Mislighetsrisiko
Mange bedrifter rammes hvert år av misligheter. Det er en vanlig oppfatning at revisor har sviktet når misligheter har pågått uten at revisor har oppdaget dette. Men hvilket ansvar har en revisor for å avdekke økonomisk kriminalitet?
Statsautorisert revisor
PwC
Hun er medforfatter av boken «Økonomisk kriminalitet, trusler og tiltak».1
Ved revisjon av et årsregnskap skal revisor identifisere og vurdere risikoen for at det kan foreligge feilinformasjon i årsregnskapet som følge av misligheter og feil.
For å være i stand til å gjøre en målrettet identifisering og tilstrekkelig vurdering av risikoen for misligheter, må revisor forstå hvorfor og hvordan misligheter kan oppstå.
I artikkelen gjennomgår jeg de bestemmelsene som regulerer revisors oppgaver og plikter knyttet til misligheter ved revisjon av årsregnskap. Jeg ser videre på hvilke typer misligheter revisor må ha særlig fokus på ved revisjonen og hvilke elementer revisor bør ta utgangspunkt i ved identifisering og vurdering av mislighetsrisikoer.* Utgitt februar 2019, Gyldendal.
Artikkelen avgrenses til å gjennomgå de kravene som følger av revisorloven og revisjonsstandardene ved revisjon av årsregnskap. Andre bestemmelser pålegger også revisor oppgaver knyttet til oppfølging av misligheter, som hvitvaskingsloven og skatteforvaltningsforskriften. Hvitvaskingsloven pålegger revisor oppgaver og plikter knyttet til oppfølging av mistenkelige transaksjoner, mens skatteforvaltningsforskriften § 8-2-6 stiller krav til revisors særattestasjon av skatte- og avgiftsmessige forhold.
Revisors oppgaver og plikter vedrørende misligheter
Revisorloven fastsetter hvilke oppgaver og plikter revisor har ved revisjon av et årsregnskap, herunder oppgaver og plikter knyttet til misligheter.
Utdrag fra revisorloven:
§ 5-1 tredje ledd
Revisor skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil.
§ 5-2 første ledd første punktum
Revisor skal utføre revisjonen etter beste skjønn, herunder vurdere risikoen for at det kan foreligge feilinformasjon i årsregnskapet som følge av misligheter og feil.
§ 5-3 første ledd
Revisor skal kunne dokumentere hvordan revisjonen er gjennomført samt resultatet av revisjonen på en måte som er tilstrekkelig til å kunne underbygge og etterprøve revisors konklusjoner. Forhold som tilsier at det kan foreligge misligheter eller feil, skal kunne dokumenteres særskilt med angivelse av hva revisor har foretatt seg i den anledning.
Bidra til å forebygge og avdekke
Kravet om at revisor gjennom revisjonen skal bidra til å forebygge og avdekke misligheter og feil, pålegger i utgangspunktet ikke revisor oppgaver ut over det som følger av revisjonen av årsregnskapet. Revisor plikter ikke å gjøre revisjonshandlinger for å forebygge misligheter, men en revisjon vil i seg selv virke forebyggende, blant annet ved kravet om at «revisor skal se etter at den revisjonspliktige har ordnet formuesforvaltningen på en betryggende måte og med forsvarlig kontroll».* Jf. revisorloven § 5-1 annet ledd. Som jeg vil komme tilbake til er god internkontroll hos foretaket av grunnleggende betydning for å forebygge og avdekke misligheter.
Må vurdere risikoen for vesentlig feilinformasjon
Revisor skal «vurdere risikoen for at det kan foreligge feilinformasjon i årsregnskapet som følge av misligheter og feil». Revisorlovens ordlyd kan oppfattes som at alle feil i årsregnskapet – små og store – skal avdekkes av revisor, uten hensyn til vesentlighet. Dette har imidlertid formodningen mot seg da det ville resultert i en meget tidkrevende og kostbar revisjon. Revisjonen skal avdekke feil og misligheter av vesentlig karakter. ISA 240 – Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper legger også en slik forståelse til grunn ved å avgrense misligheter relevante for revisjonsutførelsen til å være misligheter som kan medføre vesentlig* Hva som er vesentlig feilinformasjon, følger av definisjonen i ISA 320 Vesentlighet ved planlegging og gjennomføring av en revisjon pkt. 2: «Feilinformasjon, herunder utelatelser, er å anse som vesentlige dersom de, enkeltvis eller samlet, rimelig kan forventes å påvirke de økonomiske beslutningene som treffes av brukerne på grunnlag av regnskapet». feilinformasjon i årsregnskapet.
Formålet med lovfestet revisjon
I forslag til ny revisorlov er for øvrig vesentlighetsbegrepet tatt inn i lovteksten. Et eksempel er i den foreslåtte bestemmelsen om formålet med lovfestet revisjon, omtalt i NOU 2017:15, punkt 13.1.4:
«§ 9-1 Formålet med lovfestet revisjon
Formålet med lovfestet revisjon er å skape tillit til at årsregnskapet og konsernregnskapet oppfyller gjeldende lovkrav og ikke inneholder vesentlig feilinformasjon, og ved dette blant annet bidra til å forebygge og avdekke økonomisk kriminalitet.»
Revisors plikter videreføres
Revisor plikter å bidra til forebygging av misligheter ved å gjennomføre en revisjon og ved å påpeke avdekkede svakheter i formuesforvaltningen og internkontrollen. Dernest plikter revisor å bidra til å avdekke misligheter, men avgrenset til misligheter som medfører vesentlig feilinformasjon i årsregnskapet. Revisor må dokumentere revisjonsutførelsen, herunder for å vise at plikten til å bidra til å forebygge og avdekke misligheter er utført. I tillegg er det en særskilt plikt til å dokumentere forhold som tilsier at det foreligger misligheter og feil, med angivelse av hva revisor har foretatt seg i den anledning. Disse pliktene videreføres i ny revisorlov.
Misligheter som kan medføre vesentlig feilinformasjon i årsregnskapet
For å kunne bidra til å avdekke misligheter må revisor forstå hvilke typer misligheter som kan medføre vesentlig feilinformasjon i årsregnskapet.
ISA 240 - Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper definerer misligheter slik i punkt 11(a):
«Misligheter – En bevisst handling begått av en eller flere personer innen ledelsen, av personer som har overordnet ansvar for styring og kontroll, av ansatte eller av andre, som innebærer uredelighet for å oppnå en urettmessig eller ulovlig fordel.»
I samme standard punkt 3 er det to typer tilsiktet feilinformasjon som er relevant for revisor:
feilinformasjon som resultat av uredelig regnskapsrapportering og
feilinformasjon som resultat av underslag av eiendeler.
Det kan ut fra dette synes som at andre former for økonomisk kriminalitet enn uredelig regnskapsrapportering og underslag ikke er relevante for revisjonen, men en slik fortolkning er for snever. Uredelig regnskapsrapportering gjennomføres også for å dekke over andre typer økonomisk kriminalitet og revisor må derfor være oppmerksom på andre typer misligheter som skjules ved å manipulere regnskapsrapporteringen.
Misligheter begått av eksterne
Økonomisk kriminalitet begått av eksterne medfører normalt ikke vesentlig feilinformasjon i årsregnskapet og faller utenfor definisjonsområdet i ISA 240 – Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper. Selv om misligheter begått av eksterne vanligvis ikke medfører vesentlig feilinformasjon i årsregnskapet, kan de indirekte gi konsekvenser som påvirker virksomheten og i ytterste konsekvens har betydning for fortsatt drift.
Eksempler på økonomisk kriminalitet begått av eksterne er: bedragerier, datakriminalitet og industrispionasje. Dersom virksomheten rammes av eksterne angrep, kan det tyde på at styret ikke har oppfylt sin plikt til å ordne formuesforvaltningen på en betryggende måte og med forsvarlig kontroll. I det følgende vil jeg fokusere på risiko for uredelig regnskapsrapportering og underslag av eiendeler, fordi dette er mislighetstyper som medfører feilinformasjon i årsregnskapet.
Revisors kunnskap om virksomheten er sentralt
For å være i stand til å identifisere og vurdere risikoene for feilinformasjon i årsregnskapet som følge av feil eller misligheter, må revisor opparbeide seg tilstrekkelig kunnskap om virksomheten og dens omgivelser, herunder forståelse av de interne kontrollene. De interne kontrollene er sentrale for å forhindre og avdekke feilinformasjon i årsregnskapet. Dersom revisor avdekker «feil og mangler ved organiseringen av og kontrollen med formuesforvaltningen», typisk svakheter i selskapets interne kontroller, skal dette påpekes skriftlig i nummerert brev.
Kunnskap gjennom risikovurderingshandlinger
Kunnskapen om virksomheten og dens omgivelser opparbeides ved å gjennomføre risikovurderingshandlinger, og følgende revisjonsstandarder krever at risikovurderingshandlinger gjennomføres i enhver revisjon:
ISA 315 - Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser
ISA 240 - Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper
ISA 540 - Revisjon av regnskapsestimater, herunder estimater på virkelig verdi og tilhørende tilleggsopplysninger
ISA 550 – Nærstående parter
Jeg vil komme tilbake til hvordan opparbeidet kunnskap kan benyttes i revisors risikovurdering.
Hvordan revisor skal identifisere mislighetsrisikoen
«Mislighetstriangelet»
ISA 240 - Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper legger til grunn det såkalte «mislighetstriangelet». «Mislighetstriangelet» er en anerkjent teori om at for å begå misligheter må det foreligge motivasjon for å begå misligheter, mulighet til å gjennomføre misligheter og holdninger som tillater gjennomføring av misligheter. Når revisor skal identifisere og vurdere risikoen for misligheter, er det fornuftig å ta utgangspunkt i disse tre faktorene.
Motivasjon
Utgangspunktet for gjennomføring av misligheter er at den som begår misligheter må ha en grunn til å ville gjøre det. Motivasjonen vil være basert på press eller incentiver.
Mulighet, oppdagelsesrisiko og internkontroll.
En forutsetning for å begå misligheter er at det foreligger tilstrekkelige muligheter for å utføre de ulovlige handlingene. I dette ligger også at en potensiell lovbryter må oppfatte oppdagelsesrisikoen som lav.
I virksomheter med mangelfulle rutiner og interne kontroller vil mulighetene for å gjennomføre misligheter uten å bli oppdaget være betydelig større enn i virksomheter med godt tilpassede rutiner. Det er derfor en klar sammenheng mellom kvaliteten på de kontrollrutinene som er etablert i en virksomhet, og mulighetene for at virksomheten vil bli rammet av misligheter.
Gjerningspersonens holdninger
Det siste aspektet i mislighetstriangelet er gjerningspersonens holdninger. I dette ligger at den som begår misligheter, på ulike måter vil forsøke å rettferdiggjøre de uredelige handlingene.
Rettferdiggjøring
En variant av dette er å bagatellisere handlingens alvorlighet, eksempelvis ved å unnskylde handlingen med at virksomheten har god økonomi eller at de ulovlige handlingene omfatter forholdsvis små beløp. I andre tilfeller kan handlingene bli rettferdiggjort ved at gjerningspersonen mener seg urettferdig behandlet, eksempelvis som resultat av forbigåelse ved interne opprykk eller ved at han eller hun mener seg underbetalt med tanke på egen arbeidsinnsats. Handlingene kan også bli begrunnet med at de har vært situasjonsbestemte og at transaksjonene bare skulle gjennomføres i et begrenset tidsrom.
For eksempel kan det som ender som et underslag, i utgangspunktet bli rettferdiggjort som et lån som gjerningspersonen har ment å betale tilbake. Underliggende forklaringer vil gjerne variere, ut fra type mislighet, hvem som er gjerningsutøver og over hvor lang tid mislighetene foregår.
Muligheten mest sentral
For revisors risikovurdering er muligheten til å begå misligheter den mest sentrale av de tre elementene i «mislighetstriangelet». Revisor vil i mange tilfeller ha begrensede muligheter til å vite om det er potensielle gjerningspersoner med motivasjon og/eller holdninger til å gjennomføre misligheter. Derimot er det ingen risiko for misligheter når det ikke er mulig å gjennomføre misligheter eller det ikke er mulig å gjennomføre misligheter uten å bli oppdaget. Det er dog viktig å merke seg at selv om revisor vurderer det dithen at muligheten for misligheter er lav, må revisor likevel ta høyde for at ledelsen kan overstyre de interne kontrollene. Dette kommer jeg tilbake til.
Evne og kapasitet
Etter hvert er også et fjerde element trukket frem i mislighetsteorien,* Denne mislighetsteorien, med fire elementer, omtales som «mislighetsdiamanten». nemlig gjerningsutøverens evne og kapasitet til å begå de ulovlige handlingene. I dette ligger at gjerningsutøveren må ha nødvendig teknisk kapasitet og kompetanse til å gjennomføre mislighetene, samt evne til å finne svakheter i virksomhetens kontrollrutiner. Vedkommende må også være i stand til å skjule mislighetene overfor styret og ledelsen, revisor mv. Gjerningspersonens evne til å takle stress knyttet til gjennomføringen av mislighetene vil også være av betydning. Dette fjerde elementet om evne/kapasitet er ikke vektlagt i revisjonsteorien, men kan likevel være nyttig for revisor å kjenne til.
Underslag av eiendeler – risikovurdering
Motivasjon
Ved underslag er motivasjonen ofte å finne i gjerningspersonens økonomi eller privatliv. Underslag kan gjennomføres på ulike nivåer i virksomheten, fra lagermedarbeider og butikkpersonale til øverste toppleder. En ekstern regnskapsfører kan også være i posisjon til å gjennomføre underslag. Ved gjennomføring av underslag, vil det ofte være forhold i gjerningspersonens økonomi eller privatliv som er en utløsende faktor for de ulovlige handlingene. Anstrengt personlig økonomi hos gjerningsutøveren er en gjenganger i mange mislighetssaker. Ofte er slike problemer holdt skjult for både arbeidsgiver og kolleger og nærmiljø. Årsaken til de økonomiske vanskelighetene varierer betydelig. Samlivsbrudd, spillavhengighet, endrede lånebetingelser og generelt overforbruk er elementer som ofte trekkes frem i denne forbindelse. Eventuelt overforbruk forklares i mange tilfeller med forventningspress eller forbruksmønstre i gjerningsutøverens omgangskrets.
Vil sjelden vite om incentiv finnes
Ingen av risikovurderingshandlingene som kreves av revisjonsstandardene, er rettet mot å avdekke forhold i ansattes økonomi eller privatliv. Revisor vil derfor sjelden vite om slike incentiver finnes. Slik informasjon kan likevel tilflyte revisor ved samtaler med de ansatte. Visse signaler kan indikere økt risiko for underslag; for eksempel kan revisor kjenne til ansatte som:
er i konflikt med ledelsen,
ikke vil delegere eller dele på oppgaver og
ikke tar ut ferie.
Dersom revisor blir kjent med at det kan foreligge motivasjon for å begå underslag, må dette momentet tas i betraktning når revisor vurderer mislighetsrisikoen.
Holdninger
Holdninger påvirkes i betydelig grad av hvordan ledelsen fronter etiske retningslinjer og hvordan ledelsen sørger for at kontrollrutiner etterleves innad i virksomheten. For å minske risikoen for misligheter er det viktig med målrettet holdningsskapende arbeid. I denne sammenheng er det avgjørende at virksomhetens ledelse går foran, og selv følger både etiske retningslinjer og de etablerte kontrollrutinene («tonen fra toppen»). Forventet reaksjon ved oppdagelse vil også spille inn. Hvis det er allment kjent at virksomheten politianmelder enhver form for mislighet, vil dette ha avskrekkende effekt på en potensiell gjerningsperson. En forutsetning for å oppnå en slik forebyggende effekt er imidlertid at de ansatte er gjort kjent med hvordan virksomheten forholder seg til denne typen hendelser.
Ikke rettet mot å avdekkes ansattes holdninger til misligheter
Flere av risikovurderingshandlingene som kreves av revisjonsstandardene har som mål å skaffe revisor kunnskap om ledelsens holdninger og integritet, herunder ledelsens fokus på misligheter. Det er derimot ingen av risikovurderingshandlingene som er rettet mot å avdekke de ansattes holdninger til misligheter, herunder holdninger som tilsier at misligheter kan rettferdiggjøres.
Ledelsens holdning til misligheter
Dersom revisor via kommunikasjonen med ledelsen og de ansatte eller på andre måter blir kjent med at det er svake og utydelige holdninger fra ledelsen, må dette momentet tas i betraktning når revisor vurderer risikoen for feil i årsregnskapet som følge av misligheter. For eksempel kan fravær av etiske retningslinjer og antikorrupsjonsregler indikere at ledelsen har lite fokus på misligheter. Når ledelsen ikke har en klar holdning til misligheter, herunder hvordan virksomheten skal reagere på avdekkede misligheter, må revisor ta høyde for en forhøyet risiko.
Muligheter
Det er revisors oppgave å vurdere mulighetsrommet for at underslag kan gjennomføres basert på opparbeidet kunnskap om virksomheten. Mulighetene og risikoen for at virksomheten vil bli utsatt for underslag må vurderes ut fra en rekke forhold, blant annet virksomhetens art og størrelse, og ikke minst hvilken internkontroll som er etablert. Revisor må opparbeide seg forståelse av de interne kontrollene, herunder hvordan de kan bidra til at misligheter kan forhindres og avdekkes.
«Røde flagg»
Ved risikovurderingen bør revisor være særlig oppmerksom på «røde flagg» som går igjen i mange underslagsaker, eksempelvis:
Enkeltpersoner med vide enefullmakter, for eksempel bankfullmakt eller fullmakt til å gjøre innkjøp
Overdreven tillit til nøkkelpersoner
Svak intern kontroll, som manglende arbeidsdeling og mangelfulle avstemmingsrutiner
Mangelfull rapportering og rutine for oppfølging av avvik, som nøkkeltallsanalyser
Ofte en betrodd gjerningsutøver
Et gjennomgående trekk i mislighetssaker er at gjerningsutøveren er en betrodd person, gjerne i en nøkkelposisjon, med stor tillit fra virksomhetens ledelse. Vedkommende har derfor vært i stand til å gjennomføre misligheter uten at dette ble avdekket i en etterfølgende internkontroll. I slike tilfeller kan også mislighetene være gjennomført over et svært langt tidsrom med tilsvarende stort skadepotensial for virksomheten.
Praktisk tilnærming ved vurdering av muligheten for underslag
Når revisor skal vurdere mulighetene for underslag av eiendeler, kan revisor stille seg følgende spørsmål:
Har enheten eiendeler som kan underslås?
Hvem kan foreta underslag?
Hvordan kan underslag gjennomføres?
Hvilke interne kontroller finnes for å hindre og avdekke underslag?
Finnes det svakheter i de interne kontrollene som likevel muliggjør underslag?
Må forstå kontrollene
Revisor skal opparbeide seg en forståelse av enhetens kontroller, herunder kontrollaktiviteter, som er relevante for de identifiserte risikoene. Dersom det foreligger mangler eller svakheter i de etablerte interne kontrollene, innebærer det høyere risiko for at det gjennomføres misligheter. Det er også viktig å være oppmerksom på at det i gitte situasjoner vil være økt risiko for misligheter. Eksempelvis vil virksomheter i en oppstartsfase eller i faser med sterk vekst ofte ha en mangelfullt utviklet internkontroll og dermed ha en økt fare for å bli rammet av ulovlige handlinger. Tilsvarende kan store strukturelle endringer i virksomheten resultere i uforutsette brister i virksomhetens interne kontroll, med påfølgende økt risiko for misligheter.
Eksempler
Under følger eksempler på forhold som kan være aktuelle å vurdere når revisor skal kartlegge mulighetene for gjennomføring av underslag av henholdsvis kontanter, varer og bankmidler. Eksemplene er forenklet.
Eksempel kontanter
I en virksomhet med høy kontantomsetning er det viktig å foreta en identifisering og vurdering av risiko med fokus på mulighetene for underslag. Relevante spørsmål revisor kan stille seg er:
Hvem håndterer kontantene i virksomheten og hvilke interne kontroller foreligger som kan hindre underslag?
Hvordan fungerer kassesystemet og i hvilken grad er kassesystemet automatisert?
Hvilke rutiner foreligger for kasseoppgjør?
Hvordan håndteres feilslag?
Hvordan behandles returer? Hvor ofte telles kassen?
Hvor ofte settes kontanter inn i bank?
Er det rutiner for å følge opp kasseavvik, for eksempel ved å sammenligne kasseavvik pr. ansatt?
Er det mulig å overstyre de interne kontrollene knyttet til kassasystemet?
Et eksempel illustrerer sammenhengen mellom den kunnskapen revisor skal opparbeide seg og relevante spørsmål for å identifisere risiko for misligheter. Svarene danner grunnlag for å vurdere risikoene for misligheter.
Eksempel bankmidler
Underslag gjennomføres ofte ved urettmessige bankbelastninger. Vide fullmakter eller rettigheter, uten etterfølgende kontroller, øker risikoen for misligheter, eksempelvis ved uautoriserte uttak. For å hindre at uautoriserte uttak oppdages må den som gjennomfører mislighetene ha mulighet til å skjule uttaket i regnskapet, eksempelvis som debetpostering på konto for inngående mva.
Relevante spørsmål revisor kan stille seg for å vurdere risikoen for mulighet for underslag fra bank er:
Hvem har fullmakter til virksomhetens bankkonti?
Kan noen disponere bankmidler alene?
Avstemmes alle bankkontoer månedlig?
Er det arbeidsdeling mellom utbetalinger og avstemming av bank?
Er det sperrer i systemet som hindrer at kontonummer kan endres?
Foretas analyser av utbetalinger fra bank mot ansattes bankkontoer?
Underslag av innbetalinger
Underslag kan også skje ved at innbetalinger underslås. Et scenario er regnskapsansvarlig som sender fakturaer utenom faktura- og regnskapssystemer til kunder, men hvor innbetalinger går til egen bankkonto, eventuelt bankkontoer til nærstående. Relevante spørsmål her kan være:
Hvordan genereres utgående fakturaer?
Er det integrasjon mellom ordresystem, fakturasystem og regnskapssystem, eller er dette en manuell prosess?
Er det rutiner for å totalavstemme eller rimelighetsvurdere fakturert omsetning mot grunnlag (eks. timelister, lister over medlemmer/abonnenter eller antall enheter solgt).
Private eller fiktive kjøp
En regnskapsansvarlig med vide fullmakter uten oppfølgende kontroll kan eksempelvis manipulere inngående fakturaer slik at utbetalinger går til egen bankkonto i stedet for til en leverandør. En innkjøpsansvarlig kan inngå avtaler med leverandører om at varer/tjenester leveres til vedkommende privat, mens fakturaer sendes til selskapet som betaler for det private kjøpet. Belastning av private kostnader i selskapets regnskap er også en form for underslag. En som er ansvarlig for innkjøp kan være i posisjon til å godkjenne fiktive kjøp fra egne selskaper. For å vurdere om noen har mulighet til å gjennomføre denne typen underslag kan revisor spørre seg om:
Hvilke rutiner foreligger for å kontrollere inngående fakturaer?
Kontrolleres inngående fakturaer av flere før godkjenning?
Er det samme person som godkjenner inngående fakturaer som også foretar utbetalinger og/eller bokfører transaksjonene?
Finnes det automatiske sperrer i regnskapssystemet mot endring av leverandørinformasjon, som leverandørens kontonummer?
Er det rutine for alltid å kontrollere inngående fakturaer mot mottatte varer?
Er det rutine for å innhente kontoutdrag fra leverandører?
Er flere involvert i å velge leverandør når betydelige innkjøp skal bestemmes?
Foreligger det kontrakter ved betydelige kjøp av varer og tjenester, herunder ved kjøp fra nærstående parter?
Hvem er virksomhetens nærstående parter?
Har selskapet rutiner for å kartlegge ansattes nærstående parter, herunder om ansatte har eierandeler eller på annen måte er involvert i annen næringsvirksomhet?
Eksempel underslag av varer
Tilsvarende vil oppmerksomheten være rettet mot varebeholdningen i en virksomhet der underslag av varer er et mulig scenario. Dersom det er snakk om lett omsettelige varer med en viss verdi pr. enhet og som ikke er fysisk store, vil dette øke risikoen for misligheter.
Også her må revisor spørre seg hvilke muligheter som foreligger for underslag, som:
Hvilke interne kontroller er etablert for å hindre underslag av varer?
Er det fysisk sikring av varelageret (adgangskontroller, alarmer, mv.)?
Har virksomheten et varelagersystem?
Hvem har tilgang til varelagersystemet?
Hvor ofte telles varelageret?
Hvilke rutiner er etablert for å overvåke svinn?
Analyseres svinnet over tid eller sammenlignes svinnet mot andre tilsvarende enheter i samme konsern?
Se vedlegg 1 til ISA 240 - Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper for ytterligere risikofaktorer som følge av feilinformasjon som skyldes underslag av eiendeler.
Oppsummering underslag
Dersom revisor identifiserer mulighet for at underslag foreligger, må revisor vurdere risikoen for at underslaget kan bli gjennomført, og om underslaget kan medføre vesentlig feilinformasjon i årsregnskapet. I vurderingen må revisor ta i betraktning motivasjon og holdninger hos potensielle gjerningspersoner. Når revisor vurderer at det foreligger en risiko for underslag som kan medføre vesentlig feilinformasjon i årsregnskapet, må revisor gjennomføre revisjonshandlinger for å innhente bevis for at årsregnskapet ikke er vesentlig feil. Selv om revisor konkluderer med at det foreligger en risiko for underslag som ikke vil medføre vesentlig feilinformasjon i årsregnskapet, må revisor rapportere eventuelle svakheter i den interne kontrollen til ledelsen.
Kunnskap som skal opparbeides |
Spørsmål |
Svar |
---|---|---|
Enhetens art, herunder:
slik at revisor kan forstå de transaksjonsklassene, kontosaldoene og tilleggsopplysningene som kan forventes i regnskapet. |
|
Ja, virksomheten har stor grad av kontantomsetning og kontantbeholdning. |
|
De som håndterer kontantene i virksomheten. Butikksjef og butikkpersonale. |
|
|
Med utgangspunkt i rutinen for kasse og kontanter, kan underslag gjennomføres ved – Feilslag – Returer – Underslag etter kassetelling |
|
Målingen og gjennomgåelsen av enhetens økonomiske resultater. |
|
Kasse telles opp og kasseavvik registreres daglig. Ledelsen får jevnlig rapporter som viser kasseavvik og sammenligner avvikene pr. ansatt og over tid. Avvik vil følges opp. Ved retur av varer må kunden skrive på telefonnummer og signere returlapp som legges ved kasseoppgjøret. Innskudd i bank avstemmes mot opptalt beholdning, slik at underslag etter kassetelling vil avdekkes. |
|
Det er ingen kontroll av at varereturer ikke er fiktive. I teorien kan ansatte skrive på fiktive navn og telefonnummer til kunder, og deretter ta ut returpenger direkte fra kasse. |
|
Risikovurdering Det er risiko for underslag ved at ansatte utarbeider fiktive varereturer og på bakgrunn av disse tar ut penger fra kasse. Risiko på påstandsnivå: eksistens av varer som registreres inn på lager og gyldighet av uttak av kontanter fra kasse. |
||
Rapportering Manglende kontroll av gyldighet av varereturer er en svakhet i intern kontroll som må påpekes overfor virksomhetens ledelse. |
Uredelig regnskapsrapportering
Motivasjon
Press eller incentiver knyttet til virksomhetsrelaterte forhold kan motivere til misligheter. Uredelig regnskapsrapportering er ofte motivert av krav eller ønske om økonomisk resultat. Forventningspress fra eiere eller markedet kan være en utløsende faktor ved manipulert regnskapsrapportering. En variant av forventningspress kan skapes gjennom et oppblåst selvbilde. En annen motivasjon til å begå uredelig regnskapsrapportering er for å dekke over annen type kriminalitet.
Revisor må opparbeide seg kunnskap om virksomheten for å kunne besvare følgende spørsmål:
Foreligger situasjoner eller forhold som kan skape press eller ønske om uredelig regnskapsrapportering?
Eksterne faktorer
Det er ofte eksterne faktorer som utløser presset eller ønsket om uredelig regnskapsrapportering, eksempelvis ved sviktende salg på grunn av endret konkurransesituasjon, for å unngå konkurs, i anbudssituasjoner eller ved planlagt salg/sammenslåing av virksomheten.
Et annet eksempel er uredelig rapportering for å unngå brudd på lånebetingelser. Uredelig regnskapsrapportering kan også være motivert av ledelsens ønsker om å oppnå egne gevinster, for eksempel ved å bedre resultatet ved resultatbaserte bonusordninger eller for å skjule manglende oppnåelse av resultatmål. Uredelig regnskapsrapportering kan også være motivert av et ønske om å dekke over underslag eller andre ulovligheter.
Ønske om å villede regnskapsbrukerne
Uredelig regnskapsrapportering kan ha som hensikt å villede regnskapsbrukerne ved å justere regnskapstallene slik at de viser et bedre resultat, dårligere resultat eller et mest mulig jevnt resultat over tid. Ledelsen står oftest bak denne typen misligheter etter press om eksempelvis å nå et resultatmål eller et kapitaldekningsmål. Presset kommer som regel fra eiere, hvor målet er å maksimere eiernes verdier. Dersom ledelsen er aksjonærer i selskapet, kan ledelsen også ha en egeninteresse i å maksimere aksjeverdiene. I stiftelser og organisasjoner, uten eiere og/eller med ideelle formål, kan det være risiko knyttet til uredelig rapportering av andre tallstørrelser, for eksempel overrapportering av medlemsmasse som grunnlag for offentlig tilskudd.
Dersom revisor blir kjent med situasjoner eller forhold som tilsier at det kan foreligge motivasjon for å manipulere regnskapstallene, må dette tas i betraktning når revisor vurderer risikoen for feil i årsregnskapet.
Holdninger
For regnskapsmanipulasjon er det først og fremst ledelsens holdninger og integritet som er av interesse, da det som oftest er ledelsen som begår ugjerningene. Ledelsen vil åpenbart ha en egeninteresse i å fremstille seg selv i et best mulig lys. Det kan være utfordrende for revisor å avdekke hvilke holdninger ledelsen faktisk har ved å spørre ledelsen. Imidlertid kan ledelsens holdninger gjenspeiles i ledelsens handlinger, som:
Forsøk på å påvirke revisors arbeid, for eksempel ved å sette urimelige tidsfrister.
Ledelsen er unormalt opptatt av valg av regnskapspolicyer og beregning av regnskapsestimater.
Ledelsen er svært opptatt av å betale minst mulig skatt.
Hyppig skifte av styremedlemmer og/eller revisor.
Sammenblanding mellom selskapets økonomi og privatøkonomi.
Muligheter
Hvordan gjennomføres regnskapsmanipulasjon?
Uredelig regnskapsrapportering kan gjennomføres ved manipulasjon av eller endring av regnskapsdata og annen dokumentasjon, ufullstendig eller unnlatt registrering av regnskapsdata, feilaktig bruk av regnskapsprinsipper mv. Under følger noen eksempler på uredelig regnskapsrapportering for å bedre resultatet:
Inntekter resultatføres for tidlig
Bokføring av fiktive inntekter
Kostnader flyttes til en senere periode
Balanseføring fremfor kostnadsføring
Overvurdering av eiendeler/unnlate nedskrivninger (særlig risiko ved regnskapsestimater)
Balanseføring av fiktive eiendeler
Transaksjoner med nærstående for å kamuflere tap
Manglende avsetning for forpliktelser
Tilgang til regnskapssystemet
Regnskapsmanipulasjon kan foretas av noen som har tilgang til regnskapssystemet eller av noen som har mulighet til å holde transaksjoner eller opplysninger utenfor regnskapet. Revisor må opparbeide seg kunnskap om hvem som har tilgang til regnskapssystemet og tilhørende systemer, hvem som utarbeider regnskapsestimater, hvem som velger regnskapspolicyer osv. Videre må revisor opparbeide seg kunnskap om interne kontroller som skal forhindre og avdekke endring av regnskapsdata, ufullstendige regnskapsdata mv.
Ledelsens mulighet til overstyring av interne kontroller
Ifølge ISA 240 - Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper, punkt 31, er det alltid en risiko for at ledelsen overstyrer virksomhetens kontroller. Ledelsen er dermed i en unik posisjon til å begå misligheter, siden den har mulighet til å manipulere registreringer og bevisst utarbeide et feilaktig årsregnskap ved å overstyre kontroller som ellers synes å fungere formålstjenlig. I tillegg er den uforutsigbare måten slik overstyring kan gjennomføres på, et moment som tilsier at dette alltid skal vurderes som en mislighetsrisiko.
Hvem andre kan overstyre interne kontroller?
Revisor må også vurdere om det er andre enn ledelsen som kan overstyre interne kontroller. Er det noen som har tilgang til virksomhetens kassesystem, varelagersystem og/eller regnskapssystem, som kan foreta registreringer eller endringer i systemet uten at det oppdages?
Risikoen for å bli oppdaget er nært knyttet til mulighetsaspektet ved gjennomføring av misligheter. Selv om det foreligger muligheter for å gjennomføre misligheter, vil de fleste avstå hvis det er betydelig risiko for at lovbruddene raskt vil bli avdekket. Mulighet bør derfor vurderes ut fra en kombinasjon av gjennomførbarhet og oppdagelsesrisiko.
Eksempel uredelig regnskapsrapportering
Når revisor skal vurdere mulighetene for uredelig regnskapsrapportering, kan revisor stille seg følgende spørsmål:
Hvem kan gjennomføre regnskapsmanipulasjon?
Hvordan kan uredelig regnskapsrapportering gjennomføres?
Hvilke interne kontroller finnes for å forhindre og avdekke uredelig regnskapsrapportering?
Hvilke svakheter finnes i de interne kontrollene som muliggjør uredelig regnskapsrapportering?
Et eksempel illustrerer sammenhengen mellom den kunnskapen revisor skal opparbeide seg og relevante spørsmål for å identifisere risiko for misligheter. Svarene danner grunnlag for å vurdere risikoene for misligheter.
Kunnskap som skal opparbeides
Enhetens art, herunder:
(i) enhetens virksomhet,
(ii) enhetens eier- og styringsstruktur,
(iii) hvilke typer investeringer enheten foretar og planlegger å foreta, herunder investeringer i enheter med spesielle formål, og
(iv) hvordan enheten er organisert og hvordan den er finansiert,
slik at revisor kan forstå de transaksjonsklassene, kontosaldoene og tilleggsopplysningene som kan forventes i regnskapet.
Enhetens valg og anvendelse av regnskapspolicyer, herunder årsakene til eventuelle endringer. Revisor skal vurdere om enhetens regnskapspolicyer er hensiktsmessige for enhetens virksomhet og i samsvar med det gjeldende rammeverket for finansiell rapportering og regnskapspolicyer som anvendes i den aktuelle bransjen.
Kravene i det gjeldende rammeverket for finansiell rapportering som er relevante for regnskapsestimater, inkludert tilhørende tilleggsopplysninger.
Hvordan ledelsen identifiserer de transaksjonene, hendelsene og forholdene som kan medføre et behov for å regnskapsføre eller opplyse om regnskapsestimater i regnskapet. Ved opparbeidelsen av denne forståelsen skal revisor rette forespørsler til ledelsen om endringer i omstendigheter som kan medføre nye, eller et behov for å revidere eksisterende, regnskapsestimater.
Hvordan ledelsen utarbeider regnskapsestimatene, og en forståelse av dataene de er basert på.
Forståelse av enhetens relasjoner til nærstående parter og transaksjoner med dem.
Spørsmål
Hvem kan foreta uredelig regnskapsrapportering?
Hvordan kan den uredelige regnskapsrapporteringen gjennomføres?
Svar
Svaret på spørsmål 1 er: Adm.dir. og økonomidirektør.
Svaret på spørsmål 2 er: Flytte kostnader til en senere periode eller unnlate nedskrivninger av varelager.
Svarene til spørsmål 3 og 4 er oppsummert i tabellen øverst på neste side
Mislighetsrisiko knyttet til inntektsføring
Ifølge ISA 240 - Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper, punkt 26, skal revisor ved vurdering av risiko for misligheter ta utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer. Denne presumpsjonen er relatert til risikoen for uredelig regnskapsrapportering knyttet til inntekter. I denne risikovurderingen må revisor ta stilling til hvordan misligheter knyttet til inntektene kan gjennomføres, hvilke målsettinger (regnskapspåstander) risikoen er knyttet til og gjennomføre handlinger for å behandle den identifiserte risikoen.
Fiktive utgående fakturaer
For eksempel kan revisor vurdere at mislighetsrisikoen for inntekter er knyttet til bokføring av fiktive utgående fakturaer for å vise høyere omsetning i årsregnskapet enn det som er reelt. I så fall er risikoen knyttet til gyldighet av inntekter og revisor må gjennomføre revisjonshandlinger for å innhente tilstrekkelige og hensiktsmessige revisjonsbevis for at inntektene er gyldige.
Revisor kan i forbindelse med risikovurderingen konkludere med at det ikke foreligger risiko for vesentlig feilinformasjon som skyldes misligheter knyttet til inntektsføring, men en slik tilbakevisning av presumpsjonen må begrunnes og begrunnelsen må dokumenteres.
Kunnskap som skal opparbeides |
Spørsmål |
Svar |
---|---|---|
Enhetens interne kontroller, herunder: Kontrollmiljøet Enhetens risikovurderingsprosess Informasjonssystemet, herunder tilknyttede forretningsprosesser, som er relevante for finansiell rapportering, og kommunikasjon Kontrollaktiviteter som er relevante for revisjonen Overvåking av kontroller Målingen og gjennomgåelsen av enhetens økonomiske resultater. |
3. Hvilke interne kontroller finnes for å hindre og avdekke uredelig regnskapsrapportering? |
Alle periodiseringer av kostnader skal baseres på underliggende fakturaer og godkjennes av to personer. Ukuransnedskrivning av varelager er basert på liste over omløpshastighet av varer. Varer uten omsetning siste år nedskrives med 50 % og varer uten omsetning siste to år nedskrives med 100 %. Ledelsen gjennomgår og analyserer ukuransnedskrivningen løpende. Beregnet ukurans avstemmes mot bokført ukurans. |
4. Hvilke svakheter finnes i de interne kontrollene som muliggjør uredelig regnskapsrapportering? |
Ingen avdekkede svakheter, men det må tas høyde for at både adm.dir. og økonomidirektør kan overstyre de interne kontrollene. |
|
Risikovurdering Det er risiko for uredelig regnskapsrapportering ved at ledelsen manipulerer liste fra varelagersystemet over omløpshastighet pr. vare. Risikoen er knyttet til mulig overvurdering av varelageret. |
Ved risikovurderingen av uredelig regnskapsrapportering bør revisor være oppmerksom på «røde flagg». Her er noen eksempler:
Situasjoner som kan skape press på ledelsen til å «pynte på» regnskapstall, for eksempel innhenting av ny kapital.
Forhold som gjør at ledelsen kan oppnå en fordel ved å justere regnskapstallene.
Regnskapsestimater hvor det er vanskelig å etterprøve skjønnet.
Transaksjoner med nærstående hvor det ikke foreligger kontrakter eller tilsvarende grunnlag eller når transaksjonene er unormale i forhold til den vanlige driften.
Kompliserte konsernstrukturer, som gjør det vanskelig å følge transaksjoner.
Betydelige justeringer, elimineringer og omklassifiseringer i den finansielle (konsern)rapporteringen.
Oppsummering uredelig regnskapsrapportering
Dersom revisor identifiserer motivasjon og muligheter for uredelig regnskapsrapportering, må revisor vurdere risikoen for at regnskapsmanipulering forekommer og om dette kan medføre vesentlig feilinformasjon i årsregnskapet. I vurderingen må revisor ta i betraktning eventuell kunnskap om holdninger hos potensielle gjerningspersoner. Når revisor vurderer at det foreligger en risiko for uredelig regnskapsrapportering som kan medføre vesentlig feilinformasjon i årsregnskapet, må det tas hensyn til risikoen ved at det gjennomføres revisjonshandlinger for å innhente bevis for at årsregnskapet ikke er vesentlig feil.
Oppsummering
Revisor skal vurdere risikoen for at et årsregnskap inneholder vesentlig feilinformasjon på grunn av feil eller misligheter. Revisors prosess ved identifisering og vurdering av risiko for misligheter kan oppsummeres slik:
Gjennomfør risikovurderingshandlinger for å opparbeide kunnskap om virksomheten og dens omgivelser, herunder kunnskap om virksomhetens internkontroll. Vær særlig oppmerksom på manglende etterlevelse av virksomhetens rutiner, eksempelvis overstyrt dobbel godkjenning av banktransaksjoner, manglende fakturagodkjenning eller mangelfulle avstemmings- og rapporteringsrutiner. Ledelsens holdninger til etablering og etterlevelse av fastsatte rutiner er ofte retningsgivende for kvaliteten på virksomhetens internkontroll.
Identifiser og vurder risikoene for misligheter. Ta utgangspunkt i den opparbeidede kunnskapen og vurder motivasjon, muligheter og holdninger. Ha gjerne en huskeliste med «røde flagg» tilgjengelig. Ta i betraktning at ledelsens mulige overstyring av kontroller alltid regnes som en risiko, og at det er en presumpsjon for at det er mislighetsrisiko knyttet til inntekter. Dersom det ikke allerede er gjort, skal de interne kontrollene som er relevante for de identifiserte risikoene kartlegges.
Ta stilling til hvilke av de identifiserte risikoene som kan medføre vesentlig feilinformasjon i årsregnskapet, og som må håndteres i de videre revisjonshandlingene. Vær konkret. Forsøk å tenke deg nøyaktig hvordan misligheten kan gjennomføres, av hvem og hva slags feil det fører til i årsregnskapet og hvilke revisjonshandlinger som kan være nyttige for å undersøke om det er begått slike misligheter. Etter at denne prosessen er gjennomført, må revisor uansett håndtere risikoen for at ledelsen kan overstyre kontroller samt risikoen for misligheter knyttet til inntektsføring. En identifisert risiko som kan medføre vesentlig feil i årsregnskapet, må behandles ved å gjennomføre videre revisjonshandlinger. For å kunne planlegge effektive revisjonshandlinger for å ta hensyn til risikoen, må risikoen for feil spisses mot de transaksjonsklasser, kontosaldoer og tilleggsopplysninger som kan bli vesentlig feil.
Dokumenter de gjennomførte handlingene og resultatene av disse. Forhold som tilsier at det kan foreligge misligheter skal dokumenteres særskilt.