Internrevisionens ställning har stärkts och den har blivit en allt viktigare del i den externa revisionen. Detta ställer krav på den externa revisorn att utvärdera huruvida internrevisionens arbete är lämpligt att använda. I denna artikel, som delvis baseras på en masteruppsats, skriver Fredric Olsson om hur externa revisorer från de stora revisionsbyråerna utför denna utvärdering och hur den kan utvecklas.
Företagens internrevisionsavdelningar växer. Både styrelser och normgivare har efter bland annat finanskrisen insett nyttan med god bolagsstyrning, riskhantering och intern kontroll vilket har förändrat internrevisionens ställning, ansvar och befogenheter i bolagen. Internrevisionen har utvecklats till att bli styrelsens förlängda arm vilket bland annat har medfört att deras arbete bedrivs i högre grad skild från operativ verksamhet och därmed också mer objektivt. Utvecklingen har inneburit att deras arbete blivit mer intressant för den externa revisionen. Eftersom den externa revisionen, genom att dra nytta av internrevisionens arbete, kan fokusera sin granskning och sina resurser på andra områden skapas förutsättningar för att revisionen blir både effektivare och av högre kvalitet. Å andra sidan kan en ökad användning av internrevisionens arbete reducera revisionskvaliteten eftersom en del av revisionen då utförs av en part som åtminstone inte är lika synbart oberoende som den externa revisorn. Därför måste den externa revisorn utvärdera huruvida internrevisionens arbete är lämpligt att använda.
Vad har intern- och externrevisionen gemensamt?
Intern- respektive externrevisionens roll och ansvar skiljer sig åt. Internrevisionens uppgift består typiskt sett av att granska och ge råd kring styrning, riskhantering och internkontroll. Medan syftet med den externa revisionen är att genom revisionsberättelsen uttala sig om bolagets externa finansiella rapportering, om styrelsens och verkställande direktörens förvaltning av bolaget samt om styrelsens förslag till vinstdisposition.
Dessutom arbetar internrevisionen framförallt på uppdrag av bolagets styrelse och ledning vilket innebär att deras arbete styrs av krav och förväntningar som styrelsen och företagsledningen ställer. Den externa revisionens arbete, å andra sidan, regleras bland annat i aktiebolagslagen och revisorslagen om god revisionssed respektive god revisorssed och i internationella revisionsstandarder, ISA, utfärdade av IAASB. Visserligen finns det definierade normer och krav på hur internrevisionens arbete ska utföras. The Institute of Internal Auditors (IIA) har definierat vad god internrevisionssed innebär samtidigt som det finns styrnings- och internkontrollkrav för noterade bolag. Men kraven är inte tvingande i samma bemärkelse som för externrevision. Dock finns specifika krav på internkontroll för finansiella institut under finansinspektionens tillsyn.
Trots skillnaderna mellan professionerna finns det inslag där deras arbete överlappas. Vid dessa tillfällen kan den externa revisorn, om denne finner det lämpligt, använda internrevisionens arbete som revisionsbevis i den externa revisionen. På så sätt skulle dubbelarbete kunna reduceras, vilket genererar möjligheter till effektivitets- och kvalitetsvinster eftersom den externa revisionen i stället kan bredda sin granskning så att fler områden kan täckas, fördjupa sin granskning i vissa väsentliga områden eller reducera sin egen arbetsinsats.
Vad säger lagar och regler?
I de fall bolaget har en internrevisionsfunktion som utför arbetsuppgifter som är relevanta för den externa revisionen kan alltså den externa revisorn välja att använda sig av deras arbete som revisionsbevis. Dock måste den externa revisorn utvärdera internrevisionen och dess arbete vilket bland annat regleras i ISA 315 och ISA 610. Dessa standarder har under senare år reviderats och de nya, omarbetade versionerna har börjat gälla för samtliga revisioner sedan 15 december 2013. ISA 315 (omarbetad) behandlar kraven på den externa revisorn, i de fall det finns en internrevisionsavdelning, att skaffa sig en förståelse för internrevisionsavdelningens ansvar, dess ställning och status i bolaget samt vilka aktiviteter som genomförts eller planeras att genomföras.
ISA 610 (omarbetad) ställer krav på hur den externa revisionen ska utvärdera internrevisionen för att motverka otillbörlig användning av dess arbete. Standarden definierar nödvändiga åtgärder åt den externa revisorn för att få använda internrevisorernas arbete. Enligt ISA 610 (omarbetad) ska den externa revisorn utvärdera internrevisionens objektivitet, dess kompetens och om avdelningen arbetar efter ett ”systematiskt och disciplinerat arbetssätt”. Jämfört med sin föregångare avser ISA 610 (omarbetad) framförallt att tydliggöra den externa revisorns ansvar och insats, när denne ämnar använda sig av internrevisionens arbete. Bland annat har det förtydligats att den externa revisorn ska genomföra viss upprepning av internrevisionens arbete för att bedöma deras slutsatser.
Den nya ISA 610 är en aning mer regelbaserad jämfört med sin föregångare. Standarden ger tydligare vägledning till externa revisorer i deras utvärdering av internrevisionen. Detta bör underlätta externrevisionens utvärdering av internrevisionen och således också skapa förutsättningar för ett utökat samarbete.
Hur går det till i praktiken?
En eventuell användning av internrevisionens arbete i den externa revisionen är förstås en viktig oberoendefråga som den externa revisorn måste ta ställning till. Faran med att använda internrevisionens arbete ligger bland annat i att en del av revisionen utförs av en för bolaget icke utomstående part. Därav förlorar man till viss del värdet med en oberoende revision, vilket påverkar den externa revisionens kvalitet negativt. Det är sålunda viktigt att den externa revisorn gör en utvärdering av internrevisionen, huruvida det är lämpligt att använda internrevisionens arbete i den externa revisionen.
Som tidigare nämnts bygger denna artikel på en masteruppsats. I uppsatsen undersöktes hur externa revisorer från de stora revisionsbyråerna utvärderar internrevisionen innan de eventuellt använder deras arbete som revisionsbevis i den externa revisionen. I uppsatsen intervjuades sex erfarna externa revisorer från de stora revisionsbyråerna gällande deras utvärdering av internrevisionsfunktioner och dess arbete.
Alla de stora byråerna har egna policyer och föreskrifter för hur deras arbete ska utföras och i dessa finns också riktlinjer för hur internrevisionsfunktioner ska utvärderas. Det visade sig dock i intervjuerna att revisorerna har olika förfaringssätt och lägger fokus på olika faktorer i sin utvärdering, vilket kanske inte är överraskande med tanke på att regelverket kring utvärderingen av internrevisionsfunktioner och dess arbete, trots implementeringen av omarbetade ISA 610, är relativt vag och stundtals endast ger exempel på faktorer som kan påverka den externa revisorns bedömning. Intervjuerna visade till och med att olika metoder används inom samma byrå, vilket tyder på att också deras egna riktlinjer inte är särskilt specifikt formulerade, alternativt att efterlevnaden skiftar. Revisorerna förlitar sig i detta hänseende på sin egen professionella bedömning, i stället för strukturerade rutiner och standardiserade granskningsprogram utvecklade inom byråerna.
Uppsatsen visade att externrevisionens utvärdering av internrevisionen i många avseenden är situationsanpassad. Utvärderingen sker ofta löpande genom exempelvis möten, kommunikation med medlemmar i internrevisionsfunktionen och genom granskning av rapporter. Resultatet pekade även på att externrevisorer sällan eller aldrig begär in dokumenterade uppgifter om internrevisionsfunktionen, såsom deras bakgrund, eventuellt medlemskap i relevanta yrkesorganisationer eller utbildningsprogram.
Externrevisionens utveckling
Om internrevisionsprofessionen fortsätter att utvecklas, vilket det mesta tyder på, bör det rimligen innebära att deras arbete kommer bli allt viktigare i den externa revisionen. Därför blir också utvärdering av internrevisionen viktigare för att kunna avgöra när det är lämpligt, och när det inte är lämpligt, att använda internrevisionens arbete. Med syfte att underlätta och assistera den externa revisionen i sin utvärdering av internrevisionen har ett antal standardiserade granskningsprogram tagits fram av olika forskare inom redovisning och revision (se bland annat Schneider 2010). Dessa är exempelvis utformade enligt en bestämd förfaringsprocess som den externa revisorn ska följa för att på så sätt kunna dra en slutsats om huruvida det är lämpligt att använda internrevisionens arbete eller inte.
Fördelar, som ofta lyfts fram, med att använda standardiserade granskningsprogram är effektivisering, informationsharmonisering och till viss del kvalitetshöjning. Som det ser ut i dag verkar revisorer använda olika tekniker för att utvärdera internrevisionsfunktionen och man lägger fokus på olika faktorer samtidigt som själva utvärderingen utförs genom interaktion med internrevisionen. Genom att utveckla standardiserade granskningsprogram, med förbestämda parametrar, skulle man bland annat kunna utvärdera internrevisionens objektivitet och kompetens både snabbare och mer objektivt.
Därutöver kan det finnas fördelar rent juridiskt med att följa standardiserade och beprövade granskningsprogram. Dessa kan nämligen utformas så att alla juridiska krav som finns på utvärderingen av internrevisionens arbete tas i beaktan och att dokumentationen av utvärderingen blir fullständig. Risken finns att viktiga aspekter förbises om man förlitar sig på sin professionella bedömning.
Men självklart finns det också faror med att använda standardiserade granskningsprogram inom expertområden som revision. Det kanske främsta argumentet mot att använda standardiserade granskningsprogram inom revision är att det medför en minskad professionalitet av yrket, vilket innebär att envar kan utföra arbetet och därav minskar revisorns förmåga till subjektiv förståelse och självreflektion. Rädslan finns att standardiserad revisionsmetodik leder till en övertro på tekniker, på bekostnad av en professionell övergripande förståelse för yrket. Detta kan vara en av anledningarna till att standardiserade granskningsprogram saknas för utvärdering av internrevisionsfunktioner. En annan anledning kan vara att internrevisionsfunktioner, ofta skiljer sig åt mellan bolag och att det till viss del saknas tydlig praxis för hur en internrevisionsfunktion ska vara utformad. Det kan därför vara svårt att konstruera ett standardiserat granskningsprogram som kan användas i de flesta situationer. Emellertid kan detta vara tillfälligt då internrevisionsprofessionen fortfarande är under utveckling och allt eftersom den mognar bör internrevisionsavdelningar mellan bolag bli mer homogena.
Avslutningsvis
Som tidigare nämnts har internrevisionsfunktionerna fått mer resurser under senare år. Fortsätter denna utveckling innebär det rimligen att internrevisionen kan bredda sina granskningsområden alternativt fördjupa sina granskningar vilket hursomhelst gör dem mer intressanta för externrevisionen.
Därför bör god kunskap i hur man utvärderar internrevisionen bli en allt viktigare del inom revision, för att kunna avgöra när och hur man kan använda internrevisionens arbete. Att utveckla standardiserade granskningsprogram kan vara en väg att gå. Men oavsett hur man skaffar sig kunskapen bör det innebära konkurrensfördelar att veta hur internrevisionen ska utvärderas för att på bästa sätt kunna använda deras arbete och därmed uppnå effektivitets- och kvalitetsvinster i revisionen.
Referenser:
Olsson, F. (2013) External auditors’ evaluation of the internal audit function, Masteruppsats Stockholms universitet.
Schneider, A. (2010) Analysis of professional standards and research findings to develop decision aids for reliance on internal auditing, Research in Accounting Regulation, Vol. 22 pp. 96–106.
Förkortningar
IAASB – International Auditing and Assurance Standards Board
ISA – International Standards on Auditing
Fredric Olsson arbetar som revisorsassistent på KPMG. Denna artikel bygger delvis på hans masteruppsats från Stockholms universitet.