I ett problemorienterat och välskrivet debattinlägg i Balans nummer 2/2007 tar Sara Deutschmann upp aspekter på den praktiska tillämpningen av den riskbedömning som en revisor har att göra enligt RS 400.

(I sig innebar införandet av RS och RS 400 ingen ändring, jämfört med den gamla rekommendationen Revisionsprocessen, av ansatsen för riskanalysen och inte heller av de fyra riskbegreppen i detta sammanhang (jfr punkt 2.2.1 i Revisionsprocessen samt kommenterande artiklar om riskbedömning i Balans nummer 12/1988, 8–9/1990 och 4/1991), Skillnaden är i stället att RS allmänt är mer beskrivande av grundläggande principer och viktiga tillvägagångssätt/granskningsåtgärder än vad Revisionsprocessen var (jfr artikeln ”RS utmanar revisorns beteende” i Balans nummer 11/2004 som belyser detta)).

Den internationella omgörningen av standarderna för revisorns riskanalys som skett under senare år har ännu inte påverkat RS men har löpande refererats i Balans (se ”Revision” i nummer 12/2003 och 10/2005). Slutresultatet blev bl.a. att nya ISA 315 och ISA 330 tillkom och att bl.a. ISA 400 och ISA 310 upphörde, allt med internationell effekt vid revisionen av räkenskapsår som inleddes den 15 december 2004 och senare. Dessa nya ISA 315 och ISA 330 är sedermera omstöpta av IAASB inom ramen för det s.k. clarityprojektet, med beräknat internationellt ikraftträdande vid revisionen av räkenskapsår som inleds den 15 december 2008 och senare (se ”Revision” i nummer 2/2007).

Omgörningen berör det som Sara Deutschmann tar upp i debattinlägget och beskrivs kortfattat nedan.

RS: Revisionsstandard i Sverige

ISA: International Standards on Auditing

IAASB: International Auditing and Assurance Standards Board

Revisorns riskansats och granskning enligt nya ISA 315 och ISA 330

Inledning

Det yttersta syftet med granskningen har inte ändrats genom de nya standarderna, nämligen att revisorn ska komma fram till huruvida det finns väsentliga felaktigheter i årsredovisning, bokföring och förvaltning. Men i nya och omstöpta ISA 315 är det företagets verksamhet och dess miljö som är ansatsen för revisorns granskningsåtgärder för att identifiera och bedöma risken för väsentliga felaktigheter. Detta i stället för den mer (revisions-)tekniska ansats som ISA 400 hade och RS 400 har, nämligen utgångspunkten i revisionsrisken som sådan.

ISA 315 behandlar granskning för att identifiera och bedöma riskområden som kräver ytterligare och särskild granskning. Resultatet av granskningen enligt ISA 315 ligger till grund för granskningen enligt ISA 330. ISA 330 behandlar följaktligen genomförandet av denna ytterligare och särskilda granskning samt utvärderingen av de revisionsbevis som den gett för att ge revisorn en grund för rapporteringen i revisionsberättelsen.

Denna förändrade ansats har lett till att den grundläggande beskrivningen av revisionsrisken och till den relaterad struktur flyttats från de ”operativa” riskstandarderna för att i stället sättas in i sitt mer övergripande sammanhang i standarden för målet med en revision, ISA 200. En annan konsekvens är att revisorns granskningsåtgärder för att skaffa sig förståelsen av företagets verksamhet, dess miljö och kontroll naturligt har fogats in i ISA 315 och att den separata standarden för kunskap om verksamheten, ISA 310, därmed har upphört att gälla internationellt.

Mycket kortfattat om granskningen enligt ISA 315 och ISA 330

Den granskningsprocess som återfinns i ISA 315 och ISA 330 i form av granskningskrav och tillhörande 000 för att uppnå de i standarderna angivna målen kan i stark sammanfattning beskrivas enligt följande:

Revisorn ska

i en inledande process som har riskfokus

  • skaffa sig en förståelse av företagets verksamhet och dess miljö,

  • innefattande även den interna kontroll som finns och som är relevant för revisionen (granskningsåtgärder rörande kontrollmiljön, om och hur företaget bedömer risker och skapar kontroller, informationssystem för ekonomisk rapportering, vilka kontroller som är relevanta för revisionen, hur företaget övervakar kontroller),

med syftet att

  • identifiera risker, bedöma dem och hur de kan påverka verksamheten och redovisningen, hänföra dem till vad som kan bli felaktigt och var, beakta relevanta kontroller som finns och som avses granskas samt överväga sannolik heten för att riskerna leder till felaktigheter och att felak tigheterna kan bli väsentliga och därefter

  • använda resultatet av denna förståelse, riskidentifikation och riskbedömning,

för att

  • bedöma och besluta specifikt om vilka av de identifierade riskerna som kräver ytterligare och särskilda revisionsåtgärder,

  • utforma och genomföra sådana ytterligare och särskilda revisionsåtgärder, vars karaktär, omfattning och förläggning i tiden är revisorns svar på denna specifika bedömning (innefattande både substansgranskning och granskning av kontroller liksom en omprövning av riskbedömningen under processen om nödvändigt),

  • bedöma huruvida de revisionsbevis som dessa ytterligare och särskilda revisionsåtgärder gett är tillräckliga och ändamålsenliga och om riskbedömningen förblir relevant,

  • försöka skaffa sig ytterligare revisionsbevis om det inte finns tillräckliga och ändamålsenliga sådana rörande ett väsentligt räkenskapspåstående och

  • dra slutsatser om risken för väsentliga fel i årsredovisningen för formuleringen av uttalandena i revisionsberättelsen (varvid ett uttalande med reservation eller ett avstående från ett uttalande är aktuellt om revisorn inte kunnat skaffa sig de ytterligare nödvändiga revisionsbevisen enligt föregående punkt),

samt

  • utvärdera och kommunicera med företaget eventuella funna brister i utformning, införande och upprätthållande av intern kontroll och

  • dokumentera viktiga delar av revisionsarbetet enligt beskrivning i varje standard.

Överväganden specifika vid revisionen av småföretag

I tillämpningsmaterialet ingår, där IAASB bedömt det relevant, överväganden som är specifika vid revisionen av små företag. Bland de områden i standarderna där sådant tillägg finns kan nämnas processer för resultatmätning och resultatgenomgång, intern kontroll, kontrollmiljö, informationssystem, kontrollåtgärder samt övervakning av kontroller.

Användningen av modeller, mallar och exempel

RS 400 anvisar en modell för revisorns riskanalys med utgångspunkt i revisionsrisken och dess komponenter. RS 400 kan dock inbjuda till en alltför stark bundenhet till ett inbördes samband mellan de angivna riskkomponenterna. En bundenhet som – vilket Sara Deutschmanns kritiska inlägg visar – kan leda till att revisionsrisken upplevs och blir beskriven som resultatet av en teknisk och matematisk övning.

Värdet av revisionsriskmodellen

Värdet som jag ser det av revisionsriskmodellen med strukturen inneboende risk och kontrollrisk (som är företagsrelaterade risker med koppling till verksamheten och den interna kontrollen) respektive upptäcktsrisk (som är en revisorsrelaterad risk kopplad till omfattningen av den granskningsinsats som revisorn väljer att göra) är först och främst följande. Nämligen att den strukturen hjälper till att illustrera och lokalisera revisorns tankebanor i arbetet att dels identifiera och bedöma risken för felaktigheter, dels utforma den ytterligare och särskilda granskning som revisorn måste göra som ett svar på denna bedömning. Detta värde består även efter omgörningen och omstöpningen av riskstandarderna.

Risken allmänt med modeller, mallar och exempel

På tal om risk och modell och på förekommen anledning vill jag peka på en allmän ”risk” med användningen av modeller, mallar och exempel, t.ex. sådana som återges i standarder eller i bilagor till standarder. Nämligen risken att något, som endast är avsett att åskådliggöra ett tankesätt eller sätt att rapportera i ett givet sammanhang, används utan den anpassning till det enskilda konkreta fallet som alltid är nödvändig.

Efterfrågan på mallar etc. är närmast oändlig. Men om deras syfte och funktion inte förstås och om det professionella omdömet inte är i högsätet, när en modell, en mall eller ett exempel ska föras över från sitt illustrativa sammanhang och tillämpas på och anpassas till omständigheterna i det verkliga enskilda fallet, kan dessa verktyg i revisorns vardag lätt övergå till att vara otyg i samma vardag.

Lars-Gunnar Larsson är teknisk sekreterare på FAR SRS. lars-gunnar.larsson@farsrs.se