Mangelfull risikovurdering, akseptkontroll og oppfølging av mislighetsrisiko

Tegn på problem

• Planleggingsdokumentasjonen inneholder ingen omtale av kontrollmiljø eller eksisterende internkontrollrutiner
• Svakheter i internkontrollen (f.eks. manglende arbeidsdeling, enkeltperson med eksklusiv bankadgang) er notert, men konsekvenser for revisjonsplan fremgår ikke
• Ingen særskilt risikovurdering for oppdragets organisasjonsform (stiftelse, ideell org. e.l.)
• Akseptdokumentasjon mangler vurdering av alle forhold tidligere revisor har kommunisert ved fratreden
• Mislighetsrisikoer er listet uten kobling til spesifikke regnskapspåstander eller identifiserte kontroller som reduserer risikoen
• Granskning av hovedboksposteringer og uvanlige transaksjoner er ikke dokumentert
• Aksept- og videreføringsskjema er generiske og ikke tilpasset oppdragets risikoprofil

Forebyggende tiltak

• Innfør obligatorisk sjekkliste for kartlegging av kontrollmiljø i alle planleggingsdokumenter, med krav om eksplisitt kobling til revisjonsplan
• Etabler oppdragstypespesifikke risikomoduler (stiftelse, konsern, finans m.fl.) som aktiveres automatisk ved registrering av juridisk form
• Krev at akseptmøtereferat adresserer hvert enkelt forhold fra fratrådt revisors kommunikasjon, med individuell risikovurdering og beslutning
• Implementer to-stegs godkjenning ved aksept av høyrisikooppdrag: saksbehandler pluss uavhengig kvalitetskontrollør
• Standardiser mislighetsrisikovurderingen slik at hver identifisert risiko må kobles til minimum én regnskapspåstand og én kontrolltiltak eller revisjonshandling
• Gjennomfør årlig intern gjennomgang av aksept- og videreføringsrutiner mot krav i revisorloven og ISA 220/315/240
• Loggfør og følg opp alle tilfeller der planleggingsdokument avviker fra standard mal, med krav om ledergjennomgang før oppdragsstart

Relevante tilsynsrapporter

Hjemler