Historisk arkiv

Vedlegg: Nærmere om revisors gjennomgang av intern kontroll og om revisors ansvar for å avdekke misligheter

Historisk arkiv

Publisert under: Regjeringen Bondevik I

Utgiver: Kirke-, utdannings- og forskningsdepartementet

VEDLEGG

NÆRMERE OM REVISORS GJENNOMGANG AV INTERN KONTROLL OG OM REVISORS ANSVAR FOR Å AVDEKKE MISLIGHETER

(kfr rapportens avsnitt 4.3)

Revisors gjennomgåelse av intern kontroll

Virksomhetens ledelse er ansvarlig for å etablere systemer og nødvendige interne kontrolltiltak. Når revisor skal avgi en særattestasjon, må revisor kartlegge den interne kontroll som er av betydning i det konkrete tilfellet, og teste at tiltakene fungerer i praksis. Det gjøres ved å ta noen få stikkprøver.

Ved revisjon av et regnskap må revisor skaffe seg tilstrekkelig kjennskap til regnskaps- og intern kontroll-systemene til å kunne planlegge revisjonen på en effektiv måte.

Med "regnskapssystem" menes de serier av handlinger og den dokumentasjon i en virksomhet som benyttes for å bearbeide transaksjoner for å frembringe økonomisk informasjon. Slike systemer identifiserer, samler, analyserer, beregner, klassifiserer, dokumenterer, trekker sammen og rapporterer transaksjoner og andre hendelser.

Med "intern kontroll-system" menes alle metoder og rutiner (intern kontroll-tiltak) som er iverksatt av virksomhetens ledelse for å hjelpe til med å sikre ordentlig og effektiv forretningsdrift, så langt det er mulig. Ordentlig og effektiv forretningsdrift omfatter overholdelse av ledelsens retningslinjer, sikring av eiendeler mot tap, forhindring og oppdagelse av misligheter og feil, sikring av nøyaktighet og fullstendighet av regnskapsbøker og rettidig frembringelse av pålitelig økonomisk informasjon. Intern kontroll-systemet favner videre enn det som har med regnskapssystemet å gjøre og omfatter:

a) "Kontrollmiljøet", som betyr overordnet holdning, oppmerksomhet og reaksjoner hos styret og ledelsen når det gjelder intern kontroll-systemet og vektleggingen av det i virksomheten. Kontrollmiljøet har betydning for effektiviteten av spesifikke kontrollhandlinger. Et godt kontrollmiljø, for eksempel et med god budsjettkontroll og effektiv internrevisjon, kan i vesentlig grad komplettere kontrollrutinene. Imidlertid kan ikke et godt kontrollmiljø i seg selv sikre effektiviteten av intern kontroll-systemet. Forhold som avspeiles i kontrollmiljøet omfatter:

· Styrets og styreoppnevnte komiteers funksjoner.

· Ledelsesfilosofi og lederstil.

· Virksomhetens organisasjonsstruktur og metoder for tildeling av ansvar og myndighet.

· Ledelsens kontrollsystem, inklusive internrevisjon, personalpolitikk, personalrutiner og arbeidsdeling.

b) "Kontrollrutiner", som betyr de retningslinjer og rutiner i tillegg til kontrollmiljøet som ledelsen har iverksatt for å oppnå virksomhetens formål. Spesifikke kontrollrutiner omfatter:

· Rapportering, kontroll og godkjennelse av avstemminger.

· Kontroll av tallmessig nøyaktighet av bøkene.

· Kontroll over IT-systemer og -miljø, for eksempel ved iverksettelse av kontroll vedrørende:

· endringer i dataprogrammer

· tilgang til dataregistre.

· Vedlikehold og vurdering av kontrollkontoer og råbalanser.

· Godkjennelse og kontroll av dokumenter.

· Sammenligning av interne data med informasjon fra eksterne kilder.

· Sammenligning av resultatet av telling av kontanter, verdipapirer og varelager med bøkene.

· Begrensning av fysisk adgang til eiendeler og bøker.

· Analyser og sammenligning av økonomisk resultat med budsjetterte beløp.

Ved revisjon av regnskapet er revisor opptatt av de retningslinjer og rutiner i regnskaps- og intern kontroll-systemene som er av betydning for de regnskapsmessige opplysningene. Kjennskapen til relevante sider ved regnskaps- og intern kontroll-systemene, sammen med blant annet vurdering av iboende risiko og kontrollrisiko, gjør det mulig for revisor å:

a) identifisere hvilke typer vesentlig feilinformasjon som kan forekomme i regnskapet,

b) vurdere faktorer som har innvirkning på risikoen for vesentlig feilinformasjon, og

c) utforme passende revisjonshandlinger.

Interne kontroller i forbindelse med regnskapssystemet har til hensikt å sikre for eksempel at

– transaksjoner gjennomføres i henhold til ledelsens generelle eller spesifikke godkjennelse

– alle transaksjoner og andre hendelser blir registrert omgående med korrekt beløp, på riktig konto og i riktig periode

– tilgang til eiendeler og bøker oppnås kun i samsvar med ledelsens godkjennelse

– bokførte eiendeler blir kontrollert mot eksisterende eiendeler med rimelige mellomrom, og det gjennomføres hensiktsmessig oppfølging av avvik.

Regnskaps- og intern kontroll-systemer kan ikke gi absolutt bevis for at målene er nådd, på grunn av iboende begrensninger. Slike begrensninger omfatter:

· Ledelsens vanlige krav om at kostnaden ved en intern kontroll ikke overstiger de fordelene som forventes oppnådd.

· De fleste interne kontroller er som regel mer innrettet mot rutinetransaksjoner enn ikke-rutinetransaksjoner.

· Muligheten for menneskelige feil på grunn av uaktsomhet, distraksjon, feil utøvelse av skjønn og misforståelse av instrukser.

· Muligheten for omgåelse av interne kontroller gjennom samarbeid mellom en person i ledelsen eller en ansatt og personer utenfor eller innenfor virksomheten

· Muligheten for at en person som er ansvarlig for å utføre en intern kontroll-handling kan misbruke ansvaret, for eksempel at en person i ledelsen overstyrer en intern kontroll.

· Muligheten for at rutinene kan bli utilstrekkelige på grunn av endrede omstendigheter, og at graden av etterlevelse av kontrollrutinene synker.

For å planlegge revisjonen må revisor skaffe seg kunnskap om utformingen av regnskaps- og intern kontroll-systemene og hvordan de fungerer. For eksempel kan revisor foreta en "vugge-grav"-test, det vil si å følge et lite antall transaksjoner som passerer gjennom systemet. For eventuelt å kunne bygge på systemene for å kunne bekrefte regnskapet, må revisor utføre systemtester.

Systemtester utføres for å oppnå revisjonsbevis vedrørende effektiviteten av

a) utformingen av regnskaps- og intern kontroll-systemene, det vil si om de er utformet på en måte som er egnet til å forhindre eller oppdage og korrigere vesentlig feilinformasjon, og

b) utførelsen av de interne kontrollene gjennom perioden.

Revisor må skaffe seg samme grad av sikkerhet for å kunne avgi beretning uten forbehold vedrørende regnskapet, uansett foretakets størrelse. Mange relevante interne kontroller i store foretak er ikke praktiske i små foretak. Regnskapsrutinene i små foretak blir for eksempel ofte utført av et lite antall personer som har både operasjonelt ansvar og ansvar for fysisk oppbevaring, og arbeidsdeling kan mangle eller være sterkt begrenset. I noen tilfeller kan utilstrekkelig arbeidsdeling avhjelpes ved at eier/ledelse overvåker det som skjer på grunnlag av direkte, personlig kunnskap om virksomheten og deltakelse i transaksjonene. Der arbeidsdelingen er begrenset og det ikke er revisjonsbevis for overvåkningskontroller, kan nødvendig revisjonsbevis i sin helhet måtte fremskaffes gjennom substanskontroller.

Revisors ansvar for å avdekke misligheter

Revisor må vurdere risikoen for at det kan foreligge vesentlig feilinformasjon i regnskapet som følge av misligheter og feil.

Begrepet "misligheter" benyttes om tilsiktede handlinger utført av én eller flere personer innen ledelsen, ansatte eller av andre, som medfører feilinformasjon i regnskapet. Misligheter omfatter blant annet:

· Manipulasjon, forfalskning eller endring av regnskapsdata eller dokumenter.

· Underslag av eiendeler.

· Ufullstendig eller unnlatt registrering av transaksjoner.

· Registrering av transaksjoner uten reelt grunnlag.

· Feilaktig bruk av regnskapsprinsipper.

Det er ikke revisors ansvar å forhindre misligheter, men revisjonen kan ha en forebyggende effekt.

Svakheter i regnskaps- og intern kontroll-systemer og manglende etterlevelse av etablerte kontroller øker risikoen for misligheter. Dette gjelder også omstendigheter eller hendelser som:

· Gir grunnlag for å trekke ledelsens integritet eller kompetanse i tvil.

· At virksomheten er utsatt for uvanlig press, internt eller utenfra.

· Uvanlige transaksjoner.

· Problemer med å innhente tilstrekkelig og hensiktsmessig revisjonsbevis.

Revisor må med bakgrunn i risikovurderingen planlegge revisjonshandlinger som gir betryggende sikkerhet for at vesentlig feilinformasjon i regnskapet som følge av misligheter og feil, blir avdekket.

Det er alltid risiko for at revisor ikke avdekker vesentlig feilinformasjon, selv om revisjonen er tilfredsstillende planlagt og utført i samsvar med de aktuelle revisjonsstandarder. Misligheter følges ofte opp med handlinger for å skjule dem, for eksempel hemmelige avtaler, dokumentforfalskning, forsettlige registreringsfeil eller bevisst feilfremstilling overfor revisor, slik at risikoen for at de ikke avdekkes av revisor er større enn når det gjelder ikke tilsiktede feil.

Revisor må planlegge og utføre revisjonen med en profesjonelt skeptisk holdning og være forberedt på at det kan finnes forhold og hendelser som tyder på at det har forekommet misligheter.

Selv om effektive regnskaps- og intern kontroll-systemer reduserer sannsynligheten for misligheter og feil, vil det alltid være risiko for at intern kontroll-rutiner ikke fungerer som forutsatt. Videre kan ethvert regnskaps- eller intern kontroll-system settes ut av virksomhet ved misligheter utført av ledelsen eller ved samarbeid mellom ansatte. Enkelte kan på grunn av sin posisjon være i stand til å overstyre kontroller som i andre tilfeller hadde forhindret misligheter, for eksempel ved å få medarbeidere til å foreta feilregistreringer, ikke registrere transaksjoner eller fortie informasjon vedrørende transaksjonene.

Har revisor fått indikasjoner på at det kan foreligge misligheter eller feil, må revisor vurdere den mulige effekten på regnskapet. Dersom revisor tror at de misligheter eller feil det er indikasjoner på, kan ha vesentlig betydning, må revisor gjennomføre tilpassede eller ytterligere revisjonshandlinger.

Når mistanke om misligheter eller feil ikke avkreftes av tilpassede eller ytterligere revisjonshandlinger, må revisor diskutere forholdet med ledelsen og vurdere hvorvidt forholdet kommer korrekt til uttrykk eller er blitt korrigert i regnskapet. Revisor må vurdere om forholdet er av betydning for revisjonsberetningen.

Revisor må vurdere konsekvensene av misligheter i forhold til andre deler av revisjonen, spesielt troverdigheten av uttalelser fra ledelsen. Dersom misligheter ikke er blitt avdekket av den interne kontrollen eller ikke fremgår av ledelsens uttalelser, bør revisor foreta ny risikovurdering, og spesielt vurdere ledelsens troverdighet. Misligheter som avdekkes av revisor vil påvirke revisjonen på forskjellig måte avhengig av omstendighetene rundt mislighetene, de aktuelle kontrollrutiner og ledelsens/ansattes deltakelse.

Revisor må meddele ledelsen de faktiske funn så snart det er praktisk mulig dersom revisor har mistanke om misligheter, selv om en eventuell virkning på regnskapet er uvesentlig, eller det faktisk er funnet misligheter.

Dersom ikke revisors arbeid gir indikasjoner på det motsatte, er revisor berettiget til å ha tiltro til klientens fremstillinger, regnskapsbøker og dokumenter.

(1)teratur, offentlige utredninger og regelverk blir det brukt noe ulike betegnelser på særskilte bekreftelser som revisor avgir ved siden av ordinær revisjon. Rapporten gjenspeiler dette ved at man bruker både revisorbekreftelse, revisorattestasjon og revisors særattestasjon om det samme forholdet. Det vises for øvrig til generell omtale av slike attestasjoner i kapittel 5.

(2) Et offentlig utvalg har utredet behovet for endringer i de bestemmelser som foreligger om revisorer og revisjon. I NOU 1997:9 fremmer utvalget forslag til endringer i lov om revisjon og revisorer.

(3) Finansiell revisjon er revisjon som bekrefter at årsoppgjør og andre regnskapsoppstillinger er oppsatt i henhold til gitte kriterier.

(4) Det offentlige utvalget omtaler revisjon i privat virksomhet. Drøftingene rundt bruk av særattestasjon er imidlertid av allmenn karakter, og vil derfor også kunne ha relevans for revisjon i kommunal sektor.

(5) I tillegg til kontrolloppgavene knyttet til tilskuddsforvaltningen, ligger det ofte store kontrolloppgaver knyttet til departementenes ettersyn og kontroll med underliggende virksomheter.

(6)

lxv

 

  Forord

  1. Sammendrag og tilrådinger
  2. Arbeidsgruppens arbeid
  3. Regler om tilskuddsforvaltning i staten
  4. Kontroll i tilskuddsforvaltningen
  5. Lov og regelverk om revisjon og særattestasjoner
  6. Gjennomgang av rapporter vedrørende kontroll og bruk av særattestasjoner, herunder rapporter fra Riksrevisjonen
  7. Metodikk for valg av kontrollopplegg
  8. Nærmere om statlige tilskudd til kommunesektoren
  9. Gjennomgang av utvalgte tilskuddsordninger

    Vedlegg: Nærmere om revisors gjennomgang av intern kontroll og om revisors ansvar for å avdekke misligheter