Många bolag har under de senaste åren etablerat internrevisionsavdelningar, som en del i sitt arbete med att utveckla och stärka den interna kontrollen. Ett bra samarbete mellan intern- och externrevisionen, där parterna drar nytta av samordning och kommunikation, kan på ett positivt sätt bidra till att höja kvaliteten och effektiviteten i bådas insatser. I denna artikel belyser Anders Tagde och Daniel de Paula de skärpta kraven när det gäller kommunikationen och samarbetet mellan en intern- och en externrevisor.
ISA – International Standard On Auditing
IAASB – International Auditing and
Assurance Standards Board
ISQC – International Standard on Quality Control
IESBA – International Ethics Standards Board for Accountants
Baserat på den utveckling som har skett har IAASB beslutat att omarbeta ISA 610 Använda arbete som har utförts av internrevisionen. IAASB har även omarbetat ISA 315 för att förtydliga hur den externa revisorn (”revisorn”) ska beakta information från internrevisionen. De uppdaterade standarderna har översatts av FAR och gäller för revisioner av räkenskapsår som avslutas 15 december 2013 eller senare, det vill säga redan för kalenderår 2013. Det är alltså en väldigt kort period innan ikraftträdandet och det är viktigt att de nya reglerna beaktas i planeringen inför 2013 års granskningar.
I ISA 315 (omarbetad) tydliggörs kravet på att revisorn, i de fall en internrevisionsavdelning finns, ska skaffa sig en förståelse för hur avdelningen är organiserad och utformad samt vilka aktiviteter som genomförts eller planeras genomföras. Genom att inhämta denna information kan revisorn bedöma om internrevisionens arbete är relevant för den finansiella rapporteringen och om det finns omständigheter som bör beaktas vid riskbedömningen. Tidigare var detta bara ett led i att bedöma om revisorn skulle använda sig av internrevisionens arbete men nu tydliggörs också att en löpande kommunikation med internrevisionen är ett viktigt moment i revisorns riskbedömningsprocess.
I ISA 610 har ett viktigt syfte med att omarbeta standarden varit att framför allt tydliggöra den externa revisorns ansvar och insats, i de fall man avser att använda sig av internrevisionens arbete. Nedan följer de viktigaste förändringarna och tilläggen:
Revisorn behöver mer noggrant utvärdera internrevisionens objektivitet, kompetens och huruvida avdelningen arbetar efter en ”systematisk och disciplinerad ansats” (systematic and disciplined approach) för att bedöma om internrevisionens arbete kan användas som en del i externrevisionen. Denna ansats ska även inbegripa internrevisionens system för kvalitetskontroll, vilket innebär att i princip tillämpliga delar av ISQC1 gäller.
Den omarbetade standarden inför också ett krav på att revisorn behöver bedöma i vilken omfattning som denne avser att använda sig av internrevisionens arbete. Detta för att säkerställa att revisorn är tillräckligt involverad i revisionen och inte överlåter för stora delar av revisionsarbetet till internrevisionen.
För de områden där revisorn avser att använda sig av internrevisionens arbete ställs nu krav på att revisorn tar del av relevanta internrevisionsplaner och rapporter. Ett viktigt förtydligande är att det krävs att revisorn även genomför viss upprepning av aktiveter (reperformance) för att verifiera iakttagelser och slutsatser. Dessutom är man tydligare med inom vilka områden som revisorn kan använda internrevisionen genom att ge exempel.
Ett av de viktigaste förtydligandena återfinns i tillämpningsanvisningarna avseende åtgärder kopplade till betydande risker. Baserat på ISA 315s krav på särskilda åtgärder kopplade till betydande risker säger ISA 610 att revisorn endast får använda sig av internrevisionens arbete avseende åtgärder som kräver bedömningar i mindre omfattning. Därmed ska revisorn genomföra en större del av granskningsåtgärderna själv för att reducera risken till en acceptabel nivå. Detta gäller även områden där risken för väsentliga fel inte bedöms vara låg.
Som en ytterligare skyddsåtgärd införs ett krav på att revisorn ska informera styrelse eller i förekommande fall revisionsutskottet, om hur denne avser att använda sig av internrevisionens arbete.
I de revisioner där man sedan tidigare har använt sig av internrevisionens arbete ställs nu nya krav som är viktiga att beakta vid planeringen av nästa års uppdrag, framför allt för att tillförsäkra att revisorn är tillräckligt involverad i revisionen. Dock ger omarbetade ISA 610 tydligare vägledning på många områden, vilket kan underlätta samarbetet mellan revisorerna och skapa möjligheter för utökat samarbete och högre effektivitet.
I anslutning till den omarbetade ISA 610 har det pågått en diskussion mellan IAASB och IESBA kring definitionen på ”engagement team”, där den nuvarande definitionen i IESBAs etikregler gör att det kan framstå som att det inte är möjligt för internrevisorerna att ge direktassistans till den externa revisorn. IESBA har under december 2012 fattat beslut om en förändrad definition. IAASB kommer att göra tillägg till ISA 610 avseende direktassistans och en uppdatering kommer att publiceras under 2013. Tilläggen i ISA 610 förväntas träda i kraft för bokslut som avslutas 15 december 2014 eller senare. För de uppdrag där internrevisionen redan i dag bistår med direktassistans till revisorn finns det praktisk vägledning som kan vara värdefull att ta del av redan i samband med revisioner som utförs under 2013. 99199.jpg
Anders Tagde är auktoriserad revisor på KPMG samt medlem i FARs policygrupp för revision.
Daniel de Paula är auktoriserad revisor på Deloitte samt medlem i FARs policygrupp för revision.