1 Rekommendationens syfte och tillämpningsområde
1.1Syftet med denna rekommendation är att tydliggöra den goda revisionsseden vid revision av företag som omfattas av lagen (2004:297) om bank- och finansieringsrörelse, sparbankslagen (1987:619), lagen (1995:1570) om medlemsbanker, lagen (1980:1097) om svenska skeppshypotekskassan, lagen (2007:528) om värdepappersmarknaden, lagen (2004:46) om värdepappersfonder, lagen (2013:561) om förvaltare av alternativa investeringsfonder i den mån förvaltningen inkluderar specialfonder, försäkringsrörelselagen (2010:2043), lagen (2019:742) om tjänstepensionsföretag eller lagen (1972:262) om understödsföreningar (tillsammans ”rörelselagarna”) och därmed står under Finansinspektionens (FIs) tillsyn (finansiella företag). Rekommendationen omfattar inte granskning av betaltjänstföretag1, konsumentkreditinstitut, bostadskreditinstitut, institut för elektroniska pengar och försäkringsförmedlare trots att dessa företag står under FIs tillsyn. Rekommendationen omfattar inte heller utländska filialer i Sverige eller s.k. finansiella institut som är registrerade i FIs företagsregister men som inte står under FIs tillsyn.
I beteckningen betaltjänstföretag ingår följande kategorier av företag: betalningsinstitut, registrerade betaltjänstleverantörer, betalningsinstitut utländsk filial, ombud för betalningsinstitut och registrerade betaltjänsteleverantörer samt utländska ombud för betalningsinstitut.
(FAR N 2022:23)
2 God revisionssed
2.1En revisor i ett finansiellt företag förväntas ha tillräcklig kunskap, erfarenhet och kompetens för att på ett erforderligt sätt bedöma och hantera risker för väsentliga felaktigheter i de finansiella rapporterna med hänsyn till komplexiteten i det finansiella företagets verksamhet och robustheten i dess interna kontrollmiljö.
(RevP 2016:8)
2.2God revisionssed vid revision av finansiella företag består av ett flertal komponenter, däribland:
Särskilda kompetens-, erfarenhets- och utbildningskrav för den ansvariga revisorn och den kvalitetskontrollerande revisorn (dvs. den särskilda kvalitetsgranskaren för uppdraget enligt ISA 220 (omarbetad) Kvalitetsstyrning för revision av finansiella rapporter) när sådan har utsetts. Dessa särskilda krav anges på FAR:s webbplats.
Krav enligt ISA, rekommendationer i revisionsfrågor (RevR) och uttalanden i revisionsfrågor (RevU) av FAR (se FAR:s Inledning till regler om revision och andra granskningsuppdrag). Tillämpningen av områden i ISA-standarderna som kräver särskild uppmärksamhet vid revision av finansiella företag beskrivs under avsnitt 3 nedan.
Enligt lag, förordning och denna rekommendation har revisorn – utöver revisionsberättelsen och annan sedvanlig rapportering – ett rapporteringskrav till såväl företagets revisionsutskott och styrelse som FI. Rapporteringskraven beskrivs i avsnitt 4 nedan.
(FAR N 2023:20)
3 Särskilda överväganden vid tillämpning av ISA och god revisionssed i finansiella företag
3.1ISA utgör den grundläggande normgivningen för revisorn då han eller hon genomför en revision. God revisionssed innefattar även tillämpning av Standarder för översiktlig granskning (ISRE), Standarder för näraliggande tjänster (ISRS), Standarder för bestyrkande av annan historisk finansiell information (ISAE) och Standarder för kvalitetsstyrning (ISQM). I vissa fall ställer lagstiftning eller andra regler krav på anpassning eller komplettering av ISA. FAR har därför utfärdat rekommendationer och uttalanden som ska tillämpas tillsammans med ISA. Vid revision och annan granskning av finansiella företag ska revisorn tillämpa god revisionssed i Sverige och därmed beakta samtliga rekommendationer och uttalanden i revisionsfrågor som FAR har utfärdat.
(FAR N 2022:23)
3.2Revisorer i finansiella företag måste vara medvetna om, och i sin riskbedömning ta hänsyn till, de specifika regulatoriska krav som finns för finansiella företag som kan ha en påverkan på revisorns granskning, t.ex. rörelseregler, krav på tillfredsställande styrning och intern kontroll, kapitaltäckning och solvens. Andra områden som kan vara av specifikt intresse är sådana där företagsledningen har gjort väsentliga bedömningar, t.ex. vid värdering av komplexa finansiella instrument och lånefordringar samt försäkringstekniska avsättningar eller risker som beror på det enskilda företagets verksamhetsinriktning.
(RevP 2016:8)
3.3Nedan följer utdrag ur specifika ISA-standarder med kompletterande beskrivningar av de särskilda överväganden som revisorn måste göra i en revision av finansiella företag. Text med indrag utgör citat ur respektive ISA-standard, medan övrig text utgör de särskilda överväganden som gäller för finansiella företag.
(FAR N 2019:29)
ISA 250 Beaktande av lagar och andra författningar vid revision av finansiella rapporter
3.4Med revision av finansiella rapporter menas revision av årsredovisningar och inte olika revisorsintyg eller yttranden som revisorer ska lämna i andra sammanhang.
ISA 250
11. Revisorns mål är att
inhämta tillräckliga och ändamålsenliga revisionsbevis för att företaget har följt bestämmelserna i de lagar och andra författningar som allmänt anses ha en direkt inverkan på hur väsentliga belopp och upplysningar i de finansiella rapporterna fastställs,
utföra särskilda granskningsåtgärder som hjälp för att identifiera överträdelser av andra lagar och författningar som kan ha en väsentlig inverkan på de finansiella rapporterna, och
på lämpligt sätt hantera överträdelser eller misstänkta överträdelser av lagar och andra författningar som identifieras under revisionen.
13. Som ett led i arbetet med att skaffa sig en förståelse av företaget och dess miljö enligt ISA 315 ska revisorn skaffa sig en allmän förståelse av:
Det juridiska ramverk som gäller för företaget och den bransch eller sektor där företaget är verksamt.
Hur företaget följer detta ramverk.
3.5har upphävts genom RevP 2017:11.
3.6har upphävts genom RevP 2017:11.
ISA 250
14. Revisorn ska inhämta tillräckliga och ändamålsenliga revisionsbevis om hur företaget har följt bestämmelserna i de lagar och andra författningar som allmänt vedertaget har en direkt inverkan på hur väsentliga belopp och upplysningar i de finansiella rapporterna fastställs.
15. Revisorn ska utföra följande granskningsåtgärder som hjälp för att identifiera överträdelser av andra lagar och författningar som kan ha en väsentlig inverkan på de finansiella rapporterna:
Förfrågan till företagsledningen och, i tillämpliga fall, styrelsen om huruvida företaget följer sådana lagar och andra författningar.
Inspektera eventuell korrespondens mellan företaget och berörda tillståndsgivande myndigheter och tillsynsmyndigheter.
16. Under revisionen ska revisorn vara uppmärksam på möjligheten att andra granskningsåtgärder som utförs kan medföra att överträdelser eller misstänkta överträdelser av lagar och andra författningar kan komma till revisorns kännedom.
3.7Exempel på områden som revisorn kan beakta i samband med att han eller hon utför granskningsåtgärder enligt punkterna 14 och 15 ovan är:
tillämpligt juridiskt ramverk, t.ex. de rörelselagar som omnämns i avsnitt 1 ovan, och de rutiner företaget har etablerat för att säkerställa efterlevnad av detta ramverk,
efterlevnad av de tillstånd som reglerar inom vilka områden företaget får bedriva verksamhet, samt
korrespondens med FI (inklusive korrespondens i samband med platsbesök eller förfrågningar om information).
(FAR N 2019:29)
3.8Speciella åtgärder som revisorn bör överväga att utföra i förhållande till företagets kontrollfunktioner (compliance funktion, funktionen för riskkontroll, internrevision och i förekommande fall aktuariefunktion) omfattar bland annat:
genomgång av kontrollfunktionernas rapporter till styrelsen, revisionsutskottet och andra utskott eller kommittéer,
dialog med ansvariga för kontrollfunktionerna, och
beaktande av internrevisionens granskning av övriga kontrollfunktioner.
(FAR N 2020:25)
ISA 315 (omarbetad 2019) Identifiera och bedöma riskerna för väsentliga felaktigheter
3.9ISA 315 ger vägledning om hur revisorn ska identifiera och bedöma riskerna för väsentliga felaktigheter genom att förstå företaget och dess miljö. Finansiella företag kan bedriva en komplex verksamhet och/eller verka i en komplex och reglerad miljö.
Förståelse för företaget och dess miljö
ISA 315
19. Revisorn ska genomföra riskbedömning för att skaffa sig en förståelse av
följande aspekter av företaget och dess miljö:
företagets organisationsstruktur, ägande och styrning och dess affärsmodell, däribland i vilken grad affärsmodellen integrerar användningen av IT,
branschspecifika faktorer, regelverk och andra externa faktorer, och
vilka mått som används, internt och externt, för att bedöma företagets finansiella ställning,
det tillämpliga ramverket för finansiell rapportering och företagets redovisningsprinciper, samt skälen till eventuella förändringar av dessa, och
hur inneboende riskfaktorer påverkar känsligheten i påståenden för felaktigheter och i vilken grad de gör det vid upprättandet av de finansiella rapporterna i enlighet med det tillämpliga ramverket för finansiell rapportering, baserat på den förståelse som revisorn skaffade sig under a och b.
3.10Vid bedömningen av företaget och dess miljö kan revisorn exempelvis beakta:
företagets strategi, riskbenägenhet, kapital/solvens, finansiering och likviditet,
företagets produkter och tjänster samt företagets lönsamhetsuppföljning,
företagets främsta källor till intäkter och kostnader exempelvis:
avgifter och provisioner,
ränteintäkter och räntekostnader,
kapitalavkastning,
försäkringspremier och försäkringsersättningar,
driftskostnader,
företagets styrning och efterlevnad av FIs regelverk där särskild vikt bör fästas vid företagets riskhantering och risknivå,
om ett ramverk finns för internkontroll för finansiell rapportering och kvaliteten i detta, samt
styrelsens och företagsledningens inställning till intern styrning och kontroll, kvaliteten i rapporteringen till styrelse och företagsledning samt styrelsens och företagsledningens förmåga att styra verksamheten.
(FAR N 2022:23)
3.11När revisorn skapar sig en förståelse av företaget bör revisorn exempelvis beakta:
olika verksamhetsområdens relativa betydelse i relation till företaget i stort, vilket innefattar en förståelse av typ och omfattning av specialiserade områden, t.ex. verksamhet som innefattar derivat och andra komplexa verksamheter såsom handel där den egna balansräkningen riskexponeras,
metoder för att genomföra affärer, egenskaper hos företagets försäkringsprodukter, återförsäkringsprogram och solvenssituation,
exponering mot nya kategorier av kunder, produkter och distributionskanaler,
relevanta aspekter av företagets rutiner för riskhantering,
komplexiteten i företagets informationssystem,
organisationsstruktur,
marknadsförändringar,
komplexiteten i produkterna,
antalet filialer och kontor respektive den geografiska placeringen av dem,
relevant ekonomisk utveckling,
utvecklingen inom relevant lagstiftning, samt
roller och ansvarsområden hänförliga till ekonomi, riskkontroll, compliance-funktion (regelefterlevnad), aktuariefunktion och intern revision.
(FAR N 2022:23)
3.12När revisorn skapar sig en förståelse av regulatoriska faktorer bör revisorn beakta:
korrespondens mellan företaget och FI, inklusive riskbedömningar som gjorts av FI och resultaten av FIs tillsynsbesök,
korrespondens mellan företaget och andra tillsynsmyndigheter, och
förvaringsinstitutets uppföljning av fondverksamhet.
(FAR N 2019:29)
Förståelse för det tillämpliga ramverket för finansiell rapportering
ISA 315
20. Revisorn ska bedöma om företagets redovisningsprinciper är ändamålsenliga och förenliga med det tillämpliga ramverket för finansiell rapportering.
3.13Redovisningsprinciper av särskild betydelse kan exempelvis innefatta:
intäktsredovisning,
redovisning av klientmedel (i eller utanför balansräkningen),
nedskrivningar av lånefordringar,
försäkringstekniska avsättningar,
säkringsredovisning,
klassificering och värdering av finansiella tillgångar och skulder,
inbäddade derivat (t.ex. i finansiella instrument och försäkringsavtal),
värdering av komplexa finansiella instrument inklusive värdepappersfonders innehav,
konsolidering av specialföretag (Special Purpose Entities, SPE),
hur nettoredovisning sker av transaktioner,
redovisning av avgiftsuttag och kostnader mellan fondbolag och fond,
klassificering av avtal såsom antingen försäkrings- eller investeringsavtal, och
förutbetalda anskaffningskostnader.
Revisorn ska bedöma om fastställda redovisningsprinciper stämmer överens med tillämpliga redovisningsstandarder och ska skaffa sig en förståelse av de rutiner, system och kontroller som etablerats för att säkerställa att reglerna efterlevs.
(FAR N 2022:23)
Förstå komponenterna i företagets system för intern kontroll
ISA 315
Kontrollmiljö
21. Revisorn ska skaffa sig en förståelse av de delar av kontrollmiljön som är relevanta för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning, genom att
förstå den uppsättning kontroller, processer och strukturer som avser:
hur ledningen utövar sitt tillsynsansvar över t.ex. företagets kultur och hur engagerad ledningen är i hederlighet och etiska värderingar,
när styrelsen är fristående från ledningen, styrelsens oberoende och dess tillsyn över företagets system för intern kontroll,
företagets fördelning av befogenheter och ansvar,
hur företaget attraherar, utvecklar och behåller kompetenta medarbetare, och
hur företaget håller olika personer ansvariga för deras ansvarsområden för att nå målen med systemet för intern kontroll, och
utvärdera huruvida
företagsledningen, under tillsyn av styrelsen, har utvecklat och upprätthållit en kultur präglad av ärlighet och etiskt korrekt agerande,
kontrollmiljön erbjuder en tillräcklig grund för de andra komponenterna i företagets system för intern kontroll med beaktande av företagets karaktär och komplexitet, och
brister i kontrollerna som identifieras i kontrollmiljön undergräver de andra komponenterna i företagets system för intern kontroll.
3.14har upphävts genom FAR N 2022:23.
3.15Kvaliteten på den övergripande kontrollmiljön är beroende av företagsledningens inställning till intern styrning och kontroll. En positiv inställning kan bekräftas genom ett organisatoriskt ramverk som möjliggör en adekvat ansvarsfördelning (dualitet) och delegering av kontrollfunktioner som uppmuntrar att brister rapporteras och åtgärdas.
3.16Finansiella företag bör ha system och kontroller som är lämpliga för sin verksamhet. Revisorn bör beakta huruvida företaget har exempelvis:
klara och tydliga rapporteringskedjor inom företaget,
lämpliga kontroller för att säkerställa efterlevnad av lagar och förordningar (compliance-funktion),
lämplig riskbedömningsprocess,
lämpliga kontroller för att säkerställa en självständig riskkontroll (funktion för riskkontroll/riskhantering),
lämpliga kontroller för värdering,
lämplig rapportering till styrelse och företagsledning,
kontroller för att säkerställa personalens lämplighet,
kontroller för att hantera risker till följd av ersättningssystem,
dokumenterade och testade planer för kontinuitet i verksamheten,
dokumenterade affärsplaner eller strategier,
robusta verktyg för planering och uppföljning av verksamheten,
en funktion för oberoende granskning/internrevision,
en aktuariefunktion i institut som följer försäkringsrörelselagen (2010:2043) eller lag (2019:742) om tjänstepensionsföretag,
ett revisionsutskott, samt
lämplig utformning av redovisningen.
(FAR N 2020:25)
3.17För stora finansiella företag kan volymen av transaktioner vara så omfattande att det är svårt för en revisor att uttala sig om de finansiella rapporterna utan att kunna förlita sig på företagets interna kontroller avseende den finansiella rapporteringen. System och interna kontroller är viktiga för att säkerställa en väl fungerande verksamhet och för att assistera företagsledningen med att upprätta finansiella rapporter som ger en rättvisande bild. Följande förhållanden kan vara relevanta för revisorn i finansiella företag vid bedömningen av interna kontroller för den finansiella rapporteringen:
Förekomst av dokumenterade och formaliserade processer och kontroller och om dessa systematiskt följs upp och utvärderas.
Omfattande transaktioner, både vad gäller volym och relativt värde, medför att det är viktigt att kontrollsystemen finns på plats för att säkerställa att transaktioner registreras snabbt, korrekt och fullständigt, kontrolleras och godkänns, samt att poster stäms av med lämpliga intervaller för att skillnader ska kunna identifieras och utredas utan dröjsmål.
Bearbetning och redovisning av komplexa transaktioner eller stora volymer av mindre komplexa transaktioner kräver nästan oundvikligen att avancerat systemstöd används.
Centraliserade avdelningar för överföringar och penninghantering som processar mycket stora transaktionsvolymer med högt värde varje dag gör behovet av en stark och effektiv kontroll över detta område särskilt viktigt. Transaktioner med kunder över internet är ett annat område som kräver särskilda säkerhetskontroller.
Det faktum att finansiella företag hanterar finansiella tillgångar gör att det är särskilt viktigt att det finns en tydlig uppdelning av arbetsuppgifter mellan de som initierar transaktioner, de som registrerar transaktioner, de som betalar/överför och, i förekommande fall, de som är ansvariga för den fysiska säkerheten.
I försäkringsföretag är det särskilt viktigt att det finns en tydlig uppdelning mellan de som skriver under risken, de som är ansvariga för försäkringstekniska avsättningar, de som är ansvariga för skadehantering, de som är ansvariga för utbetalningar av försäkringsersättningar och de som redovisar dessa transaktioner.
I finansiella företag är det också särskilt viktigt att det finns en tydlig uppdelning mellan de som beslutar om och genomför investeringar och de som administrerar och redovisar dessa transaktioner.
I fondbolag är behovet av tydliga och väl fungerande interna kontroller i NAV-processen för fonder av särskild vikt.
Hanteringen av klientmedel och depåtillgångar är av särskild vikt för kapitalförvaltande företag.
Den geografiska eller organisatoriska spridningen av vissa finansiella företags verksamhet innebär att det måste finnas en effektiv kommunikation och kontrollrutiner mellan olika platser och huvudkontoret. För att kontrollen över verksamheten ska kunna behållas är det viktigt att det finns tydliga riktlinjer för rapporteringsansvar, särskilt i en matrisorganisation.
Verksamheten i finansiella företag skapar och använder ofta derivat och andra komplexa finansiella instrument, vilka värderas till verkligt värde och därmed ger upphov till orealiserade vinster/förluster. Det faktum att kassaflöden kanske inte genereras förrän i framtiden gör att det finns risk för att transaktioner registreras felaktigt eller att transaktioner inte registreras alls och att detta inte upptäcks under en tid. Detta utsätter i sin tur företaget för risken för felaktigheter i den finansiella rapporteringen. Värderingen av dessa instrument medför också risker för felaktigheter i den finansiella rapporteringen, särskilt om inte alla instrument kan värderas med hjälp av tillförlitliga och/eller allmänt vedertagna värderingsmodeller och/eller observerbara marknadspriser. Följaktligen bör finansiella företag normalt sett ha utformat och implementerat kontroller för att minska dessa risker för felaktigheter i den finansiella rapporteringen.
Regelverket för finansiella företag är komplext och utvecklas kontinuerligt. Därför är det viktigt att det finns ett effektivt kontrollsystem för att säkerställa att de regulatoriska kraven är uppfyllda och för att säkerställa att företagsledning och styrelse/revisionsutskott kan ta ansvar för och utmana de regulatoriska rapporterna.
(FAR N 2019:29)
3.18Det finns en stor variation mellan olika finansiella företag gällande storlek, verksamhet och organisation, vilket innebär att det inte finns någon standardiserad metod för bedömning av interna kontroller. Revisorn ska bedöma kontrollernas ändamålsenlighet i förhållande till omständigheterna i varje företag. Exempel på brister som kan ha betydelse för revisorns bedömning av risken för väsentliga felaktigheter i den finansiella rapporteringen är följande:
Otillräcklig förståelse hos företagsledningen av komplexa eller nya produkter eller processer. Detta omfattar otillräcklig kunskap i frågor som kräver betydande bedömningar eller om områden där manipulation kan förekomma, såsom värdering av finansiella instrument, nedskrivning av lånefordringar, värdering av försäkringstekniska avsättningar samt regressfordringar och återförsäkringsavtal i försäkringsföretag.
När det i redovisningen finns
eftersläpningar i viktiga avstämningar: särskilt bankkonton, avräkningskonton och förvaring av tillgångar såsom värdepapper (antingen de som innehas för egen räkning eller för kunders räkning),
brister i kontrollen över fullständiga och korrekta uppgifter för reservering för kreditförluster,
förseningar i hanteringen av premier, skador och ersättningar, samt
eftersläpningar i bekräftelseprocesser för transaktioner avseende finansiella instrument.
Brister i rutiner för nya produkter och godkännande av komplexa affärer.
Bristande ansvarsfördelning avseende viktiga moment som att initiera, kontrollera, reglera och bokföra transaktioner.
Brister i betalningssystem såsom otillräckliga kontroller över behörighet till betalningssystem och data.
(FAR N 2019:29)
3.19Några av de kontrollaktiviteter som vanligen utförs av finansiella företag innebär avstämningar av saldon och positioner med andra organisationer, där tester kan ge trygghet för revisorn avseende riktigheten och fullständigheten av redovisade transaktioner. Dessa inkluderar avstämning av
balanser där betalning görs till eller från andra banker,
värdepapper som matchas och avräknas i clearingsystem,
derivattransaktioner som avräknas centralt och marginalkonton med clearingorganisationer, samt
saldon och positioner med andra företag inom koncernen.
(FAR N 2019:29)
ISA 315
22. Revisorn ska skaffa sig en förståelse av den del av företagets riskbedömningsprocess som är relevant för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning,
[...]
3.19ADet är viktigt för revisorn att förstå dels omfattningen av de finansiella och affärsmässiga risker som kan påverka de finansiella rapporterna, dels hur dessa risker hanteras i företagets system. Exempel på risker som bör beaktas är
försäkringsrisk såsom teckningsrisk, reservsättningsrisk och återförsäkringsrisk: riskerna finns inneboende i all försäkringsverksamhet men påverkas t.ex. av inom vilka försäkringsklasser företaget tecknar affär, av nya produkter eller tjänster som introduceras,
kreditrisk: i sin enklaste form risken att en motpart inte kommer att kunna uppfylla sina betalningsåtaganden (t.ex. återvinningar från återförsäkrare eller återbetalning från låntagare),
likviditetsrisk: risken som uppstår från sannolikheten att ett finansiellt företag inte har tillräckliga likvida medel för att fullgöra sina åtaganden när de förfaller, eller risken att ett finansiellt företag inte kan sälja, lösa in eller avsluta en finansiell position till en begränsad kostnad inom en rimlig tid,
marknadsrisk: risken att förändringar i värdet av tillgångar, skulder och åtaganden kommer att ske som en följd av rörelser i relativa priser (t.ex. som en följd av förändringar i marknadspriset på omsättningsbara tillgångar),
ränterisk: risken att det verkliga värdet av tillgångar och/eller skulder förändras på grund av förändringar i marknadsräntan på ett sådant sätt att nettot påverkar företagets resultat eller eget kapital,
valutarisk: risken som uppstår på grund av en obalans mellan tillgångar, skulder och åtaganden i olika valutor,
operativ risk: risken för förluster till följd av icke ändamålsenliga eller otillräckliga interna processer eller rutiner, mänskliga misstag, brister i uppsatta IT-system som stödjer den finansiella rapporteringen, information- och IT-säkerhetsrisker (cyber) inom exempelvis molntjänster, eller externa händelser,
regulatorisk risk: risken för att tappa allmänhetens förtroende, böter samt begränsning eller återkallande av tillstånd för att bedriva viss eller all verksamhet, som kan uppstå vid sanktioner från FI, samt
matchningsrisk: risken att företagets tillgångar och skulder inte matchas avseende duration eller andra utbetalningsmönster.
Företagets underlåtenhet att hantera de risker som beskrivs ovan kan också skada företagets anseende allvarligt, vilket kan leda till minskat förtroende för företaget, uttag av betalningsmedel eller problem med att behålla likviditeten (ryktesrisken).
(FAR N 2022:23)
ISA 315
Företagets process för att övervaka systemet för intern kontroll
24. Revisorn ska skaffa sig en förståelse av företagets process för att övervaka den del av systemet för intern kontroll som är relevant för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning, genom att
förstå de aspekter av företagets processer som innefattar
fortlöpande och separata utvärderingar för att övervaka kontrollernas funktion, samt identifieringen och åtgärderna av de brister i kontrollerna som har identifierats, och
företagets internrevisionsfunktion, om sådan finns, inklusive dess karaktär, ansvarsområden och aktiviteter,
förstå de informationskällor som används i företagets process för övervakning av internrevisionen och den grund företagsledningen har för att bedöma om informationen är tillräckligt tillförlitlig för sitt syfte, och
utvärdera huruvida företagets process för att övervaka systemet för intern kontroll är tillräcklig för företagets omständigheter med beaktande av företagets karaktär och komplexitet.
3.19BFinansiella bolag omfattas av omfattande regelverk utgivna nationellt och internationellt som kräver att företagen har dokumenterade processer och etablerade kontroller, att företagen övervakar interna kontroller, inklusive kontroller avseende IT, samt att styrelsen tillser att det finns kontrollfunktioner på plats med erforderliga resurser för att kunna uppfylla respektive funktions syfte. Det är lämpligt att revisorn skaffar sig en förståelse för hur bolagets företagsstyrningssystem är strukturerat och utvärdera om företagets process för att övervaka systemet för intern kontroll avseende den finansiella rapporteringen är tillräcklig.
(FAR N 2022:23)
Informationssystem och kommunikation, samt kontrollaktiviteter
ISA 315
Informationssystem och kommunikation
25. Revisorn ska skaffa sig en förståelse av de delar av företagets informationssystem och kommunikation som är relevanta för upprättandet av de finansiella rapporterna genom att genomföra riskbedömning,
[...]
3.20Som ett resultat av typen av och komplexiteten i utförda transaktioner och behovet av snabb och korrekt information för behandling är många funktioner automatiserade, t.ex. överföringar, behandling och registrering av kund- och andelsägartransaktioner, handel med olika finansiella instrument, värdering av olika finansiella instrument samt tillhandahållande av ledningsinformation.
3.21Revisorn bör beakta omfattning, art och konsekvenser av automatisering inom företaget och ska planera och utföra arbetet därefter. I synnerhet bör revisorn beakta
IT-kunskaper och färdigheter inom företaget som kan kräva att revisorn behöver få råd och hjälp från personal med specialistkompetens,
allmänna kontroller avseende miljön inom vilken IT-baserade system utvecklas, underhålls och drivs,
förändringar i IT-miljön inklusive utbyte av nyckelpersoner, samt
externa gränssnitt mottagliga för säkerhetsöverträdelser.
3.22Beroende på företagets storlek och verksamhetens omfattning har finansiella företag ofta ett flertal olika IT-system. Revisorn ska identifiera och förstå kommunikationen mellan IT-system i syfte att bedöma om det finns lämpliga kontroller och om övervakningen av dessa täcker de system som är väsentliga för den finansiella rapporteringen och länkar mellan dem och för att identifiera den mest effektiva revisionsmetoden.
(RevP 2017:11)
Bedöma riskerna för väsentliga felaktigheter på rapportnivå respektive påståendenivå
ISA 315
30. För identifierade risker för väsentliga felaktigheter på rapportnivån ska revisorn bedöma riskerna och
fastställa huruvida sådana risker påverkar bedömningen av risker på påståendenivån, och
utvärdera karaktären på och omfattningen av deras genomgripande effekt på de finansiella rapporterna.
32. Revisorn ska fastställa huruvida några av de bedömda riskerna för väsentliga felaktigheter utgör betydande risker.
3.23Väsentliga risker kan uppstå inom områden som är föremål för betydande bedömningar av företagsledningen eller som är komplexa och som relativt få personer inom företaget har kunskap om.
Exempel på väsentliga risker i finansiella företag kan vara:
intäktsredovisning från komplexa transaktionsflöden och sådana intäkter som uppskattas i hög utsträckning,
värdering av fordringar med nedskrivningsbehov,
fullständighet och riktighet i hanteringen av försäkringstransaktioner,
utformning av återförsäkringsprogram och redovisning av kostnader och återvinningar avseende återförsäkring, inklusive redovisning av komplexa återförsäkringsavtal,
väsentlig osäkerhet i värderingen av försäkringstekniska avsättningar,
värdering av vissa derivat, onoterade finansiella instrument och andra finansiella instrument, samt
värdering av fastigheter.
(FAR N 2019:29)
ISA 320 Väsentlighet vid planering och utförande av en revision
3.24har upphävts genom FAR N 2020:25.
ISA 320
8. Revisorns mål är att tillämpa begreppet väsentlighet på ett korrekt sätt vid planering och utförande av revisionen.
10. När revisorn upprättar den övergripande revisionsstrategin ska han eller hon fastställa en väsentlighetsnivå för de finansiella rapporterna som helhet. Om det med hänsyn till det aktuella företagets särskilda omständigheter finns ett eller flera särskilda transaktionsslag, konton eller upplysningar där felaktiga belopp under väsentlighetsnivån för de finansiella rapporterna som helhet rimligtvis skulle kunna förväntas påverka de ekonomiska beslut som användare fattar med grund i de finansiella rapporterna, ska revisorn också fastställa den eller de väsentlighetsnivåer som ska tillämpas på dessa transaktionsslag, konton eller upplysningar.
11. Revisorn ska fastställa arbetsväsentlighet i syfte att bedöma riskerna för väsentliga felaktigheter samt fortsatta granskningsåtgärders karaktär, omfattning och tidpunkt.
3.25Principerna för att utvärdera väsentlighet i ett finansiellt företag är desamma som de som används i revisionen av ett icke-finansiellt företag. Det krävs professionell bedömning av revisorn för att fastställa väsentlighet, och denna bedömning påverkas av revisorns uppfattning om vanliga informationsbehov från intressenter. Vad som i revisionen fastställs som väsentlighetsnivåer bör även utvärderas i förhållande till det kapitalkrav som gäller för bolaget.
(FAR N 2019:29)
3.26har upphävts genom FAR N 2019:29.
3.27Om en felaktighet i en balanspost sannolikt endast leder till en omklassificering mellan balansposter, kan en högre väsentlighetsnivå tillämpas för att identifiera och utvärdera sådana enskilda felaktigheter.
(FAR N 2018:14)
3.28Även om punkt 10 i ISA 320 anger att det endast kan finnas ett övergripande mått av väsentlighet för räkenskaperna som helhet, säger punkt A20 i ISA 450 Utvärdering av felaktigheter som identifieras under revisionen att det kan finnas omständigheter som innefattar utvärdering av kvalitativa aspekter där revisorn drar slutsatsen att ett klassificeringsfel inte är väsentligt i relation till de finansiella rapporterna som helhet – även om det kan överstiga väsentlighetsnivån eller nivåerna som tillämpas vid utvärderingen av andra felaktigheter i den finansiella rapporteringen.
(FAR N 2019:29)
3.29Exempelvis kan en felklassificering mellan balansposter inte anses vara materiell i relation till de finansiella rapporterna som helhet när beloppet är litet i förhållande till storleken på de aktuella posterna i balansräkningen och felklassificeringen inte väsentligen påverkar nyckeltal. När revisorn använder en separat väsentlighet för balansräkningen i syfte att identifiera och utvärdera effekten av sådana felklassificeringar, ska revisorn beakta andra relevanta faktorer, t.ex. effekten på kapitaltäckning eller solvens.
Revisorn beaktar detta genom att enligt punkt 10 i ISA 320 tillämpa en lägre väsentlighetsnivå för de transaktionsslag, konton eller upplysningar som har en relativt större påverkan på användarens bedömning av de finansiella rapporterna.
(FAR N 2019:29)
3.30En annan viktig skillnad som är vanligt förekommande i finansiella företag är att resultaträkningen innehåller poster som avser förändringar av ett bedömt värde på en tillgång eller skuld för vilka en användare av en finansiell rapport är beredd att acceptera en större eller mindre felaktighet jämfört med andra poster i resultaträkningen.
För att identifiera denna typ av poster kan revisorn beakta nyckeltal som är relevanta för användarna och härleda vad en väsentlig förändring i det relevanta nyckeltalet motsvarar i förändring av de ingående posterna i resultat- och balansräkningen och vilken effekt det får i det finansiella företaget. Det är även viktigt att ta hänsyn till vilken effekt en förändring av en resultat- eller balanspost får på t.ex. kapitaltäckningen eller solvensen och hur den förändringen påverkar företagets finansiella situation.
(FAR N 2020:25)
ISA 540 (omarbetad) Granskning av uppskattningar i redovisningen med tillhörande upplysningar
ISA 540
13. När revisorn skaffar sig en förståelse av företaget och dess miljö, däribland företagets interna kontroll, enligt kraven i ISA 315 (omarbetad), ska han eller hon skaffa sig en förståelse av följande förhållanden rörande företagets uppskattningar i redovisningen. Revisorns åtgärder för att skaffa sig förståelsen ska utföras i den utsträckning som krävs för att skapa en lämplig grund som kan användas för att identifiera och bedöma risker för väsentliga felaktigheter på rapport- och påståendenivåerna [...]
- c.
Faktorer som rör regelverk som är relevanta för företagets uppskattningar i redovisningen, däribland, i tillämpliga fall, regelverk som avser tillsynsregler. (Se punkt A26.)
[...]
15. När det gäller uppskattningar i redovisningen ska revisorn fastställa om uppdragsteamet behöver specialiserade färdigheter eller kunskaper för att utföra riskbedömningsåtgärder, identifiera och bedöma riskerna för väsentliga felaktigheter, utforma och utföra granskningsåtgärder för att hantera dessa risker eller för att utvärdera de inhämtade revisionsbevisen. (Se punkterna A61–A63.)
[...]
22. Vid granskning av hur företagsledningen har gjort uppskattningen i redovisningen ska revisorns fortsatta granskningsåtgärder innefatta åtgärder, [...]
valet och tillämpningen av metoder, betydelsefulla antaganden och data som företagsledningen använder när uppskattningar i redovisningen gjordes, och
hur företagsledningen valde punktskattningen och tog fram hänförliga upplysningar om osäkerhet i uppskattningen.
[...]
3.30AFinansiella företag måste förhålla sig till flera regelverk som både direkt och indirekt kan påverka det finansiella företagets uppskattningar i redovisningen, exempelvis normgivning från tillsynsmyndigheterna (Finansinspektionen) eller branschorganisationer. En revisor av ett finansiellt företag bör skapa sig en förståelse för vilka centrala regelverk som kan ha en direkt eller indirekt påverkan på det finansiella företagets uppskattningar i redovisningen, både vid val och tillämpning av metod och betydelsefulla antaganden. Exempel på åtgärder som revisor kan utföra för att skapa sig denna förståelse är:
dialog med kontrollfunktionerna (risk-, compliance- och aktuariefunktion) och genomläsning av deras rapportering och kontroller inom detta område,
ta del av aktuella uppdateringar och bedöma effekten av råd och rekommendationer från Finansinspektionen eller branschorganisationer (t.ex. Svenska Bankföreningen, Svensk Försäkring eller Fondbolagens Förening).
(FAR N 2020:25)
3.30BExempel på poster och riskfaktorer som är föremål för uppskattningar och bedömningar inom finansiella företag är redovisning av kreditreserveringar, redovisning av försäkringstekniska avsättningar och redovisning av onoterade finansiella tillgångar. Dessa poster är oftast betydande i den finansiella rapporteringen och innehåller i normalfallet en stor grad av komplexitet och osäkerhet. Revisorn i ett finansiellt företag bör särskilt överväga ifall uppdragsteamet behöver involvera specialistkompetens för granskningen av det specifika området, exempelvis aktuariespecialist och värderingsspecialist.
(FAR N 2020:25)
3.30CRevisorn i ett finansiellt företag bör vid sin granskning av poster som är föremål för uppskattningar och bedömning särskilt utvärdera hur kontrollmiljön hos företag är uppsatt rörande företagets val och tillämpning av metoder, antaganden och data för den specifika posten (inklusive punktskattning). Ofta har ett finansiellt företag egna kontroller implementerade som övervakas av bolagets riskfunktion, oberoende värderingsfunktion och/eller aktuariefunktion, varför det kan vara lämpligt att ta del av funktionernas rapportering.
(FAR N 2020:25)
3.30DFinansiella företag kännetecknas av komplexa IT-miljöer och beräkningsmodeller där datakvalitébrister kan förekomma och som väsentligt kan påverka redovisningen av poster som är föremål för uppskattning och bedömningar. Revisorn bör med bakgrund av detta överväga hur eventuella datakvalitétbrister kan påverka tillförlitligheten i den data som företaget använder vid redovisningen av dessa poster.
(FAR N 2020:25)
ISA 570 Fortsatt drift
ISA 570
9. Revisorns mål är att
inhämta tillräckliga och ändamålsenliga revisionsbevis avseende, och dra en slutsats om, huruvida det är riktigt av företagsledningen att använda antagandet om fortsatt drift vid upprättandet av de finansiella rapporterna,
med grund i de inhämtade revisionsbevisen komma fram till en slutsats om huruvida det finns någon väsentlig osäkerhetsfaktor som avser sådana händelser eller förhållanden som kan leda till betydande tvivel om företagets förmåga att fortsätta verksamheten, och
rapportera enligt denna ISA.
10. När revisorn utför riskbedömning enligt kraven i ISA 315, ska han eller hon överväga om det finns händelser eller förhållanden som kan leda till betydande tvivel om företagets förmåga att fortsätta verksamheten. När revisorn gör detta, ska han eller hon fastställa om företagsledningen redan har gjort en preliminär bedömning av företagets förmåga att fortsätta verksamheten och,
om en sådan bedömning har gjorts, diskutera bedömningen med företagsledningen och fastställa om företagsledningen har identifierat händelser eller förhållanden som, enskilt eller tillsammans, kan leda till betydande tvivel om företagets förmåga att fortsätta verksamheten och, om så är fallet, företagsledningens planer för hur de ska hanteras, eller
om en sådan bedömning ännu inte har gjorts, diskutera med företagsledningen vilken grund den har för sin avsikt att använda antagandet om fortsatt drift samt fråga företagsledningen om det finns händelser eller förhållanden som, enskilt eller tillsammans, kan innebära betydande tvivel om företagets förmåga att fortsätta verksamheten.
11. Revisorn ska under hela revisionen vara uppmärksam på revisionsbevis avseende händelser eller förhållanden som kan leda till betydande tvivel om företagets förmåga att fortsätta verksamheten.
3.31Antagandet om fortsatt drift är mer komplext att utvärdera i ett finansiellt företag än i ett icke-finansiellt företag, dels till följd av att verksamhetens karaktär skiljer sig från den i ett icke-finansiellt företag, dels till följd av att verksamheten är tillståndspliktig och att oförmåga att uppfylla regulatoriska krav kan föranleda sanktioner och i värsta fall ett återkallat tillstånd.
3.32Rörelsekapitalet i en bank skiljer sig väsentligt till sin karaktär från vad som gäller i ett icke-finansiellt företag. De dagliga kassaflödena är mycket betydande. En löptidsanalys utifrån kontraktuella löptider utvisar normalt för en bank att det finns betydande finansieringsbehov, då kortfristiga skulder i form av inlåning typiskt sett är större än omsättningstillgångarna i form av utlåning och andra tillgångar med förfall inom ett år. De förväntade löptiderna för inlåningen är däremot normalt sett mycket längre än de kontraktuella, samtidigt som löptiden för utlåningen är kortare genom förtida lösen.
3.33Finansieringsbehovet i t.ex. en bank skapas på flera sätt, exempelvis genom
tillväxt i affären (såsom ökad utlåning),
förvärv,
stora förluster i egenhandel,
väsentliga valutakursrörelser, samt
ökade säkerhetskrav för tradingportföljer.
3.34De viktigaste källorna för finansiering i en bank, utöver eget kapital, är
inlåning från privatpersoner och företag,
upplåning av kortfristig karaktär,
emitterade värdepapper,
värdepapperiseringar, samt
repor.
3.35Vid utvärdering av antagandet om fortsatt drift i bank, kreditmarknadsföretag, värdepappersbolag och fondbolag/AIF-förvaltare är nivån på kapitaltäckningen viktig att beakta. Ett företag som inte kan upprätthålla de fastställda kapitalkraven kommer med all sannolikhet att utsättas för ingripanden av FI. Om kapitalbasen minskar kraftigt kan detta föranleda försämrad rating, vilket i sin tur gör finansieringen dyrare och möjligen också svårare att erhålla.
(FAR N 2019:29)
3.36Vid bedömningen av fortsatt drift i bank, kreditmarknadsföretag, värdepappersbolag, AIF-förvaltare och fondbolag bör revisorn därför bland annat beakta följande områden utöver dem som redan framgår av ISA 570 Fortsatt drift:
kapitaltäckningssituationen, t.ex. granskning av företagsledningens analys av hur det framtida bedömda kapitalbehovet för att upprätthålla lagstadgade kapitalkrav ska tillgodoses inklusive granskning av företagets stresstester, varvid särskilt bör beaktas hur företagets risknivå och riskhantering påverkar nivån och känsligheten i kapitaltäckningen,
analys av nyckeltal i verksamheten, t.ex.
märkbar nedgång i nyutlåning/handelsvolymer under året eller efter räkenskapsårets utgång,
märkbar nedgång i marginaler för nya verksamheter,
kraftig överkapacitet i marknaden, vilket leder till såväl prispress som sjunkande volymer,
väsentlig ökning av fallissemang och kreditförluster samt ianspråktagande av säkerheter,
kraftig exponering gentemot branscher som har problem,
ovanligt aggressiva handlarpositioner och/eller limitöverträdelser inom handel för egen räkning, samt
plötsliga och stora förändringar i makroekonomin,
företagsledningens hantering av likviditetsrisker och nivå på likviditetsreserv, t.ex. granskning av efterlevnaden av de interna kraven på likviditetsreserver,
kundbeteenden, t.ex. granskning av uttagsstatistik på senare tid (inklusive vid exceptionella förhållanden s.k. ”bank run”) eller om det finns indikationer på förändrade beteenden på tillgångssidan i balansräkningen,
ryktesrelaterade och andra indikationer, t.ex.
negativ publicitet, vilket skulle kunna leda till minskat förtroende på marknaden, inklusive böter eller offentliga sanktioner från FI,
sänkt rating från kreditvärderingsföretag,
akuta försök att få bort tillgångar från balansräkningen, vilket uppenbart lett till väsentliga förluster eller till väsentlig kostnad, samt
uppskjutna planer för investeringar eller att utgifter aktiveras, och
genomgång av väsentlig korrespondens med FI,
utöver den normala periodiska rapporteringen och övrig standardrapportering.
(FAR N 2020:25)
3.37Även i ett försäkringsföretag kommer utvärderingen av antagandet om fortsatt drift att avvika från vad som gäller i ett icke-finansiellt företag. Särskilda åtgärder som revisorn bör beakta inkluderar
granskning av på vilket sätt styrelsen och företagsledningen i ett försäkringsbolag säkerställer att försäkringsbolaget kommer att ha ett kapital som överstiger solvenskravet samt har en skuldtäckning i enligt med försäkringsrörelselagen under överskådlig framtid, inklusive granskning av solvensbedömningen,
bedömning av huruvida viktiga antaganden i budgetar och/eller prognoser, normalt inkluderande prognoser för skador (antal, kostnad, tid), känslighet i värdenedgång på tillgångar, kreditrisker i fordringar på återförsäkrare, lönsamheten i verksamheten och nivån på avsättningar som krävs, verkar adekvata utifrån förutsättningarna,
bedömning av huruvida det finns tillräckligt med likvida medel för att säkerställa att försäkringsföretaget kan reglera skador och andra skulder när de förfaller,
genomgång av väsentlig korrespondens med FI utöver den normala periodiska rapporteringen och övrig standardrapportering,
bedömning av möjliga kostnader för reglering av skador (t.ex. osäkerheter till följd av rättsliga beslut) och ytterligare avsättningar (t.ex. felaktig försäljning av produkter), samt
genomgång av rapportering från aktuariefunktionen.
(FAR N 2020:25)
3.37ASom ett led i ställningstagandet till företagets antagande om fortlevnad kan revisorn ta del av företagets egna utvärderingar av t.ex. kapitaltäckning, likviditetsbehov eller egna risk- och solvensbedömningar för att identifiera eventuella tvivel om fortsatt drift.
(FAR N 2019:29)
3.37BOm revisorn har några tvivel om företagets förmåga att fortsätta driften ska revisorn överväga att rapportera direkt till FI, se punkterna 4.13–4.14.
(RevP 2016:8)
Förvaltningsrevision i ett bolag som omfattas av RevR 100
RevR 209 Förvaltningsrevision
1.2 Förvaltningsrevisionen syftar till att revisorn ska uttala sig om ansvarsfrihet för styrelse och i förekommande fall verkställande direktör. I likhet med revisorns rapportering över bolagets finansiella rapporter ges möjlighet att lämna information om sakförhållanden som revisorn bedömer är väsentliga. Det är viktigt att notera att vid en lagstadgad revision ingår även att granska bolagets fullgörande av sina åligganden vad avser redovisning av och betalning av skatter och avgifter enligt skatteförfarandelagen (2011:1244), och att särskilt anmärka på avvikelser.
3.2 Förvaltningsrevisionen tar sin utgångspunkt i revisionen enligt ISA, vilken avser granskning av bolagets finansiella rapporter. I förvaltningsrevisionen ska således alla väsentliga förhållanden som framkommer i samband med revision i enlighet med ISA beaktas. Härutöver ska ytterligare granskningsmoment utföras med utgångspunkt från väsentlighet och risk, enligt god revisionssed i Sverige, i syfte att möjliggöra de uttalanden om förvaltningen som föreskrivs i ABL. Grundläggande inför planering och genomförande av såväl förvaltningsrevisionen som räkenskapsrevisionen är att revisorn ska skaffa sig en god förståelse av verksamheten och dess miljö. Det innefattar kunskap om den interna kontrollen och styrningen för att revisorn ska kunna bedöma väsentliga risker, planera samt inhämta revisionsbevis för sina uttalanden. I detta arbete ingår att beakta tillämpliga lagar och föreskrifter kopplade till verksamheten.
3.38Härutöver kan ytterligare granskningsmoment utföras med utgångspunkt från väsentlighet och risk i syfte att möjliggöra de uttalanden om förvaltningen som föreskrivs i ABL alternativt rörelselagstiftningen för vissa finansiella bolag.
(FAR N 2019:29)
3.39Förvaltningsrevisionen av ett finansiellt bolag som om fattas av RevR 100 ska genomföras i enlighet med RevR 209. Det finns särskilda förutsättningar som gäller för finansiella företag och som revisorn kan beakta inom ramen för förvaltningsrevision. Nedanstående exempel är inte en fullständig lista:
granska att styrelsen regelbundet (minst årligen) har fastställt interna regler (policyer och instruktioner [inklusive intern kapital- och likviditetsutvärderingsmetod (IKLU) eller egen risk- och solvensbedömning (ORSA)]) för den tillståndspliktiga verksamheten enligt gällande regler och föreskrifter och vid väsentliga förändringar i verksamheten eller i omvärlden anpassat dessa löpande,
granska att styrelsen har sett till att det finns funktioner för internrevision, riskkontroll och regelefterlevnad och för försäkringsbolag aktuariefunktion samt fastställt instruktioner för dessa funktioner,
granska att företagsledningen får regelbundna, åtminstone årliga, skriftliga rapporter om de områden som omfattas av bestämmelserna om regelefterlevnad, riskhantering, aktuariefunktion och internrevision,
skaffa sig en förståelse av att dualitet i handläggning uppnås genom att ta del av dokumentation av beslutsrutiner, rapporteringsvägar och organisationsstruktur,
läsa den korrespondens som företaget haft med FI under året, och
utvärdera bolagets process för kontroll av att samtliga obligatoriska styrdokument har antagits av styrelsen.
(FAR N 2020:25)
Solvens- och kapitaltäckningsuppgifter
3.40Enligt Finansinspektionens föreskrifter och allmänna råd FFFS 2019:23 Årsredovisning i försäkringsföretag och tjänstepensionsföretag, FFFS 2008:25 Årsredovisning i kreditinstitut och värdepappersbolag samt ÅRFL och ÅRKL ska finansiella bolag som omfattas av dessa, i förvaltningsberättelsen upplysa om solvenskapitalkrav/minimikapital/kapitalbas m.m. Omfattningen och inriktningen på revisorns granskning av sådana upplysningar framgår inte heller specifikt av RevR 10 Revisorns granskning av förvaltningsberättelsen eller bland tilläggsupplysningar. Eftersom beräkningar av solvenskapitalkrav/minimikapital/kapitalbas är komplexa och inte kan härledas direkt ur de finansiella rapporterna, bör revisorn överväga att utföra lämpliga kompletterande granskningsåtgärder, som t.ex. kan omfatta:
Förstå företagets processer och kontroller för att fastställa kapitalbasen och beräkna solvenskapitalkravet.
Avstämningar mot de kvantitativa rapporterna.
Förfrågningar hos företagsledningen om väsentliga bedömningsposter.
Ta del av de centrala funktionernas arbete på detta område.
Genomföra rimlighetsbedömningar.
Förstå väsentliga skillnader mellan balansräkningen i de finansiella rapporterna och balansräkningen för solvensändamål.
Förstå vilka riskexponeringar som är de huvudsakliga drivkrafterna av kapitalkravet och hur pass känsligt företaget är för förändringar i dem.
Stickprovsvis kontrollera enskilda beräkningar och sammanställningar.
Involvera specialister i händelse av väsentliga frågeställningar.
(FAR N 2020:25)
3.41Vilka granskningsåtgärder som revisorn väljer att utföra, och i vilken utsträckning, bör anpassas till företagets ekonomiska ställning och de specifika omständigheterna i övrigt.
(RevP 2016:8)
4 Revisorns rapportering
Revisionsberättelsen
4.1Revisorn rapporterar sin granskning externt genom att lämna en revisionsberättelse som ställs till den/de mottagare som uppdragsförhållandet kräver. Formen för och innehållet i en revisionsberättelse enligt standardutformningen framgår av ISA 700 Bilda sig en uppfattning och uttala sig om finansiella rapporter och RevR 700 Revisionsberättelsens utformning. Då revisorn överväger att lämna en revisionsberättelse som avviker från standardutformningen kan stöd hämtas i ISA 705 Modifierat uttalande i rapport från oberoende revisor och ISA 706 Stycken med upplysningar av särskild betydelse och stycken med övriga upplysningar i rapport från oberoende revisor. Ytterligare exempel och vägledning finns i RevR 705 Modifierade uttalanden, upplysningar och anmärkningar i revisionsberättelsen. Även om RevR 705 är baserad på revisionsberättelser för aktiebolag kan den tjäna som vägledning för andra associationsformer. När det gäller rapporteringsskyldigheten till FI avseende förhållanden som kan leda till att revisorn avstyrker att balans- eller resultaträkningen fastställs eller till att anmärkning lämnas hänvisas även till punkterna 4.4–4.17.
(RevP 2016:8)
4.1AFinansiella företag som är företag av allmänt intresse ska även tillämpa ISA 701 Kommunikation om särskilt betydelsefulla områden i rapport från oberoende revisor samt RevR 701 Kompletterande vägledning för revisionsberättelsens utformning och andra rapporteringskrav för företag av allmänt intresse.
(RevP 2017:11)
Rapportering till företagets styrelse och revisionsutskott
4.2Som en del av revisionen ska revisorn skriftligen rapportera sina överväganden och kommentarer avseende områden som är av väsentlig betydelse för företagets verksamhet och finansiella rapportering till företagets styrelse. Rapporteringen till företagets styrelse ska åtminstone ha följande innehåll
de väsentliga risker som revisorn identifierat och riskernas påverkan på den finansiella rapporteringen och förvaltningen,
bedömning av företagets organisation och interna styrning och kontroll avseende den finansiella rapporteringen för respektive väsentligt riskområde samt revisorns inledande bedömning med avsikt att utforma revisionsstrategin på övergripande nivå,
iakttagelser från granskningen under året, med fokus på sådant som har väsentlig betydelse för räkenskaperna och förvaltningsrevisionen samt iakttagelser från granskningen,
tillkommande iakttagelser från bokslutsgranskningen samt förvaltningsrevisionen med fokus på sådant som har väsentlig betydelse för räkenskaperna och förvaltningen,
iakttagelser från granskningen av de finansiella rapporterna,
iakttagelser som i förekommande fall diskuterats med FI, samt
sådana väsentliga iakttagelser som föranleder ett modifierat uttalande eller anmärkning i revisionsberättelsen och en formell rapportering till FI, varvid sådana iakttagelser som har lyfts fram i eventuell tidigare rapportering och som skulle kunnat påverka uttalanden i revisionsberättelsen, men som har åtgärdats av företaget, ska beskrivas särskilt.
(FAR N 2020:25)
4.3Rapportering kan ske vid ett eller flera tillfällen. Rapporten/rapporterna ska ha lämnats senast samma dag som revisionsberättelsen. Rapporten/rapporterna ska upprättas på svenska eller engelska.
(RevP 2016:8)
4.3AFinansiella företag som är företag av allmänt intresse och som omfattas av revisorsförordningens artikel 11 ska även rapportera till revisionsutskottet över ett antal specifika områden. Bilaga 2 i RevR 701 anger vilka rapporteringskrav som tillkommer för företag av allmänt intresse.
(RevP 2016:8)
4.3Bhar upphävts genom FAR N 2019:29.
Rapportering till och kommunikation med FI
Inledning
4.4Artikel 12 i revisorsförordningen innehåller föreskrifter om rapportering till myndigheter som har ansvar för tillsyn av företag av allmänt intresse. Syftet med denna del av rekommendationen är att ge vägledning för revisorn om sådan rapportering. Rapporteringsskyldigheten gäller förhållanden som revisorn fått kännedom om i samband med den lagstadgade revisionen eller på annat sätt.
(RevP 2016:8)
Bakgrund
4.5Enligt rörelselagstiftningen för finansiella företag ska revisorn omgående rapportera till FI om han eller hon vid fullgörandet av sitt uppdrag får kännedom om förhållanden som
kan utgöra en väsentlig överträdelse av de författningar som reglerar företagets verksamhet,
kan påverka företagets fortsatta drift negativt, eller
kan leda till att revisorn avstyrker att balans- eller resultaträkningen fastställs eller till anmärkning i revisionsberättelsen.
4.5AFör försäkringsföretag tillkommer även förhållanden som kan innebära att företaget brister eller har brustit i uppfyllandet av solvens- eller minimikapitalkravet eller av ett kapitalkrav som ska uppfyllas av ett företag som har beviljats undantag enligt 1 kap. 19 eller 19 b § försäkringsrörelselagen (2010:2043).
(RevP 2016:8)
4.6Revisorn har samma rapporteringsskyldighet om han eller hon vid fullgörandet av sitt uppdrag får kännedom om sådana förhållanden i det finansiella företagets moderföretag eller dotterföretag eller i ett företag som har likartad förbindelse med företaget.
(RevP 2016:8)
Rapportering
4.7Skyldigheten att rapportera till FI är fristående från revisorns rapportering till det finansiella företagets ledning och styrelse (jfr ISA 260 Kommunikation med dem som har ansvar för företagets styrning). Revisorn är skyldig att rapportera till FI oavsett vilka övriga åtgärder han eller hon vidtar. Det innebär bl.a. att revisorn inte kan underlåta att rapportera till FI genom att rapportera till företagsledning och styrelse eller genom att hänvisa till att FI redan har kännedom om förhållandet.
4.8Rapportering till FI enligt rörelselagstiftningen är inte en överträdelse av revisorns tystnadsplikt, eftersom den följer av lag. När revisorn rapporterar till FI i enlighet med rörelselagstiftningen innebär det att han eller hon skyddas mot skadeståndsanspråk, eftersom det inte kan innebära skadeståndsskyldighet att fullgöra en upplysningsskyldighet som är stadgad i författning (se punkt 4.17 nedan).
(FAR N 2019:29)
4.9Revisorn ska rapportera skriftligt. Om osäkerhet råder huruvida överträdelsen är allvarlig och faller in under den lagstadgade rapporteringsplikten, eller om det finns särskilda omständigheter, kan revisorn kontakta FI och redogöra för den aktuella frågan. Vid behov kan revisorn, FI och företrädare för företagsledningen, träffas och gå igenom den aktuella frågan.
Tidpunkt för rapportering
4.10Vid upptäckt av förhållanden som kan utgöra väsentliga överträdelser av de författningar som reglerar det finansiella företagets verksamhet eller förhållanden som kan påverka dess fortsatta drift negativt ska revisorn omgående rapportera till FI. Detta innebär att en revisor är skyldig att utan onödig tidsutdräkt rapportera förhållanden som han eller hon har upptäckt. Visst spelrum för närmare granskning av misstänkta förhållanden samt kommunikation med företaget (jfr ISA 250, ISA 260 och ISA 265) ges därmed. Men revisorn ska rapportera till FI så snart förhållandena har utretts och senast samtidigt med att de kommuniceras med styrelsen, styrelsens ordförande, revisionsutskott eller verkställande direktör eller omedelbart därefter. Om revisorn anser att en djupare och längre utredning behöver göras ska FI informeras om detta.
(RevP 2016:8)
4.10AOvanstående gäller även för rapportering till FI av förhållanden som kan leda till avstyrkande av balansräkningen eller resultaträkningen eller anmärkning i revisionsberättelsen. Om revisorn har identifierat sådana väsentliga förhållanden att han eller hon lämnar en erinran till styrelsen, ska revisorn samtidigt rapportera förhållandena till FI.
Identifiering av förhållanden som ska rapporteras
4.11Revisorns rapporteringsskyldighet enligt punkt 4.5 a–c ovan omfattar sådana förhållanden som han eller hon har fått kännedom om inom ramen för sin lagstadgade revision och förhållanden som blivit kända för revisorn på annat sätt. Rapporteringsskyldigheten innebär inte att revisorn ska utöka sin granskning, om inte en utökad granskning krävs för att säkerställa rapporteringsskyldigheten.
Förhållanden som kan utgöra överträdelser av författningar
4.12Rapporteringsskyldigheten enligt punkt 4.5 a, dvs. att revisorn ska rapportera väsentliga överträdelser av de författningar som reglerar det finansiella företagets verksamhet, avser i första hand de författningar som specifikt reglerar dess verksamhet, dvs. rörelselagstiftningen. För att en överträdelse ska medföra rapporteringsskyldighet bör den vara väsentlig. Överträdelse i sak av rörelselagstiftningen bör regelmässigt medföra rapporteringsskyldighet.
Vid revisionsuppdrag gäller utöver rapporteringsskyldigheten enligt rörelselagstiftningen även ISA 250 Beaktande av lagar och andra författningar vid revision av finansiella rapporter.
(RevP 2016:8)
Förhållanden som kan påverka det finansiella företagets fortsatta drift negativt
4.13Rapporteringsskyldigheten enligt punkt 4.5 b, dvs. förhållanden som kan påverka det finansiella företagets fortsatta drift negativt, kan avse såväl en enskild händelse som mer generella förhållanden. Den finansiella sektorn är en förtroendebransch, vilket även bör tas i beaktande vid bedömningen. Revisorn är skyldig att rapportera om en enskild händelse som, enskilt eller i samverkan med andra förhållanden, kan innebära risk för förlust av betydande belopp, beräknat i förhållande till det finansiella företagets storlek. Även händelser eller omständigheter som kan leda till minskat förtroende för företaget bör beaktas, om dessa innebär en väsentlig osäkerhetsfaktor vad beträffar antagandet om dess fortsatta drift.
4.14Vad gäller rapportering av generella förhållanden framgår det av förarbetena till lagen att det främst är fråga om att rapportera brister i rutiner och instruktioner samt system. Ett exempel kan vara att styrelsen har ändrat de interna instruktionerna för ett finansiellt företag så att det innebär ökade risker för den fortsatta driften. Brister i rutiner kan exempelvis finnas då en betydande tradingfunktion inte är skild från den funktion som kontrollerar och följer upp denna verksamhet. En förutsättning för rapporteringsskyldighet är att förhållandena mer påtagligt riskerar att allvarligt påverka det finansiella företagets ekonomiska ställning och förmåga att i rätt tid infria sina ekonomiska åtaganden.
Förhållanden som kan leda till avstyrkande eller anmärkning
4.15När det gäller rapporteringsskyldigheten enligt punkt 4.5 c, dvs. förhållanden som kan leda till att revisorn avstyrker att balans- eller resultaträkningen fastställs eller till anmärkning i revisionsberättelsen, gäller de överväganden som omfattas av god revisionssed.
Kommunikation med FI
4.16Revisorn ska enligt denna rekommendation fullgöra sin lagstadgade rapporteringsskyldighet i skriftlig form. Av Europaparlamentets och rådets förordning (EU) nr 537/2014, av den 16 april 2014 om särskilda krav avseende lagstadgad revision av företag av allmänt intresse och om upphävande av kommissionens beslut 2005/909/EG, framgår det av artikel 12.2 att det ska inrättas en dialog mellan de behöriga myndigheter som utövar tillsyn av kreditinstitut och försäkringsföretag, å ena sidan, och de lagstadgade revisorer och revisionsföretag som utför lagstadgad revision av sådana institut och företag, å andra sidan. Ansvaret för att uppfylla detta krav ska vila på båda parter i dialogen. I enlighet med denna rekommendations tidigare utformning kan en s.k. trialog föras, innebärande att revisorn tillsammans med FI och företrädare för företagsledningen träffas och går igenom den aktuella frågan.
(FAR N 2018:14)
EBA och EIOPA principerna om dialog2
EBA – den europeiska bankmyndigheten (European Banking Authority), EIOPA – den europeiska försäkrings- och tjänstepensionsmyndigheten (European Insurance and Occupational Pensions Authority) samt ESMA – den europeiska värdepappersmyndigheten (European Securities and Markets Authority) etablerades 2011 och är oberoende myndigheter inom EU. EBA respektive EIOPA har till uppgift att säkerställa en effektiv och konsekvent tillsynsreglering och övervakning i den europeiska banksektorn respektive försäkringssektorn. ESMA bidrar till att skydda stabiliteten i Europeiska unionens finansiella system genom att förbättra investerarnas skydd och främja stabila och ordnade finansiella marknader.
4.16AEBA och EIOPA har mot bakgrund av kraven i revisorsförordningen upprättat riktlinjer för dialog mellan tillsynsmyndigheten och revisorer vilka ska tillämpas från och med den 31 maj 2017, Finansinspektionen har fastställt instruktioner för hur myndigheten ska tillämpa dessa.
Den aktuella dialogen ersätter inte den rapporteringsplikt till FI som revisorn har utifrån försäkringsrörelselagen utan utgör ett komplement till denna.
Vilka bolag som omfattas av dialogen utgår från en riskbedömning.
Enligt instruktionerna anges att FI vanligtvis, med beaktande av föreskriven proportionalitet, från kreditinstitutet inhämtar skriftlig information såsom
årsredovisningen jämte revisionsberättelsen,
eventuell annan kommunikation mellan revisorn och kreditinstitutets ledning, ledande befattningshavare eller revisionsutskott (eller i förekommande fall styrelsen),
revisorns rapport enligt artikel 11 revisorsförordningen, samt
revisorns rapport enligt punkt 4.2.
Revisorn å sin sida inhämtar vanligtvis skriftlig information från kreditinstitutet såsom korrespondens mellan kreditinstitutet och FI, inklusive
FIs slutskrivelser i undersökningsärenden,
FIs slutskrivelse efter avslutad årlig översyns- och utvärderingsprocess,
eventuellt förekommande och med institutet delade joint decisions, samt
eventuella beslut från FI avseende kreditinstitutet.
(FAR N 2019:29)
Tystnadsplikten
4.17Av Europaparlamentets och rådets förordning (EU) nr 537/2014, av den 16 april 2014 om särskilda krav avseende lagstadgad revision av företag av allmänt intresse och om upphävande av kommissionens beslut 2005/909/EG framgår det av artikel 12.3 att det förhållande att den lagstadgade revisorn eller revisionsföretaget eller nätverket i tillämpliga fall till de behöriga myndigheterna eller till ESRB och CEAOB i god tro röjer sådan information som avses i punkt 4.16 eller sådan information som framkommer inom ramen för den dialog som avses i punkt 4.16, inte ska utgöra en överträdelse av någon tystnadsplikt föreskriven i avtal eller lagstiftning.
Underlåtenhet att fullgöra rapporteringsskyldigheten kan leda till disciplinära påföljder enligt 32 § revisorslagen (2001:883) och även till skadeståndsskyldighet.
(FAR N 2023:20)
Ikraftträdande- och övergångsbestämmelser
2016:8
Ändringarna ska tillämpas för räkenskapsår som avslutas den 31 december 2016 eller senare.
2017:11
Ändringarna ska tillämpas för räkenskapsår som avslutas den 31 december 2017 eller senare.
2018:14
Dessa ändringar träder i kraft med omedelbar verkan med undantag av ändringen i punkten 1.1 som träder i kraft den 1 januari 2019.
2019:29
Ändringarna ska tillämpas för revision av räkenskapsår som påbörjas den 1 januari 2020 eller senare. Tidigare tillämpning är tillåten.
2020:25
Ändringarna ska tillämpas för räkenskapsår som avslutas den 31 december 2020 eller senare. Tidigare tillämpning är tillåten.
2022:23
Ändringarna ska tillämpas för revision av räkenskapsår som påbörjas den 1 januari 2023 eller senare.
Gällande ändringar hänförliga till ISA 315 (omarbetad 2019) i punkterna 3.9–3.23 så ska dessa tillämpas på revision av räkenskapsår som påbörjats den 15 december 2021 eller senare.
Avseende ISQM 1 har revisionsbyrån krav att tillämpa denna fr.o.m. den 15 december 2022. Om uppdraget har påbörjats innan den 15 december 2022 får hänvisning göras till ISQM i revisorns rapportering.
2023:20
Ändringarna gäller för revision av räkenskapsår som påbörjas den 1 januari 2024 eller senare. Tidigare tillämpning är tillåten.
Ändringsförteckning
Bilagan har upphävts genom FAR N 2019:29.