ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter … · 2017-12-18 ·...
41
International Auditing and Assurance Standards Board ISA 240 Internasjonal revisjonsstandard ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper © 2009
Transcript of ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter … · 2017-12-18 ·...
International Auditing and Assurance Standards Board ISA 240
Internasjonal revisjonsstandard
ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper
© 2009
2 ISA 240
International Auditing and Assurance Standards Board
International Federation of Accountants 545 Fifth Avenue, 14th Floor
New York, New York 10017 USA
This International Standard on Auditing (ISA) 240, «The Auditor’s Responsibilities Relating to Fraud in an Audit of Financial Statements» was prepared by the International Auditing and Assurance Standards Board (IAASB), an independent standard-setting body within the International Federation of Accountants (IFAC). The objective of the IAASB is to serve the public interest by setting high quality auditing and assurance standards and by facilitating the convergence of international and national standards, thereby enhancing the quality and uniformity of practice throughout the world and strengthening public confidence in the global auditing and assurance profession.
The original English version of this publication may be downloaded free of charge from the IFAC website: http://www.ifac.org. The approved text is published in the English language.
The mission of IFAC is to serve the public interest, strengthen the worldwide accountancy profession and contribute to the development of strong international economies by establishing and promoting adherence to high quality professional standards, furthering the international convergence of such standards and speaking out on public interest issues where the profession’s expertise is most relevant.
Copyright © April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Permission is granted to make copies of this work provided that such copies are for use in academic classrooms or for personal use and are not sold or disseminated and provided that each copy bears the following credit line: «Copyright © April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Used with permission of IFAC. Contact [email protected] for permission to reproduce, store or transmit this document.» Otherwise, written permission from IFAC is required to reproduce, store or transmit, or to make other similar uses of, this document, except as permitted by law. Contact [email protected].
ISBN: 978-1-934779-97-2
***
Internasjonal revisjonsstandard 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper er opprinnelig utgitt på engelsk av the International Auditing and Assurance Standards Board i the International Federation of Accountants (IFAC) i April 2009, og oversatt til norsk og utgitt av Den norske Revisorforening i April 2010, med tillatelse fra IFAC. IFAC har vurdert oversettelsesprosedyren, og oversettelsen er gjort i samsvar med Policy Statement – Policy for Translating and Reproducing Standards Issued by IFAC. Den godkjente teksten til de internasjonale standardene for revisjon og kvalitetskontroll er den som er utgitt på engelsk av IFAC. Engelsk utgave av internasjonal revisjonsstandard 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper © 2009 the International Federation of Accountants (IFAC). Norsk utgave av internasjonal revisjonsstandard 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper © 2010 the International Federation of Accountants (IFAC). Originalens tittel: International Standard on Auditing (ISA) 240, «The Auditor’s Responsibilities Relating to Fraud in an Audit of Financial Statements».
3 ISA 240
INTERNASJONAL REVISJONSSTANDARD 240
REVISORS OPPGAVER MED OG PLIKTER TIL Å VURDERE MISLIGHETER VED REVISJON AV REGNSKAPER
(Gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere.)
INNHOLD
Punkt Innledning Denne ISA-ens virkeområde ........................................................................................... 1 Karakteristiske trekk ved misligheter .............................................................................. 2–3 Ansvar for å forebygge og avdekke misligheter ............................................................. 4–8 Ikrafttredelsesdato ........................................................................................................... 9 Mål .................................................................................................................................. 10 Definisjoner .................................................................................................................... 11 Krav Profesjonell skepsis ......................................................................................................... 12–14 Diskusjon i revisjonsteamet ............................................................................................ 15 Risikovurderingshandlinger og beslektede aktiviteter .................................................... 16–24 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter.............................................................................................. 25–27 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter.............................................................................................. 28–33 Vurdering av revisjonsbevis ............................................................................................ 34–37 Revisor ikke i stand til å fortsette oppdraget ................................................................... 38 Uttalelser fra ledelsen ...................................................................................................... 39 Kommunikasjon med ledelsen og dem som har overordnet ansvar for styring og kontroll 40–42 Kommunikasjon til regulerings-, kontroll- og påtalemyndigheter .................................. 43 Dokumentasjon ................................................................................................................ 44–47 Veiledning og utfyllende forklaringer Karakteristiske trekk ved misligheter .............................................................................. A1–A6 Profesjonell skepsis ......................................................................................................... A7–A9 Diskusjon i revisjonsteamet ............................................................................................ A10–A11 Risikovurderingshandlinger og beslektede aktiviteter .................................................... A12–A27 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter.............................................................................................. A28–A32
4 ISA 240
Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter.............................................................................................. A33–A48 Vurdering av revisjonsbevis ............................................................................................ A49–A53 Revisor ikke i stand til å fullføre oppdraget .................................................................... A54–A57 Uttalelser fra ledelsen ...................................................................................................... A58–A59 Kommunikasjon med ledelsen og dem som har overordnet ansvar for styring og kontroll................................................................................................................... A60–A64 Kommunikasjon til regulerings-, kontroll- og påtalemyndigheter .................................. A65–A67 Vedlegg 1: Eksempler på mislighetsrisikofaktorer Vedlegg 2: Eksempler på mulige revisjonshandlinger for å håndtere de vurderte risikoene
for vesentlig feilinformasjon som skyldes misligheter Vedlegg 3: Eksempler på omstendigheter som kan tyde på misligheter Internasjonal revisjonsstandard (ISA) 240 «Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper» må leses i sammenheng med ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene».
5 ISA 240
Innledning
Denne ISA-ens virkeområde
1. Denne internasjonale revisjonsstandarden (ISA-en) omhandler revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av et regnskap. Den utdyper særlig hvordan ISA 3151 og ISA 3302 skal anvendes i forhold til risikoer for vesentlig feilinformasjon som skyldes misligheter.
Karakteristiske trekk ved misligheter
2. Feilinformasjon i et regnskap kan oppstå som følge av misligheter eller feil. Det som skiller misligheter fra feil, er hvorvidt den underliggende handlingen som fører til feilinformasjonen i regnskapet, er tilsiktet eller utilsiktet.
3. Misligheter er et omfattende juridisk begrep, men for denne ISA-ens formål er revisors oppmerksomhet rettet mot misligheter som forårsaker vesentlig feilinformasjon i regnskapet. To typer tilsiktet feilinformasjon er relevante for revisor: feilinformasjon som resultat av uredelig regnskapsrapportering og feilinformasjon som resultat av underslag av eiendeler. Selv om revisor kan ha mistanke om eller, i sjeldne tilfeller, kan konstatere at det foreligger misligheter, tar ikke revisor standpunkt til hvorvidt det juridisk sett faktisk har forekommet misligheter. (Jf. punkt A1–A6)
Ansvar for å forebygge og avdekke misligheter
4. Hovedansvaret for å forebygge og avdekke misligheter ligger både hos dem som har overordnet ansvar for styring og kontroll i enheten, og hos ledelsen. Det er viktig at ledelsen, under tilsyn av dem som har overordnet ansvar for styring og kontroll, legger stor vekt på å forebygge misligheter, noe som kan bidra til at mulighetene for misligheter reduseres, og å avskrekke enkeltpersoner fra å begå misligheter gjennom å overbevise dem om sannsynligheten for at de vil bli oppdaget og straffet. Dette innebærer en forpliktelse til å skape en bedriftskultur som preges av ærlighet og etisk atferd, som kan styrkes av at de som har overordnet ansvar for styring og kontroll, fører et aktivt tilsyn. Tilsynsoppgavene til dem som har overordnet ansvar for styring og kontroll, omfatter det å ta hensyn til muligheten for at ledelsen overstyrer kontroller eller på annen måte utøver utilbørlig innflytelse på den økonomiske rapporteringsprosessen, for eksempel ledelsens eventuelle forsøk på å styre resultatet for å påvirke analytikeres oppfatning av enhetens prestasjon og lønnsomhet.
Revisors oppgaver og plikter 5. En revisor som gjennomfører en revisjon i samsvar med ISA-ene, er ansvarlig for å skaffe seg
betryggende sikkerhet for at regnskapet sett under ett ikke inneholder vesentlig feilinformasjon, verken som følge av misligheter eller feil. På grunn av revisjonens iboende begrensninger er det en
1 ISA 315 (revidert) «Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og
dens omgivelser».
2 ISA 330 «Revisjonshandlinger for å håndtere anslått risiko».
6 ISA 240
uunngåelig risiko for at det kan forekomme at noe vesentlig feilinformasjon i regnskapet ikke blir oppdaget, selv om revisjonen er hensiktsmessig planlagt og gjennomført i samsvar med ISA-ene.3
6. Som beskrevet i ISA 200,4 er de potensielle virkningene av iboende begrensninger særlig betydelige i tilfelle feilinformasjon som følge av misligheter. Risikoen for at vesentlig feilinformasjon som skyldes misligheter, ikke avdekkes, er høyere enn risikoen for at vesentlig feilinformasjon som skyldes feil, ikke avdekkes, siden misligheter kan innebære avanserte og nøye planlagte opplegg for å skjule dem, for eksempel forfalskning, bevisst unnlatelse av å registrere transaksjoner eller bevisst feil fremstilling overfor revisor. Slike forsøk på å skjule misligheter kan være enda vanskeligere å avdekke når de er kombinert med fordekt samarbeid. Fordekt samarbeid kan føre til at revisor tror at revisjonsbevis er troverdig når det i virkeligheten er falskt. Revisors evne til å avdekke misligheter avhenger blant annet av faktorer som gjerningsmannens dyktighet, hyppigheten og omfanget av manipulasjonen, i hvilken grad det foreligger fordekt samarbeid, den forholdsmessige størrelsen av enkeltbeløpene som er manipulert, og på hvor høyt nivå i organisasjonen de involverte befinner seg. Selv om revisor kan være i stand til å identifisere muligheter for at misligheter kan begås, er det vanskelig for revisor å fastslå hvorvidt feilinformasjon på områder der det anvendes skjønn, som for eksempel regnskapsestimater, skyldes misligheter eller feil.
7. Videre er risikoen for at revisor ikke avdekker vesentlig feilinformasjon som skyldes ledelsesmisligheter større enn for ansattes misligheter, siden ledelsen ofte på grunn av sin posisjon er i stand til direkte eller indirekte å manipulere registreringer, presentere uriktig finansiell informasjon eller overstyre kontrollrutiner som er utformet for å forhindre at andre ansatte begår liknende misligheter.
8. For å oppnå betryggende sikkerhet plikter revisor å opprettholde profesjonell skepsis gjennom hele revisjonen, vurdere muligheten for at ledelsen overstyrer kontroller og forstå at revisjonshandlinger som effektivt avdekker feil ikke nødvendigvis er hensiktsmessige når det gjelder å avdekke misligheter. Kravene i denne ISA-en er utarbeidet for å hjelpe revisor med å identifisere og vurdere risikoene for vesentlig feilinformasjon som skyldes misligheter, og med å utforme revisjonshandlinger for å avdekke slik feilinformasjon.
8a. Det kan følge ytterligere ansvar for revisor i henhold til lov, forsrkift eller relevante etiske krav om et foretaks brudd på lover og forskrifter, herunder misligheter, som kan gå ut over denne og andre ISAèr. For eksempel: (Jf. punkt A5a)
(a) Reagere på identifisert eller mistanke om brudd på lover og forskrifter. Inkludert også krav til særskilt kommunikasjon med ledelsen og de som har overordnet ansvar for styring og kontroll, herunder vurdere hensiktsmessigheten av deres svar på manglende overholdelse og avgjøre om ytterligere tiltak er nødvendig.
(b) Kommunisere identifisert eller mistanke om brudd på lover og forskrifter til andre revisorer (for eksempel i forbindelse med revisjon av konsernregnskap); og
(c) Dokumentasjonskrav vedrørende identifisert eller mistanke om brudd på lover og forskrifter.
Å overholde eventuelle tilleggsansvar kan gi revisor ytterligere opplysninger som er relevante for dennes arbeid i samsvar med denne og andre ISAèr (for eksempel om ledelsens integritet, eller når det er hensiktsmessig, de som har overordnet ansvar for styring og kontroll).
3 ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale
revisjonsstandardene» punkt A51.
4 ISA 200 punkt A51.
7 ISA 240
Ikrafttredelsesdato
9. Denne ISA-en gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere.
Mål 10. Revisor har som mål å:
(a) identifisere og vurdere risikoene for vesentlig feilinformasjon i regnskapet som skyldes misligheter,
(b) innhente tilstrekkelig og hensiktsmessig revisjonsbevis vedrørende de anslåtte risikoene for vesentlig feilinformasjon som skyldes misligheter, gjennom utforming og iverksettelse av egnede handlinger, og
(c) håndtere misligheter eller mistenkte misligheter identifisert gjennom revisjonen, på en hensiktsmessig måte.
Definisjoner 11. For ISA-enes formål har følgende begreper den betydning som er beskrevet nedenfor:
(a) Misligheter – En bevisst handling begått av en eller flere personer innen ledelsen, av personer som har overordnet ansvar for styring og kontroll, av ansatte eller av andre, som innebærer uredelighet for å oppnå en urettmessig eller ulovlig fordel.
(b) Mislighetsrisikofaktorer – Hendelser eller forhold som indikerer incentiver eller press til å begå misligheter eller som gir en mulighet for å begå misligheter.
Krav
Profesjonell skepsis
12. I samsvar med ISA 2005 skal revisor opprettholde profesjonell skepsis gjennom hele revisjonen og være inneforstått med at det kan foreligge vesentlig feilinformasjon som skyldes misligheter, uten hensyn til revisors tidligere erfaringer med ærligheten og integriteten til ledelsen og dem som har overordnet ansvar for styring og kontroll i enheten. (Jf. punkt A7–A8)
13. Med mindre revisor har grunn til å tro noe annet, går revisor vanligvis ut fra at registrerte opplysninger og dokumenter er ekte. Dersom forhold som identifiseres under revisjonen, gir revisor grunn til å tro at et dokument ikke er autentisk eller at vilkår i et dokument er blitt endret uten at revisor er blitt opplyst om dette, skal revisor foreta ytterligere undersøkelser. (Jf. punkt A9)
14. Når svarene på forespørsler rettet til ledelsen eller dem som har overordnet ansvar for styring og kontroll, ikke stemmer overens, skal revisor undersøke uoverensstemmelsene.
Diskusjon i revisjonsteamet
15. ISA 315 krever at medlemmer av revisjonsteamet diskuterer og at oppdragsansvarlig revisor beslutter hvilke forhold som skal kommuniseres til de medlemmene av revisjonsteamet som ikke deltar i
5 ISA 200 punkt 15
8 ISA 240
diskusjonen.6 Denne diskusjonen skal legge spesielt vekt på hvordan og hvor enhetens regnskap kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, herunder hvordan misligheter kan oppstå. Diskusjonen skal gjennomføres uten hensyn til eventuelle oppfatninger medlemmene av revisjonsteamet kan ha om at ledelsen og de som har overordnet ansvar for styring og kontroll, er ærlige og har integritet. (Jf. punkt A10–A11)
Risikovurderingshandlinger og beslektede aktiviteter
16. Ved gjennomføring av risikovurderingshandlinger og beslektede aktiviteter for å opparbeide seg en forståelse av enheten og dens omgivelser, herunder enhetens interne kontroll, som påkrevd i ISA 315,7
skal revisor utføre handlingene i punkt 17–24 for å innhente informasjon til bruk ved identifisering av risikoene for vesentlig feilinformasjon som skyldes misligheter.
Ledelsen og andre i enheten 17. Revisor skal rette forespørsler til ledelsen om:
(a) ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, herunder arten, omfanget og hyppigheten av slike vurderinger, (Jf. punkt A12–A13)
(b) ledelsens prosess for å identifisere og håndtere risikoene for misligheter i enheten, herunder eventuelle spesifikke risikoer for misligheter som ledelsen har identifisert eller er blitt gjort oppmerksom på, eller transaksjonsklasser, kontosaldoer eller tilleggsopplysninger der det er sannsynlig at det foreligger en risiko for misligheter, (Jf. punkt A14)
(c) eventuell kommunikasjon fra ledelsen til dem som har overordnet ansvar for styring og kontroll vedrørende ledelsens prosesser for å identifisere og håndtere risikoer for misligheter i enheten, og
(d) eventuell kommunikasjon fra ledelsen til ansatte vedrørende ledelsens synspunkter på forretningspraksis og etisk atferd.
18. Revisor skal rette forespørsler til ledelsen, og andre personer i enheten etter behov, for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten. (Jf. punkt A15–A17)
19. I enheter som har internrevisjonsfunksjon, skal revisor rette forespørsler til dertil egnede personer innen funksjonen for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten, og for å innhente deres synspunkter på risikoene for misligheter. (Jf. punkt A18)
De som har overordnet ansvar for styring og kontroll 20. Med mindre alle de som har overordnet ansvar for styring og kontroll er involvert i ledelsen i
enheten,8 skal revisor opparbeide seg en forståelse av hvordan de som har overordnet ansvar for styring og kontroll fører tilsyn med ledelsens prosesser for å identifisere og håndtere risikoene for
6 ISA 315 punkt 10.
7 ISA 315 punkt 5–24.
8 ISA 260 «Kommunikasjon med dem som har overordnet ansvar for styring og kontroll» punkt 13.
9 ISA 240
misligheter i enheten og den interne kontrollen som ledelsen har opprettet for å redusere disse risikoene. (Jf. punkt A19–A21)
21. Med mindre alle som har overordnet ansvar for styring og kontroll, er involvert i ledelsen av enheten, skal revisor rette forespørsler til dem for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten. Disse forespørslene rettes delvis for å understøtte ledelsens svar på forespørsler.
Uvanlige eller uventede sammenhenger som er blitt identifisert 22. Revisor skal vurdere hvorvidt uvanlige eller uventede sammenhenger som er blitt identifisert under
gjennomføringen av analytiske handlinger, herunder handlinger knyttet til inntektskontoer, tyder på at det foreligger risikoer for vesentlig feilinformasjon som skyldes misligheter.
Annen informasjon 23. Revisor skal vurdere hvorvidt annen informasjon som er innhentet av revisor tyder på at det foreligger
risikoer for vesentlig feilinformasjon som skyldes misligheter. (Jf. punkt A22)
Vurdering av mislighetsrisikofaktorer 24. Revisor skal vurdere hvorvidt informasjon innhentet gjennom andre risikovurderingshandlinger og
beslektede aktiviteter tyder på at det foreligger en eller flere mislighetsrisikofaktorer. Selv om mislighetsrisikofaktorer ikke nødvendigvis tyder på at det foreligger misligheter, har de ofte forekommet i situasjoner hvor det er blitt påvist misligheter og kan derfor tyde på at det foreligger risikoer for vesentlig feilinformasjon som skyldes misligheter. (Jf. punkt A23–A27)
Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter
25. I samsvar med ISA 315 skal revisor identifisere og vurdere risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå og på påstandsnivå, for transaksjonsklasser, kontosaldoer og tilleggsopplysninger.9
26. Ved identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, skal revisor ta utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer. Punkt 47 angir dokumentasjonen som er påkrevd der revisor konkluderer med at antakelsen ikke er en relevant omstendighet for oppdraget og derfor ikke har identifisert inntektsføring som en risiko for vesentlig feilinformasjon som skyldes misligheter. (Jf. punkt A28–A30)
27. Revisor skal behandle de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, som særskilte risikoer, og skal følgelig, i den grad dette ikke allerede er gjort, opparbeide seg en forståelse av enhetens tilknyttede kontroller, herunder kontrollaktiviteter, som er relevante for slike risikoer. (Jf. punkt A31–A32)
9 ISA 315 punkt 25.
10 ISA 240
Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter
Overordnede handlinger 28. I samsvar med ISA 330 skal revisor fastsette overordnede handlinger for å håndtere de vurderte
risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå.10 (Jf. punkt A33)
29. Ved fastsettelse av overordnede handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå, skal revisor:
(a) utpeke og følge opp personalet basert på kunnskapene, ferdighetene og evnene til de personene som er blitt tildelt betydelig ansvar på oppdraget og revisors vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter for oppdraget, (Jf. punkt A34–A35)
(b) vurdere hvorvidt enhetens valg og anvendelse av regnskapspolicyer, særlig de som er knyttet til subjektive målinger og komplekse transaksjoner, kan indikere uredelig regnskapsrapportering som følge av ledelsens forsøk på å styre resultatet, og
(c) innlemme et element av uforutsigbarhet i utvelgelsen av typen, tidspunktet og omfanget av revisjonshandlinger. (Jf. punkt A36)
Revisjonshandlinger for å håndtere vurderte risikoer for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå 30. I samsvar med ISA 330 skal revisor utforme og utføre ytterligere revisjonshandlinger hvis art,
tidspunkt og omfang er tilpasset de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå.11 (Jf. punkt A37–A40)
Revisjonshandlinger for å håndtere risikoer knyttet til ledelsens overstyring av kontroller 31. Ledelsen er i en unik posisjon til å begå misligheter, siden den har mulighet til å manipulere
registreringer og bevisst utarbeide et feilaktig regnskap ved å overstyre kontroller som ellers synes å fungere formålstjenelig. Selv om risikoen for at ledelsen overstyrer kontroller varierer fra enhet til enhet, er risikoen allikevel tilstedeværende i alle enheter. Som følge av den uforutsigbare måten slik overstyring kan gjennomføres på, er det en risiko for vesentlig feilinformasjon som skyldes misligheter, og således en særskilt risiko.
32. Uavhengig av revisors vurdering av risikoene for at ledelsen overstyrer kontroller, skal revisor utforme og gjennomføre revisjonshandlinger for å:
(a) Teste hensiktsmessigheten av posteringer i hovedboken og andre justeringer som er foretatt ved utarbeidelsen av regnskapet. Ved utformingen og gjennomføringen av revisjonshandlinger for slike tester skal revisor:
(i) rette forespørsler til personer som er involvert i regnskapsrapporteringsprosessen vedrørende utilbørlige eller uvanlige aktiviteter knyttet til behandlingen av posteringer og andre justeringer,
10 ISA 330 punkt 5.
11 ISA 330 punkt 6.
11 ISA 240
(ii) velge posteringer og andre justeringer som er foretatt ved slutten av en regnskapsperiode, og
(iii) vurdere behovet for å teste posteringer og andre justeringer gjennom hele perioden. (Jf. punkt A41–A44)
(b) Gjennomgå regnskapsestimater med sikte på manglende objektivitet og vurdere hvorvidt
eventuelle omstendigheter som er årsak til den manglende objektiviteten, utgjør en risiko for vesentlig feilinformasjon som skyldes misligheter. Ved denne gjennomgåelsen skal revisor:
(i) vurdere hvorvidt ledelsens skjønnsmessige vurderinger og beslutninger ved utarbeidelsen av regnskapsestimatene i regnskapet, selv om de hver for seg er rimelige, tyder på manglende objektivitet hos enhetens ledelse som kan utgjøre en risiko for vesentlig feilinformasjon som skyldes misligheter. Hvis dette er tilfellet, skal revisor revurdere regnskapsestimatene under ett, og
(ii) foreta en tilbakeskuende gjennomgåelse av ledelsens skjønnsmessige vurderinger og forutsetninger knyttet til betydelige regnskapsestimater i regnskapet for foregående år. (Jf. punkt A45–A47)
(c) For betydelige transaksjoner som faller utenfor enhetens vanlige virksomhet eller som på
andre måter synes uvanlige ut fra revisors forståelse av enheten og dens omgivelser og annen informasjon som innhentes under revisjonen, skal revisor vurdere hvorvidt den forretningsmessige begrunnelsen (eller den manglende begrunnelsen) tyder på at transaksjonene kan ha blitt gjennomført i forbindelse med uredelig regnskapsrapportering eller for å skjule underslag av eiendeler. (Jf. punkt A48)
33. For å håndtere de identifiserte risikoene for at ledelsen overstyrer kontroller, skal revisor bestemme hvorvidt det er nødvendig å gjennomføre andre revisjonshandlinger i tillegg til de som er særskilt nevnt ovenfor (for eksempel der det foreligger særskilte ytterligere risikoer for at ledelsen overstyrer kontroller som ikke dekkes av revisjonshandlingene som er gjennomført for å oppfylle kravene i punkt 32).
Vurdering av revisjonsbevis (Jf. punkt A49)
34. Når revisor trekker sin totalkonklusjon om hvorvidt regnskapet er konsistent med revisors forståelse av enheten, skal revisor vurdere hvorvidt analytiske handlinger som er gjennomført nær avslutningen av revisjonen, tyder på at det kan foreligge risiko for vesentlig feilinformasjon som følge av misligheter, som revisor ikke tidligere har vært klar over. (Jf. punkt A50)
35. Dersom revisor identifiserer feilinformasjon, skal revisor vurdere hvorvidt denne feilinformasjonen kan tyde på misligheter. Dersom det foreligger en slik indikasjon, skal revisor vurdere feilinformasjonens innvirkning på andre sider av revisjonen, særlig påliteligheten av uttalelser fra ledelsen, ut fra den antakelsen at et tilfelle av misligheter sannsynligvis ikke er en isolert hendelse. (Jf. punkt A51)
36. Dersom revisor identifiserer feilinformasjon, uansett om den er vesentlig eller ikke, og har grunn til å tro at feilinformasjonen er eller kan være en følge av misligheter og at ledelsen (særlig ledelse på høyt nivå) er innblandet, skal revisor foreta en ny vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter og dens innvirkning på arten, tidspunktet for utførelse og omfanget av revisjonshandlinger for å håndtere de vurderte risikoene. Revisor skal også vurdere hvorvidt
12 ISA 240
omstendigheter eller forhold tyder på et mulig fordekt samarbeid blant ansatte, ledelsen eller tredjeparter når revisor revurderer påliteligheten til tidligere innhentet revisjonsbevis. (Jf. punkt A52)
37. Når revisor bekrefter at, eller ikke er i stand til å fastslå hvorvidt, regnskapet inneholder vesentlig feilinformasjon som følge av misligheter, skal revisor vurdere implikasjonene for revisjonen. (Jf. punkt A53)
Revisor ikke i stand til å fortsette oppdraget
38. Dersom revisor, som følge av feilinformasjon som skyldes misligheter eller mistenkte misligheter, får kjennskap til eksepsjonelle omstendigheter som reiser tvil om revisors mulighet til å fortsette revisjonsoppdraget, skal revisor:
(a) fastslå de profesjonelle og juridiske forpliktelsene som gjelder under disse omstendighetene, herunder hvorvidt revisor er forpliktet til å rapportere til de(n) som velger revisor eller, i enkelte tilfeller, til regulerende myndigheter,
(b) vurdere hvorvidt det er riktig å trekke seg fra oppdraget, når dette er mulig under gjeldende lov eller forskrift, og
(c) dersom revisor trekker seg fra oppdraget:
(i) drøfte sin fratredelse fra oppdraget og årsakene til fratredelsen med det riktige ledelsesnivået og dem som har overordnet ansvar for styring og kontroll, og
13 ISA 240
(ii) fastsette hvorvidt det foreligger en yrkesmessig eller juridisk forpliktelse til å rapportere fratredelsen fra oppdraget og årsakene til fratredelsen til de(n) som velger revisor eller, i enkelte tilfeller, til regulerende myndigheter. (Jf. punkt A54–A57)
Uttalelser fra ledelsen
39. Revisor skal innhente skriftlige uttalelser fra ledelsen og. der det passer, fra dem som har overordnet ansvar for styring og kontroll, om at:
(a) de erkjenner sitt ansvar for utformingen, iverksettelsen og vedlikeholdet av intern kontroll for å forhindre og avdekke misligheter,
(b) de har opplyst revisor om resultatene av ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter,
(c) de har opplyst revisor om sin kjennskap til misligheter eller mistanke om misligheter som påvirker enheten og som omfatter:
(i) ledelsen,
(ii) ansatte som utfører betydelige oppgaver i den interne kontrollen, eller
(iii) andre der misligheter kan ha en vesentlig innvirkning på regnskapet, og
(d) den har opplyst revisor om sin kjennskap til eventuelle påstander om misligheter eller mistanke om misligheter som påvirker enhetens regnskap, som er kommunisert av ansatte, tidligere ansatte, analytikere, tilsynsmyndigheter eller andre. (Jf. punkt A58–A59)
Kommunikasjon med ledelsen og dem som har overordnet ansvar for styring og kontroll
40. Dersom revisor har identifisert misligheter eller har innhentet informasjon som tyder på at misligheter kan foreligge, skal revisor kommunisere disse forholdene, hvis det ikke er forbudt i henhold til lov eller forskrift, til rett tid til det riktige ledelsesnivået for å informere dem som har hovedansvaret for å forhindre og avdekke misligheter om forhold som er relevante for deres ansvarsområde. (Jf. punkt A59a- A60)
41. Dersom revisor har identifisert misligheter eller har mistanke om misligheter som omfatter:
(a) ledelsen,
(b) ansatte som utfører betydelige oppgaver i den interne kontrollen, eller
(c) andre der mislighetene fører til vesentlig feilinformasjon i regnskapet,
skal revisor kommunisere disse forholdene med dem som har overordnet ansvar for styring og kontroll i rett tid, med mindre alle de som har overordnet ansvar for styring og kontroll er involvert i ledelsen av enheten. Dersom revisor har mistanke om misligheter som omfatter ledelsen, skal revisor kommunisere disse mistankene med dem som har overordnet ansvar for styring og kontroll, og drøfte med dem arten, tidspunktet og omfanget av de revisjonshandlingene som er nødvendige for å fullføre revisjonen. Slik kommunikasjon er påkrevet så fremt det ikke er forbudt ved lov eller forskrift. (Jf. punkt A59a, 61–A63)
42. I samsvar med ISA 260 (revidert) «Kommunikasjon med dem som har overordnet ansvar for styring og kontroll» skal revisor kommunisere, så fremt det ikke er forbudt ved lov eller forskrift, alle andre forhold knyttet til misligheter med dem som har overordnet ansvar for styring og kontroll, som etter revisors skjønn er relevante for deres ansvarsområde. (Jf. punkt A59a, A64)
14 ISA 240
Rapportering av misligheter til myndighet utenfor enheten
43. Dersom revisor har identifisert eller har mistanke om misligheter, skal revisor fastsette hvorvidt lov, forskrift eller relevante etiske krav: (Jf. punkt A65–A67)
(a) Krever at revisor rapporterer hendelsen eller mistanken til en part utenfor enheten.
(b) Vurdere hvilken type rapportering som etter omstendighetene er hensiktsmessig til en part utenfor enheten.
Dokumentasjon
44. Revisor skal inkludere følgende i revisjonsdokumentasjonen12 av revisors forståelse av enheten og dens omgivelser og vurderingen av risikoene for vesentlig feilinformasjon som kreves i ISA 315:13
(a) de beslutningene av betydning som er fattet under diskusjoner blant medlemmer av revisjonsteamet vedrørende i hvilken grad enhetens regnskap er eksponert for vesentlig feilinformasjon som skyldes misligheter, og
(b) de identifiserte og vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå og påstandsnivå.
45. Revisor skal inkludere følgende i revisjonsdokumentasjonen av revisors håndtering av de anslåtte risikoene for vesentlig feilinformasjon som det er krav om i ISA 330:14
(a) de overordnede handlingene for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå og arten, tidspunktet for utførelse og omfanget av revisjonshandlinger samt disse revisjonshandlingenes tilknytning til de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå, og
(b) resultatene av revisjonshandlingene, herunder de som er utformet for å håndtere risikoen for at ledelsen overstyrer kontroller.
46. Revisor skal inkludere i revisjonsdokumentasjonen kommunikasjon om misligheter som er foretatt til ledelsen, dem som har overordnet ansvar for styring og kontroll, regulerende myndigheter og andre.
47. Dersom revisor har konkludert med at antakelsen om at det foreligger en risiko for vesentlig feilinformasjon som skyldes misligheter knyttet til inntektsføring, ikke er en relevant omstendighet for oppdraget, skal revisor inkludere begrunnelsene for denne konklusjonen i revisjonsdokumentasjonen.
* * *
12 ISA 230 «Revisjonsdokumentasjon» punkt 8–11 og A6.
13 ISA 315 punkt 32.
14 ISA 330 punkt 28.
15 ISA 240
Veiledning og utfyllende forklaringer
Karakteristiske trekk ved misligheter (Jf. punkt 3)
A1. Misligheter, uansett om det dreier seg om uredelig regnskapsrapportering eller underslag av eiendeler, innebærer motivasjon eller press til å begå misligheter, en oppfattet mulighet til å gjøre dette og en viss rettferdiggjørelse av handlingen. For eksempel:
• Motivasjon eller press til å foreta uredelig regnskapsrapportering kan forekomme fordi ledelsen er under press, fra kilder utenfor eller innenfor enheten, for å nå et forventet (og kanskje urealistisk) resultatmål eller økonomisk resultat – særlig siden konsekvensene for ledelsen kan være betydelige dersom den ikke når økonomiske mål. Likeledes kan enkeltpersoner motiveres til å underslå eiendeler fordi de for eksempel lever over evne.
• En oppfattet mulighet til å begå misligheter kan foreligge når en enkeltperson tror at interne kontroller kan overstyres, for eksempel fordi personen er i en tillitsposisjon eller har kjennskap til spesifikke mangler i den interne kontrollen.
• Enkeltpersoner kan være i stand til å rettferdiggjøre det å begå en uredelig handling. Enkelte personer har en holdning, karakter eller etiske verdier som tillater dem med viten og vilje å begå en uærlig handling. Selv vanligvis ærlige personer kan imidlertid begå misligheter dersom omgivelsene utsetter dem for tilstrekkelig press.
A2. Uredelig regnskapsrapportering involverer tilsiktet feilinformasjon, herunder utelatelser av beløp eller tilleggsopplysninger i regnskap, for å villede regnskapsbrukere. Det kan skyldes ledelsens forsøk på å styre resultatet for å villede brukere av regnskapet ved å påvirke deres oppfatning av enhetens avkastning og lønnsomhet. Slik styring av resultatet kan begynne med at ledelsen foretar mindre alvorlige handlinger eller utilbørlig justering av forutsetninger og endringer av skjønnsmessige vurderinger. Press og incentiver kan føre til at disse handlingene øker i omfang og til slutt ender med uredelig regnskapsrapportering. En slik situasjon kan oppstå når ledelsen bevisst foretar valg som fører til uredelig regnskapsrapportering ved å gi vesentlig feilinformasjon i regnskapet på grunn av press for å oppfylle markedsforventninger eller et ønske om å maksimere kompensasjon som er basert på prestasjoner. I enkelte enheter kan ledelsen ønske å redusere resultatet med et betydelig beløp for å redusere skatt eller verdsette inntekter for høyt for å sikre bankfinansiering.
A3. Uredelig regnskapsrapportering kan innebære:
• Manipulasjon, forfalskning (herunder dokumentforfalskning) eller endring av regnskapsmateriale eller underbyggende dokumenter som regnskapet er utarbeidet på grunnlag av.
• Uriktig rapportering i eller tilsiktet utelatelse fra regnskapene av hendelser, transaksjoner eller annen informasjon av betydning.
• Tilsiktet feilaktig anvendelse av regnskapsprinsipper vedrørende beløp, klassifisering, presentasjon eller tilleggsopplysninger.
A4. Uredelig regnskapsrapportering omfatter ofte ledelsens overstyring av kontroller som ellers synes å fungere effektivt. Misligheter kan begås ved at ledelsen overstyrer kontroller ved å:
• Foreta falske posteringer, særlig nær en regnskapsperiodes slutt, for å manipulere driftsresultater eller for å oppnå andre formål.
• Foreta utilbørlige justeringer av forutsetninger og endringer av skjønnsmessige vurderinger som anvendes for å estimere kontosaldoer.
• Utelate, fremføre eller utsette registrering i regnskapet av hendelser og transaksjoner som har forekommet i regnskapsperioden.
16 ISA 240
• Utelate, tilsløre eller feilaktig fremstille tilleggsopplysninger som kreves av det aktuelle rammeverket for finansiell rapportering, eller tilleggsopplysninger som er nødvendige for å oppnå et rettvisende bilde
• Skjule fakta som kan ha innvirkning på beløpene som føres i regnskapet. • Engasjere seg i komplekse transaksjoner som er utformet for å gi en uriktig fremstilling av
enhetens økonomiske situasjon eller resultater. • Endre registrerte opplysninger og vilkår knyttet til betydelige og uvanlige transaksjoner.
A5. Underslag av eiendeler innebærer tyveri av en enhets eiendeler, og begås ofte av ansatte og gjelder ofte forholdsvis små og ubetydelige beløp. Det kan imidlertid også omfatte ledelsen, som vanligvis er bedre i stand til å skjule underslag på måter som er vanskelige å avdekke. Underslag av eiendeler kan begås på flere forskjellige måter, blant annet ved å:
• Underslå innbetalinger (for eksempel underslå innkrevde kundefordringer eller omlede innbetalinger av tidligere avskrevne fordringer til personlige bankkontoer).
• Stjele fysiske eiendeler eller intellektuell kapital (for eksempel stjele inventar for personlig bruk eller salg, stjele skrap for videresalg, inngå en hemmelig avtale med en konkurrent ved å gi opplysninger om teknologiske data mot betaling).
• Få en enhet til å betale for varer og tjenester det ikke har mottatt (for eksempel utbetalinger til leverandører som ikke eksisterer, returprovisjoner betalt av leverandører til enhetens innkjøpere som gjengjeld for høyere priser, utbetalinger til ansatte som ikke eksisterer).
• Bruke en enhets eiendeler til personlig bruk (for eksempel bruke enhetens eiendeler som sikkerhet for et personlig lån eller et lån til en nærstående part).
Underslag av eiendeler ledsages ofte av falske eller villedende registrerte opplysninger eller dokumenter for å skjule at eiendeler mangler eller er pantsatt uten nødvendig tillatelse.
Ansvar for forebygging og avdekking av misligheter
Revisors ansvar (Jf. punkt 8a)
A5a. Lov, forskrift eller relevante etiske krav kan kreve at revisor i tillegg utfører handlinger og gjennomfører ytterligere tiltak. For eksempel krever International Ethics Standards Board for Accountants `Code of Ethics for Professional Accountants (IESBA`s etikkregler) at revisor forbereder seg på å respondere på identifiserte eller mistenkte brudd på lover og forskrifter, og avgjøre hvorvidt det er behov for ytterligere tiltak. Slik forberedning kan inkludere kommunikasjon av identifiserte eller mistenkte brudd på lover og forskrifter til andre revisorer innenfor et konsern, inkludert oppdragsansvarlig revisor for konsernet, revisor i en konsernenhet eller andre revisorer som utfører arbeid på deler av konsernet for andre formål enn revisjon av konsernregnskapet.15
Særlige hensyn knyttet til enheter i offentlig sektor A6. I offentlig sektor kan revisors forpliktelser knyttet til misligheter være et resultat av lov, forskrift
eller andre pålegg som gjelder for enheter i offentlig sektor eller er særskilt dekket av revisjonsmandatet. I offentlig sektor er revisors forpliktelser følgelig ikke nødvendigvis begrenset til å vurdere risikoer for vesentlig feilinformasjon i regnskapet, men kan også omfatte en videre forpliktelse til å vurdere risikoer for misligheter.
15 The International Ethics Standards Board for Accountants’ (IESBA) punkt 225.21 – 225.22
17 ISA 240
Profesjonell skepsis (Jf. punkt 12–14)
A7. Å være profesjonelt skeptisk krever løpende evaluering av hvorvidt informasjonen og revisjonsbevisene som innhentes tyder på at det foreligger vesentlig feilinformasjon som skyldes misligheter. Det innebærer en vurdering av påliteligheten av informasjonen som skal anvendes som revisjonsbevis og av kontrollene over utarbeidelsen og vedlikeholdet der dette er relevant. På grunn av de karakteristiske trekkene ved misligheter, er en profesjonelt skeptisk holdning særlig viktig ved vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter.
A8. Selv om revisor ikke kan forventes å se bort fra tidligere erfaring med enheten med hensyn til ærligheten og integriteten til ledelsen og dem som har overordnet ansvar for styring og kontroll, er revisors profesjonelle skepsis av særlig betydning ved vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, siden omstendighetene kan ha endret seg.
A9. Som beskrevet i ISA 200 omfatter en revisjon som gjennomføres i samsvar med ISA-er sjelden granskning av om dokumentasjonen er autentisk, og revisor er og forventes heller ikke å være noen ekspert på slike vurderinger.16 Dersom revisor identifiserer forhold som gir revisor grunn til å tro at et dokument ikke er autentisk eller at vilkår i et dokument er blitt endret uten at revisor er blitt opplyst om dette, foretar imidlertid revisor ytterligere undersøkelser, for eksempel ved å:
• Innhente en bekreftelse direkte fra en tredjepart. • Bruke arbeidet til en ekspert for å bedømme om dokumentet er autentisk.
Diskusjon i revisjonsteamet (Jf. punkt 15)
A10. Diskusjon med medlemmer av revisjonsteamet om i hvilken grad enhetens regnskap er eksponert for vesentlig feilinformasjon som skyldes misligheter:
• gir mer erfarne medlemmer av revisjonsteamet mulighet for å dele sin innsikt i hvordan og hvor regnskapet kan være eksponert for vesentlig feilinformasjon som skyldes misligheter,
• gjør revisor i stand til å vurdere en hensiktsmessig håndtering av en slik risiko og å fastsette hvilke medlemmer av revisjonsteamet som skal utføre bestemte revisjonshandlinger,
• gjør revisor i stand til å fastsette hvordan resultatene av revisjonshandlinger skal kommuniseres til revisjonsteamet og hvordan eventuelle påstander om misligheter som revisor får kjennskap til skal håndteres.
A11. Diskusjonen kan omfatte forhold som:
• En meningsutveksling blant medlemmene av revisjonsteamet om hvordan og hvor de tror at enhetens regnskap (herunder de individuelle oppstillingene og tilleggsopplysningene) kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, hvordan ledelsen kan foreta og skjule uredelig regnskapsrapportering og hvordan eiendeler i enheten kan underslås.
• En vurdering av forhold som kan tyde på styring av resultatet og metoder ledelsen kan benytte for å styre resultatet, som kan føre til uredelig regnskapsrapportering.
• En vurdering av risikoene for at ledelsen kan forsøke å presentere tilleggsopplysninger på en måte som tilslører riktig forståelse av sakene det blir opplyst om (for eksempel ved å ta med for mye uvesentlig informasjon eller ved å benytte uklart eller tvetydig språk).
• En vurdering av kjente eksterne og interne faktorer som påvirker enheten og som kan skape incentiver eller press overfor ledelsen eller andre til å begå misligheter, skape muligheter til
16 ISA 200 punkt A47.
18 ISA 240
å begå misligheter eller tyde på en bedriftskultur eller et arbeidsmiljø som gjør ledelsen eller andre i stand til å rettferdiggjøre misligheter.
• En vurdering av ledelsens tilsyn med ansatte som har tilgang til kontanter eller andre eiendeler som er eksponert for underslag.
• En vurdering av eventuelle uvanlige eller uforklarlige endringer i atferden eller livsstilen til ledelsen eller ansatte som revisjonsteamet har fått kjennskap til.
• Vektlegging av betydningen av å opprettholde en riktig holdning gjennom hele revisjonen med hensyn til muligheten for vesentlig feilinformasjon som skyldes misligheter.
• En vurdering av typer omstendigheter som kan, hvis man støter på dem, indikere mulige misligheter.
• En vurdering av hvordan et element av uforutsigbarhet vil bli innlemmet ved valg av arten, tidspunktet for utførelse og omfanget av de revisjonshandlingene som skal utføres.
• En vurdering av hvilke revisjonshandlinger som kan velges for å håndtere risikoen for at enhetens regnskap inneholder vesentlig feilinformasjon som skyldes misligheter, og hvorvidt visse typer revisjonshandlinger er mer effektive enn andre.
• En vurdering av eventuelle påstander om misligheter som revisor har fått kjennskap til. • En vurdering av risikoen for at ledelsen overstyrer kontroller.
Risikovurderingshandlinger og beslektede aktiviteter
Forespørsler til ledelsen
Ledelsens vurdering av risikoen for vesentlig feilinformasjon som skyldes misligheter (Jf. punkt 17(a))
A12. Ledelsen er ansvarlig for enhetens interne kontroll og for utarbeidelsen av enhetens regnskap. Det er derfor hensiktsmessig at revisor retter forespørsler til ledelsen vedrørende ledelsens egne vurderinger av risikoen for misligheter og kontrollene som er iverksatt for å forhindre og avdekke dem. Arten, omfanget og hyppigheten av ledelsens vurderinger av disse risikoene og kontrollene varierer fra enhet til enhet. I enkelte enheter foretar ledelsen omfattende vurderinger årlig eller som en del av den løpende overvåkingen. I andre enheter kan ledelsens vurderinger være mindre strukturerte og mindre hyppige. Arten, omfanget og hyppigheten av ledelsens vurderinger er relevante for revisors forståelse av enhetens kontrollmiljø. At ledelsen ikke har foretatt en vurdering av risikoen for misligheter kan for eksempel under visse omstendigheter være et tegn på at ledelsen ikke legger særlig vekt på intern kontroll.
Særlige hensyn knyttet til mindre enheter
A13. I enkelte enheter, særlig i mindre enheter, kan ledelsens vurdering hovedsakelig være rettet mot risikoene for ansattmisligheter eller underslag av eiendeler.
Ledelsens prosess for å identifisere og håndtere risikoene for misligheter (Jf. punkt 17(b))
A14. For enheter som er geografisk spredt, kan ledelsens prosesser omfatte forskjellige nivåer for overvåking av driftsenheter eller forretningssegmenter. Ledelsen kan også ha identifisert bestemte driftsenheter eller forretningssegmenter der sannsynligheten for at det foreligger risiko for misligheter er høyere.
Forespørsler til ledelsen og andre personer i enheten (Jf. punkt 18) A15. Revisors forespørsler til ledelsen kan gi nyttig informasjon om risikoene for vesentlig
feilinformasjon i regnskapet som følge av ansattmisligheter. Det er derimot lite sannsynlig at disse forespørslene gir nyttig informasjon om risikoene for vesentlig feilinformasjon i regnskapet som
19 ISA 240
skyldes ledelsesmisligheter. Forespørsler rettet til andre personer i enheten kan gi enkeltpersoner en mulighet til å gi revisor informasjon som ellers ikke ville ha blitt formidlet.
A16. Eksempler på andre personer i enheten som revisor kan rette forespørsler til om faktiske eller mistenkte misligheter omfatter:
• Driftspersonale som ikke er direkte involvert i regnskapsrapporteringen. • Ansatte på forskjellige myndighetsnivåer. • Ansatte som arbeider med initiering, behandling eller registrering av komplekse eller
uvanlige transaksjoner og de som fører tilsyn med eller overvåker disse personene. • Enhetens juridiske avdeling. • Den ansvarlige for etiske spørsmål eller tilsvarende person. • Den eller de som er tildelt ansvaret for å håndtere påstander om misligheter.
A17. Ledelsen er ofte på grunn av sin stilling i posisjon til å begå misligheter. Revisor opprettholder derfor en profesjonelt skeptisk holdning ved evaluering av ledelsens reaksjoner på forespørsler, og kan beslutte at det er nødvendig å underbygge svar på forespørsler med annen informasjon.
Forespørsler til internrevisjon (Ref: Punkt 19) A18. ISA 315 (Revidert) og ISA 610(Revidert) fastsetter krav og gir veiledning ved revisjon av enheter
som har internrevisjonsfunksjon.17 For å oppfylle kravene vedrørende misligheter i disse ISA-ene kan revisor rette forespørsler om spesifikke aktiviteter i funksjonen, deriblant:
• Hvilke revisjonshandlinger, om noen, internrevisjonsfunksjonen har utført for å avdekke misligheter i løpet av året.
• Hvorvidt ledelsen har reagert på eventuelle funn som følge av disse revisjonshandlingene på en formålstjenelig måte.
Opparbeidelse av en forståelse av tilsynet som føres av de som har overordnet ansvar for styring og kontroll (Jf. punkt 20) A19. De som har overordnet ansvar for styring og kontroll i en enhet, fører tilsyn med systemer for
overvåking av risikoer, økonomisk kontroll og overholdelse av lovgivning. I mange land er eierstyring og selskapsledelse godt utviklet, og de som har overordnet ansvar for styring og kontroll har en aktiv rolle i tilsynet med enhetens vurdering av risikoene for misligheter og med den relevante interne kontrollen. Siden ansvaret til dem som har overordnet ansvar for styring og kontroll og ledelsen kan variere fra enhet til enhet og fra land til land, er det viktig at revisor forstår deres respektive ansvar, slik at revisor kan opparbeide seg en forståelse av tilsynet som føres av de relevante personene.18
A20. En forståelse av tilsynet som føres av dem som har overordnet ansvar for styring og kontroll, kan gi innsikt i hvilken grad enheten er eksponert for ledelsesmisligheter, hvorvidt den interne kontrollen med risikoer for misligheter er tilstrekkelig og ledelsens kompetanse og integritet. Revisor kan opparbeide seg denne forståelsen på en rekke forskjellige måter, for eksempel ved å være til stede på møter der slike diskusjoner finner sted, lese referater fra disse møtene eller rette forespørsler til dem som har overordnet ansvar for styring og kontroll.
17 ISA 315 (Revidert) punkt 6(a) og 23, og ISA 610 (Revidert) «Bruk av interne revisorers arbeid».
18 ISA 260 punkt A1–A8 drøfter hvem revisor kommuniserer med når foretakets styrings- og kontrollstrukturer ikke er klart definert.
20 ISA 240
Særlige hensyn knyttet til mindre enheter
A21. I noen tilfeller inngår alle de som har overordnet ansvar for styring og kontroll i ledelsen i enheten. Dette kan være tilfellet i en liten enhet der en enkelt eier styrer enheten og ingen andre har overordnet ansvar for styring og kontroll. I slike tilfeller gjennomfører revisor vanligvis ingen spesifikke handlinger, fordi tilsynet ikke er atskilt fra ledelsen.
Vurdering av annen informasjon (Jf. punkt 23) A22. I tillegg til informasjon som er innhentet ved å anvende analytiske handlinger, kan annen
informasjon som er innhentet om enheten og dens omgivelser være nyttig for å identifisere risikoer for vesentlig feilinformasjon som skyldes misligheter. Diskusjonen blant medlemmer av revisjonsteamet kan gi informasjon som er nyttig for å identifisere disse risikoene. I tillegg kan informasjon som er innhentet ved vurderingen av om revisor skal påta seg eller fortsette et oppdrag og erfaringer fra andre oppdrag som er utført for enheten, for eksempel forenklet revisorkontroll av delårsregnskap, være relevant for å identifisere risikoer for vesentlig feilinformasjon som skyldes misligheter.
Vurdering av mislighetsrisikofaktorer (Jf. punkt 24) A23. Det faktum at misligheter vanligvis skjules kan gjøre dem meget vanskelige å avdekke. Revisor kan
imidlertid identifisere hendelser eller forhold som tyder på incentiver eller press til å begå misligheter eller som gir en mulighet for å begå misligheter (mislighetsrisikofaktorer). For eksempel:
• behov for å oppfylle forventningene til tredjeparter for å oppnå ytterligere egenkapitalfinansiering kan skape press til å begå misligheter,
• tildeling av betydelige bonuser hvis urealistiske resultatmål oppnås kan skape incentiver til å begå misligheter, og
• et ineffektivt kontrollmiljø kan skape mulighet for å begå misligheter.
A24. Det er ikke lett å rangere mislighetsrisikofaktorer etter viktighet. Betydningen av mislighetsrisikofaktorer varierer i stor grad. Noen av disse faktorene vil være til stede i enheter der de spesifikke forholdene ikke utgjør noen risiko for vesentlig feilinformasjon. Følgelig utøver revisor profesjonelt skjønn ved fastsettelsen av hvorvidt en mislighetsrisikofaktor er til stede og hvorvidt den skal tas i betraktning ved vurdering av risikoene for vesentlig feilinformasjon i regnskapet som skyldes misligheter.
A25. Eksempler på mislighetsrisikofaktorer knyttet til uredelig regnskapsrapportering og underslag av eiendeler gis i vedlegg 1. Disse eksemplene på mislighetsrisikofaktorer er klassifisert i henhold til tre forhold som vanligvis er til stede når det foreligger misligheter:
• incentiv eller press til å begå misligheter, • en oppfattet mulighet til å begå misligheter, og • evne til å rettferdiggjøre den uredelige handlingen.
Risikofaktorer som gjenspeiler en holdning til å rettferdiggjøre den uredelige handlingen kan være vanskelige å fange opp gjennom revisors observasjon Revisor kan likevel bli oppmerksom på eksistensen av slik informasjon. Selv om mislighetsrisikofaktorene som er beskrevet i vedlegg 1 dekker et bredt spekter av situasjoner som revisorer kan stå overfor, er de kun eksempler, og det kan foreligge andre mislighetsrisikofaktorer.
A26. Enhetens størrelse, kompleksitet og eierskap har betydelig innvirkning på vurderingen av relevante mislighetsrisikofaktorer. I en stor enhet vurderer revisor for eksempel vanligvis faktorer som generelt begrenser utilbørlig atferd fra ledelsens side, for eksempel:
21 ISA 240
• Effektiviteten av tilsynet som føres av dem som har overordnet ansvar for styring og kontroll.
• En effektiv internrevisjonsfunksjon. • Eksistensen og håndhevingen av fastsatte etiske regler.
Videre kan en vurdering av mislighetsrisikofaktorer på driftsnivå i et forretningssegment gi annen innsikt enn en vurdering av disse faktorene på enhetsnivå.
Særlige hensyn knyttet til mindre enheter
A27. I en liten enhet kan det være at alle eller noen av disse vurderingene er irrelevante eller mindre relevante. Det kan for eksempel være at en liten enhet ikke har noen skriftlige etiske regler, men i stedet har utviklet en bedriftskultur som vektlegger viktigheten av integritet og etisk atferd gjennom muntlig kommunikasjon og ledelsens eksempel. Det at ledelsen domineres av en enkelt person i en liten enhet innebærer vanligvis ikke i seg selv at ledelsen ikke er i stand til å vise og kommunisere en riktig holdning til den interne kontrollen og regnskapsrapporteringen. I noen enheter kan behovet for godkjenning fra ledelsen kompensere for ellers mangelfulle kontroller og redusere risikoen for ansattmisligheter. Det at ledelsen domineres av en enkelt person kan imidlertid være en mulig mangel i intern kontroll, siden det utgjør en mulighet for at ledelsen overstyrer kontroller.
Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter
Risikoer for misligheter ved inntektsføring (Jf. punkt 26) A28. Vesentlig feilinformasjon som skyldes uredelig regnskapsrapportering knyttet til inntektsføring er
ofte et resultat av at inntekter er overvurdert, for eksempel ved for tidlig inntektsføring eller føring av inntekter som ikke eksisterer. Det kan også være et resultat av at inntekter er undervurdert, for eksempel ved utilbørlig overføring av inntekter til en senere periode.
A29. Risikoene for misligheter ved inntektsføring kan være større i noen enheter enn andre. Det kan for eksempel foreligge press eller incentiver overfor ledelsen til å begå uredelig regnskapsrapportering gjennom uriktig inntektsføring for børsnoterte enheter når for eksempel prestasjonene måles i årlig inntektsvekst eller fortjeneste. Likeledes kan det for eksempel foreligge større risikoer for misligheter ved inntektsføring for enheter der en vesentlig del av inntektene genereres gjennom kontantsalg.
A30. Antakelsen om at det foreligger risikoer for misligheter ved inntektsføring kan bli tilbakevist. Revisor kan for eksempel konkludere med at det ikke foreligger risiko for vesentlig feilinformasjon som skyldes misligheter knyttet til inntektsføring, når det kun dreier seg om én type inntektstransaksjon, for eksempel leieinntekt fra ett enkelt utleieobjekt.
Identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, og forståelse av enhetens tilknyttede kontroller (Jf. punkt 27) A31. Ledelsen kan foreta bedømmelser av arten og omfanget av de kontrollene den velger å iverksette,
samt arten og omfanget av risikoene den velger å legge til grunn.19 Når ledelsen fastsetter hvilke kontroller som skal iverksettes for å forhindre og avdekke misligheter, vurderer den risikoene for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter. Som en del av denne vurderingen kan ledelsen konkludere med at det ikke er kostnadseffektivt å iverksette og
19 ISA 315 punkt A48.
22 ISA 240
vedlikeholde en bestemt kontroll i forhold til den reduksjonen av risikoene for vesentlig feilinformasjon som skyldes misligheter, som kan oppnås.
A32. Det er derfor viktig at revisor opparbeider seg en forståelse av de kontrollene som ledelsen har utformet, iverksatt og vedlikeholdt for å forhindre og avdekke misligheter. Ved å gjøre dette kan revisor for eksempel få kjennskap til at ledelsen bevisst har valgt å akseptere risikoene som er forbundet med manglende arbeidsdeling. Informasjon fra opparbeidelsen av denne forståelsen kan også være nyttig for å identifisere mislighetsrisikofaktorer som kan påvirke revisors vurdering av risikoene for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter.
Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter
Overordnede handlinger (Jf. punkt 28) A33. Fastsettelse av overordnede handlinger for å håndtere de vurderte risikoene for vesentlig
feilinformasjon som skyldes misligheter, omfatter vanligvis en vurdering av hvordan den generelle gjennomføringen av revisjonen kan gjenspeile økt profesjonell skepsis, for eksempel gjennom:
• Økt følsomhet ved utvelgelse av arten og omfanget av den dokumentasjonen som skal undersøkes for å underbygge vesentlige transaksjoner.
• Økt erkjennelse av behovet for å underbygge ledelsens forklaringer eller uttalelser vedrørende vesentlige forhold.
Det omfatter også mer generelle vurderinger i tillegg til de øvrige særskilte revisjonshandlingene som er planlagt. Disse vurderingene omfatter forholdene oppført i punkt 29, som drøftes nedenfor.
Bemanning og oppfølging av personale (Jf. punkt 29(a)) A34. Revisor kan reagere på identifiserte risikoer for vesentlig feilinformasjon som skyldes misligheter,
for eksempel ved å hente inn ytterligere personer med spesialkompetanse, for eksempel mislighets- og IT-eksperter, eller ved å hente inn mer erfarne personer.
A35. Omfanget av oppfølging gjenspeiler revisors vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, og kompetansen til medlemmene av revisjonsteamet som utfører arbeidet.
Uforutsigbarhet i utvelgelsen av revisjonshandlinger (Jf. punkt 29(c)) A36. Det er viktig å innlemme et element av uforutsigbarhet i utvelgelsen av typen, tidspunktet for
utførelse og omfanget av de revisjonshandlingene som skal utføres, siden det kan være enklere for personer i enheten som er kjent med de revisjonshandlingene som vanligvis utføres under et revisjonsoppdrag å skjule uredelig regnskapsrapportering. Dette kan for eksempel oppnås ved å:
• Utføre substanshandlinger på utvalgte kontosaldoer og påstander som ikke ellers testes på grunn av sin vesentlighet eller risiko.
• Fastsette andre tidspunkter for utførelse av revisjonshandlinger enn de som forventes. • Anvende ulike utvalgsmetoder. • Utføre revisjonshandlinger på andre steder eller uten forhåndsvarsel.
23 ISA 240
Revisjonshandlinger for å håndtere vurderte risikoer for vesentlig feilinformasjon som skyldes misligheter, på påstandsnivå (Jf. punkt 30) A37. Revisors handlinger for å håndtere de anslåtte risikoene for vesentlig feilinformasjon som skyldes
misligheter, på påstandsnivå, kan innebære å endre typen, tidspunktet og omfanget av revisjonshandlinger på følgende måter:
• Det kan være nødvendig å endre typen av de revisjonshandlingene som skal utføres for å innhente revisjonsbevis som er mer pålitelige og relevante eller for å innhente ytterligere underbyggende informasjon. Dette kan påvirke både hvilken type revisjonshandlinger som skal utføres og sammensetningen av dem. For eksempel:
− Fysisk observasjon eller inspeksjon av bestemte eiendeler kan bli viktigere, eller revisor kan velge å anvende IT-baserte revisjonsteknikker for å samle inn mer bevis om data registrert på vesentlige kontoer eller elektroniske transaksjonsfiler.
− Revisor kan utforme revisjonshandlinger for å innhente ytterligere underbyggende informasjon. Hvis revisor for eksempel identifiserer at ledelsen er under press for å oppfylle forventede resultatmål, kan det være en relatert risiko for at ledelsen forhøyer omsetningen ved å inngå salgskontrakter med vilkår som ikke oppfyller kravene til inntektsføring eller ved å fakturere salg før forsendelse. I slike tilfeller kan revisor for eksempel utforme eksterne bekreftelser ikke bare for å bekrefte utestående beløp, men også for å få bekreftet opplysningene i salgskontraktene, herunder dato, eventuelle returretter og leveringsvilkår. I tillegg kan revisor finne det hensiktsmessig å supplere disse eksterne bekreftelsene med forespørsler rettet til medarbeidere i enheten som ikke er regnskapspersonale, vedrørende eventuelle endringer i salgskontrakter og leveringsvilkår.
• Det kan være nødvendig å endre tidspunktet for utførelse av substanshandlinger. Revisor kan konkludere med at gjennomføring av substanshandlinger ved eller nær regnskapsperiodens slutt innebærer bedre håndtering av en vurdert risiko for vesentlig feilinformasjon som skyldes misligheter. Revisor kan konkludere med at revisjonshandlinger for å videreføre revisjonskonklusjoner fra en tidligere dato til regnskapsperiodens slutt ikke vil være hensiktsmessige som følge av de vurderte risikoene for tilsiktet feilinformasjon eller manipulasjon. På den annen side, på grunn av at tilsiktet feilinformasjon, for eksempel feilinformasjon som omfatter uriktig inntektsføring, kan ha blitt initiert i en delperiode, kan revisor velge å anvende substanshandlinger på transaksjoner som har forekommet tidligere i eller gjennom hele regnskapsperioden.
• Omfanget av revisjonshandlingene som anvendes gjenspeiler vurderingen av risikoene for vesentlig feilinformasjon som skyldes misligheter. Det kan for eksempel være hensiktsmessig å øke størrelsen av et utvalg eller gjennomføre analytiske handlinger på et mer detaljert nivå. IT-baserte revisjonsteknikker kan også muliggjøre mer omfattende testing av elektroniske transaksjons- og kontoregistre. Disse teknikkene kan anvendes til å velge ut transaksjoner fra viktige elektroniske filer, til å sortere ut transaksjoner med bestemte særtrekk eller til å teste en hel populasjon i stedet for et utvalg.
A38. Dersom revisor identifiserer en risiko for vesentlig feilinformasjon som skyldes misligheter som påvirker lagerstørrelsen, kan en gjennomgåelse av enhetens varelagerliste bidra til å identifisere driftssteder eller poster som krever særskilt oppmerksomhet ved eller etter den fysiske varetellingen. Denne gjennomgåelsen kan føre til en beslutning om å observere varetellinger på bestemte steder uten forhåndsvarsel eller å gjennomføre varetelling på alle steder på samme dato.
A39. Revisor kan identifisere en risiko for vesentlig feilinformasjon som skyldes misligheter som påvirker flere kontoer og påstander. Disse kan omfatte verdsetting av eiendeler, estimater knyttet til bestemte transaksjoner (for eksempel kjøp, omstrukturering eller salg av et forretningssegment) og
24 ISA 240
andre betydelige påløpte forpliktelser (for eksempel pensjonsforpliktelser og andre forpliktelser for tidligere ansatte eller en miljøforpliktelse). Denne risikoen kan også være forbundet med betydelige endringer i forutsetninger knyttet til løpende estimater. Informasjon som innhentes gjennom opparbeidelse av en forståelse av enheten og dens omgivelser kan hjelpe revisor med å vurdere rimeligheten av ledelsens estimater og underliggende skjønnsmessige vurderinger og forutsetninger. En tilbakeskuende gjennomgåelse av liknende skjønnsmessige vurderinger og forutsetninger som ledelsen har anvendt i tidligere perioder kan også gi innsikt i rimeligheten av skjønnsmessige vurderinger og forutsetninger som underbygger ledelsens estimater.
A40. Eksempler på mulige revisjonshandlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, herunder de som illustrerer innlemmelsen av et element av uforutsigbarhet, gis i vedlegg 2. Vedlegget inneholder eksempler på handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som følge av både uredelig regnskapsrapportering, herunder uredelig regnskapsrapportering som følge av inntektsføring, og underslag av eiendeler.
Revisjonshandlinger for å håndtere risikoer knyttet til ledelsens overstyring av kontroller
Posteringer og andre justeringer (Jf. punkt 32(a))
A41. Vesentlig feilinformasjon i et regnskap som skyldes misligheter, omfatter ofte manipulering av regnskapsrapporteringen ved å foreta utilbørlige eller ikke godkjente posteringer. Dette kan forekomme gjennom hele året eller ved regnskapsperiodens slutt, eller ved at ledelsen foretar justeringer av beløp i regnskapet som ikke gjenspeiles i formelle posteringer, for eksempel gjennom konsolideringsjusteringer og reklassifiseringer.
A42. Videre er revisors vurdering av risikoene for vesentlig feilinformasjon knyttet til utilbørlig overstyring av kontroller med posteringer viktig, siden automatiserte prosesser og kontroller riktignok kan redusere risikoen for utilsiktet feil, men ikke eliminere risikoen for at enkeltpersoner på utilbørlig vis kan overstyre slike automatiserte prosesser, for eksempel ved å endre beløpene som automatisk overføres til hovedboken eller til det økonomiske rapporteringssystemet. I tillegg kan det foreligge lite eller intet synlig bevis på en slik inngripen i informasjonssystemene der IT benyttes til å overføre informasjon automatisk.
A43. Ved identifisering og utvelgelse av posteringer og andre justeringer som skal testes, og ved fastsettelse av den mest hensiktsmessige metoden for å undersøke det underliggende materialet til de utvalgte postene, er følgende forhold relevante:
• Vurderingen av risikoene for vesentlig feilinformasjon som skyldes misligheter – tilstedeværelsen av mislighetsrisikofaktorer og annen informasjon som er innhentet under revisors vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, kan hjelpe revisor med å identifisere bestemte klasser av posteringer og andre justeringer som skal testes.
• Kontroller som er iverksatt over posteringer og andre justeringer – effektiv kontroll over utarbeidelsen, posteringer og andre justeringer kan redusere omfanget av substanshandlinger som er nødvendig, forutsatt at revisor har testet at kontrollene fungerer måleffektivt.
• Enhetens regnskapsrapporteringsprosess og typen revisjonsbevis som kan innhentes – i mange enheter omfatter rutinebehandling av transaksjoner en kombinasjon av manuelle og automatiserte trinn og prosedyrer. Tilsvarende kan behandlingen av posteringer og andre justeringer omfatte både manuelle og automatiserte prosedyrer og kontroller. Der informasjonsteknologi anvendes i regnskapsrapporteringen, kan det være at posteringer og andre justeringer kun finnes i elektronisk form.
25 ISA 240
• Karakteristiske trekk ved uredelige posteringer eller andre justeringer – utilbørlige posteringer eller andre justeringer har ofte unike karakteristiske trekk. Disse karakteristiske trekkene kan omfatte posteringer (a) foretatt på uvanlige kontoer, ikke relaterte kontoer eller kontoer som sjelden benyttes, (b) foretatt av personer som vanligvis ikke foretar posteringer, (c) foretatt ved regnskapsperiodens slutt eller som etterposteringer med begrenset eller manglende forklaring eller beskrivelse, (d) foretatt enten før eller under utarbeidelsen av regnskapet som ikke har kontonumre eller (e) som inneholder runde tall eller ensartede sluttsifre.
• Kontoenes art og kompleksitet – urettmessige posteringer eller justeringer kan anvendes på kontoer som (a) inneholder transaksjoner som er komplekse eller uvanlige, (b) inneholder betydelige estimater og justeringer ved regnskapsperiodens slutt, (c) tidligere har hatt tendenser til å inneholde feilinformasjon, (d) ikke er blitt avstemt i rett tid eller inneholder ikke avstemte differanser, (e) inneholder interne transaksjoner eller (f) på andre måter er forbundet med en identifisert risiko for vesentlig feilinformasjon som skyldes misligheter. Ved revisjon av enheter som er lokalisert på flere steder eller har flere underenheter, vurderes behovet for å velge ut posteringer fra flere driftssteder.
• Posteringer eller andre justeringer som er behandlet utenfor ordinære rutiner – det kan være at ikke-standardiserte posteringer ikke er underlagt det samme nivået av intern kontroll som posteringer som foretas periodisk for å registrere transaksjoner som for eksempel månedlig salg, kjøp og kontantutbetalinger.
A44. Revisor anvender profesjonelt skjønn ved fastsettelsen av typen, tidspunktet og omfanget av testingen av posteringer og andre justeringer. Ettersom uredelige posteringer og andre justeringer ofte foretas ved slutten av en regnskapsperiode, krever punkt 32(a)(ii) at revisor velger posteringer og andre justeringer som er foretatt på dette tidspunktet. Siden vesentlig feilinformasjon som skyldes misligheter, kan forekomme gjennom hele perioden og kan innebære omfattende aktivitet for å skjule hvordan mislighetene er begått, krever punkt 32(a)(iii) at revisor vurderer hvorvidt det også er behov for å teste posteringer og andre justeringer gjennom hele perioden.
Regnskapsestimater (Jf. punkt 32(b)) A45. Utarbeidelsen av regnskapet krever at ledelsen må foreta en rekke skjønnsmessige vurderinger eller
forutsetninger som påvirker betydelige regnskapsestimater, og for løpende å overvåke rimeligheten av disse estimatene. Uredelig regnskapsrapportering oppnås ofte gjennom tilsiktede uriktige regnskapsestimater. Dette kan for eksempel oppnås ved å under- eller overvurdere alle avsetninger eller reserver på samme måte, som om de var utformet for å jevne ut resultater over to eller flere regnskapsperioder, eller for å oppnå et fastsatt resultatnivå for å villede brukere av regnskapet ved å påvirke deres oppfatning av enhetens prestasjon og lønnsomhet.
A46. Formålet med å foreta en tilbakeskuende gjennomgåelse av ledelsens skjønnsmessige vurderinger og forutsetninger knyttet til betydelige regnskapsestimater i tidligere perioder er å fastslå hvorvidt det er noe som tyder på manglende objektivitet hos ledelsen. Det er ikke ment å reise tvil om de skjønnsmessige vurderingene revisor foretok det forutgående året, som var basert på informasjon som var tilgjengelig på det daværende tidspunktet.
A47. En tilbakeskuende gjennomgåelse kreves også av ISA 540.20 Denne gjennomgåelsen blir gjennomført som en risikovurderingshandling for å innhente informasjon om effektiviteten av
20 ISA 540 «Revisjon av regnskapsestimat, inkludert regnskapsestimater på virkelig verdi og tilhørende tilleggsopplysninger»
punkt 9.
26 ISA 240
ledelsens estimeringsprosess for forrige periode, revisjonsbevis om resultatet, eller når det er aktuelt, om den etterfølgende reestimeringen av tidligere periodes regnskapsestimater som er relevant for utarbeidelsen av regnskapsestimatene for inneværende periode, og revisjonsbevis for forhold, som usikkerhet i estimatet, som det kan være påkrevd å opplyse om i regnskapet. Av praktiske grunner kan revisors gjennomgåelse for å vurdere om det er skjevheter i ledelsens skjønnsmessige avgjørelser og forutsetninger som kan utgjøre en risiko for vesentlig feilinformasjon som følge av misligheter i samsvar med denne ISA-en, bli gjennomført i tilknytning til gjennomgåelsen som kreves i ISA 540.
Forretningsmessig begrunnelse for betydelige transaksjoner (Jf. punkt 32(c)) A48. Indikatorer som kan tyde på at betydelige transaksjoner som faller utenfor enhetens vanlige
virksomhet eller som på andre måter synes å være uvanlige kan ha blitt gjennomført i forbindelse med uredelig regnskapsrapportering eller for å skjule underslag av eiendeler, omfatter:
• Transaksjonsstrukturen synes overdrevent kompleks (for eksempel en transaksjon som omfatter flere enheter innen et konsern eller flere tredjeparter som ikke er knyttet til hverandre).
• Ledelsen har ikke drøftet typen og rapporteringen av disse transaksjonene med dem som har overordnet ansvar for styring og kontroll i enheten, og det foreligger utilstrekkelig dokumentasjon.
• Ledelsen legger mer vekt på behovet for en bestemt regnskapsbehandling enn på den underliggende økonomien i transaksjonen.
• Transaksjoner som omfatter nærstående parter utenfor konsernet, herunder enheter med avgrenset formål, er ikke blitt nøye gjennomgått og godkjent av dem som har overordnet ansvar for styring og kontroll i enheten.
• Transaksjonene omfatter tidligere ikke identifiserte nærstående parter eller parter som ikke har substans eller finansiell styrke til å gjennomføre transaksjonen uten understøttelse fra enheten som revideres.
Vurdering av revisjonsbevis (Jf. punkt 34–37)
A49. ISA 330 krever at revisor, ut fra de gjennomførte revisjonshandlingene og innhentet revisjonsbevis, evaluerer hvorvidt vurderingene av risikoene for vesentlig feilinformasjon på påstandsnivå fortsatt er hensiktsmessige.21 Denne vurderingen er hovedsakelig et kvalitativt forhold basert på revisors skjønn. Denne evalueringen kan gi ytterligere innsikt i risikoene for vesentlig feilinformasjon som skyldes misligheter, og hvorvidt det er behov for å utføre ytterligere eller andre revisjonshandlinger. Vedlegg 3 inneholder eksempler på omstendigheter som kan tyde på misligheter.
Analytiske handlinger utført nær avslutningen av revisjonen ved utforming av en totalkonklusjon (Jf. punkt 32) A50. For å fastslå hvilke særlige trender og forhold som kan tyde på en risiko for vesentlig
feilinformasjon som skyldes misligheter, kreves anvendelse av profesjonelt skjønn. Uvanlige forhold som omfatter inntekter og resultat ved årets slutt er særlig relevante. Disse kan blant annet omfatte rapportering av unormalt høyt resultat de siste ukene av regnskapsperioden, uvanlige transaksjoner eller resultat som ikke stemmer overens med utviklingen i kontantstrøm fra driften.
21 ISA 330 punkt 25.
27 ISA 240
Vurdering av identifisert feilinformasjon (Jf. punkt 35–37) A51. Siden misligheter omfatter motivasjon eller press til å begå misligheter, en oppfattet mulighet til å
gjøre dette og en viss rettferdiggjørelse av handlingen, er det usannsynlig at et tilfelle av misligheter er en isolert hendelse. Feilinformasjon, for eksempel flere tilfeller av feilinformasjon på et bestemt driftssted, kan for eksempel være en indikasjon på en risiko for vesentlig feilinformasjon som skyldes misligheter, selv om den samlede innvirkningen ikke er vesentlig.
A52. Innvirkningen av identifiserte misligheter avhenger av omstendighetene. For eksempel kan ellers ubetydelige misligheter bli betydelige hvis de omfatter ledelse på høyere nivå. Under slike omstendigheter kan troverdigheten av tidligere innhentet revisjonsbevis bli revurdert, siden det kan være tvil om fullstendigheten og riktigheten av uttalelser og om ektheten av regnskapsmateriale og dokumentasjon. Det kan også være en mulighet for fordekt samarbeid blant ansatte, ledelsen eller tredjeparter.
A53. ISA 45022 og ISA 70023 fastsetter normer og gir veiledning i vurderingen og håndteringen av feilinformasjon og innvirkningen på revisors uttalelse i revisjonsberetningen.
Revisor ikke i stand til å fortsette oppdraget (Jf. punkt 38)
A54. Eksempler på eksepsjonelle omstendigheter som kan oppstå og som kan reise tvil om revisors evne til å fortsette revisjonsoppdraget, omfatter:
• enheten iverksetter ikke de utbedrende tiltakene vedrørende misligheter som revisor finner nødvendige under omstendighetene, selv der mislighetene ikke er vesentlige for regnskapet,
• revisors vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, og resultatene av revisjonstester tyder på en særskilt risiko for vesentlige og omfattende misligheter, eller
• revisor har betydelige betenkeligheter med hensyn til kompetansen eller integriteten til ledelsen eller dem som har overordnet ansvar for styring og kontroll.
A55. Ettersom de omstendighetene som kan oppstå er så forskjellige, er det ikke mulig å gi noen fullstendig beskrivelse av når det er riktig å trekke seg fra et oppdrag. Faktorer som påvirker revisors konklusjon omfatter innvirkningene av at en person i ledelsen eller blant dem som har overordnet ansvar for styring og kontroll (som kan påvirke påliteligheten av ledelsens uttalelser) er innblandet, og følgene for revisor av fortsatt å være forbundet med enheten.
A56. Revisor har under disse omstendighetene profesjonelle og juridiske forpliktelser som kan variere fra land til land. I enkelte land kan revisor for eksempel ha rett til eller være forpliktet til å avgi en uttalelse eller rapport til de(n) som velger revisor eller, i enkelte tilfeller, til regulerende myndigheter. Gitt omstendighetenes eksepsjonelle art og behovet for å vurdere de juridiske forpliktelsene, vurderer revisor å søke juridisk bistand for å fatte en beslutning om hvorvidt revisor skal trekke seg fra et oppdrag og om hvilke tiltak som er hensiktsmessige, herunder muligheten for å rapportere til aksjeeiere, regulerings-, kontroll- og påtalemyndigheter eller andre.24
22 ISA 450 «Vurdering av feilinformasjon identifisert under revisjonen».
23 ISA 700 «Konklusjon og rapportering om regnskaper».
24 IFACs etiske regler for revisorer gir veiledning i kommunikasjon med en revisor som erstatter den eksisterende revisor.
28 ISA 240
Særlige hensyn knyttet til enheter i offentlig sektor A57. I offentlig sektor er muligheten for å trekke seg fra et oppdrag i mange tilfeller ikke til stede på
grunn av mandatets art eller hensynet til allmennhetens interesser.
Skriftlige uttalelser (Jf. punkt 39)
A58. ISA 58025 fastsetter normer og gir veiledning i innhenting av hensiktsmessige uttalelser fra ledelsen og, der det er hensiktsmessig, fra dem som har overordnet ansvar for styring og kontroll, under revisjonen. I tillegg til å erkjenne at de har oppfylt sitt ansvar for utarbeidelsen av regnskapet, er det viktig at ledelsen og, der det er hensiktsmessig, de som har overordnet ansvar for styring og kontroll, uansett enhetens størrelse, erkjenner sitt ansvar for den interne kontrollen som er utformet, iverksatt og vedlikeholdt for å forebygge og avdekke misligheter.
A59. På grunn av de karakteristiske trekkene ved misligheter og fordi det er vanskelig for revisor å oppdage vesentlig feilinformasjon i regnskap som skyldes misligheter, er det viktig at revisor innhenter en skriftlig uttalelse fra ledelsen og, der det er hensiktsmessig, fra dem som har overordnet ansvar for styring og kontroll, som bekrefter at de har opplyst revisor om:
(a) resultatene av sin vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som følge av misligheter, og
(b) sitt kjennskap til faktiske, mistenkte eller påståtte misligheter som påvirker enheten.
Kommunikasjon til ledelsen og med dem som har overordnet ansvar for styring og kontroll
Kommunikasjon til ledelsen (Jf. punkt 40-42)
A59a I enkelte jurisdiksjoner kan lov eller forskrift begrense revisors kommunikasjon av bestemte saker med ledelsen og de som har overordnet ansvar for styring og kontroll. Lov eller forskrift kan forby kommunikasjon eller annen handling, herunder å varsle enheten, som kan skade etterforskning gjennomført av relevant myndighet når det er avdekket eller mistanke om en ulovlig transaksjon. For eksempel når revisor er pålagt å rapportere om misligheter etter hvitvaskingsloven. Under slike omstendigheter kan det ut fra sakens kompleksitet vurderes av revisor at det er behov for å søke juridisk rådgivning.
A60. Når revisor har innhentet bevis for at misligheter foreligger eller kan foreligge, er det viktig at det riktige ledelsesnivået gjøres oppmerksom på forholdet så snart som praktisk mulig. Dette gjelder selv om forholdet anses for ubetydelig (for eksempel et mindre underslag begått av en ansatt på et lavt nivå i organisasjonen). Beslutningen om hvilket ledelsesnivå som er det riktige er gjenstand for revisors skjønn og påvirkes av faktorer som sannsynligheten for fordekt samarbeid og arten og omfanget av de mistenkte mislighetene. Vanligvis vil det riktige ledelsesnivået være minst ett nivå over de personene som antas å være innblandet i de mistenkte mislighetene.
Kommunikasjon med dem som har overordnet ansvar for styring og kontroll (Jf. punkt 41) A61. Revisors kommunikasjon med dem som har overordnet ansvar for styring og kontroll kan skje
muntlig eller skriftlig. ISA 260 identifiserer faktorer som revisor vurderer for å beslutte om kommunikasjonen skal skje muntlig eller skriftlig.26 På grunn av de karakteristiske trekkene og
25 ISA 580 «Skriftlige uttalelser».
26 ISA 260 punkt A38.
29 ISA 240
sensitiviteten ved misligheter som omfatter den øverste ledelsen, eller misligheter som fører til vesentlig feilinformasjon i regnskapet, rapporterer revisor disse forholdene i rett tid og vurderer hvorvidt det er nødvendig å også rapportere disse forholdene skriftlig.
A62. I enkelte tilfeller kan revisor vurdere det som hensiktsmessig å kommunisere med dem som har overordnet ansvar for styring og kontroll dersom revisor får kjennskap til misligheter som omfatter ansatte andre enn ledelsen og som ikke fører til vesentlig feilinformasjon. Likeledes kan de som har overordnet ansvar for styring og kontroll ha et ønske om å bli informert om slike forhold. Kommunikasjonsprosessen styrkes dersom revisor tidlig i revisjonen kommer til enighet med dem som har overordnet ansvar for styring og kontroll om arten og omfanget av revisors kommunikasjon i så måte.
A63. I de eksepsjonelle tilfellene der revisor er i tvil om integriteten eller ærligheten til ledelsen eller dem som har overordnet ansvar for styring og kontroll, vurderer revisor å søke juridisk bistand for å beslutte hvilke tiltak som er hensiktsmessige.
Andre forhold knyttet til misligheter (Jf. punkt 42) A64. Andre forhold knyttet til misligheter som bør drøftes med dem som har overordnet ansvar for
styring og kontroll i enheten, omfatter blant annet:
• Forhold vedrørende arten, omfanget og hyppigheten av ledelsens vurderinger av kontroller for å forhindre og avdekke misligheter og av risikoen for at regnskapet inneholder vesentlig feilinformasjon.
• Svikt hos ledelsen til å håndtere identifiserte vesentlige mangler i den interne kontrollen på en formålstjenelig måte, eller til å reagere på identifiserte misligheter på en formålstjenelig måte.
• Revisors vurdering av enhetens kontrollmiljø, herunder spørsmål med hensyn til ledelsens kompetanse og integritet.
• Handlinger foretatt av ledelsen som kan tyde på uredelig regnskapsrapportering, som for eksempel ledelsens valg og anvendelse av regnskapsprinsipper som kan tyde på at ledelsen forsøker å styre resultatet for å villede brukere av regnskapet ved å påvirke deres oppfatning av enhetens prestasjon og lønnsomhet.
• Forhold vedrørende tilstrekkeligheten og fullstendigheten av godkjenningen av transaksjoner som synes å falle utenfor enhetens vanlige virksomhet.
Rapportering av misligheter til adekvat myndighet utenfor enheten (Jf. punkt 43)
A65. ISA 250 (revidert)27 gir ytterligere veiledning med hensyn til revisors fastsettelse av hvorvidt rapportering av identifisert eller mistanke om brudd på lov eller forskrift til en relevant myndighet utenfor enheten er påkrevet etter omstendighetene. Veiledningen inkluderer en vurdering av revisors taushetsplikt.
A66. Bestemmelsen i henhold til punkt nr. 43 kan innebære komplekse hensyn og faglige vurderinger. Følgelig kan revisor vurdere å konsultere internt (for eksempel innen revisjonsselskapet eller innen samme nettverk) eller konfidensielt med et profesjonelt yrkesorgan (dersom dette ikke er forbudt ved lov eller forhindret av taushetsplikten). Revisor kan også vurdere å søke juridisk bistand for å forstå revisors alternativer og faglige eller juridiske konsekvenser av å beslutte bestemte tiltak.
27 The International Ethics Standards Board for Accountants’ (IESBA) punkt 225.21 – 225.22. Se også DNR`s etiske regler punkt
140.7
30 ISA 240
Særlige hensyn knyttet til enheter i offentlig sektor A67. I offentlig sektor kan krav til rapportering av misligheter, uansett om de er avdekket gjennom
revisjonen eller ikke, være gjenstand for spesielle bestemmelser i revisjonsmandatet eller i relatert lov, forskrift eller andre pålegg.
31 ISA 240
Vedlegg 1 (Jf. punkt A25)
Eksempler på mislighetsrisikofaktorer Mislighetsrisikofaktorene som omtales i dette vedlegget er eksempler på faktorer som revisorer kan stå overfor i en rekke ulike situasjoner. Eksempler på de to typene misligheter som er relevante for revisors vurdering, det vil si uredelig regnskapsrapportering og underslag av eiendeler, presenteres hver for seg. For hver av disse typene misligheter klassifiseres risikofaktorene ytterligere ut fra de tre forholdene som vanligvis er til stede når det forekommer vesentlig feilinformasjon som skyldes misligheter: (a) incentiver/press, (b) muligheter og (c) holdninger/rettferdiggjørelser. Selv om risikofaktorene dekker et bredt spekter av situasjoner, er de kun eksempler, og revisor kan følgelig identifisere ytterligere eller andre risikofaktorer. Det er ikke alle eksemplene som er relevante under alle omstendigheter, og enkelte av dem kan ha mer eller mindre betydning i enheter av ulik størrelse, med ulike eierstrukturer eller ulike omstendigheter. Den rekkefølgen eksemplene på risikofaktorer presenteres i, er heller ikke ment å gjenspeile deres forholdsmessige viktighet eller hyppighet.
Mislighetsrisikofaktorer relatert til feilinformasjon som skyldes uredelig regnskapsrapportering
Følgende er eksempler på risikofaktorer relatert til feilinformasjon som skyldes uredelig regnskapsrapportering.
Incentiver/press Økonomisk stabilitet eller lønnsomhet er truet av økonomiske, bransjemessige eller enhetens driftsvilkår, som for eksempel (eller kjennetegnet ved) følgende:
• Sterk konkurranse eller mettet marked ledsaget av synkende marginer. • Høy sårbarhet overfor raske endringer, som for eksempel teknologiske endringer, foreldelse
av produkter eller endringer i rentenivået. • Betydelig nedgang i etterspørselen og stigning i antall konkurser og avviklinger enten i
bransjen eller generelt. • Driftstap som gjør faren for konkurs, opphør eller fiendtlige oppkjøp overhengende. • Vedvarende negativ kontantstrøm fra driften eller manglende evne til å generere
kontaktstrøm fra driften samtidig som det rapporteres positivt resultat og resultatvekst. • Rask vekst eller uvanlig høy lønnsomhet særlig sammenlignet med andre selskaper i samme
bransje. • Nye regnskapsmessige, lov- eller forskriftsmessige krav.
Ledelsen er under sterkt press for å oppfylle tredjeparters krav eller forventninger på grunn av følgende:
• Forventninger til lønnsomhet eller utvikling fra analytikere, institusjonelle investorer, betydelige kreditorer eller andre eksterne parter (særlig forventninger som er urimelig aggressive eller urealistiske), herunder forventninger som skapes av ledelsen gjennom for eksempel overoptimistiske pressemeldinger eller årlige uttalelser.
• Behov for ytterligere låne- eller egenkapitalfinansiering for å beholde konkurranseevnen, herunder finansiering av betydelig forskning og utvikling eller investeringer.
32 ISA 240
• Begrenset evne til å oppfylle børsens noteringsvilkår, krav om tilbakebetaling av gjeld eller andre lånevilkår.
• Oppfattede eller faktiske negative virkninger av å rapportere dårlige økonomiske resultater for betydelige transaksjoner som fremdeles er gjenstand for forhandlinger, som for eksempel sammenslåinger eller tildeling av kontrakter.
Tilgjengelig informasjon tyder på at den personlige økonomiske situasjonen til ledelsen eller dem som har overordnet ansvar for styring og kontroll er truet av enhetens økonomiske resultater som følge av:
• Betydelige økonomiske interesser i enheten. • Betydelige andeler av deres kompensasjon (for eksempel bonuser, aksjeopsjoner og
resultatavhengig kompensasjon) avhenger av oppnåelse av aggressive mål for aksjekurser, driftsresultater, den økonomiske stillingen eller kontantstrømmen.28
• Personlige garantistillelser for gjeld i enheten.
Ledelsen eller driftspersonalet er under sterkt press for å oppfylle økonomiske mål som er fastsatt av dem som har overordnet ansvar for styring og kontroll, herunder mål knyttet til salgs- eller lønnsomhetsincentiver.
Muligheter Karakteristiske trekk ved bransjen eller enhetens virksomhet innebærer muligheter for å foreta uredelig regnskapsrapportering blant annet i forbindelse med følgende:
• Betydelige transaksjoner med nærstående parter som faller utenfor enhetens vanlige virksomhet, eller med tilknyttede enheter som ikke revideres eller som revideres av et annet revisjonsselskap.
• En sterk økonomisk stilling eller mulighet til å dominere et bestemt bransjesegment som gjør det mulig for enheten å diktere vilkår overfor leverandører eller kunder som kan føre til utilbørlige transaksjoner eller transaksjoner som ikke er på armlengdes avstand
• Eiendeler, forpliktelser, inntekter eller kostnader som i betydelig grad er basert på estimater som omfatter subjektivt skjønn eller usikkerhetsmomenter som er vanskelige å underbygge.
• Betydelige, uvanlige eller meget komplekse transaksjoner, særlig de som skjer nær regnskapsperiodens slutt og som innebærer vanskelige problemstillinger med hensyn til «substance over form»-spørsmål.
• Betydelig virksomhet som befinner seg utenfor landets grenser eller drives på tvers av landegrensene i jurisdiksjoner med ulike forretningsmiljøer og -kulturer.
• Bruk av mellommenn der det ikke synes å være noen klar forretningsmessig begrunnelse. • Betydelige bankkontoer, datterselskaper eller avdelinger i skatteparadiser der det ikke synes
å være noen klar forretningsmessig begrunnelse. Overvåkingen av ledelsen fungerer ikke effektivt som et resultat av følgende:
• Ledelsen domineres av en enkelt person eller en liten gruppe (i enheter der eier ikke er leder) uten kompenserende kontroller.
• Tilsynet som de som har overordnet ansvar for styring og kontroll fører med regnskapsrapporteringen og den interne kontrollen fungerer ikke effektivt.
Organisasjonsstrukturen er kompleks eller ustabil, noe som viser seg ved følgende:
28 Ledelsens incentivvederlagsordninger kan avhenge av oppnåelse av mål som kun er knyttet til bestemte kontoer eller
utvalgte aktiviteter i foretaket, selv om de tilknyttede kontoene eller aktivitetene ikke er vesentlige for foretaket som helhet.
33 ISA 240
• Vanskelig å fastslå hvilken organisasjon eller hvilke personer som har bestemmende innflytelse i enheten.
• Overdrevent kompleks organisasjonsstruktur som omfatter uvanlige juridiske enheter eller styringslinjer.
• Hyppig utskifting av den øverste ledelsen, juridiske rådgivere eller dem som har overordnet ansvar for styring og kontroll.
Intern kontroll-komponenter er mangelfulle på grunn av følgende:
• Utilstrekkelig overvåking av kontroller, herunder automatiserte kontroller og kontroll over regnskapsrapportering for delperioder (der ekstern rapportering er påkrevd).
• Stor gjennomtrekk av ansatte eller ansettelse av regnskaps-, internrevisjonsfunksjons- eller IT-medarbeidere som ikke har nødvendige kvalifikasjoner.
• Ineffektive regnskaps- og informasjonssystemer, herunder situasjoner som innebærer vesentlige mangler i den interne kontrollen.
Holdninger/rettferdiggjørelser • Ineffektiv kommunikasjon, gjennomføring, understøttelse eller håndheving av enhetens
verdier eller etiske standarder fra ledelsens side, eller kommunikasjon av utilbørlige verdier eller etiske standarder som ikke er effektive.
• Ledelsen utenom økonomifunksjonen deltar i overdreven grad i eller er overdrevent opptatt av valg av regnskapspolicyer eller utarbeidelsen av betydelige regnskapsestimater.
• Tidligere brudd på verdipapirlovgivning eller andre lover og forskrifter eller krav mot enheten, dets øverste ledelse eller dem som har overordnet ansvar for styring og kontroll på grunn av påståtte misligheter eller brudd på lover og forskrifter.
• Ledelsen er overdrevent opptatt av å opprettholde eller øke enhetens aksjekurs eller resultatutvikling.
• Ledelsen praktiserer å binde seg til å oppnå ambisiøse eller urealistiske prognoser overfor analytikere, kreditorer og andre tredjeparter.
• Ledelsen utbedrer ikke kjente vesentlige mangler i den interne kontrollen i rett tid. • Ledelsen er interessert i å anvende utilbørlige metoder for å minimalisere rapportert resultat
av skattemessige grunner. • Lav moral i den øverste ledelsen. • Eier-leder skjelner ikke mellom personlige og forretningsmessige transaksjoner. • Uenigheter mellom aksjeeiere i en enhet med få aksjonærer (eng: closely held entity). • Ledelsens gjentatte forsøk på å rettferdiggjøre kreativ eller utilbørlig regnskapsrapportering
begrunnet ut fra vesentlighet. • Forholdet mellom ledelsen og den nåværende eller tidligere revisoren er anstrengt, noe som
vises ved følgende:
− Hyppige uenigheter med den nåværende eller den tidligere revisoren vedrørende regnskaps-, revisjons- eller rapporteringsspørsmål.
− Urimelige krav til revisor, som for eksempel urimelige tidsfrister for fullføringen av revisjonen eller avgivelsen av revisjonsberetningen.
− Restriksjoner som på en urimelig måte begrenser revisors tilgang til personer eller informasjon eller mulighet til å kommunisere effektivt med dem som har overordnet ansvar for styring og kontroll.
− Ledelsens innblanding i revisors arbeid, særlig forsøk på å påvirke omfanget av revisors arbeid eller utvelgelsen av hvilke personer som arbeider eller konsulteres på oppdraget.
34 ISA 240
Risikofaktorer som følge av feilinformasjon som skyldes underslag av eiendeler
Risikofaktorer relatert til feilinformasjon som skyldes underslag av eiendeler klassifiseres også i henhold til de tre forholdene som vanligvis er til stede når misligheter foreligger: incentiver/press, muligheter og holdninger/rettferdiggjørelser. Noen av risikofaktorene som er knyttet til feilinformasjon som skyldes uredelig regnskapsrapportering kan også være til stede når det forekommer feilinformasjon som skyldes underslag av eiendeler. Ineffektiv overvåking av ledelsen og mangler i den interne kontrollen kan for eksempel være til stede når det forekommer feilinformasjon som skyldes enten uredelig regnskapsrapportering eller underslag av eiendeler. Følgende er eksempler på risikofaktorer som er knyttet til feilinformasjon som skyldes underslag av eiendeler.
Incentiver/press Personlige økonomiske forpliktelser kan medføre press på ledelsen eller ansatte med tilgang til kontanter eller andre eiendeler som er eksponert for tyveri, til å underslå disse eiendelene.
Et dårlig forhold mellom enheten og ansatte med tilgang til kontanter eller andre eiendeler som er eksponert for tyveri, kan motivere disse ansatte til å underslå disse eiendelene. Et dårlig forhold kan for eksempel oppstå på grunn av følgende:
• Kjente eller forventede permitteringer av ansatte. • Nylige eller forventede endringer i ansattes lønns- eller pensjonsordninger. • Karriereutvikling, vederlag eller andre belønninger stemmer ikke overens med
forventninger.
Muligheter Visse karakteristiske trekk eller omstendigheter kan øke eksponeringen for underslag av eiendeler. Mulighetene til å underslå eiendeler øker for eksempel når følgende foreligger:
• Store kontantbeholdninger eller behandling av store kontantbeløp. • Lagergjenstander som er små i størrelse og har høy verdi eller er etterspurt. • Lett omsettelige eiendeler, som for eksempel ihendehaverobligasjoner, diamanter eller
databrikker. • Anleggsmidler som er små i størrelse, omsettelige eller mangler tydelig identifisering av
eierskap. Utilstrekkelig intern kontroll over eiendeler kan øke risikoen for underslag av disse eiendelene. Underslag av eiendeler kan for eksempel forekomme på grunn av følgende:
• Manglende arbeidsdeling eller uavhengige kontroller. • Utilstrekkelig tilsyn med utgiftene til den øverste ledelsen, som for eksempel
reisegodtgjørelser og andre godtgjørelser. • Utilstrekkelig tilsyn med ansatte som er ansvarlige for eiendeler, for eksempel utilstrekkelig
tilsyn med eller overvåking av fjerntliggende kontorer. • Manglende rutiner for å vurdere søkere på stillinger der ansatte har tilgang til eiendeler. • Utilstrekkelig registrering av eiendeler. • Utilstrekkelig system for autorisasjon og godkjenning av transaksjoner (for eksempel ved
innkjøp). • Utilstrekkelig fysisk sikring av kontanter, investeringer, varebeholdninger eller
anleggsmidler. • Manglende fullstendig avstemming av eiendeler i rett tid.
35 ISA 240
• Manglende hensiktsmessig dokumentasjon av transaksjoner i rett tid, for eksempel kreditering for returnerte varer.
• Manglende obligatorisk ferie for ansatte som utfører sentrale kontrolloppgaver. • Ledelsens manglende forståelse av informasjonsteknologi, som gjør det mulig for IT-ansatte
å underslå eiendeler. • Utilstrekkelig tilgangskontroll for automatiserte registre, herunder kontroll over og
gjennomgåelse av hendelseslogger for datasystemer.
Holdninger/rettferdiggjørelser • Ignorering av behovet for overvåking eller reduksjon av risikoer knyttet til underslag av
eiendeler. • Ignorering av intern kontroll over underslag av eiendeler ved overstyring av eksisterende
kontroller eller ved ikke på hensiktsmessig måte å utbedre kjente mangler i den interne kontrollen.
• Atferd som tyder på misnøye med enheten eller dens behandling av den ansatte. • Endringer i atferd eller livsstil som kan tyde på at eiendeler er blitt underslått. • Toleranse av småtyverier.
36 ISA 240
Vedlegg 2 (Jf. punkt A40)
Eksempler på mulige revisjonshandlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter Følgende er eksempler på mulige revisjonshandlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter som følge av både uredelig regnskapsrapportering og underslag av eiendeler. Selv om disse revisjonshandlingene dekker et bredt spekter av situasjoner, er de kun eksempler, og det kan følgelig være at de ikke er de mest hensiktsmessige eller nødvendige i ethvert tilfelle. Rekkefølgen revisjonshandlingene presenteres i er heller ikke ment å gjenspeile deres relative viktighet.
Vurderinger på påstandsnivå
De konkrete handlingene for å håndtere risikoene for vesentlig feilinformasjon som skyldes misligheter, vil variere avhengig av typene eller kombinasjonene av identifiserte mislighetsrisikofaktorer eller forhold, og kontosaldoene, transaksjonsklassene og påstandene de kan påvirke.
Følgende er eksempler på handlinger:
• Besøke driftssteder eller utføre bestemte tester uten at dette er varslet på forhånd, for eksempel observere varetelling på driftssteder der revisors tilstedeværelse ikke er varslet eller telle kontanter på en bestemt dato uten forhåndsvarsel.
• Anmode om at varelagre telles ved regnskapsperiodens slutt eller på en dato nærmere regnskapsperiodens slutt for å redusere risikoen for manipulasjon av saldoer i perioden mellom datoen for fullføring av varetellingen og regnskapsperiodens slutt.
• Endre revisjonsmessig angrepsvinkel i det inneværende året, for eksempel ved å kontakte store kunder og leverandører muntlig i tillegg til oversending av skriftlige bekreftelser, sende skriftlige forespørsler til en bestemt adressat i organisasjonen eller innhente mer eller annen informasjon.
• Foreta en detaljert gjennomgåelse av enhetens korreksjonsposteringer ved avslutningen av delårs- eller årsregnskapet og granske de som synes uvanlige med hensyn til type eller beløp.
• Undersøke om nærstående parter er involvert i betydelige og uvanlige transaksjoner samt de kildene til de finansielle ressursene som understøtter disse transaksjonene, særlig de som forekommer ved eller nær årsskiftet.
• Utføre analytiske substanshandlinger på detaljnivå, for eksempel ved å sammenligne salg og solgte varers kost etter driftssted, bransje eller måned med forventninger som revisor har utarbeidet.
• Gjennomføre intervjuer av personale som arbeider på områder der en risiko for vesentlig feilinformasjon som skyldes misligheter er identifisert, for å få kjennskap til deres innsikt med hensyn til risikoen og hvorvidt eller hvordan kontroller er iverksatt for å håndtere risikoen.
• Når andre uavhengige revisorer reviderer regnskapet i ett eller flere datterselskaper, divisjoner eller avdelinger, diskutere omfanget av det arbeidet som må utføres for å
37 ISA 240
håndtere risikoen for vesentlig feilinformasjon som skyldes misligheter som følge av transaksjoner eller aktiviteter blant disse enhetene.
• Hvis en eksperts arbeid blir særlig betydelig for en regnskapspost der den vurderte risikoen for feilinformasjon som skyldes misligheter er høy, utføre ytterligere revisjonshandlinger knyttet til alle eller noen av ekspertens forutsetninger, metoder eller funn for å fastslå at funnene ikke er urimelige eller engasjere en annen ekspert for dette formålet.
• Utføre revisjonshandlinger for å analysere utvalgte konti fra inngående balanse i tidligere reviderte regnskap for å vurdere hvordan bestemte problemstillinger vedrørende regnskapsestimater og skjønn, for eksempel avsetninger for returer, ble løst sett på bakgrunn av den informasjonen som er tilgjengelig i ettertid.
• Utføre revisjonshandlinger på en konto eller andre avstemminger som enheten har utarbeidet, herunder en vurdering av avstemminger som er foretatt i delperioder.
• Anvende IT-baserte revisjonsteknikker, for eksempel «data mining», for å søke etter uregelmessigheter i en populasjon.
• Teste integriteten til dataproduserte registreringer og transaksjoner. • Innhente ytterligere revisjonsbevis fra kilder utenfor enheten som blir revidert.
Særskilte handlinger – feilinformasjon som følge av uredelig regnskapsrapportering
Følgende er eksempler på handlinger i forhold til revisors vurdering av risikoene for vesentlig feilinformasjon som skyldes uredelig regnskapsrapportering:
Inntektsføring • Utføre analytiske substanshandlinger knyttet til inntekter på detaljnivå, for eksempel
sammenligne inntekter som rapporteres pr. måned og produktlinje eller forretningssegment i den nåværende regnskapsperioden med tilsvarende tidligere perioder. IT-baserte revisjonsteknikker kan være nyttige for å identifisere uvanlige eller uventede sammenhenger eller transaksjoner.
• Innhent bekreftelse fra kunder om relevante kontraktsvilkår og fraværet av sideavtaler gjennom kunder, siden riktig regnskapsrapportering ofte påvirkes av disse vilkårene eller avtalene, og grunnlaget for rabatter eller perioden de er knyttet til ofte er dårlig dokumentert. Kriterier for aksept, leverings- og betalingsbetingelser, fravær av fremtidige eller løpende leverandørforpliktelser, returretter, garanterte kvanta for videresalg og avbestillings- eller tilbakebetalingsavtaler er for eksempel ofte relevante i slike tilfeller.
• Forespørsler rettet til enhetens salgs- og markedsføringspersonale eller interne juridiske rådgivere vedrørende salg eller forsendelser nær regnskapsperiodens slutt, og deres kjennskap til eventuelle uvanlige vilkår som er knyttet til disse transaksjonene.
• Være fysisk til stede på ett eller flere driftssteder ved regnskapsperiodens slutt for å observere at varer sendes eller klargjøres for forsendelse (eller returnerte varer som skal behandles) og gjennomføring av andre hensiktsmessige periodiseringer for salg og varelager.
• For de tilfellene der inntektstransaksjoner initieres, behandles og registreres elektronisk, teste kontroller for å fastslå hvorvidt de sikrer at registrerte inntektstransaksjoner har forekommet og er riktig registrert.
Varebeholdning – kvantum • Undersøke enhetens varelagerkartotek for å identifisere driftssteder eller poster som krever
særskilt oppmerksomhet under eller etter den fysiske varetellingen.
38 ISA 240
• Observere varetellinger på bestemte lokasjoner uten at dette er varslet på forhånd eller gjennomføre varetellinger på alle steder på samme dato.
• Gjennomføre varetellinger ved eller nær regnskapsperiodens slutt for å redusere risikoen for utilbørlig manipulasjon i perioden mellom varetellingen og regnskapsperiodens slutt.
• Gjennomføre ytterligere revisjonshandlinger under observasjonen av varetellingen, for eksempel undersøke nøyere innholdet i esker, måten varene er stablet på (for eksempel hulrom) eller hvordan de er merket, og kvaliteten (det vil si renhetsgrad eller konsentrasjon) til væsker som for eksempel parfymer eller spesialkjemikalier. Det kan være nyttig å bruke en eksperts arbeid i disse tilfellene.
• Sammenligne mengdene for den nåværende perioden med tidligere perioder etter varegruppe eller -kategori, driftssted eller andre kriterier, eller sammenligne telte kvanta med løpende varelagerregistreringer.
• Bruke IT-baserte revisjonsteknikker for å utføre ytterligere tester av sammensetningen av de fysiske varetellingene, for eksempel sortere etter varenummer for å teste kontroller av varenumre eller etter serienummer for å teste om gjenstander mangler eller er dobbelt registrert.
Ledelsens estimater • Bruke en ekspert for å utarbeide uavhengige estimater for sammenligning med ledelsenes
estimater. • Rette forespørsler til personer som ikke tilhører ledelsen eller regnskapsavdelingen for å
bekrefte ledelsens evne til og intensjon om å gjennomføre planer som er relevante for utarbeidelsen av estimater.
Særskilte handlinger – feilinformasjon som skyldes underslag av eiendeler
Ulike omstendigheter vil nødvendigvis kreve ulike handlinger. Vanligvis vil revisors håndtering av en vurdert risiko for vesentlig feilinformasjon som skyldes misligheter knyttet til underslag av eiendeler, være rettet mot bestemte kontosaldoer og transaksjonsklasser. Selv om noen av revisors handlinger i de to kategoriene ovenfor kan være relevante i disse tilfellene, skal omfanget av arbeidet være knyttet til den aktuelle informasjonen om den identifiserte risikoen for underslag.
Eksempler på handlinger for å håndtere den vurderte risikoen for vesentlig feilinformasjon som skyldes underslag av eiendeler er følgende:
• Telle kontanter eller verdipapirer ved eller nær årsskiftet. • Bekrefte kontoaktiviteten direkte gjennom kunder (herunder kreditnotaer og retur av varer
samt betalingsdatoer) for perioden som revideres. • Analysere inntekter på tidligere avskrevne fordringer. • Analysere varemangel etter driftssted eller produkttype. • Sammenligne viktige forholdstall for lager med det som er vanlig i bransjen. • Gjennomgå underbyggende materiale for reduksjoner i løpende registreringer av
varelageret. • Sammenligne leverandørlisten med en liste over ansatte ved hjelp av IT for å identifisere
sammenfallende adresser eller telefonnumre. • Foreta et IT-basert søk i lønningslister for å identifisere dupliserte adresser, personalnumre,
skattenumre eller kontonumre. • Gjennomgå personalmapper der det foreligger få eller ingen tegn på aktivitet, for eksempel
manglende evalueringer av prestasjoner. • Analysere salgsrabatter og returnerte varer for uvanlige mønstre eller trender.
39 ISA 240
• Bekrefte bestemte kontraktsvilkår gjennom tredjeparter. • Innhente bevis for at kontrakter gjennomføres i henhold til kontraktsvilkårene. • Gjennomgå riktigheten av store og uvanlige utgifter. • Gjennomgå godkjenningen og den bokførte verdien av lån som er tatt opp av den øverste
ledelsen eller nærstående parter. • Gjennomgå omfanget og riktigheten av utgiftsrapporter som innleveres av den øverste
ledelsen.
40 ISA 240
Vedlegg 3 (Jf. punkt A49)
Eksempler på omstendigheter som kan tyde på misligheter Følgende er eksempler på omstendigheter som kan tyde på at regnskapet inneholder vesentlig feilinformasjon som skyldes misligheter.
Uoverensstemmelser i regnskapsmaterialet, herunder følgende:
• Transaksjoner som ikke er fullstendig eller rettidig registrert eller som er feilaktig registrert med hensyn til beløp, regnskapsperiode, klassifisering eller praksis i enheten.
• Saldoer eller transaksjoner som ikke er underbygd eller godkjent. • Justeringer med en betydelig innvirkning på økonomiske resultater som er foretatt i siste
øyeblikk. • Bevis for at ansatte har tilgang til systemer og registre som ikke stemmer overens med det
som er nødvendig for at de skal kunne utføre sine tildelte oppgaver. • Tips eller klager til revisor om påståtte misligheter.
Motstridende eller manglende bevis, herunder følgende:
• Manglende dokumenter. • Dokumenter som synes å ha blitt endret. • Kun kopierte eller elektronisk overførte dokumenter som er tilgjengelige i tilfeller der det
forventes at det finnes originaldokumenter. • Betydelige poster eller avstemminger som ikke er begrunnet. • Uvanlige endringer i balansen eller endringer i trender eller viktige forholdstall eller
sammenhenger i regnskapet, for eksempel at fordringer vokser raskere enn inntekter. • Inkonsekvente, unnvikende eller usannsynlige svar fra ledelsen eller ansatte ved
forespørsler eller analytiske handlinger. • Uvanlige uoverensstemmelser mellom enhetens registre og bekreftelser. • Et stort antall kreditposteringer og andre justeringer av utestående fordringer. • Ubegrunnede eller utilstrekkelig begrunnede differanser mellom kundereskontroen og
kontrollkontoen eller mellom kundens kontoutskrifter og kundereskontroen. • Manglende annullerte sjekker i tilfeller der annullerte sjekker vanligvis returneres til
enheten sammen med kontoutskriften. • Manglende varer eller fysiske eiendeler av en betydelig størrelse. • Utilgjengelige eller manglende elektroniske bevis som strider mot enhetens rutiner eller
retningslinjer for dokumentoppbevaring. • Færre eller flere svar på forespørsler om bekreftelser enn forventet. • Manglende evne til å fremlegge bevis for sentrale systemutviklinger eller
programendringstester og gjennomføring av systemendringer og -installasjoner i det inneværende året.
Problematisk eller uvanlig forhold mellom revisor og ledelsen, herunder følgende:
• Revisor nektes tilgang til registre, lokaler, bestemte ansatte, kunder, leverandører eller andre som revisjonsbevis kan innhentes fra.
• Ledelsen pålegger revisor urimelige tidsfrister for avklaring av komplekse eller omstridte problemstillinger.
41 ISA 240
• Klager fra ledelsen på gjennomføringen av revisjonen eller trusler fra ledelsen mot medlemmer av revisjonsteamet, særlig i forbindelse med revisors kritiske vurdering av revisjonsbevis eller ved avklaring av eventuelle uenigheter med ledelsen.
• Enheten bruker uvanlig lang tid på å fremskaffe informasjon som revisor har anmodet om. • Uvillighet til å gi revisor tilgang til sentrale elektroniske filer for testing ved hjelp av IT-
baserte revisjonsteknikker. • Revisor nektes tilgang til sentrale IT-medarbeidere og IT-innretninger, herunder sikkerhets-,
drifts- og systemutviklingspersonale. • Uvillighet til å tilføye eller revidere tilleggsopplysninger i regnskapet for å gjøre det mer
fullstendig og forståelig. • Uvillighet til å håndtere identifiserte mangler i den interne kontrollen i rett tid.
Andre eksempler omfatter følgende:
• Ledelsen er uvillig til å la revisor privat møte dem som har overordnet ansvar for styring og kontroll.
• Regnskapsprinsipper som synes å avvike fra de som er vanlige i bransjen. • Hyppige endringer av regnskapsestimater som ikke synes å være en følge av endrede
omstendigheter. • Toleranse av brudd på enhetens regler om etikk.
