logoRevisjon og Regnskap

Logg på for å laste ned PDF
Revisjon

Nye revisjonsstandarder for risikovurdering og -håndtering

Det er vedtatt tre nye revisjonsstandarder med virkning fra 2006, men tidligere implementering er tillatt. Artikkelen tar for seg innholdet i de nye standardene med vekt på hvordan de praktisk påvirker revisjonsprosessen. De nye standardene stiller enkelte nye krav til praktiserende revisorer og presiserer og tydeliggjør en rekke krav som finnes i eksisterende standarder.

Statsautorisert Revisor

Terje Tvedt

Ernst & Young

1. Innledning

Følgende revisjonsstandarder har vært på høring høsten 2004 og forventes vedtatt av styret i Den norske Revisorforening (DnR) i nær fremtid:

RS 315 Forståelse av foretaket og dets omgivelser og vurdering av risikoene for vesentlig feilinformasjon

RS 330 Revisjonshandlinger for å håndtere anslåtte risikoer

RS 500 Revisjonsbevis

I det etterfølgende benyttes begrepet «risikostandardene» som en fellesbetegnelse for ovennevnte standarder. De to første standardene er nye og erstatter tidligere RS 310 Kunnskap om foretakets virksomhet, RS 400 Risikovurdering og intern kontroll og RS 401 Revisjon i IT-miljø. RS 500 Revisjonsbevis er en oppdatering av eksisterende revisjonsstandard.

Risikostandardene knytter standardverket tettere opp til gjennomføringen av revisjonsprosessen ved at RS 330 beskriver hvordan revisor går frem for å vurdere risikoer for vesentlig feilinformasjon og definere et anslag for risikonivåene - anslåtte risikoer. RS 330 gir veiledning med hensyn til hvordan revisor håndterer de anslåtte risikoene ved test av kontroller og substanskontroller og derigjennom reduserer den endelige revisjonsriskoen til et akseptabelt lavt nivå.

Forståelse av foretaket i henhold til RS 315 inkluderer forståelse av foretakets interne kontroll. Risikostandardene referer imidlertid i liten grad til modellen for fastsettelse av revisjonsrisiko slik den er beskrevet i RS 400. Revisjonsrisiko er ifølge denne modellen produktet av følgende risikoer:

Denne modellen er imidlertid beskrevet i RS 200 Formål og grunnleggende prinsipper for revisjon av regnskaper og ligger til grunn for risikostandardene. Det reelle innholdet i risikostandardene bygger da også på denne modellen.

De nye revisjonsstandardene og sammenhengen mellom dem kan illustreres som vist på neste side.

Iboende risiko

Kontrollrisiko

Oppdagelsesrisiko

(risikoen for at det blir vesentlig feil i regnskapet før det tas hensyn til foretakets interne kontroll)

(risikoen for at foretakets interne kontroll ikke forhindrer eller avdekker og korrigerer vesentlige feil)

(risikoen for at revisor ikke avdekker vesentlig feilinformasjon ved sine substanskontroller)

Den videre beskrivelsen av risikostandardene vil følge følgende inndeling:

  • Forståelse av foretaket og vurdering av risiko etter RS 315

    • Risikovurderingshandlinger

    • Forståelse av foretaket - hva må revisor forstå

      • Interne og eksterne forhold

      • Intern kontroll

    • Risikovurderingen

      • Nye begreper og konsepter

  • Handlinger for å håndtere risiko etter RS 330

    • Risikohåndtering på to nivåer

    • Test av kontroller

    • Substanskontroller

    • Vurdering og revurdering av risiko

  • Revisjonsbevis - RS 500

  • Dokumentasjons- og rapporteringskrav i de nye standardene

  • Oppsummering

5.1 Dokumentasjonskrav

Risikostandardene angir relativt detaljerte dokumentasjonskrav. Følgende kreves dokumentert:

  • Teamets diskusjoner om risikoen for misligheter og feil, herunder:

    • Når og hvordan diskusjonene fant sted

    • Hvem som deltok

    • Konklusjoner

  • Forståelsen av virksomheten, omgivelsene og komponentene av den interne kontrollen

  • Identifisert og anslått risiko på regnskapsnivå og regnskapspåstandsnivå

  • Identifiserte «særskilte risikoer» og risikoer som ikke kan håndteres utelukkende ved substanskontroller og evaluerte kontroller relatert til disse risikoene

  • Dokumentasjon av hvordan risikoen på regnskapsnivå er håndtert

  • Dokumentasjon av håndtering av risiko på regnskapspåstandsnivå skal inkludere:

    • Type, tidspunkt og omfang av revisjonshandlinger

    • Linken mellom disse revisjonshandlingene og risikovurderingene på regnskapspåstandsnivå

    • Resultatene av gjennomførte revisjonshandlinger

    • Hvis aktuelt, resultatet av systemkontroller i tidligere perioder

5.2 Krav til rapportering til styret og ledelsen

Det følger av RS 315 at vesentlige svakheter i utforming eller implementering av intern kontroll skal rapporteres så snart det er praktisk mulig og til det rette ansvarsnivået i foretaket. Vurderingene og forholdet til hva som er vesentlig, er basert på de samme kriterier som har vært og er vanlig i forbindelse med revisjon. Både revisorloven § 5-2 og RS 260 er relevante i den forbindelse. Vesentlige svakheter i den interne kontrollen identifiseres ikke bare når revisor vurderer utformingen eller kontrollerer implementeringen. Avvik som avdekkes ved test av kontroller, og feil som avdekkes ved substanskontroller, kan også skyldes vesentlige mangler i foretakets interne kontroll. Kravet til å rapportere på dette området må derfor også vurderes når manglene identifiseres på et senere tidspunkt i revisjonsprosessen.