International Standard on Auditing (ISA) 265 Kommunikation om brister i den interna kontrollen till dem som har ansvar för företagets styrning och företagsledningen ska läsas tillsammans med ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing.
Inledning
Denna standards tillämpningsområde
1.Denna internationella revisionsstandard (ISA) behandlar revisorns ansvar för att korrekt kommunicera brister i den interna kontrollen1 till dem som har ansvar för företagets styrning (styrelsen) och företagsledningen, vilka revisorn har identifierat vid en revision av finansiella rapporter. Denna standard ålägger inte revisorn ytterligare ansvar att skaffa sig en förståelse av företagets system för intern kontroll samt för att utforma och utföra granskning av kontroller utöver kraven i ISA 315 (omarbetad 2019) och ISA 3302. ISA 260 (omarbetad)3 fastställer ytterligare krav och ger vägledning om revisorns ansvar för att kommunicera med styrelsen i samband med revisionen.
ISA 315 (omarbetad 2019) Identifiera och bedöma riskerna för väsentliga felaktigheter, punkt 12 och punkterna 21−22.
ISA 330 Revisorns hantering av bedömda risker.
ISA 260 (omarbetad) Kommunikation med dem som har ansvar för företagets styrning.
2.Revisorn är skyldig att skaffa sig en förståelse av företagets system för intern kontroll när han eller hon identifierar och bedömer riskerna för väsentliga felaktigheter.4 När revisorn gör dessa riskbedömningar ska han eller hon beakta företagets system för intern kontroll för att kunna utforma granskningsåtgärder som är ändamålsenliga med hänsyn till omständigheterna, men inte i syfte att lämna ett uttalande om effektiviteten i företagets interna kontroll. Revisorn kan identifiera kontrollbrister i den interna kontrollen vid vilket skede som helst i revisionen, och inte enbart i samband med riskbedömningen. Denna ISA preciserar vilka identifierade brister som revisorn måste ta upp med styrelsen och företagsledningen.
ISA 315 (omarbetad 2019), punkterna 21−22.
3.Inget i denna standard hindrar att revisorn med styrelsen och företagsledningen tar upp andra frågor som rör den interna kontrollen och som revisorn har identifierat under revisionen.
Ikraftträdande
4.Denna standard gäller vid revision av finansiella rapporter för räkenskapsperioder som börjar den 15 december 2009 eller senare.
Mål
5.Revisorns mål är att på lämpligt sätt informera styrelsen och företagsledningen om brister i den interna kontrollen som revisorn har identifierat under revisionen och som enligt revisorns professionella bedömning är tillräckligt viktiga för att uppmärksammas av styrelsen och företagsledningen.
Definitioner
6.I ISA har nedanstående termer följande betydelser:
Brist i den interna kontrollen – detta är fallet när
en kontroll utformas, införs eller utförs på ett sätt som gör att den inte kan förhindra, eller upptäcka och rätta, felaktigheter i de finansiella rapporterna utan onödigt dröjsmål, eller
det saknas en kontroll som kan förhindra, eller upptäcka och rätta, felaktigheter i de finansiella rapporterna utan onödigt dröjsmål.
Betydande brist i den interna kontrollen – en brist eller en kombination av brister i den interna kontrollen som enligt revisorns professionella bedömning är tillräckligt viktig för att uppmärksammas av styrelsen. (Se punkt A 5.)
Krav
7.Revisorn ska avgöra om han eller hon utifrån det revisionsarbete som har utförts har identifierat en eller flera brister i den interna kontrollen. (Se punkterna A 1–A 4.)
8.Om revisorn har identifierat en eller flera brister i den interna kontrollen ska han eller hon avgöra, utifrån det revisionsarbete som har utförts, om dessa enskilt eller tillsammans utgör betydande brister. (Se punkterna A 5–A 11.)
9.Revisorn ska utan onödigt dröjsmål skriftligen informera styrelsen om betydande brister i den interna kontrollen som har identifierats under revisionen. (Se punkterna A 12–A 18 och punkt A 27.)
10.Revisorn ska utan onödigt dröjsmål även informera ledningspersoner på lämplig ansvarsnivå (se punkt A 19 och punkt A 27)
skriftligen, om betydande brister i den interna kontrollen som revisorn har tagit upp eller har för avsikt att ta upp med styrelsen, såvida det inte vore olämpligt att kommunicera direkt med företagsledningen med hänsyn till omständigheterna, och (se punkt A 14 och punkterna A 20–A 21)
om övriga brister i den interna kontrollen som har identifierats under revisionen och som inte har tagits upp med företagsledningen av andra parter och som enligt revisorns professionella bedömning är tillräckligt viktiga för att uppmärksammas av företagsledningen (se punkterna A 22–A 26).
11.I den skriftliga kommunikationen om betydande brister i den interna kontrollen ska revisorn ta med följande:
En beskrivning av bristerna och en förklaring av deras potentiella effekter. (Se punkt A 28.)
Tillräcklig information för att styrelsen och företagsledningen ska förstå sammanhanget. Framför allt ska revisorn förklara att (se punkterna A 29–A 30)
revisionens syfte var att revisorn skulle uttala sig om de finansiella rapporterna,
revisionen innehöll övervägande av den interna kontroll som är relevant för hur företaget upprättar de finansiella rapporterna i syfte att utforma ändamålsenliga granskningsåtgärder med hänsyn till omständigheterna, men inte i syfte att lämna ett uttalande om effektiviteten i företagets interna kontroll, och
de frågor som tas upp är endast sådana brister som revisorn har identifierat under revisionen och som revisorn har ansett är tillräckligt viktiga för att rapporteras till styrelsen.
Tillämpning och andra förtydliganden
Avgöra om brister i den interna kontrollen har identifierats
(se punkt 7)
A 1.När revisorn ska avgöra om han eller hon har identifierat en eller flera brister i den interna kontrollen kan revisorn diskutera relevanta fakta och omständigheter kring sina iakttagelser med befattningshavare på lämplig ledningsnivå. Den diskussionen ger revisorn möjlighet att utan onödigt dröjsmål uppmärksamma företagsledningen på att det finns brister som företagsledningen kanske inte tidigare kände till. De befattningshavare på ledningsnivå som det är lämpligt att diskutera iakttagelserna med är de som är insatta i det aktuella området för intern kontroll och som har befogenhet att vidta åtgärder med anledning av identifierade brister i den interna kontrollen. I vissa fall är det inte lämpligt att revisorn diskuterar sina iakttagelser direkt med företagsledningen, t.ex. om iakttagelserna leder till tvivel om företagsledningens hederlighet eller kompetens (se punkt A 20).
A 2.När revisorn diskuterar fakta och omständigheter kring sina iakttagelser med företagsledningen kan revisorn få annan relevant information som behöver övervägas vidare, t.ex.
företagsledningens förståelse av de faktiska eller misstänkta orsakerna till bristerna,
avvikelser som härrör från bristerna och som företagsledningen kan ha noterat, t.ex. felaktigheter som inte förhindrades av relevanta IT-kontroller, och
preliminär information från företagsledningen om hur den hanterar iakttagelserna.
Överväganden som särskilt gäller mindre företag
A 3.De principer som ligger bakom kontrollerna i kontrollaktivitetskomponenten i mindre företag liknar sannolikt dem som finns i större företag, men de kan vara mer eller mindre formella. Mindre företag kan vidare anse att vissa typer av kontroller inte är nödvändiga på grund av kontroller som företagsledningen utför. Exempel: Företagsledningen kan ensam ha rätt att bevilja kredit till kunder och godkänna betydande inköp och detta ger en effektiv kontroll av viktiga konton och transaktioner, vilket innebär att behovet av mer detaljerade kontroller blir mindre eller att det inte finns något sådant behov alls.
A 4.Mindre företag har också oftast färre anställda, vilket kan begränsa möjligheten till arbetsfördelning i praktiken. Men i ett litet ägarstyrt företag kan ägaren-företagsledaren uppnå en mer effektiv tillsyn än i ett större företag. Den här högre nivån av tillsyn från företagsledningens sida måste vägas mot den ökade risken för att företagsledningen sätter sig över kontroller.
Betydande brister i den interna kontrollen
A 5.Betydelsen av en brist eller en kombination av brister i den interna kontrollen beror inte bara på om en felaktighet faktiskt har uppstått, utan också på sannolikheten för att en felaktighet kan uppstå och felaktighetens potentiella omfattning. Betydande brister kan därför förekomma även om revisorn inte har identifierat några felaktigheter under revisionen.
A 6.Nedan följer några exempel på förhållanden som revisorn kan överväga när han eller hon fastställer huruvida en brist eller en kombination av brister i den interna kontrollen utgör en betydande brist:
Sannolikheten för att bristerna kommer att leda till väsentliga felaktigheter i de finansiella rapporterna i framtiden.
Risken för förlust eller oegentlighet avseende den tillgång eller skuld som kan påverkas av bristen.
Graden av subjektivitet och komplexitet när uppskattade belopp fastställs, såsom uppskattningar av verkligt värde i redovisningen.
Storleken på beloppen i de finansiella rapporterna som kan påverkas av bristerna.
Storleken på den aktivitet som har förekommit eller skulle kunna förekomma i det saldo eller transaktionsslag som kan påverkas av bristen eller bristerna.
Kontrollernas betydelse för processen för den finansiella rapporteringen, t.ex.
allmänna övervakningskontroller (såsom företagsledningens tillsyn),
kontroller över arbetet med att förhindra och upptäcka oegentligheter,
kontroller över valet och tillämpningen av betydelsefulla redovisningsprinciper,
kontroller över betydande transaktioner med närstående,
kontroller över betydande transaktioner utanför företagets normala affärsverksamhet, och
kontroller över processen för den finansiella rapporteringen vid räkenskapsperiodens slut (såsom kontroller över bokföringsorder av engångskaraktär).
Orsaken till och omfattningen av de upptäckta avvikelser som beror på brister i kontrollerna.
Kopplingen mellan bristen och andra brister i den interna kontrollen.
A 7.Tecken på betydande brister i den interna kontrollen kan t.ex. vara följande:
Tecken på att det finns icke fungerande inslag i kontrollmiljön, såsom
tecken på att betydande transaktioner där företagsledningen har ekonomiska intressen inte granskas på rätt sätt av styrelsen,
tecken på oegentligheter från företagsledningens sida, oavsett om de är väsentliga eller inte, som inte har förhindrats av företagets interna kontroll, och
att företagsledningen inte har vidtagit lämpliga åtgärder beträffande betydande brister som revisorn tidigare har tagit upp.
Avsaknad av en riskbedömningsprocess i företaget, där man vanligtvis kan förvänta sig att en sådan process skulle finnas.
Bevis för att företagets riskbedömning är otillfredsställande, t.ex. när företagsledningen inte lyckas identifiera risken för en väsentlig felaktighet som revisorn förväntar sig borde ha identifierats vid företagets riskbedömning.
Bevis för att identifierade betydande risker hanteras otillfredsställande (t.ex. avsaknad av kontroller över en sådan risk).
Felaktigheter som har upptäckts genom revisorns granskningsåtgärder och som inte har förhindrats, eller upptäckts och korrigerats, av företagets interna kontroll.
Ändring av tidigare utfärdade finansiella rapporter så att de avspeglar rättelsen av en väsentlig felaktighet som beror på oegentlighet eller misstag.
Bevis för företagsledningens bristande förmåga att utöva tillsyn över upprättandet av de finansiella rapporterna.
A 8.Kontroller kan utformas för att fungera enskilt eller i kombination med andra för att effektivt förhindra, eller upptäcka och rätta felaktigheter. Exempel: Kontroller över kundfordringar kan bestå av både automatiska och manuella kontroller som har utformats för att fungera tillsammans för att förhindra, eller upptäcka och rätta, felaktigheter i ett konto. En brist i den interna kontrollen behöver i sig inte vara tillräckligt viktig för att utgöra en betydande brist. Men en kombination av brister som rör samma konto eller upplysning, påstående eller del av företagets system för intern kontroll kan öka risken för felaktigheter så att den ger upphov till en betydande brist.
A 9.I vissa jurisdiktioner kan lagar och andra författningar kräva (framför allt vid revisioner av börsnoterade företag) att revisorn informerar styrelsen eller andra berörda parter (t.ex. tillsynsmyndigheter) om en eller flera särskilda typer av brister i den interna kontrollen som revisorn har identifierat under revisionen. Om det i lagar och andra författningar har fastställts särskilda termer och definitioner för de här typerna av brister och revisorn är skyldig att använda dessa termer och definitioner i samband med kommunikationen, ska revisorn använda dessa termer och definitioner vid kommunikation enligt krav i lagar och andra författningar.
A 10.Om jurisdiktionen har fastställt särskilda termer för de typer av brister i den interna kontrollen som ska tas upp, men inte har definierat dessa termer, kan revisorn bli tvungen att använda bedömning för att avgöra vilka frågor som ska tas upp utöver kraven i lagar och andra författningar. I samband med detta kan revisorn anse det lämpligt att beakta kraven och vägledningen i denna standard. Exempel: Om syftet med kravet i lagar och andra författningar är att uppmärksamma styrelsen på vissa frågor som rör den interna kontrollen som de bör känna till, kan det vara lämpligt att generellt likställa sådana frågor med de betydande brister som enligt denna standard måste tas upp med styrelsen.
A 11.Kraven i denna standard är tillämpliga även om lagar och andra författningar kan kräva att revisorn använder särskilda termer eller definitioner.
Kommunicera brister i den interna kontrollen
Informera styrelsen om betydande brister i den interna kontrollen
(se punkt 9)
A 12.Att skriftligen informera styrelsen om betydande brister visar vilken betydelse dessa frågor har och hjälper styrelsen att utöva sitt tillsynsansvar. ISA 260 (omarbetad) fastställer relevanta överväganden avseende kommunikationen med styrelsen när hela styrelsen deltar i ledningen av företaget.5
ISA 260 (omarbetad), punkt 13.
A 13.När revisorn ska avgöra om han eller hon ska kommunicera skriftligt kan revisorn överväga om mottagandet av kommunikationen skulle vara ett viktigt bidrag till styrelsens möjligheter att utöva sitt tillsynsansvar. För börsnoterade företag i vissa jurisdiktioner kan styrelsen dessutom behöva revisorns skriftliga kommunikation före datumet för godkännande av de finansiella rapporterna för att kunna fullgöra särskilt ansvar för den interna kontrollen av tillsynsskäl eller andra skäl. För andra företag kan revisorn lämna den skriftliga kommunikationen vid ett senare datum. Eftersom revisorns skriftliga kommunikation om betydande brister är en del av den slutliga dokumentationen av revisionsuppdraget i det sistnämnda fallet, är den skriftliga kommunikationen föremål för det överordnade kravet6 att revisorn färdigställer den slutliga dokumentationen av revisionsuppdraget utan onödigt dröjsmål. ISA 230 fastställer att en lämplig tidsgräns för färdigställandet av den slutliga dokumentationen av revisionsuppdraget normalt är senast 60 dagar efter datumet för revisors rapport.7
ISA 230 Dokumentation av revisionen, punkt 14.
ISA 230, punkt A 21.
A 14.Oavsett tidpunkten då de betydande bristerna skriftligen kommuniceras kan revisorn först ta upp dessa muntligen med företagsledningen och i tillämpliga fall med styrelsen för att hjälpa dem att utan onödigt dröjsmål åtgärda dessa för att minimera risken för väsentliga felaktigheter. Detta befriar dock inte revisorn från ansvaret för att skriftligen informera om de betydande bristerna enligt kraven i denna standard.
A 15.Revisorn själv bedömer, med hänsyn till omständigheterna, hur detaljerad kommunikationen om de betydande bristerna ska vara. Faktorer som revisorn kan överväga när han eller hon avgör hur detaljerad kommunikationen ska vara kan t.ex. vara följande:
Företagets karaktär. Exempel: För ett företag av allmänintresse kan den kommunikation som krävs skilja sig från den som krävs för ett annat företag som inte är av allmänintresse.
Företagets storlek och komplexitet. Exempel: För ett komplext företag kan den kommunikation som krävs skilja sig från den som krävs för företag med enkel verksamhet.
Karaktären på de betydande brister som revisorn har identifierat.
Sammansättningen på företagets styrelse. Exempel: Mer detaljerad information kan behövas om styrelsen består av personer som inte har betydande erfarenhet av företagets bransch eller aktuella områden.
Krav i lagar och andra författningar rörande kommunikation om särskilda typer av brister i den interna kontrollen.
A 16.Företagsledningen och styrelsen kanske redan känner till de betydande brister som revisorn har identifierat under revisionen och kan ha valt att inte åtgärda dem av kostnadsskäl eller andra orsaker. Ansvaret för att bedöma kostnader och fördelar med att vidta sådana åtgärder ligger på företagsledningen och styrelsen. Följaktligen gäller kravet i punkt 9 oavsett kostnad eller andra överväganden som företagsledningen och styrelsen kan anse relevanta när de ska avgöra om de ska åtgärda bristerna.
A 17.Att revisorn har tagit upp en betydande brist med styrelsen och företagsledningen vid en tidigare revision innebär inte att revisorn inte ska göra detta igen om den betydande bristen ännu inte har åtgärdats. Om en tidigare kommunicerad betydande brist kvarstår kan revisorn i det aktuella årets kommunikation upprepa beskrivningen i den tidigare kommunikationen eller helt enkelt hänvisa till den tidigare kommunikationen. Revisorn kan fråga företagsledningen eller, i tillämpliga fall, styrelsen varför den betydande bristen ännu inte har åtgärdats. Underlåtenhet att agera kan i sig utgöra en betydande brist om det inte finns någon rationell förklaring.
Överväganden som särskilt gäller mindre företag
A 18.När det gäller mindre företag kan revisorn kommunicera med styrelsen på ett sätt som inte är lika strukturerat som när det gäller större företag.
Informera företagsledningen om brister i den interna kontrollen
(se punkt 10)
A 19.Befattningshavare på lämplig ledningsnivå är vanligtvis den person som har ansvar och befogenhet att bedöma brister i den interna kontrollen och åtgärda dessa brister efter vad som är nödvändigt. Vid betydande brister är befattningshavare på lämplig ledningsnivå sannolikt verkställande direktören eller ekonomidirektören (eller motsvarande) eftersom dessa frågor också måste tas upp med styrelsen. För andra brister i den interna kontrollen kan lämplig ledningsnivå vara den operativa ledning som är mer direkt inblandad i de aktuella kontrollområdena och som har befogenhet att på lämpligt sätt åtgärda dessa brister.
Informera företagsledningen om betydande brister i den interna kontrollen
(se punkt 10 a)
A 20.Vissa identifierade betydande brister i den interna kontrollen kan leda till tvivel på företagsledningens hederlighet eller kompetens. Exempel: Det kan finnas tecken på oegentligheter eller att företagsledningen avsiktligt överträder lagar och andra författningar, eller så kan företagsledningen visa sig oförmögen att utöva tillsyn över upprättandet av adekvata finansiella rapporter, vilket kan väcka tvivel om företagsledningens kompetens. Följaktligen kan det vara olämpligt att ta upp sådana brister direkt med företagsledningen.
A 21.ISA 250 (omarbetad) fastställer krav och ger vägledning om kommunikationen om identifierade eller misstänkta fall av överträdelser av lagar och andra författningar, däribland när styrelsen själv är inblandad i sådana överträdelser.8ISA 240 fastställer krav och ger vägledning om kommunikation till styrelsen när revisorn har identifierat oegentligheter eller misstänkta oegentligheter som inbegriper företagsledningen.9
ISA 250 (omarbetad) Beaktande av lagar och andra författningar vid revision av finansiella rapporter, punkterna 23–29.
ISA 240 Revisorns ansvar avseende oegentligheter i en revision av finansiella rapporter, punkt 42.
Informera företagsledningen om andra brister i den interna kontrollen
(se punkt 10 b)
A 22.Under revisionen kan revisorn identifiera andra brister i den interna kontrollen som inte är betydande men som ändå är så viktiga att företagsledningen bör uppmärksammas på dem. Revisorn ska göra en professionell bedömning utifrån omständigheterna när han eller hon ska avgöra vilka andra brister i den interna kontrollen som företagsledningen bör uppmärksammas på, och ta hänsyn till sannolikheten för att felaktigheter uppstår i de finansiella rapporterna till följd av dessa brister och dess potentiella omfattning.
A 23.Kommunikationen rörande andra brister i den interna kontrollen som företagsledningen bör uppmärksammas på behöver inte göras skriftligt, utan kan ske muntligt. Om revisorn har diskuterat fakta och omständigheter kring sina iakttagelser med företagsledningen kan revisorn anse att han eller hon även muntligen har tagit upp andra brister med företagsledningen i samband med dessa diskussioner. Formell kommunikation behövs följaktligen inte därefter.
A 24.Om revisorn under föregående räkenskapsperiod med företagsledningen har tagit upp brister i den interna kontrollen utöver betydande brister, och företagsledningen har valt att inte åtgärda dem av kostnadsskäl eller andra orsaker, behöver inte revisorn upprepa kommunikationen under innevarande period. Revisorn behöver heller inte upprepa information om sådana brister om andra parter tidigare har tagit upp dem med företagsledningen, t.ex. internrevisionsfunktionen eller tillsynsmyndigheter. Det kan dock vara lämpligt att revisorn tar upp dessa andra brister på nytt om det har skett förändringar i företagsledningen eller om revisorn har fått kännedom om ny information som ändrar revisorns och företagsledningens tidigare förståelse av dessa brister. Att inte företagsledningen har åtgärdat andra brister i den interna kontrollen som har tagits upp tidigare kan emellertid leda till att dessa blir en betydande brist som måste tas upp med styrelsen. Huruvida detta är fallet måste revisorn bedöma med hänsyn till omständigheterna.
A 25.I vissa fall kan styrelsen vilja få information om detaljer kring andra brister i den interna kontrollen som revisorn har tagit upp med företagsledningen, eller få kortfattad information om karaktären på de övriga bristerna. Alternativt kan revisorn anse det lämpligt att informera styrelsen om den kommunikation avseende andra brister som han eller hon har haft med företagsledningen. I båda fallen kan revisorn välja att informera styrelsen muntligt eller skriftligt beroende på vad som är lämpligt.
Överväganden som särskilt gäller företag inom den offentliga sektorn
A 27.Revisorer i den offentliga sektorn kan ha ytterligare ansvar för att ta upp brister i den interna kontrollen som revisorn i fråga har identifierat under revisionen på sätt, detaljnivå och till parter som inte anges i denna standard. Exempel: Betydande brister kan behöva kommuniceras till lagstiftare eller annat styrande organ. Lagar och andra författningar kan också kräva att revisorer i offentlig sektor informerar om brister i den interna kontrollen oavsett betydelsen av de potentiella effekterna av dessa brister. Lagstiftningen kan vidare kräva att revisorer i offentlig sektor kommunicerar ett bredare spektrum av frågor som rör den interna kontrollen än de brister i den interna kontrollen som måste kommuniceras enligt denna standard, t.ex. kontroller som avser efterlevnad av instruktioner från lagstiftande myndigheter, föreskrifter eller avtalsvillkor eller anslagsavtal.
Innehållet i den skriftliga kommunikationen om betydande brister i den interna kontrollen
(se punkt 11)
A 28.När revisorn förklarar potentiella effekter av de betydande bristerna behöver han eller hon inte kvantifiera effekterna. De betydande bristerna kan slås ihop i rapporteringssyfte när så är lämpligt. I den skriftliga kommunikationen kan revisorn också föreslå åtgärder mot bristerna, beskriva företagsledningens faktiska eller föreslagna åtgärder och lämna ett uttalande om huruvida revisorn har vidtagit åtgärder för att kontrollera om företagsledningens åtgärder har genomförts.
A 29.Revisorn kan anse att det är lämpligt att ta med följande bakgrundsinformation i rapporten:
Angivande av att om revisorn hade utfört mer omfattande granskningsåtgärder avseende den interna kontrollen, han eller hon skulle ha kunnat identifiera fler brister som borde kommuniceras, eller kommit fram till att vissa av de brister som kommunicerats inte hade behövt kommuniceras.
Angivande av att rapporten har lämnats för att vara till hjälp för styrelsens arbete och att den kanske inte passar andra syften.
A 30.Lagar och andra författningar kan kräva att revisorn eller företagsledningen överlämnar en kopia av revisorns skriftliga kommunikation om betydande brister till lämpliga tillsynsmyndigheter. I så fall kan revisorns skriftliga kommunikation identifiera dessa tillsynsmyndigheter.