Standarden inneholder veiledning og krav til revisors identifisering og vurdering av risikoene for vesentlig feilinformasjon i regnskapet, og oppdateringen medfører at mange revisorer må gjøre endringer i metodikk og måten vurderinger dokumenteres på [*].
Det grunnleggende er som før
Selv om ISA 315 er en standard for regnskapsrevisjon, kan den også være nyttig for forvaltningsrevisjon med tanke på å opparbeide forståelse for risikobildet og den interne kontrollen til den reviderte enheten. Logikken i standardene for regnskapsrevisjon bygger på revisjonsrisikomodellen og en sekvensiell tilnærming til beslutningstaking i revisjonsprosessen. Oppdaterte revisjonsstandarder de siste årene, herunder den nye versjonen av ISA 315, har beholdt denne logikken fordi standardene utgjør et stykke på vei et samlet system, men det er presisert i nye ISA 315 at identifisering og vurdering av risiko er en iterativ prosess gjennom revisjonsoppdraget. Dette er ikke noe nytt for praksis, fordi det har alltid vært en plikt til å revurdere tidligere vurderinger og beslutninger i lys av ny informasjon som revisor blir kjent med underveis i revisjonsarbeidet.
I tradisjonelle fremstillinger av regnskapsrevisjon starter revisor med opparbeidelse av forståelse av revidert enhet, deretter identifisering og vurdering av risiko, og videre planlegging av hvilke revisjonshandlinger som skal gjennomføres for å respondere på risikobildet. Hensikten er å oppnå tilstrekkelige og hensiktsmessige bevis slik at revisor kan konkludere og avgi revisjonsberetning, innenfor ønsket nivå for revisjonsrisiko.
Revisjonsrisikoen er risikoen for at revisors konklusjoner og rapportering gir uttrykk for at regnskapet er i orden i en situasjon hvor det faktisk er vesentlig feil i rapportert informasjon fra den reviderte enheten, jf. ISA 200. Revisjonsrisikoen er produktet av den reviderte enhets iboende risiko og kontrollrisiko, samt revisors oppdagelsesrisiko. Revisor må vurdere iboende risiko og kontrollrisiko, og påvirker selv oppdagelsesrisikoen gjennom sine revisjonshandlinger. Økning i innsats fra revisor gir normalt redusert sannsynlighet for at det vil være uoppdagede vesentlige feil i regnskapet etter at revisjonen er fullført.
Behovet for oppdatert ISA 315
Nåværende versjon av standarden er fra 2012. IAASB har i flere år vært kjent med behov for forbedringer for å gjøre standarden mer forståelig og legge til rette for mer konsistent anvendelse. Det har også vært vanskelig å anvende kravene til opparbeidelse av forståelse av den interne kontrollen.
Digitaliseringen de siste årene har også gitt etterspørsel fra revisorer etter større klarhet med hensyn til å sikre at innovativ bruk av dataverktøy og mer intensiv bruk av analytiske metoder blir ansett for å være i samsvar med krav i revisjonsstandarder.
Digitaliseringen de siste årene har også gitt etterspørsel fra revisorer etter større klarhet med hensyn til å sikre at innovativ bruk av dataverktøy og mer intensiv bruk av analytiske metoder blir ansett for å være i samsvar med krav i revisjonsstandarder. Formålet med oppdateringen av standarden er mer konsistente risikovurderinger og bedre revisjonskvalitet, samt å fremme sterkere og konsistent utøvelse av profesjonell skepsis.
Nye krav
I tillegg til at revisor gjennom revisjon har en forebyggende virkning, er revisors jobb å synliggjøre og rapportere om eventuelle vesentlige feil i regnskapet. Den nye ISA 315 tydeliggjør at revisor skal utforme og utføre prosedyrer for risikovurdering (risikovurderingshandlinger) på en måte som er objektiv og rettet både mot innhenting av både revisjonsbevis som kan være til støtte for ledelsens regnskapspåstander og revisjonsbevis som viser det motsatte. Revisor må også forbedre og utarbeide mer tydelig dokumentasjon av hvordan det er utøvd profesjonell skepsis ved anvendelse av ny ISA 315, som gir mer veiledning om innhenting og vurdering av bevis i risikovurderingsarbeidet.
Den nye ISA 315 tydeliggjør at revisor skal utforme og utføre prosedyrer for risikovurdering (risikovurderingshandlinger) på en måte som er objektiv og rettet både mot innhenting av både revisjonsbevis som kan være til støtte for ledelsens regnskapspåstander og revisjonsbevis som viser det motsatte.
Ny standard har mer tydelige krav til at revisor må dokumentere sin forståelse av enheten, regnskapsreglene og enhetens interne kontroll. Revisor må dokumentere forståelse av hver komponent av enhetens interne kontroll, men virksomhetens størrelse og kompleksitet mv. og hvorvidt revisor ser det som aktuelt å teste kontroller har fortsatt betydning for hvor omfattende og detaljert forståelse revisor må dokumentere.
Det legges stor vekt på at revisor skal forstå hva den reviderte enheten driver på med og hvordan aktiviteten er skrudd sammen og fungerer, både i juridisk, organisatorisk, økonomisk og praktisk forstand. For næringsvirksomhet vil det si forståelse av forretningsmodell, mens i offentlig sektor vil det si forvaltningsområde, type vedtak og grunnlag, prosesser og systemer for dette, kontraktsoppfølging overfor eksterne tjenesteleverandører, og tjenesteproduksjon. Revisor må forstå hvordan IT er integrert i virksomhetens forretningsmodell, og vurdere betydningen av generelle IT-kontroller for risiko for vesentlige feil i regnskapet. Standardens del med veiledning og utfyllende forklaringer viser også at revisor selv kan benytte digitale verktøy og teknikker i stor grad for å innhente og generere revisjonsbevis og gjøre vurderinger.
Det legges stor vekt på at revisor skal forstå hva den reviderte enheten driver på med og hvordan aktiviteten er skrudd sammen og fungerer, både i juridisk, organisatorisk, økonomisk og praktisk forstand.
Definisjonen av hva som er særskilt risiko er forbedret, og det er presisert at dette er iboende risikoforhold hvor kombinasjonen av sannsynligheten for at en feilinformasjon oppstår og potensiell konsekvens, det vil si størrelsen på potensiell feil, som avgjør dette.
Ny ISA 315 stiller krav om separat vurdering av iboende risiko og kontrollrisiko. Separat vurdering betyr at revisor må vurdere risiko for vesentlige feil i regnskapet og risiko for lovbrudd mv. under forutsetning om at det ikke er etablert og gjennomført effektiv intern kontroll hos den reviderte enhet. Revisor må deretter vurdere om internkontrollen er hensiktsmessig og ta stilling til kontrollrisiko, før det avgjøres om det skal gjennomføres test av kontroller. Det klargjøres at risikoen for vesentlig feil er lik den iboende risikoen dersom revisor ikke gjennomfører test av kontroller. Revisor må innrette metodikk og dokumentasjon slik at det blir tydelig at det er gjort separat vurdering av iboende risiko og kontrollrisiko.
Den nye standarden har fem faktorer som skal være et hjelpemiddel for revisor ved identifisering og vurdering av iboende risiko vedrørende informasjonselementer og regnskapspåstander. Disse faktorene er subjektivitet, kompleksitet, usikkerhet, endring, samt tilbøyelighet til å rapportere feilinformasjon på grunn av manglende objektivitet hos ledelsen (management bias) eller misligheter.
I ny standard innføres et krav om å ta et overblikk og gjøre en helhetsvurdering når risikovurderingshandlinger er gjennomført.
I ny standard innføres et krav om å ta et overblikk og gjøre en helhetsvurdering når risikovurderingshandlinger er gjennomført. Hensikten er å vurdere om gjennomførte handlinger har gitt tilstrekkelig grunnlag for identifisering og vurdering av risikoen for vesentlig feilinformasjon. Herunder skal revisor ta i betraktning alle bevis innhentet så langt i revisjonsarbeidet, enten de understøtter ledelsens påstander eller indikerer feil.
Strukturen i nye ISA 315
Grunnstrukturen er som før, men det er gjort betydelig redaksjonelle endringer i standarden. De fleste definisjoner er samlet for seg, slik at det oppnås større konsistens i forståelse og anvendelse av konsepter og begrep. Som før, og som i øvrige standarder, utdypes krav i egen veilednings- og anvendelsesdel. I tillegg har ny ISA 315 fått 6 appendikser som gir nærmere forklaring og veiledning. Her gjengis engelsk tittel på hvert appendiks:
- Considerations for Understanding the Entity and its Business Model
- Understanding Inherent Risk Factors
- Understanding the Entity’s System of Internal Control
- Considerations for Understanding an Entity’s Internal Audit Function
- Considerations for Understanding Information Technology (IT)
- Considerations for Understanding General IT Controls
Forberedelser frem mot 2022
Den nye versjonen av ISA 315 gjelder for revisjoner av regnskap for perioder som begynner 15. desember 2021 eller senere. Norsk oversettelse kommer innen standarden må tas i bruk. Det kan være en fordel at det er god tid til å sette seg inn i og forberede seg på ny standard, fordi noen revisorer må trolig gjøre endringer i metodikk og praksis, herunder hva som dokumenteres og hvordan med hensyn til opparbeidelse av forståelse av revidert enhet, regnskapsreglene for enheten og enhetens interne kontroll.
Det kan være en fordel at det er god tid til å sette seg inn i og forberede seg på ny standard, fordi noen revisorer må trolig gjøre endringer i metodikk og praksis, …
Forståelse av intern kontroll innebærer også å dokumentere forståelse for hver komponent i den interne kontrollen i samsvar med COSO-rammeverket, som er integrert i standarden, herunder forståelse av enhetens IT-ressurser, bruk av IT og generelle IT-kontroller som er relevante på økonomi- og regnskapsområdet, og hvordan IT er integrert i virksomhetsutøvelsen (forretningsmodell). Den dokumenterte forståelsen skal ligge til grunn for revisors vurderinger av iboende risiko og kontrollrisiko hver for seg, på regnskapsnivå og på påstandsnivå.
Der revisor anvender digitale verktøy, må revisor kunne vise at datakvaliteten som ligger til grunn for vurderinger og konklusjoner om iboende risiko og kontrollrisiko er tilstrekkelig, noe som forutsetter evne til å sette seg inn i og forstå aktuelle data, samt reviderts enhet bruk av IT og enhetens generelle IT-kontroller.
Kravene kan virke omfattende, men standarden presiserer at måten kravene skal oppfylles på kan tilpasses klientens og oppdragets størrelse og kompleksitet. Det kan være hensiktsmessig å starte tidlig med en gjennomgang av egen metodikk og praksis for å identifisere hva som må gjøres på annen måte fra 2022.
[+] Lenke til ny standard: https://www.iaasb.org/publications/isa-315-revised-2019-identifying-and-assessing-risks-material-misstatement
[*] Artikkelen bygger på et foredrag holdt for Midt-Norge Kommunerevisorforening i februar 2020.
__________________________________
Lenke til Kommunerevisoren nr. 4/2020: