Nye revisjonsstandarder for risikovurdering og -håndtering
Det er vedtatt tre nye revisjonsstandarder med virkning fra 2006, men tidligere implementering er tillatt. Artikkelen tar for seg innholdet i de nye standardene med vekt på hvordan de praktisk påvirker revisjonsprosessen. De nye standardene stiller enkelte nye krav til praktiserende revisorer og presiserer og tydeliggjør en rekke krav som finnes i eksisterende standarder.

Statsautorisert Revisor
Ernst & Young
1. Innledning
Følgende revisjonsstandarder har vært på høring høsten 2004 og forventes vedtatt av styret i Den norske Revisorforening (DnR) i nær fremtid:
RS 315 Forståelse av foretaket og dets omgivelser og vurdering av risikoene for vesentlig feilinformasjon
RS 330 Revisjonshandlinger for å håndtere anslåtte risikoer
RS 500 Revisjonsbevis
I det etterfølgende benyttes begrepet «risikostandardene» som en fellesbetegnelse for ovennevnte standarder. De to første standardene er nye og erstatter tidligere RS 310 Kunnskap om foretakets virksomhet, RS 400 Risikovurdering og intern kontroll og RS 401 Revisjon i IT-miljø. RS 500 Revisjonsbevis er en oppdatering av eksisterende revisjonsstandard.
Risikostandardene knytter standardverket tettere opp til gjennomføringen av revisjonsprosessen ved at RS 330 beskriver hvordan revisor går frem for å vurdere risikoer for vesentlig feilinformasjon og definere et anslag for risikonivåene - anslåtte risikoer. RS 330 gir veiledning med hensyn til hvordan revisor håndterer de anslåtte risikoene ved test av kontroller og substanskontroller og derigjennom reduserer den endelige revisjonsriskoen til et akseptabelt lavt nivå.
Forståelse av foretaket i henhold til RS 315 inkluderer forståelse av foretakets interne kontroll. Risikostandardene referer imidlertid i liten grad til modellen for fastsettelse av revisjonsrisiko slik den er beskrevet i RS 400. Revisjonsrisiko er ifølge denne modellen produktet av følgende risikoer:
Denne modellen er imidlertid beskrevet i RS 200 Formål og grunnleggende prinsipper for revisjon av regnskaper og ligger til grunn for risikostandardene. Det reelle innholdet i risikostandardene bygger da også på denne modellen.
De nye revisjonsstandardene og sammenhengen mellom dem kan illustreres som vist på neste side.
Iboende risiko |
Kontrollrisiko |
Oppdagelsesrisiko |
(risikoen for at det blir vesentlig feil i regnskapet før det tas hensyn til foretakets interne kontroll) |
(risikoen for at foretakets interne kontroll ikke forhindrer eller avdekker og korrigerer vesentlige feil) |
(risikoen for at revisor ikke avdekker vesentlig feilinformasjon ved sine substanskontroller) |
Den videre beskrivelsen av risikostandardene vil følge følgende inndeling:
-
Forståelse av foretaket og vurdering av risiko etter RS 315
Risikovurderingshandlinger
-
Forståelse av foretaket - hva må revisor forstå
Interne og eksterne forhold
Intern kontroll
-
Risikovurderingen
Nye begreper og konsepter
-
Handlinger for å håndtere risiko etter RS 330
Risikohåndtering på to nivåer
Test av kontroller
Substanskontroller
Vurdering og revurdering av risiko
Revisjonsbevis - RS 500
Dokumentasjons- og rapporteringskrav i de nye standardene
Oppsummering
5.1 Dokumentasjonskrav
Risikostandardene angir relativt detaljerte dokumentasjonskrav. Følgende kreves dokumentert:
-
Teamets diskusjoner om risikoen for misligheter og feil, herunder:
Når og hvordan diskusjonene fant sted
Hvem som deltok
Konklusjoner
Forståelsen av virksomheten, omgivelsene og komponentene av den interne kontrollen
Identifisert og anslått risiko på regnskapsnivå og regnskapspåstandsnivå
Identifiserte «særskilte risikoer» og risikoer som ikke kan håndteres utelukkende ved substanskontroller og evaluerte kontroller relatert til disse risikoene
Dokumentasjon av hvordan risikoen på regnskapsnivå er håndtert
-
Dokumentasjon av håndtering av risiko på regnskapspåstandsnivå skal inkludere:
Type, tidspunkt og omfang av revisjonshandlinger
Linken mellom disse revisjonshandlingene og risikovurderingene på regnskapspåstandsnivå
Resultatene av gjennomførte revisjonshandlinger
Hvis aktuelt, resultatet av systemkontroller i tidligere perioder
5.2 Krav til rapportering til styret og ledelsen
Det følger av RS 315 at vesentlige svakheter i utforming eller implementering av intern kontroll skal rapporteres så snart det er praktisk mulig og til det rette ansvarsnivået i foretaket. Vurderingene og forholdet til hva som er vesentlig, er basert på de samme kriterier som har vært og er vanlig i forbindelse med revisjon. Både revisorloven § 5-2 og RS 260 er relevante i den forbindelse. Vesentlige svakheter i den interne kontrollen identifiseres ikke bare når revisor vurderer utformingen eller kontrollerer implementeringen. Avvik som avdekkes ved test av kontroller, og feil som avdekkes ved substanskontroller, kan også skyldes vesentlige mangler i foretakets interne kontroll. Kravet til å rapportere på dette området må derfor også vurderes når manglene identifiseres på et senere tidspunkt i revisjonsprosessen.