Innehåll

INTERNATIONAL STANDARD ON AUDITING

ISA 315 Identifiera och bedöma riskerna för väsentliga felaktigheter (omarbetad 2019)

(Gäller vid revision av finansiella rapporter för räkenskapsperioder som börjar den 15 december 2021 eller senare)

International Standard on Auditing (ISA) 315 (omarbetad 2019) Identifiera och bedöma riskerna för väsentliga felaktigheter ska läsas tillsammans med ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing.

Inledning

Denna standards tillämpningsområde

1.Denna internationella revisionsstandard (ISA) behandlar revisorns ansvar för att identifiera och bedöma riskerna för väsentliga felaktigheter.

Nyckelbegrepp i denna standard

2.ISA 200 behandlar revisorns övergripande mål när han eller hon utför en revision av de finansiella rapporterna1, däribland att uppnå tillräckliga och ändamålsenliga revisionsbevis för att minska revisionsrisken till en godtagbart låg nivå.2 Revisionsrisk följer av riskerna för väsentliga felaktigheter och upptäcktsrisk.3 I ISA 200 förklaras att risken för väsentliga felaktigheter kan föreligga på två nivåer:4 den övergripande rapportnivån och påståendenivån för transaktionsslag, konton och upplysningar.

ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing.

ISA 200, punkt 17.

ISA 200, punkt 13 c.

ISA 200, punkt A36.

3.ISA 200 kräver att revisorn använder sitt professionella omdöme vid planeringen och genomförandet av revisionen, samt planerar och genomför revisionen med en professionellt skeptisk inställning som innebär att han eller hon är medveten om att det kan föreligga omständigheter som kan orsaka väsentliga felaktigheter i de finansiella rapporterna.5

ISA 200, punkterna 15–16.

4.Risker på rapportnivån avser risker som påverkar de finansiella rapporterna som helhet och kan påverka många påståenden. Risker för väsentliga felaktigheter på påståendenivån består av två delar, nämligen inneboende risker och kontrollrisker:

  • Inneboende risk beskrivs som känsligheten hos ett påstående om ett transaktionsslag, ett konto eller en upplysning för en felaktighet som skulle kunna vara väsentlig, antingen enskilt eller tillsammans med andra felaktigheter, före beaktande av eventuella kontroller.

  • Kontrollrisk beskrivs som risken för att en felaktighet som skulle kunna finnas i ett påstående om ett transaktionsslag, ett konto eller en upplysning och som skulle kunna vara väsentlig, antingen enskilt eller tillsammans med andra felaktigheter, inte förhindras eller upptäcks och rättas i tid via företagets system för intern kontroll.

5.I ISA 200 förklaras att risker för väsentliga felaktigheter bedöms på påståendenivån för att avgöra karaktären på, tidpunkten för och omfattningen av de fortsatta granskningsåtgärder som krävs för att inhämta tillräckliga och ändamålsenliga revisionsbevis.6 För de identifierade riskerna för väsentliga felaktigheter på påståendenivån krävs enligt denna standard en separat bedömning av inneboende risk och kontrollrisk. Enligt förklaringen i ISA 200 är de inneboende riskerna högre för vissa påståenden och tillhörande transaktionsslag, konton och upplysningar än för andra. I vilken grad den inneboende risken varierar kallas i denna standard för ”spektrumet av inneboende risker”.

ISA 200, punkt A43a och ISA 330 Revisorns hantering av bedömda risker, punkt 6.

6.Risker för väsentliga felaktigheter som har identifierats och bedömts av revisorn omfattar både dem som beror på oegentligheter och dem som beror på misstag. Även om båda omfattas av denna ISA är oegentligheter av sådan betydelse att ytterligare krav och vägledning finns i ISA 2407 avseende riskbedömning och näraliggande aktiviteter för att skaffa sig information som används för att identifiera, bedöma och vidta åtgärder avseende riskerna för väsentliga felaktigheter som beror på oegentligheter.

ISA 240 Revisorns ansvar avseende oegentligheter i en revision av finansiella rapporter.

7.Revisorns process för identifiering och bedömning av risker är iterativ (med upprepning) och dynamisk. Revisorns förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering samt företagets system för intern kontroll hänger samman med och är beroende av kraven på att identifiera och bedöma riskerna för väsentliga felaktigheter. För att skaffa sig den förståelse som krävs enligt denna standard går det att ta fram inledande uppfattningar om riskerna, som sedan kan förfinas ytterligare när revisorn går vidare i processen för identifiering och bedömning av risker. Dessutom kräver denna standard och ISA 330 att revisorn reviderar riskbedömningen och ytterligare modifierar övergripande åtgärder och fortsatta granskningsåtgärder, baserat på de revisionsbevis som har inhämtats vid genomförandet av fortsatta granskningsåtgärder i enlighet med ISA 330, eller om ny information framkommer.

8.ISA 330 kräver att revisorn utformar och inför övergripande åtgärder för att hantera de bedömda riskerna för väsentliga felaktigheter på rapportnivån.8 ISA 330 förklarar vidare att revisorns bedömning av riskerna för väsentliga felaktigheter på rapportnivån, och revisorns övergripande åtgärder, påverkas av revisorns förståelse för kontrollmiljön. ISA 330 kräver också att revisorn utformar och utför fortsatta granskningsåtgärder vilkas karaktär, tidpunkter för genomförande och omfattning baseras på och beaktar de bedömda riskerna för väsentliga felaktigheter på påståendenivån.9

ISA 330, punkt 5.

ISA 330, punkt 6.

Skalbarhet

9.ISA 200 anger att vissa standarder omfattar överväganden om skalbarhet, vilka illustrerar tillämpningen av kraven för alla företag, oavsett om deras karaktär och omständigheter är mindre komplexa eller mer komplexa.10 Denna standard är avsedd för revisioner av alla företag, oavsett storlek och komplexitet och tillämpningen inbegriper därmed särskilda överväganden som är specifika för både mindre och mer komplexa företag, efter omständigheterna (i det enskilda fallet). Även om storleken på ett företag kan vara ett mått på dess komplexitet, kan vissa mindre företag vara mer komplexa och vissa större företag mindre komplexa.

ISA 200, punkt A65a.

Ikraftträdande

10.Denna standard gäller vid revision av finansiella rapporter för räkenskapsperioder som börjar den 15 december 2021 eller senare.

Mål

11.Revisorns mål är att identifiera och bedöma riskerna för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller misstag, på rapport- och påståendenivåerna för att skapa en grund för att utforma och utföra åtgärder utifrån de bedömda riskerna för väsentliga felaktigheter.

Definitioner

12.I ISA har nedanstående termer följande betydelser:

  1. Påståenden – Uttalanden, uttryckliga eller på annat sätt uttalade, med avseende på redovisningen, värderingen, presentationen och lämnandet av information i de finansiella rapporterna som ligger i ledningens försäkran om att de finansiella rapporterna upprättas i enlighet med det tillämpliga ramverket för finansiell rapportering. Revisorn använder påståenden när han eller hon beaktar de olika typerna av potentiella felaktigheter som kan uppstå när han eller hon identifierar, bedömer och hanterar riskerna för väsentliga felaktigheter. (se punkt A1)

  2. Affärsrisk – En risk som härrör från betydelsefulla förhållanden, händelser, omständigheter, åtgärder eller passivitet som kan inverka negativt på ett företags möjlighet att nå sina mål och genomföra sina strategier, eller från olämpliga mål och strategier.

  3. Kontroller – Riktlinjer och rutiner som ett företag inför för att uppnå ledningens eller styrelsens mål med kontrollen. I det här sammanhanget: (se punkterna A2–A5)

    1. Riktlinjer är uttalanden om vad som bör, och inte bör, göras inom företaget för att utöva kontroll. Sådana uttalanden kan dokumenteras, formuleras uttryckligen i kommunikationen eller införas genom handlingar och beslut.

    2. Rutiner är handlingar för att införa riktlinjer.

  4. Allmänna IT-kontroller – Kontroller av företagets IT-processer som stödjer den fortlöpande korrekta driften av IT-miljön, däribland att informationsbearbetningskontrollerna förblir effektiva och att integriteten i företagets information upprätthålls (dvs. att informationen är komplett, korrekt och giltig) i företagets informationssystem. Se även definitionen av IT-miljö.

  5. Informationsbearbetningskontroller – Kontroller avseende bearbetningen av information i IT-program eller manuella informationsprocesser i företagets informationssystem som direkt riktar sig mot risker gällande informationens integritet (dvs. att transaktioner och övrig information är fullständiga, korrekta och giltiga). (se punkt A6)

  6. Inneboende riskfaktorer – Egenskaper hos händelser eller omständigheter som påverkar känsligheten för felaktigheter, vare sig dessa beror på oegentligheter eller misstag, i ett påstående om ett transaktionsslag, konto eller en upplysning, före beaktandet av kontroller. Sådana faktorer kan vara kvalitativa eller kvantitativa, och kan omfatta komplexitet, subjektivitet, förändring, osäkerhet eller känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter11 i den mån de påverkar den inneboende risken. (se punkterna A7–A8)

  7. IT-miljö – De IT-applikationer och den stödjande IT-infrastruktur, samt de IT-processer och den IT-personal som ingår och är delaktig i de processer som ett företag använder för att stödja affärsverksamheten och uppnå sina affärsstrategier. I standarden har nedanstående termer följande betydelser:

    1. En IT-applikation är ett program eller en uppsättning program som används vid införandet, bearbetningen, arkiveringen och rapporteringen av transaktioner eller information. IT-applikationer omfattar datalager och rapportgenerator.

    2. IT-infrastrukturen omfattar nätverk, operativsystem samt databaser och dessas tillhörande hård- och mjukvara.

    3. IT-processer är företagets processer för att hantera tillgång till IT-miljön, hantera förändringar av program eller förändringar av IT-miljön och IT-driften.

  8. Relevanta påståenden – Ett påstående om ett transaktionslag, konto eller en upplysning är relevant när det åtföljs av en identifierad risk för väsentliga felaktigheter. Fastställandet av huruvida ett påstående är ett relevant påstående görs före beaktande av eventuella tillhörande kontroller (dvs. den inneboende risken). (se punkt A9)

  9. IT-relaterade risker – Känslighet hos informationsbearbetningskontroller, och risker gällande informationens integritet (dvs. att transaktioner och övrig information är fullständiga, korrekta och giltiga) i företagets informationssystem, till följd av en bristfällig utformning eller funktion av kontrollerna i företagets IT-processer (se IT-miljö).

  10. Riskbedömningsåtgärder – De granskningsåtgärder som utformas och utförs för att identifiera och bedöma riskerna för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller misstag, på rapport- och påståendenivåerna.

  11. Betydande transaktionsslag, konton eller upplysningar – Ett transaktionsslag, konto eller en upplysning som det finns ett eller flera relevanta påståenden om.

  12. Betydande risk – En identifierad risk för väsentliga felaktigheter: (se punkt A10)

    1. för vilken bedömningen av den inneboende risken ligger nära den övre delen av spektrumet av inneboende risker till följd av den grad i vilken de inneboende riskfaktorerna påverkar kombinationen av sannolikheten för att en felaktighet uppkommer och omfattningen av den eventuella felaktigheten om den skulle uppkomma, eller

    2. att den ska behandlas som en betydande risk enligt kraven i andra standarder.12

  13. System för intern kontroll – Det system som utformas, införs och upprätthålls av dem som har ansvar för företagets styrning (styrelsen), företagsledningen och annan personal för att ge rimlig säkerhet att företagets mål nås i fråga om finansiell rapportering, effektivitet i verksamheten och att tillämpliga lagar och andra författningar följs. I ISA består systemet för intern kontroll av fem inbördes relaterade komponenter:

    1. kontrollmiljö,

    2. företagets riskbedömningsprocess,

    3. företagets process för att övervaka systemet för intern kontroll,

    4. informationssystem och kommunikation, och

    5. kontrollaktiviteter.

ISA 240, punkterna A24‒A27.

ISA 240, punkt 27 och ISA 550 Närståendeförhållanden, punkt 18.

Krav

Riskbedömning och näraliggande aktiviteter

13.Revisorn ska utforma och genomföra riskbedömning för att erhålla revisionsbevis som erbjuder en ändamålsenlig grund för (se punkterna A11–A18)

  1. att identifiera och bedöma risker för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller misstag, på rapport- och påståendenivåerna, och

  2. utformningen av fortsatta granskningsåtgärder enligt ISA 330.

Revisorn ska utforma och genomföra sin riskbedömning på ett sätt som inte är partiskt med/emot att inhämta revisionsbevis som kan vara stödjande eller mot att exkludera revisionsbevis som kan vara motsägelsefulla. (se punkt A14)

14.I riskbedömningen ska följande ingå: (se punkterna A19–A21)

  1. frågor till företagsledningen och andra lämpliga personer inom företaget, däribland personer inom internrevisionsfunktionen (om sådan finns på företaget), (se punkterna A22–A26)

  2. analytisk granskning, och (se punkterna A27–A31)

  3. observation och inspektion. (se punkterna A32–A36)

Information från andra källor

15.När revisorn inhämtar revisionsbevis i enlighet med punkt 13 ska revisorn beakta information från (se punkterna A37‒A38)

  1. revisorns åtgärder avseende om han eller hon ska acceptera eller behålla en klientrelation eller revisionsuppdraget, och

  2. när det är tillämpligt, andra uppdrag som utförs av den ansvariga revisorn för företaget.

16.När revisorn avser att använda den information som har inhämtats vid tidigare arbete åt företaget och från granskningsåtgärder i samband med tidigare revisioner, ska revisorn utvärdera om denna information fortfarande är relevant och tillförlitlig som revisionsbevis för den aktuella revisionen. (se punkterna A39‒A41)

Diskussion i uppdragsteamet

17.Den ansvariga revisorn och andra nyckelpersoner i uppdragsteamet ska diskutera tillämpningen av det tillämpliga ramverket för finansiell rapportering och hur känsliga företagets finansiella rapporter är för väsentliga felaktigheter. (se punkterna A42–A47)

18.När det finns personer i uppdragsteamet som inte deltar i uppdragsteamets diskussion ska den ansvariga revisorn fastställa vilka frågor som dessa teammedlemmar ska informeras om.

Skaffa sig en förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll (se punkterna A48‒A49)

Förstå företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering (se punkterna A50‒A55)

19.Revisorn ska genomföra riskbedömning för att skaffa sig en förståelse av

  1. följande aspekter av företaget och dess miljö:

    1. företagets organisationsstruktur, ägande och styrning och dess affärsmodell, däribland i vilken grad affärsmodellen integrerar användningen av IT, (se punkterna A56‒A67)

    2. branschspecifika faktorer, regelverk och andra externa faktorer, och (se punkterna A68‒A73)

    3. vilka mått som används, internt och externt, för att bedöma företagets finansiella ställning, (se punkterna A74‒A81)

  2. det tillämpliga ramverket för finansiell rapportering och företagets redovisningsprinciper, samt skälen till eventuella förändringar av dessa, och (se punkterna A82‒A84)

  3. hur inneboende riskfaktorer påverkar känsligheten i påståenden för felaktigheter och i vilken grad de gör det vid upprättandet av de finansiella rapporterna i enlighet med det tillämpliga ramverket för finansiell rapportering, baserat på den förståelse som revisorn skaffade sig under a och b. (se punkterna A85‒A89)

20.Revisorn ska bedöma om företagets redovisningsprinciper är ändamålsenliga och förenliga med det tillämpliga ramverket för finansiell rapportering.

Förstå komponenterna i företagets system för intern kontroll (se punkterna A90–A95)

Kontrollmiljön, företagets riskbedömningsprocess och företagets process för att övervaka systemet för intern kontroll (se punkterna A96‒A98)
Kontrollmiljö

21.Revisorn ska skaffa sig en förståelse av de delar av kontrollmiljön som är relevanta för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning, genom att (se punkterna A99–A100)

  1. förstå den uppsättning kontroller, processer och strukturer som avser: (se punkterna A101‒A102)

    1. hur ledningen utövar sitt tillsynsansvar över t.ex. företagets kultur och hur engagerad ledningen är i hederlighet och etiska värderingar,

    2. när styrelsen är fristående från ledningen, styrelsens oberoende och dess tillsyn över företagets system för intern kontroll,

    3. företagets fördelning av befogenheter och ansvar,

    4. hur företaget attraherar, utvecklar och behåller kompetenta medarbetare, och

    5. hur företaget håller olika personer ansvariga för deras ansvarsområden för att nå målen med systemet för intern kontroll, och

  2. utvärdera huruvida (se punkterna A103‒A108)

    1. företagsledningen, under tillsyn av styrelsen, har utvecklat och upprätthållit en kultur präglad av ärlighet och etiskt korrekt agerande,

    2. kontrollmiljön erbjuder en tillräcklig grund för de andra komponenterna i företagets system för intern kontroll med beaktande av företagets karaktär och komplexitet, och

    3. brister i kontrollerna som identifieras i kontrollmiljön undergräver de andra komponenterna i företagets system för intern kontroll.

Företagets riskbedömningsprocess

22.Revisorn ska skaffa sig en förståelse av den del av företagets riskbedömningsprocess som är relevant för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning, genom att

  1. förstå företagets process för: (se punkterna A109‒A110)

    1. identifiering av affärsrisker som är relevanta för den finansiella rapporteringens mål, (se punkt A62)

    2. bedömning av betydelsen av dessa risker, samt hur sannolikt det är att de uppkommer, och

    3. vidta åtgärder mot dessa risker, och

  2. utvärdera huruvida företagets riskbedömningsprocess är anpassad till företagets omständigheter med beaktande av företagets karaktär och komplexitet. (se punkterna A111‒A113)

23.Om revisorn identifierar risker för väsentliga felaktigheter som företagsledningen misslyckats att identifiera, ska revisorn

  1. fastställa huruvida sådana risker är av en karaktär att revisorn förväntar sig att de skulle ha identifierats i företagets riskbedömningsprocess och, i så fall, skaffa sig en förståelse av varför företagets riskbedömningsprocess inte lyckades identifiera dessa risker för väsentliga felaktigheter, och

  2. överväga konsekvenserna för revisorns utvärdering i punkt 22 b.

Företagets process för att övervaka systemet för intern kontroll

24.Revisorn ska skaffa sig en förståelse av företagets process för att övervaka den del av systemet för intern kontroll som är relevant för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning, genom att (se punkterna A114–A115)

  1. förstå de aspekter av företagets processer som innefattar

    1. fortlöpande och separata utvärderingar för att övervaka kontrollernas funktion, samt identifieringen och åtgärderna av de brister i kontrollerna som har identifierats, och (se punkterna A116‒A117)

    2. företagets internrevisionsfunktion, om sådan finns, inklusive dess karaktär, ansvarsområden och aktiviteter, (se punkt A118)

  2. förstå de informationskällor som används i företagets process för övervakning av internrevisionen och den grund företagsledningen har för att bedöma om informationen är tillräckligt tillförlitlig för sitt syfte, och (se punkterna A119‒A120)

  3. utvärdera huruvida företagets process för att övervaka systemet för intern kontroll är tillräcklig för företagets omständigheter med beaktande av företagets karaktär och komplexitet. (se punkterna A121‒A122)

Informationssystem och kommunikation, samt kontrollaktiviteter (se punkterna A123–A130)
Informationssystem och kommunikation

25.Revisorn ska skaffa sig en förståelse av de delar av företagets informationssystem och kommunikation som är relevanta för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning, genom att (se punkt A131)

  1. förstå företagets informationsbearbetningsaktiviteter, inklusive dess data och information, de resurser som ska användas inom ramen för sådana aktiviteter och de riktlinjer som definierar, för väsentliga transaktionsslag, konton och upplysningar, (se punkterna A132‒A143)

    1. hur informationen flödar genom företagets informationssystem, däribland hur

      1. transaktioner initieras och hur information om dem registreras, bearbetas, i förekommande fall rättas, överförs till huvudboken och redovisas i de finansiella rapporterna, och

      2. information om händelser och omständigheter utöver transaktioner, som tas upp, bearbetas och redovisas i de finansiella rapporterna, och

    2. räkenskapsmaterialet, specifika konton i de finansiella rapporterna och övriga underlag hänförliga till informationsflödena i informationssystemet,

    3. den process för finansiell rapportering som används för att upprätta företagets finansiella rapporter, inkluderande upplysningar, och

    4. företagets resurser, inklusive IT-miljön, relevanta för a i till a iii ovan,

  2. förstå hur företaget kommunicerar väsentliga frågor som stödjer upprättandet av de finansiella rapporterna och tillhörande ansvarsområden i informationssystemet och andra komponenter i systemet för intern kontroll: (se punkterna A144‒A145)

    1. mellan personer inom företaget, inklusive hur information förmedlas om roller och ansvarsområden inom den finansiella rapporteringen,

    2. mellan företagsledning och styrelse, och

    3. med externa parter, t.ex. med tillsynsmyndigheter, och

  3. utvärdera om företagets informationssystem och kommunikation på ett bra sätt stödjer upprättandet av företagets finansiella rapporter i enlighet med det tillämpliga ramverket för finansiell rapportering. (se punkt A146)

Kontrollaktiviteter

26.Revisorn ska skaffa sig en förståelse av kontrollaktivitetskomponenten genom att genomföra riskbedömning, genom att (se punkterna A147–A157)

  1. Identifiera kontroller som hanterar risker för väsentliga felaktigheter på påståendenivån i kontrollaktivitetskomponenten enligt följande:

    1. kontroller som avser en risk som har fastställts vara en betydande risk, (se punkterna A158‒A159)

    2. kontroller över bokföringsposter, däribland icke standardiserade bokföringsposter som används för att redovisa transaktioner av engångskaraktär, ovanliga transaktioner eller justeringar, (se punkterna A160‒A161)

    3. kontroller som revisorn planerar att testa funktionen av för att fastställa substansgranskningens karaktär, tidpunkt och omfattning. Detta ska omfatta kontroller som avser risker för vilka inte enbart substansgranskning kan inhämta tillräckliga och ändamålsenliga revisionsbevis för, och (se punkterna A162‒A164)

    4. övriga kontroller som revisorn betraktar som lämpliga för att göra det möjligt för revisorn att uppnå målen i punkt 13 med avseende på riskerna på påståendenivån, grundat på revisorns professionella omdöme, (se punkt A165)

  2. baserat på kontroller identifierade vid a, identifiering av IT-applikationer och andra aspekter av företagets IT-miljö som är föremål för IT-relaterade risker, (se punkterna A166‒A172)

  3. för sådana IT-applikationer och andra aspekter av IT-miljö som identifierats vid b, identifiering av: (se punkterna A173‒A174)

    1. de relaterade IT-riskerna, och

    2. företagets allmänna IT-kontroller som hanterar sådana risker, och

  4. för varje kontroll som identifieras i a eller c ii: (se punkterna A175‒A181)

    1. utvärdera huruvida kontrollen är utformad på ett effektivt sätt för att hantera risken för väsentliga felaktigheter på påståendenivån, eller effektivt utformad för att stödja funktionen av andra kontroller, och

    2. avgöra huruvida kontrollerna har införts genom att utföra åtgärder utöver att ställa frågor till företagets anställda.

Brister i kontrollerna i företagets system för intern kontroll

27.Baserat på revisorns utvärdering av var och en av komponenterna i företagets system för intern kontroll ska revisorn fastställa huruvida en eller flera brister i kontrollerna har identifierats. (se punkterna A182–A183)

Identifiera och bedöma riskerna för väsentliga felaktigheter (se punkterna A184‒A185)

Identifiera risker för väsentliga felaktigheter

28.Revisorn ska identifiera riskerna för väsentliga felaktigheter och avgöra om de föreligger på (se punkterna A186–A192)

  1. rapportnivån, eller (se punkterna A193–A200)

  2. påståendenivån för transaktionsslag, konton och upplysningar. (se punkt A201)

29.Revisorn ska fastställa de relevanta påståendena och de tillhörande väsentliga transaktionsslagen, kontona och upplysningarna. (se punkterna A202–A204)

Bedöma riskerna för väsentliga felaktigheter på rapportnivån

30.För identifierade risker för väsentliga felaktigheter på rapportnivån ska revisorn bedöma riskerna och (se punkterna A193–A200)

  1. fastställa huruvida sådana risker påverkar bedömningen av risker på påståendenivån, och

  2. utvärdera karaktären på och omfattningen av deras genomgripande effekt på de finansiella rapporterna.

Bedöma risker för väsentliga felaktigheter på påståendenivån

Bedöma inneboende risker (se punkterna A205–A217)

31.För identifierade risker för väsentliga felaktigheter på påståendenivån ska revisorn bedöma de inneboende riskerna genom att bedöma sannolikheten för och omfattningen av felaktigheterna. När revisorn gör det ska han eller hon beakta hur och i vilken grad

  1. de inneboende riskfaktorerna påverkar de relevanta påståendenas känslighet för väsentliga felaktigheter, och

  2. riskerna för väsentliga felaktigheter på rapportnivån påverkar bedömningen av inneboende risker för risker för väsentliga felaktigheter på påståendenivån. (se punkterna A215‒A216)

32.Revisorn ska fastställa huruvida några av de bedömda riskerna för väsentliga felaktigheter utgör betydande risker. (se punkterna A218–A221)

33.Revisorn ska fastställa huruvida enbart substansgranskning inte räcker för att ge tillräckliga och ändamålsenliga revisionsbevis för vissa av riskerna för väsentliga felaktigheter på påståendenivån. (se punkterna A222–A225)

Bedöma kontrollrisken

34.Om revisorn planerar att granska kontrollernas funktion ska revisorn bedöma kontrollrisken. Om revisorn inte planerar att granska kontrollernas funktion ska revisorns bedömning av kontrollrisken vara sådan att bedömningen av risken för väsentliga felaktigheter är samma som bedömningen av inneboende risker. (se punkterna A226–A229)

Utvärdera revisionsbevisen inhämtade från riskbedömningsprocessen

35.Revisorn ska utvärdera huruvida revisionsbevisen inhämtade från riskbedömningen ger en ändamålsenlig grund för identifieringen och bedömningen av riskerna för väsentliga felaktigheter. Om så inte är fallet ska revisorn genomföra ytterligare riskbedömning till dess att revisionsbevis har inhämtats för att ge en sådan grund. När revisorn identifierar och bedömer risken för väsentliga felaktigheter ska han eller hon beakta samtliga revisionsbevis som har inhämtats från riskbedömningen, vare sig de stöder eller motsäger påståenden som görs av ledningen. (se punkterna A230–A232)

Transaktionsslag, konton och upplysningar som inte är betydande, men som är väsentliga

36.För väsentliga transaktionsslag, konton eller upplysningar som inte har bedömts vara betydande transaktionsslag, konton eller upplysningar ska revisorn utvärdera om hans eller hennes bedömningar fortfarande är riktiga. (se punkterna A233–A235)

Ändring av riskbedömning

37.Om revisorn erhåller ny information som är oförenlig med de revisionsbevis som revisorn ursprungligen grundade sin identifiering eller bedömning av risken för väsentliga felaktigheter på, ska revisorn omarbeta sin identifiering eller bedömning. (se punkt A236)

Dokumentation

38.Revisorn ska i revisionsdokumentationen innefatta följande:13 (se punkterna A237–A241)

  1. uppdragsteamets diskussion och de betydelsefulla beslut som fattas,

  2. viktiga delar av revisorns förståelse i enlighet med punkterna 19, 21, 22, 24 och 25, de informationskällor revisorns förståelse bygger på samt de riskbedömningsåtgärder som har utförts,

  3. utvärderingen av utformningen av identifierade kontroller, och fastställandet av huruvida sådana kontroller har införts, i enlighet med bestämmelserna i punkt 26, och

  4. de identifierade och bedömda riskerna för väsentliga felaktigheter på rapport- och påståendenivån, däribland betydande risker och risker för vilka enbart substansgranskning inte ger tillräckliga och ändamålsenliga revisionsbevis samt skälen till de väsentliga bedömningar som görs.

ISA 230 Dokumentation av revisionen, punkterna 8–11 och A6–A7.

Tillämpning och andra förtydliganden

Definitioner (se punkt 12)

Påståenden (se punkt 12 a)

A1.Revisorer använder kategorier av påståenden för att beakta de olika typerna av potentiella felaktigheter när de identifierar, bedömer och hanterar riskerna för väsentliga felaktigheter. Exempel på dessa kategorier av påståenden beskrivs i punkt A190. Påståendena skiljer sig från de skriftliga uttalanden som krävs enligt ISA 580,14 för att bekräfta vissa förhållanden eller stödja övriga revisionsbevis.

ISA 580 Skriftliga uttalanden.

Kontroller (se punkt 12 c)

A2.Kontroller är inbyggda i komponenterna i företagets system för intern kontroll.

A3.Riktlinjer införs genom handlingar utförda av företagets personal, eller genom att personalen avhåller sig från att vidta åtgärder som skulle kunna vara i strid med sådana riktlinjer.

A4.Rutiner kan införas genom formell dokumentation eller annan kommunikation från ledningen eller styrelsen, eller kan vara ett resultat av beteenden som inte är formellt införda utan snarare är en följd av företagskulturen. Rutiner kan upprätthållas genom att aktiviteter tillåts av de IT-applikationer som används av företaget eller andra aspekter av företagets IT-miljö.

A5.Kontroller kan vara direkta eller indirekta. Direkta kontroller är kontroller som har tillräcklig precision för att bemöta risker för väsentliga felaktigheter på påståendenivån. Indirekta kontroller är kontroller som understödjer direkta kontroller.

Informationsbearbetningskontroller (se punkt 12 e)

A6.Risker avseende informationens integritet uppkommer genom känsligheten för ett mindre verkningsfullt införande av företagets informationsriktlinjer, som är riktlinjer som definierar informationsflöden, informationslagring och redovisningsprocesser i företagets informationssystem. Informationsbearbetningskontroller är processer som stödjer ett ändamålsenligt införande av företagets riktlinjer avseende information. Informationsbearbetningskontroller kan vara automatiserade (dvs. inbäddade i IT-applikationer) eller manuella (t.ex. kontroller av in- eller utdata) och kan vara beroende av andra kontroller, däribland andra informationsbearbetningskontroller och allmänna IT-kontroller.

Inneboende riskfaktorer (se punkt 12 f)

Bilaga 2 anger ytterligare överväganden hänförliga till förståelsen av inneboende riskfaktorer.

A7.Inneboende riskfaktorer kan vara kvalitativa eller kvantitativa och påverkar påståendenas känslighet för väsentliga felaktigheter. Kvalitativa inneboende riskfaktorer avseende upprättandet av information som krävs enligt det tillämpliga ramverket för finansiell rapportering omfattar

  • komplexitet,

  • subjektivitet,

  • förändring,

  • osäkerhet, och

  • känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter i den mån de påverkar den inneboende risken.

A8.Övriga inneboende riskfaktorer som påverkar känsligheten för felaktigheter i ett påstående om ett transaktionsslag, konto eller en upplysning kan bland annat omfatta:

  • den kvalitativa eller kvantitativa betydelsen av transaktionsslaget, kontot eller upplysningen, eller

  • volymen eller brist på enhetlighet i sammansättningen av de poster som ska bearbetas genom transaktionsslaget eller kontot, eller återspeglas i upplysningen.

Relevanta påståenden (se punkt 12 h)

A9.En risk för väsentliga felaktigheter kan avse ett eller flera påståenden, och i så fall är samtliga påståenden, som en sådan risk avser, relevanta påståenden. Om ett påstående inte innehåller en identifierad risk för väsentliga felaktigheter är det inte ett relevant påstående.

Betydande risk (se punkt 12 l)

A10.Betydelsen kan beskrivas som hur viktigt ett relativt förhållande är, och bedöms av revisorn i det sammanhang där förhållandet bedöms. För inneboende risker kan betydelsen bedömas inom sammanhanget av hur, och i vilken grad, de inneboende riskfaktorerna påverkar kombinationen av sannolikheten för att en felaktighet uppkommer och omfattningen av den eventuella felaktigheten om den skulle uppkomma.

Riskbedömning och näraliggande aktiviteter (se punkterna 13–18)

A11.I de risker för väsentliga felaktigheter som ska identifieras och bedömas ingår både de som beror på oegentligheter och de som beror på misstag, och båda omfattas av denna standard. Oegentligheter är emellertid av sådan betydelse att ytterligare krav och vägledning finns i ISA 240 avseende riskbedömning och näraliggande aktiviteter för att skaffa sig information som används vid identifiering och bedömning av riskerna för väsentliga felaktigheter som beror på oegentligheter.15 Därutöver erbjuder följande standarder ytterligare krav och vägledning vad gäller att identifiera och bedöma risker för väsentliga felaktigheter avseende specifika frågor eller omständigheter:

  • ISA 540 (omarbetad)16 med avseende på uppskattningar i redovisningen.

  • ISA 55017 med avseende på relationer och transaktioner med närstående.

  • ISA 570 (omarbetad)18 med avseende på företagets förmåga att fortsätta verksamheten.

  • ISA 60019 med avseende på koncernredovisningar.

ISA 240, punkterna 12–27.

ISA 540 (omarbetad) Granskning av uppskattningar i redovisningen med tillhörande upplysningar.

ISA 550 Närståendeförhållanden.

ISA 570 (omarbetad) Fortsatt drift.

ISA 600 Särskilda överväganden – revision av koncernredovisningar (däribland arbete som utförs av revisorer för delar av arbetet).

A12.En professionellt skeptisk inställning är nödvändig för en kritisk bedömning av de revisionsbevis som har inhämtats vid genomförandet av riskbedömningen, och hjälper revisorn att förbli uppmärksam på att revisionsbevisen inte brister i objektivitet så att de bekräftar förekomsten av risker eller kan vara motsägelsefulla i fråga om förekomsten av risker. En professionellt skeptisk inställning är en hållning som intas av revisorn när han eller hon gör professionella bedömningar som sedan utgör grund för revisorns åtgärder. Revisorn använder professionellt omdöme för att avgöra när revisorn har revisionsbevis som erbjuder en ändamålsenlig grund för riskbedömningen.

A13.Tillämpningen av en professionellt skeptisk inställning från revisorns sida kan omfatta att

  • ifrågasätta motsägelsefull information och dokuments tillförlitlighet,

  • beakta svar på frågor och övrig information som har inhämtats från ledning och styrelse,

  • vara uppmärksam på omständigheter som kan tyda på möjliga felaktigheter vare sig dessa beror på oegentligheter eller misstag, och

  • bedöma huruvida de revisionsbevis som har inhämtats stödjer revisorns identifiering och bedömning av risken för väsentliga felaktigheter mot bakgrund av företagets karaktär och omständigheter.

Varför det är viktigt att inhämta revisionsbevis på ett opartiskt sätt (se punkt 13)

A14.Att på ett opartiskt sätt utforma och genomföra riskbedömning för att identifiera eventuella motsägelsefulla upplysningar, kan hjälpa revisorn att tillämpa en professionellt skeptisk inställning när han eller hon identifierar och bedömer riskerna för väsentliga felaktigheter.

Källor till revisionsbevis (se punkt 13)

A15.Att utforma och genomföra riskbedömning för att inhämta revisionsbevis på ett opartiskt sätt kan omfatta att inhämta bevis från olika källor inom och utom företaget. Revisorn behöver emellertid inte utföra en uttömmande sökning för att identifiera alla möjliga källor till revisionsbevis. Utöver information från andra källor20, kan informationskällor till riskbedömningsprocesser omfatta

  • kontakter med ledningen, styrelsen och andra nyckelpersoner inom företaget, såsom internrevisorer,

  • vissa externa parter, såsom tillsynsmyndigheter, vare sig informationen inhämtas direkt eller indirekt,

  • offentligt tillgänglig information om företaget, t.ex. pressmeddelanden publicerade av företaget och material till analytiker eller möten med investerargrupper, analytikers rapporter eller information om handelsaktivitet.

Oavsett informationskällan ska revisorn beakta relevansen och tillförlitligheten hos den information som ska användas som revisionsbevis i enlighet med ISA 500.21

Se punkterna A37 och A38.

ISA 500 Revisionsbevis, punkt 7.

Skalbarhet (se punkt 13)

A16.Karaktären på och omfattningen av riskbedömningen varierar baserat på företagets karaktär och omständigheter (t.ex. formaliteten i företagets riktlinjer och rutiner, samt processer och system). Revisorn ska använda sitt professionella omdöme för att avgöra karaktären på och omfattningen av de åtgärder som ska genomföras för att uppfylla kraven i denna standard.

A17.Även om graden av hur formaliserade ett företags riktlinjer och rutiner samt processer och system är kan variera, måste revisorn ändå skaffa sig den förståelsen enligt punkterna 19, 21, 22, 24, 25 och 26.

Exempel:

Vissa företag, inklusive mindre komplexa företag, och i synnerhet ägarledda företag, kanske inte har etablerade strukturerade processer och system (t.ex. en riskbedömningsprocess eller en process för att övervaka systemet för intern kontroll) eller kanske har etablerade processer eller system med begränsad dokumentation eller brist på konsekvens i hur de genomförs. När sådana system och processer saknar formalitet kan revisorn ändå genomföra riskbedömningen genom observationer och frågor.

Andra företag, vanligtvis mer komplexa företag, förväntas ha mer formaliserade och dokumenterade riktlinjer och rutiner. Revisorn kan använda sådan dokumentation när han eller hon genomför riskbedömningen.

A18.Karaktären på och omfattningen av riskbedömningen som ska genomföras första gången ett uppdrag utförs kan vara mer omfattande än åtgärderna vid ett återkommande uppdrag. Under efterföljande perioder kan revisorn ha fokus på förändringar som har inträffat sedan den föregående perioden.

Typer av riskbedömningsåtgärder (se punkt 14)

A19.ISA 50022 förklarar vilka typer av granskningsåtgärder som kan genomföras för att inhämta revisionsbevis från riskbedömningen och fortsatta granskningsåtgärder. Granskningsåtgärdernas art, tidpunkt och omfattning kan påverkas av det faktum att en del av redovisningsuppgifterna och övriga bevis kanske bara finns tillgängliga i elektronisk form eller bara vid vissa tidpunkter.23 Revisorn kan utföra substansgranskning eller granskning av kontroller, i enlighet med ISA 330, samtidigt som riskbedömningen görs, när det är effektivt att göra så. Revisionsbevis som inhämtas som stödjer identifiering och bedömning av risker för väsentliga felaktigheter kan också stödja upptäckten av felaktigheter på påståendenivån eller utvärderingen av kontrollernas funktion.

ISA 500, punkterna A14–A17 och A21–A25.

ISA 500, punkt A12.

A20.Även om revisorn är skyldig att utföra all den riskbedömning som beskrivs i punkt 14 för att skaffa sig en förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll (se punkterna 19–26), behöver han eller hon inte utföra den avseende alla aspekter av den förståelsen. Andra åtgärder kan utföras när den information som avses inhämtas kan bidra till att risker för väsentliga felaktigheter identifieras. Exempel på sådana åtgärder kan omfatta att ställa frågor till företagets externa juridiska rådgivare eller externa tillsynsorgan, eller till värderingsspecialister som företaget har anlitat.

Automatiserade verktyg och tekniker (se punkt 14)

A21.När revisorn använder automatiserade verktyg och tekniker kan han eller hon genomföra riskbedömning av stora datavolymer (från huvudboken, reskontror eller annan verksamhetsdata) för bland annat analyser, omräkningar, upprepning eller avstämningar.

Frågor till företagsledningen och andra personer inom företaget (se punkt 14 a)

Varför frågor ställs till företagsledningen och andra personer inom företaget

A22.Information som inhämtas av revisorn för att stödja en ändamålsenlig grund för identifieringen och bedömningen av riskerna, samt utformningen av fortsatta granskningsåtgärder, kan uppnås genom att ställa frågor till ledningen och de personer som ansvarar för den finansiella rapporteringen.

A23.Frågor till ledningen och de personer som ansvarar för den finansiella rapporteringen och till andra anställda på olika nivåer kan ge revisorn olika perspektiv när han eller hon identifierar och bedömer risker för väsentliga felaktigheter.

Exempel:

  • Frågor till styrelsen kan hjälpa revisorn att förstå omfattningen av den tillsyn som styrelsen har över ledningens upprättande av de finansiella rapporterna. ISA 260 (omarbetad)24 identifierar vikten av effektiv tvåvägskommunikation som stöd för revisorn när han eller hon inhämtar information av styrelsen i detta avseende.

  • Frågor till personer som ansvarar för att initiera, bearbeta eller registrera komplicerade eller ovanliga transaktioner kan hjälpa revisorn att bedöma hur lämpligt valet och tillämpningen av vissa redovisningsprinciper är.

  • Frågor till internjurister kan ge information om frågor som tvister, om lagar och andra författningar följs, kännedom om oegentligheter eller misstänkta oegentligheter som påverkar företaget, garantier, förpliktelser efter försäljning, överenskommelser (t.ex. samriskföretag) med affärspartner och innebörden av avtalsmässiga villkor.

  • Frågor till marknads- eller försäljningspersonal kan ge information om förändringar i företagets marknadsstrategier, försäljningstrender eller dess avtal med kunder.

  • Frågor till riskhanteringsfunktionen (eller frågor till dem som har sådana roller) kan ge information om verksamhets- eller regulatoriska risker som kan påverka den finansiella rapporteringen.

  • Frågor till IT-personal kan ge information om systemändringar, incidenter avseende system eller kontroller, eller andra risker som rör IT.

ISA 260 Kommunikation med dem som har ansvar för företagets styrning (omarbetad), punkt 4 b.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A24.När revisorerna ställer frågor till dem som kan ha information som sannolikt kan vara till hjälp vid identifieringen av risker för väsentliga felaktigheter kan revisorer i företag inom offentlig sektor inhämta information från ytterligare källor, t.ex. från de revisorer som är delaktiga i effektivitetsrevision eller andra revisioner hänförliga till företaget.

Frågor till internrevisionsfunktionen

Bilaga 4 anger vad som behöver beaktas för att förstå ett företags internrevisionsfunktion.

Varför frågor ställs till internrevisionsfunktionen (om funktionen finns)

A25.Om ett företag har en internrevisionsfunktion kan frågor till lämpliga personer inom funktionen hjälpa revisorn att skaffa sig en förståelse av företaget och dess miljö, samt företagets system för intern kontroll vid identifieringen och bedömningen av riskerna.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A26.Revisorer i företag i den offentliga sektorn har ofta ytterligare ansvarsområden med avseende på intern kontroll och att tillämpliga lagar och andra författningar följs. Frågor till lämpliga personer inom internrevisionsfunktionen kan hjälpa revisorerna att identifiera riskerna för väsentliga överträdelser av tillämpliga lagar och andra författningar, och riskerna för brister i den interna kontrollen över finansiell rapportering.

Analytisk granskning (se punkt 14 b)

Varför analytisk granskning är en åtgärd vid riskbedömning

A27.Analytisk granskning bidrar till att identifiera inkonsekvenser, ovanliga transaktioner eller händelser, och belopp, nyckeltal och trender som kan vara tecken på förhållanden som kan påverka revisionen. Ovanliga eller oväntade relationer som identifieras kan hjälpa revisorn att identifiera risker för väsentliga felaktigheter, framför allt risker för väsentliga felaktigheter som beror på oegentligheter.

A28.Analytisk granskning som en åtgärd vid riskbedömning kan därför vara till hjälp för att identifiera och bedöma riskerna för väsentliga felaktigheter genom att identifiera aspekter på företaget som revisorn inte var medveten om eller förstå hur inneboende riskfaktorer, såsom förändringar, påverkar känsligheten i påståenden för felaktigheter.

Typer av analytisk granskning

A29.Analytisk granskning som genomförs som riskbedömning kan

  • innefatta både finansiell och icke-finansiell information, t.ex. relationen mellan försäljning och försäljningsyta eller försäljningsvolym (icke-finansiell),

  • använda sig av data som har samlats in på hög nivå. Följaktligen kan resultaten från den analytiska granskningen ge en grov första indikation på sannolikheten för väsentliga felaktigheter.

Exempel:

Vid revisionen av många företag, däribland sådana med mindre komplexa affärsmodeller och processer samt ett mindre komplext informationssystem kan revisorn genomföra en enkel jämförelse av informationen, t.ex. förändringen i delårsmässiga eller månatliga kontosaldon från saldon under tidigare perioder för att få en indikation på områden med potentiellt högre risk.

A30.Denna standard behandlar revisorns användning av analytisk granskning som riskbedömning. ISA 52025 behandlar revisorns användning av analytisk granskning som substansgranskning (”substansinriktad analytisk granskning”) och revisorns ansvar för att genomföra en analytisk granskning nära slutet av revisionen. Följaktligen krävs det inte att analytisk granskning utförd som riskbedömning utförs enligt kraven i ISA 520. Däremot kan kraven och tillämpningsmaterialet i ISA 520 ge revisorn användbar vägledning när revisorn genomför analytisk granskning som en del av riskbedömningen.

ISA 520 Analytisk granskning.

Automatiserade verktyg och tekniker

A31Analytisk granskning kan genomföras med användning av ett antal verktyg eller tekniker, som kan vara automatiserade. Att tillämpa automatiserad analytisk granskning på data kan gå under benämningen dataanalys.

Exempel:

Revisorn kan använda ett kalkylark för att jämföra faktiska redovisade belopp med budgeterade belopp, eller kan använda ett mer avancerat tillvägagångssätt genom att extrahera data från företagets informationssystem, och sedan analysera dessa data med hjälp av visualiseringstekniker för att identifiera transaktionsslag, konton eller upplysningar som det kan krävas ytterligare specifika riskbedömningsåtgärder för.

Observation och inspektion (se punkt 14 c)

Varför observation och inspektion genomförs som riskbedömning

A32.Observation och inspektion kan stödja, bekräfta eller motsäga förfrågningar till företagsledningen och andra, och kan även ge information om företaget och dess miljö.

Skalbarhet

A33.I de fall där riktlinjer eller rutiner inte är dokumenterade, eller företaget har mindre formaliserade kontroller, kan revisorn ändå inhämta vissa revisionsbevis för att stödja identifieringen och bedömningen av risker för väsentliga felaktigheter genom att observera eller inspektera hur kontrollen genomförs.

Exempel:

  • Revisorn kan skaffa sig en förståelse av kontrollerna över en inventering, även om dessa inte har dokumenterats av företaget, genom direkta observationer.

  • Revisorn kan observera arbetsfördelningen.

  • Revisorn kan observera hur lösenord skrivs in.

Observation och inspektion som riskbedömning

A34.Riskbedömningen kan omfatta observation eller inspektion av följande:

  • företagets verksamhet,

  • interna dokument (såsom affärsplaner och affärsstrategier), annan dokumentation och handböcker för intern kontroll,

  • rapporter som har upprättats av företagsledningen (t.ex. interna kvartalsrapporter till/från företagsledningen och delårsrapporter) och styrelsen (t.ex. protokoll från styrelsemöten),

  • företagets lokaler och produktionsanläggningar,

  • information från externa källor, t.ex. branschtidningar och ekonomiska tidskrifter, rapporter från analytiker, banker eller kreditvärderingsinstitut, publikationer från tillsynsorgan och ekonomiska publikationer, eller andra externa dokument om företagets finansiella ställning (t.ex. de som anges i punkt A79),

  • hur ledningen eller styrelsen beter sig och agerar (som att observera ett möte med revisionsutskottet).

Automatiserade verktyg och tekniker

A35.Automatiserade verktyg och tekniker kan också användas för att observera eller inspektera i synnerhet tillgångar, till exempel genom användning av fjärrstyrda observationsverktyg (t.ex. en drönare).

Överväganden som särskilt gäller företag inom den offentliga sektorn

A36.Riskbedömning som genomförs av revisorer av företag inom den offentliga sektorn kan också omfatta observation och inspektion av dokument upprättade av ledningen för ett lagstiftande organ, t.ex. hänförliga till obligatorisk resultatrapportering.

Information från andra källor (se punkt 15)

Varför revisorn beaktar information från andra källor

A37.Information som har inhämtats från andra källor kan vara relevant för identifiering och bedömning av riskerna för väsentliga felaktigheter genom att ge information och insikter om

  • företagets karaktär och dess affärsrisker och vad som kan ha förändrats från tidigare perioder,

  • ledningens och styrelsens hederlighet och etiska värderingar, som också kan vara relevanta för revisorns förståelse av kontrollmiljön,

  • det tillämpliga ramverket för finansiell rapportering och dess tillämpning på företagets karaktär och omständigheter.

Andra relevanta källor

A38.Andra relevanta informationskällor omfattar:

  • Revisorns processer avseende om han eller hon ska acceptera eller behålla en klientrelation eller ett revisionsuppdrag enligt ISA 220, inbegripet de slutsatser som har dragits vid dessa.26

  • Andra uppdrag som utförs för företaget av den ansvariga revisorn. Den ansvariga revisorn kan ha inhämtat kunskaper relevanta för revisionen, däribland om företaget och dess miljö, när han eller hon utför andra uppdrag för företaget. Vissa uppdrag kan omfatta granskning enligt särskild överenskommelse eller andra revisions- eller bestyrkandeuppdrag, däribland uppdrag att hantera tillkommande rapporteringskrav i jurisdiktionen.

ISA 220 Kvalitetskontroll för revision av finansiella rapporter, punkt 12.

Information från revisorns tidigare erfarenhet av företaget och tidigare revisioner (se punkt 16)

Varför information från tidigare revisioner är viktig för den aktuella revisionen

A39.Revisorns tidigare erfarenhet av företaget och från de granskningsåtgärder som har utförts under tidigare revisioner kan ge revisorn information som är relevant för revisorns fastställande av karaktären på och omfattningen av riskbedömningsåtgärderna, samt identifieringen och bedömningen av risker för väsentliga felaktigheter.

Karaktären på informationen från tidigare revisioner

A40.Revisorns tidigare erfarenhet av företaget och de granskningsåtgärder som har utförts under tidigare revisioner kan ge revisorn information om frågor som

  • tidigare felaktigheter och huruvida de rättades till utan onödigt dröjsmål,

  • karaktären på företaget och dess miljö samt företagets system för intern kontroll (innefattande brister i intern kontroll),

  • eventuella betydelsefulla förändringar i företaget eller dess verksamhet sedan föregående räkenskapsperiod,

  • de särskilda typer av transaktioner eller andra händelser eller konton (och tillhörande upplysningar) där revisorn hade problem med att utföra de granskningsåtgärder som behövdes, t.ex. på grund av deras komplexitet.

A41.Det åligger revisorn att avgöra huruvida den information som har inhämtats vid tidigare arbete åt företaget och från granskningsåtgärder i samband med tidigare revisioner förblir relevant och tillförlitlig, om revisorn har för avsikt att använda den informationen som revisionsbevis för den aktuella revisionen. Om företagets karaktär eller omständigheter har förändrats eller ny information har inhämtats kanske informationen från tidigare perioder inte längre är relevant eller tillförlitlig för den aktuella revisionen. För att avgöra om förändringarna kan påverka informationens relevans eller tillförlitlighet kan revisorn ställa frågor och utföra andra lämpliga granskningsåtgärder, t.ex. följa transaktioner genom relevanta redovisningssystem, s.k. ”walk-through”-test. Om information inte är tillförlitlig kan revisorn överväga att genomföra ytterligare granskningsåtgärder som är lämpliga i sammanhanget.

Diskussion i uppdragsteamet (se punkterna 17–18)

Varför uppdragsteamet måste diskutera tillämpningen av det tillämpliga ramverket för finansiell rapportering och hur känsliga företagets finansiella rapporter är för väsentliga felaktigheter

A42.Diskussionen inom uppdragsteamet om tillämpningen av det tillämpliga ramverket för finansiell rapportering och hur känsliga företagets finansiella rapporter är för väsentliga felaktigheter tillför följande:

  • Ger tillfälle för mer erfarna medlemmar i uppdragsteamet, däribland den ansvariga revisorn, att dela med sig av sina insikter utifrån deras kunskap om företaget. Informationsutbyte bidrar till en förbättrad förståelse hos alla medlemmar i uppdragsteamet.

  • Möjliggör för medlemmarna i uppdragsteamet att utbyta information om de affärsrisker som företaget är utsatt för, hur inneboende riskfaktorer kan påverka känsligheten för felaktigheter i transaktionsslag, konton och upplysningar, samt om hur och var väsentliga felaktigheter som beror på oegentligheter eller misstag kan tänkas förekomma i de finansiella rapporterna.

  • Hjälper medlemmarna i uppdragsteamet att få en bättre förståelse av risken för väsentliga felaktigheter i de finansiella rapporterna inom de särskilda områden som de har tilldelats, och hjälper dem att förstå hur resultaten av de granskningsåtgärder som de utför kan påverka andra delar av revisionen, däribland beslut om fortsatta granskningsåtgärders art, tidpunkter och omfattning. Framför allt hjälper diskussionen uppdragsteamets medlemmar att ytterligare beakta motsägelsefull information baserat på varje enskild medlems förståelse av företagets karaktär och omständigheter.

  • Utgör en grund som uppdragsteamets medlemmar kan använda för att kommunicera och utbyta ny information som de har inhämtat under revisionen och som kan påverka bedömningen av risker för väsentliga felaktigheter eller de granskningsåtgärder som utförs för att hantera dessa risker.

ISA 240 kräver att uppdragsteamets diskussion lägger särskild vikt vid hur och var företagets finansiella rapporter kan vara känsliga för väsentliga felaktigheter som beror på oegentligheter, inklusive hur oegentligheterna kan uppkomma.27

ISA 240, punkt 16.

A43.En professionellt skeptisk inställning är nödvändig för en kritisk bedömning av revisionsbevis, och en robust och öppen diskussion i teamet, däribland för återkommande revisioner, kan leda till en förbättrad identifiering och bedömning av risken för väsentliga felaktigheter. Ett annat resultat av diskussionen kan vara att revisorn identifierar särskilda områden i revisionen där en professionellt skeptisk inställning kan vara särskilt betydelsefull, och kan leda till att han eller hon engagerar mer erfarna medlemmar i uppdragsteamet som har lämplig kompetens att delta i granskningsåtgärder hänförliga till dessa områden.

Skalbarhet

A44.När uppdraget utförs av en enda person, såsom en enmansbyrå (dvs. där det inte skulle vara möjligt med en diskussion i uppdragsteamet), kan ett beaktande av frågorna som anges i punkterna A42 och A46 ändå kan hjälpa revisorn att identifiera var det kan finnas en risk för väsentliga felaktigheter.

A45.När ett uppdrag utförs av ett stort uppdragsteam, exempelvis vid revisionen av koncernredovisningar, är det inte alltid nödvändigt eller praktiskt att alla medlemmar deltar i en gemensam diskussion (t.ex. vid en revision som omfattar flera olika orter) och alla medlemmar i uppdragsteamet inte heller behöver informeras om alla beslut som fattats vid diskussionen. Den ansvariga revisorn kan diskutera vissa frågor med nyckelpersoner i uppdragsteamet och, om det anses lämpligt, personer med särskild kompetens eller kunskap och personer som ansvarar för revision av koncernenheter, och delegera diskussioner med andra i uppdragsteamet med hänsyn tagen till den kommunikation som anses nödvändig. En kommunikationsplan som har godkänts av ansvarig revisor kan komma väl till pass.

Diskussion om upplysningar i det tillämpliga ramverket för finansiell rapportering

A46.Som del av diskussionen i uppdragsteamet är det till hjälp att beakta upplysningskraven i det tillämpliga ramverket för finansiell rapportering för att tidigt under revisionen identifiera var det kan finnas risker för väsentliga felaktigheter med avseende på upplysningar, även under omständigheter där det tillämpliga ramverket för finansiell rapportering enbart kräver förenklade upplysningar. Frågor som uppdragsteamet kan diskutera innefattar följande:

  • Ändringar i krav i ramverk för finansiell rapportering, som kan leda till betydande nya eller ändrade upplysningar.

  • Ändringar eller förändringar i företagets miljö, ekonomi eller verksamhet som kan leda till betydande nya eller ändrade upplysningar, t.ex. ett betydande rörelseförvärv under den period som revideras.

  • Upplysningar för vilka det tidigare varit svårt att inhämta tillräckliga och ändamålsenliga revisionsbevis.

  • Upplysningar om komplexa frågor, däribland dem som innefattar betydande bedömningar av företagsledningen om vilka upplysningar som ska lämnas.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A47.Som en del av diskussionen i uppdragsteamet för revisorer i företag inom den offentliga sektorn kan revisorerna även beakta ytterligare och bredare mål samt tillhörande risker hänförliga till krav eller skyldigheter för revision av företag inom den offentliga sektorn.

Skaffa sig en förståelse för företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll (se punkterna 19‒27)

Bilagorna 1 till 6 redogör för ytterligare överväganden hänförliga till att skaffa sig en förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll.

Skaffa sig den nödvändiga förståelsen (se punkterna 19‒27)

A48.Att skaffa sig en förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll är en dynamisk och iterativ process med att samla in, uppdatera och analysera information och fortgår under hela revisionen. Därför kan revisorns förväntningar ändras vartefter ny information inhämtas.

A49.Revisorns förståelse av företaget och dess miljö och det tillämpliga ramverket för finansiell rapportering kan också hjälpa revisorn att utveckla initiala förväntningar på vilka transaktionsslag, konton och upplysningar som kan vara betydande transaktionsslag, konton och upplysningar. Dessa förväntade betydande transaktionsslag, konton och upplysningar utgör basen för omfattningen av revisorns förståelse av företagets informationssystem.

Varför en förståelse av företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering är nödvändig (se punkterna 19‒20)

A50.Revisorns förståelse av företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering hjälper revisorn att förstå de händelser och omständigheter som är relevanta för företaget och att identifiera hur inneboende riskfaktorer påverkar känsligheten i påståenden för felaktigheter i enlighet med det tillämpliga ramverket för finansiell rapportering och i vilken grad de gör det. Sådan information bildar en referensram inom vilken revisorn identifierar och bedömer risker för väsentliga felaktigheter. Denna referensram hjälper också revisorn att planera revisionen och göra professionella bedömningar och visa prov på en professionellt skeptisk inställning under hela revisionen, t.ex. när revisorn

  • identifierar och bedömer risker för väsentliga felaktigheter i de finansiella rapporterna enligt ISA 315 (omarbetad 2019) eller andra relevanta standarder (t.ex. avseende risk för oegentligheter i enlighet med ISA 240 eller när revisorn identifierar eller bedömer risker avseende uppskattningar i redovisningen enligt ISA 540 (omarbetad)),

  • utför åtgärder för att hjälpa till att identifiera fall av överträdelser av lagar och andra författningar som kan ha en betydande påverkan på de finansiella rapporterna enligt ISA 25028,

  • utvärderar huruvida de finansiella rapporterna innefattar adekvata upplysningar enligt ISA 700 (omarbetad)29,

  • fastställer väsentlighet eller arbetsväsentlighet enligt ISA 32030, eller

  • överväger hur ändamålsenligt valet och tillämpningen av redovisningsprinciper är, och hur väl avpassade upplysningarna i de finansiella rapporterna är.

ISA 250 (omarbetad) Beaktande av lagar och andra författningar vid revision av finansiella rapporter, punkt 14.

ISA 700 (omarbetad) Bilda sig en uppfattning och uttala sig om finansiella rapporter, punkt 13 e.

ISA 320 Väsentlighet vid planering och utförande av en revision, punkterna 10‒11.

A51.Revisorns förståelse av företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering ger också information för hur revisorn planerar och genomför fortsatta granskningsåtgärder, t.ex. när han eller hon

  • utarbetar förväntningar inför den analytiska granskningen i enlighet med ISA 52031,

  • utformar och utför fortsatta granskningsåtgärder för att inhämta tillräckliga och ändamålsenliga revisionsbevis i enlighet med ISA 330, eller

  • bedömer inhämtade revisionsbevis tillräcklighet och ändamålsenlighet (t.ex. avseende antaganden eller företagsledningens muntliga och skriftliga uttalanden).

ISA 520, punkt 5.

Skalbarhet

A52.Karaktären på och omfattningen av den nödvändiga förståelsen är en fråga för revisorns professionella omdöme och varierar från företag till företag baserat på företagets karaktär och omständigheter, däribland

  • företagets storlek och komplexitet, däribland dess IT-miljö,

  • revisorns tidigare erfarenhet av företaget,

  • karaktären på företagets system och processer, inklusive huruvida de är formaliserade eller inte, och

  • karaktären och formen på företagets dokumentation.

A53.Revisorns riskbedömning för att uppnå den nödvändiga förståelsen kan vara mindre omfattande i revisioner av mindre komplexa företag och mer omfattande för företag som är mer komplexa. Den förståelse som revisorn måste ha förväntas inte vara lika ingående som den som krävs av företagets ledning.

A54.Vissa ramverk för finansiell rapportering tillåter att mindre företag lämnar enklare och mindre detaljerade upplysningar i de finansiella rapporterna. Men det fråntar inte revisorn ansvaret för att skaffa sig en förståelse av företaget och dess miljö samt av det tillämpliga ramverket för finansiell rapportering så som det är tillämpligt på företaget.

A55.Företagets användning av IT samt karaktären på och omfattningen av förändringar i IT-miljön kan också påverka den specialkompetens som behövs för att hjälpa till att skaffa sig den nödvändiga förståelsen.

Företaget och dess miljö (se punkt 19 a)

Företagets organisationsstruktur, ägande och styrning samt affärsmodell (se punkt 19 a i)
Företagets organisationsstruktur och ägande

A56.En förståelse av företagets organisationsstruktur och ägande kan göra det möjligt för revisorn att förstå sådana frågor som

  • komplexiteten i företagets struktur,

Exempel:

Företaget kan vara ett enskilt företag eller också kan företagets struktur innefatta dotterföretag, divisioner eller andra enheter på flera olika platser. Vidare kan den juridiska strukturen skilja sig från verksamhetsstrukturen. Komplexa strukturer innebär ofta att det finns faktorer som kan ge upphov till en ökad känslighet för risker för väsentliga felaktigheter. Sådana förhållanden kan handla om huruvida goodwill, samriskföretag, investeringar eller företag för särskilda ändamål redovisas korrekt och huruvida tillräckliga upplysningar om sådana förhållanden har lämnats i de finansiella rapporterna.

  • ägandet och relationer mellan ägare och andra personer eller företag, däribland närstående. Förståelse av detta kan hjälpa revisorn att avgöra om transaktioner med närstående har identifierats korrekt samt redovisats och beskrivits på ett riktigt sätt i de finansiella rapporterna32,

  • skillnaden mellan ägare, styrelse och företagsledning,

Exempel:

I mindre komplexa företag kan företagets ägare vara engagerade i att leda verksamheten, och därmed finns det ingen eller liten distinktion. I motsats till det kan det, som är fallet i vissa börsnoterade företag, finnas en tydlig distinktion mellan ledningen, företagets ägare och styrelsen.33

ISA 260 (omarbetad), punkterna A1 och A2, ger vägledning till identifieringen av styrelsen och förklarar att i vissa fall kan hela eller delar av styrelsen vara engagerad i att leda företaget.

  • strukturen på och komplexiteten i företagets IT-miljö.

Exempel:

Ett företag kan

  • ha ett flertal äldre IT-system i ett flertal olika verksamheter som inte är väl integrerade, vilket ger en komplex IT-miljö,

  • använda externa eller interna tjänsteleverantörer för vissa aspekter av sin IT-miljö (t.ex. outsourca sin IT-miljö till en tredje part eller använda ett gemensamt servicecenter för central hantering av IT-processer i en koncern).

ISA 550 fastställer krav och ger vägledning om revisorns överväganden avseende närståendeförhållanden.

Automatiserade verktyg och tekniker

A57.Revisorn kan använda automatiserade verktyg och tekniker för att förstå transaktionsflöden och bearbetning som en del av revisorns åtgärder för att förstå informationssystemet. Ett resultat av dessa åtgärder kan vara att revisorn erhåller information om företagets organisationsstruktur eller om dem som företaget gör affärer med (t.ex. leverantörer, kunder, närstående).

Överväganden som särskilt gäller företag inom den offentliga sektorn

A58.Ägandet i ett företag inom den offentliga sektorn kanske inte har samma betydelse som i den privata sektorn, eftersom beslut hänförliga till företaget kan fattas utanför företaget som ett resultat av politiska processer. Därför kanske inte företagsledningen har kontroll över vissa beslut som fattas. Frågor som kan vara relevanta omfattar att förstå företagets förmåga att fatta ensidiga beslut samt förmågan hos andra företag inom den offentliga sektorn att kontrollera eller påverka företagets mandat och strategiska inriktning.

Exempel:

Ett företag inom den offentliga sektorn kan lyda under lagar eller direktiv från myndigheterna som kräver att företaget erhåller godkännande från parter utanför företaget för sin strategi eller sina mål innan dessa införs. Därför kan frågor hänförliga till att förstå företagets juridiska struktur omfatta tillämpliga lagar och andra författningar samt klassificeringen av företaget (dvs. huruvida företaget är ett ministerium, departement, myndighet eller annan typ av enhet).

Styrning
Varför revisorn skaffar sig en förståelse av styrningen

A59.Att förstå hur företaget styrs kan hjälpa revisorn med förståelsen av företagets förmåga att tillhandahålla en lämplig tillsyn över sitt system för intern kontroll. Men den här förståelsen kan också erbjuda bevis på brister, vilket kan tyda på en ökad känslighet för väsentliga felaktigheter i företagets finansiella rapporter.

Förstå företagets styrning

A60.Frågor som kan vara relevanta för revisorn att beakta när han eller hon skaffar sig en förståelse av styrningen av företaget omfattar

  • huruvida någon eller alla i styrelsen är engagerad i att leda företaget,

  • om styrelsen är extern och i vilken utsträckning den är åtskild från företagsledningen,

  • huruvida personerna i styrelsen innehar positioner som är en integrerad del av företagets juridiska struktur, t.ex. som styrelseledamöter,

  • förekomsten av utskott i styrelsen, som ett revisionsutskott, samt ett sådant utskotts ansvarsområden,

  • styrelsens ansvar för tillsynen av den finansiella rapporteringen, däribland att godkänna de finansiella rapporterna.

Företagets affärsmodell

Bilaga 1 anger ytterligare frågor att beakta för att skaffa sig en förståelse av företaget och dess affärsmodell, samt ytterligare frågor att beakta vid revisionen av företag för särskilda ändamål.

Varför revisorn skaffar sig en förståelse av företagets affärsmodell

A61.Att förstå företagets mål, strategi och affärsmodell hjälper revisorn att förstå företaget på strategisk nivå samt förstå de affärsrisker som företaget tar och står inför. Förståelse av de affärsrisker som påverkar de finansiella rapporterna hjälper revisorn att identifiera risker för väsentliga felaktigheter, eftersom de flesta affärsrisker på sikt även får ekonomiska konsekvenser och således påverkar de finansiella rapporterna.

Exempel:

Ett företags affärsmodell kan vara beroende av användning av IT på olika sätt:

  • företaget säljer skor från en fysisk butik och använder ett avancerat system för lager och försäljning för att redovisa skoförsäljningen, eller

  • företaget säljer skor online så att all försäljning bearbetas i en IT-miljö, inklusive initieringen av transaktionerna genom en webbplats.

För båda dessa företag skulle de affärsrisker som uppkommer från helt olika affärsmodeller skilja sig väsentligt åt, trots att båda företagen säljer skor.

Förstå företagets affärsmodell

A62.Det är inte alla aspekter av affärsmodellen som är relevanta för revisorns förståelse. Affärsrisker är ett vidare begrepp än risken för väsentliga felaktigheter i de finansiella rapporterna, även om affärsriskerna omfattar det senare. Revisorn har inte ansvar för att förstå eller identifiera alla affärsrisker, eftersom inte alla affärsrisker ger upphov till risker för väsentliga felaktigheter.

A63.Affärsrisker som ökar känsligheten för väsentliga felaktigheter kan uppkomma genom följande:

  • Olämpliga mål eller strategier, ineffektivt genomförande av strategier, eller förändring eller komplexitet.

  • En affärsrisk kan också uppstå om man inte inser behovet av förändringar, till exempel till följd av:

    • Misslyckad utveckling av nya varor eller tjänster.

    • En marknad som inte är stor nog för en vara eller tjänst, även om introduktionen går bra.

    • Brister i en vara eller tjänst, vilket kan medföra risk för rättsligt ansvar och påverka företagets rykte.

  • Incitament till och påtryckningar på företagsledningen, vilket kan leda till avsiktlig eller oavsiktlig partiskhet från ledningens sida, och därmed påverka rimligheten i väsentliga antaganden och ledningens eller styrelsens förväntningar.

A64.Exempel på förhållanden som revisorn kan beakta när han eller hon skaffar sig en förståelse av företagets affärsmodell, mål, strategier och affärsrisker som sammanhänger med dessa, som kan medföra en risk för väsentliga felaktigheter i de finansiella rapporterna:

  • Branschutvecklingen, såsom brist på personal eller sakkunskap som krävs för att hantera förändringarna i branschen.

  • Nya produkter och tjänster som kan leda till ökat produktansvar.

  • Expansion av företagets verksamhet och att efterfrågan inte har bedömts korrekt.

  • Nya redovisningskrav som har införts ofullständigt eller felaktigt.

  • Regleringar som leder till ökad rättslig exponering.

  • Aktuella eller kommande finansieringskrav, så som att företaget går miste om finansiering på grund av att det inte kan uppfylla kraven.

  • Användning av IT, så som införandet av ett nytt IT-system som påverkar både verksamheten och den finansiella rapporteringen.

  • Effekterna av införandet av en strategi, framför allt sådana effekter som medför nya redovisningskrav.

A65.Vanligtvis identifierar företagsledningen affärsriskerna och utarbetar metoder för att hantera dem. En sådan riskbedömning är en del av företagets system för intern kontroll och diskuteras i punkt 22, och punkterna A109–A113.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A66.Företag som bedriver verksamhet i den offentliga sektorn kan skapa och leverera värde på andra sätt än de som genererar rikedom till sina ägare, men har ändå en ”affärsmodell” med ett särskilt syfte. Frågor som revisorer inom den offentliga sektorn kan skaffa sig en förståelse av som är relevanta för företagets affärsmodell omfattar

  • kunskap om relevanta statliga aktiviteter, inklusive relaterade program,

  • programmål och strategier, inklusive element för allmän politik.

A67.Vid revisioner av företag inom den offentliga sektorn kan ”företagsledningens mål” påverkas av krav på offentlig redovisningsskyldighet och kan innehålla mål som har sitt ursprung i lagar eller andra författningar.

Branschspecifika faktorer, regelverk och andra externa faktorer (se punkt 19 a ii)
Branschspecifika faktorer

A68.Bland de branschspecifika faktorerna finns konkurrenssituation, leverantörs- och kundrelationer samt teknisk utveckling. Frågor som revisorn kan beakta omfattar:

  • marknaden och konkurrensen, däribland efterfrågan, kapacitet och priskonkurrens,

  • cyklisk eller säsongsmässig verksamhet,

  • produktteknik hänförligt till företagets produkter,

  • energiförsörjning och energikostnader.

A69.I den bransch där företaget verkar kan det finnas särskilda risker för väsentliga felaktigheter på grund av verksamhetens karaktär eller graden av reglering.

Exempel:

I byggbranschen kan långvariga kontrakt inbegripa betydande uppskattningar av intäkter och kostnader som ger upphov till risker för väsentliga felaktigheter. I sådana fall är det viktigt att i uppdragsteamet ingår medlemmar som har tillräcklig och relevant kunskap och erfarenhet.34

ISA 220, punkt 14.

Regelverk

A70.Den rättsliga miljön ingår i de relevanta regulatoriska faktorerna. Den rättsliga miljön består bland annat av det tillämpliga ramverket för finansiell rapportering samt den rättsliga och politiska miljön och eventuella förändringar av dessa. Frågor som revisorn kan beakta omfattar

  • det ramverk av lagar och andra författningar som gäller för en reglerad bransch, t.ex. principer för försiktighet, däribland tillhörande upplysningar,

  • lagar och andra författningar som har betydande påverkan på företagets verksamhet, t.ex. arbetslagar och -förordningar,

  • skattelagstiftning och -förordningar,

  • regeringspolitik som i dagsläget påverkar hur företaget bedriver sin verksamhet, t.ex. penningpolitik, däribland valutakontroller, finanspolitik, ekonomiska bidrag (t.ex. statliga stödprogram) och tullar eller handelshinder,

  • miljökrav som påverkar branschen och företagets verksamhet.

A71.ISA 250 (omarbetad) innehåller vissa specifika krav som rör det tillämpliga ramverket av lagar och andra författningar för företaget och den bransch eller sektor som företaget bedriver verksamhet i.35

ISA 250 (omarbetad), punkt 13.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A72.Vid revisioner av företag i den offentliga sektorn kan det finnas särskilda lagar eller regler som påverkar företagets verksamhet. Sådana faktorer kan vara ett viktigt övervägande när man bildar sig en uppfattning om företaget och dess miljö.

Övriga externa faktorer

A73.Övriga externa faktorer som påverkar företaget och som revisorn kan beakta är konjunkturen, räntenivåer och tillgången på finansiering, inflation och valutaförändringar.

Företagsledningens mått för att bedöma företagets finansiella ställning (se punkt 19 a iii)
Varför revisorn ska förstå de mått som företagsledningen använder

A74.En förståelse av företagets mätetal hjälper revisorn att beakta huruvida sådana mått, vare sig de används externt eller internt, skapar tryck på företaget att uppnå sina prestationsmål. Detta tryck kan i sin tur motivera företagsledningen att vidta åtgärder som ökar känsligheten för felaktigheter till följd av att företagsledningen är partisk eller gör sig skyldig till oegentligheter (t.ex. att förbättra företagets resultat eller att avsiktligt felaktigt upprätta de finansiella rapporterna) (se ISA 240 för krav och riktlinjer i samband med risken för oegentligheter).

A75.Måtten kan också indikera för revisorn sannolikheten för risker för väsentliga felaktigheter i näraliggande information i de finansiella rapporterna. Prestationsmått kan t.ex. visa att företaget har en ovanligt snabb tillväxt eller lönsamhet jämfört med andra företag inom samma bransch.

Mått som används av ledningen

A76.Företagsledningen och andra personer mäter vanligtvis och går igenom saker som de anser är viktiga. Frågor till företagsledningen kan visa att denna förlitar sig på vissa nyckeltal, vare sig dessa är offentliga eller inte, för att utvärdera det finansiella utfallet och vidta åtgärder. I sådana fall kan revisorn identifiera relevanta resultatmål, vare sig de är interna eller externa, genom att bedöma den information som företaget använder för att driva verksamheten. Om det av dessa frågor framgår att det inte finns något resultatmått eller någon genomgång kan det finnas ökad risk för att felaktigheter inte upptäcks och rättas till.

A77.Nyckeltal som används för att utvärdera den finansiella prestationen kan omfatta

  • olika mått (ekonomiska och icke ekonomiska) och nyckeltal, trender och statistik om verksamheten,

  • jämförande analyser av ekonomiskt utfall för olika räkenskapsperioder,

  • budgetar, prognoser, analyser av budgetavvikelser, information om segment och resultatrapporter från divisioner, avdelningar eller andra nivåer,

  • prestationsmått för medarbetarna och riktlinjer för incitamentsersättning,

  • jämförelser av ett företags utfall med konkurrenternas.

Skalbarhet (se punkt 19 a iii)

A78.De åtgärder som vidtas för att förstå företagets mått kan variera beroende på företagets storlek eller komplexitet, samt ägarnas eller styrelsens engagemang i ledningen av företaget.

Exempel:

  • För vissa mindre komplexa företag kan villkoren för företagets banklån (dvs. bankens villkor) vara kopplade till särskilda prestationsmål hänförliga till företagets resultat eller finansiella ställning (t.ex. ett maxbelopp för rörelsekapital). Revisorns förståelse av de resultatmått som används av banken kan hjälpa till att identifiera områden där det finns en ökad känslighet i risken för väsentliga felaktigheter.

  • För vissa företag vilkas karaktär och omständigheter är mer komplexa, så som de företag som bedriver verksamhet inom försäkringsbranschen eller bankbranschen, kan resultat eller finansiell ställning mätas mot krav enligt lagar och andra författningar (t.ex. myndighetskrav som kapitaltäckning och likviditetskrav). Revisorns förståelse av dessa prestationsmått kan hjälpa till att identifiera områden där det finns en ökad känslighet i risken för väsentliga felaktigheter.

Övriga överväganden

A79.Externa parter kan också granska och analysera företagets finansiella utveckling, i synnerhet för företag där den finansiella informationen är offentlig. Revisorn kan också beakta offentlig information för att få hjälp att förstå verksamheten eller att identifiera motsägelsefull information såsom information från

  • analytiker eller kreditinstitut,

  • nyheter eller andra medier, däribland sociala medier,

  • skattemyndigheter,

  • tillsynsmyndigheter,

  • fackföreningar,

  • finansiärer.

Sådan finansiell information kan ofta hämtas från det företag som revideras.

A80.Att mäta och gå igenom det ekonomiska utfallet är inte detsamma som att övervaka systemet för intern kontroll (vilket diskuteras som en komponent i systemet för intern kontroll i punkterna A114–A122), även om syftena överlappar varandra:

  • Syftet med att mäta och gå igenom resultatet är att fastställa om företagets resultat uppfyller de mål som företagsledningen (eller externa parter) har satt upp.

  • I motsats till det handlar övervakning av systemet för intern kontroll om att övervaka kontrollernas funktion, inklusive dem som avser ledningens mätning och genomgång av finansiella resultat.

I vissa fall ger resultatmåtten emellertid information som företagsledningen kan använda för att identifiera brister i kontrollen.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A81.Utöver att beakta de relevanta mått som används av ett företag inom den offentliga sektorn för att bedöma företagets finansiella prestation kan revisorer i företag i den offentliga sektorn beakta icke-finansiell information såsom hur företaget uppnår resultat för allmännyttiga ändamål (t.ex. antalet personer som får hjälp av ett visst program).

Det tillämpliga ramverket för finansiell rapportering (se punkt 19 b)

Förstå det tillämpliga ramverket för finansiell rapportering och företagets redovisningsprinciper

82.Frågor som revisorn kan beakta när han eller hon skaffar sig en förståelse av företagets tillämpliga ramverk för den finansiella rapporteringen och hur det tillämpas med hänsyn till företagets karaktär och omständigheter samt dess miljö omfattar följande:

  • Företagets metoder för finansiell rapportering i enlighet med tillämpligt ramverk för finansiell rapportering, så som

    • redovisningsprinciper och branschpraxis, däribland branschspecifika betydelsefulla transaktionsslag, konton och tillhörande upplysningar i de finansiella rapporterna (t.ex. lån och investeringar för banker eller forskning och utveckling för läkemedelsföretag),

    • intäktsredovisning,

    • redovisning av finansiella instrument, inklusive relaterade kreditförluster,

    • tillgångar, skulder och transaktioner i utländsk valuta,

    • redovisning av ovanliga eller komplicerade transaktioner, däribland transaktioner inom kontroversiella eller framväxande områden (t.ex. redovisning av kryptovalutor).

  • En förståelse av företagets val och tillämpning av redovisningsprinciper, inklusive eventuella ändringar av dessa samt anledningarna till sådana, kan innefatta frågor som

    • vilka metoder företaget använder för att redovisa, mäta, presentera och lämna information om betydande och ovanliga transaktioner,

    • effekten av betydelsefulla redovisningsprinciper inom kontroversiella eller framväxande områden där det saknas auktoritativ vägledning eller konsensus,

    • förändringar i miljön, t.ex. förändringar i det tillämpliga ramverket för finansiell rapportering eller skattereformer som kan göra det nödvändigt med en förändring av företagets redovisningsprinciper,

    • standarder, lagar och andra författningar för finansiell rapportering som är nya för företaget samt när och hur företaget kommer att börja tillämpa eller följa sådana krav.

83.Att skaffa sig en förståelse av företaget och dess miljö kan hjälpa revisorn att bedöma var förändringar i företagets finansiella rapportering (t.ex. från tidigare perioder) kan förväntas.

Exempel:

Om företaget till exempel har gjort ett betydande rörelseförvärv under perioden skulle revisorn sannolikt förvänta sig förändringar i transaktionsslag, konton och upplysningar på grund av detta rörelseförvärv. Om det däremot inte har skett några väsentliga förändringar i ramverket för den finansiella rapporteringen under perioden förblir den förståelse revisorn har skaffat sig under tidigare perioder tillämplig.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A84.Det tillämpliga ramverket för finansiell rapportering i ett företag inom den offentliga sektorn bestäms av det tillämpliga ramverket av lagar och andra författningar som är relevant för respektive jurisdiktion eller inom respektive geografiskt område. Frågor som kan beaktas vid företagets tillämpning av kraven på den finansiella rapporteringen, och hur detta gäller med hänsyn till företagets karaktär och miljö, omfattar huruvida företaget tillämpar fullständiga bokföringsmässiga grunder eller kontantmetoden för bokföring enligt International Public Sector Accounting Standards, eller en kombination av dessa.

Hur inneboende riskfaktorer påverkar hur känsliga påståenden är för felaktigheter (se punkt 19 c)

Bilaga 2 innehåller exempel på händelser och förhållanden som kan ge upphov till risk för väsentliga felaktigheter, kategoriserade efter inneboende riskfaktor.

Varför revisorn förstår de inneboende riskfaktorerna när han eller hon förstår företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering

A85.Att förstå företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering hjälper revisorn att identifiera händelser eller omständigheter, vilkas egenskaper kan påverka hur känsliga påståenden om transaktionsslag, konton eller upplysningar är för felaktigheter. Dessa egenskaper utgör inneboende riskfaktorer. Inneboende riskfaktorer kan påverka hur känsliga påståenden är för felaktigheter genom att påverka hur sannolikt det är att felaktigheterna uppkommer eller felaktigheternas storlek om de skulle uppkomma. Att förstå hur inneboende riskfaktorer påverkar hur känsliga påståenden är för felaktigheter kan hjälpa revisorn med en preliminär förståelse av sannolikheten för att felaktigheterna uppkommer eller hur omfattande de kan vara, vilket hjälper revisorn att identifiera riskerna för väsentliga felaktigheter på påståendenivån enligt punkt 28 b. Att förstå i vilken grad inneboende riskfaktorer påverkar hur känsliga påståenden är för felaktigheter hjälper också revisorn att bedöma sannolikheten för och omfattningen av möjliga felaktigheter när han eller hon bedömer inneboende risker enligt punkt 31 a. Följaktligen kan en förståelse av de inneboende riskfaktorerna hjälpa revisorn att utforma och utföra fortsatta granskningsåtgärder i enlighet med ISA 330.

A86.Revisorns identifiering av risker för väsentliga felaktigheter på påståendenivån och bedömning av inneboende risker kan också påverkas av revisionsbevis som inhämtas av revisorn när han eller hon utför andra riskbedömningar, fortsatta granskningsåtgärder eller uppfyller andra krav i standarderna (se punkterna A95, A103, A111, A121, A124 och A151).

Påverkan från inneboende riskfaktorer på ett transaktionsslag, ett konto eller en upplysning

A87.Hur stor känsligheten för felaktigheter är för ett transaktionsslag, ett konto eller en upplysning som uppkommer genom komplexitet eller subjektivitet har ofta en nära koppling till i vilken omfattning de är föremål för förändring eller osäkerhet.

Exempel:

Om ett företag har en uppskattning i redovisningen som bygger på antaganden för vilka urvalet är föremål för väsentliga subjektiva bedömningar påverkas värderingen av uppskattningen i redovisningen sannolikt av både subjektivitet och osäkerhet.

A88.I ju högre grad ett transaktionsslag, ett konto eller en upplysning är känsliga för felaktigheter beroende på komplexitet eller subjektivitet, desto större är behovet av att revisorn har en professionellt skeptisk inställning. Dessutom, när ett transaktionsslag, ett konto eller en upplysning är känsliga för felaktigheter beroende på komplexitet eller subjektivitet kan dessa inneboende riskfaktorer skapa utrymme för att företagsledningen är partisk, vare sig det är avsiktligt eller oavsiktligt, och påverka känsligheten för felaktigheter till följd av företagsledningens bristande objektivitet. Revisorns identifiering av risker för väsentliga felaktigheter och bedömning av inneboende riskfaktorer på påståendenivån påverkas också av inbördes samband mellan de inneboende riskfaktorerna.

A89.Händelser eller omständigheter som kan påverka känsligheten för felaktigheter till följd av företagsledningens bristande objektivitet kan också påverka känsligheten för felaktigheter till följd av andra riskfaktorer avseende oegentligheter. Följaktligen kan detta utgöra relevant information för användning enligt punkt 24 i ISA 240, som kräver att revisorn utvärderar om informationen som har inhämtats från de övriga riskbedömningsprocesserna och relaterade aktiviteter tyder på att det finns en eller flera riskfaktorer för oegentligheter.

Skaffa sig en förståelse för företagets system för intern kontroll (se punkterna 21‒27)

Bilaga 3 beskriver ytterligare karaktären på företagets system för intern kontroll och inneboende begränsningar i den interna kontrollen. I bilaga 3 förklaras också delarna i ett system för intern kontroll såsom begreppen används i standarderna.

A90.Revisorns förståelse av företagets system för intern kontroll inhämtas genom riskbedömning som genomförs för att förstå och utvärdera var och en av komponenterna i systemet för intern kontroll enligt vad som anges i punkterna 21 till 27.

A91.Komponenterna i företagets system för intern kontroll enligt denna standard avspeglar inte nödvändigtvis hur ett företag utformar, inför och upprätthåller sitt system för intern kontroll eller hur det klassificerar en viss komponent. Företagen kan använda en annan terminologi eller andra ramverk för att beskriva de olika aspekterna på systemet för intern kontroll. I en revision kan revisorerna också använda en annan terminologi eller andra ramverk förutsatt att alla komponenter som beskrivs i denna ISA behandlas.

Skalbarhet

A92.Det sätt på vilket företagets system för intern kontroll utformas, införs och upprätthålls beror på företagets storlek och komplexitet. Till exempel kan mindre komplexa företag använda mindre strukturerade eller enklare kontroller (t.ex. riktlinjer och rutiner) för att nå sina mål.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A93.Revisorer i företag i den offentliga sektorn har ofta längre gående ansvarsområden när det gäller intern kontroll, t.ex. att rapportera om särskilda regler följs eller att rapportera om utgifter i förhållande till budget. Revisorer i företag i den offentliga sektorn kan också ha ansvar för att rapportera att lagar och andra författningar följs. Deras överväganden när det gäller den interna kontrollen kan därför vara mer omfattande och detaljerade.

Informationsteknik i komponenterna i företagets system för intern kontroll

Bilaga 5 ger ytterligare vägledning för att förstå informationsteknikens roll i komponenterna i systemet för intern kontroll.

A94.Det gör ingen skillnad för en revisions övergripande mål och omfattning om ett företag bedriver verksamhet i en helt manuell miljö, en helt automatiserad miljö eller en miljö som omfattar en kombination av manuella och automatiserade element (dvs. manuella och automatiserade kontroller och andra resurser som används i företagets system för intern kontroll).

Förstå komponenterna i företagets system för intern kontroll

A95.När revisorn utvärderar ändamålsenligheten i kontrollernas utformning och huruvida de har införts (se punkterna A175 till A181) ger revisorns förståelse av var och en av komponenterna i företagets system för intern kontroll en preliminär förståelse av hur företaget identifierar affärsrisker och hur företaget hanterar dem. Utvärderingen kan också påverka revisorns identifiering och bedömning av riskerna för väsentliga felaktigheter på olika sätt (se punkt A86). Detta hjälper revisorn att utforma och vidta fortsatta granskningsåtgärder, inklusive planer för att testa kontrollernas funktion. Exempel:

  • Det är mer sannolikt att revisorns förståelse av företagets kontrollmiljö, företagets riskbedömning och företagets process för att övervaka kontrollkomponenterna påverkar identifieringen och bedömningen av risker för väsentliga felaktigheter på rapportnivån.

  • Det är mer sannolikt att revisorns förståelse av företagets informationssystem och kommunikation samt företagets kontrollaktivitetskomponent påverkar identifieringen och bedömningen av risker för väsentliga felaktigheter på påståendenivån.

Kontrollmiljön, företagets riskbedömningsprocess och företagets process för att övervaka systemet för intern kontroll (se punkterna 21–24)

A96.Kontrollerna i kontrollmiljön, företagets riskbedömningsprocess och företagets process för att övervaka systemet för intern kontroll är i första hand indirekta kontroller (dvs. kontroller som inte är tillräckligt precisa för att förhindra, upptäcka och rätta till felaktigheter på påståendenivån men som stöder andra kontroller och därför kan ha en indirekt påverkan på sannolikheten för att en felaktighet upptäcks eller förhindras i rätt tid). Men vissa kontroller inom dessa komponenter kan också vara direkta kontroller.

Varför revisorn måste förstå kontrollmiljön, företagets riskbedömningsprocess och företagets process för att övervaka systemet för intern kontroll

A97.Kontrollmiljön är ett fundament för hur de andra komponenterna i systemet för intern kontroll fungerar. Kontrollmiljön kan inte direkt förhindra, eller upptäcka och rätta till, felaktigheter. Däremot kan den påverka kontrollernas funktion i de andra komponenterna i systemet för intern kontroll. På liknande sätt är företagets riskbedömning och dess process för att övervaka systemet för intern kontroll utformade för att också stödja hela systemet för intern kontroll.

A98.Eftersom de här komponenterna är grundläggande för företagets system för intern kontroll skulle eventuella brister i deras funktion kunna ha en avgörande påverkan på upprättandet av de finansiella rapporterna. Därför påverkar revisorns förståelse och utvärderingar av dessa komponenter hans eller hennes identifiering och bedömning av riskerna för väsentliga felaktigheter på rapportnivån, och kan också påverka identifieringen och bedömningen av riskerna för väsentliga felaktigheter på påståendenivån. Risker för väsentliga felaktigheter på rapportnivån påverkar revisorns utformning av övergripande åtgärder, däribland, enligt vad som förklaras i ISA 330, påverkan på karaktär, tidpunkter och omfattning av revisorns fortsatta granskningsåtgärder.36

ISA 330, punkterna A1–A3.

Skaffa en förståelse av kontrollmiljön (se punkt 21)
Skalbarhet

A99.Karaktären på kontrollmiljön i ett mindre komplext företag skiljer sig sannolikt från kontrollmiljön i ett mer komplext företag. I mindre komplexa företag kanske styrelsen inte har någon oberoende eller extern ledamot, och bolagsstyrningen kan handhas direkt av ägaren-företagsledaren om det inte finns några andra ägare. Följaktligen kan vissa överväganden gällande företagets kontrollmiljö vara mindre relevanta eller kanske inte alls är tillämpliga.

A100.Det kan också förekomma det inte finns skriftliga revisionsbevis för delar av kontrollmiljön i mindre komplexa företag, särskilt i de fall då kommunikationen mellan företagsledningen och annan personal är informell, men bevisen kan fortfarande vara tillräckligt relevanta och tillförlitliga under omständigheterna.

Exempel:

  • Organisationsstrukturen i ett mindre komplext företag är sannolikt enklare och kan omfatta ett litet antal anställda med befattningar hänförliga till den finansiella rapporteringen.

  • Om bolagsstyrningen hanteras direkt av ägaren-företagsledaren kan revisorn fastställa att oberoendet för styrelsen inte är relevant.

  • I mindre företag kan en skriftlig uppförandekod saknas men dessa företag kan i stället ha utvecklat en kultur som betonar vikten av hederlighet och etiskt agerande genom muntlig kommunikation och genom att företagsledningen har föregått med gott exempel. Företagsledningens eller ägaren-företagsledarens inställning, medvetenhet och handlingar är därför särskilt viktiga för revisorns förståelse av ett mindre komplext företags kontrollmiljö.

Förstå kontrollmiljön (se punkt 21 a)

A101.Revisionsbevis för revisorns förståelse av kontrollmiljön kan inhämtas genom en kombination av frågor och annat riskbedömningsarbete, t.ex. att svar bekräftas genom observation eller inspektion av dokument.

A102.När revisorn bedömer i vilken mån ledningen betonar vikten av hederlighet och etiska värderingar kan han eller hon bilda sig en uppfattning genom frågor till ledningen och de anställda samt genom att beakta information från externa källor om

  • hur företagsledningen kommunicerar sin syn på affärssed och etiskt agerande till de anställda, och

  • inspektioner av ledningens skriftliga uppförandekod och observation av huruvida ledningen agerar på ett sätt som stödjer den koden.

Utvärdera kontrollmiljön (se punkt 21 b)
Varför revisorn utvärderar kontrollmiljön

A103.Revisorns utvärdering av hur företaget uppvisar ett beteende som är i enlighet med företagets mål att ha en kultur av hederlighet och etiska värderingar; huruvida kontrollmiljön erbjuder en ändamålsenlig grund för de andra komponenterna i företagets system för intern kontroll och huruvida några identifierade brister i kontrollerna undergräver de andra komponenterna i systemet för intern kontroll, hjälper revisorn att identifiera möjliga problem i de andra komponenterna i systemet för intern kontroll. Det beror på att kontrollmiljön är grundläggande för de andra komponenterna i företagets system för intern kontroll. Denna utvärdering kan också hjälpa revisorn att förstå de risker som företaget står inför och därmed att identifiera och bedöma risken för väsentliga felaktigheter på rapport- och påståendenivån (se punkt A86).

Revisorns utvärdering av kontrollmiljön

A104.Revisorns utvärdering av kontrollmiljön grundar sig på förståelsen som har inhämtats enligt punkt 21 a.

A105.Vissa företag kan domineras av en person som kan utöva ett stort mått av självbestämmande. En sådan persons handlingar och attityder kan genomsyra företagets kultur, vilket i sin tur kan få en avgörande påverkan på kontrollmiljön. En sådan påverkan vara positiv eller negativ.

Exempel:

En enskild persons direkta engagemang kan vara nyckeln till att företaget uppnår sina tillväxtmål och andra mål och kan också bidra väsentligt till ett effektivt system för intern kontroll. Å andra sidan kan en sådan koncentration av kunskap och auktoritet leda till en ökad känslighet för felaktigheter genom att ledningen sätter sig över kontrollerna.

A106.Revisorn kan överväga hur de olika delarna i kontrollmiljön kan påverkas av högsta ledningens filosofi och ledningsmetoder genom att beakta engagemanget från oberoende styrelseledamöter.

A107.Även om kontrollmiljön kan erbjuda en ändamålsenlig grund för systemet för intern kontroll och kan hjälpa till att minska risken för oegentligheter är en ändamålsenlig kontrollmiljö inte nödvändigtvis ett effektivt sätt för att förhindra oegentligheter.

Exempel:

Personalpolitik och personalrutiner när det gäller att anställa kompetent personal inom ekonomi, redovisning och IT kan minska risken för misstag vid bearbetning och redovisning av finansiell information. Men sådan personalpolitik och sådana personalrutiner kanske inte minskar risken att högsta ledningen sätter sig över kontrollerna (t.ex. för att överdriva intäkterna).

A108.Revisorns utvärdering av kontrollmiljön till den del den är hänförlig till företagets IT-användning kan omfatta följande frågor:

  • Huruvida styrningen av IT står i proportion till företagets karaktär och komplexitet och den affärsverksamhet som möjliggörs av IT, inklusive komplexiteten och mognaden hos företagets teknikplattform eller arkitektur och i vilken grad företaget förlitar sig på IT-applikationer för att stödja sin finansiella rapportering.

  • Ledningens organisationsstruktur avseende IT och de resurser som har tillförts (t.ex. om företaget har investerat i en lämplig IT-miljö och nödvändiga förbättringar, eller om ett tillräckligt antal kompetenta personer har anställts även när företaget använder kommersiell mjukvara (utan ändringar eller med begränsade ändringar)).

Skaffa sig en förståelse av företagets riskbedömningsprocess (se punkterna 22–23)
Förstå företagets riskbedömningsprocess (se punkt 22 a)

A109.Såsom det förklaras i punkt A62 ger inte alla affärsrisker upphov till risker för väsentliga fel. När revisorn skaffar sig en förståelse av hur ledningen och styrelsen har identifierat affärsrisker relevanta för upprättandet av de finansiella rapporterna, och fattat beslut om åtgärder för att hantera de riskerna, kan frågor som revisorn kan överväga omfatta hur ledningen, eller i förekommande fall, styrelsen, har

  • specificerat företagets mål med tillräcklig precision och tydlighet för att möjliggöra identifieringen och bedömningen av riskerna hänförliga till målen,

  • identifierat riskerna med att uppnå målen och analyserat dessa risker som en bas för att fastställa hur riskerna ska hanteras, och

  • övervägt möjligheterna till oegentligheter när han eller hon övervägde riskerna för att inte uppnå företagets mål.37

ISA 240, punkt 19.

A110.Revisorn kan överväga vilken betydelse sådana affärsrisker kan få för upprättandet av företagets finansiella rapporter och andra aspekter av dess system för intern kontroll.

Utvärdera företagets riskbedömning (se punkt 22 b)
Varför revisorn utvärderar huruvida företagets riskbedömning är ändamålsenlig

A111.Revisorns utvärdering av företagets riskbedömning kan hjälpa revisorn att förstå var företaget har identifierat risker som kan uppkomma, och hur företaget har svarat på de riskerna. Revisorns utvärdering av hur företaget identifierar sina affärsrisker, och hur företaget bedömer och hanterar de riskerna hjälper revisorn att förstå huruvida de risker företaget står inför har identifierats, bedömts och hanterats på lämpligt sätt med avseende på företagets karaktär och komplexitet. Denna utvärdering kan också hjälpa revisorn att identifiera och bedöma riskerna för väsentliga felaktigheter på rapport- och påståendenivån (se punkt A86).

Utvärdera huruvida företagets riskbedömningsprocess är ändamålsenlig (se punkt 22 b)

A112.Revisorns utvärdering av lämpligheten i företagets riskbedömning grundar sig på förståelsen som har inhämtats enligt punkt 22 a.

Skalbarhet

A113.Huruvida företagets riskbedömning är anpassad till företagets omständigheter med beaktande av företagets karaktär och komplexitet är en fråga för revisorns professionella bedömning.

Exempel:

I vissa mindre komplexa företag, och i synnerhet ägarledda företag, kan en lämplig riskbedömning utföras genom ett direkt engagemang från ledningen eller ägaren-företagsledaren (t.ex. kan företagsledaren eller ägaren-företagsledaren rutinmässigt avsätta tid till att övervaka konkurrenternas aktiviteter och annan utveckling på marknaden för att identifiera framväxande affärsrisker). Bevisen på denna riskbedömning som förekommer i sådana företag är ofta inte formellt dokumenterade, men det kan framgå av diskussioner som revisorn har med ledningen att ledningen de facto genomför riskbedömningsprocesser.

Skaffa sig en förståelse av företagets process för att övervaka företagets system för intern kontroll (se punkt 24)
Skalbarhet

A114.I mindre komplexa företag, och särskilt ägarledda företag, har revisorns förståelse av företagets process för att övervaka systemet för intern kontroll ofta fokus på hur ledningen eller ägaren-företagsledaren är direkt engagerad i verksamheten, eftersom det kanske inte finns någon annan övervakning.

Exempel:

Ledningen kan få klagomål från kunderna om felaktigheter i deras månatliga kontoutdrag som gör ägaren-företagsledaren uppmärksam på problem beträffande tidpunkten för när kundernas betalningar redovisas i räkenskapsmaterialet.

A115.För företag där det inte finns någon formell process för att övervaka systemet för intern kontroll, kan processen för att övervaka systemet för intern kontroll omfatta att ledningen gör regelbundna genomgångar av den finansiella rapporteringen som är utformad för att bidra till att företaget förhindrar eller identifierar felaktigheter.

Förstå företagets process för att övervaka systemet för intern kontroll (se punkt 24 a)

A116.Frågor som kan vara relevanta för revisorn att beakta när han eller hon skaffar sig en förståelse av hur företaget övervakar sitt system för intern kontroll omfattar

  • utformningen av övervakningsarbetet, till exempel om det rör sig om periodisk eller fortlöpande övervakning,

  • övervakningsarbetets kvalitet och frekvens,

  • utvärderingen av resultaten av övervakningsarbetet, utan onödigt dröjsmål, för att fastställa om kontrollerna har fungerat, och

  • hur identifierade brister har hanterats genom lämpliga åtgärder, inklusive förmedling av sådana brister till dem som ansvarar för att vidta åtgärder.

A117.Revisorn kan också överväga hur företagets process för att övervaka systemet för intern kontroll hanterar att övervaka informationsbearbetningskontroller som innefattar användning av IT. Det kan till exempel omfatta följande:

  • Kontroller för att övervaka komplexa IT-miljöer som

    • löpande utvärderar ändamålsenligheten i utformningen av informationsbearbetningskontroller och modifierar dessa efter vad som förändringar i omständigheterna kräver, eller

    • utvärderar funktionen i informationsbearbetningskontrollerna.

  • Kontroller som övervakar de åtkomstkontroller som tillämpas i automatiserade informationsbearbetningskontroller som ligger till grund för arbetsfördelningen.

  • Kontroller som övervakar hur fel eller brister i kontrollerna hänförliga till automatiseringen av den finansiella rapporteringen identifieras och hanteras.

Förstå företagets internrevisionsfunktion (se punkt 24 a ii)

Bilaga 4 anger vad som vidare behöver beaktas för att förstå ett företags internrevisionsfunktion.

A118.Revisorns frågor till lämpliga personer inom internrevisionsfunktionen hjälper revisorn att skaffa sig en förståelse av karaktären på internrevisionsfunktionens ansvarsområden. Om revisorn kommer fram till att funktionens ansvar har koppling till företagets finansiella rapportering, kan revisorn skaffa sig ytterligare förståelse av de aktiviteter som har utförts eller ska utföras av internrevisionsfunktionen genom att gå igenom funktionens granskningsplan för perioden, om en sådan plan finns, och diskutera den med lämpliga personer inom funktionen. Denna förståelse, tillsammans med den information som har inhämtats genom revisorns frågor kan också ge information som är direkt relevant för revisorns identifiering och bedömning av riskerna för väsentliga felaktigheter. Om, utifrån revisorns preliminära förståelse av internrevisionen, han eller hon räknar med att använda internrevisionsfunktionens arbete för att ändra karaktär, tidpunkter och omfattningen av de granskningsåtgärder som ska utföras, gäller ISA 610 (omarbetad 2013).38

ISA 610 (omarbetad 2013) Använda det arbete som har utförts av internrevisionen .

Andra informationskällor som används i företagets process för att övervaka systemet för intern kontroll
Förstå informationskällorna (se punkt 24 b)

A119.I företagsledningens övervakningsarbete kan man använda information från kommunikation med externa parter, t.ex. klagomål från kunder eller synpunkter från tillsynsmyndigheter som kan tyda på att det finns problem eller belysa områden som behöver förbättras.

Varför revisorn måste förstå informationskällorna som används i företagets process för att övervaka systemet för intern kontroll

A120.Revisorns förståelse av informationskällorna som används av företaget vid övervakningen av företagets system för intern kontroll, inklusive huruvida informationen som används är relevant och tillförlitlig, hjälper revisorn att utvärdera huruvida företagets process för att övervaka företagets system för intern kontroll är ändamålsenlig. Om företagsledningen förutsätter att den information som används vid övervakning är relevant och tillförlitlig men saknar grund för detta antagande kan eventuella fel i informationen medföra att företagsledningen drar felaktiga slutsatser av sin övervakning.

Utvärdera företagets process för att övervaka systemet för intern kontroll (se punkt 24 c)
Varför revisorn utvärderar huruvida företagets process för att övervaka systemet för intern kontroll är ändamålsenlig

A121.Revisorns utvärdering av hur företaget genomför fortlöpande och separata utvärderingar för att övervaka hur effektiva kontrollerna är hjälper revisorn att förstå huruvida de andra delarna i företagets system för intern kontroll finns på plats och fungerar, och bidrar därmed till att förstå de andra delarna i företagets system för intern kontroll. Denna utvärdering kan också hjälpa revisorn att identifiera och bedöma riskerna för väsentliga felaktigheter på rapport- och påståendenivån (se punkt A86).

Att utvärdera huruvida företagets process för att övervaka systemet för intern kontroll är lämplig (se punkt 24 c)

A122.Revisorns utvärdering av huruvida företagets process för att övervaka systemet för intern kontroll är godtagbar grundar sig på revisorns förståelse av företagets process för att övervaka systemet för intern kontroll.

Informationssystem och kommunikation, samt kontrollaktiviteter (se punkterna 25‒26)

A123.Kontrollerna i informationssystemet och kommunikationen, samt kontrollaktiviteter är främst direkta kontroller (dvs. kontroller som är tillräckligt precisa för att förhindra, upptäcka och rätta till felaktigheter på påståendenivån).

Varför revisorn måste förstå informationssystemet och kommunikationen samt kontrollerna som utgör kontrollaktivitetskomponenten

A124.Revisorn måste förstå företagets informationssystem och kommunikation eftersom en förståelse av företagets riktlinjer som definierar transaktionsflödena och andra aspekter av företagets informationsbearbetningsaktiviteter hänförliga till upprättandet av företagets finansiella rapporter, och förstå och utvärdera om komponenten på ett lämpligt sätt stödjer upprättandet av företagets finansiella rapporter, stödjer revisorns identifiering och bedömning av risken för väsentliga felaktigheter på påståendenivån. Denna förståelse och utvärdering kan också resultera i att revisorn identifierar risker för väsentliga felaktigheter på rapportnivån när resultaten av revisorns granskningsåtgärder är oförenliga med förväntningarna på företagets system för intern kontroll som kan ha fastställts baserat på information som har inhämtats under processen med att acceptera eller fortsätta med uppdraget (se punkt A86).

A125.Revisorn måste identifiera specifika kontroller i kontrollaktivitetskomponenten och utvärdera utformningen och fastställa huruvida kontrollerna har införts, eftersom det hjälper revisorns förståelse av ledningens metod för att hantera vissa risker och därmed erbjuda en grund för utformningen och genomförandet av fortsatta granskningsåtgärder som ett svar på dessa risker enligt kraven i ISA 330. Ju högre i spektrumet av inneboende risk en risk bedöms ligga, desto mer övertygande behöver revisionsbevisen vara. Även när revisorn inte planerar att testa identifierade kontrollers funktion, kan revisorns förståelse ändå påverka utformningen av art, tidpunkter och omfattning av den substansgranskning som är ett svar på den hänförliga risken för väsentliga felaktigheter.

Den iterativa karaktären på revisorns förståelse och utvärdering av informationssystem och kommunikation, samt kontrollaktiviteter

A126.Enligt förklaringen i punkt A49 kan revisorns förståelse av företaget och dess miljö och det tillämpliga ramverket för finansiell rapportering också hjälpa revisorn att utveckla initiala förväntningar på vilka transaktionsslag, konton och upplysningar som kan vara väsentliga. När revisorn skaffar sig en förståelse för informationssystemet och kommunikationskomponenten enligt punkt 25 a kan han eller hon använda dessa initiala förväntningar i syfte att fastställa omfattningen av förståelsen av företagets informationsbearbetningsaktiviteter som behöver inhämtas.

A127.Revisorns förståelse av informationssystemet omfattar att förstå de riktlinjer som definierar informationsflöden avseende företagets väsentliga transaktionsslag, konton och upplysningar samt övriga relaterade aspekter av företagets informationsbearbetningsaktiviteter. Denna information, och informationen som inhämtas från revisorns utvärdering av informationssystemet, kan bekräfta eller ytterligare påverka revisorns förväntningar gällande de väsentliga transaktionsslag, konton och upplysningar som identifierades inledningsvis (se punkt A126).

A128.När revisorn bildar sig en uppfattning om hur information hänförlig till väsentliga transaktionsslag, konton och upplysningar flödar in till, genom och ut från företagets informationssystem kan han eller hon också identifiera kontroller i kontrollaktiviteterna som måste identifieras enligt punkt 26 a. Revisorns identifiering och utvärdering av kontrollerna i kontrollaktivitetskomponenten kan först ha fokus på kontroller av bokföringsposter och kontroller för vilka revisorn planerar att testa funktionen vid utformningen av substansgranskningens art, tidpunkter och omfattning.

A129.Revisorns bedömning av de inneboende riskerna kan också påverka identifieringen av kontroller i kontrollaktivitetskomponenten. Revisorns identifiering av kontroller avseende väsentliga risker kanske till exempel bara går att identifiera när revisorn har bedömt den inneboende risken på påståendenivån i enlighet med punkt 31. Dessutom kanske kontroller som avser risker för vilka revisorn har fastställt att enbart substansgranskning inte erbjuder tillräckliga och ändamålsenliga revisionsbevis (enligt punkt 33) inte går att identifiera förrän revisorns bedömning av de inneboende riskerna har genomförts.

A130.Revisorns identifiering och bedömning av risker för väsentliga felaktigheter på påståendenivån påverkas både av revisorns

  • förståelse av företagets riktlinjer för dess informationsbearbetningsaktiviteter i informationssystemet samt kommunikationskomponenten, och

  • identifiering och utvärdering av kontroller i kontrollaktivitetskomponenten.

Skaffa sig en förståelse för informationssystem och kommunikation (se punkt 25)

Bilaga 3, punkterna 15–19, anger ytterligare överväganden hänförliga till informationssystem och kommunikation.

Skalbarhet

A131.Informationssystemet och hänförliga affärsprocesser i mindre komplexa företag är sannolikt mindre sofistikerade än i större företag, och innefattar sannolikt en mindre komplex IT-miljö, men informationssystemets roll är precis lika viktig ändå. Mindre komplexa företag med en direkt engagerad företagsledning kanske inte behöver omfattande beskrivningar av redovisningsrutiner, sofistikerat räkenskapsmaterial eller skriftliga riktlinjer. Att förstå de relevanta aspekterna av företagets informationssystem kan därför kräva mindre arbete i ett mindre komplext företag, och kan omfatta en större mängd frågor än observation eller inspektion av dokumentation. Behovet av att bilda sig en uppfattning förblir emellertid viktigt för att erbjuda en grund för utformningen av fortsatta granskningsåtgärder enligt ISA 330 och kan ytterligare hjälpa revisorn att identifiera eller bedöma risker för väsentliga felaktigheter (se punkt A86).

Skaffa sig en förståelse av informationssystemet (se punkt 25 a)

A132.Inkluderat i företagets system för intern kontroll finns aspekter som är hänförliga till företagets mål för den finansiella rapporteringen, men kan också innefatta aspekter som avser dess verksamhets- eller efterlevnadsmål, när sådana aspekter är relevanta för den finansiella rapporteringen. Att förstå hur företaget initierar transaktioner och inhämtar information som en del av revisorns förståelse av informationssystemet kan omfatta information om företagets system (dess riktlinjer) utformade för att hantera verksamhets- och efterlevnadsmål eftersom sådan information är relevant för upprättandet av de finansiella rapporterna. Dessutom kan vissa företag ha informationssystem som i hög grad är integrerade, på så sätt att kontrollerna kan vara utformade för att på samma gång uppnå målen för den finansiella rapporteringen, verksamhets- och efterlevnadsmål och kombinationer av dessa.

A133.Att förstå företagets informationssystem omfattar också en förståelse av de resurser som ska användas i företagets informationsbearbetningsaktiviteter. Information om den personal som omfattas som kan vara relevant för att förstå riskerna för informationssystemets säkerhet omfattar

  • kompetensen hos de personer som utför arbetet,

  • om det finns tillräckliga resurser, och

  • om det finns en lämplig arbetsfördelning.

A134.Frågor som revisorn kan beakta när han eller hon bildar sig en uppfattning om de riktlinjer som definierar informationsflödena hänförliga till företagets väsentliga transaktionsslag, konton och upplysningar i informationssystemet och kommunikationskomponenten omfattar karaktären på

  1. data eller information hänförlig till transaktioner, andra händelser och omständigheter som ska bearbetas,

  2. den informationsbearbetning som ska upprätthålla integriteten för data eller informationen, och

  3. informationsprocesserna, personalresurserna eller andra resurser som används i informationsbearbetningsprocessen.

A135.Att få en förståelse för företagets affärsprocesser, som inbegriper hur transaktioner uppstår, hjälper revisorn att förstå företagets informationssystem på ett sätt som är lämpligt med hänsyn till omständigheterna i företaget.

A136.Revisorns förståelse av informationssystemet kan inhämtas på olika sätt och kan omfatta

  • frågor till relevant personal om de rutiner som används för att skapa, registrera, bearbeta och rapportera transaktioner eller om företagets process för finansiell rapportering,

  • inspektion av handböcker med riktlinjer eller annan dokumentation av företagets informationssystem,

  • observation av hur företagets personal tillämpar riktlinjer och processer, eller

  • att välja transaktioner och spåra dem genom den tillämpliga processen i informationssystemet (dvs. utföra ett s.k. ”walk-through”-test).

Automatiserade verktyg och tekniker

A137.Revisorn kan också använda automatiserade tekniker för att få direkt tillgång till eller en digital nedladdning från de databaser i företagets datasystem som lagrar bokföringen av transaktioner. Genom att använda automatiserade verktyg eller tekniker på denna information kan revisorn bekräfta den förståelse som har inhämtats om hur transaktioner flödar genom informationssystemet genom att spåra bokföringsposter eller annan digital bokföring avseende en viss transaktion, eller en hel population av transaktioner, från att de läggs in i räkenskapsmaterialet till redovisningen i huvudboken. Analyser av fullständiga eller stora mängder transaktioner kan också leda till att revisorn identifierar avvikelser från de normala, eller förväntade, processerna för att bearbeta dessa transaktioner, vilket kan leda till att revisorn identifierar risker för väsentliga felaktigheter.

Information som inte har inhämtats från huvudbok eller försystem

A138.De finansiella rapporterna kan innehålla information som inte har inhämtats från huvudbok eller försystem. Exempel på sådan information som revisorn kan beakta omfattar följande:

  • Information som inhämtats från leasingavtal relevanta för upplysningar i de finansiella rapporterna.

  • Upplysningar i de finansiella rapporterna som kommer från ett företags system för riskhantering.

  • Information om verkligt värde som tagits fram av företagsledningens specialister och som presenteras i de finansiella rapporterna.

  • Information som presenteras i de finansiella rapporterna, som kommer från modeller eller från andra beräkningar som använts för att ta fram uppskattningar för redovisningsändamål som redovisats eller presenterats i de finansiella rapporterna, däribland information avseende underliggande data och antaganden som används i dessa modeller, t.ex.:

    • antaganden som tagits fram internt som kan påverka en tillgångs nyttjandeperiod,

    • data, t.ex. räntesatser som påverkas av faktorer som ligger utanför företagets kontroll.

  • Information som lämnas i de finansiella rapporterna om känslighetsanalyser som härletts ur ekonomiska modeller som visar att företagsledningen har övervägt alternativa antaganden.

  • Information som redovisas eller presenteras i de finansiella rapporterna som har inhämtats från ett företags deklarationer och underliggande material.

  • Information som lämnas i de finansiella rapporterna som har inhämtats från analyser som upprättas till stöd för företagsledningens bedömning av företagets förmåga att fortsätta verksamheten, t.ex. eventuella upplysningar som avser händelser eller förhållanden som har identifierats, som kan leda till tvivel om företagets förmåga att fortsätta verksamheten.39

ISA 570 (omarbetad), punkterna 19‒20.

A139.Vissa belopp eller upplysningar i företagets finansiella rapporter (t.ex. upplysningar om kreditrisk, likviditetsrisk och marknadsrisk) kan vara baserade på information som inhämtats från företagets system för riskhantering. Men det finns inget krav på att revisorn ska förstå alla aspekter av systemet för riskhantering och revisorn använder professionell bedömning när han eller hon fastställer vilken förståelse som är nödvändig.

Företagets användning av informationsteknik i informationssystemet
Varför revisorn skaffar sig en förståelse för den IT-miljö som är relevant för informationssystemet

A140.Revisorns förståelse av informationssystemet innefattar den IT-miljö som är relevant för flödena av transaktioner och bearbetningen av information i företagets informationssystem eftersom företagets användning av IT-applikationer och andra frågor som rör IT-miljön kan ge upphov till IT-relaterade risker.

A141.Förståelsen av företagets affärsmodell och hur den integrerar användningen av IT kan också ge ett användbart sammanhang för karaktären på och omfattningen av IT som revisorn förväntar sig finna i informationssystemet.

Förstå företagets användning av IT

A142.Revisorns förståelse av IT-miljön kan ha fokus på att identifiera, och förstå karaktären på och omfattningen av, de specifika IT-applikationerna och andra aspekter av IT-miljön som är relevanta för transaktionsflödena och informationsbearbetningen i informationssystemet. Förändringar i transaktionsflödet eller information inom ramen för informationssystemet kan vara ett resultat av förändringar i IT-applikationer, eller direkta ändringar av data i de databaser som ingår i bearbetningen eller lagringen av dessa transaktioner eller den informationen.

A143.Revisorn kan identifiera de IT-applikationer och den stödjande IT-infrastrukturen samtidigt med revisorns förståelse av hur information hänförlig till transaktionsslag, konton och upplysningar flödar in i, genom och ut från företagets informationssystem.

Skaffa sig en förståelse för företagets kommunikation (se punkt 25 b)
Skalbarhet

A144.I större, mer komplexa, företag kan information som revisorn kan överväga när han eller hon skaffar sig en förståelse av företagets kommunikation komma från handböcker med riktlinjer och handböcker gällande finansiell rapportering.

A145.I mindre komplexa företag kan kommunikationen vara mindre strukturerad (t.ex. kanske inte formella handböcker används) eftersom det finns färre ansvarsnivåer och företagsledningen är mer synlig och tillgänglig. Oavsett företagets storlek underlättar öppna kommunikationskanaler både att rapportera avvikelser och att agera utifrån dem.

Att utvärdera om de relevanta aspekterna av informationssystemet stödjer upprättandet av företagets finansiella rapporter (se punkt 25 c)

A146.Revisorns utvärdering av huruvida företagets informationssystem och kommunikation på ett lämpligt sätt stödjer upprättandet av de finansiella rapporterna grundar sig på den förståelse som inhämtas enligt punkterna 25 a‒b.

Kontrollaktiviteter (se punkt 26)

Bilaga 3, punkterna 20 och 21, anger vidare överväganden hänförliga till kontrollaktiviteter.

Kontroller i kontrollaktivitetskomponenten

A147.Kontrollaktivitetskomponenten omfattar kontroller som är utformade för att säkerställa en korrekt tillämpning av riktlinjerna (som också är kontroller) i alla de andra komponenterna i företagets system för intern kontroll, och omfattar både direkta och indirekta kontroller.

Exempel:

De kontroller som ett företag har inrättat för att se till att de anställda räknar och bokför den årliga lagerinventeringen på rätt sätt, hänför sig direkt till riskerna för väsentliga felaktigheter avseende påståendena om existens och fullständighet för posten varulager.

A148.Revisorns identifiering och utvärdering av kontrollerna i kontrollaktivitetskomponenten har fokus på informationsbearbetningskontroller, vilka är kontroller som tillämpas under bearbetningen av informationen i företagets informationssystem som direkt avser risker gällande informationens integritet (dvs. fullständigheten, korrektheten och giltigheten för transaktioner och övrig information). Revisorn behöver emellertid inte identifiera och utvärdera alla informationsbearbetningskontroller hänförliga till de av företagets riktlinjer som definierar transaktionsflödena och andra aspekter av företagets informationsbearbetningsaktiviteter för väsentliga transaktionsslag, konton och upplysningar.

A149.Det kan också finnas direkta kontroller i kontrollmiljön, företagets riskbedömningsprocess eller företagets process för att övervaka systemet för intern kontroll, som kan identifieras enligt punkt 26. Men ju mer indirekt relationen är mellan kontroller som stödjer andra kontroller och den kontroll som granskas, desto mindre effektiv kan den kontrollen vara för att förhindra, eller upptäcka och rätta till, relaterade felaktigheter.

Exempel:

När en försäljningschef går igenom en summering av försäljningsaktiviteten för vissa butiker fördelat på regioner hänför sig detta vanligtvis endast indirekt till riskerna för väsentliga felaktigheter avseende påståendet fullständighet av försäljningsintäkter. Den kan således vara mindre effektiv när det gäller att hantera de riskerna än kontroller som mer direkt hänför sig till dessa, t.ex. när leveransdokument jämförs med faktureringsdokument.

A150.Punkt 26 kräver också att revisorn identifierar och utvärderar allmänna IT-kontroller för IT-applikationer och andra aspekter av IT-miljön som revisorn har fastställt är föremål för IT-relaterade risker, eftersom de allmänna IT-kontrollerna stödjer att informationsbearbetningskontrollerna fortsätter att fungera på ett ändamålsenligt sätt. En allmän IT-kontroll är i sig normalt inte tillräcklig för att hantera risker för väsentliga felaktigheter på påståendenivån.

A151.De kontroller som revisorn måste identifiera och utvärdera utformningen av, samt fastställa att de har införts, enligt punkt 26 är följande:

  • Kontroller för vilka revisorn planerar att granska att de fungerar vid fastställandet av substansgranskningens art, tidpunkter och omfattning. Utvärderingen av sådana kontroller lägger grunden till revisorns utformning av granskning av kontrollprocesser enligt ISA 330. Dessa kontroller omfattar även de kontroller som hanterar risker för vilka inte enbart substansgranskning kan ge tillräckliga och ändamålsenliga revisionsbevis.

  • Kontroller omfattar kontroller som hanterar betydande risker och kontroller avseende bokföringsposter. Revisorns identifiering och utvärdering av sådana kontroller kan också påverka revisorns förståelse av riskerna för väsentliga felaktigheter, inklusive att identifiera ytterligare risker för väsentliga felaktigheter (se punkt A95). Denna förståelse lägger också grunden till revisorns utformning av art, tidpunkter och omfattning av den substansgranskning som hanterar de hänförliga bedömda riskerna för väsentliga felaktigheter.

  • Övriga kontroller som revisorn betraktar som lämpliga för att göra det möjligt för revisorn att uppnå målen i punkt 13 med avseende på riskerna på påståendenivån, grundat på revisorns professionella omdöme.

A152.Kontrollerna i kontrollaktivitetskomponenten måste identifieras när sådana kontroller uppfyller ett eller flera av kriterierna som ingår i punkt 26 a. När däremot flera kontrollaktiviteter uppfyller samma mål är det inte nödvändigt att identifiera varje kontrollaktivitet med samma mål.

Olika sorters kontroller i kontrollaktivitetskomponenten (se punkt 26)

A153.Exempel på kontroller i kontrollaktivitetskomponenten omfattar befogenheter och godkännanden, avstämningar, verifieringar (så som inmatnings- och valideringskontroller eller automatiserade beräkningar), arbetsfördelning samt fysiska eller logiska kontroller, inklusive dem som avser skydd av tillgångar.

A154.Kontroller i kontrollaktivitetskomponenten kan också innefatta kontroller som fastställts av företagsledningen för att hantera risker för väsentliga felaktigheter på grund av att upplysningar inte upprättas enligt det tillämpliga ramverket för finansiell rapportering. Sådana kontroller kan avse information i de finansiella rapporterna som inte har inhämtats från huvudbok med undersystem.

A155.Oavsett om kontrollerna finns i IT-system eller manuella system kan kontrollerna ha olika mål och tillämpas på olika organisations- och funktionsnivåer.

Skalbarhet (se punkt 26)

A156.Kontrollerna i kontrollaktivitetskomponenten i mindre komplexa företag liknar sannolikt dem som finns i större företag, men de kan vara mer eller mindre formella. Dessutom kan i mindre komplexa företag fler kontroller utföras direkt av ledningen.

Exempel:

Att företagsledningen ensam har rätt att bevilja kredit åt kunder och godkänna betydande inköp kan ge stark kontroll över viktiga konton och transaktioner.

A157.Det kan vara svårare att etablera arbetsfördelning i mindre komplexa företag som har färre anställda. I ett ägarstyrt företag kan ägaren-företagsledaren uppnå en mer effektiv tillsyn genom direkt medverkan än i ett större företag, vilket kan kompensera för de vanligtvis mer begränsade möjligheterna till arbetsfördelning. Som framgår av ISA 240, kan situationen där ledningen domineras av en person innebära en kontrollbrist, eftersom detta innebär en möjlighet för ledningen att sätta sig över kontrollerna.40

ISA 240, punkt A28.

Kontroller som hanterar riskerna för väsentliga felaktigheter på påståendenivån (se punkt 26 a)
Kontroller som hanterar risker som har fastställts som betydande (se punkt 26 a i)

A158.Oavsett om revisorn planerar att granska att de kontroller som hanterar betydande risker fungerar kan förståelsen som har inhämtats av ledningens sätt att hantera sådana risker utgöra grund för utformningen och genomförandet av substansgranskning som ett svar på betydande risker enligt kraven i ISA 330.41 Även om risker som hänger samman med betydande icke rutinmässiga frågor eller bedömningar mer sällan omfattas av rutinkontroller kan företagsledningen införa andra åtgärder för att hantera sådana risker. I revisorns förståelse av huruvida företaget har utformat och infört kontroller för betydande risker som hänför sig till icke rutinmässiga frågor eller bedömningsfrågor kan följaktligen ingå att förstå om och hur företagsledningen hanterar riskerna. Sådana motåtgärder kan omfatta

  • kontroller såsom att högsta ledningen eller specialister går igenom antaganden,

  • dokumenterade processer för uppskattningar för redovisningsändamål,

  • godkännande av styrelsen.

Exempel:

Vid enstaka händelser, såsom när företaget stäms i en betydande rättslig process, kan beaktande av hur företaget hanterar denna inbegripa frågor som huruvida ärendet har vidarebefordrats till lämpliga specialister (t.ex. intern eller extern jurist), om dess potentiella effekt har bedömts och hur man föreslår att upplysningar om situationen ska lämnas i de finansiella rapporterna.

ISA 330, punkt 21.

A159.ISA 24042 kräver att revisorn förstår kontrollerna hänförliga till de bedömda riskerna för väsentliga felaktigheter till följd av oegentligheter (som behandlas som betydande risker), och förklarar ytterligare att det är viktigt för revisorn att skaffa sig en förståelse av de kontroller som ledningen har utformat, infört och upprätthåller för att förhindra och upptäcka oegentligheter.

ISA 240, punkterna 28 och A33.

Kontroller av bokföringsposter (se punkt 26 a ii)

A160.Kontroller som hanterar risker för väsentliga felaktigheter på påståendenivån och som förväntas identifieras för alla revisioner är kontroller av bokföringsposter, eftersom det sätt som ett företag införlivar information från bearbetningen av transaktioner till huvudboken vanligtvis omfattar användningen av bokföringsposter, vare sig de är standardiserade eller inte, eller automatiserade eller manuella. I vilken grad andra kontroller identifieras kan variera beroende på företagets karaktär och revisorns planerade metod för fortsatta granskningsåtgärder.

Exempel:

I en revision av ett mindre komplext företag kanske inte företagets informationssystem är komplext och revisorn kanske inte planerar att förlita sig på kontrollernas funktion. Vidare kanske inte revisorn har identifierat några betydande risker eller några andra risker för väsentliga felaktigheter som gör det nödvändigt för revisorn att utvärdera kontrollernas utformning och fastställa huruvida de har införts. I en sådan revision kanske revisorn fastställer att det inte finns några identifierade kontroller utöver företagets kontroller av bokföringsposter.

Automatiserade verktyg och tekniker

A161.I manuella huvudbokssystem kan icke standardiserade bokföringsposter identifieras genom inspektion av huvudböcker, grundböcker och verifikationer. När automatiserade rutiner används för att föra huvudbok och upprätta finansiella rapporter, kanske sådana poster enbart finns i elektronisk form och därför enklast kan identifieras genom användning av automatiserade revisionsmetoder.

Exempel:

I revisionen av ett mindre komplext företag kan revisorn extrahera en fullständig lista över alla bokföringsposter till ett enkelt kalkylark. Det kan då vara möjligt för revisorn att ordna bokföringsposterna genom att tillämpa ett antal olika filter som valutabelopp, namn på den som har upprättat eller granskat bokföringsposterna, bokföringsposter som ändrar nettoposter till bruttoposter, eller att studera listan per det datum då bokföringsposten fördes in i huvudboken, för att hjälpa revisorn att utforma svar på riskerna som har identifierats hänförligt till bokföringsposter.

Kontroller för vilka revisorn planerar att utföra granskning av (se punkt 26 a iii)

A162.Revisorn fastställer om det finns några risker för väsentliga felaktigheter på påståendenivån för vilka det inte är möjligt att erhålla tillräckliga och lämpliga revisionsbevis enbart genom substansgranskning. Revisorn måste, enligt ISA 330,43 utforma och genomföra test av kontroller som avser sådana risker för väsentliga felaktigheter för vilka enbart substansgranskning inte ger tillräckliga och ändamålsenliga revisionsbevis på påståendenivån. Det får till följd att när det finns sådana kontroller som hanterar dessa måste de identifieras och utvärderas.

ISA 330, punkt 8 b.

A163.I andra fall, när revisorn planerar att beakta kontrollernas funktion när han eller hon fastställer art, tidpunkter och omfattning av substansgranskning enligt ISA 330 måste sådana kontroller också identifieras eftersom ISA 33044 kräver att revisorn utformar och genomför tester av dessa kontroller.

Exempel:

Revisorn kan planera att granska funktionen hos kontroller

  • av rutintransaktionsslag eftersom en sådan granskning kan vara effektivare för stora volymer av homogena transaktioner,

  • avseende hur fullständig och riktig den information som företaget framställer är (t.ex. kontroller av upprättandet av systemgenererade rapporter) för att fastställa hur tillförlitlig den informationen är, när revisorn har för avsikt att förlita sig på dessa kontroller för att utforma och utföra fortsatta granskningsåtgärder,

  • avseende verksamhets- och efterlevnadsmålen när de gäller data som revisorn utvärderar eller använder när han eller hon utför granskningsåtgärder.

ISA 330, punkt 8 a.

A164.Revisorns planer på att granska kontrollernas funktion kan också påverkas av de identifierade riskerna för väsentliga felaktigheter på rapportnivån. Om till exempel brister identifieras som är hänförliga till kontrollmiljön kan detta påverka revisorns övergripande förväntningar på de direkta kontrollernas funktion.

Andra kontroller som revisorn anser är lämpliga (se punkt 26 a iv)

A165.Andra kontroller som revisorn kan anse är lämpliga att identifiera, utvärdera utformningen av och fastställa att de är införda, kan omfatta

  • kontroller som avser risker som bedöms ligga högre i spektrumet av inneboende risker men som inte har bedömts vara betydande risker,

  • kontroller hänförliga till avstämningen av detaljerat bokföringsmaterial mot huvudboken, eller

  • kompletterande kontroller i företaget, om man använder sig av en serviceorganisation.45

ISA 402 Revisorns överväganden vid revision av företag som anlitar en servicebyrå.

Identifiera IT-applikationer och andra aspekter på IT-miljön, IT-relaterade risker och allmänna IT-kontroller (se punkt 26 b‒c)

Bilaga 5 omfattar exempel på egenskaper hos IT-applikationer och andra aspekter av IT-miljön, samt vägledning hänförlig till dessa egenskaper, som kan vara relevanta vid identifieringen av IT-applikationer och andra aspekter av IT-miljön som är föremål för IT-relaterade risker.

Identifiera IT-applikationer och andra aspekter av IT-miljön (se punkt 26 b)
Varför revisorn identifierar IT-relaterade risker och allmänna IT-kontroller hänförliga till IT-applikationer och andra aspekter av IT-miljön

A166.Förstå de IT-relaterade riskerna och de allmänna IT-kontroller som har införts av företaget för att hantera dessa risker kan påverka

  • Revisorns beslut om huruvida han eller hon ska granska kontrollernas funktion för att hantera riskerna för väsentliga felaktigheter på påståendenivån.

Exempel:

När de allmänna IT-kontrollerna inte är utformade på ett ändamålsenligt sätt eller inte har införts på ett lämpligt sätt för att hantera de IT-relaterade riskerna (t.ex. att kontrollerna inte på ett lämpligt sätt förhindrar eller upptäcker obehöriga förändringar av program eller obehörig åtkomst till IT-applikationer) kan detta påverka revisorns beslut att förlita sig på automatiserade kontroller inom de IT-applikationer som påverkas.

  • Revisorns bedömning av kontrollrisk på påståendenivån.

Exempel:

Den löpande funktionen hos en informationsbearbetningskontroll kan bero på vissa allmänna IT-kontroller som förhindrar eller upptäcker obehöriga programändringar i IT-informationsbearbetningskontrollen (dvs. programändringskontroller av den tillhörande IT-applikationen). Under sådana omständigheter kan den allmänna funktionen (eller brist på densamma) hos den allmänna IT-kontrollen påverka revisorns bedömning av kontrollrisken (t.ex. kan kontrollrisken vara högre när sådana allmänna IT-kontroller förväntas vara bristfälliga eller om revisorn inte planerar att testa de allmänna IT-kontrollerna).

  • Revisorns strategi för att granska information som tas fram av företaget som kommer från eller inbegriper företagets IT-applikationer.

Exempel:

När information som tas fram av företaget för att användas som revisionsbevis tas fram av IT-applikationer kan revisorn bestämma sig för att granska kontroller över systemgenererade rapporter, inklusive identifiering och testning av allmänna IT-kontroller som hanterar risker för otillbörliga eller obehöriga programändringar eller direkta ändringar av data i rapporterna.

  • Revisorns bedömning av inneboende risker på påståendenivån.

Exempel:

Där det förekommer betydande eller omfattande programmeringsändringar av en IT-applikation för att hantera nya eller reviderade rapporteringskrav i det tillämpliga ramverket för finansiell rapportering kan det vara ett tecken på komplexiteten i de nya kraven och deras effekt på företagets finansiella rapporter. När sådana omfattande data- eller programmeringsändringar förekommer blir sannolikt även IT-applikationen föremål för IT-relaterade risker.

  • Utformningen av fortsatta granskningsåtgärder.

Exempel:

Om informationsbearbetningskontroller är beroende av allmänna IT-kontroller kan revisorn bestämma sig för att testa funktionerna hos allmänna IT-kontroller, vilket då kräver att test av kontroller utformas för sådana allmänna IT-kontroller. Om revisorn under samma omständigheter bestämmer sig för att inte granska att de allmänna IT-kontrollerna fungerar, eller om de allmänna IT-kontrollerna förväntas vara ineffektiva, kan de IT-relaterade risker som revisorn granskar, behöva hanteras genom att revisorn utformar processer för substansgranskning. Men de IT-relaterade riskerna kanske inte kan hanteras när sådana risker avser risker för vilka inte enbart substansgranskning ger tillräckliga och ändamålsenliga revisionsbevis. Under sådana omständigheter kan revisorn behöva överväga betydelsen för uttalanden i revisors rapport.

Identifiera IT-applikationer som är föremål för IT-relaterade risker

A167.För de IT-applikationer som är relevanta för informationssystemet kan en förståelse av karaktären på och komplexiteten i de specifika IT-processerna och de allmänna IT-kontrollerna som företaget har inrättat hjälpa revisorn att fastställa vilka IT-applikationer som företaget förlitar sig på för att på ett korrekt sätt bearbeta och upprätthålla integriteten i informationen i företagets informationssystem. Sådana IT-applikationer kan vara föremål för IT-relaterade risker.

A168.Att identifiera de IT-applikationer som är föremål för IT-relaterade risker omfattar att beakta kontroller som identifieras av revisorn eftersom sådana kontroller kan omfatta användningen av IT eller vara beroende av IT. Revisorn kan fokusera på huruvida en IT-applikation omfattar automatiserade kontroller som ledningen förlitar sig på och som revisorn har identifierat, inklusive kontroller som hanterar risker för vilka inte enbart substansgranskningar utgör tillräckliga och ändamålsenliga revisionsbevis. Revisorn kan också beakta hur informationen lagras och bearbetas i informationssystemet avseende väsentliga transaktionsslag, konton och upplysningar samt huruvida ledningen är beroende av allmänna IT-kontroller för att upprätthålla integriteten för den informationen.

A169.De kontroller som identifieras av revisorn kan vara beroende av systemgenerade rapporter, i vilket fall IT-applikationerna som tar fram de rapporterna kan vara föremål för IT-relaterade risker. I andra fall kanske inte revisorn planerar att förlita sig på kontrollerna av de systemgenererade rapporterna och planerar att direkt granska in- eller utdata i sådana rapporter, i vilket fall revisorn kanske inte identifierar de hänförliga IT-applikationerna som föremål för IT-relaterade risker.

Skalbarhet

A170.Hur djup revisorns förståelse av IT-processerna är, inklusive i vilken omfattning företaget har allmänna IT-kontroller på plats, kommer att variera beroende på företagets karaktär och dess IT-miljö, samt baserat på arten och omfattningen av de kontroller som revisorn identifierar. Antalet IT-applikationer som är föremål för IT-relaterade risker varierar också baserat på dessa faktorer.

Exempel:

  • Ett företag som använder kommersiell programvara och som inte har tillgång till källkoden för att göra några programändringar, kan ha processer eller rutiner för att konfigurera programvaran (t.ex. kontoplanen, rapportparametrar eller tröskelvärden). Dessutom kan företaget ha en process eller rutiner för att hantera åtkomsten till programmet (t.ex. en särskilt utsedd person med administratörsrättigheter till den kommersiella programvaran). Under sådana omständigheter kommer företaget sannolikt inte att ha eller behöva några formaliserade allmänna IT-kontroller.

  • I motsats till det kan ett större företag i hög grad vara beroende av IT och IT-miljön kan omfatta ett flertal IT-applikationer, och IT-processerna för att hantera IT-miljön kan vara komplexa (t.ex. kanske det finns en särskild IT-avdelning som utvecklar och gör programändringar och hanterar åtkomsträttigheter), inklusive att företaget har infört formaliserade allmänna IT-kontroller av sina IT-processer.

  • När ledningen inte förlitar sig på automatiserade kontroller eller allmänna IT-kontroller för att bearbeta transaktioner eller underhålla data, och revisorn inte har identifierat några automatiserade kontroller eller andra informationsbearbetningskontroller (eller några som är beroende av allmänna IT-kontroller), kanske revisorn planerar att direkt granska information som tas fram genom företagets IT-system och kanske inte identifierar några IT-applikationer som är föremål för IT-relaterade risker.

  • När ledningen förlitar sig på en IT-applikation för att bearbeta eller underhålla data och datavolymen är betydande, och ledningen förlitar sig på IT-applikationen för att utföra automatiserade kontroller som revisorn också har identifierat är IT-applikationen sannolikt föremål för IT-relaterade risker.

A171.När ett företag har en större komplexitet i sin IT-miljö krävs det sannolikt engagemang från medarbetare med specialistkompetens inom IT för att identifiera IT-applikationerna och andra aspekter på IT-miljön, och fastställa de hänförliga IT-relaterade riskerna. Ett sådant engagemang är sannolikt nödvändigt, och kan behöva vara omfattande för komplexa IT-miljöer.

Identifiera andra aspekter av företagets IT-miljö som är föremål för IT-relaterade risker

A172.Andra aspekter av företagets IT-miljö som kan vara föremål för IT-relaterade risker omfattar nätverket, operativsystem och, i vissa fall, gränssnittet mellan IT-applikationer. Andra aspekter av IT-miljön identifieras vanligtvis inte när revisorn inte identifierar IT-applikationer som är föremål för IT-relaterade risker. När revisorn har identifierat IT-applikationer som är föremål för IT-relaterade risker är det sannolikt att även andra aspekter av IT-miljön (t.ex. databas, operativsystem, nätverk) identifieras eftersom sådana aspekter stödjer och samverkar med de identifierade IT-applikationerna.

Identifiera IT-relaterade risker och allmänna IT-kontroller (se punkt 26 c)

Bilaga 6 beskriver överväganden för att förstå de allmänna IT-kontrollerna.

A173.När revisorn identifierar de IT-relaterade riskerna kan han eller hon beakta arten på den identifierade IT-applikationen eller andra aspekter på IT-miljön och anledningen till att dessa är föremål för IT-relaterade risker. För vissa identifierade IT-applikationer eller andra aspekter på IT-miljön kan revisorn identifiera tillämpliga IT-relaterade risker som främst härrör från obehörig åtkomst eller obehöriga programändringar liksom sådana som hanterar risker hänförliga till otillbörliga ändringar av data (t.ex. risken för otillbörliga förändringar av data genom direkt åtkomst till databaser eller möjligheten att direkt manipulera information).

A174.Omfattningen av och arten på de IT-relaterade riskerna varierar beroende på arten på och egenskaperna hos de identifierade IT-applikationerna och andra aspekter av IT-miljön. Tillämpliga IT-risker kan uppkomma när företaget använder externa eller interna tjänsteleverantörer för identifierade delar av sin IT-miljö (t.ex. lägga ut värdskapet för sin IT-miljö till en tredje part eller använda ett gemensamt servicecenter för en central hantering av IT-processer i en koncern). Tillämpliga IT-relaterade risker kan också identifieras hänförliga till cybersäkerheten. Det är mer sannolikt att det förekommer fler IT-relaterade risker när volymerna eller komplexiteten i automatiserade programkontroller är större och ledningen har större tillit till de kontrollerna för en effektiv bearbetning av transaktioner eller att dessa kontroller säkerställer en effektiv underliggande information.

Utvärdera utformningen och fastställa införandet av identifierade kontroller i kontrollaktivitetskomponenten (se punkt 26 d)

A175.Vid bedömning av hur en kontroll är utformad beaktar revisorn huruvida kontrollen, ensam eller i kombination med andra kontroller, ändamålsenligt klarar att förhindra, eller upptäcka och rätta, väsentliga felaktigheter (dvs. målet med kontrollen).

A176.Revisorn bekräftar hur en identifierad kontroll har införts genom att fastställa att kontrollen finns och att företaget använder den. Det är ingen större mening med att revisorn bedömer hur en kontroll som inte är ändamålsenligt utformad har införts. Därför bedömer revisorn först kontrollens utformning. En kontroll som inte är korrekt utformad kan utgöra en brist i kontrollen.

A177.I riskbedömning med syfte att inhämta revisionsbevis om utformningen och införandet av identifierade kontroller i kontrollaktivitetskomponenten kan följande aktiviteter ingå:

  • frågor till företagets anställda,

  • observation av utförandet av specifika kontroller,

  • inspektion av dokument och rapporter.

Enbart frågor är emellertid inte tillräckligt för detta ändamål.

A178.Revisorn kan förvänta sig, utifrån erfarenheter från tidigare revisioner eller baserat på det aktuella årets riskbedömning, att ledningen inte har ändamålsenligt utformade eller införda kontroller för att hantera väsentliga risker. I sådana fall kan bedömningen som genomförs för att tillgodose kraven i punkt 26 d bestå av att avgöra att sådana kontroller inte har utformats eller införts på ett ändamålsenligt sätt. Om resultaten av bedömningen tyder på att kontrollerna nyligen har utformats eller införts måste revisorn genomföra bedömningen i punkterna 26 b‒d avseende de nyligen utformade eller införda kontrollerna.

A179.Revisorn kan dra slutsatsen att en kontroll som är ändamålsenligt utformad och införd kan vara lämplig att granska för att ta dess funktion i beaktande när han eller hon utformar sin substansgranskning. När en kontroll däremot inte är ändamålsenligt utformad eller införd är det ingen mening med att testa den. När revisorn planerar att testa en kontroll utgör informationen som har inhämtats om i vilken grad kontrollen hanterar risken/riskerna för väsentliga felaktigheter, indata till revisorns bedömning av kontrollrisken på påståendenivån.

A180.Det är inte tillräckligt att utvärdera utformningen och fastställa införandet av identifierade kontroller i kontrollaktivitetskomponenten för att granska att de fungerar. För automatiserade kontroller kan revisorn emellertid planera att granska funktionen hos automatiserade kontroller genom att identifiera och granska allmänna IT-kontroller som sörjer för en konsekvent drift av en automatiserad kontroll, i stället för att utföra tester av funktionen hos de automatiserade kontrollerna direkt. Att inhämta ett revisionsbevis som avser införandet vid en viss tidpunkt av en manuell kontroll ger inte revisionsbevis avseende kontrollens funktion vid andra tidpunkter under den räkenskapsperiod som revisionen omfattar. Granskning av kontrollernas funktion, inklusive granskning av indirekta kontroller, beskrivs närmare i ISA 330.46

ISA 330, punkterna 8–11.

A181.När revisorn inte planerar att granska att identifierade kontroller fungerar kan revisorns förståelse ändå hjälpa till vid utformningen av art, tidpunkter och omfattning av den substansgranskning som är ett svar på den hänförliga risken för väsentliga felaktigheter.

Exempel:

Utfallen av denna riskbedömning kan ligga till grund för revisorns bedömning av möjliga avvikelser i en population när han eller hon utformar ett urval av transaktioner för granskning.

Brister i kontrollerna i företagets system för intern kontroll (se punkt 27)

A182.När revisorn genomför utvärderingarna av var och en av komponenterna i företagets system för intern kontroll47 kan hon eller han fastställa att vissa av företagets riktlinjer för en komponent inte är lämplig med beaktande av företagets karaktär och omständigheter. En sådan bedömning kan vara ett tecken som hjälper revisorn att identifiera brister i kontrollerna. Om revisorn har identifierat en eller flera brister i kontrollerna kan revisorn beakta effekten av dessa brister för kontrollerna när han eller hon utformar ytterligare granskningsåtgärder i enlighet med ISA 330.

Punkterna 21 b, 22 b, 24 c, 25 c och 26 d.

A183.Om revisorn har identifierat en eller flera brister i kontrollerna kräver ISA 26548 att revisorn avgör om dessa brister, enskilt eller i kombination med andra, utgör en betydande brist. Revisorn gör en professionell bedömning när han eller hon avgör om en brist utgör en betydande brist.49

Exempel:

Omständigheter som kan tyda på att det föreligger en betydande brist omfattar frågor som

  • identifieringen av oegentligheter oavsett storlek som omfattar högsta ledningen,

  • identifierade interna processer som är otillräckliga avseende rapporteringen och kommunikationen av brister som har noterats av internrevisionen,

  • tidigare kommunicerade brister som inte rättas till av ledningen inom rimlig tid,

  • om ledningen inte hanterar väsentliga risker, t.ex. genom att inte införa kontroller avseende väsentliga risker, och

  • rättelser av tidigare publicerade finansiella rapporter.

ISA 265 Kommunikation om brister i den interna kontrollen till dem som har ansvar för företagets styrning och företagsledningen, punkt 8.

ISA 265, punkterna A6‒A7 anger tecken på betydande brister, och frågor att överväga för att avgöra om en brist, eller en kombination av brister, i den interna kontroller utgör en betydande brist.

Identifiera och bedöma riskerna för väsentliga felaktigheter (se punkterna 28‒37)

Varför revisorn identifierar och bedömer riskerna för väsentliga felaktigheter

A184.Risker för väsentliga felaktigheter identifieras och bedöms av revisorn för att avgöra art, tidpunkter och omfattning av de fortsatta granskningsåtgärder som krävs för att inhämta tillräckliga och ändamålsenliga revisionsbevis. Dessa bevis gör det möjligt för revisorn att uttala sig om de finansiella rapporterna med en acceptabelt låg nivå för revisionsrisk.

A185.Information som har inhämtats under riskbedömningen används som revisionsbevis för att lägga grunden till identifieringen och bedömningen av riskerna för väsentliga felaktigheter. Till exempel används information som har samlats in när revisorn bedömer utformningen av de identifierade kontrollerna och avgör om dessa kontroller har införts i kontrollaktivitetskomponenten som revisionsbevis för att stödja riskbedömningen. Sådana bevis utgör också en grund för revisorn för att utforma övergripande åtgärder för att hantera de bedömda riskerna för väsentliga felaktigheter på rapportnivån, samt för att utforma och genomföra fortsatta granskningsåtgärder vilkas art, tidpunkter och omfattning innebär en hantering av de bedömda riskerna för väsentliga felaktigheter på påståendenivån, enligt ISA 330.

Identifiera risker för väsentliga felaktigheter (se punkt 28)

A186.Identifieringen av risker för väsentliga felaktigheter genomförs före beaktandet av eventuella relaterade kontroller (dvs. inneboende risker), och grundar sig på revisorns preliminära bedömning av felaktigheter som har en rimlig möjlighet både att uppkomma och att vara väsentliga om de skulle uppkomma.50

ISA 200, punkt A15a.

A187.Att identifiera riskerna för väsentliga felaktigheter lägger också grunden till revisorns beslut om relevanta påståenden, vilket hjälper revisorn att fatta beslut om väsentliga transaktionsslag, konton och upplysningar.

Påståenden
Varför revisorn använder påståenden

A188.När revisorn identifierar och bedömer riskerna för väsentliga felaktigheter använder han eller hon påståenden för att beakta de olika typerna av potentiella felaktigheter som kan uppstå. Påståenden för vilka revisorn har identifierat relaterade risker för väsentliga felaktigheter är relevanta påståenden.

Användning av påståenden

A189.När revisorn identifierar och bedömer riskerna för väsentliga felaktigheter kan han eller hon använda de kategorier av påståenden som beskrivs i punkt A190 a‒b nedan eller uttrycka dem annorlunda förutsatt att alla aspekter som beskrivs nedan täcks. Revisorn kan välja att kombinera påståendena om transaktionsslag och händelser samt tillhörande upplysningar med påståendena om konton samt tillhörande upplysningar.

A190.Påståenden som revisorn använder när han eller hon beaktar de olika typerna av potentiella felaktigheter som kan uppstå kan delas in i följande kategorier:

  1. Påståenden om transaktionsslag och händelser samt tillhörande upplysningar för den räkenskapsperiod som omfattas av revisionen:

    1. Förekomst – transaktioner och händelser som har redovisats, eller om vilka upplysning lämnats, har inträffat och dessa transaktioner och händelser hänför sig till företaget.

    2. Fullständighet – alla transaktioner och händelser som ska ha bokförts har också bokförts och alla tillhörande upplysningar som ska tas med i de finansiella rapporterna har tagits med.

    3. Riktighet – belopp och andra data som rör de redovisade transaktionerna och händelserna har bokförts korrekt och tillhörande upplysningar är riktigt beskrivna och värden anges korrekt.

    4. Avklipp – transaktioner och händelser har bokförts under rätt räkenskapsperiod.

    5. Klassificering – transaktioner och händelser har bokförts på rätt konton.

    6. Presentation – transaktioner och händelser är korrekt sammanslagna eller uppdelade samt tydligt beskrivna. Tillhörande upplysningar är relevanta och begripliga mot bakgrund av kraven i det tillämpliga ramverket för finansiell rapportering.

  2. Påståenden om saldon och tillhörande upplysningar vid räkenskapsperiodens slut:

    1. Existens – tillgångar, skulder och ägarintressen existerar.

    2. Rättigheter och förpliktelser – företaget innehar eller kontrollerar rättigheterna till tillgångarna, och skulderna är företagets ansvar.

    3. Fullständighet – alla tillgångar, skulder och ägarintressen som ska bokföras har också bokförts och alla tillhörande upplysningar som ska tas med i de finansiella rapporterna har tagits med.

    4. Riktighet, värdering och allokering – tillgångar, skulder och ägarintressen har tagits upp till korrekta belopp i de finansiella rapporterna och eventuella justeringar av värderingar eller allokeringar har bokförts på lämpligt sätt. Tillhörande upplysningar är riktigt beskrivna och värden anges korrekt.

    5. Klassificering – tillgångar, skulder och ägarintressen redovisas i rätt post i balans- och resultaträkningen.

    6. Presentation – tillgångar, skulder och ägarintressen är korrekt sammanslagna eller uppdelade samt tydligt beskrivna. Tillhörande upplysningar är relevanta och begripliga mot bakgrund av kraven i det tillämpliga ramverket för finansiell rapportering.

A191.De påståenden som beskrivs i punkt A190 a‒b ovan, anpassade efter vad som är tillämpligt, kan också användas av revisorn när han eller hon överväger de olika typerna av felaktigheter som kan finnas i upplysningarna och som inte har direkt koppling till bokförda transaktionsslag, händelser eller konton.

Exempel:

Ett exempel på den typen av upplysning inkluderar när det kan finnas krav på att företaget enligt det tillämpliga ramverket för finansiell rapportering beskriver sin exponering för risker till följd av finansiella instrument, däribland hur riskerna uppstår; mål, riktlinjer och rutiner för hantering av riskerna samt de metoder som används för att mäta riskerna.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A192.När företagsledningen i företag inom den offentliga sektorn gör påståenden om de finansiella rapporterna kan företagsledningen, utöver de påståenden som anges i punkt A190 a‒b, ofta påstå att transaktioner eller händelser har utförts enligt lagar eller andra författningar. Sådana påståenden kan ligga inom omfattningen och inriktningen för en revision av finansiella rapporter.

Risker för väsentliga felaktigheter på rapportnivån (se punkterna 28 a och 30)

Varför revisorn identifierar och bedömer riskerna för väsentliga felaktigheter på rapportnivån

A193.Revisorn identifierar riskerna för väsentliga felaktigheter på rapportnivån för att fastställa om riskerna genomsyrar de finansiella rapporterna och därmed skulle kräva ett övergripande svar enligt ISA 330.51

ISA 330, punkt 5.

A194.Därutöver kan risker för väsentliga felaktigheter på rapportnivån även påverka enskilda påståenden, och att identifiera dessa risker kan hjälpa revisorn att bedöma risker för väsentliga felaktigheter på påståendenivån, och när han eller hon utformar fortsatta granskningsåtgärder för att hantera de identifierade riskerna.

Identifiera och bedöma riskerna för väsentliga felaktigheter på rapportnivån

A195.Risk för väsentliga felaktigheter på rapportnivån hänför sig till risker som genomsyrar de finansiella rapporterna som helhet och kan påverka många påståenden. Den här typen av risker är inte nödvändigtvis risker som kan kopplas till särskilda påståenden på transaktionsslags-, konto- eller upplysningsnivåerna (t.ex. risk för att ledningen sätter sig över kontrollerna). De utgör snarare omständigheter som kan höja riskerna för väsentliga felaktigheter på påståendenivån. Revisorns utvärdering av huruvida identifierade risker allmänt skulle kunna påverka de finansiella rapporterna stödjer revisorns bedömning av risker för väsentliga felaktigheter på rapportnivån. I andra fall kan också ett antal påståenden identifieras som känsliga för denna risk, och kan därför påverka revisorns riskidentifiering och bedömning av riskerna för väsentliga felaktigheter på påståendenivån.

Exempel:

Företaget står inför rörelseförluster och likviditetsproblem och är beroende av finansiering som ännu inte har säkrats. Under sådana omständigheter kan revisorn fastställa att upprättande av finansiella rapporter enligt fortlevnadsprincipen ger upphov till en risk för väsentliga felaktigheter på rapportnivån. I den situationen kan ramverket för den finansiella rapporteringen behöva tillämpas med hjälp av en likvidationsvärdering, vilket på ett avgörande sätt skulle påverka alla påståenden.

A196.Revisorns identifiering och bedömning av risker för väsentliga felaktigheter på rapportnivån påverkas av revisorns förståelse av företagets system för intern kontroll, i synnerhet revisorns förståelse av kontrollmiljön, företagets riskbedömning samt företagets process för att övervaka systemet för intern kontroll, och

  • utfallet av de hänförliga utvärderingar som krävs enligt punkterna 21 b, 22 b, 24 c och 25 c, och

  • eventuella brister i kontrollerna som identifieras enligt punkt 27.

Särskilt risker på rapportnivån kan uppkomma genom brister i kontrollmiljön eller från yttre händelser eller faktorer såsom en vikande konjunktur.

A197.Risker för väsentliga felaktigheter till följd av oegentligheter kan vara särskilt relevanta när revisorn ska bedöma riskerna för väsentliga felaktigheter på rapportnivån.

Exempel:

Revisorn förstår av frågor till ledningen att företagets finansiella rapporter ska användas vid diskussioner med långivare för att säkra ytterligare finansiering för att upprätthålla rörelsekapitalet. Revisorn kan därmed dra slutsatsen att det föreligger en större känslighet för felaktigheter till följd av riskfaktorer för oegentligheter som påverkar de inneboende riskerna (dvs. att de finansiella rapporterna är känsliga för väsentliga felaktigheter på grund av risken för bedräglig finansiell rapportering, såsom för högt redovisade tillgångar och intäkter och för lågt redovisade skulder och kostnader, för att säkra att finansieringen kan erhållas).

A198.Revisorns förståelse, inklusive de tillhörande utvärderingarna, av kontrollmiljön och andra komponenter i systemet för intern kontroll kan leda till tvivel när det gäller revisorns förmåga att inhämta revisionsbevis på vilka han eller hon kan grunda sitt uttalande i revisors rapport eller vara orsak till att avgå från uppdraget, där detta är möjligt enligt tillämplig lag eller annan författning.

Exempel:

  • Som ett resultat av att revisorn utvärderar företagets kontrollmiljö, har revisorn farhågor rörande företagsledningens hederlighet, vilka kan vara så allvarliga att revisorn drar slutsatsen att risken för att företagsledningen avsiktligen har lämnat felaktig information i de finansiella rapporterna är så hög att en revision inte kan utföras.

  • Som ett resultat av sin utvärdering av företagets informationssystem och kommunikation fastställer revisorn att betydande ändringar i IT-miljön har skötts illa, med liten översyn från ledning och styrelse. Revisorn kommer till slutsatsen att det finns anledning till betydande oro i fråga om skicket på och tillförlitligheten hos företagets räkenskapsmaterial. Under sådana omständigheter kan revisorn dra slutsatsen att det är osannolikt att tillräckliga och ändamålsenliga revisionsbevis kommer att finnas tillgängliga för att stödja ett omodifierat uttalande om de finansiella rapporterna.

A199.ISA 705 (omarbetad)52 fastställer krav för och ger vägledning när revisorn ska avgöra om han eller hon behöver uttala sig med reservation eller avstå från att uttala sig eller, vilket kan krävas i vissa fall, om han eller hon ska avgå från uppdraget, där detta är möjligt enligt tillämplig lag eller annan författning.

ISA 705 (omarbetad) Modifierat uttalande i rapport från oberoende revisor.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A200.För företag inom den offentliga sektorn kan identifieringen av risker på rapportnivån omfatta överväganden av frågor hänförliga till känslighet för det politiska klimatet, offentliga intressen och program.

Risker för väsentliga felaktigheter på påståendenivån (se punkt 28 b)

Bilaga 2 ger exempel inom området för inneboende riskfaktorer, på händelser eller omständigheter som kan tyda på att känsligheten för felaktigheter kan vara väsentlig.

A201.Risker för väsentliga felaktigheter som inte genomgripande påverkar de finansiella rapporterna utgör risker för väsentliga felaktigheter på påståendenivån.

Relevanta påståenden samt betydande transaktionsslag, konton och upplysningar (se punkt 29)

Varför relevanta påståenden samt betydande transaktionsslag, konton och upplysningar fastställs

A202.Att fastställa relevanta påståenden samt betydande transaktionsslag, konton och upplysningar utgör grunden för omfattningen av revisorns förståelse av företagets informationssystem som måste inhämtas enligt punkt 25 a. Denna förståelse kan även hjälpa revisorn att identifiera och bedöma riskerna för väsentliga felaktigheter (se punkt A86).

Automatiserade verktyg och tekniker

A203.Revisorn kan använda automatiserade tekniker som hjälp för att identifiera betydande transaktionsslag, konton och upplysningar.

Exempel:

  • En hel population av transaktioner kan analyseras med hjälp av automatiserade verktyg och tekniker för att förstå deras karaktär, källa, storlek och omfattning. Revisorn kan genom att tillämpa automatiserade tekniker till exempel identifiera att ett konto med nollsaldo vid periodens utgång består av ett stort antal kvittningstransaktioner och bokföringsposter som har bokförts under perioden, som visar att kontosaldot eller transaktionsslaget kan vara betydande (t.ex. ett avräkningskonto för löneutbetalningar). Samma avräkningskonto för löneutbetalningar kan också identifiera kostnadsersättningar till ledningen (och andra anställda), som skulle kunna utgöra en betydande upplysning eftersom dessa utbetalningar har gjort till närstående.

  • Revisorn kan genom att analysera flödena i en hel grupp intäktstransaktioner lättare identifiera ett betydande transaktionsslag som inte har identifierats tidigare.

Upplysningar som kan vara betydande

A204.Betydande upplysningar omfattar både kvantitativa och kvalitativa upplysningar för vilka det finns ett eller flera relevanta påståenden. Exempel på upplysningar som har kvalitativa aspekter och för vilka det kan finnas relevanta påståenden och som därmed kan betraktas som betydande av revisorn omfattar upplysningar om följande:

  • likviditet och avtalsvillkor för skulder för ett företag med ekonomiska problem,

  • händelser eller omständigheter som har lett till att en nedskrivning redovisas,

  • huvudsakliga källor till osäkerhet i uppskattningar, däribland antaganden om framtiden,

  • karaktären på en ändring i redovisningsprincip och andra relevanta upplysningar som krävs i det tillämpliga ramverket för finansiell rapportering, där t.ex. nya rapporteringskrav väntas ha en betydande effekt på företagets finansiella ställning och resultat,

  • avtal om aktierelaterade ersättningar, däribland information om hur eventuella redovisade belopp fastställdes samt andra relevanta upplysningar,

  • närstående och transaktioner med närstående,

  • känslighetsanalys, innefattande effekterna av ändringar i antaganden som används i företagets värderingstekniker, som ska göra det möjligt för användarna att förstå den underliggande osäkerheten i beräkningen av ett redovisat belopp eller belopp om vilket upplysning lämnas.

Bedöma risker för väsentliga felaktigheter på påståendenivån

Bedöma inneboende risker (se punkterna 31‒33)
Bedöma sannolikheten för och storleken på felaktigheter (se punkt 31)
Varför revisorn bedömer sannolikheten för och storleken på felaktigheter

A205.Revisorn bedömer sannolikheten för och omfattningen av felaktigheterna för identifierade risker för väsentliga felaktigheter eftersom kombinationen av sannolikheten för att en felaktighet uppstår och storleken på den möjliga felaktigheten om den skulle uppkomma avgör var i spektrumet av inneboende risker som den identifierade risken bedöms återfinnas, vilket ligger till grund för revisorns utformning av fortsatta granskningsåtgärder för att hantera risken.

A206.Att bedöma den inneboende risken för väsentliga felaktigheter hjälper också revisorn att fastställa betydande risker. Revisorn fastställer betydande risker eftersom det krävs specifika motåtgärder för betydande risker enligt ISA 330 och andra ISA-standarder.

A207.Inneboende riskfaktorer påverkar revisorns bedömning av sannolikheten för och storleken på identifierade risker för väsentliga felaktigheter på påståendenivån. I ju högre grad ett transaktionsslag, ett konto eller en upplysning är känslig för väsentliga felaktigheter, desto högre är sannolikt bedömningen av inneboende risk. Att bedöma i vilken grad inneboende riskfaktorer påverkar hur känsligt ett påstående är för felaktigheter hjälper revisorn att på ett korrekt sätt avgöra inneboende risker för väsentliga felaktigheter på påståendenivån och utforma en mer precis motåtgärd för sådana risker.

Spektrum av inneboende risker

A208.När revisorn bedömer den inneboende risken använder han eller hon sitt professionella omdöme för att fastställa betydelsen av kombinationen av sannolikheten för och storleken på en felaktighet.

A209.Den bedömda inneboende risken avseende en särskild risk för väsentliga felaktigheter på påståendenivån utgör en bedömning inom ett spann, från lägre till högre, inom spektrumet av inneboende risker. Bedömningen om var i spannet den inneboende risken ligger kan variera beroende på företagets karaktär, storlek och komplexitet, och beaktar den bedömda sannolikheten för och storleken på felaktigheterna och de inneboende riskfaktorerna.

A210.När revisorn överväger sannolikheten för felaktigheter beaktar han eller hon möjligheten att felaktigheter kan uppkomma baserat på utvärderingen av de inneboende riskfaktorerna.

A211.När revisorn överväger storleken på felaktigheterna tar han eller hon i beaktande de kvalitativa och kvantitativa aspekterna på de möjliga felaktigheterna (dvs. felaktigheter i påståenden avseende transaktionsslag, konton eller upplysningar kan bedömas vara väsentliga på grund av storlek, art eller omständigheter).

A212.Revisorn använder betydelsen av kombinationen av sannolikheten för och storleken på en väsentlig felaktighet när han eller hon avgör var i spektrumet av inneboende risker (dvs. intervallet) som den inneboende risken bedöms ligga. Ju högre kombination av sannolikhet och storlek, desto högre bedömning av den inneboende risken, och ju lägre kombination av sannolikhet och storlek, desto lägre bedömning av den inneboende risken.

A213.För att en risk ska bedömas som högre i spektrumet av inneboende risker krävs inte att både storleken och sannolikheten behöver bedömas som höga. Det är snarare kombinationen av storleken på och sannolikheten för väsentliga felaktigheter i spektrumet av inneboende risker som avgör om den bedömda inneboende risken är högre eller lägre i spektrumet av inneboende risker. En högre inneboende risk kan också uppkomma genom olika kombinationer av sannolikhet och storlek. En högre bedömning av inneboende risker skulle till exempel kunna komma sig av en lägre sannolikhet men en mycket hög storlek.

A214.För att kunna utveckla lämpliga strategier för att svara på risker för väsentliga felaktigheter kan revisorn dela in risker för väsentliga felaktigheter inom kategorier längs spektrumet av inneboende risker, baserat på sin bedömning av de inneboende riskerna. Dessa kategorier kan beskrivas på olika sätt. Oavsett vilken metod som används för kategorisering, är revisorns bedömning av inneboende risker ändamålsenlig när utformningen och genomförandet av fortsatta granskningsåtgärder för att hantera identifierade risker för väsentliga felaktigheter på påståendenivån är lämpligt svarande mot bedömningen av de inneboende riskerna och skälen till den bedömningen.

Övergripande risker för väsentliga felaktigheter på påståendenivån (se punkt 31 b)

A215.När revisorn bedömer risker för väsentliga felaktigheter på påståendenivån kan han eller hon dra slutsatsen att vissa av riskerna för väsentliga felaktigheter genomgripande påverkar de finansiella rapporterna som helhet och potentiellt påverkar många påståenden. Då kan revisorn uppdatera sin identifiering av väsentliga felaktigheter på rapportnivån.

A216.I de fall där risker för väsentliga felaktigheter identifieras som risker på rapportnivån till följd av sin genomgripande påverkan på ett antal påståenden, och kan kopplas till specifika påståenden, måste revisorn ta de riskerna i beaktande när han eller hon bedömer den inneboende risken för väsentliga felaktigheter på påståendenivån.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A217.När revisorer inom den offentliga sektorn använder sitt professionella omdöme gällande risken för väsentliga felaktigheter kan de beakta komplexiteten i författningar och direktiv, och riskerna för överträdelser av myndigheternas bestämmelser.

Betydande risk (se punkt 32)
Varför betydande risker fastställs och vad det innebär för revisionen

A218.Fastställandet av betydande risker ger revisorn möjlighet att rikta större uppmärksamhet mot de risker som ligger i den övre delen av spektrumet av inneboende risker, genom att utföra vissa obligatoriska motåtgärder, däribland följande:

  • Kontroller som hanterar betydande risker måste identifieras i enlighet med punkt 26 a i, med krav på att utvärdera om kontrollen har utformats på ett ändamålsenligt sätt och införts i enlighet med punkt 26 d.

  • ISA 330 kräver att kontroller som hanterar betydande risker ska prövas under den aktuella perioden (när revisorn avser att förlita sig på att sådana kontroller fungerar) och substansgranskningsåtgärder ska planeras och genomföras som är specifikt avsedda som svar på den identifierade betydande risken.53

  • ISA 330 kräver att revisorn inhämtar mer avgörande revisionsbevis ju högre revisorns bedömning av risken är.54

  • ISA 260 (omarbetad) kräver kommunikation med styrelsen om de betydande risker som identifieras av revisorn.55

  • ISA 701 kräver att revisorn beaktar betydande risker när han eller hon avgör de frågor som krävde revisorns särskilda uppmärksamhet, vilket är frågor som kan utgöra särskilt betydelsefulla områden.56

  • En genomgång av revisionsdokumentationen vid rätt tidpunkt av den ansvariga revisorn vid lämpliga stadier under revisionen medger att viktiga frågor, inklusive betydande risker, kan lösas i rätt tid på ett sätt som den ansvariga revisorn finner nöjaktigt senast per datumet för revisionsberättelsen.57

  • ISA 600 kräver större engagemang från koncernens ansvariga revisor om den betydande risken avser en enhet i en koncernrevision och att koncernens uppdragsteam ska styra det behövliga arbete som enhetsrevison utför på enheten.58

ISA 330, punkterna 15 och 21.

ISA 330, punkt 7 b.

ISA 260 (omarbetad), punkt 15.

ISA 701 Kommunikation om särskilt betydelsefulla områden i rapport från oberoende revisor, punkt 9.

ISA 220, punkterna 17 och A19.

ISA 600, punkterna 30 och 31.

Fastställa betydande risker

A219.När revisorn fastställer betydande risker kan han eller hon först identifiera de bedömda risker för väsentliga felaktigheter som har bedömts som högre på spektrumet av inneboende risker för att utgöra grunden till att överväga vilka risker som kan ligga nära den översta delen. Vad som är nära den översta delen av spektrumet av inneboende risker skiljer sig från ett företag till ett annat, och är inte nödvändigtvis samma för ett företag från period till period. Det kan bero på karaktären på och omständigheterna för det företag för vilket risken bedöms.

A220.Fastställandet av vilka av de bedömda riskerna för väsentliga felaktigheter som är nära den översta delen av spektrumet av inneboende risker, och som därmed utgör betydande risker, är en fråga om professionellt omdöme, såvida inte risken är av en typ som har specificerats för att behandlas som en betydande risk enligt kraven i andra standarder. ISA 240 fastställer ytterligare krav och ger vägledning om hur risker för väsentliga felaktigheter som beror på oegentligheter ska identifieras och behandlas.59

Exempel:

  • Kontanter hos en detaljhandlare på en stormarknad skulle vanligtvis bedömas som om det fanns en hög sannolikhet för möjliga felaktigheter (på grund av risken för att kontanterna stjäls), men beloppen är normalt sett mycket låga (på grund av de låga nivåerna av kontanter som hanteras i butikerna). Kombinationen av dessa två faktorer på spektrumet av inneboende risker resulterar sannolikt inte i att förekomsten av kontanter fastställs som en betydande risk.

  • Ett företag deltar i förhandlingar om att sälja ett affärssegment. Revisorn överväger effekten på nedskrivningen av goodwill, och kan fastställa att det finns en större sannolikhet för möjliga felaktigheter och högre belopp på grund av påverkan av inneboende riskfaktorer avseende subjektivitet, osäkerhet och känslighet för partiskhet i ledningen eller andra riskfaktorer för oegentligheter. Det kan leda till att behovet av nedskrivning av goodwill anses vara en betydande risk.

ISA 240, punkterna 26–28.

A221.Revisorn beaktar också de relativa effekterna av inneboende riskfaktorer när han eller hon bedömer de inneboende riskerna. Ju lägre effekten av inneboende riskfaktorer, desto lägre blir sannolikt den bedömda risken. Risker för väsentliga felaktigheter som kan bedömas som att de har en högre inneboende risk och därmed kan anses utgöra en betydande risk kan föreligga vid följande omständigheter:

  • transaktioner för vilka det finns flera olika godtagbara sätt att redovisa så att subjektivitet är inblandad,

  • uppskattningar i redovisningen som innefattar ett stort mått av osäkerhet eller komplexa modeller,

  • komplexitet i insamling och bearbetning av data som underlag för kontosaldon,

  • konton eller kvantitativa upplysningar som baseras på komplexa beräkningar,

  • redovisningsprinciper som kan vara föremål för olika tolkningar,

  • förändringar i företagets verksamhet som innebär ändringar av redovisningen, t.ex. sammanslagningar och förvärv.

Risker för vilka inte enbart substansgranskningar utgör tillräckliga och ändamålsenliga revisionsbevis (se punkt 33)
Varför risker för vilka enbart substansgranskningar inte utgör tillräckliga och ändamålsenliga revisionsbevis måste identifieras

A222.På grund av karaktären på en risk för väsentliga felaktigheter, och de kontrollaktiviteter som hanterar den risken, är under vissa omständigheter det enda sättet att inhämta tillräckliga och ändamålsenliga revisionsbevis att granska kontrollernas funktion. Följaktligen finns det ett krav på revisorn att identifiera sådana risker på grund av betydelsen för utformningen och genomförandet av fortsatta granskningsåtgärder enligt ISA 330 för att hantera risker för väsentliga felaktigheter på påståendenivån.

A223.Punkt 26 a iii kräver också att revisorn identifierar kontroller som hanterar risker där enbart substansgranskning inte kan inhämta tillräckliga och ändamålsenliga revisionsbevis eftersom revisorn enligt ISA 33060 måste utforma och genomföra tester av sådana kontroller.

ISA 330, punkt 8.

Att fastställa för vilka risker enbart substansgranskning inte utgör tillräckliga och ändamålsenliga revisionsbevis

A224.När rutinmässiga affärstransaktioner är föremål för en i hög grad automatiserad bearbetning med endast liten manuell hantering eller ingen manuell hantering alls, kanske det inte går att enbart utföra substansgranskningar för att hantera risken. Detta kan vara fallet i situationer där en betydande del av ett företags information initieras, registreras, bearbetas eller rapporteras endast i elektronisk form i ett informationssystem som inbegriper en hög grad av integrationen mellan de olika IT-applikationerna. I sådana fall gäller följande:

  • Revisionsbevis kanske enbart finns i elektronisk form och deras tillräcklighet och ändamålsenlighet beror vanligtvis på hur effektiva kontrollerna av riktighet och fullständighet är.

  • Om lämpliga kontroller inte fungerar kan det hända att information initieras felaktigt eller ändras, utan att detta upptäcks.

Exempel:

Det är vanligtvis inte möjligt att inhämta tillräckliga och ändamålsenliga revisionsbevis hänförliga till intäkter för ett telekommunikationsföretag enbart baserat på substansgranskning. Det beror på att bevisen för samtals- eller dataaktivitet inte existerar i en form som är observerbar. I stället genomförs vanligen omfattande granskning av kontroller för att fastställa att inledandet och avslutandet av samtal samt dataaktivitet har dokumenterats på ett korrekt sätt (t.ex. hur många minuter ett samtal pågår eller volymerna av en nedladdning) och redovisats korrekt i företagets faktureringssystem.

A225.ISA 540 (omarbetad) ger vidare vägledning avseende uppskattningar i redovisningen avseende risker för vilka enbart substansgranskning inte ger tillräckliga och ändamålsenliga revisionsbevis.61 Vad avser uppskattningar i redovisningen kanske detta inte begränsas till automatiserad bearbetning, utan kan också gå att tillämpa på komplexa modeller.

ISA 540 (omarbetad), punkterna A87–A89.

Bedöma kontrollrisken (se punkt 34)

A226.Revisorns planer på att testa kontrollernas funktion grundar sig på förväntningen att kontrollerna fungerar, och detta utgör grunden för revisorns bedömning av kontrollrisken. Den initiala förväntan på kontrollernas funktion grundar sig på revisorns utvärdering i kontrollaktivitetskomponenten av hur de identifierade kontrollerna har utformats och införts. Så snart revisorn har granskat kontrollernas funktion i enlighet med ISA 330 kommer han eller hon att kunna bekräfta sin initiala förväntan avseende kontrollernas funktion. Om kontrollerna inte fungerar så väl som revisorn hade förväntat sig, måste revisorn revidera bedömningen av kontrollrisken enligt punkt 37.

A227.Revisorns bedömning av kontrollrisken kan genomföras på olika sätt beroende på vilka revisionstekniker eller -metoder han eller hon föredrar och kan uttryckas på olika sätt.

A228.Om revisorn planerar att granska kontrollernas funktion kan det vara nödvändigt att granska en kombination av kontroller för att bekräfta revisorns förväntningar på att kontrollerna fungerar. Revisorn kan planera att granska både direkta och indirekta kontroller, inklusive allmänna IT-kontroller, och i sådana fall beakta den kombinerade förväntade effekten av kontrollerna när han eller hon bedömer kontrollrisken. I den mån som den kontroll som ska granskas inte till fullo hanterar den bedömda inneboende risken fastställer revisorn påverkan på utformningen av ytterligare granskningsåtgärder för att minska revisionsrisken till en godtagbart låg nivå.

A229.När revisorn planerar att granska funktionen hos en automatiserad kontroll kan han eller hon också planera att granska funktionen hos de relevanta allmänna IT-kontroller som utgör en förutsättning för den fortsatta funktionen för den automatiserade kontrollen att hantera de IT-relaterade riskerna, samt utgöra grunden till revisorns förväntan att den automatiserade kontrollen fungerade under hela perioden. När revisorn förväntar sig att relaterade generella IT-kontroller inte fungerar kan denna förväntan påverka revisorns bedömning av kontrollrisken på påståendenivån och revisorns fortsatta granskningsåtgärder kan behöva omfatta substansgranskning för att hantera de tillämpliga IT-relaterade riskerna. Vidare vägledning om de åtgärder som revisorn kan vidta i dessa fall återfinns i ISA 330.62

ISA 330, punkterna A29–A30.

Utvärdera revisionsbevisen inhämtade från riskbedömningen (se punkt 35)
Varför revisorn utvärderar de revisionsbevis som inhämtas från riskbedömningen

A230.Revisionsbevis inhämtade från riskbedömningen är grunden för identifieringen och bedömningen av riskerna för väsentliga felaktigheter. Detta lägger grunden till revisorns utformning av art, tidpunkter och omfattning av fortsatta granskningsåtgärder som hanterar de hänförliga bedömda riskerna för väsentliga felaktigheter, på påståendenivån, enligt ISA 330. Följaktligen utgör de revisionsbevis som har inhämtats från riskbedömningen en grund för att identifiera och bedöma risker för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller misstag, på rapport- och påståendenivåerna.

Utvärderingen av revisionsbevisen

A231.Revisionsbevis från riskbedömningen består både av information som stödjer och bekräftar ledningens påståenden, och all information som motsäger sådana påståenden.63

ISA 500, punkt A1.

En professionellt skeptisk inställning

A232.Vid utvärderingen av revisionsbevisen från riskbedömningen överväger revisorn om en tillräcklig förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll har uppnåtts för att kunna identifiera riskerna för väsentliga felaktigheter, samt om det finns några bevis som är motsägelsefulla, vilket kan tyda på en risk för väsentliga felaktigheter.

Transaktionsslag, konton och upplysningar som inte är betydande, men som är väsentliga (se punkt 36)

A233.Enligt förklaring i ISA 32064 övervägs väsentlighet och revisionsrisk när riskerna för väsentliga felaktigheter i transaktionsslag, konton och upplysningar identifieras och bedöms. Revisorns fastställande av väsentlighet är en fråga om professionell bedömning och påverkas av revisorns uppfattning om de behov av finansiell information som användare av de finansiella rapporterna har.65 För denna standard och punkt 18 i ISA 330 är transaktionsslag, konton eller upplysningar väsentliga om utelämnad, felaktig eller otydlig information om dem rimligen kan förväntas påverka användarnas ekonomiska beslut fattade utifrån de finansiella rapporterna som helhet.

ISA 320, punkt A1.

ISA 320, punkt 4.

A234.Det kan finnas transaktionsslag, konton och upplysningar som är väsentliga men som inte har fastställts som betydande transaktionsslag, konton eller upplysningar (dvs. revisorn har inte identifierat några relevanta påståenden).

Exempel:

Företaget kan ha en upplysning om ersättningar till högsta ledningen för vilken revisorn inte har identifierat någon risk för väsentliga felaktigheter. Däremot kan revisorn fastställa att denna upplysning är väsentlig baserat på övervägandena i punkt A233.

A235.Granskningsåtgärder för att hantera transaktionsslag, konton eller upplysningar som är väsentliga men som inte bedöms vara betydande, behandlas i ISA 330.66 När ett transaktionsslag, ett konto eller en upplysning anses vara betydande enligt kraven i punkt 29 är även transaktionsslaget, kontot eller upplysningen väsentlig enligt punkt 18 i ISA 330.

ISA 330, punkt 18.

Ändring av riskbedömning (se punkt 37)

A236.Under revisionen kan revisorn få tillgång till ny eller annan information som skiljer sig betydligt från den information på vilken riskbedömningen grundades.

Exempel:

Riskbedömningen kan vara grundad på en förväntning om att vissa kontroller fungerar tillfredsställande. När dessa kontroller granskas kan revisorn få fram revisionsbevis som visar att de inte fungerade tillfredsställande vid relevanta tidpunkter under revisionen. På samma sätt kan revisorn i samband med substansgranskning upptäcka felaktiga belopp eller större förekomster av felaktigheter än vad som överensstämmer med revisorns riskbedömningar. Under sådana omständigheter kan det hända att riskbedömningen inte korrekt avspeglar de verkliga förhållandena i företaget och det kan hända att de planerade fortsatta granskningsåtgärderna inte på ett tillfredsställande sätt kan upptäcka väsentliga felaktigheter. Punkterna 16 och 17 i ISA 330 ger ytterligare vägledning om att utvärdera kontrollers funktion.

Dokumentation (se punkt 38)

A237.Vid återkommande revisioner kan viss dokumentation föras över till framtida perioder och om nödvändigt uppdateras för att avspegla förändringar i företagets verksamhet eller processer.

A238.ISA 230 noterar bland annat att även om det inte bara finns ett enda sätt att dokumentera hur revisorn utövar en professionellt skeptisk inställning, kan revisionsdokumentationen ändå visa att revisorn har haft en professionellt skeptisk inställning.67 När till exempel revisionsbevisen inhämtade genom arbetet med riskbedömningen omfattar bevis som både understödjer och motsäger ledningens påståenden kan dokumentationen inkludera hur revisorn värderade bevisen, inklusive de professionella bedömningar som gjordes av huruvida revisionsbevisen ger en ändamålsenlig grund för revisorns identifiering och bedömning av riskerna för väsentliga felaktigheter. Exempel på andra krav i denna standard där dokumentationen kan ge bevis på att revisorn utövat en professionellt skeptisk inställning omfattar följande:

  • Punkt 13, som kräver att revisorn ska utforma och genomföra sin riskbedömning på ett sätt som inte är partiskt för att inhämta revisionsbevis som kan stödja förekomsten av risker eller mot att exkludera revisionsbevis som kan motsäga förekomsten av risker.

  • Punkt 17, som kräver en diskussion bland nyckelpersoner i uppdragsteamet om tillämpningen av det tillämpliga ramverket för finansiell rapportering och hur känsliga företagets finansiella rapporter är för väsentliga felaktigheter.

  • Punkterna 19 b och 20, som kräver att revisorn skaffar sig en förståelse av anledningarna till eventuella förändringar i företagets redovisningsprinciper och bedömer om företagets redovisningsprinciper är lämpliga och förenliga med det tillämpliga ramverket för finansiell rapportering.

  • Punkterna 21 b, 22 b, 23 b, 24 c, 25 c, 26 d och 27, som kräver att revisorn bedömer, utifrån den nödvändiga förståelse som han eller hon har inhämtat, om komponenterna i företagets system för intern kontroll är lämpliga mot bakgrund av företagets omständigheter med beaktande av företagets karaktär och komplexitet, samt att han eller hon fastställer huruvida en eller fler brister i kontrollerna har identifierats.

  • Punkt 35, som kräver att revisorn tar hänsyn till alla revisionsbevis som har inhämtats från riskbedömningen, vare sig de understödjer eller motsäger påståenden från ledningen, samt att han eller hon utvärderar huruvida revisionsbevisen inhämtade från riskbedömningen erbjuder en lämplig grund för identifieringen och bedömningen av riskerna för väsentliga felaktigheter.

  • Punkt 36, som kräver att revisorn i tillämpliga fall bedömer om revisorns slutsats att det inte finns några risker för väsentliga felaktigheter för ett väsentligt transaktionsslag, ett konto eller en upplysning fortfarande gäller.

ISA 230, punkt A7.

Skalbarhet

A239.Revisorn får använda sitt professionella omdöme för att avgöra på vilket sätt kraven i punkt 38 ska dokumenteras.

A240.Mer detaljerad dokumentation, som är tillräcklig för att göra det möjligt för en erfaren revisor, som inte har någon tidigare erfarenhet av revisionen, att förstå art, tidpunkter och omfattning av de granskningsåtgärder som har genomförts, kan krävas för att visa logiken bakom gjorda svåra bedömningar.

A241.För revisionerna av mindre komplexa företag kan formen på och omfattningen av dokumentation vara enkel och relativt kortfattad. Formen på och omfattningen av revisorns dokumentation påverkas av arten, storleken och komplexiteten på företaget och dess system för intern kontroll, tillgången på information från företaget samt den granskningsmetod och -teknik som tillämpas under revisionen. Det är inte nödvändigt att dokumentera hela revisorns förståelse av företaget och angränsande frågor. Viktiga delar68 av den förståelse som revisorn dokumenterar kan inbegripa sådana på vilken revisorn har grundat sin bedömning av risker för väsentliga felaktigheter. Revisorn behöver däremot inte dokumentera alla inneboende riskfaktorer som beaktades när han eller hon identifierade och bedömde riskerna för väsentliga felaktigheter på påståendenivån.

Exempel:

Vid revisioner av mindre komplexa företag kan dokumentationen av revisionen införlivas i revisorns dokumentation av den övergripande strategin och granskningsplanen.69 På liknande sätt kan t.ex. resultaten av riskbedömningen dokumenteras separat eller dokumenteras som en del av revisorns dokumentation av fortsatta granskningsåtgärder.70

ISA 300, Planering av revision av finansiella rapporter, punkterna 7, 9 och A11.

ISA 330, punkt 28.

ISA 230, punkt 8.

Bilaga 1 Överväganden för att förstå företaget och dess affärsmodell (se punkterna A61‒A67)

Denna bilaga beskriver målet med och omfattningen av företagets affärsmodell och ger exempel på omständigheter som revisorn kan beakta för att förstå aktiviteter i företaget som kanske ingår i affärsmodellen. Revisorns förståelse av företagets affärsmodell, och hur den påverkas av dess affärsstrategi och affärsmål, kan hjälpa revisorn att identifiera affärsrisker som kan påverka de finansiella rapporterna. Dessutom kan det hjälpa revisorn att identifiera risken för väsentliga felaktigheter.

Mål med och omfattning av ett företags affärsmodell

1.Ett företags affärsmodell beskriver hur ett företag betraktar t.ex. sin organisationsstruktur eller omfattningen av sina aktiviteter, verksamhetsgrenar (inklusive konkurrenter och kunder), processer, tillväxtmöjligheter, globalisering, krav enligt lagar och andra författningar samt teknik. Företagets affärsmodell beskriver hur företaget skapar, bibehåller och tar vara på finansiellt eller bredare värde, för sina intressenter.

2.Strategier är de sätt på vilka ledningen planerar att uppnå företagets mål, inklusive hur företaget planerar att hantera de risker och möjligheter som det ställs inför. Ett företags strategier ändras över tid av ledningen, för att svara mot förändringar i företagets mål samt i den interna och externa miljö i vilka verksamheten bedrivs.

3.En beskrivning av en affärsmodell omfattar vanligtvis följande:

  • Omfattningen av företagets aktiviteter och varför de bedrivs.

  • Företagets struktur och verksamhetens omfattning.

  • Marknaderna eller de geografiska eller demografiska områdena, samt delar av värdekedjan, där företaget bedriver verksamhet, hur det samverkar med dessa marknader eller områden (huvudsakliga produkter, kundsegment och distributionsmetoder) samt vilka företagets konkurrensfördelar och -nackdelar är.

  • Företagets verksamhets- eller rörelseprocesser (t.ex. processer för investeringar, finansieringsprocesser eller löpande processer) som används för att bedriva verksamheten, med fokus på de delar av affärsprocesserna som är viktiga för att skapa, bibehålla och ta vara på värde.

  • Resurserna (t.ex. finansiella resurser, personal, immateriella, miljömässiga och tekniska resurser) samt andra resurser och relationer (t.ex. kunder, konkurrenter, leverantörer och anställda) som är nödvändiga eller viktiga för företagets framgångar.

  • Hur företagets affärsmodell integrerar användning av IT i sina kontakter med kunder, leverantörer, långivare och andra intressenter genom IT-gränssnitt och andra tekniker.

4.En affärsrisk kan få omedelbara konsekvenser för risken för väsentliga felaktigheter när det gäller transaktionsslag, konton och upplysningar på påstående- eller rapportnivån. En affärsrisk som härrör från en betydande nedgång i marknadsvärdena på fastighetsmarknaden kan t.ex. öka risken för väsentliga felaktigheter hänförliga till värderingspåståendet för en långivare av medelfristiga fastighetslån. Samma risk, framför allt i kombination med en svår lågkonjunktur som på samma gång ökar den underliggande risken för kreditförluster under lånens livslängd, kan emellertid också få konsekvenser på längre sikt. Den nettoexponering för kreditförluster som blir resultatet kan kasta betydande tvivel över företagets förmåga att fortsätta verksamheten. Om så är fallet skulle det kunna ha betydelse för ledningens, och revisorns, slutsats om företagets tillämpning av fortlevnadsprincipen vid upprättandet av de finansiella rapporterna, och fastställandet av om det föreligger en betydande osäkerhet. Om en affärsrisk kan leda till en risk för väsentliga felaktigheter beaktas därför mot bakgrund av företagets situation. Exempel på händelser och förhållanden som kan ge upphov till risk för väsentliga felaktigheter återfinns i Bilaga 2.

Företagets aktiviteter

5.Exempel på omständigheter som revisorn kan överväga när han eller hon gör sig en bild av företagets verksamhet (som ingår i företagets affärsmodell) inkluderar följande:

  1. Affärsverksamhet, t.ex.:

    • karaktären på inkomstkällorna, varor eller tjänster, och marknaderna, bland annat elektronisk handel såsom internetförsäljning och marknadsföringsaktiviteter,

    • hur verksamheten bedrivs (t.ex. produktionsstadier och produktionsmetoder eller aktiviteter som är utsatta för miljörisker),

    • allianser, samriskföretag och till andra utlagda aktiviteter,

    • geografisk spridning och branschsegmentering,

    • lokalisering av produktionsanläggningar, lagerlokaler och kontor samt varulagrens lokalisering och kvantiteter,

    • viktiga kunder och viktiga leverantörer av varor och tjänster, anställningsformer (däribland förekomsten av kollektivavtal, pensioner och andra förmåner efter avslutad anställning, aktie- och bonusbaserade incitamentsprogram samt offentlig reglering av anställningsfrågor),

    • aktivitet inom och utgifter för forskning och utveckling,

    • transaktioner med närstående.

  2. Investeringar och investeringsaktiviteter, t.ex.:

    • planerade eller nyligen gjorda förvärv eller avyttringar,

    • investeringar i och avyttringar av värdepapper och lån,

    • investeringar i anläggningstillgångar,

    • investeringar i icke konsoliderade företag, bland annat partnersamarbeten utan bestämmande inflytande, samriskföretag och företag för särskilda ändamål utan bestämmande inflytande.

  3. Finansiering och finansieringsaktiviteter, t.ex.:

    • ägarstruktur i större dotterföretag och intresseföretag, både konsoliderade och icke konsoliderade strukturer,

    • skuldstruktur och tillhörande villkor, inklusive finansieringsarrangemang utanför balansräkningen och leasingavtal,

    • verkliga ägare (t.ex. lokala och utländska och dessas renommé och erfarenhet) och närstående parter,

    • användning av derivatinstrument.

Karaktären på ”företag för särskilda ändamål”

6.Ett företag för särskilt ändamål (kallas ibland ett ”specialfordon”) är ett företag som i allmänhet bildas för ett smalt och väldefinierat syfte, t.ex. för att genomföra leasing eller värdepapperisering av finansiella tillgångar, eller för att utföra forsknings- och utvecklingsverksamhet. Det kan ha formen av ett bolag, en stiftelse, ett handelsbolag eller ett enkelt bolag. Företaget för vars räkning företaget för särskilt ändamål har skapats kan ofta överföra tillgångar till det senare (t.ex. som en del av en transaktion för att ta bort finansiella tillgångar från balansräkningen), skaffa sig rätten att använda det senare företagets tillgångar eller utföra tjänster åt det senare företaget, samtidigt som andra parter kan finansiera det senare företaget. Som ISA 550 anger kan ett företag för särskilt ändamål under vissa omständigheter vara en närstående part till företaget.71

ISA 550, punkt A7.

7.Ramverk för finansiell rapportering anger ofta detaljerade villkor som kan anses innebära bestämmande inflytande eller omständigheter under vilka en konsolidering av företaget för särskilt ändamål bör övervägas. Tolkningen av kraven i sådana ramverk kräver ofta detaljerade kunskaper om de relevanta avtal som rör företaget för särskilt ändamål.

Bilaga 2 Förstå inneboende riskfaktorer (se punkterna 12 f, 19 c, A7‒A8, A85‒A89)

Denna bilaga ger ytterligare förklaringar av de inneboende riskfaktorerna och omständigheter som revisorn kan beakta för att förstå och använda de inneboende riskfaktorerna när han eller hon identifierar och bedömer riskerna för väsentliga felaktigheter på påståendenivån.

De inneboende riskfaktorerna

1.Inneboende riskfaktorer är egenskaper hos händelser eller förhållanden som påverkar hur känsligt ett påstående om ett transaktionsslag, ett konto eller en upplysning är för felaktigheter, vare sig dessa beror på oegentligheter eller misstag, före beaktandet av kontroller. Sådana faktorer kan vara kvalitativa eller kvantitativa, och omfattar komplexitet, subjektivitet, förändring, osäkerhet eller känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter72 i den mån de påverkar den inneboende risken. När revisorn bildar sig en uppfattning om företaget och dess miljö samt det tillämpliga ramverket för finansiell rapportering och företagets redovisningsprinciper, enligt punkterna 19 a‒b förstår revisorn också hur de inneboende riskfaktorerna påverkar känsligheten i påståenden för felaktigheter vid upprättandet av de finansiella rapporterna.

ISA 240, punkterna A24–A27.

2.Inneboende riskfaktorer avseende framtagandet av information som krävs enligt det tillämpliga ramverket för finansiell rapportering (kallas i detta avsnitt ”nödvändig information”) inkluderar följande:

  • Komplexitet – uppkommer antingen från informationens karaktär eller på det sätt som den nödvändiga informationen tas fram, inklusive när det på grund av informationens karaktär är svårt att ta fram den. Komplexitet kan t.ex. uppkomma

    • vid beräkningen av avsättning för leverantörsrabatter, eftersom det kan vara nödvändigt att beakta olika kommersiella villkor hos många olika leverantörer, eller många sammanhängande kommersiella villkor som alla är relevanta för att beräkna de upplupna rabatter leverantörerna är berättigade till, eller

    • när det finns många potentiella datakällor, med olika egenskaper som används för att göra en uppskattning i redovisningen omfattar bearbetningen av dessa data många sammanlänkade steg, och därmed ligger det i sakens natur att informationen är svårare att identifiera, samla in, få åtkomst till, förstå eller bearbeta.

  • Subjektivitet – uppkommer från inneboende begränsningar i möjligheten att ta fram nödvändig information på ett objektivt sätt, på grund av begränsningar i tillgång på kunskap eller information, på så sätt att ledningen kan behöva göra ett val eller en subjektiv bedömning av den lämpliga metoden att använda och vilken resulterande information som bör tas med i de finansiella rapporterna. På grund av de olika metoderna för att ta fram den nödvändiga informationen skulle man kunna få olika resultat från en korrekt tillämpning av kraven i det tillämpliga ramverket för finansiell rapportering. När begränsningarna av kunskap eller data ökar kommer även subjektiviteten i bedömningarna som skulle kunna göras av rimligt insatta och oberoende personer, och mångfalden i de möjliga utfallen av dessa bedömningar, att öka.

  • Förändring – är resultatet av händelser eller omständigheter som, över tid, påverkar företagets verksamhet eller ekonomiska, redovisningsmässiga, tillsynsmässiga, branschrelaterade eller andra aspekter på den miljö där företaget bedriver verksamhet, när effekterna av de händelserna eller omständigheterna återspeglas i den nödvändiga informationen. Sådana händelser eller omständigheter kan uppkomma under, eller mellan, finansiella rapporttidpunkter. Förändring kan t.ex. komma sig av utveckling av kraven i det tillämpliga ramverket för finansiell rapportering, eller i företaget och dess affärsmodell, eller i den miljö där verksamheten bedrivs. Sådana förändringar kan påverka ledningens antaganden och bedömningar, inklusive hur de är relaterade till ledningens val av redovisningsprinciper eller hur uppskattningar i redovisningen görs eller hur hänförliga upplysningar fastställs.

  • Osäkerhet – uppkommer när den nödvändiga informationen inte kan tas fram enbart baserat på tillräckligt precis och omfattande data som går att verifiera genom direkta observationer. I sådana fall kan det krävas att man tillämpar en metod som använder den tillgängliga kunskapen utifrån tillräckligt precisa och omfattande observerbara data, i den mån sådana finns tillgängliga, samt rimliga antaganden stödda av de mest lämpliga data som finns tillgängliga, när observerbara data inte finns. Begränsningar i tillgången på kunskap eller data, som inte ligger inom ledningens kontroll (med förbehåll för kostnadsbegränsningar där det är tillämpligt) är källor till osäkerhet och deras effekt på framtagandet av den nödvändiga informationen kan inte elimineras. Osäkerhet i uppskattningarna uppstår t.ex. när det nödvändiga monetära beloppet inte kan fastställas med precision och utfallet av uppskattningen inte är känt före det datum när de finansiella rapporterna färdigställs.

  • Känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter i den mån de påverkar den inneboende risken – känslighet för bristande objektivitet hos företagsledningen uppstår genom omständigheter som skapar en känslighet för ett avsiktligt eller oavsiktligt misslyckande från ledningen att förbli neutral när informationen tas fram. Bristande objektivitet hos ledningen är ofta förknippat med vissa omständigheter som har potential att ge upphov till att ledningen inte upprätthåller neutraliteten när den gör bedömningar (tecken på potentiell bristande objektivitet hos ledningen), vilket skulle kunna leda till väsentliga felaktigheter i informationen som, skulle vara bedräglig om den var avsiktlig. Sådana tecken inkluderar incitament eller påtryckningar i den mån som de påverkar inneboende risker (t.ex. som ett resultat av motivationen att uppnå ett önskat resultat, såsom ett önskat resultatmål eller en soliditet) och möjligheter att inte upprätthålla neutralitet. Faktorer relevanta för känsligheten för felaktigheter till följd av oegentligheter i form av bedräglig finansiell rapportering eller förskingring av tillgångar beskrivs i punkterna A1 till A5 i ISA 240.

3.När komplexiteten är en inneboende riskfaktor kan det finnas ett inbyggt behov av mer komplexa processer vid framtagandet av informationen, och sådana processer kan till sin natur vara svårare att tillämpa. Detta kan leda till att tillämpningen kräver specialkompetens eller specialkunskaper och kan kräva att man använder sig av en specialist anlitad av företagsledningen.

4.När ledningens bedömning är mer subjektiv kan känsligheten för felaktigheter på grund av bristande objektivitet hos ledningen, vare sig den är oavsiktlig eller avsiktlig, också öka. Det kan t.ex. inbegripa betydande bedömningar från ledningen för att göra uppskattningar i redovisningen som har identifierats som att de är behäftade med en stor osäkerhet, och slutsatser gällande metoder, data och antaganden kan återspegla en oavsiktlig eller avsiktlig bristande objektivitet hos ledningen.

Exempel på händelser och förhållanden som kan ge upphov till förekomsten av risker för väsentliga felaktigheter

5.Nedan finns exempel på händelser (inklusive transaktioner) och förhållanden som kan tyda på att det finns risker för väsentliga felaktigheter i de finansiella rapporterna, på rapportnivån eller påståendenivån. Exemplen som ges för inneboende riskfaktorer täcker en rad olika händelser och omständigheter. Alla dessa händelser och omständigheter är dock inte relevanta för varje revisionsuppdrag och förteckningen över exempel är inte nödvändigtvis uttömmande. Händelserna och omständigheterna har kategoriserats utifrån den inneboende riskfaktor som kan ha den största effekten under omständigheterna. Viktigt att notera är att på grund av det inbördes sambandet mellan de inneboende riskfaktorerna kan exemplen på händelser och omständigheter sannolikt vara föremål för, eller påverkas av, andra inneboende riskfaktorer i olika grad.

Relevanta inneboende riskfaktorer:

Exempel på händelser eller förhållanden som kan vara tecken på förekomsten av risker för väsentliga felaktigheter på påståendenivån:

Komplexitet

Regelverk:

  • Verksamheter som är föremål för en mycket komplex reglering.

Affärsmodell:

  • Förekomsten av komplexa allianser och samriskföretag.

Tillämpligt ramverk för finansiell rapportering:

  • Värderingar i redovisningen som inbegriper komplexa processer.

Transaktioner:

  • Användning av finansiering utanför balansräkningen, företag för särskilt ändamål och andra komplexa finansieringsavtal.

Subjektivitet

Tillämpligt ramverk för finansiell rapportering:

  • En lång rad möjliga värderingskriterier för en uppskattning i redovisningen. T.ex. ledningens redovisning av avskrivningar eller byggnationsintäkter och -kostnader.

  • Ledningens val av en värderingsteknik eller -modell för en anläggningstillgång, såsom förvaltningsfastigheter.

Förändring

Ekonomiska förhållanden:

  • Verksamheter i ekonomiskt instabila regioner, t.ex. länder med betydande valutadevalvering eller ekonomier med hög inflation.

Marknader:

  • Verksamheter som är exponerade för volatila marknader, t.ex. handel med terminskontrakt.

Förlust av kunder:

  • Frågor som rör fortsatt drift och likviditet, däribland förlust av betydelsefulla kunder.

Branschmodell:

  • Förändringar i den bransch där företaget verkar.

Affärsmodell:

  • Förändringar i varuförsörjningskedjan.

  • Utveckling eller tillhandahållande av nya varor eller tjänster, eller utvidgning till nya affärsområden.

Geografi:

  • Expansion till nya platser.

Företagsstruktur:

  • Förändringar i företaget såsom stora förvärv eller omorganisationer eller andra ovanliga händelser.

  • Företag eller affärssegment som troligtvis kommer att säljas.

Personalkompetens:

  • Förändringar bland nyckelpersoner, däribland att personer i företagsledningen slutar.

IT:

  • Förändringar i IT-miljön.

  • Installation av betydelsefulla nya IT-system för finansiell rapportering.

Tillämpligt ramverk för finansiell rapportering:

  • Tillämpning av nya redovisningsuttalanden.

Kapital:

  • Nya begränsningar i fråga om tillgängligheten på kapital och krediter.

Regelverk:

  • Påbörjande av utredningar från tillsynsorgan eller statliga organ av företagets verksamheter eller ekonomiska resultat.

  • Påverkan från ny lagstiftning hänförlig till miljöskydd.

Osäkerhet

Rapportering:

  • Händelser eller transaktioner som inbegriper en betydande grad av osäkerhet i värderingen, inklusive uppskattningar i redovisningen samt tillhörande upplysningar.

  • Icke avgjorda rättstvister och ansvarsförbindelser, t.ex. säljgarantier, ekonomiska garantier och miljöskulder.

Känslighet för felaktigheter till följd av bristande objektivitet hos företagsledningen eller andra riskfaktorer avseende oegentligheter i den mån de påverkar den inneboende risken

Rapportering:

  • Möjligheter för företagsledning och anställda att bedriva bedräglig finansiell rapportering, inklusive att utesluta, eller dölja, väsentlig information i upplysningarna.

Transaktioner:

  • Betydande transaktioner med närstående parter.

  • Betydande antal av icke rutinmässiga eller icke-systematiska transaktioner, inklusive koncerninterna transaktioner och stora intäktstransaktioner vid räkenskapsperiodens slut.

  • Transaktioner som bokförs på grundval av företagsledningens avsikter, t.ex. refinansiering av skulder, tillgångar som ska säljas och klassificering av värdepapper.

Andra händelser eller förhållanden som kan tyda på risker för väsentliga felaktigheter på rapportnivån:

  • Avsaknad av personal med rätt kompetens inom redovisning och finansiell rapportering.

  • Brister i kontrollerna – i synnerhet i kontrollmiljön, riskbedömningsprocessen och processen för övervakning, och i synnerhet de brister som ledningen inte vidtar åtgärder mot.

  • Tidigare felaktigheter, en historia av misstag eller ett betydande antal justeringar vid räkenskapsperiodens slut.

Bilaga 3 Att förstå företagets system för intern kontroll (se punkterna 12 m, 21–26, A90–A181)

1.Företagets system för intern kontroll kan återspeglas i handböcker för riktlinjer och rutiner, system och blanketter och den information som finns inbäddad i dessa, och utförs av företagets personal. Företagets system för intern kontroll införs av ledningen, styrelsen och annan personal utifrån företagets struktur. Företagets system för intern kontroll kan tillämpas, grundat på beslut från ledning, styrelse eller annan personal och inom ramen för lagar och andra författningar, på företagets verksamhetsmodell, strukturen för den juridiska personen, eller en kombination av dessa.

2.I den här bilagan förklaras den interna kontrollens komponenter, samt dess begränsningar, som de beskrivs i punkterna 12 m, 21–26 och A90–A181, som de hänför sig till revision av finansiella rapporter.

3.Företagets system för intern kontroll innefattar aspekter som är hänförliga till företagets mål för den finansiella rapporteringen men det kan också innefatta aspekter som avser dess verksamhets- eller efterlevnadsmål, när sådana aspekter är relevanta för den finansiella rapporteringen.

Exempel:

Kontroller över efterlevnad av lagar och andra författningar kan också vara relevanta för den finansiella rapporteringen när sådana kontroller är relevanta när företaget tar fram upplysningar om eventualförpliktelser i de finansiella rapporterna.

Komponenterna i företagets system för intern kontroll

Kontrollmiljön

4.I kontrollmiljön ingår styr- och ledningsfunktioner samt styrelsens och företagsledningens inställning, medvetenhet och åtgärder beträffande företagets system för intern kontroll och dess betydelse i företaget. Kontrollmiljön anger tonen i en organisation, påverkar medarbetarnas medvetenhet om kontroller och lägger generellt grunden till driften av de andra komponenterna i företagets system för intern kontroll.

5.Ett företags kontrollmedvetande påverkas av styrelsen, eftersom en av styrelsens uppgifter är att uppväga det tryck på företagsledningen i fråga om finansiell rapportering, som kan uppstå till följd av krav från marknaden eller ersättningssystem. Hur väl styrelsens medverkan påverkar effektiviteten i utformningen av kontrollmiljön påverkas således av frågor som

  • dess oberoende från företagsledningen och dess förmåga att utvärdera företagsledningens åtgärder,

  • huruvida styrelsen förstår företagets affärstransaktioner,

  • i vilken omfattning den bedömer huruvida de finansiella rapporterna har upprättats enligt det tillämpliga ramverket för finansiell rapportering, däribland huruvida de finansiella rapporterna innehåller adekvata upplysningar.

6.Kontrollmiljön består av följande delar:

  1. Hur ledningen utövar sitt ansvar, såsom att skapa och upprätthålla företagets kultur och betona vikten av hederlighet och etiska värderingar. Kontroller kan inte kompensera brist på hederlighet och etiska värderingar hos de människor som utvecklar, administrerar och övervakar dem. Hederlighet och etiskt agerande är resultatet av företagets etiska normer och normer för agerande eller uppförandekoder, hur de kommuniceras (t.ex. genom riktlinjer), och hur de följs upp i praktiken (t.ex. genom ledningens agerande för att eliminera eller minska motiv eller frestelser som kan förmå anställda att agera ohederligt, olagligt eller oetiskt). I kommunikationen av företagets riktlinjer i fråga om hederlighet och etiska värderingar kan ingå att kommunicera normer för agerande till personalen genom riktlinjer och uppförandekoder samt genom att föregå med gott exempel.

  2. När styrelsen är separat från ledningen, hur styrelsen visar sitt oberoende gentemot ledningen och utövar tillsyn över företagets system för intern kontroll. Ett företags kontrollmedvetande påverkas av styrelsen. Överväganden kan omfatta huruvida det finns tillräckligt många personer som är oberoende i förhållande till ledningen och objektiva i sina utvärderingar och sitt beslutsfattande och hur styrelsen identifierar och godtar ansvar för översynen och huruvida styrelsen behåller ansvaret för översynen av ledningens utformning, införande och hantering av företagets system för intern kontroll. Betydelsen av styrelsens ansvar framgår av regelsystem samt av andra lagar och andra författningar eller vägledning som tagits fram åt styrelsen. Bland övriga ansvarsområden för styrelsen ingår tillsyn över utformningen och driften av anmälningsrutiner, s.k. ”whistle blower”-rutiner.

  3. Hur företaget tilldelar befogenhet och ansvar för att uppnå sina mål. Det kan omfatta överväganden av

    • viktiga befogenhets- och ansvarsområden samt ändamålsenliga rapporteringsvägar,

    • riktlinjer som avser lämplig affärssed, kunskap och erfarenhet hos nyckelpersoner samt de resurser som ges när arbetsuppgifterna ska genomföras, och

    • riktlinjer och kommunikation i syfte att se till att all personal förstår företagets mål, vet hur deras personliga handlingar samverkar med och bidrar till dessa mål samt inser hur och för vad de får ansvar.

  4. Hur företaget lockar till sig, utvecklar och behåller kompetenta medarbetare i enlighet med sina mål. Det omfattar hur företaget säkerställer att medarbetarna besitter den kunskap och skicklighet som krävs för att utföra de arbetsuppgifter som ingår i den enskilda personens jobb, så som

    • normer för rekrytering av de mest kvalificerade personerna – med betoning på utbildning, tidigare erfarenheter, tidigare prestationer samt bevis på hederlighet och etiskt agerande,

    • utbildningsriktlinjer som kommunicerar framtida roller och ansvar, som bland annat inbegriper kurser och seminarier som visar vilka nivåer på prestationer och agerande företaget förväntar sig,

    • regelbundna prestationsbedömningar som leder till befordringar visar att företaget satsar på att befordra kvalificerad personal till nivåer med större ansvar.

  5. Hur företaget håller olika personer ansvariga för deras ansvarsområden för att nå målen med företagets system för intern kontroll. Det kan till exempel uppnås genom

    • mekanismer för att kommunicera och hålla olika personer ansvariga för att utöva kontrollansvar och för att införa rättelseåtgärder efter behov,

    • etablera resultatmått, stimulans och belöningar till de personer som är ansvariga för företagets system för intern kontroll, inklusive hur måtten utvärderas och behåller sin relevans,

    • hur press förknippad med uppnåendet av kontrollmål påverkar de enskilda personernas ansvar och resultatmått, och

    • hur personerna blir föremål för disciplinära åtgärder efter behov.

Tillämpligheten av de ovanstående frågorna kommer att skilja sig åt mellan olika företag beroende på storlek, komplexitet i dess struktur och karaktären på dess aktiviteter.

Företagets riskbedömningsprocess

7.Företagets riskbedömningsprocess är en iterativ process för att identifiera och analysera risker för att nå företagets mål, och utgör grunden för hur företagsledningen eller styrelsen avgör vilka risker som ska hanteras.

8.När det gäller finansiell rapportering inbegriper företagets riskbedömningsprocess det sätt på vilket företagsledningen identifierar risker som är relevanta för utarbetandet av finansiella rapporter enligt företagets tillämpliga ramverk för finansiell rapportering, uppskattar hur betydande de är, bedömer sannolikheten för att de ska inträffa och beslutar om åtgärder för att hantera dem och resultatet av detta. Företagets riskbedömningsprocess kan t.ex. ta upp frågan hur företaget beaktar risken för att det finns oredovisade transaktioner eller hur företaget identifierar och analyserar betydande uppskattningar som har redovisats i de finansiella rapporterna.

9.Risker som är relevanta för en tillförlitlig finansiell rapportering inbegriper externa och interna händelser, transaktioner eller förhållanden som kan inträffa och få en negativ inverkan på företagets möjlighet att initiera, registrera, bearbeta och rapportera finansiell information som överensstämmer med företagsledningens påståenden i de finansiella rapporterna. Företagsledningen kan initiera planer, program eller åtgärder för att hantera särskilda risker eller besluta att påta sig en risk, av kostnadsskäl eller andra skäl. Risker kan uppstå eller förändras till följd av omständigheter såsom följande:

  • Förändringar i den operativa miljön. Förändringar i regelverket, i den ekonomiska eller operativa miljön kan medföra förändringar i tryck från konkurrenter och betydande olika risker.

  • Ny personal. Ny personal kan ha annat fokus eller annan förståelse av företagets system för intern kontroll.

  • Nytt eller ändrat informationssystem. Betydande och snabba ändringar i informationssystemet kan förändra den risk som hänför sig till företagets system för intern kontroll.

  • Snabb tillväxt. Betydande och snabbt expanderande verksamheter kan utsätta kontrollerna för påfrestningar och öka risken för att kontrollerna inte fungerar.

  • Ny teknik. Att införa ny teknik i produktionsprocesser eller informationssystemet kan förändra den risk som företagets system för intern kontroll utformats för.

  • Nya affärsmodeller, produkter eller aktiviteter. Att gå in i nya affärsområden eller affärstransaktioner som ett företag har begränsad erfarenhet av kan medföra nya risker avseende företagets system för intern kontroll.

  • Omstruktureringar av företag. Omstruktureringar kan medföra personalminskningar och förändringar av övervakning och arbetsfördelning vilket kan ändra risken avseende företagets system för intern kontroll.

  • Expansion av utlandsverksamheter. Expansion eller förvärv av utlandsverksamheter medför nya och ofta unika risker som kan påverka den interna kontrollen, t.ex. fler eller ändrade risker i samband med valutatransaktioner.

  • Nya redovisningsuttalanden. Införande av nya redovisningsprinciper eller byte av redovisningsprinciper kan påverka risker i samband med att finansiella rapporter upprättas.

  • Användning av IT. Risker avseende att

    • upprätthålla integriteten i data och informationsbearbetning,

    • risker gällande företagets affärsstrategi som uppkommer om företagets IT-strategi inte på ett effektivt sätt stödjer företagets affärsstrategi, eller

    • förändringar av eller avbrott i företagets IT-miljö eller omsättning på IT-personal eller när företaget inte gör nödvändiga uppdateringar av IT-miljön eller sådana uppdateringar inte görs i rätt tid.

Företagets process för att övervaka systemet för intern kontroll

10.Företagets process för att övervaka systemet för intern kontroll är en fortlöpande process för att utvärdera ändamålsenligheten i företagets system för intern kontroll, samt att vidta nödvändiga åtgärder utan onödigt dröjsmål. Företagets process för att övervaka företagets system för intern kontroll kan bestå av löpande aktiviteter, separata utvärderingar (som genomförs regelbundet) eller en kombination av de båda. Löpande övervakningsaktiviteter byggs ofta in i ett företags ordinarie återkommande aktiviteter och kan inbegripa regelmässiga lednings- och tillsynsaktiviteter. Företagets process varierar sannolikt i omfattning och frekvens beroende på företagets bedömning av risken.

11.Målen med och omfattningen av funktioner för internrevision omfattar vanligtvis aktiviteter utformade för att utvärdera eller övervaka ändamålsenligheten i företagets system för intern kontroll.73 Företagets process för att övervaka företagets system för intern kontroll kan inbegripa sådana aktiviteter som företagsledningens genomgång av huruvida bankavstämningar görs utan onödigt dröjsmål, internrevisorernas bedömning av om försäljningspersonalen följer företagets riktlinjer för villkor i försäljningsavtal samt en juridisk avdelnings tillsyn av hur företagets etiska riktlinjer eller riktlinjer för affärsmetoder följs. Övervakning sker också för att säkerställa att kontrollerna fortsätter att fungera över tiden. Om t.ex. ingen övervakning görs av att bankavstämningar sker på ett riktigt sätt och utan onödigt dröjsmål är det troligt att personalen slutar att göra dem.

ISA 610 (omarbetad 2013). Bilaga 4 i denna standard ger ytterligare vägledning avseende internrevision.

12.Kontroller hänförliga till företagets process för att övervaka företagets system för intern kontroll, inklusive dem som övervakar underliggande automatiserade kontroller, kan vara automatiserade eller manuella, eller en kombination av båda. Ett företag kan till exempel använda automatiserade övervakningskontroller över åtkomst till viss teknik i kombination med automatiserade rapporter om ovanliga aktiviteter till ledningen, som manuellt undersöker identifierade avvikande poster.

13.När man skiljer mellan en övervakningsaktivitet och en kontroll hänförlig till informationssystemet beaktas de underliggande detaljerna i aktiviteten, särskilt när aktiviteten inbegriper någon form av tillsynsgranskning. Tillsynsgranskningar klassificeras inte automatiskt som övervakningsaktiviteter och det kan vara en bedömningsfråga om en granskning klassificeras som en kontroll hänförlig till informationssystemet eller en övervakningsaktivitet. Avsikten med en månatlig kontroll av fullständigheten kan till exempel vara att upptäcka och rätta till fel, medan syftet med en övervakningsaktivitet är att ta reda på varför felen uppkommer och ge ledningen ansvaret för att korrigera processen för att förhindra framtida fel. Enkelt uttryckt, en kontroll hänförlig till informationssystemet svarar på en specifik risk, medan en övervakningsaktivitet bedömer om kontrollerna inom var och en av de fem komponenterna i företagets system för intern kontroll fungerar som det är tänkt.

14.Övervakningsaktiviteter kan innefatta att använda sådan information från kommunikation med externa parter som kan tyda på problem eller belysa områden som behöver förbättras. Kunderna bekräftar indirekt fakturauppgifter genom att betala sina fakturor eller klaga på debiteringar. Tillsynsmyndigheter kan dessutom kommunicera med företaget i frågor som påverkar företagets system för intern kontroll, t.ex. kommunikation från granskning som görs av banktillsynsorgan. Företagsledningen kan vid utförandet av övervakningsaktiviteter dessutom beakta eventuell kommunikation om intern kontroll från externa revisorer.

Informationssystem och kommunikation

15.Det informationssystem som är relevant för upprättandet av de finansiella rapporterna består av aktiviteter och riktlinjer samt redovisning med underlag, utformade och fastställda för att

  • initiera, registrera och bearbeta transaktioner i företaget (samt att inhämta, bearbeta och ge information om händelser och förhållanden utöver transaktionerna) samt uppfylla redovisningsskyldigheten för tillhörande tillgångar, skulder och eget kapital,

  • rätta till transaktioner som har bearbetats felaktigt, t.ex. automatiska bevakningsfiler och rutiner för att reglera bevakningsposter utan onödigt dröjsmål,

  • bearbeta och redogöra för situationer då system har åsidosatts eller kontroller har kringgåtts,

  • införliva information från bearbetning av transaktioner i huvudboken (t.ex. överföring av ackumulerade transaktioner från en reskontra),

  • samla in och bearbeta information, som är relevant för upprättandet av de finansiella rapporterna, om händelser och förhållanden utöver transaktioner, t.ex. avskrivning av tillgångar och förändringar i återvinningsvärdet av tillgångar, och

  • säkerställa att den information som måste lämnas enligt det tillämpliga ramverket för finansiell rapportering samlas in, förtecknas, bearbetas, sammanfattas och rapporteras på rätt sätt i de finansiella rapporterna.

16.Ett företags affärsprocesser omfattar aktiviteter som syftar till att

  • utveckla, köpa, producera, sälja och distribuera ett företags varor och tjänster,

  • säkerställa att lagar och andra författningar följs, och

  • registrera information, däribland information som rör redovisning och finansiell rapportering.

Affärsprocesser leder fram till transaktioner som bokförs, bearbetas och redovisas i informationssystemet.

17.Kvaliteten på informationen påverkar företagsledningens möjlighet att fatta riktiga beslut om ledning och kontroll av företagets verksamheter och att upprätta tillförlitliga finansiella rapporter.

18.Kommunikation, som inbegriper att ge en förståelse av enskilda roller och ansvar som hänför sig till företagets system för intern kontroll kan ske i form av policydokument, handböcker för redovisning och finansiell rapportering samt promemorior. Kommunikation kan också ske elektroniskt, muntligt eller genom företagsledningens åtgärder.

19.I företagets interna kommunikation av roller och ansvar beträffande den finansiella rapporteringen och betydelsefulla frågor som rör den finansiella rapporteringen ingår att förmedla en förståelse av de individuella roller och ansvarsområden som rör den interna kontrollen över den finansiella rapporteringen. Detta kan inbegripa frågor som i vilken omfattning medarbetarna förstår hur deras aktiviteter i informationssystemet hänger samman med andras arbete och på vilket sätt avvikelser ska rapporteras till lämplig högre nivå i företaget.

Kontrollaktiviteter

20.Kontrollerna i kontrollaktivitetskomponenten identifieras enligt punkt 26. Sådana kontroller omfattar informationsbearbetningskontroller och allmänna IT-kontroller, varav båda kan vara av manuell eller automatiserad art. Ju större omfattningen är av automatiserade kontroller, eller kontroller som inbegriper automatiserade aspekter, som ledningen använder och förlitar sig på med avseende på sin finansiella rapportering, desto viktigare kan det bli för företaget att införa allmänna IT-kontroller som säkerställer att de automatiserade aspekterna av informationsbearbetningskontrollerna löpande fungerar. Kontroller i kontrollaktivitetskomponenten kan avse följande:

  • Auktorisation och godkännanden. En auktorisation bekräftar att en transaktion är giltig (dvs. den representerar en faktisk ekonomisk händelse eller faller inom ramen för ett företags riktlinjer). En auktorisation har vanligtvis formen av ett godkännande från en högre nivå i ledningen eller av en verifiering samt ett fastställande av att transaktionen är giltig. En chef kan till exempel godkänna en kostnadsrapport efter att ha granskat om kostnaderna verkar rimliga och inom ramen för riktlinjerna. Ett exempel på ett automatiserat godkännande är när en kostnad per enhet på en faktura automatiskt jämförs med motsvarande kostnaden per enhet på köpordern inom en på förhand etablerad toleransnivå. Fakturor inom ramen för toleransnivån godkänns automatiskt för betalning. De fakturor som faller utanför toleransnivån flaggas för ytterligare utredning.

  • Avstämningar. Avstämningar jämför två eller fler dataelement. Om några skillnader identifieras vidtas åtgärder för att ta reda på vari skillnaden består. Avstämningar avser vanligtvis fullständigheten eller riktigheten i hur transaktionerna bearbetas.

  • Verifieringar . Verifieringar jämför två eller fler poster med varandra eller jämför en post med en riktlinje, och medför sannolikt en uppföljningsåtgärd när de två posterna inte stämmer överens eller posten inte följer riktlinjerna. Verifieringar avser vanligtvis fullständigheten, riktigheten eller giltigheten i hur transaktionerna har bearbetats.

  • Fysiska eller logiska kontroller, inklusive dem som hanterar tillgångarnas säkerhet mot obehörig åtkomst, obehörigt förvärv, obehörig användning eller avyttring. Kontroller som inbegriper

    • den fysiska säkerheten för tillgångar, däribland tillräckligt skydd såsom säkra lokaler som hindrar åtkomst till tillgångar och bokföringsmaterial,

    • godkännande av åtkomst till datorprogram och datafiler (dvs. logisk åtkomst),

    • regelbunden räkning och jämförelse med belopp som framgår av kontrollposter (t.ex. jämförelse av resultatet av inventeringar av likvida medel, värdepapper och varulager med räkenskapsmaterialet).

    I vilken omfattning de fysiska kontroller som ska förhindra stöld av tillgångar är relevanta för att de finansiella rapporterna upprättas på ett tillförlitligt sätt beror på omständigheter såsom om tillgångar är begärliga eller lätt kan förskingras.

  • Arbetsfördelning. Ge olika personer ansvar för att godkänna transaktioner, bokföra transaktioner och förvara tillgångar. Syftet med arbetsfördelning är att minska möjligheten för en person att ha en sådan ställning att han eller hon både kan begå och dölja misstag eller oegentligheter inom ramen för sina ordinarie arbetsuppgifter.

    En chef som godkänner försäljning på kredit ansvarar till exempel inte för redovisningen av kundfordringar eller för att hantera inbetalningar. Om en person kan utföra alla dessa aktiviteter skulle personen till exempel kunna skapa en fiktiv försäljning som inte skulle bli upptäckt. På ett liknande sätt ska säljare inte ha möjlighet att modifiera produktprisfiler eller provisionsnivåer.

    Ibland är inte en arbetsfördelning praktiskt genomförbar, kostnadseffektiv eller möjlig. Små och mindre komplexa företag kanske till exempel saknar tillräckliga resurser för att uppnå en idealisk arbetsfördelning och kostnaden för att anställa ytterligare personal kan vara oöverkomlig. I de lägena kan ledningen införa alternativa kontroller. Om säljaren i exemplet ovan kan modifiera produktprisfiler kan en kontrollaktivitet för att upptäcka felaktigheter inrättas så att personal som inte har någon relation till säljaren i fråga regelbundet granskar om och under vilka omständigheter säljaren har ändrat priserna.

21.Vissa kontroller kan vara beroende av förekomsten av tillsynskontroller som har införts av företagsledningen eller styrelsen. T.ex. kan attestkontroller delegeras enligt fastställda riktlinjer såsom investeringskriterier som har fastställts av styrelsen. Alternativt kan icke rutinmässiga transaktioner, såsom stora förvärv eller avyttringar, kräva särskilt godkännande från hög nivå, däribland av aktieägarna i vissa fall.

Begränsningar i intern kontroll

22.Företagets system för intern kontroll, oavsett hur effektiv den är, kan endast ge rimlig säkerhet om hur väl företag når sina mål med avseende på finansiell rapportering. Sannolikheten för att de ska uppnås påverkas av inneboende begränsningar i den interna kontrollen. I dessa ingår det faktum att människor kan göra felaktiga bedömningar när de fattar beslut och att systemet för intern kontroll kan sluta att fungera på grund av den mänskliga faktorn. Fel kan t.ex. förekomma i utformningen av eller vid en ändring av en kontroll. På samma sätt kan det hända att en kontroll inte fungerar, t.ex. om den information som har tagits fram särskilt för företagets system för intern kontroll (t.ex. en avvikelserapport) inte används på avsett sätt på grund av att den person som ska gå igenom informationen inte förstår dess syfte eller inte vidtar lämpliga åtgärder.

23.Kontroller kan dessutom kringgås om två personer eller fler kommer överens om detta i maskopi med varandra eller om företagsledningen på ett otillbörligt sätt beslutar att sätta sig över kontrollerna. Företagsledningen kan t.ex. teckna sidoavtal med kunder, som ändrar villkoren i företagets standardiserade försäljningsavtal vilket kan leda till felaktig intäktsredovisning. Kontroller i en IT-applikation som har utformats för att identifiera och rapportera transaktioner som överstiger vissa kreditgränser kan också åsidosättas eller stängas av.

24.När företagsledningen utformar och inför kontroller kan den dessutom göra bedömningar av arten på och omfattningen av de kontroller som den väljer att införa samt arten på och omfattningen av de risker som den väljer att påta sig.

Bilaga 4 Överväganden för att förstå företagets internrevisionsfunktion (se punkterna 14 a, 24 a ii, A25‒A28, A118)

Denna bilaga innehåller ytterligare överväganden avseende att förstå företagets internrevisionsfunktion när det finns en sådan funktion.

Internrevisionsfunktionens mål och omfattning

1.Internrevisionsfunktionens mål och omfattning, och arten på dess uppgifter och ställning inom organisationen, däribland funktionens befogenheter och ansvar, varierar kraftigt och beror på företagets storlek, komplexitet och struktur samt behoven hos företagsledningen och, i tillämpliga fall, styrelsen. Dessa förhållanden kan beskrivas i internrevisionens stadgar eller direktiv.

2.Internrevisionsfunktionens ansvar kan innefatta att utföra åtgärder och bedöma resultaten för att ge företagsledningen och styrelsen bekräftelse att utformningen av och ändamålsenligheten i riskhantering, företagets system för intern kontroll och styrningsprocesser är tillfredsställande. Om så är fallet kan internrevisionsfunktionen spela en viktig roll i företagets process för att övervaka företagets system för intern kontroll. Men internrevisionsfunktionens ansvar kan vara fokuserat på bedömning av verksamhetens ekonomi, effektivitet och ändamålsenlighet, och i detta fall kan internrevisionens arbete sakna direkt koppling till företagets finansiella rapportering.

Frågor till internrevisionsfunktionen

3.Om ett företag har en internrevisionsfunktion kan frågor till lämpliga personer inom funktionen ge information som är till nytta när revisorn skaffar sig en förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering och företagets system för intern kontroll, samt i att identifiera och bedöma riskerna för väsentliga felaktigheter på rapport- och påståendenivåerna. När internrevisionsfunktionen utför sitt arbete har den sannolikt fått kunskap om företagets verksamhet och affärsrisker och kan ha gjort iakttagelser baserat på sitt arbete, t.ex. identifierat kontrollbrister eller -risker som kan vara värdefull information för revisorns förståelse av företaget och dess miljö, det tillämpliga ramverket för finansiell rapportering, företagets system för intern kontroll, revisorns riskbedömning eller andra aspekter på revisionen. Frågorna ställs därför oavsett om revisorn räknar med att använda internrevisionsfunktionens arbete för att ändra karaktären på eller tidpunkten för, eller minska omfattningen av, de granskningsåtgärder som ska utföras eller inte.74 Frågor som är särskilt relevanta kan handla om förhållanden som internrevisionsfunktionen har tagit upp med styrelsen och utfallet av funktionens egen riskbedömning.

De relevanta kraven återfinns i ISA 610 (omarbetad 2013).

4.Om det, baserat på svaren på revisorns frågor, verkar finnas iakttagelser som kan vara relevanta för företagets finansiella rapportering och revisionen av de finansiella rapporterna kan revisorn bedöma det som lämpligt att läsa relevanta rapporter från internrevisionsfunktionen. Exempel på rapporter från internrevisionsfunktionen som kan vara relevanta innefattar funktionens strategi- och planeringsdokument och rapporter som har upprättats åt företagsledningen eller styrelsen och som beskriver iakttagelserna från internrevisionsfunktionens granskningar.

5.Dessutom gäller, enligt ISA 24075, att om internrevisionsfunktionen informerar revisorn om eventuella faktiska, misstänkta eller påstådda oegentligheter, ska revisorn beakta detta i sin identifiering av risk för väsentliga felaktigheter på grund av oegentligheter.

ISA 240, punkt 19.

6.Lämpliga personer inom internrevisionsfunktionen till vilka frågor ställs är sådana som, enligt revisorns bedömning, har rätt kunskap, erfarenhet och befogenhet, t.ex. chefen för internrevisionen eller, beroende på omständigheterna, andra anställda inom funktionen. Revisorn kan också bedöma det lämpligt att ha återkommande möten med dessa personer.

Bedömning av internrevisionsfunktionen för att förstå kontrollmiljön

7.För att förstå kontrollmiljön kan revisorn också bedöma hur företagsledningen har hanterat internrevisionsfunktionens iakttagelser och rekommendationer i fråga om identifierade kontrollbrister som är relevanta för upprättandet av de finansiella rapporterna, däribland om och hur åtgärder som en följd härav har genomförts och om de därefter har utvärderats av internrevisionen.

Att förstå den roll som interrevisionsfunktionen spelar i företagets process för att övervaka systemet för intern kontroll

8.Om karaktären på internrevisionsfunktionens ansvarsområden och bestyrkandeverksamhet har koppling till företagets finansiella rapportering kan revisorn också använda internrevisionens arbete för att ändra art, tidpunkter och omfattning av de granskningsåtgärder som ska utföras direkt av revisorn för att inhämta revisionsbevis. Revisorer har troligen mer nytta av ett företags internrevisionsfunktions arbete när det, t.ex. utifrån erfarenheter från föregående revisioner eller revisorns riskbedömning, verkar som om företaget har en internrevisionsfunktion med tillräckliga och lämpliga resurser i förhållande till komplexiteten i företaget och arten på verksamheten samt som rapporterar direkt till styrelsen.

9.Om, utifrån revisorns preliminära förståelse av internrevisionen, han eller hon räknar med att använda internrevisionsfunktionens arbete för att ändra art, tidpunkter och omfattning av de granskningsåtgärder som ska utföras gäller ISA 610 (omarbetad 2013).

10.Enligt vad som närmare diskuteras i ISA 610 (omarbetad 2013) skiljer sig internrevisionsfunktionens aktiviteter från andra övervakningskontroller som kan vara relevanta för finansiell rapportering, t.ex. sådana genomgångar av företagets interna rapportering som är avsedda att bidra till att företaget förhindrar eller identifierar felaktigheter.

11.Att tidigt under uppdraget inleda en kommunikation med lämpliga personer inom ett företags internrevisionsfunktion och upprätthålla den kommunikationen under hela uppdraget kan bidra till en effektiv informationsdelning. Det skapar en miljö där revisorn kan hållas informerad om betydelsefulla förhållanden som internrevisionsfunktionen uppmärksammar, i de fall sådana förhållanden kan påverka revisorns arbete. ISA 200 diskuterar vikten av att revisorn planerar och utför revisionen med en professionellt skeptisk inställning76, vilket innefattar att vara uppmärksam på information som ifrågasätter tillförlitligheten hos dokument och svar på frågor som ska användas som revisionsbevis. Därför kan kommunikation med internrevisionsfunktionen under hela uppdraget ge internrevisorer möjlighet att uppmärksamma revisorn på sådan information. Revisorn kan då ta hänsyn till den informationen i sin identifiering och bedömning av riskerna för väsentliga felaktigheter.

ISA 200, punkt 7.

Bilaga 5 Överväganden för att förstå informationstekniken (IT) (se punkterna 25 a, 26 b‒c, A94, A166‒A172)

Denna bilaga innehåller ytterligare frågor som revisorn kan överväga för att förstå företagets användning av IT i sitt system för intern kontroll.

Att förstå företagets användning av informationsteknik i komponenterna i företagets system för intern kontroll

1.Ett företags system för intern kontroll innehåller manuella delar och automatiserade delar (dvs. manuella och automatiserade kontroller och andra resurser som används i företagets system för intern kontroll). Ett företags blandning av manuella och automatiserade delar varierar med arten på och komplexiteten i företagets IT-användning. Ett företags användning av IT påverkar hur information som är relevant för upprättandet av de finansiella rapporterna i enlighet med det tillämpliga ramverket för finansiell rapportering bearbetas, lagras och kommuniceras, och påverkar därmed hur företagets system för intern kontroll utformas och används. Varje enskild komponent i företagets system för intern kontroll kan använda IT i någon mån.

Vanligtvis gagnar IT ett företags system för intern kontroll på följande sätt:

  • Företaget kan konsekvent tillämpa fördefinierade affärsregler och utföra komplexa beräkningar när stora mängder transaktioner eller data bearbetas.

  • Informationen kan tas fram snabbare, blir mer tillgänglig och riktig.

  • Ytterligare analys av informationen underlättas.

  • Det blir enklare att övervaka företagets aktiviteter samt dess riktlinjer och rutiner.

  • Risken för att kontroller kringgås minskar.

  • Genom att införa säkerhetskontroller i IT-applikationer, databaser och operativsystem ökar möjligheten att skapa en effektiv uppdelning av arbetsuppgifter.

2.De manuella eller automatiserade delarnas egenskaper har betydelse för revisorns identifiering och bedömning av riskerna för väsentliga felaktigheter och de fortsatta granskningsåtgärder som bygger på dessa. Automatiserade kontroller kan vara mer tillförlitliga än manuella kontroller, eftersom de inte kan kringgås, ignoreras eller åsidosättas, och risken är också mindre för att det uppstår enkla fel och misstag. Automatiserade kontroller kan vara mer effektiva än manuella kontroller under följande omständigheter:

  • Många återkommande transaktioner, eller i situationer när förväntade eller förutsägbara fel kan förhindras, eller upptäckas och rättas genom automatisering.

  • Kontroller där särskilda sätt att utföra kontrollen kan utformas och automatiseras på ett korrekt sätt.

Förstå företagets användning av informationsteknik i informationssystemet (se punkt 25 a)

3.Företagets informationssystem kan omfatta användningen av manuella och automatiserade delar, vilket också påverkar hur transaktioner initieras, registreras, bearbetas och redovisas. I synnerhet kan efterlevnaden av processer för att initiera, registrera, bearbeta och rapportera transaktioner upprätthållas genom de IT-applikationer som används av företaget samt hur företaget har konfigurerat dessa applikationer. Dessutom kan digital information ersätta eller komplettera redovisningen i form av pappersdokument.

4.För att skaffa sig en förståelse av IT-miljön relevant för transaktionsflödena och informationsbearbetningen i informationssystemet samlar revisorn in information om arten på och egenskaperna hos de IT-applikationer som används, liksom stödjande IT-infrastruktur och IT. Följande tabell innehåller exempel på frågor som revisorn kan överväga när han eller hon skaffar sig förståelse av IT-miljön och inbegriper exempel på typiska kännetecken för IT-miljöer baserat på komplexiteten i de IT-applikationer som används i företagets informationssystem. Sådana kännetecken pekar emellertid bara ut riktningen och kan variera beroende på arten på de specifika IT-program som används av ett företag.

Exempel på typiska kännetecken för:

Icke-komplex kommersiell programvara

Medelstor och relativt komplex kommersiell programvara eller IT-applikationer

Stora eller komplexa IT-applikationer (t.ex. affärssystem)

Frågor hänförliga till graden av automatisering och dataanvändning:

  • I vilken grad automatiserade processer används för bearbetning, och komplexiteten i de processerna, inbegripet om det förekommer högautomatiserad, papperslös bearbetning.

Ej tillämpligt

Ej tillämpligt

Omfattande och ofta komplexa automatiserade processer

  • I vilken grad företaget förlitar sig på systemgenererade rapporter när informationen bearbetas.

Enkel automatiserad rapportlogik

Enkel relevant automatiserad rapportlogik

Komplex automatiserad rapportlogik; programvara för att skriva rapporter

  • Hur data läggs in (dvs. manuell registrering, registrering av kunder eller leverantörer, eller uppladdning av filer).

Manuell registrering av data

Små mängder indata eller enkla gränssnitt

Stora mängder indata eller komplexa gränssnitt

  • Hur IT underlättar kommunikationen mellan program, databaser och andra aspekter av IT-miljön, internt eller externt, beroende på vilket som är lämpligt, genom systemgränssnitt.

Inga automatiserade gränssnitt (bara manuell registrering)

Små mängder indata eller enkla gränssnitt

Stora mängder indata eller komplexa gränssnitt

  • Volym och komplexitet på den data i digital form som bearbetas i informationssystemet, inklusive om räkenskapsmaterial eller annan information lagras i digital form och var lagrade data finns.

Låg volym av data eller enkla data som kan verifieras manuellt; data tillgänglig lokalt

Låg volym av data eller enkla data

Stor volym av data eller komplexa data; datalager;77 användning av interna eller externa IT-tjänsteleverantörer (t.ex. tredjepartslagring eller datavärdar)

Frågor hänförliga till IT-applikationer och IT-infrastruktur:

  • Typen av program (t.ex. ett kommersiellt program med liten eller ingen anpassning, eller ett höggradigt anpassat eller höggradigt integrerat program som kan ha köpts och anpassats, eller utvecklats, internt).

Köpt program med liten eller ingen kundanpassning

Köpt program eller äldre och enklare affärssystemsapplikationer med liten eller ingen anpassning

Program utvecklade av kunden eller mer komplexa affärssystem med en betydande anpassning

  • Komplexiteten i karaktären på IT-applikationer och den underliggande IT-infrastrukturen.

Liten, enkel lösning anpassad till en bärbar dator eller server

Mogen och stabil stordator, liten eller enkel serverbaserad, molnbaserade program (SaaS)

Komplex stordator, stor eller komplex serverbaserad, webbapplikation, molnbaserad infrastruktur (IaaS)

  • Om det förekommer tredjepartsvärdar eller outsourcing av IT.

Om IT är outsourcat, kompetent, mogen, beprövad leverantör (t.ex. molnleverantör)

Om IT är outsourcat, kompetent, mogen, beprövad leverantör (t.ex. molnleverantör)

Kompetent, mogen, beprövad leverantör för vissa program och nya eller nystartade leverantörer för andra

  • Om företaget använder ny teknik som påverkar dess finansiella rapportering.

Ingen användning av ny teknik

Begränsad användning av ny teknik i vissa program

Blandad användning av ny teknik på olika plattformar

Frågor hänförliga till IT-processer:

  • Personalen som arbetar med att upprätthålla IT-miljön (antalet och kompetensnivån på IT-supportresurserna som hanterar säkerhet och förändringar av IT-miljön).

Få medarbetare med begränsade kunskaper om IT för att bearbeta uppgraderingar från leverantörer och hantera åtkomst

Begränsat antal personer med IT-kompetens/som arbetar med IT

Särskilda IT-avdelningar med kompetent personal, inklusive kompetens inom programmering

  • Komplexiteten i processer för att hantera åtkomsträttigheter.

Ensam person med administrativ åtkomst hanterar åtkomsträttigheter

Ett fåtal personer med administrativ åtkomst hanterar åtkomsträttigheter

Komplexa processer för åtkomsträttigheter som hanteras av IT-avdelning

  • Komplexiteten i säkerheten i IT-miljön, inklusive sårbarheten för cyberrisker hos IT-applikationer, databaser och andra aspekter av IT-miljön, i synnerhet när det förekommer webbaserade transaktioner eller transaktioner som innefattar externa gränssnitt.

Enkel intern åtkomst utan externa webbapplikationer

Vissa webbaserade applikationer med huvudsakligen enkel rollbaserad säkerhet

Ett flertal plattformar med webbaserad åtkomst och komplexa säkerhetsmodeller

  • Om det har gjorts förändringar i programmet avseende hur informationen bearbetas, och omfattningen av sådana förändringar under perioden.

Kommersiell programvara utan installerad källkod

Vissa kommersiella applikationer utan källkod och andra mogna program med få eller enkla förändringar, traditionell systemutvecklingslivscykel

Nya, många eller komplexa förändringar, flera utvecklingscykler varje år

  • Omfattningen av förändringar i IT-miljön (t.ex. nya aspekter på IT-miljön eller betydande förändringar i IT-applikationerna eller den underliggande IT-infrastrukturen).

Förändringar begränsade till versionsuppgraderingar av kommersiell programvara

Förändringar består av kommersiella programvaruuppgraderingar, versionsuppgraderingar av affärssystem eller förbättringar av äldre program

Nya, många eller komplexa förändringar, flera utvecklingscykler varje år, betydande anpassning av affärssystem

  • Om det har skett en större datakonvertering under perioden och, i så fall, arten på och betydelsen av de förändringar som har gjorts, och hur konverteringen genomfördes.

Mjukvaruuppgraderingar som tillhandahålls av leverantören; Inga data konverterad vid uppgraderingen

Mindre versionsuppgraderingar för kommersiella programvaror med konvertering av vissa data

Större versionsuppgradering, ny release, byte av plattform

Ett datalager beskrivs allmänt som ett centrallager för databaser av integrerad data från en eller flera åtskilda källor (såsom flera olika databaser) från vilka det går att generera rapporter eller som kan användas av företaget för andra dataanalysaktiviteter. En rapportskrivare är en IT-applikation som används för att extrahera data från en eller flera källor (såsom ett datalager, en databas eller en IT-applikation) och presentera uppgifterna i ett angivet format.

Ny teknik

5.Företag kan använda ny teknik (t.ex. blockkedja, robotteknik eller artificiell intelligens) eftersom sådan teknik kan erbjuda specifika möjligheter att öka effektiviteten i verksamheten eller förbättra den finansiella rapporteringen. När ny teknik som används i företagets informationssystem är relevant för upprättandet av de finansiella rapporterna kan revisorn ta med sådan teknik i identifieringen av IT-applikationer och andra aspekter av företagets IT-miljö som är föremål för IT-relaterade risker. Samtidigt som ny teknik kan betraktas som mer sofistikerad eller mer komplex jämfört med befintlig teknik förblir revisorns ansvar i förhållande till IT-applikationer och identifierade allmänna IT-kontroller enligt punkterna 26 b‒c oförändrat.

Skalbarhet

6.Att skaffa sig en förståelse av företagets IT-miljö kan vara enklare för ett mindre komplext företag som använder kommersiell programvara och när företaget inte har tillgång till källkoden för att göra några ändringar i programmet. Sådana företag kanske inte har särskilda IT-resurser men kan ha en person utsedd till en administratörsroll i syfte att bevilja medarbetare åtkomst eller att installera uppgraderingar från leverantören i IT-applikationerna. Särskilda frågor som revisorn kan beakta för att förstå karaktären på ett kommersiellt redovisningsprogrampaket, som kan vara den enda IT-applikation som används av ett mindre komplext företag i deras informationssystem, kan omfatta följande:

  • I vilken grad programvaran är väletablerad och har ett anseende som tillförlitlig.

  • I vilken grad det är möjligt för företaget att modifiera källkoden i programvaran för att inkludera ytterligare moduler (dvs. tillägg) till basprogramvaran, eller göra direkta förändringar i data.

  • Arten på och omfattningen av de modifieringar som har gjorts av programvaran. Även om ett företag inte kan modifiera programvarans källkod medger många programvarupaket konfigurationer (t.ex. att ställa in eller ändra rapportparametrar). Dessa innefattar vanligtvis inte modifieringar av källkoden, däremot kan revisorn överväga i vilken grad företaget kan konfigurera programvaran när han eller hon beaktar fullständigheten och korrektheten i den information som tas fram av programvaran och som används som revisionsbevis.

  • I vilken grad data hänförlig till att upprätta de finansiella rapporterna går att få åtkomst till direkt (dvs. direkt åtkomst till databasen utan att använda IT-applikationen) och volymen på de data som bearbetas. Ju större datavolym, desto mer sannolikt att företaget kan behöva kontroller som hanterar datas integritet, vilket kan omfatta allmänna IT-kontroller gällande obehörig åtkomst och förändringar av data.

7.Komplexa IT-miljöer kan omfatta höggradigt anpassade eller höggradigt integrerade IT-applikationer och kan därför kräva mer arbete för att förstå. Processer eller IT-applikationer för finansiell rapportering kan integreras med andra IT-applikationer. En sådan integration kan innefatta IT-applikationer som används i företagets affärsverksamhet och som tillhandahåller information till IT-applikationer relevanta för transaktionsflöden och informationsbearbetning i företagets informationssystem. Under sådana omständigheter kan vissa IT-applikationer som används i företagets affärsverksamhet också vara relevanta för upprättandet av de finansiella rapporterna. Komplexa IT-miljöer kan också kräva särskilda IT-avdelningar som har strukturerade IT-processer som stöds av personal som har kompetens inom programvaruutveckling och IT-underhåll. I andra fall kan ett företag använda interna eller externa tjänsteleverantörer för att hantera vissa aspekter av, eller IT-processer inom, sin IT-miljö (t.ex. tredjepartsvärdar).

Identifiera IT-applikationer som är föremål för IT-relaterade risker

8.Genom att förstå arten på och komplexiteten i företagets IT-miljö, däribland arten på och omfattningen av informationsbearbetningskontrollerna, kan revisorn fastställa vilka IT-applikationer som företaget förlitar sig på för att på ett korrekt sätt bearbeta och upprätthålla integriteten i den finansiella informationen. Identifieringen av de IT-applikationer som företaget förlitar sig på kan påverka revisorns beslut att testa de automatiserade kontrollerna i sådana IT-applikationer, under förutsättning att sådana automatiserade kontroller hanterar identifierade risker för väsentliga felaktigheter. På motsatt sätt, om företaget inte förlitar sig på en IT-applikation kommer de automatiserade kontrollerna i en sådan IT-applikation sannolikt inte att vara lämpliga eller tillräckligt exakta för att användas för att testa kontrollernas funktion. Automatiserade kontroller som kan identifieras enligt punkt 26 b kan till exempel inbegripa automatiserade beräkningar eller kontroller över indata, bearbetning eller utdata, såsom en trepunktsmatchning för en inköpsorder, ett fraktdokument från leverantören och en leverantörsfaktura. När revisorn identifierar automatiserade kontroller och han eller hon fastställer, genom sin förståelse av IT-miljön, att företaget förlitar sig på IT-applikationen som innefattar de automatiserade kontrollerna, kan det vara mer sannolikt att revisorn identifierar IT-applikationen som en som är föremål för IT-relaterade risker.

9.När revisorn beaktar om de IT-applikationer för vilka han eller hon har identifierat automatiserade kontroller är föremål för IT-relaterade risker kommer revisorn sannolikt att överväga om, och i vilken grad, företaget har tillgång till källkod som gör det möjligt för ledningen att göra programändringar av sådana kontroller eller IT-applikationerna. I vilken grad företaget genomför program- eller konfigureringsändringar och i vilken grad IT-processerna hänförliga till sådana förändringar är formaliserade kan också vara relevanta frågor. Revisorn kommer sannolikt också att beakta risken för obehörig åtkomst eller förändringar av data.

10.Systemgenererade rapporter som revisorn kan ha för avsikt att använda som revisionsbevis kan till exempel omfatta en åldersanalys för leverantörsfordringar eller en lagervärderingsrapport. För sådana rapporter kan revisorn inhämta revisionsbevis om fullständigheten och korrektheten i rapporterna genom substansgranskning av in- och utdata i rapporten. I andra fall kan revisorn planera att granska kontrollernas funktion i fråga om upprättandet och underhållet av rapporten, i vilket fall IT-applikationen från vilken den har tagits fram sannolikt är föremål för IT-relaterade risker. Utöver att testa fullständigheten och korrektheten i rapporten kan revisorn planera att testa funktionerna hos de allmänna IT-kontrollerna som hanterar risker hänförliga till otillbörliga eller obehöriga programändringar, eller förändringar av data, i rapporten.

11.Vissa IT-applikationer kan innehålla funktioner för rapportskrivning medan vissa företag också kan använda sig av separata rapportskrivningsprogram (dvs. rapportskrivare). I sådana fall kan revisorn behöva fastställa källorna till de systemgenererade rapporterna (dvs. applikationen som upprättar rapporten och de datakällor som används av rapporten) för att fastställa vilka IT-applikationer som är föremål för IT-relaterade risker.

12.Datakällorna som används av IT-applikationen kan vara databaser som till exempel bara går att få åtkomst till genom IT-applikationen eller av IT-personal med databasadministrationsrättigheter. I andra fall kan datakällor vara ett datalager som i sig betraktas som en IT-applikation som är föremål för IT-relaterade risker.

13.Revisorn kan ha identifierat en risk för vilken enbart substansgranskning inte är tillräcklig på grund av företagets användning av högautomatiserad och papperslös bearbetning av transaktioner, som kan innefatta ett flertal integrerade IT-applikationer. Under sådana omständigheter inbegriper kontrollerna som identifieras av revisorn sannolikt automatiserade kontroller. Vidare kan företaget förlita sig på allmänna IT-kontroller för att upprätthålla integriteten i de transaktioner som bearbetas och annan information som används vid bearbetningen. I sådana fall är IT-applikationerna som ingår i bearbetningen och lagringen av informationen sannolikt föremål för IT-relaterade risker.

Slutanvändarnas databehandling

14.Även om revisionsbevis också kan ta sig formen av systemgenererade utdata som används vid en beräkning som utförs i en slutanvändares datorverktyg (t.ex. programvara för kalkylark eller enkla databaser) identifieras sådana verktyg normalt inte som IT-applikationer inom ramen för punkt 26 b. Det kan vara svårt att utforma och implementera kontroller kring åtkomst till och förändringar av slutanvändares datorverktyg, och sådana kontroller motsvarar sällan och är sällan så effektiva som allmänna IT-kontroller. Revisorn kan snarare överväga en kombination av informationsbearbetningskontroller, med beaktande av syftet med och komplexiteten i slutanvändarnas bearbetning av data, såsom

  • informationsberbetningskontroller över initierandet och bearbetningen av källdata, inklusive relevanta automatiserade kontroller eller gränssnittskontroller till den punkt där data extraheras (dvs. datalagret),

  • kontroller för att se om logiken fungerar som avsett, till exempel kontroller som ”bevisar” extraheringen av data, såsom att stämma av rapporten mot de data den har upprättats utifrån, jämföra enskilda uppgifter från rapporten med källan och vice versa, samt kontroller över formler eller makron, eller

  • användning av mjukvaruverktyg för validering, som systematiskt kontrollerar formler eller makron, så som integritetsverktyg för kalkylark.

Skalbarhet

15.Företagets förmåga att upprätthålla integriteten i den information som lagras och bearbetas i informationssystemet kan variera baserat på komplexiteten i och volymen av de hänförliga transaktionerna och annan information. Ju större komplexitet och datavolym som ligger till grund för ett betydande transaktionsslag, konto eller en betydande upplysning, desto mindre sannolikt kan det bli att företaget kan upprätthålla informationens integritet enbart genom informationsbearbetningskontroller (t.ex. kontroller av in- och utdata). Det blir också mindre sannolikt att revisorn kan inhämta revisionsbevis om fullständigheten och korrektheten i sådan information enbart genom substansgranskning när sådan information används som revisionsbevis. Under vissa omständigheter, när volymen eller komplexiteten på transaktionerna är lägre, kan ledningen ha en informationsbearbetningskontroll som är tillräcklig för att verifiera korrektheten och fullständigheten i data (t.ex. enskilda försäljningsorder som har bearbetats och fakturerats kan stämmas av mot utskriften som ursprungligen lades in i IT-applikationen). När företaget förlitar sig på allmänna IT-kontroller för att upprätthålla integriteten i viss information som används av IT-applikationerna kan revisorn fastställa att de IT-applikationer som innehåller den informationen är föremål för IT-relaterade risker.

Exempel på kännetecken för en IT-applikation som sannolikt inte är föremål för IT-relaterade risker

Exempel på kännetecken för en IT-applikation som sannolikt är föremål för IT-relaterade risker

  • Fristående applikationer.

  • Datavolymen (transaktioner) är inte betydande.

  • Applikationens funktion är inte komplex.

  • Alla transaktioner stöds av ursprunglig dokumentation på original på papper.

  • Applikationerna har gränssnitt.

  • Datavolymen (transaktioner) är betydande.

  • Applikationens funktion är komplex eftersom

    • applikationen automatiskt initierar transaktioner, och

    • det finns ett antal olika komplexa beräkningar som ligger till grund för de automatiserade bokföringsposterna.

IT-applikationen är sannolikt inte föremål för IT-relaterade risker på grund av att

  • Datavolymen inte är betydande och därför förlitar sig inte ledningen på allmänna IT-kontroller för att bearbeta och underhålla data.

  • Ledningen inte förlitar sig på automatiserade kontroller eller andra automatiserade funktioner, och revisorn inte har identifierat automatiserade kontroller enligt punkt 26 a.

  • Även om ledningen använder systemgenererade rapporter i sina kontroller förlitar den sig inte på dessa rapporter. I stället stämmer ledningen av rapporterna mot dokumentationen på papper och verifierar beräkningarna i rapporterna.

  • Revisorn kommer direkt att kontrollera informationen som har tagits fram av företaget och som används som revisionsbevis.

IT-applikationen är sannolikt föremål för IT-relaterade risker på grund av att

  • Ledningen förlitar sig på ett programsystem för att bearbeta eller underhålla data eftersom datavolymen är betydande.

  • Ledningen förlitar sig på programsystemet för att utföra vissa automatiserade kontroller som revisorn också har identifierat.

Andra aspekter på företagets IT-miljö som är föremål för IT-relaterade risker

16.När revisorn identifierar IT-applikationer som är föremål för IT-relaterade risker är andra aspekter på IT-miljön vanligtvis också föremål för IT-relaterade risker. IT-infrastrukturen omfattar databaser, operativsystem och nätverk. Databaser lagrar data som används av IT-applikationer och kan bestå av många sammanhängande datatabeller. IT-personalen eller annan personal med databasadministrationsrättigheter kan också ha direkt åtkomst till data i databaser genom databashanteringssystem. Operativsystemet ansvarar för att hantera kommunikationen mellan maskinvara, IT-applikationer och annan programvara som används i nätverket. På så sätt går det att ha åtkomst till IT-applikationer och databaser genom operativsystemet. Ett nätverk används i IT-infrastrukturen för att överföra data och för att dela information, resurser och tjänster genom en gemensam kommunikationslänk. Nätverket etablerar också vanligtvis en nivå av logisk säkerhet (som möjliggörs genom operativsystemet) för åtkomst till de underliggande resurserna.

17.När IT-applikationer identifieras av revisorn som föremål för IT-relaterade risker identifieras vanligtvis även databasen/databaserna som lagrar de data som bearbetas av ett identifierat IT-program. På ett liknande sätt, eftersom en IT-applikations förmåga att fungera ofta är beroende av operativsystemet, och det går att få åtkomst till IT-applikationer och databaser direkt från operativsystemet, är operativsystemet vanligtvis föremål för IT-relaterade risker. Nätverket kan identifieras när det är en central kontaktpunkt för de identifierade IT-applikationerna och hänförliga databaser eller när en IT-applikation samverkar med leverantörer eller externa parter genom internet, eller när IT-applikationer med gränssnitt mot internet identifieras av revisorn.

Identifiera IT-relaterade risker och allmänna IT-kontroller

18.Exempel på IT-relaterade risker omfattar risker hänförliga till ett otillbörligt beroende av IT-applikationer som behandlar data på ett felaktigt sätt, behandlar felaktiga data eller båda delarna, så som följande:

  • Obehörig tillgång till data, vilket kan leda till att data förstörs eller till felaktiga ändringar av data, däribland att icke godkända eller icke existerande transaktioner redovisas eller att transaktioner redovisas på ett felaktigt sätt. Särskilda risker kan uppstå när flera användare har tillgång till en gemensam databas.

  • Möjligheten att IT-personal får större åtkomstprivilegier än vad som är nödvändigt för att utföra sina arbetsuppgifter, vilket gör att arbetsfördelningen inte fungerar.

  • Obehöriga ändringar av stående data.

  • Obehöriga ändringar i IT-applikationer eller andra aspekter av IT-miljön.

  • Underlåtenhet att utföra nödvändiga ändringar i IT-applikationer eller andra aspekter av IT-miljön.

  • Felaktig manuell påverkan på data.

  • Potentiell förlust av data eller svårigheter att komma åt data.

19.Revisorns beaktande av obehörig åtkomst kan omfatta risker hänförliga till obehörig åtkomst av interna eller externa parter (kallas ofta cybersäkerhetsrisker). Sådana risker behöver inte nödvändigtvis påverka den finansiella rapporteringen, eftersom ett företags IT-miljö även kan inkludera IT-applikationer och relaterade data som hanterar behov för verksamheten eller efterlevnad. Det är viktigt att notera att cyberincidenter ofta uppkommer först på nivån för externa och interna nätverk, som tenderar att ligga längre bort från IT-applikationen, databasen och operativsystemen som påverkar upprättandet av de finansiella rapporterna. Följaktligen beaktar revisorn vanligtvis, om information om en säkerhetsöverträdelse har identifierats, i vilken grad en sådan överträdelse hade potential att påverka den finansiella rapporteringen. Om den finansiella rapporteringen kan ha påverkats kan revisorn bestämma sig för att förstå och granska de hänförliga kontrollerna för att fastställa den möjliga påverkan från eller omfattningen av möjliga felaktigheter i de finansiella rapporterna eller kan fastställa att företaget har tillhandahållit korrekta upplysningar i samband med en sådan säkerhetsöverträdelse.

20.Även dataskyddslagar kan ingå i lagar och andra förordningar som kan ha en direkt eller indirekt påverkan på företagets finansiella rapporter. Att beakta företagets efterlevnad av sådana lagar eller förordningar enligt ISA 250 (omarbetad)78 kan innefatta att förstå företagets IT-processer och allmänna IT-kontroller som företaget har infört för att hantera de relevanta lagarna eller förordningarna.

ISA 250 (omarbetad).

21.Allmänna IT-kontroller har införts för att hantera IT-relaterade risker. Följaktligen använder revisorn den förståelse som har inhämtats av de identifierade IT-applikationerna och andra aspekter på IT-miljön och de tillämpliga IT-relaterade riskerna när han eller hon fastställer de allmänna IT-kontroller som ska identifieras. I vissa fall kan ett företag använda gemensamma IT-processer i hela sin IT-miljö eller i vissa IT-applikationer, i vilket fall gemensamma IT-relaterade risker och gemensamma allmänna IT-kontroller kan identifieras.

22.Generellt kommer ett större antal allmänna IT-kontroller hänförliga till IT-applikationer och databaser sannolikt att identifieras än för andra aspekter på IT-miljön. Det beror på att dessa aspekter är de som är närmast förknippade med informationsbearbetningen och lagringen av information i företagets informationssystem. När revisorn identifierar allmänna IT-kontroller kan han eller hon beakta kontroller av åtgärder både av slutanvändare och företagets IT-personal eller IT-tjänsteleverantörer.

23.Bilaga 6 ger ytterligare förklaringar av arten på de allmänna IT-kontroller som vanligtvis införs för olika aspekter av IT-miljön. Därutöver ges exempel på allmänna IT-kontroller för olika IT-processer.

Bilaga 6 Vad som behöver beaktas för att förstå de allmänna IT-kontrollerna (se punkterna 25 c ii, A173‒A174)

Denna bilaga innehåller ytterligare omständigheter som revisorn kan överväga för att förstå allmänna IT-kontroller.

1.Arten på de allmänna IT-kontroller som vanligtvis införs för varje aspekt av IT-miljön:

  1. Applikationer

    Allmänna IT-kontroller på IT-applikationsnivån korrelerar med typ och omfattningen av applikationernas funktion och de åtkomstvägar som tekniken tillåter. Exempelvis är fler kontroller relevanta för högintegrerade IT-applikationer med komplexa säkerhetslösningar än för en äldre IT-applikation som stödjer ett litet antal konton med åtkomstmetoder enbart genom transaktioner.

  2. Databaser

    Allmänna IT-kontroller på databasnivån hanterar vanligtvis IT-relaterade risker hänförliga till obehöriga uppdateringar av den finansiella rapportinformationen i databasen genom direkt åtkomst till databasen eller genom att köra ett skript eller program.

  3. Operativsystem

    Allmänna IT-kontroller på operativsystemnivån hanterar vanligtvis IT-relaterade risker hänförliga till administrativ åtkomst, som kan göra det lättare att sätta sig över andra kontroller. Detta omfattar åtgärder som att missbruka andra användares autentiseringsuppgifter, att lägga till nya obehöriga användare, ladda ner skadlig kod eller köra skript eller andra obehöriga program.

  4. Nätverk

    Allmänna IT-kontroller på nätverksnivån hanterar vanligtvis IT-relaterade risker hänförliga till nätverkssegmentering, fjärråtkomst och autentisering. Nätverkskontroller kan vara relevanta när ett företag har webbapplikationer som används i den finansiella rapporteringen. Nätverkskontroller kan också vara relevanta när företaget har betydande affärspartnerrelationer eller outsourcing till tredje part, vilket kan öka dataöverföringar och behovet av fjärråtkomst.

2.Exempel på allmänna IT-kontroller som kan finnas, organiserade efter IT-process omfattar

  1. process för att hantera åtkomst:

    • Autentisering

      Kontroller som säkerställer att en användare som får åtkomst till IT-applikationen eller någon annan aspekt av IT-miljön använder användarens egna inloggningsuppgifter (dvs. att användaren inte använder någon annans uppgifter).

    • Godkännande

      Kontroller som ger användarna åtkomst till den information som är nödvändig för dessas ansvarsområden och inget därutöver, vilket medger en god fördelning av arbetsuppgifter.

    • Nya behörigheter

      Kontroller för att ge nya användare behörighet och modifiera befintliga användares behörigheter.

    • Ta bort behörigheter

      Kontroller för att ta bort behörigheter vid uppsägning eller förflyttning.

    • Priviligierad åtkomst

      Kontroller över åtkomsten för dem som administrerar IT eller har omfattande behörighet.

    • Granskningar av användaråtkomst

      Kontroller för att omcertifiera eller utvärdera användaråtkomst för dem som har behörigheter över tid.

    • Säkerhetskonfigurationskontroller

      Alla typer av teknik har vanligen viktiga konfigurationer som hjälper till att begränsa åtkomst till IT-miljön.

    • Fysisk åtkomst

      Kontroller av fysisk åtkomst till datacenter eller maskinvara, eftersom sådan åtkomst kan användas för att kringgå andra kontroller.

  2. Process för att hantera program eller andra förändringar av IT-miljön:

    • Process för att hantera förändringar

      Kontroller över processen för att utforma, programmera, testa och driftsätta förändringar i en produktionsmiljö (dvs. slutanvändarmiljö).

    • Arbetsfördelning gällande driftsättning av förändringar

      Kontroller som fördelar åtkomst att genomföra och driftsätta ändringar till en produktionsmiljö.

    • Utveckling av system eller förvärv eller införande

      Kontroller över initial utveckling eller införande av IT-applikationer (eller i relation till andra aspekter på IT-miljön).

    • Datakonvertering

      Kontroller över datakonvertering under utveckling, införande eller uppgraderingar av IT-miljön.

  3. Process för att hantera IT-driften

    • Schemaläggning av arbete

      Kontroller över åtkomst för att schemalägga och initiera arbeten eller program som kan påverka den finansiella rapporteringen.

    • Övervakning av arbete

      Kontroller för att övervaka finansiella rapporteringsjobb eller program så att de genomförs framgångsrikt.

    • Säkerhetskopiering och återställning

      Kontroller för att säkerställa att säkerhetskopiering görs som planerat av data för den finansiella redovisningen samt att sådana data är tillgängliga och går att få åtkomst till för en snabb återställning i händelse av ett avbrott eller en attack.

    • Upptäckt av intrång

      Kontroller för att övervaka sårbarhet och/eller intrång i IT-miljön.

Tabellen nedan ger exempel på allmänna IT-kontroller för att hantera exempel på IT-relaterade risker, däribland för olika IT-applikationer utifrån deras art.

Process

Risker

Kontroller

IT-applikationer

IT-process

Exempel IT-relaterade risker

Exempel allmänna IT-kontroller

Icke-komplex kommersiell programvara – tillämpligt (ja/nej)

Medelstor och relativt komplex kommersiell programvara eller IT-applikationer – tillämpligt (ja/nej)

Stora eller komplexa IT-applikationer (t.ex. affärssystem) – tillämpligt (ja/nej)

Hantera åtkomst

Behörigheter: Användarna har större behörigheter än vad som är nödvändigt för att utföra sina arbetsuppgifter, vilket kan skapa en olämplig arbetsfördelning

Ledningen godkänner karaktären på och omfattningen av behörigheter för ny och ändrad behörighet, inklusive profiler och roller i standardprogram, viktiga transaktioner i den finansiella rapporteringen samt arbetsfördelning

Ja – i stället för granskningar av behörigheter som anges nedan

Ja

Ja

Behörigheter för användare som har slutat eller flyttat tas bort eller modifieras snabbt

Ja – i stället för granskningar av behörigheter nedan

Ja

Ja

Behörigheter granskas regelbundet

Ja – i stället kontroller av nya/tillbakadragna behörigheter ovan

Ja ‒ för vissa program

Ja

Arbetsfördelningen övervakas och behörigheter i konflikt med varandra tas antingen bort eller övervakas av kompenserande kontroller som dokumenteras och testas

ET – ingen systemstödd fördelning

Ja ‒ för vissa program

Ja

Priviligierad nivå på behörighet (t.ex. konfigurations-, data- och säkerhetsadminstratörer) godkänns och begränsas på lämpligt sätt

Ja – sannolikt endast på IT-applikationsnivå

Ja ‒ på IT-applikationsnivå och vissa nivåer av IT-miljö för plattform

Ja ‒ på alla nivåer av IT-miljö för plattform

Hantera åtkomst

Direkt åtkomst till data: Felaktiga ändringar görs direkt av finansiella data på andra sätt än genom programtransaktioner

Åtkomst till programdatafiler eller databasobjekt/tabeller/data är begränsad till behörig personal, baserat på deras ansvarsområden och deras roll, och sådan åtkomst godkänns av ledningen

Ej tillämpligt

Ja ‒ för vissa program och databaser

Ja

Hantera åtkomst

Systeminställningar: Systemen är inte korrekt konfigurerade eller uppdaterade för att begränsa systemåtkomst till korrekt auktoriserade och lämpliga användare

Åtkomst autentiseras genom unika användar-ID och lösenord eller andra metoder som en mekanism för att validera att användarna är behöriga att få åtkomst till systemet. Lösenordsparametrar uppfyller företags- eller branschstandarder (t.ex. lösenordets minimilängd och komplexitet, när det löper ut, när personen blir utelåst från kontot)

Ja – enbart lösenordsautentisering

Ja – kombination av lösenord och multifaktorautentisering

Ja

De viktigaste stegen i säkerhetskonfigurationen har införts korrekt

ET – det finns ingen teknisk säkerhetskonfiguration

Ja ‒ för vissa program och databaser

Ja

Hantera förändringar

Ändringar i programvara: Felaktiga förändringar görs i datasystemen eller program som innehåller relevanta automatiserade kontroller (dvs. inställningar som går att konfigurera, automatiserade algoritmer, automatiserade beräkningar och automatiserad extrahering av data) eller rapportlogik

Applikationsändringar testas på ett korrekt sätt och godkänns innan de flyttas in i produktionsmiljön

ET ‒ skulle verifiera att ingen källkod är installerad

Ja ‒ för icke-kommersiell programvara

Ja

Åtkomst för att föra in förändringar i produktionsmiljön är begränsad på ett korrekt sätt och avskild från utvecklingsmiljön

Ej tillämpligt

Ja ‒ för icke-kommersiell programvara

Ja

Hantera förändringar

Ändringar i databaser: Felaktiga ändringar görs av databasstrukturen och relationerna mellan data

Ändringar i databaser testas på ett korrekt sätt och godkänns innan de flyttas in i produktionsmiljön

ET – inga ändringar i databaser görs på företaget

Ja ‒ för icke-kommersiell programvara

Ja

Hantera förändringar

Ändringar i systemets mjukvara: Felaktiga ändringar görs av systemets mjukvara (t.ex. operativsystem, nätverk, programvara för hantering av ändringar, programvara för åtkomstkontroll)

Förändringar av systemprogramvaran testas på ett korrekt sätt och godkänns innan de flyttas över till produktionen

ET – inga systemprogramvaruförändringar görs på företaget

Ja

Ja

Hantera förändringar

Datakonvertering: Data konverterad från äldre system eller tidigare versioner leder till datafel om konverteringen överför inkompletta, överflödiga, föråldrade eller inkorrekta data

Ledningen godkänner resultatet av datakonverteringen (t.ex. balans- och avstämningsaktiviteter) från det gamla programsystemet eller den gamla datastrukturen och övervakar att konverteringen genomförs i enlighet med etablerade riktlinjer och processer för konvertering

ET – hanteras genom manuella kontroller

Ja

Ja

IT-drift

Nätverk: Nätverket förhindrar inte på ett korrekt sätt obehöriga användare från att få otillåten åtkomst till informationssystemen

Åtkomst autentiseras genom unika användar-ID och lösenord eller andra metoder som en mekanism för att validera att användarna är behöriga att få åtkomst till systemet. Lösenordsparametrar uppfyller företagets eller professionella riktlinjer och standarder (t.ex. lösenordets minimilängd och komplexitet, när det löper ut, när personen blir utelåst från kontot)

ET – det finns inga separata metoder för nätverksautentisering

Ja

Ja

Nätverket är utformat så att webbapplikationer skiljs från det interna nätverket, där det finns åtkomst till program med intern kontroll över den finansiella rapporteringen

ET – ingen nätverkssegmentering används

Ja ‒ med omdöme

Ja ‒ med omdöme

Regelbundna sårbarhetsgenomsökningar av nätverkets externa kopplingar genomförs av nätverkshanteringsteamet, som också utreder möjlig sårbarhet

Ej tillämpligt

Ja ‒ med omdöme

Ja ‒ med omdöme

Varningar skapas regelbundet för att uppmärksamma om hot som har identifierats av system för upptäckt av intrång. Dessa hot utreds av nätverkshanteringsteamet

Ej tillämpligt

Ja ‒ med omdöme

Ja ‒ med omdöme

Kontroller införs för att begränsa VPN-åtkomst (Virtual Private Network) till behöriga och lämpliga användare

Ej tillämpligt – inget VPN

Ja ‒ med omdöme

Ja ‒ med omdöme

IT-drift

Säkerhetskopiering av data och återställning: Finansiella data kan inte återställas och går inte att få åtkomst till inom en rimlig tidsperiod när det sker en förlust av data

Finansiella data säkerhetskopieras regelbundet enligt ett fastställt schema och med regelbundna mellanrum

ET – förlitar sig på manuell säkerhetskopiering av ekonomiavdelningen

Ja

Ja

IT-drift

Schemaläggning av jobb: Produktionssystem, program eller jobb resulterar i en felaktig, ofullständig eller obehörig bearbetning av data

Endast behöriga användare har tillgång till att uppdatera batchjobb (inklusive gränssnittsjobb) i programvaran för att schemalägga arbetet

Ej tillämpligt – inga batchjobb

Ja ‒ för vissa program

Ja

Viktiga system, program eller jobb övervakas, och fel i bearbetningen korrigeras för att säkerställa att jobbet blir korrekt avslutat

Ej tillämpligt – ingen övervakning av jobb

Ja ‒ för vissa program

Ja