job Blogg

Policy for revisjon og andre bekreftelser – en utvikling i krav til virksomhetsstyring

Vil nye krav til transparens i revisjonsbekreftelser for selskapslovgivningen i UK også kunne påvirke EU og Norge i en positiv retning?

Bakgrunn

Jeg vil ikke spekulere på hvor lang tid det kan ta før utviklingen i andre land når oss også her i Norge, men jeg har notert meg noen interessante forslag fra UK som går ut på å gjenopprette tilliten til ekstern revisjon og dennes nytteverdi. Situasjonen har oppstått med bakgrunn i den senere tidens konkurser i en rekke store og tilsynelatende friske selskaper. Selv om England nå står utenfor EU, kan man spørre seg om UK allikevel vil få innflytelse på utviklingen av EU-lovgivningen, noe som på sikt også vil påvirke regelverket i Norge. Dette vil være spesielt aktuelt dersom foreslåtte tiltak for å øke transparens ovenfor aksjonærer faktisk øker tilliten til kvalitet og omfang av revisjon og andre bekreftelser i store selskaper.

Jeg tar for meg ett av aspekten jeg synes er mest interessant for internrevisjonsfaget, og det er forslaget om en «Audit and assurance policy». Dette forslaget ble konkretisert i den såkalte Brydon rapport – Independent Review into the Quality and Effectiveness of Audit (publishing.service.gov.uk). Rapporten har ført til en offentlig høringsrunde som avsluttes i juli 2021 og den vil kunne danne et bakteppe for endringer i selskapslovgivningen i UK.

Før jeg går videre – et lite hjertesukk fra min side: jeg har ikke klart å finne en god oversettelse av ordet «assurance». Jeg merker at internrevisjonsmiljøet stort sett oversetter «assurance» med ordet «bekreftelse», som f.eks i forbindelse med oversettelse av IIA sin definisjon av internrevisjon. I den norske oversettelsen savner jeg det følelsesmessige elementet av å være tillitsskapende for mottageren ved at «bekreftelsen» også gir trygghet. I mangel på et bedre norsk ord vil jeg også her bruke ordet «bekreftelse» for «assurance», dessverre.

Innhold i en Policy for revisjon og andre bekreftelser

Viktige elementer i forslaget om en audit and assurance policy kan oppsummeres ved å besvare følgende spørsmål:

Hvem er tiltenkt skal lage en slik policy?
Policyen skal eies av styrets revisjonsutvalg.

Hvor ofte skal policyen lages?
Det er foreslått at policyen lages for en treårsperiode og oppdateres årlig. På denne måten tenker man at utvikling i rapportering fra år til år skal kunne synliggjøre læring og endringer i kontekst fra år til år.

Hva skal være innhold i en slik policy?
Policyen skal inneholde en beskrivelse av:

  • prosessen for å utnevne ekstern revisor
  • arbeid som kreves gjort av ekstern revisor og eventuelle betingelser
  • bakgrunn for honorarberegning for revisjonsarbeid
  • sammenheng mellom revisjonsbekreftelser og styrets risikorapport
  • bakgrunn og angrepsvinkel for utarbeidelse av styrets uttalelse om selskapets overlevelsesevne på kort og lang sikt (resiliens) og i hvor stor grad den er revidert
  • hvordan det er innhentet og rapportert om internkontroll i forhold til både regnskapsrapportering og operasjonelle kontroller

Den skal også være et rammeverk for beslutninger om vesentlighetsbeløp (materiality) og gi opplysninger som bidrar til aksjonærenes forståelse av hvordan de skal kunne tolke revisjonsberetninger/-rapporter.

Det er meningen at policyen skal ha et bredere fokus enn regnskapsrapportering, f.eks vil rapporteringen kunne dekke områder som cyberrisiko og utfall av klimaendringer.

Er det andre krav til offentliggjøring?
Policyen skal også inneholde et budsjett for det første året av de tre som omfattes av planen beskrevet i policyen. Budsjettet skal omfatte både eksterne honorarer, internrevisjonsbudsjettet og kostnaden ved å innhente andre typer av revisjonsbekreftelser.

Hvordan kan aksjonærene påvirke policyen?
Ved å skape åpenhet om omfanget av revisjons- og bekreftelsesarbeid har aksjonærene mulighet til å utfordre den valgte angrepsvinkelen.

Hva betyr en slik policy for en internrevisjonsavdeling?

Over lang tid har internrevisjonsmiljøet snakket om behovet for å synliggjøre helheten av internrevisjons- og 2. linjens kontrolltiltak (combined assurance) for toppledelsen og styret. Noen mener at vi også bør inkludert eksternrevisjonsarbeid i synliggjøringen. En slik policy som omtalt her vil kreve at man tenker helhetlig på behovet for revisjons- og andre bekreftelser som en forutsetning, ikke bare for det fremlagte årsregnskap, men også for andre uttalelser fra styret på internkontroll og overlevelsesevnen (resiliens).

Etter min mening er det en fordel at budsjettet for ekstern- og internrevisjon offentliggjøres for å synliggjøre hva som gis av komfort (bekreftelse) til aksjonærene (og andre interessenter) på selskapets tilstand.

Økt synlighet kan bety endring i fokus og prioriteringer for internrevisjonens arbeid, men dette er ikke noe vi skal være redde for. Den dagen vi ikke bruker vår kompetanse og ressurser på områder som fremmer og beskytter organisasjonens verdier, er den dagen vi bør vurdere om vår funksjon har livets rett.