Revisors attestasjoner
Revisor blir ofte bedt om å attestere andre regnskaper og annen informasjon enn den rent regnskapsmessige – ofte noe som ikke er mulig å attestere. Da risikerer vi å ende opp med uttalelser uten substans. Det bidrar neppe til relevans for våre kunder og brukere av våre uttalelser.
Statsautorisert revisor
Partner BDO
Revisjon har som formål å attestere at et regnskap ikke inneholder vesentlig feilinformasjon. Revisors uttalelse om regnskapet, revisjonsberetningen, skal gi regnskapsbrukerne økt tillit til at regnskapet er et egnet beslutningsgrunnlag. Revisjon av årsregnskapet er lovfestet for alle selskaper av noen størrelse.
Å attestere det umulige
Det kan av og til fremstå som om enkelte tror revisor er forvalter av evige sannheter. Et eksempel kan illustrere dette. En kommune søkte om lån. Lånet ble innvilget, men långiver ba om å få kopi av et sentralt vedtak knyttet til tiltaket som skulle finansieres. Kommunen svarte at dette vedtaket lå så langt tilbake i tid at det ikke lenger fantes slik dokumentasjon. Långiver svarte at det var forståelig, men at de da ønsket at revisor skulle bekrefte at vedtaket var gyldig. Revisor forklarte at når det ikke foreligger dokumentasjon, kan revisor bekrefte like lite som långiver selv.
I dette tilfellet ble det akseptert, og det skulle da også bare mangle. Vi ser imidlertid at andre instanser i andre tilfeller avfeier innvendinger som er helt åpenbare med at «det er bestemt at det skal være slik» e.l. Utfordringen blir naturligvis enda større når dette ikke er helt åpenbart for enhver opplyst part, men fortsatt åpenbart fra et revisjonsfaglig ståsted.
Vi kan ikke nødvendigvis forvente at en part som etterspør attestasjoner fra revisor har fagkompetanse, men det burde vel være lov å forvente at man lyttet til helt betimelige faglige innvendinger mot forespørselen? Fra revisors ståsted kan det fortone seg frustrerende og respektløst når påpekte mangler bare avfeies. Det kan sammenlignes med å nekte å akseptere en leges utsagn om at en tilstand er uhelbredelig og påpeke at det er bestemt at tilstanden skal helbredes. Det er imidlertid viktig at revisor også er bevisst. Vi blir ofte møtt med at «en eller annen revisor», noen ganger «en eller annen i Revisorforeningen», har sagt at dette er riktig.
Fundamentet for profesjonen
Dette berører egentlig fundamentet for hele revisorprofesjonen. Vi ønsker å bidra til at beslutningsgrunnlag er egnede, enten det er regnskapsinformasjon eller annen informasjon som bekreftes. Vi ønsker å være relevante for brukere av våre revisjonsberetninger og øvrige uttalelser. Da er det selvfølgelig viktig å lytte til disse brukerne, hva de ønsker fra revisor og hvilke behov de har. «Vi må tørre å mene noe», har vært hevdet av enkelte revisorer. Men skal vi avgi erklæringer med våre subjektive oppfatninger, selge vår presumptive klokskap og vårt gode navn og rykte? Risikerer vi da å bli overbetalte synsere uten nevneverdig substans?
Setter oss under press
I en del tilfeller settes vi under et visst press. En tilskudds- eller långiver betaler ikke ut til vår kunde uten å få en signert erklæring. Vi gir etter og signerer motvillig på standarderklæringer, eller vi utformer en uttalelse vi anser vil gi oss minimalt med risiko. Når risikoen er eliminert, er kanskje problemet løst? Hvorfor skulle vi egentlig klage hvis vi ikke risikerer noe ved å signere og våre kunder er fornøyde? I mitt eksempel ovenfor kunne revisor bekreftet at kommunens vedtak var gyldig uten å risikere noe som helst. Når det ikke forelå noen dokumentasjon, ville det være umulig å konstatere at en slik bekreftelse var uriktig. Bekreftelsen ville imidlertid være fullstendig meningsløs.
Det er dessverre slik at det avgis en del uttalelser fra revisor i denne kategorien. Igjen ender vi opp med en uttalelse uten substans. Det er neppe noe som bidrar til relevans for våre kunder og brukere av våre uttalelser.
Med dette som bakteppe vil jeg i det etterfølgende ta for meg noen viktige prinsipper i standardverket og forklare hvilke problemer dette medfører i praksis. Jeg vil belyse dette med eksempler. Formålet er ikke å gi en uttømmende beskrivelse av kravene og prinsippene i de aktuelle standardene, men å fokusere på de praktiske konsekvensene og de mer konseptuelle og prinsipielle sidene ved attestasjonsoppdrag.
Standardverket
The International Auditing and Assurance Standards Board (IAASB) har strukturert sitt standardverk i to hovedområder – attestasjonstjenester og beslektede tjenester. Attestasjonstjenestene er igjen delt inn i attestasjon av historisk finansiell informasjon (regnskaper) og attestasjon av andre saksforhold. Attestasjon av regnskaper er i sin tur delt opp i revisjon og forenklet revisorkontroll. I tillegg til standarder i kategoriene revisjon, forenklet revisorkontroll og attestasjon, har IAASB utgitt et rammeverk for attestasjonstjenester som beskriver de grunnleggende prinsippene ved en attestasjon. I tillegg er det utgitt standarder for beslektede tjenester, nærmere bestemt for Compilation (revisorutarbeidelse av regnskaper) og avtalte kontrollhandlinger.
Standarden, og konseptet, revisorutarbeidelse av regnskaper, brukes ikke i Norge, slik at vi i praksis bare har én standard for beslektede tjenester. Dette er ikke en attestasjonsstandard selv om revisorattestasjon ofte, noe upresist, benyttes som betegnelse også på disse rapportene. Jeg vil også knytte noen kommentarer til denne standarden i det etterfølgende.
Oversikten over standardverket er illustrert i figuren nedenfor:
Rammeverket for attestasjonstjenester
Rammeverket for attestasjonstjenester er ikke en standard og vies nokså lite oppmerksomhet. Det er synd. Rammeverket beskriver nemlig de fundamentale konseptene for attestasjonsuttalelser eller hva en profesjonell revisor bør og ikke bør gi slike uttalelser om.
Et attestasjonsoppdrag kjennetegnes av følgende:
Tre parter, en ansvarlig part, en tiltenkt bruker og en revisor
Påstand om et saksforhold fra den ansvarlige parten
Revisors vurdering av hvorvidt påstanden om saksforholdet er i samsvar med identifiserte kriterier
Skriftlig uttalelse fra revisor om revisors konklusjon med høy eller moderat sikkerhet
Følgende figur kan illustrere dette:
Trepartsforholdet
Trepartsforholdet er et kjernepunkt i ethvert attestasjonsoppdrag. Det må være mulig å identifisere hvem som er den ansvarlige parten, dvs. hvem som avgir informasjon om noe (saksforholdet) og har ansvaret for at denne informasjonen er et egnet beslutningsgrunnlag. Tiltenkte brukere er den eller de som skal treffe beslutninger basert på informasjonen. Revisors oppgave er å styrke beslutningsgrunnlagets troverdighet. Det er også viktig at denne rollefordelingen er forstått og akseptert av de involverte partene.
Skyver ansvaret over på revisor
Vi ser i noen tilfeller at partene forsøker å skyve sitt ansvar over på revisor. Mange har opplevd at den ansvarlige parten viser til at dette er «revisorgodkjent» og dermed ikke kan holdes ansvarlig for feil. Men også brukere av attestert informasjon forsøker tidvis å skyve ansvaret over på revisor. Igjen kan et eksempel fra en bank illustrere.
Eksempel
Et selskap skiftet bankforbindelse og fornyet da sine låneavtaler. Selskapets eiendommer ble stilt som sikkerhet for disse lånene, og fra bankens side var det da naturligvis viktig å vurdere om denne sikkerheten var tilfredsstillende.
I tillegg til å innhente relevante takster anmodet banken om en bekreftelse fra revisor. Ikke på om informasjonen som var mottatt, var i samsvar med oppsatte kriterier, men om sikkerheten for lånene var betryggende. På denne måten ba man om en direkte bekreftelse på at den konklusjonen banken skulle trekke var riktig, ikke om beslutningsgrunnlaget var troverdig. Det kan nesten sammenlignes med å be revisor gi investeringsanbefaling eller -instruks i revisjonsberetningen. Ansvaret for beslutningen forsøkes flyttet fra brukeren til revisor.
Påstand om saksforholdet
En attestasjon fra revisor knytter seg alltid til et saksforhold og en påstand om at informasjonen om dette saksforholdet er i samsvar med fastsatte kriterier. Det nærmeste eksemplet på hva et saksforhold kan være, er historiske, finansielle resultater og finansiell stilling. Informasjonen om dette gis i årsregnskapet og annen finansiell rapportering, f.eks. prosjektregnskaper til bevilgende instanser. Rammeverket gir følgende eksempler på hvilke andre saksforhold en attestasjon kan knyttes til:
Ikke-økonomiske resultater/prestasjoner
Fysiske karakteristika
Systemer og prosesser (for eksempel interne kontrolltiltak)
Adferd (for eksempel styringsadferd, overholdelse av regelverk, personalbehandling)
Påstanden om saksforholdet kan gis eksplisitt eller implisitt. Ved avleggelse av årsregnskapet gir styret og daglig leder eksplisitt uttrykk for at regnskapet er avgitt i samsvar med det aktuelle rammeverket for finansiell rapportering, GRS eller IFRS. I revisjonsberetningen konkluderer revisor også på hvorvidt ledelsen har overholdt bokføringsreglene. Styret og daglig leder gir ingen uttalelse om dette, men det ligger i sakens natur, eller implisitt, at ledelsen påstår at de har overholdt dette regelverket. Rammeverket omtaler dette som henholdsvis påstandsbaserte og direkte attestasjonsoppdrag.
Egnede kriterier
Rammeverket angir at en attestasjonsuttalelse alltid skal knyttes opp mot egnede kriterier. Rammeverket angir videre at kriteriene må ha følgende egenskaper for å være egnede:
Relevans (bidra de til konklusjonene som er nyttige for brukerne)
Fullstendighet (relevante forhold er ikke holdt utenfor, herunder kriterier knyttet til presentasjon og innhold)
Pålitelighet (tillater konsistente målinger)
Nøytralitet (bidrar til objektiv konklusjon)
Forståelighet (bidrar til konklusjoner som tolkes likt av ulike personer)
Skjønnsutøvelse
Rammeverket slår videre uttrykkelig fast at rene skjønnsmessige betraktninger ikke kan være et egnet kriterium. Revisor skal med andre ord ikke «synse» om forhold som hensiktsmessighet, klokskap eller fornuft i en attestasjonsuttalelse. Dette betyr imidlertid ikke at kriteriene skal være rent tekniske og uten krav til skjønnsanvendelse. Skjønnsutøvelsen må imidlertid skje innenfor noen definerte rammer slik vi bl.a. kjenner det fra regnskapsstandardene.
Kriteriene kan være allment kjente, offentlig tilgjengelige eller internt utviklede for det aktuelle attestasjonsoppdraget. For å kunne gi tiltenkte brukere meningsfylt informasjon, er det imidlertid et ufravikelig krav at kriteriene er tilgjengelige for brukerne av attestasjonsuttalelsen. Man kan ikke avgi en attestasjonsuttalelse basert på spesifikke, interne kriterier uten at disse kriteriene fremgår enten av informasjonen fra den ansvarlige parten eller i revisors attestasjonsuttalelse.
Som jeg allerede har vært inne på, finnes det mange eksempler på situasjoner der det etterspørres eller kreves attestasjoner der kriteriene er alt annet enn «egnede» etter rammeverket. Eksemplet nedenfor kan illustrere dette. EU har krevd følgende attestasjonsuttalelse (utdrag) knyttet til administrasjon og rapportering knyttet til oppfølging av et EU-finansiert område:
«I, undersigned, [name, title], acting as the legally authorised representative of the Independent Audit Body [NAME OF THE INDEPENDENT AUDIT BODY] as designated by the National Authority12 on [DD/MM/YY], declare that in my opinion:
with regard to the funds for grant support under the Programme:
(1) the accounts of the National Agency as reflected in the 2014 Yearly NA Report dated [DD/MM/YY] give a true and fair view of the activities carried out in the programme. They are the product of a reliable accounting system and are based on verifiable supporting documents.
(2) the internal control system put in place by the National Agency complies with its contractual provisions, functions properly and gives the necessary guarantees for
(a) the legality and regularity of the underlying transactions,
(b) safeguarding of assets and information and
(c) prevention, detection, correction and investigation and follow-up of fraud and irregularities.
(3) the underlying transactions are legal and regular. They comply with the applicable EU rules and contractual provisions. The expenditure declared is eligible for EU funding and in accordance with the principle of sound financial management.»
Markeringene i bold er mine.
Mener, tror og håper
Mye kan sies om dette. Det første er at man her tilsynelatende skal attestere tre saksforhold – regnskapet, internkontrollen og de underliggende transaksjonene. Det siste er imidlertid noe søkt. Hvis transaksjonene er ulovlige eller ugyldige, vil revisor neppe konkludere positivt på regnskapet. Reelt sett er det da to saksforhold som skal attesteres. Vi ser også i andre sammenhenger at mottakere av revisjonsberetningen tror, mener, håper eller ønsker at en attestasjon av et regnskap også betyr at internkontrollen er god.
Et uegnet kriterium
Ser vi så på kriteriene, skal vi bekrefte at det, fritt oversatt, gir et «rettvisende bilde av gjennomførte aktiviteter». Et regnskap har sjelden som formål å beskrive aktiviteter. I rettferdighetens navn har man også fra EUs side endret akkurat dette i ettertid. Vi kjenner imidlertid fra ISA 700 Konklusjon og rapportering om regnskaper, at man alltid skal henvise til et rammeverk for finansiell rapportering i konklusjonen i revisjonsberetningen. Dersom dette rammeverket har til formål å gi et rettvisende bilde (True and Fair Framework), skal man også konkludere med det i revisjonsberetningen. I motsatt fall, skal man ikke bruke et uttrykk som rettvisende bilde/true and fair view i en revisjonsberetning. Dette er dermed ikke bare et uegnet kriterium etter rammeverket, men direkte i strid med ISA 700. Mer om revisjonsberetninger spesielt nedenfor.
Ikke bare om regnskapet
Uttalelsen om regnskapet er imidlertid ikke begrenset til regnskapet. Revisor skal også attestere på at «regnskapssystemet er pålitelig». Dette er forsvinnende lite meningsfylt. Ved siden av at dette er en fullt ut subjektiv vurdering – hva er «regnskapssystemet»? og hva er «pålitelig»? – kan man også her hevde at hvis revisor har kunnet revidere regnskapet, er systemet tilstrekkelig «pålitelig»? I så fall er ikke bare utsagnet meningsløst, det er også overflødig. Denne konklusjonen kan vanskelig ha noen som helst verdi for mottaker utover å kunne huke av i en sjekkliste at attestasjonen er avgitt og legge ansvaret på revisor dersom det skulle vise seg å være feilinformasjon i rapporteringen i ettertid.
Verre blir det
Konklusjonen knyttet til intern kontroll er om mulig enda verre. Her skal internkontrollen gi «nødvendig garanti», senere endret til «rimelig garanti». Konseptet med å «gradere» en garanti er i beste fall interessant. Hva ville vi si hvis en leietaker stilte en «rimelig bankgaranti»? En annen sak er jo at det er et kjent faktum at den interne kontrollen aldri kan være en «garanti». Det kan dermed konstateres at det eneste man med sikkerhet kan si om denne konklusjonen, er at den er positivt feil.
Det er jo også knapt grenser for hva denne nødvendige eller rimelige garantien skal omfatte. Uten å ironisere for mye, må det være lov å spørre om behovet for en eksplisitt attestasjon av lovlige og gyldige transaksjoner når dette allerede er «garantert» av internkontrollen.
Hverken nøytralt, forståelig eller pålitelig
Når det gjelder kriteriet for den siste uttalelsen i beretningen, er det bl.a. «sound financial management». På norsk ville vi vel si «god økonomistyring» e.l. Igjen har man satt opp et kriterium som hverken er nøytralt, forståelig eller pålitelig. Igjen må det være lov å spørre om hva som er verdien av en slik uttalelse for mottaker. Vil man underkjenne et regnskap som i utgangspunktet er i skjønneste orden fordi det etter revisors subjektive oppfatning har vært mangler ved økonomistyringen?
EU gir seg ikke
Jeg tillater meg også å dele noen erfaringer fra kommunikasjonen omkring dette. Jeg aksepterte i utgangspunktet ikke å signere denne beretningen og utarbeidet et alternativ jeg mente var innenfor standardverket samtidig som den ivaretok formålet. Dette ble akseptert. Problemet oppstod imidlertid i år to da EU ikke lenger ville akseptere avvik fra deres mal. Et forsøk på å innhente synspunkter internasjonalt, både innenfor og utenfor eget firma, resulterte i klare tilbakemeldinger på at EU ikke lar seg påvirke av argumentasjon. Det var bare å signere. Jeg utarbeidet imidlertid et oversendelsesbrev der jeg med all mulig tydelighet redegjorde for at beretningen var en mal, og at min signatur på ingen måte måtte tolkes som at jeg stod ved innholdet i beretningen, og at den inneholdt en rekke faktiske og faglige feil som jeg har beskrevet ovenfor. Jeg var bevisst provoserende i formen og anbefalte at det ble engasjert ekstern kompetanse til å rette opp feilene. Jeg hørte ingenting. Det gjør meg litt desillusjonert og litt trist.
Konkretiser
En måte å løse problemene med uegnede kriterier på, er å konkretisere hva man har lagt i de kriteriene som i utgangspunktet er fullt ut subjektive. Det er eksempelvis vanskelig å bekrefte at internkontrollen er «tilfredsstillende» e.l. Det man imidlertid kan gjøre, er å angi nærmere hva som kreves for at internkontrollen kan vurderes som tilfredsstillende. Et eksempel kan være at internkontrollen kan anses som tilfredsstillende dersom det er etablert arbeidsdeling mellom kritiske funksjoner, dobbelgodkjennelse av fakturaer i form at attestasjon og anvisning og krav til å benytte standardiserte IT-løsninger. I konklusjonen i en attestasjonsuttalelse kan revisor da skrive:
«Etter vår mening er internkontrollen tilfredsstillende ved at det er etablert arbeidsdeling mellom kritiske funksjoner, dobbelgodkjennelse av fakturaer i form at attestasjon og anvisning og krav til å benytte standardiserte IT-løsninger.»
Rapportering med høy eller moderat sikkerhet
Rammeverket for attestasjonstjenester angir at en konklusjon på et attestasjonsoppdrag kan avgis med høy eller moderat sikkerhet. Dette er også slik vi kjenner det fra revisjon og forenklet revisorkontroll. Ved høy sikkerhet avgis en konklusjon i positiv form. Ved moderat sikkerhet avgis konklusjonen i negativ form ved at revisor sier at det ikke er avdekket forhold som gir grunn til å tro at informasjonen om saksforholdet ikke er i samsvar med de angitte kriteriene. Konklusjonen på et attestasjonsoppdrag gis i en skriftlig uttalelse fra revisor.
Etiske krav
De etiske kravene til revisor, herunder kravene til uavhengighet, skal følges for alle attestasjonsoppdrag. Revisorlovens regler gjelder for alle oppdrag som er regulert av loven. I andre tilfeller er IFACs etiske regler et naturlig utgangspunkt for vurderingene.
Hvor er vi i attestasjonsuniverset?
Jeg får ofte spørsmålet «hvilken standard skal jeg bruke?» For å kunne konkludere på dette, er det viktig å vurdere følgende:
-
Er oppdraget et revisjonsoppdrag?
Er det mulig å identifisere de tre partene?
Er saksforholdet tilstrekkelig klart og kan det gjennomføres en attestasjonsprosess?
Er kriteriene egnede?
Er det ikke et attestasjonsoppdrag, må vi avgjøre om det kan gjennomføres etter standarden for avtalte kontrollhandlinger eller om det er et rådgivningsoppdrag
-
Er det et attestasjonsoppdrag, må vi i neste omgang avgjøre om det er attestasjon av et regnskap
For høy sikkerhet må ISA’ene, inkludert ISA 800-serien der det er aktuelt, følges
For moderat sikkerhet kommer ISRE’ene til anvendelse
-
Er det attestasjon av annet enn regnskap, må attestasjonsstandardene følges:
Spesifikke ISAE’er og SA’er der det er aktuelt
ISAE 3000 for øvrige
Disse vurderingene kan oppsummeres slik:
Nærmere om revisjon og revisjonsberetninger
Den vanligste formen for attestasjon er revisjon av historisk, finansiell informasjon – revisjon av regnskaper. Regelverket og prinsippene for revisjon av årsregnskaper er velkjente og vil ikke bli beskrevet nærmere her. Vi blir imidlertid ofte bedt om å revidere andre regnskaper, ofte prosjektregnskaper som er finansiert av eksterne bidragsytere, offentlige eller private. Ofte vil da standardene i ISA 800-serien komme til anvendelse:
ISA 800 Særlige hensyn ved revisjon av regnskaper utarbeidet i samsvar med rammeverk med spesielle formål
ISA 805 Særlige hensyn ved revisjon av enkeltstående regnskapsoppstillinger og spesifikke elementer, kontoer eller poster i en regnskapsoppstilling
ISA 810 Uttalelser om sammenfattede regnskaper
Det er særlig ISA 800 og ISA 805 som er aktuelle her. ISA 800 gjelder for revisjon av regnskaper som ikke bruker et kjent og akseptert rammeverk for regnskapsavleggelsen. Regnskapet avlegges da ikke etter GRS eller IFRS, men etter et tilpasset rammeverk. Det kan være etter kontantprinsippet eller det kan være at man følger vurderingsregler og presentasjonsregler i GRS, men uten at man utarbeider noteopplysninger i samsvar med kravene. I disse tilfellene må man beskrive det rammeverket som benyttes i en prinsippnote dersom det ikke er beskrevet andre steder. I revisjonsberetningen vil man da vise til rammeverket beskrevet i prinsippnoten.
ISA 805 gjelder i de tilfellene hvor man avgir enkeltstående regnskapsoppstillinger eller uttrekk fra en virksomhets regnskap. Det typiske eksemplet er resultatoppstillinger for prosjektregnskap som rapporteres til en tilskuddsgiver.
Ikke frittstående standarder
Det er særlig to forhold det er viktig å være klar over når disse standardene kommer til anvendelse. Det første er at dette ikke er frittstående standarder. Det er supplementer som beskriver de «særlige hensynene» man må ta i disse situasjonene.
Selv om standardene beskriver konsekvensen for revisjonsberetningen, må også kravene i ISA 700, ISA 705 og ISA 706 gjelde når revisjonsberetningen skrives. På samme måte gjelder standardene om planlegging, risikovurdering, misligheter, nærstående parter osv. som for et hvilket som helst annet revisjonsoppdrag. Vi ser dessverre ofte eksempler på at revisor skriver at revisjonen er utført i henhold til ISA 805, og vi opplever at dette kreves fra tilskuddsgivere. En slik formulering er selvmotsigende da det jo er i strid med ISA 805 å skrive dette. Både ISA 800 og ISA 805 sier eksplisitt at de øvrige ISA’ene gjelder, og i eksemplene på revisjonsberetninger i standardene vises det til ISA’ene generelt.
Ikke gjensidig utelukkende
Det andre viktige forholdet er at ISA 800 og ISA 805 ikke er gjensidig utelukkende. Det er ikke slik at man må velge den ene eller den andre av standardene. I mange tilfeller, spesielt ved prosjektrevisjoner som beskrevet ovenfor, vil begge standardene være aktuelle. Det er da også sagt uttrykkelig i ISA 805 punkt 1 at også ISA 800 må følges dersom det er aktuelt. Å spørre om man skal bruke ISA 800 eller ISA 805 eller kreve at revisor må følge den ene eller den andre av dem ved revisjonen, skyldes derfor en misforståelse.
Man kan derfor bli lett nedstemt av å lese følgende i en tilsynsrapport fra Finanstilsynet etter tilsyn med en særattestasjon:
«Det følger av avtalen mellom organisasjonen og tilskuddsgiver at revisors attestasjon skal følge ISA 800 eller ISA 805. Revisor har benyttet ISA 800.»
At tilskuddsgiver ikke forstår ISA’ene er selvsagt leit. At Finanstilsynet heller ikke forstår ISA’ene, er kanskje mer enn bare leit. Men den manglende forståelsen er nok dessverre utbredt også blant praktiserende revisorer. Prinsippet er egentlig såre enkelt. All revisjon av regnskaper skal utføres i samsvar med ISA’ene, herunder ISA 700 om revisjonsberetningen. ISA 800 og ISA 805 kommer til anvendelse når vilkårene for det er til stede på samme måte som f.eks. ISA 530 kommer til anvendelse når og hvis revisor utfører stikkprøver. Man skal altså ikke «velge» den ene eller den andre, og man skal aldri vise til ISA 800 eller til ISA 805 i en revisjonsberetning. Når ISA 800 og ISA 805 er relevante, fremgår av tabellen nedenfor:
Fullstendig regnskap |
Del av et regnskap |
|
Kjent rammeverk for finansiell rapportering |
ISA, ikke aktuelt med standarder i 800-serien |
ISA + ISA 805 |
Rammeverk med spesielt formål for finansiell rapportering |
ISA + ISA 800 |
ISA + ISA 800 og ISA 805 |
Når dette er sagt, er det positivt at Finanstilsynet interesserer seg for dette. Tydelige signaler fra tilsynsmyndighetene kan bidra til mer forståelse for faglige argumenter i diskusjonen med tilskuddsgivere og andre brukere av revisjonsberetninger utover dem som avgis til de offisielle årsregnskapene. Men det er jo da en fordel at tilsynet skjønner når tilskuddsgiver har misforstått standardene, påpeker dette og ikke gjør samme feil selv.
Noen problemområder ved revisjonsberetninger
Vi ser i praksis at det forventes avgitt, eller avgis revisjonsberetninger, som ikke nødvendigvis har det faglige innholdet man kan forvente. En forekommende formulering er:
«Etter vår mening gir det medfølgende regnskapet et rettvisende bilde av selskapets finansielle stilling per balansedato, og av dets resultater for perioden avsluttet per denne datoen»
Jeg har tidligere kommentert kravene til bruk av «rettvisende bilde» i en revisjonsberetning, og kravet til å bruke dette når, men bare når, man også viser til et «True and Fair Framework». Kriteriene er også her problemet, revisor har tilsynelatende ingen oppfatning av hvilket rammeverk regnskapet er avlagt etter. En slik formulering har vært brukt både når det er beskrevet et rammeverk for finansiell rapportering som fraviker fra IFRS/GRS og når en slik beskrivelse ikke foreligger, hvilket i begge tilfeller betyr at man er i en situasjon der ISA 800 kommer til anvendelse. Det revisor faktisk gjør i dette tilfellet, er å gi et inntrykk av at det finnes et «rettvisende bilde» som er så fundamentalt at det «trumfer» enhver definert regnskapsskikk. Revisor kunne like gjerne skrevet:
«Etter vår mening er det medfølgende regnskapet riktig».
Mange brukere ville nok ønske seg en slik konklusjon, men de fleste med kompetanse på regnskap vet at det ikke finnes noe «riktig» regnskap. Noen «kloke hoder» løser dette ved ganske enkelt å fjerne «rettvisende bilde». De skriver:
«Etter vår mening gir det medfølgende regnskapet et uttrykk for selskapets finansielle stilling per balansedato, og av dets resultater for perioden avsluttet per denne datoen»
Her er det heller ingen referanse til noe rammeverk. En litt grundigere lesning og refleksjon over hva som faktisk sies, vil avsløre at det er tilnærmet ingen ting. Grunnen til at man setter opp et regnskap er jo nettopp at man ønsker å gi uttrykk for resultat og stilling. Revisor kunne her faktisk like gjerne skrevet:
«Etter vår mening er det medfølgende regnskapet et regnskap.»
Spørsmålet er jo ikke om regnskapet gir uttrykk for resultat og stilling, men hvorvidt dette uttrykket tilfredsstiller en definert, kvalitativ norm – egnede kriterier – for et slikt regnskap. Det beste med denne formuleringen er vel at den eliminerer det meste av risikoen for revisor hvis den tolkes bokstavelig.
Det finnes eksempler på hvordan revisjonsberetninger formuleres i både ISA 800 og ISA 805. Det anbefales å se på disse eksemplene når man skal utforme revisjonsberetninger som avviker fra våre ordinære revisjonsberetninger til offisielle årsregnskaper.
Revisjonens innhold
En annen kjent problemstilling ved revisjonsberetninger og -oppdrag er revisjonens innhold. De som etterspør revisorbekreftelse, de tiltenkte brukerne, har en tendens til å legge andre oppgaver enn revisjon av regnskapet inn i slike revisjonsoppdrag. Eksemplet på revisjonsberetning til EU beskrevet tidligere, er et ekstremt tilfelle av dette. Men vi ser også at dette legges i maler for rapportering til andre. Vi ser imidlertid også at selv om revisjonsberetningen i seg selv er i tråd med standarder og faglige prinsipper, publiseres det «retningslinjer», «veiledning» e.l. for revisjonen som ikke er i samsvar med det som rapporteres i revisjonsberetningen. Dette er typisk forhold som bl.a.:
Revisjonen har som formål å påse at internkontrollen er betryggende
Revisjonen skal påse og kontrollere at avtalevilkår er overholdt
Revisjonen skal påse at midler er benyttet i tråd med prosjektets formål
Dette kan være forhold som ikke bare er utenfor det som omfattes av en revisjon, men som også ligger utenfor revisors kompetanseområde. Fra revisors side kan man selvfølgelig vise til den avgitte revisjonsberetningen og dermed hevde at man aldri har attestert noen av disse forholdene. Slike retningslinjer og veiledninger kan imidlertid skape et forventningsgap og i noen tilfeller en ubegrunnet trygghet hos brukeren av revisjonsberetningen.
ISAE 3000
ISAE 3000 Attestasjonsoppdrag som ikke er revisjon eller forenklet revisorkontroll av historisk finansiell informasjon er en generell standard for denne typen attestasjonsoppdrag. I tillegg er det utgitt egne attestasjonsstandarder om enkelte spesifikke områder. ISAE 3000 er i stor grad en operasjonalisering av rammeverket for attestasjonstjenester som er relativt utførlig beskrevet ovenfor. Detaljene i denne standarden omtales derfor ikke her.
Det dukker tidvis opp en del utfordringer knyttet til denne standarden. Den mest grunnleggende er at tiltenkt bruker av revisors attestasjon ikke kjenner til konseptet med attestasjon, langt mindre til ISAE 3000. Revisor får fra tid til annen beskjed om at man ikke ønsker en attestasjon, men en revisjon i henhold til ISA 800 eller ISA 805. Ethvert forsøk på å forklare at disse standardene ikke er frittstående standarder og at ISA’er bare skal benyttes ved revisjon av regnskaper, møter lite, om noen forståelse. Dette kan igjen føre til lange diskusjoner og erklæringer fra revisor som ikke gir annet enn falsk trygghet hos mottaker.
Som tidligere nevnt, er mangelen på egnede kriterier også ofte slående. Igjen kan resultatet bli uttalelser som er uegnet som beslutningsgrunnlag for mottakeren.
ISRS 4400 Avtalte kontrollhandlinger
ISRS 4400 er ikke en attestasjonsstandard. Når denne standarden benyttes, gir revisor ikke uttrykk for noen konklusjon om et saksforhold. Mottaker av rapporten skal selv trekke konklusjonene basert på resultatet av de kontrollhandlingene revisor har utført. Konkrete kontrollhandlinger kan likevel i mange sammenhenger være til større nytte for en bruker av revisors rapportering enn en ullen attestasjon. Brukeren kan ha klare forventninger til hva som konkret skal kontrolleres, og i mindre grad være opptatt av å definere egnede kriterier for en attestasjonsuttalelse.
Noe av det som kjennetegner avtalte kontrollhandlinger er:
Ingen konklusjon/mening – mottaker skal selv trekke konklusjonene
Konkret angitte kontrollhandlinger
Konkret angitte resultater
Én eller få og avgrenset antall mottakere av rapporten
Begrenset bruk og distribusjon
Presisering av at det ikke er revisjon og at en revisjon kunne avdekket andre forhold
Redusert risiko
Siden revisor ikke konkluderer på samme måte som i en attestasjonsuttalelse, vil en slik rapporteringsform ofte innebære redusert risiko for revisor. I tillegg kan et oppdrag etter ISRS 4400 i mange tilfeller utføres hensiktsmessig også når det ikke er egnede kriterier for et attestasjonsoppdrag. Dette gjør at revisorer har en tendens til å ty til denne løsningen. Også i enkelte tilfeller der det egentlig ikke er hensiktsmessig. Vi ser eksempler på at revisorer forsøker å omgå et revisjonskrav og heller utføre avtalte kontrollhandlinger. Et anerkjent revisjonsfirma skrev følgende i et brev til et departement:
«Departementet har bedt om at det innsendte regnskapet skal revideres. Det er imidlertid ikke spesifisert hva slags uttalelse fra revisor departementet forventer»
Som det fremgår av fremstillingen over, skal all revisjon utføres i samsvar med ISA’ene. Det er derfor ingen som helst tvil om at når et regnskap skal «revideres», skal det avgis revisjonsberetning.
Noen problemområder ved ISRS 4400
Et grunnleggende problem med standarden er at mottaker må forstå og akseptere at det er mottaker selv som skal konkludere. Vi ser eksempler på at brukere av revisors rapport om avtalte kontrollhandlinger av og til legger inn en form for konklusjon. I etterkant av resultatet av en kontrollhandling legges det inn et tillegg, slik at man får en formulering av typen:
«Kontrollen avdekket ingen avvik og gir dermed grunnlag for å konkludere med at rapporteringen er i samsvar med de oppsatte kriteriene …»
Her bør det settes punktum etter «avvik». Det er ofte mottaker selv som har formulert rapporten. Det er således ingen tvil om at mottaker mener at ingen avvik gir grunnlag for en slik konklusjon. Dette er jo en klar indikasjon på at kontrollhandlingene treffer mottakers behov. Konklusjonen er imidlertid mottakers, ikke revisors, og bør derfor ikke stå i revisors rapport.
Revisors kontrollhandlinger er ofte en type handlinger som også utføres i forbindelse med revisjonsoppdrag. Revisor ser derfor av og til ut til å «glemme» at avtalte kontrollhandlinger og resultater skal angis konkret. Vi ser f.eks. formuleringer av typen:
«Kontrollen ble gjennomført på stikkprøvebasis og avdekket ingen vesentlige avvik.»
Ingen vesentlighetsbetraktning
Når mottaker av rapporten skal konkludere, er dette fullstendig uegnet. Mottaker vet ikke hvor mye som er kontrollert, hvilke avvik som ble avdekket eller hva revisor har vurdert som vesentlig. For at en slik kontrollhandling skal gi mottaker verdi, må derfor disse variablene rapporteres konkret. Vesentlighetskonseptet eksisterer i utgangspunktet ikke i ISRS 4400. Dersom revisor velger ikke å rapportere avvik fordi de anses å være uten betydning, bør det derfor angis hvilken grense for ubetydelige avvik revisor har basert seg på.
Forvirrer mer enn den opplyser
Det er som nevnt også en tendens til at revisor forsøker å unngå å avgi revisjonsberetning eller en annen attestasjonsuttalelse og heller kommer med en avtalt kontrollhandling av typen:
«2. Revisor har gjennomgått og vurdert nærmere om regnskapet er utarbeidet i samsvar med retningslinjene gitt av departementet …
Med hensyn til punkt 2 er revisor av den oppfatning at retningslinjene gitt av departementet er fulgt ved utarbeidelse av regnskapet.»
En rapport om avtalte kontrollhandlinger skal som nevnt ovenfor, angi kontrollhandlinger og resultater konkret. I dette tilfellet dreier det seg ikke om en konkret kontrollhandling, men om en konklusjon som egentlig er knyttet til revisjon. Her blir usikkerheten stor på mottakers side. Det er uklart om revisor faktisk mener å gi en uforbeholden konklusjon uten vesentlighetsbetraktning på dette området, siden dette presenteres som en spesifikk kontrollhandling. En «vurdering» er imidlertid ikke spesifikk, slik at dette ikke fremstår som logisk, og «resultatet» av kontrollen ligner en revisjonsmessig konklusjon, men uten at man redegjør for hva som ligger i «vurderingen». Resultatet blir at dette er mer forvirrende enn opplysende for en kvalifisert leser.
Avsluttende betraktninger
Fremstillingen ovenfor vil kanskje av enkelte oppleves som «syting». Det er ikke hensikten. Som revisor må vi ha respekt for hvilke behov og ønsker brukere av våre tjenester og uttalelser har. Samtidig bør en slik respekt være gjensidig, og utgangspunktet for revisors attestasjoner bør være den rollefordelingen mellom partene som beskrives i rammeverket for attestasjonstjenester.
Hvis brukere av våre uttalelser benytter sin «makt» i form av å sitte på tilskudd og bevilgninger, risikerer vi at vi ikke lenger blir en uavhengig kontrollør av beslutningsgrunnlag, men en de facto garantist for at alle vilkår er oppfylt. Revisorer er ikke glad i risiko og vil neppe ta denne rollen, men vi ser en vilje til å rapportere i denne retningen i de tilfellene risikoen vurderes som lav. Vi trenger et fokus på reelt innhold og reell nytte for brukerne for å få gode løsninger på plass.
På noen områder ser vi en utvikling der bevilgende myndigheter stadig skjerper kravene til revisjon og kontroll. I tillegg til revisjon av årsregnskapet, kreves det revisjon av prosjektregnskaper og virksomhetens internkontroll. Det kreves også at det utarbeides formelle prosedyrer for forvaltning og revisjon av at disse prosedyrene overholdes. Kostnadene til revisjon og kontroll oppleves som uforholdsmessig høye for enkelte aktører i relevante segmenter ved at nytten for organisasjonene og tilskuddsgivere neppe står i forhold til de økte kostnadene. Det kan være uforholdsmessig kostbart å skulle eliminere tilnærmet all risiko for misbruk av midler eller svak resultatoppnåelse. Det kan gi forbigående godt inntektsgrunnlag for revisor, men det er vel neppe dit vi vil.
Vi må selvsagt også være villige til å bli utfordret på etablerte sannheter og prinsipper vi opererer etter. Det kan sikkert være andre, kanskje mer egnede måter vi kan bidra på, og kanskje må vi være villige til å diskutere både roller og ansvar mellom aktørene i et fremtidig revisjons- og attestasjonsmarked. Det er vanskelig å spå, særlig om fremtiden.