Professionell skepticism är det begrepp som nämns gång på gång då FARs revisionskommitté samlats till ett samtal kring den reviderade versionen av ISA 240 (International Standards of Auditing). Den standard som har sitt ursprung i den internationella standarden Auditor’s Responsibility to Consider Fraud in the Audit of Financial Statements – Revisorns ansvar att beakta oegentligheter vid revision av årsredovisningen. Deltog gjorde: Helena Adrian, Peter Alnebring, Björn Bäckvall, Lars Egenäs, Kari Falk, Anders Hult, Magnus Torén och Bo Åsell från FARs revisionskommitté.

Känner företagsledningarna i svenska företag till och förstår sitt ansvar avseende oegentligheter och fel, både när det gäller att upptäcka och förebygga oegentligheter?

– Kunskapen om ansvarsfördelning mellan företagsledning/styrelse och revisor varierar kraftigt. Det finns företagsledningar som tror att det är revisorn som svarar för att upptäcka oegentligheter och andra som vet hur ansvarsfördelningen fungerar, säger Magnus Torén och får medhåll från övriga kommittémedlemmar. Man är också enig om att det är styrelsen/företagsledningen som har ansvar för att bolaget har en god intern kontroll.

Kommittén förklarar att företag ofta förlitar sig helt på revisorn. Man hoppas och tror att han eller hon ska upptäcka ifall något är fel. Men både i RS 240 och ISA 240 talar man om att det finns begränsningar i revisionen. Att revisionen inte är en garant för att alla oegentligheter upptäcks.

– Vi talar om en hög men inte absolut säkerhet att upptäcka fel på årsredovisningsnivå, säger Bo Åsell.

Någon påpekar att Enronfallet och andra bolagsskandaler i USA, och de lagskärpningar som blivit följden, inneburit att amerikanska bolag tvingats bli uppmärksamma på styrelsens och företagsledningens ansvar. Här ligger Sverige efter, säger en ledamot men anser att Koden för Bolagsstyrning riktat strålkastarljuset på detta problem. Och ISA 240 (revised) är ju influerad av den amerikanska lagstiftningen som bland annat kräver att företagsledningen skriftligen intygar att man har en tillfredställande intern kontroll i bolaget.

Hur ska revisorn arbeta enligt ISA 240 (revised)?

– Redan i planeringsprocessen ska revisorn göra en riskutvärdering för att se på vilka områden som just det aktuella bolaget kan utsättas för avsiktliga fel. Det varierar från bransch till bransch, typ av bolag, företagskultur, och så vidare. Reglerna kräver att hela uppdragsteamet diskuterar frågan kring oegentligheter. Alla måste ha begreppet oegentligheter i bakhuvudet under revisionens gång. Det här är en skillnad mot tidigare, förklarar Kari Falk och tillägger att diskussionen inom revisionsteamet måste dokumenteras.

Kommittén är ense om att det här är ett bra exempel på hur nyckelordet professionell skepticism ska vägleda revisorns arbete enligt ISA 240 (revised).

– Det är frågan om en attitydförändring. Nu planerar man för förekomsten av oegentligheter, tidigare var det mer en fråga om att råka träffa på sådana, anser Lars Egenäs.

– Det här förstärks ytterligare av för ändringar i lagen om åtgärd för att för hindra penningtvätt som träder i kraft 1 januari 2005. Där sägs uttryckligen att revisorn ska granska om man stöter på omständigheter som kan tyda på penningtvätt, förklarar Helena Adrian.

I arbetet enligt ISA 240 ska revisorn intervjua ledning och styrelse för att se hur bolaget kontrollerar och hanterar vardagen för att undvika oegentligheter. Under samtalet refererades till undersökningar som visar att det är svårast för revisorn att upptäcka oegentligheter när företagsledningen satt sig över reglerna. Och det är det vanligaste scenariot där oegentligheter förekommer – så kallad management override of control. Kommittén menar att revisorn alltid tagit hänsyn till värderingar och bedömt om dessa varit rimligt rättvisande, men att man nu går steget längre och talar om oegentligheter.

– Revision enligt ISA 240 (revised) innebär exempelvis att vi ska granska bokföringsorder vid bokslutsperioden. Under 1970-talet och början på 80-talet så utfördes denna typ av granskning just för att se till att företagsledningen inte gjort någon justering på slutet. Det är väldigt bra att vi fått tillbaka detta, menar en enig kommitté.

Fler substansgranskningar blir det sannolikt frågan om i framtiden, liksom fler fysiska kontroller både i den löpande redovisningen och ute på fältet.

Vad är skillnaden mellan den nya ISA 240 (revised) och RS 240?

Det är framför allt omfånget och graden av detaljrikedom som skiljer de två standarderna åt. RS var 6–7 sidor medan ISA omfattar ett 50-tal sidor. ISA kan tjäna som ett regelverk men också som en instruktion och vägledning till hur revisorn ska arbeta. Dessutom: RS 240 handlar både om avsiktliga och oavsiktliga fel, medan ISA 240 bara tar upp avsiktliga fel. De oavsiktliga felen anses numera vara behandlade i övriga ISA.

Hur blir samspelet med aktiebolagslagens bestämmelser om åtgärder vid misstanke om brott och Lagen om penningtvätt?

Kommittén uppfattar det som att bestämmelserna; aktiebolagslagen 10 kap. 38–40 § i princip tar vid där ISA 240 (revised) slutar:

– På slutet av ISA 240 (revised) sägs vad revisorn ska göra när han eller hon upp täckt att oegentligheter förekommer – vilka myndigheter man ska gå till och så vidare. Aktiebolagslagens regler om anmälningsskyldighet gäller redan vid misstanke om brott, säger Kari Falk.

Jo, så är det, konstaterar Helena Adrian:

– Föreslagna förändringar vad gäller penningtvätt, ligger som ett gränsland mellan anmälningsskyldighet enligt aktie bolagslagen och ISA 240 (revised). Enligt den lagen måste man granska även om man endast misstänker något.

Men har inte revisorer alltid granskat oegentligheter?

Med en mun konstaterar kommittén att det finns ett förväntningsgap mellan vad revisorn ålagts att göra enligt den äldre revisionsprocessen och vad allmänheten tror att revisorerna gör. Enligt den äldre revisionsprocessen skulle revisorn ”vid sin granskning av bolags årsredovisning förvaltning bedöma risken för oegentligheter eller oavsiktliga fel som är av sådan betydelse att det kan väsentligt påverka...” Vidare förklarades att ”revision har inte till självständigt syfte att upptäcka förskingringar eller andra oegentligheter”.

Har man gått ett steg för långt när man nu kräver mer och mer kontroll, dokumentation och information av revisorerna?

Revisionskommitténs ledamöter funderar och kommer fram till att visst kännas det ibland som att pendeln slagit över allt för långt. ”Å andra sidan kanske det är bra så”, säger någon, ”när man vill återskapa förtroendet för kapitalmarknaden och företagen och även för revisorerna – att man tar tag i frågorna ordentligt.” Man hoppas på att inom några år ha fått en bättre struktur och återskapat förtroende: ”Det är ju bra för båda parter och för samhället i stort.”

Kommittén konstaterar att på 1970-talet och början av 80-talet var internkontroll något väldigt viktigt. Men från slutet av 80-talet och på 90-talet var det analytisk granskning och nyckelkontroller som gällde. Nu är man på väg tillbaka... ”Kanske detta är en reaktion på att vi alla släppte det för långt. Att vi såg lite för översiktligt på vissa saker”, frågar sig någon.

Är det frågan om en förbättring?

Kommittémedlemmarna kommer fram till att det är omvärldsförändringar som bidragit till att i princip alla nya standarder för revisorer ökat i omfång och blivit mer detaljerade.

– I dagens klimat när färre och färre startar nya företag så tror jag inte att de nya revisionsreglerna innebär att fler startar nya bolag eller går över till bolagsformen, utan att de kanske stannar kvar i den enklare företagsformen. Jag tror att vi revisorer måste hitta någon form av balansgång för revision i mindre bolag, säger Peter Alnebring.

Kommer det här att fungera för de små företagen?

Revisionskommittén tror att de mindre bolagen kommer att uppskatta revisorns hjälp med fokuseringen på att upptäcka oegentligheter, eftersom de inte har egna administrativa avdelningar och rutiner för detta.

Björn Bäckvall konstaterar att i mindre företag måste man skapa öppenhet i kommunikationerna så att företagen kanske stämmer av med revisorn i frågor där de saknar egen kompetens. Annars finns det en risk för att revisorn ses som en polis.

En nyhet i ISA 240 (revised) är att revisorn ska titta på om det finns affärsmässig grund för ett beslut. Han eller hon ska se om detta är utanför det vanliga verksamhetsområdet eller ovanligt på något annat vis. Än en gång konstaterar Revisionskommittén att professionell skepticism är ett centralt begrepp för morgondagens revisor.

– Vi i kåren har ett ansvar att utbilda våra medarbetare samt de ägarledda företagen och deras styrelser, anser Bo Åsell som förklarar att kostnaderna för revision kommer att gå upp under de närmaste åren. Det är olika nya regelverk som ger revisorn merarbete.

– Intentionen måste vara att på lite längre sikt hjälpa företagsledningen att göra bättre ifrån sig genom att bygga upp de rutiner som behövs för en effektiv kontroll, påpekar Anders Hult.

Erfarenheterna av RS 240 är hittills positiva. Bo Åsell förklarar att sedan införandet 2004 ”så har kommunikationen kommit igång på ett bättre sätt i de mindre företagen. Det första revisorn gör är ju att skriva uppdragsbrev vilket tydliggör rollerna. Här har vi möjlighet att kommunicera med företag/ägare eller styrelse om vem som har ansvar för vad.”

Kommittén konstaterar att här är det egentligen ingen skillnad mellan stora eller små företag. I alla sammanhang måste revisorn våga tala om risken för oegentligheter och vad som ska göras för att undvika sådana. Och det sägs i ISA 240 (revised) att granskning och insatser ska anpassas till företagets storlek.

Hur kan IT användas för att effektivisera granskningen enligt ISA 240?

Kommittén är övertygad om att tekniken kan användas för att till exempel leta efter ovanliga transaktioner. Men, förklarar man, det handlar egentligen om att förstå IT-system som företagen använder och därmed att kunna kartlägga risker.

Blir det lättare för revisorn att upptäcka oegentligheter med nya ISA 240 (revised)?

Kommittémedlemmarna funderar men kommer fram till att ”lättare blir det nog inte.” Indirekt kommer företagen dock själva att tvingas ha bättre kontrollsystem. Därmed blir de mer uppmärksamma på problemet, anser Revisionskommittén.

Ny internationell standard ISA 240 (revised)

Revisorns ansvar att beakta oegentligheter vid en revision av årsredovisning, bokföring och företagsledningens förvaltning. (Denna ISA träder i kraft vid revisionen av räkenskapsår som börjar den 15 december 2004 och senare.)

Punkt 6

Termen ”oegentligheter” avser en avsiktlig handling av en eller flera individer bland företagsledningen, dem som övervakar företagsledningen, anställda eller tredje man som omfattar bedrägligt beteende för att skaffa sig en orättmätig eller olaglig fördel. Fastän oegentligheter är ett rättsligt begrepp med vid omfattning, befattar sig revisorn, enligt syftet med denna ISA, med oegentligheter som orsakar väsentliga felaktigheter i årsredovisningen. Revisorer avgör inte om oegentligheter faktiskt har begåtts ur en rättslig synvinkel ...

Punkt 7

Två typer av avsiktliga felaktigheter är relevanta för revisorn, nämligen felaktigheter som beror på bedräglig ekonomisk redovisning och rapportering och felaktigheter som beror på förskingring av tillgångar.

Punkt 51

De åskådliggjorda riskförhållandena är uppdelade efter tre omständigheter som allmänt är för handen när oegentligheter förekommer; en drivkraft eller press att begå oegentligheter, ett uppfattat tillfälle att begå oegentligheter och en förmåga att rättfärdiga den oegentliga handlingen. Riskförhållanden som speglar en attityd som tillåter ett rättfärdigande av en oegentlig handling kan kanske inte vara möjliga för revisorn att observera. Ändå kan revisorn komma att få reda på att sådan information finns ... Revisorn måste också vara uppmärksam på riskförhållanden som är specifika för företaget ...

Förtroendekommissionen

28 april 2004 överlämnade Förtroendekommissionen (ordförande Erik Åsbrink) sitt slutbetänkande Näringslivet och förtroendet (SOU 2004:47) till regeringen. Betänkandet innehåller förslag till skärpta lagar, ökad upptäcktsrisk och effektivare sanktioner allt i syfte att förstärka förtroendet för näringslivet. Förslaget har remissbehandlats under hösten. Förtroendekommissionen föreslår – utöver självreglering (se Kod för bolagsstyrning) – en kombination av skärpt lagstiftning, förbättrad tillsyn och effektivare sanktioner, man talar om ”balans i förtroendetriangeln”, samt ökad öppenhet och tydligare ansvarsgränser.

Kod för bolagsstyrning

Den så kallade Kodgruppen, utsedd av näringslivet och Förtroendekommissionen, presenterade i april 2004 ett förslag till Svensk kod för bolagsstyrning (SOU 2004:46) Förslaget bygger på självreglering och avser i första hand noterade bolag. Rollfördelningen ägare-styrelse-ledning, ägarnas styrning, styrelsearbetet och informationsfrågor behandlas i förslaget.