Uppdateringen av den internationella standarden för koncernrevison, ISA 600, innebär en mer riskbaserad ansats än tidigare. Den ger större flexibilitet, men ställer samtidigt högre krav på koncernrevisorns ansvar att styra och övervaka enhetsrevisorerna arbete. Det kommer även behövas ökad kommunikation i hela revisionsteamet, skriver representanter från KPMG och PwC som arbetar med implementeringen av den nya standarden.
Den internationella standardsättaren IAASB har uppdaterat standarden för koncernrevisioner, ISA 600, och FAR har tidigare publicerat en teaser som belyser de viktigaste ändringarna i den nya standarden. Den här artikeln syftar till att ge en djupare bakgrund till hur standarden har omarbetats, vad som har ändrats, hur det påverkar revisionerna samt ge praktiska exempel gällande effekt på en liten koncern och en mer komplex koncern. För att kunna förstå standarden är det viktigt att läsa den – artikeln kan på intet sätt ersätta att gå till källan. För den som är bekväm med engelska rekommenderar vi originalversionen på engelska. Standarden finns även översatt till svenska på FAR Online.
ISA 600 (Omarbetad) gäller för revision av koncernbokslut för perioder som börjar den 15 december 2023 eller senare. Vi kommer i resten av artikeln enbart hänvisa till ISA 600 eller standarden.
Artikeln kommer att täcka följande huvudområden:
Riskbedömning: Hur riskbedömningen påverkas och genomförs enligt den nya standarden.
Koncernrevisorns engagemang: Styrning, övervakning och kommunikation.
Ökat ansvar för koncernrevisorn: Professionell skepticism, planering, utförande samt kommunikation och dokumentation.
Enhetsrevisorn: Hur enhetsrevisorns roll påverkas och kopplas till koncernrevisorn.
Exempel på koncerner: Praktiska exempel på hur standarden påverkar både små och stora koncerner.
Dokumentation: Betydelsen av dokumentation och hur den ska hanteras.
I artikeln beskriver vi vad som har ändrats inom de olika områdena och även hur detta påverkar koncernrevisionen. Genom att inkludera praktiska exempel för både mindre koncerner och mer komplexa koncerner, hoppas vi att detta tillsammans med information i övrigt ska ge en tydlig beskrivning av nya ISA 600.
Sammanfattning av de viktigaste skillnaderna mellan nya och tidigare ISA 600
Område | Tidigare | Nya |
|---|---|---|
Riskbedömning | Riskbedömningen utgick från enheterna och deras påverkan på koncernens finansiella rapporter | Risker ska nu identifieras utifrån koncernens finansiella rapporter, vilket innebär en mer centraliserad och övergripande ansats. |
Koncernrevisorns engagemang | Mindre fokus på styrning och övervakning av enhetsrevisorernas arbete. | Ökat ansvar för koncernrevisorn att styra, övervaka och kommunicera med enhetsrevisorerna, inklusive mer frekvent och effektiv kommunikation. |
Ökat ansvar för koncernrevisorn | Mindre detaljerade krav på koncernrevisorns ansvar. | Betonar vikten av professionell skepticism, planering, utförande samt kommunikation och dokumentation. Koncernrevisorn har nu ett tydligare ansvar för att leda och övervaka enhetsrevisorernas arbete. |
Enhetsrevisorns roll | Enhetsrevisorns roll var mindre integrerad i koncernrevisionen. | Enhetsrevisorns arbete är nu mer kopplat till koncernrevisorns arbete, med tydligare krav på kommunikation och samarbete. |
Dokumentation | Mindre omfattande krav på dokumentation. | Ökade dokumentationskrav för att säkerställa att alla aspekter av koncernrevisionen är väl dokumenterade och att revisionsbevisen är tillräckliga och ändamålsenliga. |
Centrala definitioner
För att förstå den uppdaterade standarden börjar vi med några centrala definitioner:
Definition | Kommentar |
|---|---|
Enhetsrevisor | En revisor som utför revisionsarbete hänförligt till en enhet som en del av koncernrevisionen. En enhetsrevisor ingår i uppdragsteamet för en koncernrevision |
Enhetsledning | Ledning som ansvarar för en enhet. |
Enhet | Ett företag, en affärsenhet, funktion eller affärsverksamhet, eller en kombination av några av dessa, som fastställs av koncernrevisionsteamet i syfte att planera och utföra granskningsåtgärder i en koncernrevision. |
Arbetsväsentlighet för enhet | Ett belopp som anges av koncernrevisionsteamet för att minska aggregeringsrisken till en lämpligt låg nivå i syfte att kunna planera och utföra granskningsåtgärder för en enhet. |
Koncernrevisionsteam | Den ansvariga koncernrevisorn samt medlemmar av uppdragsteamet som inte utgör enhetsrevisorer. |
Ansvarig koncernrevisor | Den revisor som ansvarar för koncernrevisionen. |
Koncernledning | Ledning som ansvarar för upprättande av koncernredovisningen. |
Arbetsväsentlighet för koncernrevisionen | Arbetsväsentlighet i relation till koncernredovisningen som helhet, så som den har fastställts av koncernrevisionsteamet. |
1. Koncernrevisorn
Detta avsnitt beskriver de centrala aspekterna av koncernrevisionen från koncernrevisorns perspektiv, med fokus på riskbedömning och granskningsåtgärder. Avsnittet inkluderar hur koncernrevisorn identifierar och hanterar risker, bestämmer vilka enheter som ska granskas, och hur samarbetet med enhetsrevisorer sker.
1.1 Riskbedömning och fortsatta granskningsåtgärder enligt ISA 600
Vid en koncernrevision är ett av de viktigaste stegen att identifiera vilka risker som finns och var de finns. En viktig förändring i ISA 600 är att risker ska identifieras utifrån koncernens finansiella rapporter till skillnad från tidigare när omfattningen utgick från enheterna och deras påverkan på koncernens finansiella rapporter. Riskbedömning är en levande process som är iterativ, det vill säga att riskbedömningen pågår och upprepas löpande under hela revisionen. Enligt ISA 600, tillsammans med ISA 315 (Omarbetad) och andra relevanta standarder, krävs det att koncernrevisorn samlar in tillräckliga revisionsbevis som en lämplig grund för att kunna identifiera och bedöma riskerna för väsentliga felaktigheter, vare sig de beror på fel eller oegentligheter, i koncernens finansiella rapporter. De identifierade riskerna ska kopplas till årsredovisningsrader i koncernredovisningen och relevanta påståenden.
För att säkerställa att tillräckliga och ändamålsenliga revisionsbevis samlas in, för att hantera de identifierade riskerna, behöver koncernrevisorn bestämma vilka enheter i koncernen som ska vara föremål för granskning och därmed omfattas av koncernrevisionen (group audit scoping). För enheterna som ska vara föremål för granskning måste även koncernrevisorn bestämma var (enheter) revisionsarbetet ska utföras, dvs vad (transaktionsslag, konton eller upplysningar) som ska granskas och av vem. En viktig del av riskbedömningen är att förstå koncernen, den miljö den verkar i och de särskilda omständigheterna som råder för varje enskild koncern och enheter inom koncernen. Detta inkluderar att bedöma om enhetsrevisorer behöver involveras baserat på deras specifika förståelse av koncernen och dess enheter. Oavsett om enhetsrevisorer är involverade eller inte i riskbedömningen, måste koncernrevisorn samla in revisionsbevis från riskbedömningen som ger en tillräcklig bas för att identifiera och bedöma riskerna för väsentliga felaktigheter i koncernens finansiella rapporter.
Bilden nedan visar två av de viktigaste resultaten från en levande och iterativ riskbedömningsprocess:
Koncernrevisorns slutsatser gällande årsredovisningsrader som är i ”scope”.
Koncernrevisorns slutsatser från riskbedömningen.
Dessa slutsatser ger viktiga input till koncernrevisionsstrategin och koncernrevisionsplanen.
Även om enhetsrevisorer kan vara involverade i riskbedömningsprocessen, ligger ansvaret för dessa aktiviteter och slutsatser, som är relevanta för koncernrevisionen, på koncernrevisorn. Koncernrevisorn leder och övervakar enhetsrevisorerna och tar del av samt utvärderar deras arbete om de involveras som en del av riskbedömningen. Detta inkluderar att säkerställa att de aktiviteter som utförs av enhetsrevisorerna är lämpliga och relevanta för koncernens riskbedömning. I vissa fall, så som vid en fullständig revision (”full scope”) eller granskning av specifika årsredovisningsrader kan enhetsrevisorer utföra riskbedömningsåtgärder på enhetsnivå efter det att koncernrevisorn har slutfört sin initiala riskbedömning av koncernen (begreppet ”full scope” förklaras vidare i artikeln under avsnitt 1.1.2). När så är fallet, måste koncernrevisorn utvärdera resultaten från dessa åtgärder och överväga om den nya informationen har en påverkan på riskbedömningen för koncernen.
När enhetsrevisorer involveras i riskbedömningsprocessen behöver inte deras arbetsdokument nödvändigtvis replikeras i koncernrevisorns dokumentation. I enlighet med kraven i ISA 220 (Omarbetad) dokumenterar dock koncernrevisorn, om tillämpligt, resultaten av sin utvärdering av den riskbedömning som är utförd av enhetsrevisor eller enhetsrevisorerna.
För att effektivt kunna bedöma riskerna för väsentliga felaktigheter i koncernens finansiella rapporter måste koncernrevisorn förstå koncernen och dess miljö. Det inkluderar tillämpligt ramverk för finansiell rapportering och koncernens system för intern kontroll. Standarden introducerar inte några större ändringar till den övergripande ansatsen att förstå en koncern, men den ger mer specifik vägledning och understryker vikten av att erhålla tillräcklig förståelse över just dessa områden, vilket skulle kunna driva ytterligare riskbedömningsåtgärder och underbygga en effektiv identifiering av risker. Genom att följa kraven i ISA 600 och ISA 315 (Omarbetad), där förståelse för alla fem komponenter1 i koncernens system för interna kontroller krävs, skapar sig koncernrevisorn en robust referensram som gör det möjligt att utföra en effektiv och detaljerad riskbedömning. Identifiering och bedömning av risker som är specifika för koncernen och dess omgivning underlättar sedan framtagandet av granskningsåtgärder (audit response) som effektivt hanterar identifierade risker för väsentliga felaktigheter.
Standarden betonar också vikten av att förstå graden av centralisering av verksamhet och gemensamma kontroller (det vill säga kontroller som är avsedda av ledningen att verka på ett gemensamt sätt i flera affärsenheter eller bolag) inom koncernen. Standarden ger också mer vägledning överlag än tidigare vilket är särskilt relevant i komplexa affärsstrukturer och när kontroller utförs centralt i så kallade ”shared service centers” (SSCs). Genom att skapa förståelse för centraliserade och/eller gemensamma kontroller kan koncernrevisorn bättre förstå och identifiera hur information behandlas och kontrolleras och på det sättet bättre identifiera och bedöma riskerna för väsentliga felaktigheter och anpassa revisionsstrategin och revisionsplanen därefter. De kan vara så att dessa införts i alla, eller i vissa delar av koncernen, och deras gemensamma nämnare bestäms kontrollförkontroll snarare än på affärsprocessnivå. Hur koncernledningen upprättar gemensamma kontroller påverkar koncernrevisorns beslut om vem som ska inskaffa sig förståelsen och utvärdera/testa dessa kontroller. Förekomsten av centraliserade och gemensamma kontroller använder också koncernrevisorn vid utvärderingen av den kvarstående risken vid enhet/er där fortsatta granskningsåtgärder inte är planerade.
När enhetsrevisorer är involverade i förståelsen av interna kontroller (det kan vara exempelvis där ITmiljön är decentraliserad) måste de kommunicera eventuella brister till koncernrevisorn. Koncernrevisorn dokumenterar och utvärderar dessa brister, enskilt och sammantaget, för att fastställa deras inverkan på koncernrevisionen och i syfte att rapportera bristerna till ledningen och de som ansvarar för företagsstyrningen (governance).
Koncernrevisionens planering enligt ISA 600 ställer krav på att koncernrevisorn utvecklar en övergripande strategi och plan som reflekterar riskbedömningen. Detta inkluderar bestämmandet av:
vilka enheter som ska granskas (var)
omfattningen av arbetet (vad)
de resurser som behövs och graden av involvering av enhetsrevisorer (vem)
tidsomfattning och tidplan (när)
Planeringen är en iterativ process som kan behöva uppdateras under revisionens gång. Genom att följa dessa steg och riktlinjer kan koncernrevisorn säkerställa en effektiv riskbedömning och hantering av riskerna för väsentliga felaktigheter i koncernens finansiella rapporter.
i. kontrollmiljö, ii. företagets riskbedömningsprocess, iii. företagets process för att övervaka systemet för intern kontroll, iv. informationssystem och kommunikation, och v. kontrollaktiviteter.
1.1.1 Identifiera Enheter
Ett avgörande steg i koncernrevisionen är att identifiera enheter. En enhet kan vara en enhet, affärsenhet, funktion eller affärsverksamhet, eller någon kombination därav, inom koncernen. Vanligtvis är det mest effektiva sättet för en koncernrevisor att identifiera enheter genom att beakta den finansiella information som koncern eller enhetsledningen förbereder för att inkluderas i koncernredovisningen (rapporteringsstruktur). Dessutom kan olika nivåer av enheter finnas inom koncernledningens finansiella rapportering och det kan då vara lämpligare att identifiera enheter på vissa nivåer av aggregering snarare än individuellt.
Koncernrevisorn använder denna identifiering för att planera var och hur granskningen ska utföras. En noggrann identifiering av enheter hjälper revisorn att fokusera på de områden som har störst betydelse för koncernredovisningen. För att fastställa vad som är en enhet krävs det professionell bedömning baserat på förståelse av koncernen och dess miljö, det tillämpliga ramverket för finansiell rapportering och dess system för intern kontroll (inklusive IT). Standarden ger dock flexibilitet för koncernrevisorn i identifieringen av enheter i syfte att planera och utföra koncernrevisionen, med hänsyn till faktorer såsom:
koncernens organisation eller legala struktur
koncernens informationssystem, inklusive dess finansiella rapporteringsprocess
centralisering av verksamhet eller
processer relevanta för koncernens finansiella rapporteringsprocess.
1.1.2 Bestämma ”Var” och ”Vad”
Efter att ha identifierat enheterna, bestämmer koncernrevisorn var fortsatta granskningsåtgärder ska utföras och vad dessa åtgärder ska innefatta. Kraven i standarden om vilket arbete som ska utföras och var det ska utföras hänger ihop och görs i många fall samtidigt. Att fastställa omfattningen av det arbete som ska utföras är också en viktig faktor att beakta när man fastställer de resurser som behövs för att utföra koncernrevisionen, inklusive arten och omfattningen av inblandning av enhetsrevisorer och den därav följande inverkan på koncernrevisorns planer för att styra och övervaka enhetsrevisorer och granska deras arbete.
ISA 600 har tagit bort det tidigare kravet på att utföra en ”full scope”revision av individuellt ekonomiskt betydelsefulla enheter. I stället läggs fokus på en riskbaserad bedömning för att avgöra omfattningen av revisionsarbetet, närmare bestämt enheters relativa ekonomiska betydelse eller på grund av förekomsten av högre risker. Det betyder att koncernrevisorn utgår från koncernens risker för att avgöra var fortsatta granskningsåtgärder behöver utföras.
Vad åtgärderna som planeras ska innefatta kan innebära en fullständig revision (”full scope audit of component financial information”) av en enhet, revison av specifika årsredovisningsrader (transaktionsslag, konton eller upplysningar) eller specifika fortsatta granskningsåtgärder (”specified procedures”). Omfattningen av det arbete som ska utföras över enheterna kommer att bero på de specifika fakta och omständigheter som råder för varje koncernrevision och påverkas ofta av de skäl som identifierats för att utföra fortsatta granskningsåtgärder vid en enhet. Det är den relativa ekonomiska betydelsen av enheten och de bedömda riskerna (storlek och/eller risk) som styr omfattningen av granskningen. Till exempel kan revisorn välja att utföra en fullständig revision av finansiell information för ekonomiskt betydande enheter (eller där risk förekommer) eller specifika fortsatta granskningsåtgärder. När den relativa ekonomiska betydelsen (storlek) av en enhet ökar (eller för en enhet där risk/en/erna är större) ökar vanligtvis omfattningen av fortsatta granskningsåtgärder som ska utföras vid en enhet. Detta skulle exempelvis kunna göras genom att utöka omfattningen av granskningen till att täcka fler årsredovisningsrader och/eller relevanta påståenden (granskning av hel årsredovisningsrad eller via ”specified procedures”) eller utföra en ”full scope” granskning av enheten.
Diagrammet nedan illustrerar hur koncernrevisorn överväger de skäl som identifierats för att utföra fortsatta granskningsåtgärder vid en enhet när koncernrevisorn bestämmer omfattningen av fortsatta granskningsåtgärder som ska utföras. Vanligtvis ökar omfattningen av fortsatta granskningsåtgärder som ska utföras för en enhet när den relativa ekonomiska betydelsen och/eller den bedömda risknivån för väsentliga felaktigheter i koncernredovisningen som finns vid komponenten ökar.
När koncernrevisorn identifierar en risk för väsentligt fel inom en enhet är det viktigt att de fortsatta granskningsåtgärderna anpassas för att hantera denna risk. För att effektivt kunna göra detta kan koncernrevisorn välja mellan olika tillvägagångssätt beroende på situation. Specifika åtgärder för riskbedömning av enheter med specifika risker skulle kunna vara:
När en enhet har en risk kopplad till en specifik händelse eller förhållande, kan koncernrevisorn fokusera på att granska de transaktionsslag, konton eller upplysningar (årsredovisningsrader) som påverkas.
I vissa fall kan en fullständig granskning av den finansiella informationen vara nödvändig, särskilt om risken påverkar flera årsredovisningsrader.
Andra skäl för fortsatta granskningsåtgärder skulle kunna vara:
Unika risker och internkontrollsystem: Om en enhet har unika risker eller interna kontrollsystem som avviker från resten av koncernens, kan en fullständig granskning vara nödvändig.
Nya eller förvärvade enheter: För nya eller förvärvade enheter där koncernrevisorn saknar tidigare erfarenhet, kan specificerade åtgärder behöva utföras för att säkerställa en grundlig riskbedömning.
Införliva moment av oförutsägbarhet: För att hantera risker för oegentligheter kan koncernrevisorn välja att utföra oförutsägbara åtgärder på vissa årsredovisningsrader.
Centraliserad verksamhet: Om verksamheten är centraliserad kan specifika fortsatta granskningsåtgärder behövas beroende på vad som har centraliserats.
Lagstadgade och regulatoriska krav: Lokala revisionskrav kan ibland innebära att en fullständig granskning av den finansiella informationen behövs, vilket kan integreras med koncernrevisionens syften.
Genom att noggrant bedöma och anpassa de granskningsåtgärder som utförs på varje enhet säkerställer koncernrevisorn att de identifierade riskerna hanteras på ett effektivt sätt. Detta bidrar till en mer exakt och pålitlig revision av koncernens finansiella rapporter.
Längst till höger i delen ”Enhetstyp” i illustrationen ovan finns obetydliga enheter som var för sig och sammantaget inte utgör en rimlig möjlighet för väsentliga felaktigheter (dvs. det finns ingen risk för väsentliga felaktigheter) för de finansiella rapporterna sett som en helhet. Dessa obetydliga enheter elimineras från vidare övervägande (dvs. inga ytterligare riskbedömningsåtgärder (såsom disaggregerad riskbedömningsanalys och andra inriktade riskbedömnings åtgärder) eller fortsatta granskningsåtgärder är nödvändiga för dessa enheter).
Längst till vänster i delen ”Enhetstyp” i illustrationen ovan finns enheter över vilka koncernrevisorn bestämmer att fortsatta granskningsåtgärder kommer att utföras som ett resultat av att enheterna anses vara ”betydande på grund av risk eller storlek». Sådana enheter identifieras enligt följande:
innehar händelser eller förhållanden som har beaktats vid identifiering och bedömning av risker som bedöms vara betydande eller förhöjda risker för väsentliga felaktigheter i koncernredovisningen; och/eller
vara av relativ ekonomisk betydelse för koncernens finansiella rapporter.
I mitten av ”Enhetstyp”-delen av illustrationen finns ett område där enheter inte är betydande men inte heller obetydliga. Även om koncernrevisorn har identifierat och bedömt att det finns en rimlig möjlighet för en risk för väsentliga felaktigheter i koncernens finansiella rapporter för dessa enheter är enheterna inte att anse betydande på grund av risk eller storlek. När det gäller dessa enheter måste koncernrevisorn minska revisionsrisken för koncernens finansiella rapporter till en lämplig låg nivå genom att beakta riskerna för väsentliga felaktigheter som presenteras av dessa enheter och de revisionsbevis som planeras från fortsatta granskningsåtgärder på enheter som är betydande på grund av risk eller storlek, genom att fastställa lämplig kombination av följande:
fortsatta granskningsåtgärder för ett antal av dessa enheter, inklusive beaktande av skäl för att göra så identifierade vid utförande av riskbedömningsåtgärder på koncernnivå; och
riktade riskbedömningsåtgärder för dessa enheter där skäl att utföra fortsatta granskningsåtgärder inte identifieras, och utvärdering, och när så är lämpligt, testning av koncerngemensamma kontroller som implementerats för några eller alla av dessa enheter. De riktade riskbedömningsåtgärder som utförs för dessa enheter kan till exempel inkludera riskbedömningsanalyser utförda på en lämpligt uppdelad nivå (disaggregerad) och granskning av resultaten av eventuellt relevant revisionsarbete som utförts av koncernens internrevisionsfunktion under perioden.
1.1.3 Bestämma ”Av Vem”
Koncernrevisorn gör också en preliminär bedömning av vilka uppdragsresurser som behövs för koncernrevisionen. Detta inkluderar överväganden om huruvida enhetsrevisorer ska involveras, deras kompetens och förmåga, att de har tillräckligt med tid samt deras oberoende och efterlevnad av etiska krav. Ibland kan det vara effektivt att utföra delar av revisionen centralt, särskilt om koncernen har centraliserade funktioner som ett delat servicecenter eller där redovisningsansvaret för en eller flera av koncernens årsredovisningsrader ligger hos koncernledningen. Det är viktigt att revisorn säkerställer att alla inblandade revisorer förstår koncernrevisionens syften, mål och metodik för att säkerställa en samstämmig och effektiv granskning.
1.1.4 Utvärdering av planerade revisionsbevis och obetydliga enheter
Slutligen utvärderar koncernrevisorn om de planerade granskningsåtgärderna kommer att ge tillräckliga och lämpliga bevis för att stödja revisionsberättelsen. Detta inkluderar en bedömning av riskbedömningsåtgärder, intern kontroll och fortsatta granskningsåtgärder på både koncern och enhetsnivå. Koncernrevisorn måste kontinuerligt övervaka och uppdatera sin riskbedömning baserat på ny information som framkommer under revisionens gång. Detta säkerställer att alla identifierade risker hanteras på ett adekvat sätt och att revisionsbevisen är tillräckliga och ändamålsenliga.
När vi talar om obetydliga enheter i koncernrevision, menar vi de enheter som var för sig och sammantaget inte utgör en risk för väsentliga felaktigheter i de finansiella rapporterna som helhet. För dessa enheter behövs inga fortsatta revisionsåtgärder, såsom testning av kontroller eller substansgranskning, eller ytterligare riskbedömningsåtgärder eftersom de påverkar företagets finansiella rapporter i mycket liten utsträckning. Det finns inget krav på att identifiera obetydliga enheter. Men genom att göra det kan koncernrevisorn undvika att lägga resurser på att granska enheter där risken för väsentliga felaktigheter är minimal. Att fastställa vilka enheter som är obetydliga kräver professionell bedömning och bör baseras på specifika fakta och omständigheter för det aktuella uppdraget. Detta inkluderar en övergripande bedömning av alla relevanta årsredovisningsrader, snarare än att fokusera på en enskild indikator som intäkter eller vinst före skatt. Sammanfattningsvis, medan det inte finns några kvantitativa gränser för vad som anses vara en obetydlig enhet, kräver fastställandet en helhetsbedömning som tar hänsyn till alla aspekter av den finansiella rapporteringen.
1.2 Koncernrevisorns involvering
Som nämnts tidigare i artikeln inkluderar nya ISA 600 ett ökat fokus på koncernrevisorns ansvar för att styra och övervaka enhetsrevisorernas arbete. Det inkluderar mer frekvent och effektiv kommunikation, styrning och övervakning samt kvalitetssäkring under hela revisionen.
Nyckelförändringar gällande styrning och övervakning i ISA 600 är nedanstående områden:
Ett uppdragsteam
Ansvar för koncernrevisionsteamet och den ansvariga koncernrevisorn
Ökad tvåvägskommunikation
Utvärdering av fortsatta granskningsåtgärder
Kriterier för genomgång av enhetsrevisorns revisionsdokumentation
Vad gäller konceptet ”ett uppdragsteam” och ansvar för koncernrevisionsteamet samt koncernrevisorn kan ni läsa mer om det under avsnitt ”2.3 Ökat ansvar för koncernrevisorn”. Utvärdering av fortsatta granskningsåtgärder inkluderas i avsnitt ”2.1Riskbedömning och fortsatta granskningsåtgärder enligt ISA 600”.
1.2.1 Kontinuerlig kommunikation mellan koncernrevisorn och enhetsrevisorerna
ISA 600 betonar vikten av tvåvägskommunikation mellan koncernrevisorn och enhetsrevisorerna löpande under hela revisionen vid lämpliga tidpunkter. Koncernrevisorn kommunicerar med enhetsrevisorerna om deras respektive ansvar och koncernrevisorns förväntningar. Detta leder till en ökad kommunikation, både muntligt och skriftligt mellan koncernrevisorn och enhetsrevisorerna.
Som framgår av avsnitt 1.1.2 innehåller den nya standarden inga krav på att utföra en ”full scope” revision av individuellt ekonomiskt betydelsefulla enheter. Då fokus i stället läggs på en riskbaserad bedömning för att avgöra omfattningen av revisionsarbetet, blir tvåvägskommunikationen mellan koncernrevisor och enhetsrevisor än viktigare.
1.2.2 Utvärdera enhetsrevisorns kommunikation och utförda arbete
Koncernrevisorn utvärderar kommunikation från enhetsrevisorn och lämpligheten av utfört arbete för att fastställa om vi har erhållit tillräckliga revisionsbevis. Koncernrevisionsteamet ska begära att enhetsrevisorn informerar om de förhållanden som är av relevans för koncernrevisionsteamets slutsats gällande koncernrevisionen (ISA 600 punkt 45). Exempel från standarden på vad som ska ingå i kommunikationen är:
en identifiering av den finansiella informationen för den enhet som enhetsrevisorn har ombetts att utföra granskningsåtgärder,
en bekräftelse att enhetsrevisorn har utfört det arbete som har efterfrågats av koncernrevisionsteamet,
en bekräftelse att enhetsrevisorn har följt de yrkesetiska kraven, inklusive de som är hänförliga till oberoende, som gäller för koncernrevisionsuppdraget,
korrigerade och icke korrigerade felaktigheter i enhetens finansiella information som har identifierats av enhetsrevisorn och som är över den väsentlighet som har kommunicerats av koncernrevisionsteamet
en beskrivning av eventuella brister i systemet för intern kontroll som har identifierats i samband med de granskningsåtgärder som har utförts.
Likt beskrivet under avsnitt 1.1.2, för områden med högre bedömd risk för väsentliga felaktigheter i koncernredovisningen eller identifierade betydande risker i enlighet med ISA 315 (Omarbetad), där fortsatta granskningsåtgärder skall utföras, ska koncernrevisorn utvärdera lämpligheten av utformningen och utförande av dessa åtgärder.
I de fall koncernrevisionsteamet kommer fram till att arbetet som har utförts av enhetsrevisorn inte är ändamålsenligt för koncernrevisionen, ska koncernrevisionsteamet bestämma vilka ytterligare granskningsåtgärder som behöver utföras. Samt om de ska utföras av enhetsrevisorn eller av koncernrevisionsteamet (ISA 600 punkt 48).
1.2.3 Genomgång av enhetsrevisorns revisionsdokumentation
Den tidigare standarden fokuserade främst på koncernrevisorns genomgång av revisionsdokumentation kopplat till betydande risker. Nya ISA 600 inkluderar ytterligare kvalitativa faktorer att beakta, vilket utökar de områden som ska inkluderas i genomgången, exempelvis ytterligare risker eller väsentliga bedömningar. Detta kan leda till ett behov av ökad genomgång av enhetsrevisorns revisionsdokumentation.
Enligt ISA 220 (Omarbetad), punkt 31 ska den ansvariga koncernrevisorn vid lämpliga tidpunkter under revisionens gång gå igenom revisionsdokumentationen gällande nedan områden:
Betydelsefulla frågor.
Betydelsefulla bedömningar. Exempelvis uppskattningar samt övriga bedömningar som gäller svåra förhållanden eller tvister.
Övriga förhållanden som är relevanta. Exempelvis, att koncernrevisorn har noterat tveksamheter i enhetsrevisorns kompetens inom ett visst område.
Denna förändring syftar till ökad kommunikation (både verbal och skriftlig) mellan koncernrevisorn och enhetsrevisorerna och genomgång av revisionsdokumentation som tidigare eventuellt inte har varit föremål för genomgången. Som följd av detta har även kraven på dokumentation ökat, dvs att bevisa att dessa krav har följts.
1.3 Ökat ansvar för koncernrevisorn
ISA 220 (Omarbetad) introducerade konceptet ”ett uppdragsteam”. Alla som gör arbete för koncernrevisionen är en del av koncernrevisionsuppdraget, oavsett vilket revisionsföretag personerna tillhör. Detta innebär att uppdragsteamet består av koncernrevisor och enhetsrevisorer. Detta i sin tur, betyder ett ökat ansvar för koncernrevisionsteamet och den ansvariga koncernrevisorn. Den ansvariga koncernrevisorn tar övergripande ansvar för att leda och uppnå kvalitet för koncernrevisionen och är tillräckligt involverad under koncernrevisionens gång för att kunna utöva den kontrollen. ISA 600 betonar vikten av att utöva professionell skepticism och den tydliggör även vilka aspekter av revisionen som den ansvariga koncernrevisorn är ansvarig för att utföra i jämförelse med vilka aspekter den ansvariga koncernrevisorn kan delegera till andra på uppdragsteamet, inklusive enhetsrevisorer. Det resulterar i mer ansvar för den ansvariga koncernrevisorn specifikt samt ökad dokumentation gällande hur den ansvarig koncernrevisorn har styrt, övervakat och gått igenom revisionsdokumentation genomförd av enhetsrevisorer.
1.3.1 Förståelse av enhetsrevisorer
Koncernrevisorn skapar sig en förståelse av enhetsrevisorn gällande nedan punkter:
Huruvida enhetsrevisorn uppfyller de yrkesetiska kraven, inkluderat de kopplat till oberoende.
Enhetsrevisorns kompetens och kapacitet.
Huruvida koncernrevisorn kommer att kunna vara tillräckligt och lämpligt involverad i arbetet som enhetsrevisorn utför. Detta för att erhålla tillräckliga revisionsbevis.
Koncernrevisorn utvärderar sedan resultatet av sin förståelse för att se om några farhågor föreligger. Om så är fallet bedöms dessa som allvarliga eller mindre allvarliga och hanteras därefter. I de fall då enhetsrevisorer är från ett annat revisionsföretag kan riktlinjer och rutiner vara annorlunda. Detta gör att andra åtgärder kan behöva vidtas, exempelvis gällande omfattning av ledning och övervakning och genomgång av deras arbete.
2. Enhetsrevisorn
I tidigare avsnitt har vi behandlat koncernrevisorns perspektiv enligt ISA 600. Vilken roll och vilket ansvar har då enhetsrevisorn? Enhetsrevisorn upprättar vanligtvis en rapport eller ett memorandum över det arbete som utförts till koncernrevisorn. En del av ISA 600 är enhetsrevisorns skyldighet att kommunicera vissa kritiska frågor till koncernrevisorn. Dessa inkluderar bland annat korrigerade och okorrigerade felaktigheter som överskrider det gränsvärde som koncernrevisorn har satt upp, samt eventuella brott mot lagar och andra författningar.
Vidare bör enhetsrevisorn rapportera om indikatorer på bristande objektivitet hos enhetsledningen, vilket kan påverka informationen i de finansiella rapporterna. Det är också viktigt att identifiera och kommunicera brister i intern kontroll, eftersom sådana brister kan leda till väsentliga felaktigheter i redovisningen. Oegentligheter eller misstänkta oegentligheter som involverar enhetsledningen, anställda med betydande roller i intern kontroll, eller andra individer där oegentligheten resulterar i väsentliga felaktigheter, måste också rapporteras. Detta ska inkludera oegentligheter som kan ha betydande inverkan på koncernens finansiella ställning.
Utöver dessa punkter är det också nödvändigt att enhetsrevisorn kommunicerar andra väsentliga frågor som kan vara relevanta för koncernrevisionen, eller som enhetsrevisorn bedömer är lämpliga att uppmärksamma koncernrevisorn om. Detta inkluderar att beskriva eventuella brister i systemet för intern kontroll som identifierats under revisionen, vilket kan leda till justeringar i revisionsstrategin.
Enhetsrevisorn ska även identifiera vilken finansiell information den har ombetts att utföra granskningsåtgärder på och bekräfta om det arbete som efterfrågats av koncernrevisorn har utförts. Detta inkluderar att uppfylla relevanta etiska krav, inklusive de som rör oberoende. Om tillämpligt, ska enhetsrevisorn också sammanfatta viktiga revisionsfrågor och utförda förfaranden med avseende på dessa frågor, samt utföra fortsatta granskningsåtgärder för områden med förhöjd och betydande risk. Detta bidrar till en mer omfattande och detaljerad förståelse för koncernrevisorn, vilket är avgörande för att kunna göra en korrekt bedömning av koncernens finansiella rapporter.
Kommunikation mellan enhets och koncernrevisorn är central för en effektiv koncernrevision. Det är nödvändigt att kommunicera i tid, särskilt när det gäller kritiska frågor som påverkar koncernredovisningen. Detta säkerställer att koncernrevisorn får tillräcklig information för att godkänna eller stämma av de finansiella beloppen med koncernredovisningen. Enhetsrevisorn ska även hålla enhetsledningen informerad om kommunikationsplanerna som etablerades i början av revisionen. Detta främjar en smidig och effektiv process för att dela viktiga iakttagelser och insikter.
För att säkerställa en högkvalitativ koncernrevision enligt ISA 600, krävs ett nära samarbete mellan enhetsrevisorn och koncernrevisorn och att de upprätthåller en öppen och tydlig dialog genom hela revisionsprocessen. Detta inkluderar att noggrant dokumentera och rapportera alla relevanta frågor, vilket bidrar till att säkerställa att koncernens finansiella rapporter ger en rättvisande bild av dess finansiella ställning och resultat.
3. Dokumentation
Punkt 59 i ISA 600 medför ökade dokumentationskrav och tillämpningsmaterial för att betona länken till kraven i ISA 230 och andra relevanta ISA. Standarden tydliggör även vad koncernrevisorn kan behöva dokumentera i olika situationer, inklusive när koncernrevisorn har begränsad åtkomst till enhetsrevisorers revisionsdokumentation.
Vid tillämpningen av ISA 230 ska koncernrevisionsteamet exempelvis ta med följande i revisionsdokumentationen:
Betydelsefulla förhållanden kopplade till begränsningar gällande tillgång till personer eller information, innan man tar ett beslut om att acceptera eller fortsätta uppdraget.
Information om hur man har kommit fram till vilka enheter som inkluderas för planering och utförande av koncernrevisionen.
Information om hur man har kommit fram till arbetsväsentlighet för enhetsrevisorer och tröskelvärdet för att kommunicera felaktigheter till koncernrevisionsteamet.
Det är viktigt att dokumentera koncernrevisionen särskilt och tydliggöra den riskbedömning och de åtgärder samt slutsatser som utförs som del av koncernrevisionen. Dokumentationen kan inkluderas i en egen revisionsakt men kan också sparas i samma akt som moderbolaget så länge det går att urskilja vad som avser koncernrevisionen och vad som avser moderbolaget.
4. Sammanfattning/Avslutande ord
ISA 600 betonar vikten av en riskbaserad ansats i koncernrevisionen. Genom att noggrant planera och utföra riskbedömning, identifiera relevanta enheter och bestämma lämpliga revisionsåtgärder, kan koncernrevisorn säkerställa att riskerna för betydande felaktigheter i koncernens finansiella rapporter identifieras och hanteras på ett ändamålsenligt sätt. Detta bidrar till en mer tillförlitlig och anpassad revision, vilket i sin tur stärker förtroendet för den finansiella rapporteringen. Standarden betonar också vikten av att förstå graden av centralisering och gemensamma kontroller och ger mer vägledning kring detta än tidigare standard.
Upplägget av koncernrevisionen anpassas till revisionsriskerna och hur de kan hanteras på ett effektivt sätt. Det medför att det finns en annan flexibilitet i hur arbetet läggs upp. Det inkluderar borttagande av det tidigare kravet på att utföra en ”full scope”revision av individuellt ekonomiskt betydelsefulla enheter.
Enligt ISA 600 är det ett ökat fokus på koncernrevisorns ansvar för att styra och övervaka enhetsrevisorernas arbete. Det inkluderar mer frekvent och effektiv kommunikation, styrning och övervakning samt kvalitetssäkring under hela revisionen.
Som enhetsrevisor i en revision enligt ISA 600 kan omfattningen av revisionen och vilka åtgärder som ska utföras vara nya jämfört med hur upplägget sett ut tidigare. Det är därmed viktigt att förstå bakgrund till det nya arbetssättet och vara förberedd på att revisionen kan behöva planeras på ett nytt sätt.
5. Exempel på koncerner
Exemplen nedan illustrerar tillämpningen av ISA 600. Koncernrevisorer kan ha olika strategier och planer beroende på uppdragets specifika fakta och omständigheter, vilket innebär att det kan finnas flera lämpliga slutsatser eller ansatser. Kvantitativa trösklar i exemplen är inte avsedda som fasta regler för alla uppdrag. Nya fakta och omständigheter kan påverka slutsatserna.
Om en enhet inte är av relativ ekonomisk betydelse kan koncernrevisorn ändå planera fortsatta granskningsåtgärder på grund av betydande eller förhöjda risker i koncernens finansiella rapporter eller andra orsaker.
Koncernrevisorn i Koncern A identifierar att en enskild enhet representerar över 80 % av de flesta årsredovisningsraderna i koncernen, inklusive det riktmärke som används för att fastställa koncernens väsentlighet. Av de andra fem identifierade enheterna bidrar ingen med mer än 4 % till någon av koncernens årsredovisningsrader. Koncernrevisorn fastställer att den enheten som representerar över 80 % av de flesta koncernårsredovisningsraderna har relativ ekonomisk betydelse jämfört med de andra enheterna i koncernen.
Koncernrevisorn i Koncern B identifierar en hög koncentrationsnivå av utvalda årsredovisningsrader över ett litet antal enheter i förhållande till de konsoliderade koncernredovisningsraderna. Detta inkluderar tre enheter som står för över 70 % av koncernens totala intäkter, det riktmärke som används för att fastställa koncernens väsentlighet, där de tre enheterna bidrar med 18 %, 25 % respektive 30 % av koncernens konsoliderade intäkter. De två näst största enheterna i termer av intäkter bidrar med 12 % respektive 10 % av koncernens konsoliderade intäkter, varvid ingen av de återstående 8 enheterna individuellt bidrar med mer än 3 % av koncernens konsoliderade intäkter. Koncernrevisorn bedömer att de tre enheterna som står för den största andelen av koncernens konsoliderade intäkter är av relativ ekonomisk betydelse jämfört med övriga enheter i koncernen.
Koncernrevisorn i Koncern C identifierar en varierad nivå av koncentration av årsredovisningsrader över enheter, med fem enheter som individuellt representerar över 15 % av gruppens totala intäkter, med ingen av de andra återstående 20 enheterna individuellt representerande mer än 2 % av någon enskild koncernårsredovisningsrad. Koncernrevisorn bedömer att de fem största enheterna är av relativ ekonomisk betydelse jämfört med övriga enheter i koncernen.
Koncernrevisorn i Koncern D identifierar en låg nivå av koncentration av årsredovisningsrader över enheter, utan att en enda enhet representerar mer än 3 % av koncernårsredovisningsraderna som används för att fastställa koncernens väsentlighet. Men när koncernrevisorn övervägde andra årsredovisningsrader identifierades sex enheter som individuellt representerande över 15 % av koncernens konsoliderade totalsumma av en annan årsredovisningsrad som är en del för att mäta efterlevnad av skuldvillkor (Kovenanter). Koncernrevisorn bedömer att dessa sex enheter är av relativ ekonomisk betydelse jämfört med övriga enheter i koncernen. Som nämnts ovan i inledningen till dessa exempel, innebär slutsatsen att en enhet inte är av relativ ekonomisk betydelse inte nödvändigtvis att fortsatta granskningsåtgärder inte kommer att utföras vid den komponenten. Koncernrevisorn överväger andra skäl som kan finnas för att utföra fortsatta granskningsåtgärder, inklusive när det bedöms nödvändigt för att stödja tillräckliga och ändamålsenliga revisionsbevis som inhämtats för koncernrevisionens syften.
Exempel - obetydliga enheter:
Ett koncernrevisionsteam har identifierat 82 enheter som sammanlagt summerar till mindre än 6 % av den totala koncernens intäkter, där ingen enskild enhet har en intäktsbalans som är större än koncernredovisningens väsentlighet som helhet. Dessa enheter har kvalitativa faktorer som överensstämmer med komponenter som individuellt kategoriseras som obetydliga (tex inga unika väsentliga affärsaktiviteter eller processer, inga förvärv, avyttringar eller omorganisationer). Samma enheter har dock saldon som sammantaget representerar 18 % av varulagret och 14 % av kundfordringarna på koncernnivå. Även om dessa 82 komponenter representerar mindre än 6 % av koncernens totala intäkter, har individuellt oväsentliga intäktsbalanser och individuellt har kvalitativa faktorer som överensstämmer med obetydliga komponenter, kan aggregeringen av saldon för lager och kundfordringar antyda att dessa komponenter inte alla är obetydliga. Följaktligen, i detta scenario, skulle koncernrevisorn omvärdera vilka enheter som är obetydliga och skulle sannolikt ta bort några av komponenterna med varulager och kundfordringar från den identifierade gruppen av obetydliga enheter. Efter att ha tagit bort dessa komponenter från gruppen av obetydliga enheter, drar koncernrevisorn slutsatsen att summan av enheter som ingår i kategorin obetydliga inte längre representerar en risk för väsentliga felaktigheter i någon av årsredovisningsraderna på koncernnivå. För dessa obetydliga enheter är inga fortsatta granskningsåtgärder (dvs testning av kontroller eller substansgranskningsåtgärder) eller ytterligare riskbedömningsåtgärder nödvändiga.
Marina Pääkkö, auktoriserad revisor och Senior manager på KPMG
Tobias Karlsson, auktoriserad revisor och Senior manager på PwC