ISA 240

Det er ledelsen og de som har overordnet ansvar for styring og kontroll sitt hovedansvar å forebygge og avdekke misligheter i selskapet (ISA 240, pkt. 4). Dette utføres ved at ledelsen skal arbeide med å forebygge misligheter gjennom å avskrekke personer som kan ha ønske om å utføre misligheter, samt å bygge en god bedriftskultur som skal forhindre dette.

Revisjonsstandarden lister opp hvilke oppgaver og plikter revisor har knyttet til å forebygge og avdekke misligheter. Revisor er blant annet "ansvarlig for å skaffe seg betryggende sikkerhet for at regnskapet sett under ett ikke inneholder vesentlig feilinformasjon verken som følge av misligheter eller feil" (ISA 240, pkt. 5). Begrepene vesentlighet og betryggende sikkerhet er gjennomgått tidligere i dette kapitlet. Det vil alltid være en uunngåelig risiko for at det forekommer vesentlig feilinformasjon i regnskapet som revisor ikke oppdager, på grunn av revisjonens iboende begrensninger (ISA 240, pkt. 5). Ut i fra standarden ser vi at revisor har et ansvar for å sikre at regnskapet ikke er vesentlig feil. Standarden gjelder dermed bare

revisors ansvar knyttet til vesentlig feilinformasjon, og tar ikke for seg revisors ansvar knyttet til misligheter som ikke anses som vesentlig. Det som skiller misligheter fra feil er om handlingen som fører til feilinformasjonen er tilsiktet eller utilsiktet (ISA 240, pkt. 2).

Feilinformasjon som oppstår på grunn av misligheter er dermed tilsiktet av den som utfører mislighetene. Misligheter er nærmere gjennomgått i oppgavens kapittel 3.

Videre må revisor forstå at risiko for at det foreligger vesentlig feil i årsregnskapet som følge av misligheter som ikke avdekkes, er høyere enn risikoen for vesentlig feilinformasjon som skyldes utilsiktede feil. Noen av årsakene til dette er at misligheter kan innebære avansert, nøye planlagte opplegg for å holde dem skjult. Dette kan innebærer både forfalskning, bevisst unnlatelse av registrering av transaksjoner, fordekt samarbeid og misligheter på områder hvor det anvendes skjønn. Dersom mislighetene utføres ved at små enkeltbeløp manipuleres eller skjules og at mislighetene utføres av noen høyt oppe i organisasjonen, er dette forhold som vil kunne gjøre det enda vanskeligere for revisor å avdekke mislighetene (ISA 240, pkt. 6).

For å møte risikoen for misligheter er revisor pliktig til å opprettholde profesjonell skepsis gjennom hele revisjonen (ISA 240, pkt. 8). Selv med en profesjonell skeptisk holdning er utgangspunktet til revisor at man stoler på de opplysninger og dokumenter man mottar fra klient, såfremt man ikke har grunn til å tro noe annet. Hvis revisor avdekker at svar på spørsmål rettet til ledelsen ikke stemmer overens, eller man får mistanker om at mottatt dokumentasjon ikke er ekte, er revisor pliktig å følge opp mistankene ved å utføre ytterligere undersøkelser (ISA 240, pkt. 13 og 14).

Revisor er også pliktig til å diskutere innad i revisjonsteamet hvor klientens regnskap kan være eksponert for misligheter, og å diskutere hvordan misligheten kan utføres (ISA 240 pkt. 15).

Gjennom denne diskusjonen kan de ulike delene av teamet dele sin innsikt i og erfaring med hvor regnskapet kan være eksponert for misligheter, og det fastsettes hvilke revisjonshandlinger som er egnede å utføre for å møte risikoen for misligheter og hvem som skal utføre disse (ISA 240, pkt. A10).

I løpet av revisjonen er revisor også pliktig til å utføre analytiske handlinger. Revisor skal i risikovurderingsprosessen utføre analytiske handlinger, for deretter å vurdere om uvanlige eller uventede sammenhenger som er identifisert gjennom disse handlingene tyder på at det foreligger risiko for vesentlig feil som skyldes misligheter (ISA 240, pkt. 22). Ved slutten av

revisjonen, når revisor skal trekke sin totalkonklusjon om regnskapet, skal revisor vurdere om analytiske handlinger utført nær avslutningen av revisjonen tyder på at det foreligger vesentlige feilinformasjon som skyldes misligheter, som revisor tidligere ikke har vært klar over (ISA 240 pkt. 34).

Revisjonsstandarden gir videre veiledning og stiller krav til konkrete handlinger som revisor skal utføre. ISA 240 punkt 28-33 lister opp handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter. Punktene omfatter overordnede handlinger som å utpeke og følge opp teamet for å sikre tilstrekkelig kompetanse, vurdere selskapets valg og anvendelse av regnskapspolicyer og innlemme et element av uforutsigbarhet i revisjonshandlingene. Videre skal revisor i samsvar med ISA 330 utforme og utføre revisjonshandlinger som er tilpasset risikoen for misligheter på påstandsnivå.

Som revisor skal man alltid vurdere muligheten for ledelsens overstyring av kontroller. Årsaken til dette er at "ledelsen er i en unik posisjon til å begå misligheter" (ISA 240, pkt. 31). Dette gjennom at ledelsen har muligheter til å overstyre selskapets internkontroll for å drive med feilaktig regnskapsrapportering. Risikoen for ledelsens overstyring vil variere fra enhet til enhet, men vil til en viss grad være til stede uansett hvilket selskap som revideres.

Ledelsens overstyring av kontroller skal dermed alltid vurderes som en særskilt risiko i revisjonen. Revisjonsstandarden lister derfor opp en rekke handlinger revisor skal gjennomføre uavhengig av revisors risikovurdering (ISA 240, pkt. 32). Disse handlingene omfatter å teste hovedboksposteringer, utføre en gjennomgang av regnskapsestimater og vurdere forretningsmessig begrunnelse for betydelige transaksjoner som er vurdert å falle utenfor selskapets normale virksomhet. Ved test av hovedboksposteringer er det konkrete krav til at revisor skal rette forespørsler til personer involvert i regnskapsrapporteringsprosessen, teste et utvalg av posteringer ved periodens slutt og vurdere om det er behov for å teste ytterligere posteringer og justeringer gjennom hele perioden (ISA 240, pkt. 32).

Revisor skal også vurdere om det er nødvendig å utføre ytterligere revisjonshandlinger for å møte risikoen for misligheter som følge av ledelsens overstyring (ISA 240, pkt. 33). Det følger videre av ISA 240 pkt. 8 at revisor må vurdere muligheten for at ledelsen overstyrer kontroller og forstå at revisjonshandlinger som effektivt avdekker feil ikke nødvendigvis er hensiktsmessige å utføre når det gjelder å oppdage misligheter.

Oppsummert er det ledelsen og de med overordnet ansvar for styring og kontroll som har hovedansvar for å forebygge og avdekke misligheter. Revisor har likevel en del oppgaver og plikter knyttet til oppdagelse av misligheter. Videre i oppgaven vil vi undersøke hvilke typer analytiske handlinger og test av hovedboksposteringer som er ansett som hensiktsmessig for å avdekke misligheter, hvilke handlinger revisor faktisk utfører av disse, og i hvilken grad revisor selv mener handlingene er effektive. Vi vil også undersøke hvem hos revisjonskunden revisor retter forespørsler til angående misligheter, i hvilken grad revisor mener ulike typer forespørsler er effektive, og i hvor stor grad interne forespørsler faktisk er benyttet for å avdekke misligheter.