INTERNATIONAL STANDARD ON AUDITING

ISA 315 Identifiera och bedöma riskerna för väsentliga felaktigheter genom att förstå företaget och dess miljö

(Gäller vid revision av finansiella rapporter för räkenskapsperioder som slutar den 15 december 2013 eller senare)

International Standard on Auditing (ISA) 315 Identifiera och bedöma riskerna för väsentliga felaktigheter genom att förstå företaget och dess miljö, ska läsas tillsammans med ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing.

Inledning

Denna standards tillämpningsområde

1.Denna internationella revisionsstandard (ISA) behandlar revisorns ansvar för att identifiera och bedöma riskerna för väsentliga felaktigheter genom att förstå företaget och dess miljö, vilket innefattar företagets interna kontroll.

Ikraftträdande

2.Denna standard gäller vid revision av finansiella rapporter för räkenskapsperioder som slutar den 15 december 2013 eller senare.

Mål

3.Revisorns mål är att identifiera och bedöma riskerna för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller misstag, på rapport- och påståendenivåerna genom att förstå företaget och dess miljö, inklusive företagets interna kontroll, för att skapa en grund för utformning och utförande av åtgärder med anledning av de bedömda riskerna för väsentliga felaktigheter.

Definitioner

4.I ISA har nedanstående termer följande betydelser:

  1. Påståenden – företagsledningens uttalanden, uttryckliga eller på annat sätt uttalade, i de finansiella rapporterna, som används av revisorn för att bedöma de olika typer av potentiella felaktigheter som kan uppstå.
  2. Affärsrisk – en risk som härrör från betydelsefulla förhållanden, händelser, omständigheter, åtgärder eller passivitet som kan inverka negativt på ett företags möjlighet att nå sina mål och genomföra sina strategier, eller från olämpliga mål och strategier.
  3. Intern kontroll – den process som utformas, införs och upprätthålls av dem som har ansvar för företagets styrning (styrelsen), företagsledningen och annan personal för att ge rimlig säkerhet att företagets mål nås i fråga om finansiell rapportering, effektivitet i verksamheten och att tillämpliga lagar och andra författningar följs. Begreppet ”kontroller” avser allt som rör en eller flera komponenter i intern kontroll.
  4. Riskbedömning – de granskningsåtgärder som utförs för att få en förståelse av företaget och dess miljö, däribland den interna kontrollen i företaget, för att identifiera och bedöma riskerna för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller misstag, på rapport- och påståendenivåerna.
  5. Betydande risk – en identifierad och bedömd risk för väsentlig felaktighet som, enligt revisorn, kräver särskilda överväganden.

Krav

Riskbedömning och näraliggande aktiviteter

5.Revisorn ska genomföra riskbedömning för att identifiera och bedöma risker för väsentlig felaktighet på rapport- och påståendenivåerna. Riskbedömning ensamt räcker dock inte för att ge tillräckliga och ändamålsenliga revisionsbevis som uttalandet i revisors rapport kan grundas på. (Se punkterna A 1–A 5.)

6.I riskbedömningen ska följande ingå:

  1. Frågor till företagsledningen, till andra lämpliga personer på internrevisionsfunktionen (om sådan finns på företaget) och till andra inom företaget vilka revisorn anser kan ha information som kan bidra till identifieringen av risker för väsentliga felaktigheter som beror på oegentligheter eller misstag. (Se punkterna A 6–A 13.)
  2. Analytisk granskning. (Se punkterna A 14–A 17.)
  3. Observation och inspektion. (Se punkt A 18.)

7.Revisorn ska överväga om den information som har inhämtats i samband med revisorns metoder för att acceptera och behålla kunder är relevant för identifiering av risker för väsentliga felaktigheter.

8.Om den ansvariga revisorn har genomfört andra uppdrag åt företaget ska han eller hon överväga om den inhämtade informationen är relevant för att kunna identifiera risker för väsentliga felaktigheter.

9.Om revisorn avser att använda den information som har inhämtats vid tidigare arbete åt företaget och från granskningsåtgärder i samband med tidigare revisioner, ska revisorn fastställa om de förändringar som har skett sedan den tidigare revisionen kan ha påverkat informationens relevans för den aktuella revisionen. (Se punkterna A 19–A 20.)

10.Den ansvariga revisorn och andra nyckelpersoner i uppdragsteamet ska diskutera hur känsliga företagets finansiella rapporter är för väsentliga felaktigheter och hur det tillämpliga ramverket för finansiell rapportering tillämpas på företagets omständigheter. Den ansvariga revisorn ska fastställa vilka frågor som de teammedlemmar som inte deltar i diskussionen ska informeras om. (Se punkterna A 21–A 24.)

Nödvändig förståelse av företaget och dess miljö, däribland företagets interna kontroll

Företaget och dess miljö

11.Revisorn ska skaffa sig en förståelse av följande:

  1. Relevanta faktorer som rör branschen och reglering samt andra externa faktorer, däribland det tillämpliga ramverket för finansiell rapportering. (Se punkterna A 25–A 30.)
  2. Företagets karaktär, däribland
    1. dess verksamhet,
    2. dess ägar- och styrstrukturer,
    3. typen av investeringar som företaget gör och planerar att göra, innefattande investeringar i företag för särskilda ändamål,
    4. hur företaget är strukturerat och hur det är finansierat, för att revisorn ska kunna förstå vilka typer av transaktioner, konton och upplysningar som kan förväntas i de finansiella rapporterna. (Se punkterna A 31–A 35.)
  3. Företagets val och tillämpning av redovisningsprinciper och orsaken till byten av dessa. Revisorn ska bedöma om företagets redovisningsprinciper är ändamålsenliga för verksamheten och förenliga med det tillämpliga ramverket för finansiell rapportering och de redovisningsprinciper som används i den aktuella branschen. (Se punkt A 36.)
  4. Företagets mål och strategier samt affärsrisker som sammanhänger med dem, som kan leda till risker för väsentliga felaktigheter. (Se punkterna A 37–A 43.)
  5. Företagets mätning och genomgång av ekonomiskt utfall. (Se punkterna A 44–A 49.)

Företagets interna kontroll

12.Revisorn ska skaffa sig en förståelse av den interna kontroll som är relevant för revisionen. Även om de flesta kontroller som är relevanta för revisionen sannolikt gäller den finansiella rapporteringen är inte alla kontroller som gäller den finansiella rapporteringen relevanta för revisionen. Revisorn ska göra en professionell bedömning av huruvida en kontroll, enskild eller i kombination med andra, är relevant för revisionen. (Se punkterna A 50–A 73.)

Karaktär på och omfattning av förståelsen av relevanta kontroller

13.När revisorn skaffar sig en förståelse av de kontroller som är relevanta för revisionen ska han eller hon bedöma dessa kontrollers utformning och avgöra om de har införts, genom att utföra åtgärder och ställa frågor till företagets anställda. (Se punkterna A 74–A 76.)

Den interna kontrollens komponenter
Kontrollmiljö

14.Revisorn ska skaffa sig en förståelse av kontrollmiljön. För att skaffa sig den förståelsen ska revisorn bland annat bedöma om

  1. företagsledningen, under tillsyn av styrelsen, har utvecklat och upprätthållit en kultur präglad av ärlighet och etiskt korrekt agerande, och
  2. styrkorna i de olika delarna av kontrollmiljön tillsammans utgör en lämplig grund för de andra komponenterna i den interna kontrollen, och om inte dessa andra komponenter undermineras av brister i kontrollmiljön. (Se punkterna A 77–A 87.)

Företagets riskbedömningsprocess

15.Revisorn ska skaffa sig en förståelse av om företaget har en process för följande:

  1. Identifiering av affärsrisker som är relevanta för den finansiella rapporteringens mål.
  2. Uppskattning av riskernas betydelse.
  3. Bedömning av sannolikheten för att de förekommer.
  4. Beslut om vilka åtgärder som ska vidtas för dessa risker. (Se punkt A 88.)

16.Om företaget har infört en sådan process (fortsättningsvis kallad ”företagets riskbedömningsprocess”) ska revisorn skaffa sig en förståelse av den och av resultatet av den. Om revisorn identifierar risker för väsentliga felaktigheter som företagsledningen inte har lyckats identifiera, ska revisorn bedöma om det fanns någon underliggande risk som enligt hans eller hennes mening skulle ha identifierats i företagets riskbedömningsprocess. Om det finns en sådan risk ska revisorn inhämta en förståelse av varför den inte identifierades av processen och bedöma om processen är lämplig med tanke på omständigheterna eller fastställa om det finns en betydande brist i intern kontroll med avseende på företagets riskbedömningsprocess.

17.Om företaget inte har inrättat någon sådan process eller har en process som är olika från fall till fall, ska revisorn fråga företagsledningen om den har identifierat affärsrisker som är relevanta för den finansiella rapporteringens mål och hur dessa har hanterats. Revisorn ska bedöma om avsaknaden av en dokumenterad riskbedömningsprocess är lämplig med tanke på omständigheterna eller fastställa om den representerar en betydande brist i intern kontroll. (Se punkt A 89.)

Det informationssystem, och affärsprocesser som sammanhänger med det, som är relevant för den finansiella rapporteringen samt kommunikation

18.Revisorn ska skaffa sig en förståelse av det informationssystem, och affärsprocesser som sammanhänger med det, som är av betydelse för den finansiella rapporteringen, bland annat följande områden: (Se punkterna A 90–A 92 och A 95–A 96.)

  1. Transaktionsslag i företagets verksamhet som har betydelse för de finansiella rapporterna.
  2. De processer, både vad beträffar informationstekniksystem (IT) och manuella system, genom vilka dessa transaktioner initieras, registreras, bearbetas, i förekommande fall rättas, överförs till huvudboken och redovisas i de finansiella rapporterna.
  3. Tillhörande räkenskapsmaterial, underlag och särskilda konton i de finansiella rapporterna, som används för att initiera, registrera, bearbeta och redovisa transaktioner. I detta ingår rättelse av felaktig information och hur information överförs till huvudboken. Bokföringen kan vara manuell eller datoriserad.
  4. Hur informationssystemet fångar andra händelser och förhållanden än transaktioner, som har betydelse för de finansiella rapporterna.
  5. Den process för finansiell rapportering som används för att upprätta företagets finansiella rapporter, däribland betydelsefulla uppskattningar i redovisningen och upplysningar.
  6. Kontroller av bokföringsposter, däribland icke standardiserade bokföringsposter som används för att redovisa transaktioner av engångskaraktär, ovanliga transaktioner eller justeringar. (Se punkterna A 93–A 94.)

Denna förståelse av det informationssystem som är relevant för finansiell rapportering ska innefatta relevanta aspekter av det system som avser information som lämnas i de finansiella rapporterna som har inhämtats från huvudbok med undersystem eller från annan källa.

19.Revisorn ska skaffa sig en förståelse av hur företaget kommunicerar roller och ansvarsområden avseende den finansiella rapporteringen samt betydelsefulla frågor som rör den finansiella rapporteringen, däribland följande: (Se punkterna A 97–A 98.)

  1. Kommunikationen mellan företagsledning och styrelse.
  2. Extern kommunikation, t.ex. med tillsynsmyndigheter.

Kontrollaktiviteter som är relevanta för revisionen

20.Revisorn ska skaffa sig en förståelse av de kontrollaktiviteter som är relevanta för revisionen, alltså sådana som revisorn anser nödvändiga för att kunna bedöma riskerna för väsentliga felaktigheter på påståendenivån och utforma fortsatta granskningsåtgärder med anledning av de bedömda riskerna. En revision kräver inte förståelse av alla kontrollaktiviteter som rör alla betydande transaktionsslag, konton och upplysningar i de finansiella rapporterna eller varje påstående som gäller dessa. (Se punkterna A 99–A 106.)

21.För att förstå företagets kontrollaktiviteter ska revisorn skaffa sig en förståelse av hur företaget har hanterat IT-relaterade risker. (Se punkterna A 107–A 109.)

Övervakning av kontroller

22.Revisorn ska skaffa sig en förståelse av företagets viktigaste aktiviteter för att övervaka den interna kontroll som är relevant för den finansiella rapporteringen, däribland dem som rör kontrollaktiviteter som är relevanta för revisionen, och av hur företaget åtgärdar brister i sina kontroller. (Se punkterna A 110–A 112.)

23.Om företaget har en internrevisionsfunktion [1] ska revisorn skaffa sig en förståelse av karaktären på internrevisionsfunktionens ansvarsområden, dess organisationsstruktur och av åtgärderna som utförs eller ska utföras. (Se punkterna A 113–A 120.)

24.Revisorn ska skaffa sig en förståelse av de informationskällor som används i företagets övervakningsarbete och den grund företagsledningen använder för att bedöma om informationen är tillräckligt tillförlitlig för dess syfte. (Se punkt A 121.)

Identifiera och bedöma riskerna för väsentliga felaktigheter

25.Revisorn ska identifiera och bedöma riskerna för väsentliga felaktigheter på

  1. rapportnivån, och (se punkterna A 122–A 125)
  2. påståendenivån för transaktionsslag, konton och upplysningar, (se punkterna A 126–A 131)

för att ge en grund som revisorn kan använda för att utforma och utföra fortsatta granskningsåtgärder.

26.I detta syfte ska revisorn göra följande:

  1. Identifiera risker under hela arbetet med att förstå företaget och dess miljö, däribland relevanta kontroller som rör riskerna, och genom att beakta de transaktionsslag, konton och upplysningar (däribland de kvantitativa eller kvalitativa aspekterna av dessa upplysningar) som finns i de finansiella rapporterna. (Se punkterna A 132–A 136.)
  2. Bedöma de identifierade riskerna samt huruvida de är av avgörande betydelse för de finansiella rapporterna som helhet och huruvida de kan påverka flera påståenden.
  3. Koppla de identifierade riskerna till vad som kan bli fel på påståendenivån med hänsyn till de relevanta kontroller som revisorn har för avsikt att granska. (Se punkterna A 137–A 139.)
  4. Bedöma sannolikheten för felaktigheter, och risken för upprepade felaktigheter, och om felaktigheten skulle kunna leda till en väsentlig felaktighet. (Se punkt A 140.)

Risker som kräver särskilt övervägande vid revisionen

27.Som en del av den riskbedömning som beskrivs i punkt 25 ska revisorn avgöra om någon av de identifierade riskerna enligt revisorns mening utgör en betydande risk. I sin bedömning ska revisorn inte ta hänsyn till effekterna av de identifierade kontroller som rör risken.

28.När revisorn gör sin bedömning av vilka risker som är betydande ska han eller hon åtminstone ta hänsyn till följande faktorer:

  1. Om risken är en risk för oegentlighet.
  2. Om risken rör ny, betydande utveckling inom ekonomiområdet, redovisningsområdet eller något annat område och därför måste uppmärksammas särskilt.
  3. Transaktionernas komplexitet.
  4. Om risken inbegriper betydande transaktioner med närstående.
  5. Graden av subjektivitet i mätningen av den finansiella information som rör risken, framför allt de mätningar som inbegriper ett stort mått av osäkerhet.
  6. Om risken inbegriper betydande transaktioner som inte ingår i företagets normala verksamhet eller som på annat sätt tycks vara ovanliga. (Se punkterna A 141–A 145.)

29.Om revisorn har fastställt att det finns en betydande risk ska han eller hon skaffa sig en förståelse av företagets kontroller, vilket innefattar kontrollaktiviteter, som är relevanta för den risken. (Se punkterna A 146–A 148.)

Risker för vilka enbart substansgranskning inte utgör tillräckliga och ändamålsenliga revisionsbevis

30.För vissa risker kan revisorn göra bedömningen att det inte är möjligt eller praktiskt genomförbart att få fram tillräckliga och ändamålsenliga revisionsbevis endast genom substansgranskning. Sådana risker kan gälla felaktig eller ofullständig redovisning av rutinmässiga och betydande transaktionsslag eller konton, som ofta är av den arten att de i hög grad kan hanteras automatiskt med liten eller ingen manuell hantering. I dessa fall är företagets kontroller av dessa risker relevanta för revisionen och revisorn ska skaffa sig en förståelse av dem. (Se punkterna A 149–A 151.)

Ändring av riskbedömning

31.Revisorns bedömning av risken för väsentliga felaktigheter på påståendenivån kan förändras under revisionens gång i takt med att ytterligare revisionsbevis inhämtas. I de fall där revisorn inhämtar revisionsbevis från ytterligare granskningsåtgärder, eller om ny information erhålls, och något av detta är oförenligt med de revisionsbevis som revisorn ursprungligen grundade sin bedömning på, ska revisorn omarbeta sin bedömning och ändra de planerade fortsatta granskningsåtgärderna därefter. (Se punkt A 152)

Dokumentation

32.Revisorn ska i revisionsdokumentationen innefatta följande [2] :

  1. Uppdragsteamets diskussion i det fall detta krävs enligt punkt 10 och de betydelsefulla beslut som fattas.
  2. Viktiga delar av den förståelse som har uppnåtts av de olika aspekterna av företaget och dess miljö såsom de preciseras i punkt 11 och varje komponent i den interna kontrollen enligt punkterna 14–24, de informationskällor förståelsen bygger på och den riskbedömning som har utförts.
  3. De identifierade och bedömda riskerna för väsentliga felaktigheter på rapport- och påståendenivån enligt vad som krävs i punkt 25.
  4. De identifierade riskerna, och näraliggande kontroller som revisorn har skaffat sig en förståelse av, enligt kraven i punkterna 27–30. (Se punkterna A 153–A 156.)

Tillämpning och andra förtydliganden

Riskbedömning och näraliggande aktiviteter (se punkt 5)

A 1.Att skaffa sig en förståelse av företaget och dess miljö, inklusive företagets interna kontroll (fortsättningsvis omnämnt som ”förståelse av företaget”), är en löpande och dynamisk process som innebär att information samlas in, uppdateras och analyseras under revisionens gång. Förståelsen bildar en referensram inom vilken revisorn planerar revisionen och gör professionella bedömningar under revisionen, t.ex. när revisorn

  1. bedömer risker för väsentliga felaktigheter i de finansiella rapporterna,
  2. fastställer väsentlighet enligt ISA 320 [3] ,
  3. överväger hur ändamålsenligt valet och tillämpningen av redovisningsprinciper är, och hur väl avpassade upplysningarna i de finansiella rapporterna är,
  4. identifierar områden avseende belopp eller upplysningar i de finansiella rapporterna där det kan behövas särskilda överväganden vid revisionen, t.ex. transaktioner med närstående, företagsledningens bedömning av företagets förmåga att fortsätta verksamheten eller när affärssyftet med vissa transaktioner övervägs,
  5. utarbetar förväntningar inför den analytiska granskningen,
  6. hanterar de bedömda riskerna för väsentliga felaktigheter, bland annat genom att utforma och utföra fortsatta granskningsåtgärder för att inhämta tillräckliga och ändamålsenliga revisionsbevis, eller
  7. bedömer inhämtade revisionsbevis tillräcklighet och ändamålsenlighet, t.ex. hur ändamålsenliga antagandena och företagsledningens muntliga och skriftliga uttalanden är.

A 2.Revisorn kan använda information som har inhämtats i samband med riskbedömning och näraliggande aktiviteter som revisionsbevis till stöd för bedömningar av riskerna för väsentliga felaktigheter.

Revisorn kan vidare inhämta revisionsbevis om transaktionsslag, konton eller upplysningar och påståenden som sammanhänger med dem, och om kontrollernas funktion, även om dessa åtgärder inte har planerats särskilt som substansgranskning eller som granskning av kontroller. Revisorn kan även välja att utföra substansgranskning eller granskning av kontroller samtidigt som riskbedömningen görs, därför att det är effektivt att göra så.

A 3.Revisorn ska använda sitt professionella omdöme för att avgöra vilken grad av förståelse som krävs. Revisorn ska främst avgöra om den förståelse som han eller hon har inhämtat räcker för att uppfylla det i denna standard angivna målet. Den övergripande förståelse som revisorn måste ha behöver inte vara lika ingående som den som krävs av företagets ledning.

A 4.I de risker som ska bedömas ingår både de som beror på misstag och de som beror på oegentligheter, och båda omfattas av denna standard. Oegentligheter är emellertid av sådan betydelse att ytterligare krav och vägledning finns i ISA 240 avseende riskbedömning och näraliggande aktiviteter för att skaffa sig information som används vid identifiering av riskerna för väsentliga felaktigheter som beror på oegentligheter. [4]

A 5.Även om revisorn är skyldig att utföra all den riskbedömning som beskrivs i punkt 6 för att skaffa sig en förståelse för företaget (se punkterna 11–24) måste inte han eller hon utföra den avseende alla aspekter av den förståelsen. Andra åtgärder kan utföras om den information som kan inhämtas på så sätt kan bidra till att risker för väsentliga felaktigheter identifieras. Exempel på sådana åtgärder är bland annat:

  1. Genomgång av information från externa källor, t.ex. branschtidningar och ekonomiska tidskrifter, rapporter från analytiker, banker eller kreditvärderingsinstitut, eller publikationer från tillsynsorgan och ekonomiska publikationer.
  2. Frågor till företagets externa juridiska rådgivare eller till värderingsspecialister som företaget har anlitat.

Frågor till företagsledningen, internrevisionsfunktionen och andra personer inom företaget (se punkt 6 a)

A 6.Mycket av den information som revisorn får fram genom sina förfrågningar inhämtas från företagsledningen och dem som ansvarar för den finansiella rapporteringen. Revisorn kan också inhämta information genom att ställa frågor till internrevisionsfunktionen, om företaget har en sådan, och till andra personer inom företaget.

A 7.Revisorn kan också inhämta information, eller få ett annat perspektiv på identifiering av risker för väsentliga felaktigheter, genom att ställa frågor till andra personer inom företaget och andra anställda på olika nivåer. Exempel:

  1. Frågor till styrelsen kan hjälpa revisorn att förstå den miljö där de finansiella rapporterna upprättas. ISA 260 (omarbetad) [5] identifierar vikten av effektiv tvåvägskommunikation som stöd för revisorn när han eller hon inhämtar information av styrelsen i detta avseende.
  2. Frågor till personer som arbetar med att initiera, bearbeta eller registrera komplicerade eller ovanliga transaktioner kan hjälpa revisorn att bedöma hur ändamålsenligt valet och tillämpningen av vissa redovisningsprinciper är.
  3. Frågor till internjurister kan ge information om frågor som tvister, om lagar och andra författningar följs, kännedom om oegentligheter eller misstänkta oegentligheter som påverkar företaget, garantier, förpliktelser efter försäljning, överenskommelser (t.ex. samriskföretag) med affärspartner och innebörden av avtalsvillkor.
  4. Frågor till marknads- eller försäljningspersonal kan ge information om förändringar i företagets marknadsstrategier, försäljningstrender eller avtal med kunderna.
  5. Frågor till riskhanteringsfunktionen (eller till dem som har sådana roller) kan ge information om risker i verksamheten eller med myndighetskrav som kan påverka den finansiella rapporteringen.
  6. Frågor till personal som arbetar med informationssystem kan ge information om systemändringar, system- eller kontrollbrister eller andra risker som rör informationssystem.

A 8.Eftersom inhämtning av en förståelse av företaget och dess miljö är en löpande och dynamisk process kan revisorn ställa frågor under hela revisionsuppdraget.

Frågor till internrevisionsfunktionen

A 9.Om ett företag har en internrevisionsfunktion kan frågor till lämpliga personer inom funktionen ge information som är till nytta när revisorn skaffar sig en förståelse av företaget och dess miljö, samt i att identifiera och bedöma riskerna för väsentliga felaktigheter på rapport- och påståendenivåerna. När internrevisionsfunktionen utför sitt arbete har den sannolikt fått kunskap om företagets verksamhet och affärsrisker och kan ha gjort iakttagelser baserat på sitt arbete, t.ex. identifierat kontrollbrister eller -risker som kan vara värdefull information med avseende på revisorns förståelse av företaget, revisorns riskbedömning eller andra aspekter av revisionen. Frågorna ställs därför oavsett om revisorn räknar med att använda internrevisionsfunktionens arbete för att ändra karaktären på eller tidpunkten för, eller minska omfattningen av, de granskningsåtgärder som ska utföras eller inte. [6] Frågor som är särskilt relevanta kan handla om förhållanden som internrevisionsfunktionen har tagit upp med styrelsen och utfallet av funktionens egen riskbedömning.

A 10.Om, baserat på svaren på revisorns frågor, det verkar finnas iakttagelser som kan vara relevanta för företagets finansiella rapportering och revisionen kan revisorn bedöma det som lämpligt att läsa relevanta rapporter från internrevisionsfunktionen. Exempel på rapporter från internrevisionsfunktionen som kan vara relevanta innefattar funktionens strategi- och planeringsdokument och rapporter som har upprättats åt företagsledningen eller styrelsen och som beskriver iakttagelserna från internrevisionsfunktionens undersökningar.

A 11.Dessutom gäller att, enligt ISA 240 [7] , om internrevisionsfunktionen informerar revisorn om eventuella faktiska, misstänkta eller påstådda oegentligheter, revisorn ska beakta detta i sin identifiering av risken för väsentliga felaktigheter på grund av oegentligheter.

A 12.Lämpliga personer inom internrevisionsfunktionen till vilka frågor ställs är sådana som, enligt revisorns bedömning, har tillämplig kunskap, erfarenhet och befogenhet, t.ex. chefen för internrevisionen eller, beroende på omständigheterna, andra anställda på funktionen. Revisorn kan också bedöma det som lämpligt att ha återkommande möten med dessa personer.

Överväganden som särskilt gäller mindre företag (se punkt 6 a)

A 13.Revisorer i företag i den offentliga sektorn har ofta ytterligare ansvarsområden med avseende på intern kontroll och att tillämpliga lagar och andra författningar följs. Frågor till lämpliga personer på internrevisionsfunktionen kan hjälpa revisorerna att identifiera riskerna för väsentliga överträdelser av tillämpliga lagar och andra författningar och riskerna för brister i den interna kontrollen över finansiell rapportering.

Analytisk granskning (se punkt 6 b)

A 14.Analytisk granskning som utförs som riskbedömning kan identifiera aspekter av företaget som revisorn inte var medveten om och kan vara till hjälp vid bedömning av riskerna för väsentliga felaktigheter i syfte att ge en grund för utformning och införande av åtgärder för att hantera de bedömda riskerna. Analytisk granskning som utförs som riskbedömning kan innefatta både finansiell och icke-finansiell information, t.ex. relationen mellan försäljning och försäljningsyta eller försäljningsvolym.

A 15.Analytisk granskning kan bidra till att identifiera förekomsten av ovanliga transaktioner eller händelser, eller belopp, nyckeltal och trender som kan vara tecken på förhållanden som påverkar revisionen. Ovanliga eller oväntade relationer som identifieras kan hjälpa revisorn att identifiera risker för väsentliga felaktigheter, framför allt risker för väsentliga felaktigheter som beror på oegentligheter.

A 16.Om man vid en sådan analytisk granskning använder data som har samlats in på hög nivå (vilket kan vara fallet om den analytiska granskningen har utförts som riskbedömning) ger resultatet av denna granskning endast en grov första anvisning om att det kan förekomma en väsentlig felaktighet. I sådana fall kan revisorn följaktligen få hjälp att förstå och bedöma resultatet av den analytiska granskningen om han eller hon beaktar annan information som inhämtades när risken för väsentliga felaktigheter identifierades.

Överväganden som särskilt gäller mindre företag

A 17.En del mindre företag har kanske inte ekonomiska delårs- eller månadsrapporter som kan användas för analytisk granskning. Även om revisorn kan utföra begränsad analytisk granskning i syfte att planera revisionen eller inhämta viss information genom förfrågan, kan han eller hon i dessa fall behöva planera att utföra analytisk granskning för att identifiera och bedöma riskerna för väsentliga felaktigheter när det finns ett tidigt utkast till företagets finansiella rapporter.

Observation och inspektion (se punkt 6 c)

A 18.Observation och inspektion kan ligga till grund för frågor till företagsledningen och andra, och kan även ge information om företaget och dess miljö. Exempel på sådana granskningsåtgärder är observation eller inspektion av följande:

  1. Företagets verksamhet.
  2. Dokument (såsom affärsplaner och affärsstrategier), annan dokumentation och handböcker för intern kontroll.
  3. Rapporter som har upprättats av företagsledningen (t.ex. kvartalsrapporter från företagsledningen och delårsrapporter) och styrelsen (t.ex. protokoll från styrelsemöten).
  4. Företagets lokaler och produktionsanläggningar. Information som har inhämtats under tidigare räkenskapsperioder.

Information som har inhämtats under tidigare räkenskapsperioder (se punkt 9)

A 19.Revisorns tidigare erfarenhet av företaget och de granskningsåtgärder som har utförts under tidigare revisioner kan ge revisorn information om frågor som

  1. tidigare felaktigheter och huruvida de rättades till utan onödigt dröjsmål,
  2. karaktären på företaget och dess miljö samt företagets interna kontroll (innefattande brister i intern kontroll),
  3. eventuella betydelsefulla förändringar i företaget eller dess verksamhet sedan föregående räkenskapsperiod, vilka kan hjälpa revisorn att få en tillräcklig förståelse av företaget och därmed bedöma riskerna för väsentliga felaktigheter, och
  4. de särskilda typer av transaktioner eller andra händelser eller konton (och tillhörande upplysningar) där revisorn hade problem med att utföra de granskningsåtgärder som behövdes, t.ex. på grund av deras komplexitet.

A 20.Revisorn är skyldig att avgöra om informationen från tidigare räkenskapsperioder fortfarande är relevant om revisorn har för avsikt att använda informationen i det aktuella revisionsuppdraget. Anledningen till detta är att t.ex. ändringar i kontrollmiljön kan påverka relevansen för den information som har inhämtats under föregående år. För att avgöra om förändringarna kan påverka informationens relevans kan revisorn ställa frågor och utföra andra lämpliga granskningsåtgärder, t.ex. följa transaktioner genom relevanta redovisningssystem, s.k. ”walk-through”-test.

Diskussioner i uppdragsteamet (se punkt 10)

A 21.Diskussionen inom uppdragsteamet om hur känsligt företaget är för att väsentliga felaktigheter ska kunna uppstå i företagets finansiella rapporter

  1. ger tillfälle för mer erfarna medlemmar i uppdragsteamet, däribland den ansvariga revisorn, att dela med sig av sina insikter utifrån deras kunskap om företaget,
  2. möjliggör för medlemmarna i uppdragsteamet att utbyta information om de affärsrisker som företaget är utsatt för samt om hur och var väsentliga felaktigheter som beror på oegentligheter eller misstag kan tänkas förekomma i de finansiella rapporterna,
  3. hjälper medlemmarna i uppdragsteamet att få en bättre förståelse av risken för väsentliga felaktigheter i de finansiella rapporterna inom de särskilda områden som de har tilldelats, och hjälper dem att förstå hur resultaten av de granskningsåtgärder som de utför kan påverka andra sidor av revisionen, däribland beslut om karaktären på, tidpunkten för och omfattningen av fortsatta granskningsåtgärder, och
  4. utgör en grund som uppdragsteamets medlemmar kan använda för att kommunicera och utbyta ny information som de har inhämtat under revisionen och som kan påverka bedömningen av risker för väsentliga felaktigheter eller de granskningsåtgärder som utförs för att hantera dessa risker.

ISA 240 fastställer ytterligare krav och ger vidare vägledning om diskussionen inom uppdragsteamet rörande riskerna för oegentligheter. [8]

A 22.Som del av den diskussion i uppdragsteamet som krävs enligt punkt 10, är övervägande av upplysningskraven i det tillämpliga ramverket för finansiell rapportering till hjälp för att tidigt under revisionen identifiera var det kan finnas risker för väsentliga felaktigheter med avseende på upplysningar. Exempel på frågor som uppdragsteamet kan diskutera innefattar:

  1. Ändringar i krav i ramverk för finansiell rapportering, som kan leda till betydande nya eller ändrade upplysningar.
  2. Ändringar eller förändringar i företagets miljö, ekonomi eller verksamhet som kan leda till betydande nya eller ändrade upplysningar, t.ex. ett betydande rörelseförvärv under den period som revideras.
  3. Upplysningar för vilka det tidigare varit svårt att inhämta tillräckliga och ändamålsenliga revisionsbevis.
  4. Upplysningar om komplexa frågor, däribland de som innefattar betydande bedömningar av företagsledningen om vilka upplysningar som ska lämnas.

A 23.Det är inte alltid nödvändigt eller praktiskt att alla medlemmar deltar i varje enskild diskussion (t.ex. vid en revision som omfattar flera olika orter) och alla medlemmar i uppdragsteamet behöver heller inte informeras om alla beslut som fattas vid diskussionen. Den ansvariga revisorn kan diskutera vissa frågor med nyckelpersoner i uppdragsteamet och, om det anses lämpligt, personer med särskild kompetens eller kunskap och personer som ansvarar för revision av koncernenheter, och delegera diskussioner med andra med hänsyn tagen till den grad av kommunikation som anses nödvändig med uppdragsteamet. En kommunikationsplan som har godkänts av ansvarig revisor kan komma väl till pass.

Överväganden som särskilt gäller mindre företag

A 24.Många revisioner av små företag utförs av endast den ansvariga revisorn (som kan vara en enmansbyrå). I dessa fall är det den ansvariga revisorn som personligen har planerat revisionen som ska avgöra hur hög risken är för väsentliga felaktigheter som beror på oegentligheter eller misstag i företagets finansiella rapporter.

Nödvändig förståelse av företaget och dess miljö, däribland företagets interna kontroll

Företaget och dess miljö

Branschspecifika faktorer, regelverk och andra externa faktorer (se punkt 11 a)
Branschspecifika faktorer

A 25.Bland de branschspecifika faktorerna finns konkurrenssituation, leverantörs- och kundrelationer samt teknisk utveckling. Exempel på förhållanden som revisorn kan beakta:

  1. Marknaden och konkurrensen, däribland efterfrågan, kapacitet och priskonkurrens.
  2. Cyklisk eller säsongsmässig verksamhet.
  3. Produktteknik som rör företagets produkter.
  4. Energiförsörjning och energikostnader.

A 26.I den bransch där företaget verkar kan det finnas särskilda risker för väsentliga felaktigheter på grund av verksamhetens karaktär eller graden av reglering. Långtidskontrakt kan t.ex. inbegripa betydelsefulla uppskattningar av intäkter och kostnader som ger upphov till risker för väsentliga felaktigheter. I sådana fall är det viktigt att uppdragsteamet består av medlemmar som har tillräcklig och relevant kunskap och erfarenhet. [9]

Regelverk

A 27.I faktorer som rör regelverket ingår den rättsliga miljön. Den rättsliga miljön består bland annat av det tillämpliga ramverket för finansiell rapportering samt den rättsliga och politiska miljön. Exempel på förhållanden som revisorn kan beakta:

  1. Redovisningsprinciper och branschpraxis.
  2. Det ramverk av lagar och andra författningar som gäller för en reglerad bransch, däribland krav på upplysningar.
  3. Lagar och andra författningar som har betydande påverkan på företagets verksamhet, bland annat på direkta tillsynsaktiviteter.
  4. Skattepolitik (företagsbeskattning m.m.).
  5. Regeringspolitik som i dagsläget påverkar hur företaget bedriver sin verksamhet, t.ex. penningpolitik, däribland valutakontroller, finanspolitik, ekonomiska incitament (t.ex. statliga stödprogram) och tullar eller handelshinder.
  6. Miljökrav som påverkar branschen och företagets verksamhet.

A 28.ISA 250 (omarbetad) innehåller vissa särskilda krav som rör det tillämpliga ramverket av lagar och andra författningar för företaget och den bransch eller sektor som företaget bedriver verksamhet i. [10]

Överväganden som särskilt gäller företag inom den offentliga sektorn

A 29.Vid revisioner av företag i den offentliga sektorn kan lagar eller andra författningar påverka företagets verksamhet. Det är viktigt att beakta sådana faktorer när man gör sig en bild av företaget och dess miljö.

Övriga externa faktorer

A 30.Exempel på övriga externa faktorer som påverkar företaget och som revisorn kan överväga är allmänna ekonomiska förhållanden, räntenivåer och tillgången på finansiering, inflation och valutaförändringar.

Företagets karaktär (se punkt 11 b)

A 31.Genom att förstå ett företags karaktär kan revisorn förstå frågor som:

  1. Huruvida företaget har en komplex struktur, t.ex. med dotterföretag eller andra enheter på flera olika orter. Komplexa organisationer innebär ofta att det finns förhållanden som kan ge upphov till risker för väsentliga felaktigheter. Sådana förhållanden kan handla om huruvida goodwill, samriskföretag, investeringar eller företag för särskilda ändamål redovisas korrekt och huruvida tillräckliga upplysningar om sådana förhållanden har lämnats i de finansiella rapporterna.
  2. Ägandet och relationer mellan ägare och andra personer eller företag. Förståelse av detta hjälper revisorn att avgöra om transaktioner med närstående har identifierats korrekt samt redovisats och blivit upplyst om på ett riktigt sätt i de finansiella rapporterna. ISA 550 [11] fastställer krav och ger vägledning om revisorns överväganden avseende närståendeförhållanden.

A 32.Exempel på frågor som revisorn kan överväga när han eller hon gör sig en bild av företagets karaktär:

  1. Affärsverksamhet, t.ex.:
    1. Karaktären på inkomstkällorna, varor eller tjänster, och marknaderna, bland annat elektronisk handel såsom internetförsäljning och marknadsaktiviteter.
    2. Hur verksamheten bedrivs (t.ex. produktionsstadier och produktionsmetoder eller aktiviteter som är utsatta för miljörisker).
    3. Allianser, samriskföretag och outsourcade aktiviteter.
    4. Geografisk spridning och branschsegmentering.
    5. Lokalisering av produktionsanläggningar, lagerlokaler och kontor samt varulagrens lokalisering och kvantiteter.
    6. Viktiga kunder och viktiga leverantörer av varor och tjänster, anställningsformer (däribland förekomsten av kollektivavtal, pensioner och andra förmåner efter avslutad anställning, aktie- och bonusbaserade incitamentsprogram samt offentlig reglering av anställningsfrågor).
    7. Aktiviteter och kostnader för forskning och utveckling.
    8. Transaktioner med närstående.
  2. Investeringar och investeringsaktiviteter, t.ex.:
    1. Planerade eller nyligen utförda förvärv eller avyttringar.
    2. Investeringar i och avyttringar av värdepapper och lån.
    3. Investeringar i anläggningstillgångar.
    4. Investeringar i icke konsoliderade företag, bland annat partnersamarbeten, samriskföretag och företag för särskilda ändamål.
  3. Finansiering och finansieringsaktiviteter, t.ex.:
    1. Större dotterföretag och intresseföretag, både konsoliderade och icke konsoliderade strukturer.
    2. Skuldstruktur och tillhörande villkor, inklusive finansierings- och leasingavtal utanför balansräkningen.
    3. Verkliga ägare (lokala, utländska, renommé och erfarenhet) och närstående.
    4. Användning av derivat.
  4. Rutiner och metoder för finansiell rapportering, t.ex.:
    1. Redovisningsprinciper och branschpraxis, däribland branschspecifika betydelsefulla transaktionsslag, konton och tillhörande upplysningar i de finansiella rapporterna (t.ex. lån och investeringar för banker eller forskning och utveckling för läkemedelsföretag).
    2. Intäktsredovisning.
    3. Redovisning av verkliga värden.
    4. Tillgångar, skulder och transaktioner i utländsk valuta.
    5. Redovisning av ovanliga eller komplicerade transaktioner, däribland transaktioner inom kontroversiella eller framväxande områden (t.ex. redovisning av aktierelaterade ersättningar).

A 33.Betydelsefulla förändringar i företaget från föregående räkenskapsperioder kan ge upphov till, eller ändra, riskerna för väsentliga felaktigheter.

Karaktären på ”företag för särskilda ändamål”

A 34.Ett företag för särskilt ändamål (kallas ibland en ”enhet för särskilt ändamål”) är ett företag som i allmänhet bildas för ett smalt och väldefinierat syfte, t.ex. för att genomföra leasing eller värdepapperisering av finansiella tillgångar, eller för att utföra forsknings- och utvecklingsverksamhet. Det kan ha formen av ett bolag, en stiftelse, ett handelsbolag eller ett enkelt bolag. Företaget för vars räkning företaget för särskilt ändamål har skapats kan ofta överföra tillgångar till det senare (t.ex. som en del av en transaktion för att ta bort finansiella tillgångar från balansräkningen), skaffa sig rätten att använda det senare företagets tillgångar eller utföra tjänster åt det senare företaget, samtidigt som andra parter kan finansiera det senare företaget. Som ISA 550 anger kan ett företag för särskilt ändamål under vissa omständigheter vara en närstående till företaget. [12]

A 35.Ramverk för finansiell rapportering anger ofta detaljerade villkor som kan anses innebära bestämmande inflytande eller omständigheter under vilka en konsolidering av företaget för särskilt ändamål bör övervägas. Tolkningen av kraven i sådana ramverk kräver ofta detaljerade kunskaper om de relevanta överenskommelser som rör företaget för särskilt ändamål.

Företagets val och tillämpning av redovisningsprinciper (se punkt 11 c)

A 36.En förståelse av företagets val och tillämpning av redovisningsprinciper kan innefatta frågor som

  1. vilka metoder företaget använder för att redovisa betydande och ovanliga transaktioner,
  2. effekten av betydelsefulla redovisningsprinciper inom kontroversiella eller framväxande områden där det saknas auktoritativ vägledning eller allmänt omfattat synsätt,
  3. byten av företagets redovisningsprinciper, och
  4. standarder, lagar och andra författningar för finansiell rapportering som är nya för företaget samt när och hur företaget kommer att börja tillämpa sådana krav.

Mål och strategier samt affärsrisker som sammanhänger med dem (se punkt 11 d)

A 37.Företaget bedriver sin verksamhet mot bakgrund av olika faktorer, däribland sådana som rör branschen, lagstiftning samt andra interna och externa faktorer. För att hantera dessa faktorer definierar företagsledningen eller styrelsen mål som utgör företagets övergripande planering. Strategier är de metoder som företagsledningen avser att tillämpa för att nå sina mål. Företagets mål och strategier kan förändras över tiden.

A 38.Affärsrisk är ett vidare begrepp än risken för väsentliga felaktigheter i de finansiella rapporterna, även om dessa ingår i affärsriskerna. En affärsrisk kan uppstå till följd av förändringar eller komplexitet. En affärsrisk kan också uppstå om man inte inser behovet av förändringar. En affärsrisk kan t.ex. uppstå av följande anledningar:

  1. Misslyckad utveckling av nya varor eller tjänster.
  2. En marknad som inte är stor nog för en vara eller tjänst, även om introduktionen går bra.
  3. Brister i en vara eller tjänst, vilket kan medföra risk för rättsligt ansvar och påverka företagets rykte.

A 39.Förståelse av de affärsrisker som företaget står inför ökar möjligheten att identifiera risker för väsentliga felaktigheter, eftersom de flesta affärsrisker på sikt även får ekonomiska konsekvenser och således påverkar de finansiella rapporterna. Revisorn har emellertid inte ansvar för att identifiera eller bedöma alla affärsrisker, eftersom det inte är alla affärsrisker som ger upphov till risker för väsentliga felaktigheter.

A 40.Exempel på förhållanden som revisorn kan beakta när han eller hon skaffar sig en förståelse av företagets mål, strategier och affärsrisker som sammanhänger med dem, som kan medföra en risk för väsentliga felaktigheter i de finansiella rapporterna:

  1. Branschutvecklingen (en potentiell affärsrisk kan t.ex. vara att företaget inte har den personal eller sakkunskap som krävs för att hantera förändringarna i branschen).
  2. Nya varor och tjänster (en potentiell affärsrisk kan t.ex. vara att produktansvaret har ökat).
  3. Expansion av verksamheten (en potentiell affärsrisk kan t.ex. vara att efterfrågan inte har bedömts korrekt).
  4. Nya redovisningskrav (en potentiell affärsrisk kan t.ex. vara att dessa inte har införts fullständigt eller korrekt, eller ökade kostnader).
  5. Regleringskrav (en potentiell affärsrisk kan t.ex. vara att den rättsliga exponeringen har ökat).
  6. Aktuella eller kommande finansieringskrav (en potentiell affärsrisk kan t.ex. vara att företaget går miste om finansiering på grund av att det inte kan uppfylla kraven).
  7. Användning av IT (en potentiell affärsrisk kan t.ex. vara att system och processer inte är kompatibla).
  8. Effekterna av införandet av en strategi, framför allt sådana effekter som medför nya redovisningskrav (en potentiell affärsrisk kan t.ex. vara att strategin införs felaktigt eller ofullständigt).

A 41.En affärsrisk kan få omedelbara konsekvenser för risken för väsentliga felaktigheter när det gäller transaktionsslag, konton och upplysningar på påstående- eller rapportnivån. En affärsrisk som härrör från en krympande kundbas kan t.ex. öka risken för väsentliga felaktigheter som förknippas med värderingen av fordringar. Samma risk, framför allt i kombination med en avmattning i ekonomin, kan emellertid också få konsekvenser på längre sikt, vilka revisorn beaktar när han eller hon bedömer det riktiga i att använda antagandet om fortsatt drift. När en affärsrisk kan leda till en risk för väsentliga felaktigheter beaktas den därför mot bakgrund av företagets situation. I bilaga 2 finns exempel på förhållanden och händelser som kan vara tecken på att det finns risker för väsentliga felaktigheter.

A 42.Vanligtvis identifierar företagsledningen affärsriskerna och utarbetar metoder för att hantera dem. En sådan riskbedömningsprocess är en del av den interna kontrollen och diskuteras i punkt 15 och punkterna A 88–A 89.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A 43.Vid revisioner av företag inom den offentliga sektorn kan ”företagsledningens mål” påverkas av frågor som rör skyldigheter inom den offentliga sektorn och innehålla mål som har sitt ursprung i lagar eller andra författningar.

Mätning och genomgång av företagets ekonomiska resultat (se punkt 11 e)

A 44.Företagsledningen och andra personer mäter och går igenom sådant som de anser är viktigt. Prestationsmått, oavsett om de är externa eller interna, skapar tryck på företaget. Detta tryck kan i sin tur motivera företagsledningen att vidta åtgärder för att förbättra företagets resultat eller ange felaktigheter i de finansiella rapporterna. Att förstå företagets prestationsmått kan således hjälpa revisorn att avgöra om trycket att nå prestationsmålen kan leda till att företagsledningen vidtar åtgärder som ökar riskerna för väsentliga felaktigheter, däribland sådana som beror på oegentligheter. Se ISA 240 för krav och vägledning avseende riskerna för oegentligheter.

A 45.Att mäta och gå igenom det ekonomiska utfallet är inte detsamma som att övervaka kontroller (vilket diskuteras som en komponent i den interna kontrollen i punkterna A 110–A 121), även om syftena överlappar varandra:

  1. Syftet med att mäta och gå igenom resultatet är att fastställa om företagets resultat uppfyller de mål som företagsledningen (eller externa parter) har satt upp.
  2. Övervakning av kontroller gäller uttryckligen hur effektiv den interna kontrollen är.

I vissa fall ger prestationsmåtten emellertid information som företagsledningen kan använda för att identifiera brister i den interna kontrollen.

A 46.Exempel på internt genererad information som företagsledningen kan använda för att mäta och gå igenom ekonomiskt utfall, och som revisorn kan ta hänsyn till:

  1. Prestationsmått (ekonomiska och icke ekonomiska) och nyckeltal, trender och statistik om verksamheten.
  2. Jämförande analyser av ekonomiskt utfall för olika räkenskapsperioder.
  3. Budgetar, prognoser, analyser av budgetavvikelser, information om segment och resultatrapporter från divisioner, avdelningar eller andra nivåer.
  4. Prestationsmått för medarbetarna och riktlinjer för incitamentsersättning.
  5. Jämförelser av ett företags utfall med konkurrenternas.

A 47.Externa parter kan också mäta och gå igenom företagets ekonomiska utfall. Extern information såsom rapporter från analytiker och kreditvärderingsinstitut kan t.ex. vara värdefull information för revisorn. Sådana rapporter kan ofta hämtas från det företag som revideras.

A 48.Interna mått kan belysa oväntade resultat eller trender för vilka företagsledningen måste hitta orsaken och vidta rättelseåtgärder (däribland i vissa fall att hitta och rätta till felaktigheter utan onödigt dröjsmål). Prestationsmått kan också visa revisorn att det finns risker för felaktigheter i näraliggande information i de finansiella rapporterna. Prestationsmått kan t.ex. visa att företaget har en ovanligt snabb tillväxt eller lönsamhet jämfört med andra företag inom samma bransch.

Sådan information kan, framför allt om den kombineras med andra faktorer såsom prestationsbaserad bonus eller incitamentsersättning, peka på att det finns en potentiell risk för bristande objektivitet hos företagsledningen när de finansiella rapporterna utarbetas.

Överväganden som särskilt gäller mindre företag

A 49.Mindre företag har ofta inga processer för att mäta och gå igenom ekonomiskt utfall. Frågor till företagsledningen kan visa om denna förlitar sig på vissa nyckeltal för att utvärdera det finansiella utfallet och vidta lämpliga åtgärder. Om det av dessa frågor framgår att det inte finns något prestationsmått eller någon genomgång kan det finnas ökad risk för att felaktigheter inte upptäcks och rättas till.

Företagets interna kontroll (se punkt 12)

A 50.En förståelse av den interna kontrollen hjälper revisorn att identifiera olika typer av potentiella felaktigheter och faktorer som påverkar riskerna för väsentliga felaktigheter samt att utforma karaktären på, tidpunkten för och omfattningen av fortsatta granskningsåtgärder.

A 51.Tillämpningsmaterialet om intern kontroll är uppdelat på fyra avsnitt:

  1. Den interna kontrollens allmänna karaktär och egenskaper.
  2. Kontroller som är relevanta för revisionen.
  3. Karaktär på och omfattning av förståelsen av relevanta kontroller.
  4. Den interna kontrollens komponenter.

Den interna kontrollens allmänna karaktär och egenskaper

Syftet med intern kontroll

A 52.Intern kontroll utformas, införs och upprätthålls för att hantera de affärsrisker som har identifierats och som utgör ett hot mot något av företagets mål avseende

  1. tillförlitligheten i företagets finansiella rapportering,
  2. dess verksamhets effektivitet, och
  3. hur tillämpliga lagar och andra författningar följs.

Det sätt på vilket den interna kontrollen utformas, införs och upprätthålls beror på företagets storlek och komplexitet.

Överväganden som särskilt gäller mindre företag

A 53.Mindre företag kan använda mindre strukturerade sätt och enklare processer och metoder för att nå sina mål.

Begränsningar i intern kontroll

A 54.Oavsett hur effektiv intern kontroll är kan den endast med rimlig säkerhet ange hur väl företag når sina mål med avseende på finansiell rapportering. Sannolikheten för att de ska uppnås påverkas av inneboende begränsningar i den interna kontrollen. I dessa ingår det faktum att människor kan göra felaktiga bedömningar när de fattar beslut och att intern kontroll kan sluta att fungera på grund av den mänskliga faktorn.

Fel kan t.ex. förekomma i utformningen av eller vid en ändring av en kontroll. På samma sätt kan det hända att en kontroll inte fungerar, t.ex. om den information som har tagits fram särskilt för intern kontroll (t.ex. en avvikelserapport) inte används på avsett sätt på grund av att den person som ska gå igenom informationen inte förstår dess syfte eller inte vidtar lämpliga åtgärder.

A 55.Kontroller kan dessutom kringgås om två personer eller fler kommer överens om detta i maskopi med varandra eller om företagsledningen på ett otillbörligt sätt beslutar att sätta sig över den interna kontrollen. Företagsledningen kan t.ex. teckna sidoavtal med kunder, som ändrar villkoren i företagets standardiserade försäljningsavtal och kan leda till felaktig intäktsredovisning. Kontroller i en programvara som har utformats för att identifiera och rapportera transaktioner som överstiger vissa kreditgränser kan också åsidosättas eller stängas av.

A 56.När företagsledningen utformar och inför kontroller kan den dessutom göra bedömningar av karaktären på och omfattningen av de kontroller som den väljer att införa samt karaktären på och omfattningen av de risker som den väljer att anta.

Överväganden som särskilt gäller mindre företag

A 57.Mindre företag har oftast färre anställda, vilket kan begränsa möjligheten till arbetsfördelning i praktiken. I ett litet ägarstyrt företag kan ägaren-företagsledaren uppnå en mer effektiv tillsyn än i ett större företag. Denna tillsyn kan uppväga de oftast mer begränsade möjligheterna till arbetsfördelning.

A 58.Å andra sidan kan ägaren-företagsledaren ha lättare att sätta sig över kontroller, eftersom systemet för intern kontroll är mindre strukturerat. Revisorn tar hänsyn till detta när han eller hon identifierar riskerna för väsentliga felaktigheter som beror på oegentligheter.

Uppdelning av intern kontroll i komponenter

A 59.En uppdelning av intern kontroll i följande fem komponenter i ISA bildar ett användbart ramverk när revisorer ska beakta hur de olika aspekterna av ett företags interna kontroll kan påverka revisionen:

  1. Kontrollmiljön.
  2. Företagets riskbedömningsprocess.
  3. Informationssystemet, och affärsprocesser som sammanhänger med det, som är relevanta för den finansiella rapporteringen samt kommunikation.
  4. Kontrollaktiviteter.
  5. Övervakning av kontroller.

Uppdelningen avspeglar inte nödvändigtvis hur ett företag utformar, inför och upprätthåller intern kontroll eller hur det klassificerar en viss komponent. Revisorer kan använda en annan terminologi eller andra ramverk för att beskriva de olika aspekterna av intern kontroll, och dessa kan påverka revisionen på annat sätt än dem som används i denna ISA, förutsatt att alla komponenter som beskrivs i denna ISA behandlas.

A 60.Tillämpningsmaterial som rör den interna kontrollens fem komponenter såsom de hänför sig till en revision av finansiella rapporter beskrivs i punkterna A 77–A 121 nedan. I bilaga 1 förklaras dessa komponenter i den interna kontrollen närmare.

Kännetecken för manuella och automatiserade delar av den interna kontrollen som är relevanta för revisorns riskbedömning

A 61.Ett företags system för intern kontroll innehåller manuella delar och ofta automatiserade delar. De manuella eller automatiserade delarnas egenskaper har betydelse för revisorns riskbedömning och de fortsatta granskningsåtgärder som bygger på denna.

A 62.Användningen av manuella eller automatiserade delar i den interna kontrollen påverkar också det sätt på vilket transaktioner initieras, registreras, bearbetas och redovisas:

  1. Kontroller i ett manuellt system kan bland annat vara rutiner såsom godkännande och genomgång av transaktioner samt avstämningar och uppföljning av avstämningsposter. Ett företag kan också välja att använda automatiserade rutiner för att initiera, registrera, bearbeta och redovisa transaktioner, och i så fall ersätts pappersdokument av handlingar i elektronisk form.
  2. Kontroller i IT-system består av en kombination av automatiserade kontroller (t.ex. kontroller inbyggda i datorprogram) och manuella kontroller. Manuella kontroller kan dessutom vara oberoende av IT-system, använda information framtagen av IT-system eller vara begränsade till att kontrollera att IT-systemen och de automatiserade kontrollerna fungerar effektivt samt till att hantera avvikelser. När IT används för att initiera, registrera, bearbeta eller redovisa transaktioner, eller andra finansiella data som ska föras in i de finansiella rapporterna, kan systemen och programmen innehålla kontroller som rör motsvarande påståenden för väsentliga konton eller vara avgörande för att de manuella kontroller som är beroende av IT fungerar effektivt.

Ett företags blandning av manuella och automatiserade delar i den interna kontrollen varierar med karaktären på och komplexiteten i företagets IT-användning.

A 63.Vanligtvis gagnar IT ett företags interna kontroll på följande sätt:

  1. Företaget kan konsekvent tillämpa fördefinierade affärsregler och utföra komplexa beräkningar när stora mängder transaktioner eller data bearbetas.
  2. Informationen kommer oftare i tid samt blir mer tillgänglig och riktig.
  3. Ytterligare analys av informationen underlättas.
  4. Det blir enklare att övervaka företagets aktiviteter samt dess riktlinjer och rutiner.
  5. Risken för att kontroller kringgås minskar.
  6. Genom att införa säkerhetskontroller i program, databaser och operativsystem ökar möjligheten att skapa en effektiv arbetsfördelning.

A 64.IT medför också särskilda risker för ett företags interna kontroll, bland annat följande:

  1. Användning av system eller program som behandlar data på ett felaktigt sätt, behandlar felaktiga data eller båda delarna.
  2. Obehörig tillgång till data, vilket kan leda till att data förstörs eller till felaktiga ändringar av data, bland annat kan icke godkända eller icke existerande transaktioner redovisas eller så kan transaktioner redovisas på ett felaktigt sätt. Särskilda risker kan uppstå när flera användare har tillgång till en gemensam databas.
  3. Möjligheten för IT-personal att få större åtkomstprivilegier än vad som är nödvändigt för att utföra arbetsuppgifterna, vilket gör att arbetsfördelningen inte fungerar.
  4. Obehöriga ändringar av stående data.
  5. Obehöriga ändringar i system eller program.
  6. Underlåtenhet att göra nödvändiga ändringar i system eller program.
  7. Felaktig manuell påverkan på data.
  8. Potentiell förlust av data eller svårigheter att komma åt data.

A 65.I vissa fall, när bedömningar måste göras, kan det vara lämpligare med manuella delar i den interna kontrollen:

  1. Stora eller ovanliga transaktioner, eller transaktioner av engångskaraktär.
  2. Omständigheter där det är svårt att definiera, föregripa eller förutsäga fel.
  3. Under ändrade omständigheter som kräver hantering av en kontroll utöver vad en befintlig automatiserad kontroll klarar.
  4. När automatiserade kontrollers effektivitet övervakas.

A 66.Manuella delar i en intern kontroll kan vara mindre tillförlitliga än automatiserade, eftersom de lättare kan kringgås, ignoreras eller åsidosättas, och det uppstår också lättare enkla fel och misstag. Man kan därför inte utgå från att en manuell kontroll är konsekvent. Manuella kontroller är mindre lämpliga i följande situationer:

  1. Många eller återkommande transaktioner, eller i situationer när förväntade eller förutsägbara fel kan förhindras, eller upptäckas och rättas, av automatiserade kontrollparametrar.
  2. Kontrollaktiviteter där särskilda sätt att utföra kontrollen kan utformas och automatiseras på ett korrekt sätt.

A 67.Omfattningen av och karaktären på riskerna i den interna kontrollen varierar med karaktären på företagets informationssystem. Företaget hanterar de risker som användningen av IT eller manuella delar av intern kontroll medför genom att inrätta effektiva kontroller mot bakgrund av hur företagets informationssystem ser ut.

Kontroller som är relevanta för revisionen

A 68.Det finns en direkt koppling mellan ett företags mål och de kontroller som det inför för att ge rimlig säkerhet avseende måluppfyllelsen. Företagets mål, och således dess kontroller, gäller den finansiella rapporteringen, verksamheten och lag- och regelefterlevnad. Alla dessa mål och kontroller är dock inte relevanta för revisorns riskbedömning.

A 69.Bland de faktorer som är relevanta för revisorns bedömning av huruvida en kontroll, enskilt eller i kombination med andra, är relevant för revisionen kan nämnas följande:

  1. Väsentlighet.
  2. Den tillhörande riskens betydelse.
  3. Företagets storlek.
  4. Karaktären på företagets verksamhet, däribland dess organisation och ägarstruktur.
  5. Hur mångfacetterad och komplex företagets verksamhet är.
  6. Tillämpliga krav enligt lagar och andra författningar.
  7. Omständigheterna och den tillämpliga komponenten i den interna kontrollen.
  8. Karaktären på och komplexiteten hos de system som ingår i företagets interna kontroll, bland annat om servicebyråer används.
  9. Om, och hur, en särskild kontroll, antingen enskilt eller i kombination med andra, kan förhindra, eller upptäcka och rätta, väsentliga felaktigheter.

A 70.Kontroller av hur fullständig och riktig den information som företaget framställer är, kan vara relevanta för revisionen om revisorn har för avsikt att använda informationen för att utforma och utföra ytterligare granskningsåtgärder. Kontroller som rör verksamhets- och efterlevnadsmålen kan också vara relevanta för en revision om de gäller data som revisorn utvärderar eller använder när han eller hon utför granskningsåtgärder.

A 71.Intern kontroll över skydd för tillgångar mot obehörigt förvärvande, användande eller avyttring kan innefatta kontroller som rör både finansiell rapportering och verksamhetsmål. Vanligtvis är revisorns beaktande av sådana kontroller begränsad till dem som är relevanta för den finansiella rapporteringens tillförlitlighet.

A 72.Ett företag har vanligen kontroller som rör mål som inte är relevanta för en revision och därför inte behöver beaktas. Ett företag kan t.ex. använda ett sofistikerat system med automatiserade kontroller för att se till att verksamheten bedrivs effektivt (t.ex. kan ett flygbolag ha automatiserade kontroller för att hålla sina flygtidtabeller aktuella), men dessa kontroller är vanligtvis inte relevanta för revisionen. Även om den interna kontrollen gäller företaget som helhet eller en särskild driftsenhet eller affärsprocess, är det inte alltid relevant för revisionen att skaffa sig en förståelse av den interna kontrollen över samtliga företagets driftsenheter och affärsprocesser.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A 73.Revisorer i den offentliga sektorn har ofta extra ansvarsområden när det gäller intern kontroll, t.ex. att rapportera om etablerad praxis följs. Revisorer i den offentliga sektorn kan också ha ansvar för att rapportera att lagar och andra författningar följs. Deras granskning av den interna kontrollen kan därför vara mer omfattande och detaljerad.

Karaktär på och omfattning av förståelsen av relevanta kontroller (se punkt 13)

A 74.Vid bedömning av hur en kontroll är utformad beaktas huruvida kontrollen, i sig eller i kombination med andra kontroller, effektivt klarar att förhindra, eller upptäcka och rätta, väsentliga felaktigheter. Att en kontroll har införts innebär att kontrollen finns och att företaget använder den. Det är ingen större mening med att bedöma hur en kontroll som inte är effektiv har införts, varför kontrollens utformning beaktas först. En kontroll som inte är korrekt utformad kan utgöra en betydande brist i den interna kontrollen.

A 75.I riskbedömning med syfte att inhämta revisionsbevis om utformningen och införandet av relevanta kontroller kan följande ingå:

  1. Frågor till företagets anställda.
  2. Observation av hur särskilda kontroller tillämpas.
  3. Inspektion av dokument och rapporter.
  4. Spårning av transaktioner genom det informationssystem som är relevant för den finansiella rapporteringen.

Enbart frågor är emellertid inte tillräckligt för detta ändamål.

A 76.Det räcker inte med att skaffa sig förståelse av ett företags kontroller för att kunna granska deras funktion, om det inte finns en viss grad av automatik som ser till att kontrollerna är konsekventa. Ett revisionsbevis som avser införandet vid en viss tidpunkt av en manuell kontroll ger inte revisionsbevis avseende kontrollens funktion vid andra tidpunkter under den räkenskapsperiod som revisionen omfattar. Med hänsyn till IT-bearbetningens inneboende konsekvens (se punkt A 63) kan granskningsåtgärder för att avgöra om en automatiserad kontroll har införts fungera som en granskning av den kontrollens funktion, beroende på revisorns bedömning och granskning av kontroller som över programändringar. Granskning av kontrollernas funktion beskrivs närmare i ISA 330. [13]

Den interna kontrollens komponenter – kontrollmiljö (se punkt 14)

A 77.I kontrollmiljön ingår styr- och ledningsfunktioner samt styrelsens och företagsledningens inställning, medvetenhet och åtgärder i fråga om företagets interna kontroll och dess betydelse i företaget. Kontrollmiljön anger tonen i en organisation och påverkar medarbetarnas medvetenhet om kontroller.

A 78.Bland de delar i kontrollmiljön som kan vara relevanta när revisorn gör sig en bild av kontrollmiljön kan följande nämnas:

  1. Kommunikation och uppföljning av hederlighet och etiska värderingar – det här är de delar som huvudsakligen påverkar en effektiv utformning, administration och övervakning av kontroller.
  2. Engagemang i kompetensfrågor – frågor såsom hur företagsledningen tar hänsyn till kompetensnivå för särskilda arbeten och hur dessa nivåer översätts till den skicklighet och kunskap som krävs.
  3. Styrelsens deltagande – styrelsens egenskaper, bland annat
    1. dess oberoende från företagsledningen,
    2. dess erfarenhet och betydelse,
    3. omfattningen av dess engagemang och den information den får, och granskningen av aktiviteterna, och
    4. hur ändamålsenliga deras åtgärder är, bland annat i hur hög utsträckning svåra frågor tas upp och följs upp med företagsledningen, och dess kontakter med interna och externa revisorer.
  4. Företagsledningens filosofi och sätt att driva verksamheten – egenskaper, bland annat företagsledningens
    1. sätt att ta och hantera affärsrisker,
    2. inställning till och åtgärder i fråga om finansiell rapportering, och
    3. inställning till informationsbearbetning samt redovisningsfunktioner och redovisningspersonal.
  5. Organisationsstruktur – det ramverk inom vilket företagets aktiviteter för att nå sina mål planeras, genomförs, kontrolleras och granskas.
  6. Fördelning av befogenheter och ansvar – frågor som hur befogenheter och ansvar för operativa aktiviteter fördelas och hur rapporteringsrelationer och befogenhetshierarkier fastställs.
  7. Personalpolitik och personalrutiner – riktlinjer och rutiner som t.ex. rör rekrytering, introduktion, utbildning, utvärdering, utvecklingssamtal, befordran, ersättning och stödåtgärder.

Revisionsbevis för delar av kontrollmiljön

A 79.Relevanta revisionsbevis kan inhämtas genom en kombination av frågor och annat riskbedömningsarbete, t.ex. att svar bekräftas genom observation eller inspektion av dokument. Genom frågor till företagsledningen och de anställda kan revisorn t.ex. skaffa sig kunskap om hur företagsledningen kommunicerar sin syn på affärssed och etiskt agerande till de anställda. Revisorn kan därefter avgöra om relevanta kontroller har införts genom att t.ex. beakta huruvida företagsledningen har en skriftlig uppförandekod och om den följer koden i sitt agerande.

A 80.Revisorn kan också överväga hur företagsledningen har hanterat internrevisionsfunktionens iakttagelser och rekommendationer i fråga om identifierade brister i den interna kontroll som är relevant för revisionen, däribland om och hur åtgärder som en följd härav har genomförts och om de därefter har utvärderats av internrevisionen.

Kontrollmiljöns effekt på bedömningen av riskerna för väsentliga felaktigheter

A 81.Vissa delar av ett företags kontrollmiljö påverkar bedömningen av risker för väsentliga felaktigheter i en utsträckning som är av avgörande betydelse. Ett företags kontrollmedvetande påverkas t.ex. i betydande utsträckning av styrelsen, eftersom en av styrelsens uppgifter är att uppväga det tryck på företagsledningen i fråga om finansiell rapportering, som kan uppstå till följd av krav från marknaden eller ersättningssystem. Hur effektivt styrelsen deltar i utformningen av kontrollmiljön påverkas således av frågor som:

  1. Dess oberoende från företagsledningen och dess förmåga att bedöma företagsledningens åtgärder.
  2. Huruvida styrelsen förstår företagets affärstransaktioner.
  3. I vilken omfattning den bedömer huruvida de finansiella rapporterna har upprättats enligt det tillämpliga ramverket för finansiell rapportering, däribland huruvida de finansiella rapporterna innehåller adekvata upplysningar.

A 82.En aktiv och oberoende styrelse kan påverka företagsledningens filosofi och sätt att driva verksamheten. Andra faktorer kan dock ha mer begränsad effekt. Även om personalpolitik och personalrutiner när det gäller att anställa kompetent personal inom ekonomi, redovisning och IT kan minska risken för misstag vid bearbetning av finansiell information kan dessa t.ex. inte alltid göra något om högsta ledningen har en stark önskan att överdriva intäkter.

A 83.Att det finns en tillfredsställande kontrollmiljö kan vara positivt när revisorn ska bedöma riskerna för väsentliga felaktigheter. Men även om en tillfredsställande kontrollmiljö kan bidra till att minska risken för oegentligheter kan den inte helt förhindra oegentligheter. Omvänt gäller att brister i kontrollmiljön kan göra kontrollerna mindre effektiva, framför allt när det gäller oegentligheter. Om t.ex. företagsledningen inte lyckas anslå tillräckligt med resurser för att hantera IT-säkerhetsrisker kan detta inverka negativt på den interna kontrollen genom att det blir möjligt att göra otillbörliga ändringar i datorprogram eller data, eller att icke godkända transaktioner bearbetas. Enligt vad som förklaras i ISA 330 påverkar kontrollmiljön även karaktären på, tidpunkten för och omfattningen av revisorns fortsatta granskningsåtgärder. [14]

A 84.Kontrollmiljön kan inte i sig förhindra, eller upptäcka och rätta till, en väsentlig felaktighet. Den kan dock påverka revisorns bedömning av hur effektiva andra kontroller är (t.ex. övervakning av kontroller och hur särskilda kontrollaktiviteter genomförs) och således revisorns bedömning av riskerna för väsentliga felaktigheter.

Överväganden som särskilt gäller mindre företag

A 85.Kontrollmiljön i små företag skiljer sig sannolikt från större företag. I mindre företag kanske styrelsen t.ex. inte har någon oberoende eller extern ledamot, och den styrande rollen kan innehas direkt av ägaren-företagsledaren om det inte finns några andra ägare. Kontrollmiljöns karaktär kan också påverka betydelsen, eller avsaknaden, av andra kontroller. Ett aktivt engagemang från en ägare-företagsledare kan t.ex. motverka vissa risker som beror på att det inte finns någon arbetsfördelning i mindre företag, men det kan också öka andra risker, t.ex. risken för att kontroller åsidosätts.

A 86.Det kan också förekomma att revisionsbevis för delar av kontrollmiljön i mindre företag inte har formaliserats, särskilt i de fall då kommunikationen mellan företagsledningen och annan personal är informell, men ändå är effektiv. I mindre företag kan t.ex. skriftlig uppförandekod saknas men dessa företag kan i stället ha utvecklat en kultur som betonar vikten av hederlighet och etiskt agerande genom muntlig kommunikation och genom att företagsledningen har föregått med gott exempel.

A 87.Företagsledningens eller ägaren-företagsledarens inställning, medvetenhet och handlingar är därför särskilt viktiga för revisorns förståelse av ett mindre företags kontrollmiljö.

Den interna kontrollens komponenter – företagets riskbedömningsprocess (se punkt 15)

A 88.Företagets riskbedömningsprocess utgör grunden för hur företagsledningen avgör vilka risker som ska hanteras. Om den processen är anpassad till omständigheterna, däribland företagets karaktär, storlek och komplexitet, hjälper den revisorn att identifiera risker för väsentliga felaktigheter. Huruvida företagets riskbedömningsprocess är anpassad till omständigheterna är en bedömningsfråga.

Överväganden som särskilt gäller mindre företag (se punkt 17)

A 89.I ett litet företag finns det troligen ingen etablerad riskbedömningsprocess. I dessa fall är det troligt att företagsledningen identifierar risker genom direkt personligt engagemang i verksamheten.

Oavsett omständigheterna är det dock fortfarande nödvändigt att ställa frågor om identifierade risker och hur företagsledningen hanterar dessa.

Den interna kontrollens komponenter – informationssystemet, inklusive affärsprocesser som sammanhänger med det, som är relevanta för den finansiella rapporteringen samt kommunikation

Informationssystemet, vilket inbegriper affärsprocesser som sammanhänger med det, som är relevant för den finansiella rapporteringen (se punkt 18)

A 90.Det informationssystem som är relevant för målen för den finansiella rapporteringen, vilket inbegriper redovisningssystemet, består av rutiner och dokumentation som har utformats och fastställts för att

  1. initiera, registrera, bearbeta och redovisa företagets transaktioner (samt händelser och förhållanden) samt möjliggöra redovisningsskyldighet för tillhörande tillgångar, skulder och eget kapital,
  2. rätta till transaktioner som har bearbetats felaktigt, t.ex. automatiska bevakningsfiler och rutiner för att reglera bevakningsposter utan onödigt dröjsmål,
  3. bearbeta och redogöra för situationer då system har åsidosatts eller kontroller har kringgåtts,
  4. överföra information från transaktionsbearbetningssystem till huvudboken,
  5. samla in information som är relevant för den finansiella rapporteringen av händelser och förhållanden utöver transaktionerna, t.ex. av- och nedskrivning av tillgångar och förändringar i möjligheten att återvinna kundfordringar, och
  6. säkerställa att den information som måste lämnas enligt det tillämpliga ramverket för finansiell rapportering samlas in, bokförs, bearbetas, sammanfattas och rapporteras på rätt sätt i de finansiella rapporterna.

A 91.De finansiella rapporterna kan innehålla information som inte har inhämtats från huvudbok med undersystem. Exempel på sådan information kan innefatta:

  1. Information som inhämtats från leasingavtal som upplysning lämnats om i de finansiella rapporterna, t.ex. villkor om förnyelse av avtal eller framtida leasingavgifter.
  2. Upplysningar i de finansiella rapporterna som kommer från ett företags system för riskhantering.
  3. Information om verkligt värde som tagits fram av företagsledningens specialister och som presenteras i de finansiella rapporterna.
  4. Information som presenteras i de finansiella rapporterna, som kommer från modeller eller från andra beräkningar som använts för att ta fram uppskattningar som redovisats eller presenterats i de finansiella rapporterna, däribland information avseende underliggande data och antaganden som används i dessa modeller, t.ex.:
    1. Antaganden som tagits fram internt som kan påverka en tillgångs nyttjandeperiod.
    2. Data, t.ex. räntesatser som påverkas av faktorer som ligger utanför företagets kontroll.
  5. Information som lämnas i de finansiella rapporterna om känslighetsanalyser som härletts ur ekonomiska modeller som visar att företagsledningen har övervägt alternativa antaganden.
  6. Information som redovisas eller presenteras i de finansiella rapporterna som har inhämtats från ett företags deklarationer och räkenskapsmaterial.
  7. Information som lämnas i de finansiella rapporterna som har inhämtats från analyser som upprättas till stöd för företagsledningens bedömning av företagets förmåga att fortsätta verksamheten, t.ex. eventuella upplysningar som avser händelser eller förhållanden som har identifierats, som kan leda till tvivel om företagets förmåga att fortsätta verksamheten. [22]

A 92.Den förståelse av informationssystemet som är relevant för finansiell rapportering och som krävs enligt punkt 18 i denna ISA (däribland förståelsen av relevanta aspekter av systemet som avser information som lämnas i de finansiella rapporterna och som har inhämtats från huvudbok med undersystem eller annan källa) är en fråga om revisorns professionella bedömning. Exempel: Vissa belopp eller upplysningar i företagets finansiella rapporter (t.ex. upplysningar om kreditrisk, likviditetsrisk och marknadsrisk) kan vara baserade på information som inhämtats från företagets system för riskhantering. Men det finns inget krav på att revisorn ska förstå alla aspekter av systemet för riskhantering och revisorn använder professionell bedömning när han eller hon fastställer vilken förståelse som är nödvändig.

Bokföringsposter (se punkt 18 f)

A 93.Vanligtvis innefattar ett företags informationssystem standardiserade bokföringsposter som används vid återkommande bokföring av transaktioner. Exempel kan vara bokföringsposter för att bokföra försäljning, inköp och utbetalningar i huvudboken eller bokföra uppskattningar i redovisningen som företagsledningen gör regelbundet, t.ex. förändringar i uppskattningen av osäkra kundfordringar.

A 94.Ett företags process för finansiell rapportering innefattar även icke standardiserade bokföringsposter som används för att redovisa transaktioner av engångskaraktär, ovanliga transaktioner eller justeringar. Exempel på sådana poster kan vara koncernjusteringar och poster i samband med ett rörelseförvärv eller avyttring eller icke återkommande uppskattningar såsom nedskrivning av en tillgång. I manuella huvudbokssystem kan icke standardiserade bokföringsposter identifieras genom inspektion av bokföringsböcker, journaler och bokföringsunderlag. När automatiserade rutiner används för att föra huvudbok och upprätta finansiella rapporter, kan det hända att sådana poster enbart finns i elektronisk form och därför enklast kan identifieras genom användning av datorstödda revisionsmetoder.

Affärsprocesser som sammanhänger med informationssystemet (se punkt 18)

A 95.Ett företags affärsprocesser är aktiviteter som syftar till att

  1. utveckla, köpa, producera, sälja och distribuera ett företags varor och tjänster,
  2. säkerställa att lagar och andra författningar följs, och
  3. registrera information, däribland information som rör redovisning och finansiell rapportering.

Affärsprocesser leder fram till transaktioner som bokförs, bearbetas och redovisas i informationssystemet. När revisorn gör sig en bild av företagets affärsprocesser, som inbegriper hur transaktioner uppstår, hjälper detta revisorn att förstå de delar av företagets informationssystem som är relevanta för den finansiella rapporteringen på ett sätt som är lämpligt med hänsyn till omständigheterna i företaget.

Överväganden som särskilt gäller mindre företag (se punkt 18)

A 96.Informationssystemet och affärsprocesser som sammanhänger med det, som är relevanta för den finansiella rapporteringen i små företag, däribland relevanta aspekter av det system avseende upplysningar i de finansiella rapporterna som inhämtats från huvudbok med undersystem eller från annan källa, är ofta mindre sofistikerade än i större företag, men deras roll är precis densamma. Små företag med en aktivt engagerad företagsledning kanske inte behöver omfattande beskrivningar av redovisningsrutiner, sofistikerat räkenskapsmaterial eller skriftliga riktlinjer. Det kan således vara lättare att förstå företagets informationssystem som är relevant för finansiella rapportering vid revision av mindre företag och förståelsen kan bygga mer på förfrågningar än på granskning av dokumentation. Det är dock fortfarande viktigt att skaffa sig en förståelse.

Kommunikation (se punkt 19)

A 97.I företagets interna kommunikation av roller och ansvar beträffande den finansiella rapporteringen och betydelsefulla frågor som rör den finansiella rapporteringen ingår att förmedla en förståelse av de individuella roller och ansvarsområden som rör den interna kontrollen över den finansiella rapporteringen. Detta inbegriper frågor som i vilken omfattning medarbetarna förstår hur deras aktiviteter i systemet för finansiell rapportering hänger samman med andras arbete och på vilket sätt avvikelser ska rapporteras till lämplig högre nivå i företaget. Kommunikationen kan ske i form av policydokument och handböcker för den finansiella rapporteringen. Öppna kommunikationskanaler bidrar till att säkerställa att avvikelser rapporteras och att åtgärder vidtas.

Överväganden som särskilt gäller mindre företag

A 98.I ett litet företag kan kommunikationen vara mindre strukturerad och lättare att åstadkomma än i ett större företag, eftersom det finns färre ansvarsnivåer och företagsledningen är mer synlig och tillgänglig.

Den interna kontrollens komponenter – kontrollaktiviteter som är relevanta för revisionen (se punkt 20)

A 99.Kontrollaktiviteter är de riktlinjer och rutiner som bidrar till att säkerställa att företagsledningens direktiv genomförs. Kontrollaktiviteter, oavsett om de är i IT-system eller manuella system, har olika mål och tillämpas på olika organisations- och funktionsnivåer. Exempel på särskilda kontrollaktiviteter är sådana som gäller

  1. Godkännande.
  2. Resultatgenomgångar.
  3. Informationsbearbetning.
  4. Fysiska kontroller.
  5. Arbetsfördelning.

A 100.Kontrollaktiviteter som är relevanta för revisionen är

  1. kontrollaktiviteter som måste hanteras som sådana, dvs. kontrollaktiviteter som rör betydande risker och sådana som rör risker för vilka enbart substansgranskning inte ger tillräckliga och ändamålsenliga revisionsbevis enligt vad som krävs i punkt 29 respektive 30, eller
  2. kontrollaktiviteter som enligt revisorns bedömning är relevanta.

A 101.Revisorns bedömning av huruvida en kontrollaktivitet är relevant för revisionen påverkas av den risk som revisorn har identifierat och som kan ge upphov till en väsentlig felaktighet och huruvida revisorn anser att det kan vara lämpligt att granska kontrollens funktion när det gäller att avgöra substansgranskningens omfattning.

A 102.Revisorn kan lägga tyngdpunkten på att identifiera och skaffa sig en förståelse av de kontrollaktiviteter som berör områden där revisorn anser att riskerna för väsentliga felaktigheter sannolikt är större. När det finns flera kontrollaktiviteter som var och en har samma mål är det inte nödvändigt att skaffa sig en förståelse av varje kontrollaktivitet med samma mål.

A 103.Kontrollåtgärder som är relevanta för revisionen kan innefatta kontroller som fastställts av företagsledningen som hanterar risker för väsentliga felaktigheter avseende upplysningar som inte är upprättade enligt det tillämpliga ramverket för finansiell rapportering, utöver kontroller som hanterar risker avseende konton och transaktioner. Sådana kontrollåtgärder kan avse information i de finansiella rapporterna som inte har inhämtats från huvudbok med undersystem.

A 104.Revisorns kunskap, om förekomsten eller avsaknaden av kontrollaktiviteter som han eller hon inhämtat genom förståelse av andra komponenter i den interna kontrollen, hjälper revisorn att avgöra om det är nödvändigt att lägga ned mer arbete på att skaffa sig en förståelse av kontrollaktiviteterna.

Överväganden som särskilt gäller mindre företag

A 105.De principer som ligger bakom kontrollaktiviteterna i små företag liknar sannolikt dem som finns i större företag, men de kan vara mer eller mindre formella. Små företag kan vidare anse att vissa typer av kontrollaktiviteter inte är relevanta på grund av kontroller som företagsledningen utför. Ett exempel kan vara om företagsledningen ensam har rätt att bevilja kredit åt kunder och godkänna betydande inköp då detta ger en stark kontroll av viktiga konton och transaktioner, vilket innebär att behovet av mer detaljerade kontrollaktiviteter blir mindre eller att det inte finns något sådant behov alls.

A 106.Kontrollaktiviteter som är relevanta för revisionen av ett mindre företag gäller troligen större transaktionscykler såsom intäkter, inköp och personalkostnader.

IT-relaterade risker (se punkt 21)

A 107.Användningen av IT påverkar det sätt på vilket kontrollaktiviteter införs. Ur revisorns perspektiv är kontroller av IT-system effektiva när de bevarar informationen intakt och garanterar säkerheten hos de data som bearbetas i systemen, och inbegriper effektiva allmänna IT- och programkontroller.

A 108.Allmänna IT-kontroller är sådana riktlinjer och rutiner som rör många program och ser till att programkontrollerna fungerar effektivt. De gäller stordatorer, mindre datorer och slutanvändarmiljöer. Allmänna IT-kontroller som upprätthåller integriteten i information och säkerheten hos data inbegriper vanligtvis kontroller av

  1. drift av datacentraler och nätverk,
  2. inköp, byte och underhåll av programvara för system,
  3. programbyte,
  4. åtkomstsäkerhet, och
  5. inköp, utveckling och underhåll av program.

De införs vanligtvis för att hantera de risker som nämns i punkt A 64 ovan.

A 109.Programkontroller är manuella eller automatiserade rutiner som vanligtvis finns på affärsprocessnivå och som gäller bearbetning av transaktioner i enskilda program. Programkontroller kan vara förebyggande eller upptäckande till sin natur och är utformade för att säkerställa att räkenskapsmaterialet är fullständigt. Programkontroller rör således rutiner avseende att initiera, registrera, bearbeta och redovisa transaktioner eller andra finansiella data. Kontrollerna hjälper till att säkerställa att genomförda transaktioner har ägt rum, är godkända samt bokförs och bearbetas fullständigt och korrekt. Exempel: Kontroller av indata och kontroller av nummerordning med manuell uppföljning av avvikelserapporter eller omedelbar rättelse vid datainmatningen.

Den interna kontrollens komponenter – övervakning av kontroller (se punkt 22)

A 110.Övervakning av kontroller är en process för att bedöma hur effektiv den interna kontrollen är över tiden. Det inbegriper att vid lämpliga tidpunkter bedöma kontrollernas effektivitet och vidta nödvändiga åtgärder. Företagsledningen övervakar kontroller genom löpande aktiviteter, separata bedömningar eller en kombination av dessa. Löpande övervakningsaktiviteter är ofta inbyggda i ett företags ordinarie återkommande aktiviteter och inbegriper regelmässiga lednings- och tillsynsaktiviteter.

A 111.I företagsledningens övervakningsarbete kan ingå att använda information från kommunikation med externa parter, t.ex. klagomål från kunder och synpunkter från tillsynsmyndigheter som kan tyda på att det finns problem eller belysa områden som behöver förbättras.

Överväganden som särskilt gäller mindre företag

A 112.Företagsledningens övervakning av kontroller sker ofta genom att företagsledningen eller ägaren-företagsledaren är nära engagerad i verksamheten. Genom detta engagemang identifieras ofta betydande avvikelser från förväntningar och felaktigheter i finansiella data, vilket leder till att kontrollen åtgärdas.

Företagets internrevisionsfunktion (se punkt 23)

A 113.Om företaget har en internrevisionsfunktion kan en förståelse av den funktionen hjälpa revisorn att förstå företaget och dess miljö, vilket innefattar den interna kontrollen, i synnerhet den roll som funktionen spelar i företagets övervakning av den interna kontrollen över finansiell rapportering. Denna förståelse, tillsammans med den information som har inhämtats genom revisorns frågor i punkt 6 a i denna ISA, kan också ge information som är direkt relevant för revisorns identifiering och bedömning av riskerna för väsentliga felaktigheter.

A 114.Internrevisionsfunktionens mål och omfattning, och karaktären på dess uppgifter och ställning inom organisationen, däribland funktionens befogenheter och ansvar, varierar kraftigt och beror på företagets storlek och struktur samt behoven hos företagsledningen och, i tillämpliga fall, styrelsen. Dessa förhållanden kan beskrivas i interna revisionsstadgar eller direktiv.

A 115.Internrevisionsfunktionens ansvar kan innefatta att utföra åtgärder och bedöma resultaten för att ge företagsledningen och styrelsen bekräftelse rörande utformningen av och ändamålsenligheten i riskhantering, intern kontroll och styrningsprocesser. Om så är fallet kan internrevisionsfunktionen spela en viktig roll i företagets övervakning av intern kontroll över finansiell rapportering.

Men internrevisionsfunktionens ansvar kan vara fokuserat på bedömning av verksamhetens ekonomi, effektivitet och ändamålsenlighet, och i detta fall kan internrevisionens arbete sakna direkt koppling till företagets finansiella rapportering.

A 116.Revisorns frågor till lämpliga personer på internrevisionsfunktionen enligt punkt 6 a i denna ISA hjälper revisorn att skaffa sig en förståelse av karaktären på internrevisionsfunktionens ansvarsområden. Om revisorn kommer fram till att funktionens ansvar har koppling till företagets finansiella rapportering, kan revisorn skaffa sig ytterligare förståelse av de aktiviteter som har utförts eller ska utföras av internrevisionsfunktionen genom att gå igenom funktionens granskningsplan för perioden, om en sådan plan finns, och diskutera den med lämpliga personer inom funktionen.

A 117.Om karaktären på internrevisionsfunktionens ansvarsområden och bestyrkandeverksamhet har koppling till företagets finansiella rapportering kan revisorn också använda internrevisionens arbete för att ändra karaktären på eller tidpunkten för, eller minska omfattningen av, de granskningsåtgärder som ska utföras direkt av revisorn för att inhämta revisionsbevis. Revisorer har troligen mer nytta av ett företags internrevisionsfunktions arbete när det t.ex. verkar, utifrån erfarenheter från föregående revisioner eller revisorns riskbedömning, som om företaget har en internrevisionsfunktion med tillräckliga och lämpliga resurser i förhållande till storleken på företaget och karaktären på dess verksamhet samt som rapporterar direkt till styrelsen.

A 118.Om, utifrån revisorns preliminära förståelse av internrevisionen, han eller hon räknar med att använda internrevisionsfunktionens arbete för att ändra karaktären på eller tidpunkten för, eller minska omfattningen av, de granskningsåtgärder som ska utföras gäller ISA 610.

A 119.Enligt vad som närmare diskuteras i ISA 610 skiljer sig internrevisionsfunktionens aktiviteter från andra övervakningskontroller som kan vara relevanta för finansiell rapportering, t.ex. sådana genomgångar av företagets interna rapportering som är avsedda att underlätta för företaget att förhindra eller identifiera felaktigheter.

A 120.Att tidigt under uppdraget inleda en kommunikation med lämpliga personer på ett företags internrevisionsfunktion och upprätthålla den kommunikationen under hela uppdraget kan bidra till en effektiv informationsdelning. Det skapar en miljö där revisorn kan hållas informerad om betydelsefulla förhållanden som internrevisionsfunktionen uppmärksammar, i de fall sådana förhållanden kan påverka revisorns arbete. ISA 200 diskuterar vikten av att revisorn planerar och utför revisionen med en professionellt skeptisk inställning, vilket innefattar att vara uppmärksam på information som ifrågasätter tillförlitligheten hos dokument och svar på frågor som ska användas som revisionsbevis. Därför kan kommunikation med internrevisionsfunktionen under hela uppdraget ge internrevisorer möjlighet att uppmärksamma revisorn på sådan information. Revisorn kan då ta hänsyn till den informationen i sin identifiering och bedömning av riskerna för väsentliga felaktigheter.

Informationskällor (se punkt 24)

A 121.Mycket av den information som används vid övervakning kan tas fram av företagets informationssystem. Om företagsledningen förutsätter att de data som används vid övervakning är korrekta men saknar grund för detta antagande kan eventuella fel i informationen medföra att företagsledningen drar felaktiga slutsatser av sin övervakning. Därför krävs en förståelse av, som en del av revisorns förståelse av företagets övervakningsarbete och som en komponent i den interna kontrollen,

  1. informationskällorna bakom företagets övervakningsarbete, och
  2. den grund som företagsledningen använder för att bedöma att informationen är tillräckligt tillförlitlig för ändamålet.

Identifiera och bedöma riskerna för väsentliga felaktigheter

Bedömning av riskerna för väsentliga felaktigheter på rapportnivån (se punkt 25 a)

A 122.Risk för väsentliga felaktigheter på rapportnivån hänför sig till risker som är av avgörande betydelse för de finansiella rapporterna som helhet och kan påverka många påståenden. Den här typen av risker är inte nödvändigtvis risker som kan kopplas till särskilda påståenden på transaktionsslags-, konto- eller upplysningsnivåerna. De utgör snarare omständigheter som kan öka riskerna för väsentliga felaktigheter på påståendenivån, t.ex. genom att företagsledningen sätter sig över den interna kontrollen. Risker på rapportnivån kan vara särskilt relevanta när revisorn ska bedöma riskerna för väsentliga felaktigheter som beror på oegentligheter.

A 123.Risker på rapportnivån kan framför allt härröra från en kontrollmiljö med brister (även om riskerna även kan hänföra sig till andra faktorer såsom vikande ekonomiska förhållanden). T.ex. kan brister såsom brist på ledningskompetens hos företagsledningen eller bristande tillsyn över upprättandet av de finansiella rapporterna ha en effekt som är av avgörande betydelse på de finansiella rapporterna och kräva övergripande åtgärder av revisorn.

A 124.Revisorns bild av den interna kontrollen kan väcka tvivel om huruvida ett företags finansiella rapporter verkligen går att revidera. Exempel:

  1. Farhågor rörande företagsledningens hederlighet kan vara så stora att revisorn drar slutsatsen att risken för att företagsledningen har lämnat felaktig information i de finansiella rapporterna är så hög att en revision inte kan utföras.
  2. Farhågor rörande förhållandena kring och tillförlitligheten hos ett företags bokföring kan medföra att revisorn drar slutsatsen att det inte är troligt att det kommer att gå att inhämta tillräckliga revisionsbevis som kan ligga till grund för ett omodifierat uttalande.

A 125.ISA 705 (omarbetad) [15] fastställer krav för och ger vägledning när revisorn ska avgöra om han eller hon behöver uttala sig med reservation eller avstå från att uttala sig eller, vilket kan krävas i vissa fall, om han eller hon ska avgå från uppdraget, där detta är möjligt enligt tillämplig lag eller annan författning.

Bedömning av risker för väsentliga felaktigheter på påståendenivån (se punkt 25 b)

A 126.Risker för väsentliga felaktigheter när det gäller transaktionsslag, konton och upplysningar på påståendenivån måste beaktas, eftersom ett sådant beaktande direkt bidrar till att avgöra karaktären på, tidpunkten för och omfattningen av de fortsatta granskningsåtgärder på påståendenivån som krävs för att inhämta tillräckliga och ändamålsenliga revisionsbevis. När revisorn identifierar och bedömer risker för väsentliga felaktigheter på påståendenivån kan han eller hon dra slutsatsen att de identifierade riskerna är av avgörande betydelse för de finansiella rapporterna som helhet och kan komma att påverka många påståenden.

Användning av påståenden

A 127.När företagsledningen uttalar sig om att de finansiella rapporterna har upprättats enligt det tillämpliga ramverket för finansiell rapportering gör företagsledningen, underförstått eller uttryckligen, påståenden om redovisning, värdering och presentation av transaktionsslag och händelser, konton och upplysningar.

A 128.Revisorn kan använda påståendena såsom de beskrivs i punkterna A 129 a–b nedan eller uttrycka dem annorlunda förutsatt att alla aspekter som beskrivs nedan täcks. Revisorn kan t.ex. välja att kombinera påståendena om transaktionsslag och händelser samt tillhörande upplysningar med påståendena om konton samt tillhörande upplysningar.

Påståenden om transaktionsslag, konton och tillhörande upplysningar

A 129.Påståenden som revisorn använder när han eller hon beaktar de olika typerna av potentiella felaktigheter som kan uppstå kan delas in i följande kategorier:

  1. Påståenden om transaktionsslag och händelser samt tillhörande upplysningar under den räkenskapsperiod som omfattas av revisionen:
    1. Förekomst – transaktioner och händelser som har redovisats, eller om vilka upplysning lämnats, har inträffat och dessa transaktioner och händelser hänför sig till företaget.
    2. Fullständighet – alla transaktioner och händelser som ska ha bokförts har också bokförts och alla tillhörande upplysningar som skulle ha tagits med i de finansiella rapporterna har tagits med.
    3. Riktighet – belopp och andra data som rör de redovisade transaktionerna och händelserna har bokförts korrekt och tillhörande upplysningar är riktigt beskrivna och värden anges korrekt.
    4. Avklipp – transaktioner och händelser har bokförts under rätt räkenskapsperiod.
    5. Klassificering – transaktioner och händelser har bokförts på rätt konton.
    6. Presentation – transaktioner och händelser är korrekt sammanslagna eller uppdelade samt tydligt beskrivna. Tillhörande upplysningar är relevanta och begripliga mot bakgrund av kraven i det tillämpliga ramverket för finansiell rapportering.
  2. Påståenden om saldon och tillhörande upplysningar vid räkenskapsperiodens slut:
    1. Existens – tillgångar, skulder och ägarintressen existerar.
    2. Rättigheter och förpliktelser – företaget innehar eller kontrollerar rättigheterna till tillgångarna, och skulderna är företagets ansvar.
    3. Fullständighet – alla tillgångar, skulder och ägarintressen som ska ha bokförts har också bokförts och alla tillhörande upplysningar som skulle ha tagits med i de finansiella rapporterna har tagits med.
    4. Riktighet, värdering och allokering – tillgångar, skulder och ägarintresse har tagits upp till korrekta belopp i de finansiella rapporterna och eventuella justeringar av värderingar eller allokeringar har bokförts på lämpligt sätt. Tillhörande upplysningar är riktigt beskrivna och värden anges korrekt.
    5. Klassificering – tillgångar, skulder och ägarintresse har bokförts på rätt konton.
    6. Presentation – tillgångar, skulder och ägarintressen är korrekt sammanslagna eller uppdelade samt tydligt beskrivna. Tillhörande upplysningar är relevanta och begripliga mot bakgrund av kraven i det tillämpliga ramverket för finansiell rapportering.

Påståenden om andra upplysningar

A 130.De påståenden som beskrivs i punkt A 129 a–b ovan, anpassade efter vad som är tillämpligt, kan också användas av revisorn när han eller hon överväger de olika typerna av möjliga felaktigheter som kan finnas i upplysningarna, som inte har direkt koppling till bokförda transaktionsslag, händelser eller konton. Som exempel på den typen av upplysning kan det finnas krav på att företaget beskriver sin exponering för risker till följd av finansiella instrument, däribland hur riskerna uppstår; mål, principer och processer för hantering av riskerna samt de metoder som används för att mäta riskerna.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A 131.När företagsledningen i företag inom den offentliga sektorn gör påståenden om de finansiella rapporterna, kan företagsledningen utöver de påståenden som anges i punkt A 129 a–b, ofta påstå att transaktioner eller händelser har utförts enligt lagar eller andra författningar. Sådana påståenden kan ligga inom omfattningen och inriktningen för en revision av finansiella rapporter.

Processen att identifiera risker för väsentliga felaktigheter (se punkt 26 a)

A 132.Information som samlas in genom riskbedömning, vilket innefattar de revisionsbevis som har inhämtats genom att bedöma kontrollernas utformning och avgöra huruvida de har införts, används som revisionsbevis för riskbedömningen. Riskbedömningen avgör karaktären på, tidpunkten för och omfattningen av fortsatta granskningsåtgärder som ska utföras. När revisorn identifierar riskerna för väsentliga felaktigheter i de finansiella rapporterna förhåller han eller hon sig professionellt skeptisk enligt ISA 200. [23]

A 133.Bilaga 2 innehåller exempel på förhållanden och händelser som kan tyda på att det finns risk för väsentliga felaktigheter, däribland risker för väsentliga felaktigheter som hänger samman med upplysningar.

A 134.Enligt förklaring i ISA 320 [24] övervägs väsentlighet och revisionsrisk när riskerna för väsentliga felaktigheter i transaktionsslag, konton och upplysningar identifieras och bedöms. Revisorns fastställande av väsentlighet är en fråga om professionell bedömning och påverkas av revisorns uppfattning om de behov av finansiell rapportering som användare av de finansiella rapporterna har. [25]

A 135.Revisorns övervägande av upplysningar i de finansiella rapporterna när risker identifieras innefattar kvantitativa och kvalitativa upplysningar, för vilka felaktigheter kan vara väsentliga (allmänt anses felaktigheter vara väsentliga bara om de rimligen kan väntas påverka användarnas ekonomiska beslut som fattas med grund i de finansiella rapporterna som helhet). Beroende på omständigheterna för företaget och uppdraget innefattar exempel på upplysningar som har kvalitativa aspekter som kan vara relevanta vid bedömning av riskerna för väsentliga felaktigheter upplysningar om:

  1. Likviditet och avtalsvillkor för ett företag med ekonomiska problem.
  2. Händelser eller omständigheter som har lett till att en nedskrivning redovisas.
  3. Huvudsakliga källor till osäkerhet i uppskattningar, däribland antaganden om framtiden.
  4. Karaktären på en ändring i redovisningsprincip och andra relevanta upplysningar som krävs i det tillämpliga ramverket för finansiell rapportering, där t.ex. nya rapporteringskrav väntas ha en betydande effekt på företagets finansiella ställning och resultat.
  5. Avtal om aktierelaterade ersättningar, däribland information om hur eventuella redovisade belopp fastställdes samt andra relevanta upplysningar.
  6. Närstående och transaktioner med närstående.
  7. Känslighetsanalys, innefattande effekterna av ändringar i antaganden som används i företagets värderingstekniker, som ska göra det möjligt för de avsedda användarna att förstå den underliggande osäkerheten i beräkningen av ett redovisat belopp eller belopp om vilket upplysning lämnas.

Överväganden som särskilt gäller mindre företag

A 136.Upplysningar i de finansiella rapporterna för mindre företag kan vara mindre utförliga eller mindre komplexa (t.ex. tillåter vissa ramverk för finansiell rapportering att mindre företag lämnar färre upplysningar i de finansiella rapporterna). Men det fråntar inte revisorn ansvaret för att skaffa sig en förståelse av företaget och dess miljö, däribland intern kontroll, med avseende på upplysningar.

Koppling av kontroller till påståenden (se punkt 26 c)

A 137.När revisorn gör riskbedömningar kan han eller hon identifiera de kontroller som troligen kan förhindra, eller upptäcka och rätta, väsentliga felaktigheter i särskilda påståenden. Vanligtvis är det lämpligt att skaffa sig en förståelse av kontrollerna och hänföra dem till påståenden mot bakgrund av de processer och system som de finns i, eftersom enskilda kontrollaktiviteter ofta i sig inte kan hantera en risk. Ofta krävs flera kontrollaktiviteter, tillsammans med andra komponenter i den interna kontrollen, för att hantera en risk.

A 138.Omvänt kan vissa kontrollaktiviteter få en särskild effekt på ett enskilt påstående för ett visst transaktionsslag eller konto. T.ex. kan de kontrollaktiviteter som ett företag har inrättat för att se till att de anställda räknar och bokför den årliga lagerinventeringen på rätt sätt, hänföra sig direkt till påståendena om existens och fullständighet för varulagerkontot.

A 139.Kontroller kan antingen direkt eller indirekt hänföra sig till ett påstående. Ju mer indirekt relationen är, desto mindre effektivt kan den kontrollen förhindra, eller upptäcka och rätta, felaktigheter i det påståendet. När t.ex. en försäljningschef går igenom en sammanfattning av försäljningsaktiviteten för vissa butiker fördelat på regioner, hänför sig detta vanligtvis endast indirekt till påståendet om fullständighet för försäljningsintäkter. Den kan således vara mindre effektiv när det gäller att minska risken för det påståendet än kontroller som mer direkt hänför sig till påståendet, t.ex. när leveransdokument jämförs med faktureringsdokument.

Väsentliga felaktigheter

A 140.Potentiella felaktigheter i enskilda rapporter och upplysningar kan bedömas vara väsentliga på grund av storlek, karaktär eller omständigheter. (Se punkt 26 d.)

Betydande risker

Identifiera betydande risker (se punkt 28)

A 141.Betydande risker hänger ofta samman med betydande icke rutinmässiga transaktioner eller bedömningsfrågor. Icke rutinmässiga transaktioner är sådana transaktioner som är ovanliga, på grund av antingen sin storlek eller karaktär, och som därför inträffar sällan. Bedömningsfrågor kan vara sättet att göra uppskattningar i redovisningen för vilka det finns en betydande grad av osäkerhet i mätningen. Det är mindre sannolikt att rutinmässiga, okomplicerade transaktioner som bearbetas systematiskt ger upphov till betydande risker.

A 142.Risker för väsentliga felaktigheter kan vara större för betydande, icke rutinmässiga transaktioner med anledning av t.ex.

  1. större ingripande från företagsledningen för att precisera redovisningssättet,
  2. ökad manuell hantering för insamling och bearbetning av data,
  3. komplicerade beräkningar eller redovisningsprinciper, och
  4. karaktären på icke rutinmässiga transaktioner, vilket gör det svårt för företaget att införa effektiva kontroller av riskerna.

A 143.Risker för väsentliga felaktigheter kan vara större vid betydande bedömningsfrågor som kräver att uppskattningar i redovisningen utvecklas och som hänför sig till t.ex. följande frågor:

  1. Redovisningsprinciper för uppskattningar i redovisningen eller intäktsredovisning kan vara föremål för olika tolkningar.
  2. Den bedömning som krävs kan vara subjektiv eller komplicerad, eller kräva antaganden om effekterna av framtida händelser, t.ex. bedömning av verkligt värde.

A 144.ISA 330 beskriver vilka effekter en identifiering av en betydande risk får på de fortsatta granskningsåtgärderna. [16]

Betydande risker som hänför sig till risker för väsentliga felaktigheter som beror på oegentligheter

A 145.ISA 240 fastställer ytterligare krav och ger vägledning om risker för väsentliga felaktigheter som beror på oegentligheter. [17]

Förståelse av kontroller som hänför sig till betydande risker (se punkt 29)

A 146.Även om risker som hänger samman med betydelsefulla icke rutinmässiga frågor eller bedömningsfrågor ofta är mindre utsatta för rutinkontroller, kan företagsledningen införa andra åtgärder för att hantera sådana risker. I revisorns förståelse av huruvida företaget har utformat och infört kontroller för väsentliga risker som hänför sig till icke rutinmässiga frågor eller bedömningsfrågor kan följaktligen ingå att förstå om och hur företagsledningen hanterar riskerna. Exempel:

  1. Kontrollaktiviteter såsom att högsta ledningen eller specialister går igenom antaganden.
  2. Dokumenterade processer för uppskattningar.
  3. Godkännande av styrelsen.

A 147.Vid t.ex. enstaka händelser, såsom när företaget stäms i en betydande rättslig process, kan beaktande av hur företaget hanterar denna inbegripa frågor som huruvida den har vidarebefordrats till lämpliga specialister (t.ex. intern eller extern jurist), om dess potentiella effekt har bedömts och hur man föreslår att upplysningar om situationen ska lämnas i de finansiella rapporterna.

A 148.I vissa fall kanske inte företagsledningen har hanterat betydande risker för väsentliga felaktigheter korrekt genom att införa kontroller av dessa betydande risker. Om företagsledningen inte inför sådana kontroller är det ett tecken på en betydande brist i den interna kontrollen. [18]

Risker för vilka inte enbart substansgranskningar utgör tillräckliga och ändamålsenliga revisionsbevis (se punkt 30)

A 149.Risker för väsentliga felaktigheter kan direkt röra bokföring av rutinmässiga transaktionsslag eller konton, och upprättandet av tillförlitliga finansiella rapporter. Sådana risker kan gälla risker för felaktig eller ofullständig bearbetning av rutinmässiga och betydande transaktionsslag såsom ett företags intäkter, inköp samt in- och utbetalningar.

A 150.När sådana rutinmässiga affärstransaktioner är föremål för en i hög grad automatiserad bearbetning med endast liten manuell hantering eller ingen manuell hantering alls, kanske det inte går att enbart utföra substansgranskning för att täcka risken. Revisorn kan t.ex. anse att detta är fallet under omständigheter där en betydande del av ett företags information initieras, registreras, bearbetas eller redovisas endast i elektronisk form i ett integrerat system. I sådana fall gäller följande:

  1. Revisionsbevis kanske enbart finns i elektronisk form och dess tillräcklighet och ändamålsenlighet beror vanligtvis på hur effektiva kontrollerna av precision och fullständighet är.
  2. Om lämpliga kontroller inte fungerar effektivt kan det hända att information initieras felaktigt eller ändras, utan att detta upptäcks.

A 151.I ISA 330 beskrivs konsekvenserna för de fortsatta granskningsåtgärderna av att risk av detta slag identifieras. [19]

Ändring av riskbedömning (se punkt 31)

A 152.Under revisionen kan revisorn få tillgång till information som skiljer sig betydligt från den information på vilken riskbedömningen grundades. Riskbedömningen kan t.ex. vara grundad på en förväntning om att vissa kontroller fungerar effektivt. När dessa kontroller granskas kan revisorn få fram revisionsbevis som visar att de inte fungerade effektivt under relevanta tidpunkter under revisionen. På samma sätt kan revisorn i samband med substansgranskning upptäcka felaktiga belopp eller större förekomster av felaktigheter än vad som överensstämmer med revisorns riskbedömningar. Under sådana omständigheter kan det hända att riskbedömningen inte korrekt avspeglar de verkliga förhållandena i företaget och det kan hända att de planerade fortsatta granskningsåtgärderna inte effektivt kan upptäcka väsentliga felaktigheter. Se ISA 330 för ytterligare vägledning.

Dokumentation (se punkt 32)

A 153.Revisorn får använda sitt professionella omdöme för att avgöra på vilket sätt kraven i punkt 32 ska dokumenteras. Vid revisioner av små företag kan dokumentationen införlivas i revisorns dokumentation av den övergripande strategin och granskningsplanen. [20] På liknande sätt kan t.ex. resultaten av riskbedömningen dokumenteras separat eller dokumenteras som en del av revisorns dokumentation av fortsatta granskningsåtgärder. [21]

Formen på och omfattningen av denna dokumentation påverkas av karaktären, storleken och komplexiteten på företaget och dess interna kontroll, tillgången på information från företaget samt den granskningsmetod och -teknik som tillämpas under revisionen.

A 154.För företag med okomplicerade verksamheter och processer för finansiell rapportering kan dokumentationen ha en enkel form och vara relativt kort. Det är inte nödvändigt att dokumentera hela revisorns förståelse av företaget och angränsande frågor. Viktiga delar av den förståelse som revisorn dokumenterar inbegriper sådana på vilken revisorn har grundat sin bedömning av risker för väsentliga felaktigheter.

A 155.Omfattningen på dokumentationen kan också avspegla erfarenheten och förmågan hos uppdragsteamets medlemmar. Förutsatt att kraven i ISA 230 alltid uppfylls kan en revision som utförs av ett uppdragsteam med mindre erfarna personer kräva mer detaljerad dokumentation för att hjälpa dessa att skaffa sig lämplig förståelse av företaget, än vad som krävs om uppdragsteamet består av erfarna personer.

A 156.Vid återkommande revisioner kan viss dokumentation föras över till framtida perioder och om nödvändigt uppdateras för att avspegla förändringar i företagets verksamhet eller processer.

Bilaga 1 Den interna kontrollens komponenter (se punkterna 4 c, 14–24, punkterna A 77–A 121)

1.I den här bilagan förklaras den interna kontrollens komponenter, som de beskrivs i punkterna 4 c, 14–24 och A 77–A 121 och som de hänför sig till revision av finansiella rapporter.

Kontrollmiljön

2.Kontrollmiljön består av följande delar:

  1. Kommunikation och uppföljning av hederlighet och etiska värderingar. Kontroller kan inte kompensera brist på hederlighet och etiska värderingar hos de människor som utvecklar, administrerar och övervakar dem. Hederlighet och etiskt agerande är resultatet av företagets etiska normer och normer för agerande, hur de kommuniceras och hur de följs upp i praktiken. I arbetet med att förstärka hederlighet och etiska värderingar ingår t.ex. företagsledningens åtgärder för att undanröja eller motverka incitament eller frestelser som kan förmå anställda att agera ohederligt, olagligt eller oetiskt. I kommunikationen av företagets riktlinjer i fråga om hederlighet och etiska värderingar kan ingå att kommunicera normer för agerande till personalen genom riktlinjer och uppförandekoder samt genom att föregå med gott exempel.
  2. Engagemang i kompetensfrågor. Kompetens är den kunskap och skicklighet som krävs för att utföra de arbetsuppgifter som ingår i den enskilda personens jobb.
  3. Styrelsens deltagande. Ett företags kontrollmedvetande påverkas i betydande utsträckning av styrelsen. Betydelsen av styrelsens ansvar framgår av etablerad praxis samt av andra lagar och andra författningar eller vägledning som tagits fram åt styrelsen. Bland övriga ansvarsområden för styrelsen ingår tillsyn över utformningen av anmälningsrutiner, s.k. ”whistle blower”-rutiner, och att de fungerar effektivt samt processen att gå igenom effektiviteten i företagets interna kontroll.
  4. Företagsledningens filosofi och sätt att driva verksamheten. Företagsledningens filosofi och sätt att driva verksamheten kännetecknas av en rad olika egenskaper. T.ex. kan företagsledningens inställning till och åtgärder i fråga om finansiell rapportering framgå av ett konservativt eller aggressivt urval av tillgängliga alternativa redovisningsprinciper, eller genom att uppskattningar i redovisningen utarbetas på ett samvetsgrant och konservativt sätt.
  5. Organisationsstruktur. När en relevant organisationsstruktur ska fastställas ingår att beakta viktiga befogenhets- och ansvarsområden samt lämpliga rapporteringsvägar. Vilken organisationsstruktur som är rätt för ett företag beror till viss del på dess storlek och karaktären på dess verksamheter.
  6. Fördelning av befogenheter och ansvar. Fördelningen av befogenheter och ansvar kan inbegripa riktlinjer som avser lämplig affärssed, kunskap och erfarenhet hos nyckelpersoner samt de resurser som ges när arbetsuppgifterna ska genomföras. Dessutom kan den inbegripa riktlinjer och kommunikation i syfte att se till att all personal förstår företagets mål, vet hur deras personliga handlingar samverkar med och bidrar till dessa mål samt inser hur och för vad de får ansvar.
  7. Personalpolitik och personalrutiner. Personalpolitik och personalrutiner påvisar ofta frågor som är viktiga för ett företags kontrollmedvetande. T.ex. visar normer för rekrytering av de mest kvalificerade personerna – med betoning på utbildning, tidigare erfarenheter, prestationer samt bevisad hederlighet och etiskt agerande – att företaget satsar på att anställa kompetent och pålitlig personal. Utbildningsriktlinjer som kommunicerar framtida roller och ansvar och som bland annat inbegriper kurser och seminarier visar vilka nivåer på prestationer och agerande företaget förväntar sig. Befordringar på basis av regelbundna prestationsbedömningar visar att företaget satsar på att befordra kvalificerad personal till nivåer med större ansvar.

Företagets riskbedömningsprocess

3.När det gäller finansiell rapportering inbegriper företagets riskbedömningsprocess det sätt på vilket företagsledningen identifierar affärsrisker som är relevanta för utarbetandet av finansiella rapporter enligt företagets tillämpliga ramverk för finansiell rapportering, uppskattar hur viktiga de är, bedömer sannolikheten för att de ska inträffa och beslutar om åtgärder för att hantera dem och resultatet av detta. T.ex. kan företagets riskbedömningsprocess ta upp frågan hur företaget beaktar risken för att det finns oredovisade transaktioner eller identifierar och analyserar betydelsefulla uppskattningar som har redovisats i de finansiella rapporterna.

4.Risker som är relevanta för en tillförlitlig finansiell rapportering inbegriper externa och interna händelser, transaktioner eller förhållanden som kan inträffa och få en negativ inverkan på företagets möjlighet att initiera, registrera, bearbeta och redovisa finansiella data enligt företagsledningens påståenden i de finansiella rapporterna. Företagsledningen kan initiera planer, program eller åtgärder för att hantera särskilda risker eller besluta att acceptera en risk av kostnadsskäl eller andra skäl. Risker kan uppstå eller förändras till följd av omständigheter såsom:

  1. Förändringar i den operativa miljön. Förändringar i regelverket eller den operativa miljön kan medföra förändringar i tryck från konkurrenter och betydande olika risker.
  2. Ny personal. Ny personal kan ha annat fokus eller annan förståelse av intern kontroll.
  3. Nya eller ändrade informationssystem. Betydande och snabba ändringar i informationssystem kan förändra den risk som hänför sig till intern kontroll.
  4. Snabb tillväxt. Betydande och snabbt expanderande verksamheter kan utsätta kontrollerna för påfrestningar och öka risken för att kontrollerna inte fungerar.
  5. Ny teknik. Att införa ny teknik i produktionsprocesser eller informationssystem kan förändra den risk som förknippas med intern kontroll.
  6. Nya affärsmodeller, produkter eller aktiviteter. Att gå in i nya affärsområden eller affärstransaktioner som ett företag har begränsad erfarenhet av kan medföra nya risker som förknippas med intern kontroll.
  7. Omstruktureringar av företag. Omstruktureringar kan medföra personalminskningar och förändringar av övervakning och arbetsfördelning vilket kan ändra risken som förknippas med intern kontroll.
  8. Expansion av utlandsverksamheter. Expansion eller förvärv av utlandsverksamheter medför nya och ofta unika risker som kan påverka den interna kontrollen, t.ex. fler eller ändrade risker i samband med valutatransaktioner.
  9. Nya redovisningsuttalanden. Antagande av nya redovisningsprinciper eller byte av redovisningsprinciper kan påverka risker i samband med att finansiella rapporter upprättas.

Informationssystem, och affärsprocesser som sammanhänger med dem, som är relevanta för den finansiella rapporteringen samt kommunikation

5.Ett informationssystem består av infrastruktur (fysiska komponenter och maskinvarukomponenter), programvara, människor, rutiner och data. Många informationssystem använder informationsteknik (IT) i stor utsträckning.

6.Det informationssystem som är relevant för den finansiella rapporteringen, vilket inbegriper systemet för finansiell rapportering, omfattar metoder och poster som

  1. identifierar och bokför alla giltiga transaktioner,
  2. utan onödigt dröjsmål beskriver transaktionerna tillräckligt detaljerat för att möjliggöra en korrekt klassificering av transaktionerna för finansiell rapportering,
  3. värderar transaktioner på ett sätt som gör det möjligt att redovisa deras korrekta värde i de finansiella rapporterna,
  4. fastställer den tidsperiod då transaktionerna inträffade för att göra det möjligt att redovisa transaktionerna i rätt räkenskapsperiod, och
  5. presenterar transaktionerna och upplysningar som sammanhänger med dem korrekt i de finansiella rapporterna.

7.Kvaliteten på den information som har genererats av systemet påverkar företagsledningens möjlighet att fatta riktiga beslut om ledning och kontroll av företagets verksamheter och att upprätta tillförlitliga finansiella rapporter.

8.Kommunikation, som inbegriper att ge en förståelse av enskilda roller och ansvar som hänför sig till intern kontroll av finansiell rapportering, kan ske i form av policydokument, handböcker för redovisning och finansiell rapportering samt promemorior. Kommunikation kan också ske elektroniskt, muntligt eller genom företagsledningens åtgärder.

Kontrollaktiviteter

9.Kontrollaktiviteter som kan vara relevanta för en revision kan vanligtvis kategoriseras som riktlinjer och rutiner som hänför sig till följande:

  1. Resultatgenomgångar. Dessa kontrollaktiviteter inbegriper genomgång och analyser av faktiskt utfall jämfört med budget, prognoser och utfall under tidigare räkenskapsperiod; jämförelse av olika data – operativa eller finansiella – med varandra tillsammans med analyser av förhållandena samt undersökande åtgärder och rättelseåtgärder; jämförelse av interna data med externa informationskällor samt genomgång av utfall för funktion eller aktivitet.
  2. Informationsbearbetning. De två stora grupperna av kontrollaktiviteter som rör informationssystem är programkontroller, vilket innefattar enskilda programs funktion, och allmänna IT-kontroller, vilket är riktlinjer och rutiner som hänför sig till många program och ligger till grund för att programkontroller fungerar effektivt genom att säkerställa den fortlöpande driften av informationssystemen. Exempel på programkontroller kan vara att kontrollera att bokföringsposter är siffermässigt riktiga, spara och gå igenom räkenskaper och råbalanser, automatiska kontroller såsom kontroller av indata och kontroller av nummerordning samt manuell uppföljning av avvikelserapporter. Exempel på allmänna IT-kontroller är kontroller av programändringar, kontroller som begränsar åtkomsten till program eller data, kontroller över införandet av nya versioner av datorprogram samt kontroller över programvara för system som begränsar åtkomsten till eller övervakar användningen av systemfunktioner som kan ändra finansiella data eller poster utan att lämna någon verifieringskedja.
  3. Fysiska kontroller. Kontroller som inbegriper:
    1. Den fysiska säkerheten för tillgångar, däribland tillräckligt skydd såsom säkra lokaler som hindrar åtkomst till tillgångar och bokföringsmaterial.
    2. Godkännande av åtkomst till datorprogram och datafiler.
    3. Regelbunden räkning och jämförelse med belopp som framgår av kontrollposter (t.ex. jämförelse av resultatet av inventeringar av likvida medel, värdepapper och varulager med räkenskapsmaterialet).

    I vilken omfattning de fysiska kontroller som ska förhindra stöld av tillgångar är relevanta för att de finansiella rapporterna har upprättas på ett tillförlitligt sätt, och således också för revisionen, beror på omständigheter såsom om tillgångar är begärliga eller lätt kan förskingras.

  4. Arbetsfördelning. Ge olika personer ansvar för att godkänna transaktioner, bokföra transaktioner och förvara tillgångar. Syftet med arbetsfördelning är att minska möjligheten för en person att ha en sådan ställning att han eller hon både kan begå och dölja misstag eller oegentligheter inom ramen för sina ordinarie arbetsuppgifter.

10.Vissa kontrollaktiviteter kan vara beroende av förekomsten av lämpliga riktlinjer på högre nivå, vilka har fastställts av företagsledningen eller styrelsen. T.ex. kan attestkontroller delegeras enligt fastställda riktlinjer såsom investeringskriterier som har fastställts av styrelsen. Alternativt kan icke rutinmässiga transaktioner, såsom stora förvärv eller avyttringar, kräva särskilt godkännande från hög nivå, däribland av aktieägarna i vissa fall.

Övervakning av kontroller

11.Ett viktigt ansvarsområde för företagsledningen är att löpande fastställa och upprätthålla intern kontroll. I företagsledningens övervakning av kontroller ingår att bedöma om de fungerar som avsett och att ändra kontrollerna på lämpligt sätt när omständigheterna ändras. Övervakning av kontroller kan inbegripa sådana aktiviteter såsom företagsledningens genomgång av huruvida bankavstämningar görs utan onödigt dröjsmål, internrevisorernas bedömning av om försäljningspersonalen följer företagets riktlinjer för villkor i försäljningsavtal samt en juridisk avdelnings tillsyn av hur företagets etiska riktlinjer eller riktlinjer för affärsmetoder följs. Övervakning sker också för att säkerställa att kontrollerna fortsätter att fungera effektivt över tiden. Om t.ex. ingen övervakning görs av att bankavstämningar sker på ett riktigt sätt och utan onödigt dröjsmål är det troligt att personalen slutar att göra dem.

12.Internrevisorer eller personal med liknande funktioner kan bidra till övervakningen av ett företags kontroller genom separata bedömningar. Vanligen lämnar de regelbundet information om hur den interna kontrollen fungerar, och fokuserar särskilt på att bedöma den interna kontrollens effektivitet, och kommunicerar information om styrkor och brister samt ger rekommendationer för att förbättra den interna kontrollen.

13.Övervakningsaktiviteter kan innefatta att använda sådan information från kommunikation med externa parter, som kan tyda på problem eller belysa områden som behöver förbättras. Kunderna bekräftar indirekt fakturauppgifter genom att betala sina fakturor eller klaga på debiteringar. Tillsynsmyndigheter kan dessutom kommunicera med företaget i frågor som påverkar den interna kontrollens funktion, t.ex. kommunikation om undersökningar som görs av banktillsynsorgan. Företagsledningen kan dessutom beakta kommunikation om intern kontroll från externa revisorer när den utför övervakningsaktiviteter.

Bilaga 2 Förhållanden och händelser som kan tyda på risker för väsentliga felaktigheter (se punkterna A 41 och A 133)

Nedan finns exempel på förhållanden och händelser som kan tyda på att det finns risker för väsentliga felaktigheter i de finansiella rapporterna. Exemplen täcker en rad olika omständigheter och händelser. Alla dessa omständigheter och händelser är dock inte relevanta för varje revisionsuppdrag och förteckningen över exempel är inte nödvändigtvis uttömmande.

  1. Verksamheter i ekonomiskt instabila regioner, t.ex. länder med betydande valutadevalvering eller ekonomier med hög inflation.
  2. Verksamheter som är exponerade för volatila marknader, t.ex. handel med terminskontrakt.
  3. Verksamheter som är föremål för en mycket komplex reglering.
  4. Frågor som rör fortsatt drift och likviditet, däribland förlust av betydelsefulla kunder.
  5. Begränsningar i fråga om tillgängligheten på kapital och kredit.
  6. Förändringar i den bransch där företaget verkar.
  7. Förändringar i varuförsörjningskedjan.
  8. Utveckling eller erbjudande av nya varor eller tjänster, eller övergång till nya affärsområden.
  9. Expansion till nya platser.
  10. Förändringar i företaget såsom stora förvärv eller omorganisationer eller andra ovanliga händelser.
  11. Företag eller affärssegment som troligtvis kan komma att säljas.
  12. Förekomsten av komplexa allianser och samriskföretag.
  13. Användning av finansiering utanför balansräkningen, företag för särskilt ändamål och andra komplexa finansieringsavtal.
  14. Betydande transaktioner med närstående.
  15. Avsaknad av personal med rätt kompetens inom redovisning och finansiell rapportering.
  16. Förändringar bland nyckelpersoner, däribland att personer i företagsledningen slutar.
  17. Brister i den interna kontrollen, framför allt sådana som inte företagsledningen hanterar.
  18. Motiv för företagsledning och anställda att ägna sig åt bedräglig finansiell rapportering.
  19. Oförenligheter mellan företagets IT-strategi och dess affärsstrategier.
  20. Förändringar i IT-miljön.
  21. Installation av betydelsefulla nya IT-system för finansiell rapportering.
  22. Frågor från tillsynsorgan eller statliga organ om företagets verksamheter eller ekonomiska resultat.
  23. Tidigare felaktigheter, en historia av misstag eller ett betydande antal justeringar vid räkenskapsperiodens slut.
  24. Betydande antal icke rutinmässiga eller icke systematiska transaktioner, inklusive koncernmellanhavanden och stora intäktstransaktioner vid räkenskapsperiodens slut.
  25. Transaktioner som bokförs på grundval av företagsledningens avsikter, t.ex. refinansiering av skulder, tillgångar som ska säljas och klassificering av värdepapper.
  26. Tillämpning av nya redovisningsuttalanden.
  27. Värderingar i redovisningen som inbegriper komplicerade processer.
  28. Händelser eller transaktioner som inbegriper en betydande grad av osäkerhet i mätningen, inklusive uppskattningar i redovisningen samt tillhörande upplysningar.
  29. Utelämnande eller döljande av betydelsefull information i upplysningar.
  30. Icke avgjorda rättstvister och ansvarsförbindelser, t.ex. säljgarantier, ekonomiska garantier och miljöskulder.

  • [1]

    I ISA 610 Använda det arbete som har utförts av internrevisionen, punkt 14 a, definieras betydelsen av termen ”internrevisionsfunktion” som den används i ISA.

  • [2]

    ISA 230 Dokumentation av revisionen, punkterna 8–11 samt A 6.

  • [3]

    ISA 320 Väsentlighet vid planering och utförande av en revision.

  • [4]

    ISA 240 Revisorns ansvar avseende oegentligheter i en revision av finansiella rapporter, punkterna 13–25.

  • [5]

    ISA 260 Kommunikation med dem som har ansvar för företagets styrning (omarbetad), punkt 4 b.

  • [6]

    De relevanta kraven återfinns i ISA 610.

  • [7]

    Se ISA 240, punkt 20.

  • [8]

    Se ISA 240, punkt 16.

  • [9]

    ISA 220 Kvalitetskontroll för revision av finansiella rapporter, punkt 14.

  • [10]

    ISA 250 Beaktande av lagar och andra författningar vid revision av finansiella rapporter (omarbetad), punkt 13.

  • [11]

    ISA 550 Närståendeförhållanden.

  • [12]

    ISA 550, punkt A 7.

  • [13]

    ISA 330 Revisorns hantering av bedömda risker.

  • [14]

    ISA 330, punkterna A 2–A 3.

  • [15]

    ISA 705 Modifierat uttalande i rapport från oberoende revisor (omarbetad).

  • [16]

    Se ISA 330, punkterna 15 och 21.

  • [17]

    Se ISA 240, punkterna 26–28.

  • [18]

    ISA 265 Kommunikation om brister i den interna kontrollen till dem som har ansvar för företagets styrning och företagsledningen, punkt A 7.

  • [19]

    Se ISA 330, punkt 8.

  • [20]

    ISA 300 Planering av revision av finansiella rapporter, punkterna 7 och 9.

  • [21]

    Se ISA 330, punkt 28.

  • [22]

    Se punkterna 19–20 i ISA 570 Fortsatt drift (omarbetad).

  • [23]

    ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing, punkt 15.

  • [24]

    ISA 320 Väsentlighet vid planering och utförande av en revision, punkt A 1.

  • [25]

    ISA 320, punkt 4.

Sifferkollen Läs mer

Belopp

Basbelopp
År 2018 2019 2020
Prisbasbelopp 45 500 46 500 47 300
Förhöjt pbb. 46 500 47 400 48 300
Inkomstbasbelopp 62 500 64 400  
Utdelning fåmansföretag
År 2017 2018 2019
Schablonbelopp 163 075 169 125 171 875

Räntesatser

Periodiseringsfond
År 2017 2018 2019
Räntesats 0,36* 0,36 0,51

* 0,19 om räkenskapsåret börjar 2016 och avslutas 2017.

Referensränta
År 2016-07-01 2019-07-01
Räntesats -0,5 0,0
Ränta på skattekontot
Period 2013-2016 2017 -
Intäkt 0,5625 0
Kostnad Låg 1,25 1,25
Kostnad Hög 16,25 16,25
Räntefördelning
Inkomstår 2017 2018 2019
Positiv 6,27 6,49 6,51
Negativ 1,50 1,50 1,51
Statslåneränta
År 2016 2017 2018
31 maj 0,57 0,34 0,49
30 nov 0,27 0,49 0,51

Traktamenten

Bilresor
Inkomstår 2017 2018 2019
Egen bil 18,50 18,50 18,50
Förmånsbil, diesel 6,50 6,50 6,50
Förmånsbil, bensin 9,50 9,50 9,50
Kostförmån
År 2017 2018 2019
Frukost, lunch och middag 225 235 245
Lunch eller middag 90 94 98
Frukost 45 47 49
Skattefria gåvor
År 2017 2018 2019
Julgåva 450 450 450
Jubileumsgåva 1 350 1 350 1 350
Minnesgåva 15 000 15 000 15 000

Skattesatser

Bolagsskatt
År 2017 2018 2019
Skattesats 22% 22% 21,4%
Mervärdesskatt
År 2017 2018 2019
Normal

25 %

25 % 25 %
Livsmedel, krog m.m. 12 % 12 % 12 %
Persontransport, böcker m.m. 6 % 6 % 6 %
Arbetsgivaravgifter/egenaavgifter
Födda -1937 1938 - 1953 1954 -
Arb. avgifter 0 % 10,21% 31,42%
Egenavgifter 0 % 10,21% 28,97%