FARS REKOMMENDATIONER I REVISIONSFRÅGOR

RevR 7 Översiktlig granskning av styrelsens beskrivning av intern kontroll avseende finansiell rapportering

(december 2015)

1 Inledning

1.1Enligt 6 kap. 6 § årsredovisningslagen (1995:1554) ska alla aktiebolag, bankaktiebolag, kreditmarknadsbolag, värdepappersbolag och försäkringsaktiebolag vars aktier, teckningsoptioner eller skuldebrev är noterade på en reglerad marknad [1] upprätta en bolagsstyrningsrapport. Enligt 7 kap. 31 § årsredovisningslagen ska till viss del motsvarande information lämnas för koncernen. Bolagsstyrningsrapporten ska bl.a. enligt årsredovisningslagen innehålla upplysningar om de viktigaste inslagen i bolagets och koncernens system för intern kontroll och riskhantering i samband med den finansiella rapporteringen (”beskrivning av intern kontroll”).

1.2För noterade bolag gäller även Svensk kod för bolagsstyrning (”koden”). Enligt koden ska styrelsen för bolag som inte har en särskild granskningsfunktion (internrevision) årligen utvärdera behovet av en sådan funktion och i beskrivningen av den interna kontrollen i bolagsstyrningsrapporten motivera sitt ställningstagande.

1.3Årsredovisningslagen och aktiebolagslagen (2005:551) ställer krav på att revisorn ska utföra en granskning av den lagstadgade bolagsstyrningsrapporten och bl.a. uttala sig om huruvida beskrivningen av den interna kontrollen är förenlig med års- och koncernredovisningens övriga delar. Hur den granskningen ska genomföras framgår i RevU 16 Revisorns granskning av bolagsstyrningsrapporten och behandlas inte i denna rekommendation.

1.4Denna rekommendation lämnas som vägledning för de revisorer som får uppdraget att granska styrelsens beskrivning av intern kontroll som ett frivilligt uppdrag. Baserat på sin granskning uttalar sig revisorn om styrelsens beskrivning av intern kontroll upprättats i enlighet med Vägledning till Svensk kod för bolagsstyrning utgiven av Svenskt Näringsliv och FAR i oktober 2005 (”vägledningen”) och om styrelsen har rimlig grund för sitt uttalande om hur den interna kontrollen avseende den finansiella rapporteringen fungerat under det senaste räkenskapsåret. Rekommendationen är också avsedd att utgöra ett stöd för de bolag som upprättar styrelsens beskrivning av intern kontroll genom att beskriva de krav som revisorn måste ställa på dokumentation och åtgärder från bolagens sida för att kunna göra sina bedömningar och genomföra sin granskning.

1.5Rekommendationen anger inget fullständigt åtgärdsprogram för revisorn utan inriktas på revisorns bedömning av styrelsens processer för att utarbeta beskrivningen av intern kontroll och kunna dra en slutsats om den interna kontrollens funktion under året. Revisorn drar ingen egen slutsats och gör heller inget eget uttalande om den interna kontrollens funktion.

1.6Revisorn ska i tillämpliga delar beakta International Standard on Auditing (ISA) under sin granskning av styrelsens beskrivning av intern kontroll, bland annat avseende planering, väsentlighet, risk, dokumentation och rapportering.

1.7I denna rekommendation används begreppet intern kontroll som benämning på internkontrollaktiviteter med koppling till den finansiella rapporteringen.

2 Revisorns uppdrag

Uppdragets omfattning

2.1Denna rekommendation omfattar endast revisorns granskning av styrelsens beskrivning av intern kontroll.

2.2De former av granskning som är tillgängliga och som FAR har givit ut särskilda standarder för är revision, översiktlig granskning eller granskning enligt särskild överenskommelse. Revision och översiktlig granskning är s.k. bestyrkandeuppdrag. Karaktäristiskt för sådana uppdrag är att revisorn uttalar en åsikt (slutsats) om det som blivit föremål för granskning (sakförhållandet). Vid en granskning enligt särskild överenskommelse däremot rapporterar revisorn sina faktiska iakttagelser utan att uttala någon egen åsikt om det som granskats.

2.3Ett bestyrkandeuppdrag kräver bland annat lämpliga och tillgängliga kriterier som revisorn kan mäta sakförhållandet emot. Varken koden eller vägledningen för styrelsens rapportering utgör eller innehåller egentliga kriterier eller ramverk för intern kontroll avseende finansiell rapportering. Även om vägledningen refererar till olika ramverk för intern kontroll är varken vägledning eller ramverk tvingande för bolagen.

2.4I de bolag där internkontrollen är organiserad i enlighet med antingen ett internationellt accepterat ramverk, såsom COSO, eller ett av bolaget formulerat eget ramverk som är så väl genomarbetat att det bedöms kunna ligga till grund för en granskning, är revisorns uppdrag att utföra ett bestyrkandeuppdrag. Den lägsta nivån för detta uppdrag är att utföra en granskning med begränsad säkerhet, dvs. en översiktlig granskning.

2.5I de bolag där internkontrollen inte är organiserad i enlighet med ett internationellt accepterat ramverk eller ett annat väldefinierat ramverk kan revisorn inte genomföra någon granskning som är meningsfull för mottagaren av revisorns rapportering. Någon granskning ska således inte genomföras i dessa fall.

FARs överväganden om granskningsansatsen

2.6Denna rekommendation behandlar revisorns granskningsåtgärder, frågor som rör väsentlighet och omfattning för granskningen samt hur avvikelser ska rapporteras och hur rapporteringen kan utformas. Dessutom preciserar rekommendationen vilken dokumentation revisorn ska förvänta sig hos bolaget för att kunna utföra en ändamålsenlig granskning och avrapportering. Om det saknas ändamålsenlig dokumentation av hur bolagets interna kontroll är organiserad, genomförd och utvärderad, innebär det att revisorn inte kommer att kunna lämna någon rapport från sin granskning.

2.7Styrelsens beskrivning av intern kontroll syftar till att beskriva dels hur bolaget har organiserat den interna kontrollen och dels hur styrelsen har följt upp att den interna kontrollen är ändamålsenlig för bolaget och koncernen. I denna bedömning måste styrelsen beakta vilka risker för fel det finns i den finansiella rapporteringen, hur den interna kontrollen för att hantera dessa risker har organiserats samt hur väl de interna kontrollerna har fungerat under det senaste räkenskapsåret. Bolaget, styrelsen samt revisorn ska också beakta mot vilket ramverk den interna kontrollens utformning och funktion ska utvärderas. Om brister upptäcks, måste styrelsen vidta sådana åtgärder som krävs för att begränsa bristerna så att inga väsentliga fel kan påverka den finansiella rapporteringen. Revisorn ska bedöma att styrelsen kunnat förvissa sig om att de interna kontrollerna fungerat som avsett, och därför måste de internkontrollaktiviteter som genomförs inom bolaget och det arbete som styrelsen utför för att organisera och följa upp den interna kontrollen vara så väl dokumenterade att en sådan bedömning är möjlig. Det måste kunna visas att styrelsen har välgrundade underlag för sitt ställningstagande om den interna kontrollen.

2.8Styrelsen har ansvaret för innehållet i beskrivningen av intern kontroll men kan välja att delegera ansvaret att utföra vissa delar av internkontrollaktiviteterna till andra befattningshavare inom bolaget.

2.9Det granskningsarbete som tillkommer, utöver granskningen av beskrivningen av intern kontroll och underlagen till denna, är en stickprovsvis verifiering av att internkontrollsystemet är ändamålsenligt och fungerar väl i förhållande till den riskbedömning styrelsen gjort. Dessutom ska revisorn verifiera och stickprovsmässigt kontrollera att systemet för återrapportering till styrelsen om hur väl den interna kontrollen fungerar är ändamålsenligt och ger ett riktigt underlag för styrelsens ställningstagande om den interna kontrollens funktion.

2.10Enligt vägledningen bör beskrivningen av intern kontroll utformas med utgångspunkt i övergripande krav på att informationen i rapporten på ett rättvisande och väsentlighetsorienterat sätt beskriver förhållanden av betydelse vid bedömningen av bolagets organisation av den interna kontrollen och hur väl den fungerat. Rapporteringen bör karaktäriseras av öppenhet och av att den är utformad utifrån bolagets specifika förhållanden. Om revisorn anser att dessa övergripande principer inte är uppfyllda eller att styrelsens rapport saknar substans, ska revisorn inte lämna någon granskningsrapport, eftersom en sådan granskningsrapport riskerar att vara svårtolkad för läsaren.

3 Bestyrkandeuppdrag

Revisorns granskning

Granskningens syfte

3.1Vid ett bestyrkandeuppdrag ställs höga krav på styrelsens arbete med intern kontroll och framför allt den dokumentation styrelsen använder som underlag för sin beskrivning av intern kontroll. Bolagets tillämpning av ett ramverk, antingen ett etablerat sådant eller ett ramverk som bolaget självt har utarbetat och dokumenterat för intern kontroll, är en förutsättning för att revisorn ska kunna utföra ett bestyrkandeuppdrag. Styrelsen måste lämna en komplett beskrivning av intern kontroll, där samtliga delar i det använda ramverket för intern kontroll kommenteras. Med andra ord kan styrelsen inte, när den begär av revisorn att utföra ett bestyrkandeuppdrag, formulera en beskrivning av intern kontroll som bara omfattar vissa delar av vad som täcks in av det använda ramverket för intern kontroll.

3.2Granskningen syftar till att konkludera att styrelsen gjort tillräckliga insatser för att på goda grunder kunna uttala sig om huruvida den interna kontrollen fungerat väl eller inte under det senaste räkenskapsåret. Det betyder att revisorn först behöver konstatera att styrelsens redogörelse är fullständig och tillräcklig i förhållande till det ramverk bolaget tillämpar för sin interna kontroll. Därefter granskar revisorn den dokumentation som visar att styrelsens påståenden och uttalande i dess beskrivningen av intern kontroll är välgrundade och därmed rättvisande. Revisorn kan därefter göra sitt uttalande om styrelsens beskrivningen av intern kontroll.

3.3De granskningsinsatser som revisorn bör utföra för att kunna bedöma styrelsens uttalande om hur väl den interna kontrollen har fungerat under det senaste räkenskapsåret framgår i punkterna 3.12–3.31 som omfattar den övervägande delen av granskningsrekommendationen. Revisorns granskning och bedömning av innehållet i styrelsen beskrivningen av intern kontroll behandlas endast i punkt 3.32.

Granskningens omfattning och inriktning

3.4Revisorns granskning av styrelsens beskrivningen av intern kontroll innefattar att ta del av rapportens innehåll och det uttalande som styrelsen gör om hur väl den interna kontrollen fungerat under det senaste räkenskapsåret.

3.5Utifrån beskrivningen av internkontrollens innehåll granskar revisorn de underlag styrelsen presenterar som stöd för innehållet i beskrivningen av intern kontroll och uttalandet om den interna kontrollen. Av underlagen bör framgå vilken utformning och funktion den interna kontrollen har utifrån det ramverk bolaget tillämpar för sin interna kontroll. Med utformning (”ändamålsenlighet”) menas hur system för intern kontroll är utformade för att förhindra och/eller upptäcka och rätta till väsentligt felaktiga uppgifter och med funktion menas att systemet finns och har fungerat.

3.6Revisorn tar del av underlag som beskriver det ramverk bolaget använt sig av för att utvärdera och jämföra den befintliga interna kontrollen mot. Detta kan antingen vara ett s.k. etablerat ramverk eller ett av bolaget självt definierat ramverk. Om bolaget använder ett eget definierat ramverk, gör revisorn en utvärdering av att detta ger en tillräcklig grund för att utgöra ett ändamålsenligt ramverk för intern kontroll avseende finansiell rapportering. Denna utvärdering görs av revisorn med det etablerade ramverket COSO som grund.

3.7Revisorn bör ta del av underlag som visar det arbete som bedrivits inom bolaget för att planera, prioritera och genomföra insatser för att underbygga uttalandet i beskrivningen av intern kontroll.

3.8I granskningen ingår ett verifieringsarbete för revisorn, där han eller hon granskar att underlagen till styrelsens beskrivningen av intern kontroll innehåller den substans som det påstås. Det innebär att revisorn gör bedömningar av den interna kontrollens utformning och stickprovsvis verifierar att väsentliga kontroller varit i funktion under det senaste räkenskapsåret med beaktande av de risker som identifierats.

3.9Omfattningen av revisorns verifieringsarbete beror på olika omständigheter, bland annat omfattningen av bolagets eget arbete, hur väl strukturerat arbetet bedrivits, bolagets komplexitet samt revisorns egen riskbedömning. Revisorn beaktar dessa och andra omständigheter och anpassar sitt arbete därefter. Revisorn ska förvissa sig om att kontrollerna varit i funktion under det senaste räkenskapsåret.

3.10Omfattningen och inriktningen av den översiktliga granskningen av styrelsens beskrivning av intern kontroll påverkas även av revisorns granskning av bolagets årsredovisning och bokföring samt styrelsens förvaltning. Därigenom har revisorn byggt upp en förståelse av bolaget och dess miljö. Denna förståelse gör det möjligt för revisorn att fokusera granskningsåtgärderna som han eller hon avser att utföra vid en översiktlig granskning av beskrivningen av intern kontroll på områden med risk för väsentliga fel.

3.11Omfattningen av revisorns granskning begränsas av att revisorn endast ska utföra verifieringsarbete av utformning och funktion av vissa kontroller i syfte att bedöma kvaliteten i styrelsens underlag och inte ska lämna ett eget uttalande om hur väl den interna kontrollen avseende finansiell rapportering fungerat under det senaste räkenskapsåret.

Revisorns översiktliga granskning

Granskning av styrelsens riskbedömning

3.12Det övergripande målet med ett bolags externa finansiella rapportering är att den ska vara tillförlitlig och framtagen i överensstämmelse med god redovisningssed, tillämpliga lagar och förordningar samt övriga eventuella krav, exempelvis kraven för noterade bolag. En strukturerad och omsorgsfull riskbedömning gör det möjligt att identifiera de väsentliga risker som kan komma att påverka hur väl detta mål uppfylls. Som en del av riskbedömningen identifieras också var dessa risker finns på såväl bolags-, affärsenhets-, funktions- som processnivå.

  1. Revisorn bedömer om styrelsen har en strukturerad och dokumenterad riskbedömning som gör det möjligt att identifiera de väsentliga risker som påverkar den interna kontrollen avseende den finansiella rapporteringen.
  2. När revisorn bedömer utformningen av bolagets riskbedömning beaktar han eller hon om styrelsen identifierat och dokumenterat risker med inverkan på den finansiella rapporteringen samt om styrelsen bedömt betydelsen av dessa risker och sannolikheten för att de ska ge upphov till väsentliga fel i den finansiella rapporteringen.
  3. Revisorn bedömer om styrelsens dokumenterade riskbedömning
    1. omfattar väsentliga finansiella poster, såsom resultat- och balansposter, samt väsentliga noter,
    2. beaktar såväl kvantitativa som kvalitativa faktorer (exempelvis den finansiella postens komplexitet, felhistorik, grad av bedömningar i storleksbestämningen, volatilitet etc.),
    3. tar särskild hänsyn till risken för, och eventuell kännedom om, oegentligheter och otillbörligt gynnande av annan part på bolagets bekostnad samt risk för förlust eller förskingring av tillgångar,
    4. identifierar var de identifierade väsentliga riskerna finns på såväl bolags-, affärsenhets-, funktions- som processnivå,
    5. beaktar eventuell förekomst av outsourcing av processer som påverkar den finansiella rapporteringen,
    6. omfattar de mest väsentliga affärsenheterna med beaktande av såväl kvantitativa som kvalitativa faktorer (exempelvis enheter som är finansiellt väsentliga, enheter med särskilda risker, enheter med särskilt komplicerade processer, enheter där väsentliga kontroller utförs etc.),
    7. omfattar ovanliga eller komplicerade händelser som kan ha påverkat den interna kontrollen över finansiell rapportering, som exempelvis företagsförvärv, implementering av nya system etc.,
    8. omfattar IT-miljön och de informationssystem som påverkar den finansiella rapporteringen.
  4. Revisorn utvärderar om styrelsens riskbedömning är relevant med beaktande av revisorns kunskap om verksamheten samt bedömer om riskbedömningen styrt bolagets inriktning och omfattning av arbetet med intern kontroll avseende den finansiella rapporteringen.
  5. Revisorn utvärderar om styrelsens riskbedömning av väsentliga finansiella poster, väsentliga processer och väsentliga affärsenheter är tillräckligt omfattande som underlag för styrelsens uttalande om hur väl den interna kontrollen avseende den finansiella rapporteringen fungerat under det senaste räkenskapsåret.

Granskning av bolagsövergripande kontroller

3.13För hantering av de risker som styrelsen identifierat avseende den interna kontrollen förekommer i varierande omfattning bolagsövergripande kontroller. De bolagsövergripande kontroller som bolaget väljer att förlita sig på bör finnas dokumenterade. Detta kan ske på många olika sätt, exempelvis i ett frågeformulär uppdelat per COSO-komponent (ramverkskomponent) där kontrollen beskrivs och där även bevis på att kontrollen finns på plats dokumenteras.

Eftersom de bolagsövergripande kontrollerna ofta har en genomgripande påverkan på kontrollerna på processnivå, bör revisorn inleda sin granskning med att skaffa sig en förståelse av de bolagsövergripande kontrollerna innan en mer detaljerad genomgång utförs på processnivå.

Bolagsövergripande kontroller kan förekomma inom följande ramverkskomponenter: kontrollmiljö, riskbedömning, information och kommunikation samt uppföljning. Bolagsövergripande kontroller är t.ex.:

  1. kontroller inkluderande de som avser ”tone at the top”, etablerade policyer och riktlinjer, dokumenterade befattningsbeskrivningar etc.,
  2. kontroller för att identifiera risker för väsentliga fel i den finansiella rapporteringen (för närmare beskrivning av styrelsens process för riskbedömning, se 3.2.1),
  3. kontroller för att säkerställa kvaliteten i underliggande data till den finansiella rapporteringen,
  4. kontroller för att säkerställa att brister i den interna kontrollen rapporteras vidare till ansvarig person.

Revisorn bedömer om de bolagsövergripande kontrollerna

  1. är väl dokumenterade och gör det möjligt att identifiera vilka bolagsövergripande kontroller bolaget väljer att förlita sig på – dokumentationen bör visa hur bolaget bedömt kontrollernas utformning, innefatta bevis för att kontrollerna finns på plats samt ange omfattningen av bolagsövergripande kontroller inom respektive ramverkskomponent,
  2. beaktar de risker styrelsen identifierat i sin riskbedömningsprocess,
  3. i tillräcklig omfattning inkluderar affärsenheterna.

3.14Revisorn bedömer även utformningen av de bolagsövergripande kontrollerna. Omfattningen av revisorns arbete beror på hans eller hennes preliminära bedömning av styrelsens process, hur pass komplex verksamheten är samt revisorns egen riskbedömning. Revisorns åtgärder för att skaffa bevis för att väsentliga kontroller utformats och införts kan innefatta förfrågan, iakttagande av hur en viss kontroll utförs eller inspektion av dokument och rapporter. Enbart förfrågningar är inte tillräckligt för att kunna göra en bedömning av utformningen av en kontroll och huruvida den införts.

3.15Revisorn bedömer förekomsten av bolagsövergripande kontroller samt om de kontroller som förekommer är utformade för att i tillräcklig omfattning hantera bolagets väsentliga risker och om de underbygger styrelsens uttalande om hur väl den interna kontrollen avseende den finansiella rapporteringen fungerat under det senaste räkenskapsåret.

Granskning av kontroller på processnivå

3.16Revisorn bedömer om bolaget har dokumenterat och utvärderat interna kontroller på processnivå i tillräcklig omfattning utifrån bolagets riskanalys av vilka finansiella poster i resultat- och balansräkningar samt notuppgifter som ansetts väsentliga. Revisorn bör vid denna bedömning även beakta förekomsten av bolagsövergripande kontroller och effekten av dessa. Revisorn bör även bedöma om relevanta processer och kontroller valts ut med hänsyn till de finansiella poster i resultat- och balansräkningar samt notuppgifter som bolaget bedömt som väsentliga. De processer som kan vara relevanta är processer med en väsentlig påverkan på väsentliga finansiella poster och notuppgifter.

3.17Bolaget kan dokumentera risker och kontroller på processnivå på många olika sätt. Ett vanligt sätt att dokumentera risker, processaktiviteter samt kontroller på processnivå är via risk- och kontrollmatriser samt flödesscheman och/eller beskrivningar av processaktiviteter och kontroller. För processer och kontroller kopplade till de finansiella poster och notuppgifter som inte bedömts som väsentliga behöver bolaget inte upprätta någon detaljerad dokumentation.

3.18Revisorn bedömer om bolagets dokumenterade utvärdering av kontroller på processnivå innehåller:

  1. Tillräckliga och relevanta beskrivningar av risker för väsentliga fel i de processer som påverkar de väsentliga finansiella poster och notuppgifter som identifierats av bolaget.
  2. Tillräckliga och relevanta beskrivningar av de förebyggande och upptäckande kontrollaktiviteter (manuella kontroller, IT-beroende manuella kontroller samt applikationskontroller) som implementerats och som bolaget förlitar sig på för att möta de identifierade riskerna i processerna kopplade till respektive väsentlig finansiell post i resultat- och balansräkningar eller notuppgift. Bolagets utvärdering och dokumentering av kontroller på processnivå bör utvisa att rimliga kopplingar föreligger mellan de kontroller som identifierats på processnivå och de identifierade riskerna.
  3. En utvärdering av utformningen av de kontroller på processnivå som bolaget förlitar sig på och som minimerar risken för väsentliga fel avseende räkenskapspåståenden, såsom Existens, Inträffande, Fullständighet, Värdering, Mätning, Rättigheter och förpliktelser samt Presentation och upplysning. Utvärderingen bör, med beaktande av det faktum att vissa räkenskapspåståenden för olika finansiella poster i vissa fall kan nås via starka bolagsövergripande kontroller, utvisa att alla relevanta räkenskapspåståenden för varje väsentlig finansiell post eller notuppgift nås via de implementerade kontrollerna. Revisorn bör vid bedömningen försäkra sig om att bolagets kontroller på processnivå omfattar alla typer av väsentliga transaktioner och väsentliga transaktionsflöden för respektive väsentlig finansiell post.

3.19Bolaget bör kunna uppvisa utvärderingar på processnivå som visar att styrelsen beaktat en tillräcklig andel av alla väsentliga finansiella poster och notuppgifter i sin bedömning av utformningen av kontrollerna på processnivå, detta med hänsyn till förekommande bolagsövergripande kontroller inom bolaget eller, i förekommande fall, koncernen och effekten av dessa.

Granskning av ledningens utvärdering av generella IT-kontroller

3.20Det sätt på vilket bolaget hanterar IT  och sina informationssystem har betydelse för den interna kontrollen. Generella IT-kontroller utgör fundamentet för kontrollerna i datoriserade informationssystem, som i sin tur stödjer bolagets processer. Dessa system är i hög grad integrerade med processtegen initiering, godkännande, bokföring, behandling och rapportering av finansiella transaktioner som ligger till grund för den finansiella rapporteringen. Behovet och anpassningen av generella IT-kontroller skiljer sig väsentligt från bolag till bolag beroende på omfattningen och beroendet av IT i verksamheten. Respektive bolag bör därför bedöma behovet av generella IT-kontroller, deras karaktär och omfattning, för att i sin tur kunna bedöma den interna kontrollen över den finansiella rapporteringen.

3.21Generella IT-kontroller över områden, såsom programutveckling, programförändringar, datordrift samt åtkomst till program och data, stödjer funktionen hos kontroller relaterade till de datoriserade informationssystemen och har därmed en stark koppling till den finansiella rapporteringen. Det finns specifika kontrollmål för generella IT-kontroller som stödjer funktionen hos andra kontroller, särskilt utformade att hantera identifierade risker inom affärsprocesserna.

3.22Styrelsen ska i beskrivningen av intern kontroll redogöra för den interna kontrollen avseende finansiell rapportering. Detta inkluderar generella IT-kontroller som andra kontroller i processerna vilar på. För att kunna redogöra för denna del av den interna kontrollen behöver bolaget kartlägga de IT-system som stödjer den finansiella rapporteringen. Bolaget behöver identifiera risker relaterade till dessa IT-system samt utforma och införa kontrollaktiviteter för att hantera de identifierade riskerna. Bolaget behöver kontinuerligt säkerställa att de generella IT-kontrollerna är aktuella och att de anpassas när så krävs.

3.23Revisorn bedömer om generella IT-kontroller finns på plats för att möta de för bolaget relevanta riskerna. Detta innebär att revisorn bedömer om styrelsens dokumenterade beskrivning och utvärdering av de generella IT-kontrollerna avseende de datoriserade informationssystem som stödjer processerna för bolagets finansiella rapportering visar att de uppfyller följande kriterier:

  1. Kontroller finns för programutveckling och programförändringar. I detta ingår att det finns kontroller för utveckling, installation och underhåll av datoriserade informationssystem.
    1. Bolagets kontroller säkerställer att utveckling och underhåll av program möter verksamhetens krav och installeras på rätt sätt och i rätt tid. En avsaknad av lämpliga kontroller för nyutvecklade eller förändrade program kan resultera i felaktiga beräkningar, ofullständiga registreringar, felaktiga avklipp eller andra felaktigheter i redovisningen.
  2. Kontroller finns för datordrift innefattande kontroller kring övervakning och underhåll av datordrift (katastrofplanering kan exkluderas).
    1. Med kontroller för datordrift avses att tillhandahålla planerad, övervakad och säker drift av informationssystem som tillfredsställer användarnas behov i fråga om tillgänglighet, stöd och problemhantering. Om det saknas kontroller för detta, kan program avslutas på ett icke normalt sätt, vilket kan resultera i att transaktioner inte registreras fullständigt eller korrekt.
  3. Kontroller bör finnas för att hantera åtkomst till program och data. Dessa kontroller omfattar utformning, införande och underhåll av informationssäkerhet, såväl fysisk som logisk säkerhet, när det gäller åtkomst till program och data.
    1. Bolaget beskriver kontroller med koppling till bolagets bedömning och prioritering av säkerhetsrisker när det gäller åtkomst till program och data. I arbetet ingår att utse ägare av information, klassificering av information ur ett säkerhetsperspektiv samt val och införande av säkerhetsverktyg och säkerhetsrutiner. Om det inte finns kontroller implementerade för att säkerställa lämplig åtkomst till program och data, kan information ändras eller raderas av icke behöriga individer. Vidare kan information förloras och därmed inte vara tillgänglig när så behövs.

3.24Revisorn utvärderar om styrelsens beskrivning och bedömning av de generella IT-kontrollerna är riktig och väl underbyggd. I sin utvärdering beaktar revisorn om de generella IT-kontrollernas omfattning och funktion är tillräcklig för att stödja kontrollerna i de väsentliga processer som ligger till grund för den finansiella rapporteringen och om de generella IT-kontrollerna underbygger styrelsens uttalande om hur väl den interna kontrollen avseende den finansiella rapporteringen fungerat under det senaste räkenskapsåret.

Granskning av ledningens utvärdering av funktionalitet

3.25En dokumenterad utvärdering av hur den interna kontrollen fungerat under det senaste räkenskapsåret bör finnas som ett underlag för att styrelsen ska kunna göra ett välgrundat uttalande om den interna kontrollen. Bolaget behöver verifiera att de kontroller bolaget huvudsakligen förlitar sig på har fungerat, och utförts som avsett, under det senaste räkenskapsåret.

3.26Revisorn ska testa funktionaliteten för vissa kontroller för att verifiera bolagets bedömningar och skaffa sig en förståelse av de väsentliga typer av aktiviteter som bolaget använder sig av för att övervaka den interna kontrollen. Revisorn bör tidigt i sin granskning bedöma bolagets arbete med att utvärdera de bolagsövergripande kontrollernas utformning och funktion, eftersom detta sedan styr inriktningen och omfattningen av revisorns fortsatta granskning av kontrollerna på processnivå.

3.27Revisorn bedömer om bolagets arbete med att utvärdera kontrollers funktionalitet

  1. är strukturerat och dokumenterat på ett sådant sätt att utförande, resultat och slutsats av verifieringsarbetet tydligt framgår,
  2. omfattar väsentliga bolagsövergripande kontroller, generella IT-kontroller och kontroller på processnivå,
  3. beaktar såväl kvantitativa som kvalitativa faktorer (exempelvis hur ofta kontrollen utförs, den finansiella postens komplexitet etc.) i utformningen av verifieringsarbetet,
  4. omfattar de mest väsentliga affärsenheterna,
  5. omfattar aktiviteter för uppföljning av den interna kontrollen avseende den finansiella rapporteringen.

3.28Revisorn ska verifiera kvaliteten på bolagets utvärdering av funktionaliteten genom att stickprovsvis verifiera vissa väsentliga kontrollers funktion. Revisorns granskningsåtgärder för att skaffa revisionsbevis för kontrollers funktion kan bestå av förfrågan, inspektion av relevant dokumentation, observation av hur kontrollen utförs eller utförande av vissa kontrollmoment. Omfattningen beror på revisorns bedömning av bolagets arbete, kontrollens karaktär och hur ofta den utförs, komplexiteten i verksamheten samt revisorns egen riskbedömning.

3.29Revisorn bedömer om bolagets arbete varit strukturerat och påvisar kontrollernas funktionalitet i tillräcklig omfattning för att kunna underbygga styrelsens uttalande om hur väl den interna kontrollen avseende den finansiella rapporteringen fungerat under det senaste räkenskapsåret.

Granskning av ledningens utvärdering av den interna kontrollen

3.30Bolagets arbete resulterar i en sammanvägd utvärdering av väsentliga kontroller på bolagsövergripande nivå och processnivå samt för generella IT-kontroller baserat på den riskbedömning som gjorts. Utvärderingen utgör en viktig del i styrelsens bedömningsunderlag och analys samt grunden för styrelsens uttalande om hur den interna kontrollen har fungerat under det senaste räkenskapsåret.

3.31Revisorn bedömer om bolagets utvärdering av den interna kontrollen avseende finansiell rapportering

  1. är strukturerad och omfattar alla väsentliga kontroller och affärsenheter,
  2. är dokumenterad så att den underbygger beskrivningen och slutsatsen i beskrivningen av internkontrollen,
  3. beaktat alla de väsentliga risker som kommit fram i styrelsens riskbedömningsprocess,
  4. anger åtgärder som kommer att vidtas för eventuella noterade brister i den interna kontrollen och uppgifter om när åtgärderna kommer att genomföras.

Granskning av beskrivningen av internkontrollens innehåll

3.32Revisorns granskningsarbete och bedömningar ställs slutligen i relation till styrelsens beskrivning av intern kontroll. Revisorn överväger om det har kommit fram några omständigheter som ger honom eller henne anledning att anse att rapporten inte, i allt väsentligt, ger en rättvisande bild av hur den interna kontrollen avseende finansiell rapportering är organiserad och hur väl den fungerat under det senaste räkenskapsåret i enlighet med det ramverk som tillämpats. I detta övervägande är det viktigt att revisorn också beaktar resultatet av räkenskapsrevisionen och eventuella väsentliga fel som noterats där.

Styrelsens utvärdering av behovet av en internrevision

3.33I bolag som inte har en särskild granskningsfunktion (internrevision) vars arbete innefattar granskning av intern kontroll avseende den finansiella rapporteringen utvärderar styrelsen årligen behovet av en sådan funktion. Styrelsen uttalar sin slutsats av utvärderingen och motiverar sitt ställningstagande. Revisorn har att ta ställning till styrelsens uttalande, baserat på den kunskap om bolaget och dess interna kontroll som han eller hon skaffat sig genom revisionen av årsredovisning och förvaltning samt genom den översiktliga granskningen av den interna kontrollen avseende finansiell rapportering.

4 Revisorns rapportering

4.1Vägledningen anger att styrelsens rapport om intern kontroll bör utformas med utgångspunkt i övergripande krav på att informationen på ett rättvisande och väsentlighetsorienterat sätt beskriver förhållanden av betydelse vid bedömningen av bolagets organisation av den interna kontrollen avseende den finansiella rapporteringen och hur väl den fungerat. Rapporteringen bör karaktäriseras av öppenhet och av att den är utformad utifrån bolagets förhållanden. Grundat på de inhämtade granskningsbevisen använder revisorn sitt professionella omdöme för att samlat komma fram till huruvida styrelsens process har givit styrelsen en rimlig grund för sitt uttalande om hur väl den interna kontrollen fungerat. Om revisorn anser att dessa övergripande principer i hög grad inte är uppfyllda eller att styrelsens rapport saknar substans, ska revisorn inte lämna någon granskningsrapport överhuvudtaget, eftersom en sådan granskningsrapport riskerar att vara svårtolkad för läsaren.

Bilaga Revisorns rapport över styrelsens rapport om intern kontroll avseende den finansiella rapporteringen

RevR 7 exempel

Till bolagsstämman i ABC-bolaget

Revisorns rapport över styrelsens rapport om intern kontroll avseende den ­finansiella rapporteringen

Inledning

Jag (Vi) har utfört en översiktlig granskning av styrelsens rapport om intern kontroll avseende den finansiella rapporteringen för ABC-bolaget för år 20X1. Det är styrelsen som har ansvaret för att på ett rättvisande sätt upprätta och presentera denna beskrivning av intern kontroll. Mitt (Vårt) ansvar är att uttala en slutsats om denna beskrivning av intern kontroll grundad på min (vår) översiktliga granskning.

Den översiktliga granskningens inriktning och omfattning

Jag (Vi) har utfört min (vår) översiktliga granskning i enlighet med FARs rekommendation RevR 7 Översiktlig granskning av styrelsens beskrivning av intern kontroll avseende finansiell rapportering. Den översiktliga granskningen har bestått av att ta del av dokumentation av hur den interna kontrollen är organiserad och utförd, att göra förfrågningar, i första hand till personer som är ansvariga för finansiella frågor och redovisningsfrågor samt att vidta andra översiktliga granskningsåtgärder. En översiktlig granskning har en annan inriktning och en betydligt mindre omfattning jämfört med den inriktning och omfattning som en revision enligt Revisionsstandard i Sverige RS och god revisionssed i övrigt har. De granskningsåtgärder som vidtas vid en översiktlig granskning gör det inte möjligt för mig (oss) att skaffa mig (oss) en sådan säkerhet att jag (vi) blir medveten(-na) om alla viktiga omständigheter som skulle kunna ha blivit identifierade om en revision utförts. En uttalad slutsats som grundas på en översiktlig granskning har därför inte den säkerhet som en uttalad slutsats grundad på en revision har.

Slutsats

Grundat på min (vår) översiktliga granskning har det inte kommit fram några omständigheter som ger mig (oss) anledning att anse att styrelsens beskrivning av intern kontroll avseende den finansiella rapporteringen inte, i allt väsentligt, har upprättats i enlighet med Vägledning till Svensk kod för bolagsstyrning eller att styrelsen inte har rimlig grund för sitt uttalande om hur den interna kontrollen avseende den finansiella rapporteringen fungerat under det senaste räkenskapsåret.

Ort den DD månad ÅÅÅÅ

A.A.

Auktoriserad/Godkänd revisor

  • [1]

    Nasdaq Stockholm och NGM Equity.

Sifferkollen Läs mer

Belopp

Basbelopp
År 2017 2018 2019
Prisbasbelopp 44 800 45 500 46 500
Förhöjt pbb. 45 700 46 500 47 400
Inkomstbasbelopp 61 500 62 500 64 400
Utdelning fåmansföretag
År 2017 2018 2019
Schablonbelopp 163 075 169 125 171 875

Räntesatser

Periodiseringsfond
År 2017 2018 2019
Räntesats 0,36* 0,36 0,51

* 0,19 om räkenskapsåret börjar 2016 och avslutas 2017.

Referensränta
År 2016-07-01 2019-07-01
Räntesats -0,5 0,0
Ränta på skattekontot
Period 2013-2016 2017 -
Intäkt 0,5625 0
Kostnad Låg 1,25 1,25
Kostnad Hög 16,25 16,25
Räntefördelning
Inkomstår 2017 2018 2019
Positiv 6,27 6,49 6,51
Negativ 1,50 1,50 1,51
Statslåneränta
År 2016 2017 2018
31 maj 0,57 0,34 0,49
30 nov 0,27 0,49 0,51

Traktamenten

Bilresor
Inkomstår 2017 2018 2019
Egen bil 18,50 18,50 18,50
Förmånsbil, diesel 6,50 6,50 6,50
Förmånsbil, bensin 9,50 9,50 9,50
Kostförmån
År 2017 2018 2019
Frukost, lunch och middag 225 235 245
Lunch eller middag 90 94 98
Frukost 45 47 49
Skattefria gåvor
År 2017 2018 2019
Julgåva 450 450 450
Jubileumsgåva 1 350 1 350 1 350
Minnesgåva 15 000 15 000 15 000

Skattesatser

Bolagsskatt
År 2017 2018 2019
Skattesats 22% 22% 21,4%
Mervärdesskatt
År 2017 2018 2019
Normal

25 %

25 % 25 %
Livsmedel, krog m.m. 12 % 12 % 12 %
Persontransport, böcker m.m. 6 % 6 % 6 %
Arbetsgivaravgifter/egenaavgifter
Födda -1937 1939 - 1953 1954 -
Arb. avgifter 6,15% 16,36% 31,42%
Egenavgifter 6,15% 16,36% 28,97%