Nya ISA 600 kräver tidig närvaro i dotterbolagens revision
Den omarbetade standarden för koncernrevisioner, ISA 600, innebär flera skillnader jämfört med i dag. I denna artikel redogör Daniel de Paula och Johan Engstam detaljerat för de viktigaste skillnaderna mellan RS 600 Användning av det arbete som utförts av annan revisor, och den omarbetade ISA 600 Special Considerations – Audits ofCroup Financial Statements.
I Balans nr 10/2009 redovisade Bo Hjalmarsson och Olle Herolf vad som händer när RS blir ISA. Av artikeln framgår att den omarbetade standarden för koncernrevisioner, ISA 600, innebär flera skillnader jämfört med i dag. Denna artikel syftar till att mer ingående belysa de viktigaste skillnaderna mellan RS 600 Användning av det arbete som utförts av annan revisor och den omarbetade ISA 600 Special Considerations – Audits of Group Financial Statements (Särskilda överväganden -Revision av koncernredovisningar däribland arbete som utförs av revisorer för delar av koncern ).
Fullt ansvar
En av de viktigaste skillnaderna är att den ansvariga revisorn ska ta ansvar för fullständigheten i granskningen av koncernredovisningen. Detta innebär i praktiken att huvudrevisorn inte kan hänvisa eller förlägga ansvaret på en annan revisor, vilket innefattar även revisorer i samma nätverk, utan själv måste ta ansvar för helheten. Det är således inte tillräckligt att endast inhämta en revisionsberättelse från en annan revisor som revisionsbevis, vilket är fallet i dag i många mindre koncerner. Huvudrevisorn måste istället instruera, övervaka och utvärdera enhetsrevisorn (dvs. en annan revisor som är ansvarig för ett dotterbolag eller enhet) och det arbete han eller hon utför. Denna utgångspunkt driver i sin tur huvudrevisorns involvering i de granskningsåtgärder som ska genomföras och hur revisionsprocessen bedrivs.
Koncernrevisionsteamets involvering
Då huvudrevisorn och hans koncernrevisionsteam (teamet) ska ta ett fullständigt ansvar för koncernrevisionen ställer den nya standarden en rad krav på de revisionsåtgärder som ska utföras.
Teamet förväntas genomföra planeringen av koncernrevisionen i stort sett på samma sätt som för revisionen av en fristående enhet. Detta innebär att revisionsåtgärder såsom att skaffa sig en förståelse för enheten/bolaget, fastställa väsentlighet, utföra scoping och fastställa granskningsåtgärder inte bara ska göras på en övergripande nivå utan även för alla betydande enheter. Detta bygger på att teamet har en god förståelse för de signifikanta risker som finns och hur dessa har hanterats i revisionen. Teamet behöver således aktivt ta ställning till den lokalt ansvarige revisorns planering för att försäkra sig om att omfattningen av revisionen är tillräcklig.
Koncernrevisionsprocessen
Den nya koncernrevisionsprocessen kräver att en rad revisionsåtgärder genomförs. Processen omfattar följande steg:
Identifiering av betydande enheter
En ”betydande enhet” definieras som en enhet som har stor finansiell betydelse för koncernen, eller sannolikt kan innefatta betydande risker för väsentliga felaktigheter i koncernredovisningen. Viktigt att notera är att det således inte längre är en fråga om att uppnå en tillräcklig täckning av helheten utan snarare en fråga om att säkerställa en ändamålsmässig täckning, vilket kopplar till den målstyrning av revisionen som omarbetade ISA fokuserar på. Identifieringen av de betydande enheterna styr sedan omfattningen av den granskning som ska utföras baserat på den riskbedömning som utförs i nästa steg.
Förstå koncernen, dess enheter och deras miljö
Den nya standarden refererar till riskbedömningskraven enligt ISA 315 Identifiera och bedöma risker för väsentliga fel genom att förstå företaget och dess miljö och diskuterar dess specifika tillämpning i situationer av koncernrevision. Denna förståelse utmynnar i en riskbedömning för koncernen som blir vägledande för hur revisionen sedan bedrivs för att säkerställa att tillräckliga revisionsbevis inhämtas för dessa risker.
Krav på medverkan i arbete utfört av revisorer för enheter
En annan viktig skillnad jämfört med RS 600 är kravet på medverkan i det arbete som utförs av enhetsrevisorerna och när denna insats förläggs i tiden. Tidigare begränsades involveringen mer eller mindre till en övergripande bedömning av huruvida det arbete som utförts hade varit tillräckligt baserat på den inrapportering som skett. Nya ISA 600 ställer högre krav på involvering redan i planeringsfasen, framförallt avseende betydande enheter.
Om revisorn för en enhet utför en granskning för en betydande enhet ska teamet vara delaktigt i den riskbedömning som enhetsrevisorn gör för att identifiera betydande risker för väsentliga felaktigheter i koncernredovisningen. Miniminivån av delaktighet är att teamet genomför följande:
Diskussion med revisorn eller bolagsledningen om dem av enhetens verksamheter som är betydelsefulla för koncernen.
Diskussion med revisorn om hur känslig enheten är för väsentliga felaktigheter som beror på oegentligheter och fel.
Genomgång av revisorns dokumentation över identifierade betydande risker.
Om betydande risker för väsentliga felaktigheter har identifierats i en enhet ska teamet bedöma vilka fortsatta granskningsåtgärder som det är lämpligt att utföra med anledning av de identifierade riskerna för felaktigheter. Teamet ska mot bakgrund av sin kunskap om revisorn för enheten fastställa om det finns ett behov av att delta i de fortsatta granskningsåtgärderna. Således finns det en förväntan att huvudrevisorn aktivt styr granskningsinsatsen och inte överlåter till enhetsrevisorn att göra denna bedömning. Detta kommer att bli ett viktigt tillkommande moment jämfört med idag, i och med att det krävs en återkoppling redan under planeringsfasen.
Omfattning av granskningen
För betydande enheter ska en fullständig revision utföras. Vad gäller en enhet som inte bedöms som betydande men som bedöms innehålla en specifik risk för väsentliga fel ska huvudrevisorn i dialog med enhetsrevisorn avgöra granskningsinsatsen. Detta kan vara alltifrån en fullständig revision till att begränsa granskningsåtgärder till specifika poster. För övriga enheter kan analytisk granskning utförd av huvudrevisorn vara tillräcklig.
Återigen ger denna målstyrning goda möjligheter för huvudrevisorn att fokusera granskningsinsatsen på det som är väsentligt och därmed kan troligtvis en del överflödigt arbete elimineras.
Bedöma tillräcklighet och ändamålsenlighet i inhämtade revisionsbevis
En av de viktigaste åtgärderna i processen är att teamet bedömer om det arbete som enhetsrevisorn utfört är tillräckligt, baserat på kommunikationen med honom eller henne. Om teamet drar slutsatsen att det arbete som enhetens revisors har utfört är otillräckligt, ska teamet bestämma vilka ytterligare åtgärder som krävs och om de ska utföras av enhetens revisor eller av teamet. Här ställs alltså högre krav på att förstå vad som har diskuterats på lokal nivå och vilka överväganden som har gjorts i samband med de slutsatser som dragits.
Övriga krav
Den nya standarden innefattar tydliga krav på dokumentationen, inklusive en analys av enheterna som visar vilka som är betydande och vilken granskning av enheterna som har utförts; karaktären på, tidpunkten för och omfattningen av medverkan i det arbete som har utförts.
Likt den nu gällande RS 600 innehåller den nya ISA:n krav på utvärdering av enhetsrevisorn. Dessa krav har utökats något och innehåller nu krav på att utvärdera efterlevnad av etiska regler, kompetens samt huruvida koncernrevisorn kan involveras i tillräcklig utsträckning. I utvärderingen ska också beaktas om det finns en övervakande myndighet eller liknande.
Utvärdering kan ske på olika sätt, t.ex. genom att besöka revisorn, erhålla bekräftelser på kompetens och kvalitetssystem, information från övervakande myndigheter, etc, och baseras på tidigare erfarenhet av att arbeta med enhetsrevisorn. ISA:n gör också klart att om koncernrevisorn och enhetsrevisorn är från samma byrå kan koncernrevisorn förlita sig till kvalitetssystem som faller under isqc 1, som hanterar byråövergripande kontrollsystem inom ramen för omarbetade ISA.
Praktiska frågeställningar
Hur och i vilken omfattning ska koncernrevisorn involveras i och utvärdera enhetsrevisorns arbete?
I vilken omfattning koncernrevisorn måste instruera, övervaka och utvärdera enhetsrevisorn och hans eller hennes arbete beror givetvis på omständigheterna och är föremål för revisorns professionella bedömning. Koncernrevisorn ansvarar för riskbedömning, scoping, väsentlighetsbedömning etc. och ska bestämma vilka granskningsåtgärder som är ändamålsenliga inom respektive enhet. Det är också upp till koncernrevisorn att bedöma huruvida granskningsåtgärderna ska utföras av koncernrevisorn eller enhetsrevisorn, eller om de ska fördelas mellan dessa.
Under revisionens gång måste koncernrevisorn också bedöma det arbete som gjorts och om inhämtade revisionsbevis kan anses vara tillräckliga och ändamålsenliga. Det innebär att revisorn måste utvärdera enhetsrevisorns dokumentation av väsentliga risker, de granskningsåtgärder som utförts och de slutsatser enhetsrevisorn har kommit fram till. Baserat på denna utvärdering ska koncernrevisorn bedöma huruvida ytterligare granskningsåtgärder är nödvändiga eller om ytterligare revisionsbevis måste inhämtas. Denna utvärdering kan göras på olika sätt, t.ex. genom att granska enhetsrevisorns arbetspapper, besöka enheten och enhetsrevisorn, genom skriftlig kommunikation, etc. Ett minimum torde vara att rapporteringen från enhetsrevisorn inkluderar en sammanfattning av de väsentliga riskerna, de granskningsåtgärder som utförts för att adressera dessa risker, samt de slutsatser enhetsrevisorn har dragit baserade på sin granskning.
Värt att notera är också den ändring som gjorts i Revisorslagen från och med 1 juli 2009 då delar av EU :s 8:e direktiv avseende revision införlivades i lagen. Artikel 27 i 8:e direktivet reglerar koncernrevisorns ansvar för koncernredovisningen och ansvarsfördelningen mellan koncernrevisorn och andra revisorer. Det är koncernrevisorn som har hela ansvaret (27a). Denna artikel reglerar också att koncernrevisorn måste granska annan revisors arbete avseende koncernrevisionen och att dokumentationen av detta arbete måste bevaras av koncernrevisorn (27b). Slutligen anger artikeln att koncernrevisorn ansvarar för att all relevant dokumentationen finns tillgänglig för att tillsynsmyndigheterna, på begäran, ska kunna ta del av denna (27c).
Lagstiftaren ansåg, med hänvisning bl.a. till Revisorslagen och RS 230 respektive RS 600, att 27a och 27b ovan var i överensstämmelse med gällande svensk rätt. Däremot saknades motsvarigheten till 27c i gällande svensk rätt varför denna del av artikel 27 införlivades i Revisorslagen (§ 28a) från och med 1 juli 2009.
Vad medför införandet av nya ISA 600 i praktiken?
Som framgår ovan förtydligar och utökar nya ISA 600 kraven på koncernrevisorn jämfört med nuvarande RS 600, och kraven för hur en koncernrevision genomförs ökar i och med införandet. Införandet kommer sannolikt att påverka hur koncernrevisioner görs i varierande grad, beroende på hur dessa har genomförts tidigare. I de fall där man i hög grad har förlitat sig på enhetsrevisorer i samma nätverk och enbart använt instruktioner och revisionsberättelsen vid bedömningen av utfört arbete kommer förändringen sannolikt att bli stor.
Är detta positivt eller negativt? Kvaliteten på den information koncernrevisorn skaffar sig torde öka vilket borde möjliggöra en bättre rapportering och kommunikation med bolagen och andra intressenter.
Vad bör göras redan nu? Eftersom det kan konstateras att Revisorslagen redan anpassats till artikel 27 i 8:e direktivet måste koncernrevisorn säkerställa att relevant dokumentation avseende enhetsrevisorernas arbete med koncernrevisionen utvärderas och sparas redan nästkommande räkenskapsår. Vad som anses vara relevant dokumentation kan säkert variera från revision till revision. Förtydliganden avseende kraven på dokumentation av hur enheterna scopats, väsentlighetsbedömningen, väsentliga risker i respektive enhet, vilket arbete enhetsrevisorn gjort för att adressera dessa risker samt hans eller hennes slutsatser efter utförd granskning medför att dokumentation av dessa torde vara ett minimum för att kunna bedöma om revisionsbevisen är tillräckliga och ändamålsenliga.
Auktor revisor Daniel de Paula är verksam vid Deloitte och ledamot i FAR SRS policygrupp för revision. Auktor revisor Johan Engstam är verksam vid PricewaterhouseCoopers.