.
Vid en revision skall revisorn ha eller skaffa sig tillräcklig kunskap om verksamheten för att kunna identifiera och förstå de händelser, transaktioner och förhållanden som enligt hans eller hennes bedömning kan ha en betydande påverkan på:
årsredovisningen,
bokföringen,
företagsledningens förvaltning,
granskningen samt
revisionsberättelsen.
Revisorn kan använda denna kunskap t.ex. för att bedöma inneboende risk och kontrollrisk samt för att besluta om granskningsåtgärdernas karaktär, omfattning och förläggning i tiden.
ISA:n behandlar också hur revisorn bör agera vid antagandet av ett nytt uppdrag samt vid löpande uppdrag.
Innan revisorn accepterar ett uppdrag ska han eller hon skaffa sig en förberedande kunskap dels om branschen, dels om företagets ägarförhållanden, företagsledning och drift, samt bedömma om det går att inhämta tillräckligt mycket kunskap om verksamheten för att kunna genomföra revisionen.
I löpande uppdrag uppdaterar och omprövar revisorn information som inhämtats tidigare, inklusive den information som finns i arbetspapperen från tidigare år. Revisorn genomför också sådana granskningsåtgärder som utformats med syftet att identifiera betydelsefulla förändringar sedan föregående revision.
Det bedöms också som viktigt att alla medarbetare på uppdraget har en god kunskap om verksamheten.
Revisorn skall därför se till att de medarbetare som arbetar med revisionsuppdraget skaffar sig tillräcklig kunskap om verksamheten så att de kan genomföra den granskning som delegerats på dem.
För att använda sin kunskap om verksamheten på ett effektivt sätt skall revisorn beakta hur verksamheten påverkar redovisningshandlingarna som helhet och om de påståenden som finns i redovisningshandlingarna är förenliga med hans eller hennes kunskap om verksamheten.
Motsvarande avsnitt i FARs Revisionsprocessen är 2.2.2, ”Förberedande informationsinsamling”. Förutom att ISA:n är textmässigt mer omfångsrik och följdaktligen mer detaljerad bedömer vi inte att det finns några väsentliga skillnader mellan Revisionsprocessen och den nya ISA:n.
ISA 320 – Väsentlighet vid revision
Syftet med denna ISA är att lägga fast standarder för och ge vägledning om begreppet väsentlighet och dess samband med revisionsrisk.
Revisorn skall beakta väsentlighet och dess samband med revisionsrisk när han eller hon genomför en revision.
Målet för den lagstadgade revisionen i Sverige är att den skall göra det möjligt för revisorn att bl.a. uttala sig om huruvida årsredovisningen i alla väsentliga avseenden har upprättats enligt tillämplig lag om årsredovisningen.
Revisorn skall därför beakta väsentlighet när följande beslut fattas:
granskningsåtgärdernas karaktär,
omfattning och förläggning i tiden samt
bedömer effekten av felaktiga uppgifter.
ISA:n behandlar också sambandet mellan väsentlighet och revisionsrisk. Revisorn bör välja sådana granskningsåtgärder som tillsammans kan förväntas minska revisionsrisken till en acceptabel nivå.
Motsvarande avsnitt i FARs Revisionsprocessen är 2.2.1, ”Väsentlighet och risk”. Förutom att ISA:n är textmässigt mer omfångsrik och följdaktligen mer detaljerad bedömer vi inte att det finns några väsentliga skillnader mellan Revisionsprocessen och den nya ISA:n.
Riskbedömning och Intern kontroll
ISA 400 – Riskbedömning och intern kontroll
Revisorn skall skaffa sig tillräckligt med kunskap om redovisningssystemet och systemet för intern kontroll för att kunna planera revisionen och utforma en effektiv ansats för den. Revisorn skall använda sitt yrkesmässiga omdöme för att bedöma revisionsrisken och utforma granskningsåtgärder som säkerställer att risken minskar till en nivå som är godtagbart låg.
ISA 400 lägger fast standard för hur revisorn skall genomföra informationsinsamling samt genomföra revisionsåtgärder för att skapa ett adekvat underlag till sin riskbedömning. Riskbedömningen bygger på en kunskap om redovisningssystemet och system för intern kontroll. Denna standard för revision (ISA 400) ger en samlad standard och vägledning jämfört med FARs Revisionsprocessen där motsvarande vägledning ges i flera delar av processen, avsnitten 2.2, 2.2.1, 2.2.3, 2.2.5, 2.3.3, 2.4.2.1 och 2.5. Vid sidan om denna skillnad är vägledningen mer detaljerad.
I ISA 400 definieras de grundläggande begreppen i riskbedömningen;
Revisionsrisk – risken för att revisorn gör ett oriktigt uttalande i revisionsberättelsen när det finns felaktiga uppgifter i årsredovisningen som är väsentliga. Revisionsrisk har tre komponenter: inneboende risk, kontrollrisk och upptäcktsrisk.
Inneboende risk – är benägenheten hos ett saldo eller ett transaktionsslag att innehålla en felaktig uppgift som, enskilt eller tillsammans med felaktiga uppgifter i andra saldon eller transaktionsslag, skulle kunna vara väsentlig, om man bortser från eventuell tillhörande intern kontroll.
Kontrollrisk – är risken för att en felaktig uppgift som skulle kunna förekomma i ett saldo eller transaktionsslag och som, enskilt eller tillsammans med felaktiga uppgifter i andra saldon eller transaktionsslag, skulle kunna vara väsentlig inte förhindras eller upptäcks och rättas i tid via redovisningssystemet och systemet för intern kontroll.
Upptäcktsrisk – är risken för att en revisors substansgranskningsåtgärder inte upptäcker en felaktig uppgift i ett saldo eller transaktionsslag och som, enskilt eller tillsammans med felaktiga uppgifter i andra saldon eller transaktionsslag, skulle kunna vara väsentlig.
ISA 400 ger en väldefinierad beskrivning av redovisningssystem och intern kontroll system med tillhörande begränsningar. Utöver detta ger ISA 400 en vägledning i dokumentationskraven kring detta område som i stort överensstämmer med nuvarande krav.
Standard för revision 400 (ISA 400) innehåller en beskrivning av vad granskning av kontroller innebär och hur detta genomförs. I övrigt kan noteras att vägledningen avseende vilka överväganden som skall göras avseende när i tiden granskning av kontroller skall genomföras respektive kompletterande åtgärder som behöver vidtas om granskningen genomförs tidigt under året, överensstämmer i stort med nuvarande Revisionsprocessen avsnitt 2.3.3.
Det bör noteras att denna standard för revision (ISA 400) inte tar upp de krav som finns ur förvaltningsrevisionell synvinkel på granskning av intern kontroll. Detta kommer att hanteras i separat standard för revision.
ISA 401 – Revision i en datoriserad informationssystemmiljö
Syftet med denna revisionsstandard (ISA) är att lägga fast standarder för och ge vägledning om vilka riktlinjer som bör följas när en revision utförs i en datoriserad informationssystemmiljö. I ISA-sammanhang talar man om en datoriserad informationssystemmiljö när en dator, oavsett storlek eller typ, används i ett företags bearbetning av sådan ekonomisk information som är av betydelse för revisionen, oavsett om datordriften sker hos företaget eller extern part.
Vid en jämförelse med nuvarande Revisionsprocessen kan noteras att skrivningar avseende hur revisionen påverkas av en datoriserad informationssystemmiljö finns på flera ställen och att en övergång till ISA (ISA 401) innebär en samordning av alla dessa delar samt att ISA ger en mer praktisk standard och vägledning.
I avsnitt 2.2.1, Väsentlighet och risk sista stycket i Revisionsprocessen, klargörs att revisorn särskilt måste bedöma riskerna då företagets användning av datorbaserade system såväl för redovisningen som för produktionen och andra operativa ändamål. Speciellt bör man uppmärksamma risker för bolagets fortbestånd. Det senare behandlas i en separat ISA. I ISA 401 anges ”Revisorn skall beakta hur en datoriserad informationssystemmiljö påverkar revisionen”. Därefter ges en praktisk beskrivning hur detta fungerar.
Det övergripande syftet med och omfattningen av en revision ändras inte i en datoriserad informationssystemmiljö. Men datoranvändningen förändrar behandlingen, lagringen och överföringen av ekonomisk information och kan också påverka det redovisningssystem och det system för intern kontroll som företaget använder. En datoriserad informationssystemmiljö kan sålunda påverka hur revisorn:
går till väga för att skaffa sig tillräcklig förståelse för redovisningssystemet och systemet för intern kontroll
beaktar inneboende risk och kontrollrisk som grund för sin riskbedömning
utformar och genomför den systemgranskning och substansgranskning som är lämplig för att han eller hon skall kunna uppnå revisionsmålet.
I Revisionsprocessen behandlas i 2.2.2 Förberedande informationsinsamling fjärde stycket, att revisorn i sin förberedande informationsinsamling skall genomföra en översiktlig kartläggning av hur bolagets ADB-verksamhet är organiserad. Beskrivningen i ISA 401 är mer utförlig där det anges att revisorn skaffar sig tillräcklig kunskap om redovisningssystemet och systemet för intern kontroll för att kunna planera revisionen och utforma en effektiv ansats för revisionen. Vid planeringen av de delar av revisionen som kan påverkas av klientens datoriserade informationssystemmiljö, skall revisorn sätta sig in i systemfunktionerna, deras innebörd och komplexitet samt vilken tillgång de ger till uppgifter som skall användas i revisionen. Därefter ges ett antal exempel på hur den datoriserade miljön påverkar klientens verksamhet och därmed revisionen.
Under avsnitt 2.2.3 Intern kontroll i Revisionsprocessen anges att den interna kontrollen påverkas av graden av ADB-stöd. Den påverkar även revisorns val av granskningsmetod. Detta beskrivs i ett separat avsnitt i ISA 401 där det anges att när det datoriserade informationssystemet är av väsentlig betydelse, skall revisorn också skaffa sig förståelse för den datoriserade informationssystemmiljön och om den kan påverka bedömningen av inneboende risk och kontrollrisk. Vidare ges en återkoppling till ISA 400 ”Riskbedömning och intern kontroll” genom att revisorn skall ta hänsyn till den datoriserade informationssystemmiljön när han eller hon utformar sina granskningsåtgärder för att minska revisionsrisken till en godtagbart låg nivå. Kopplingen till utformningen av granskningsåtgärder ges i Revisionprocessen i avsnitt 2.2.11 Utveckling av arbetsprogram, där revisorns skall beakta möjligheten till effektivitetshöjande effekter som kan finnas vid användning av datorstödda tekniker. Detta behandlas även i avsnitt 2.3.4 Substansgranskning. Generellt kan nämnas att ISA ger en mer konkret och utförlig beskrivning av dessa delar vilket gör att den är en bättre vägledning än nuvarande Revisionsprocess.
I avsnitt 2.2.5 Användning av specialister vid revisionen i Revisionsprocessen, behandlas användningen av ADB-specialister och de krav som ställs på revisorns ansvar i anslutning till detta inbegripande hans styrning av specialisternas arbete. ISA 401 har ett speciellt avsnitt som behandlar Professionellt kunnande och kompetens där det anges att revisorn skall ha tillräcklig kunskap om det datoriserade informationssystemet för att kunna planera, leda, övervaka och granska det arbete som utförs. Revisorn måste ta ställning till om det behövs specialistkunskaper om datoriserade informationssystem i en revision. ISA ger också praktisk information om vilka arbetsuppgifter som kan föranleda att specialister används. Om avsikten är att anlita en sådan specialist, skall revisorn skaffa sig tillräckliga och ändamålsenliga revisionsbevis för att specialistens arbete är tillräckligt med hänsyn till syftet med revisionen, allt i enlighet med ISA 620 ”Användning av en specialist i revisionsarbetet”.
Det positiva med ISA 401 är dess fokusering på problemområdet och dess praktiska ansats i standardsättning och vägledning vilket är en klar förbättring jämfört med nuvarande skrivningar i Revisionsprocessen.
ISA 402 – Revisorns överväganden vid revision av företag som anlitar servicebyråer
Syftet med denna revisionsstandard (ISA) är att lägga fast standarder för och ge vägledning till revisorer som har klienter som anlitar servicebyråer (redovisningsbyråer). Denna ISA beskriver också utlåtanden från servicebyråernas revisorer som klientföretagets revisorer kan inhämta.
Vid en jämförelse med nuvarande Revisionsprocessen kan noteras att detta område inte har behandlats alls i Revisionsprocessen.
ISA 402 bygger på att revisorn skall beakta hur servicebyrån påverkar klientens redovisningssystem och system för intern kontroll för att kunna planera revisionen och utforma en effektiv ansats för revisionen.
I planeringsfasen måste revisorn ta hänsyn till vad servicebyråns verksamhet betyder för klienten och vilken inverkan den kan få på revisionen. Detta innebär bland annat att ta hänsyn till;
Typ av tjänster som servicebyrån tillhandahåller.
Uppdragsvillkor och förhållandet mellan klienten och servicebyrån.
Väsentliga räkenskapspåståenden som påverkas av att klientföretaget anlitar en servicebyrå.
Den inneboende risk som kan finnas i dessa påståenden.
Grad av samverkan mellan å ena sidan klientens bokföring och system för intern kontroll och å andra sidan servicebyråns system.
Intern kontroll hos klienten som kan tillämpas på de transaktioner som utförs av servicebyrån.
Servicebyråns kompetens och finansiella styrka, innefattande de följder det skulle kunna få för klienten om servicebyrån ej kan fullgöra uppdraget.
Information om servicebyrån, t.ex. information i användarhandböcker och tekniska handböcker.
Tillgänglig information om generella kontroller och datorbaserade kontroller som har betydelse för klientens tillämpningar.
Om revisorn kommer till slutsatsen att servicebyråns verksamhet är väsentlig för klientföretaget och av betydelse för revisionen, skall han eller hon skaffa sig tillräckligt med information för att förstå redovisningssystemet och systemet för intern kontroll och för att bedöma kontrollrisken antingen på den högsta nivån eller på en lägre nivå om systemgranskning utförs. Om informationen inte är tillräcklig, överväger revisorn om han eller hon måste anmoda servicebyrån att låta sin revisor utföra de åtgärder som kan behövas för att få fram nödvändiga uppgifter, eller själv besöka servicebyrån för att skaffa fram dessa.
Om klientföretagets revisor använder sig av en revisionsrapport från servicebyråns revisor (tredje parts rapport), skall han eller hon tänka på att informera sig om den yrkesmässiga kompetensen hos servicebyråns revisor i förhållande till det särskilda uppdrag som servicebyråns revisor åtagit sig. I detta sammanhang skall revisorn också beakta rapportens karaktär och innehåll för att se huruvida det är att betrakta som ett ändamålsenligt revisionsbevis.
ISA 402 är en praktisk standard och vägledning i de fall klientföretaget anlitar en servicebyrån och ger följaktligen en mer påtaglig hjälp för revisorn i hur revisionen skall genomföras i dessa fall.
Lars Egenäs och Marie Norregårdh