Andre bilag
Bilag 1 (Konklusioner og oplysninger i revisionsprotokollatet vedrørende årsrapporten eller anden tilsvarende rapportering)
Bilag 2 (Beskrivelse af revisors arbejdshandlinger)
Bilag 3 (Opsummering af bemærkninger i revisionsprotokollatet vedrørende årsregnskabet eller anden tilsvarende rapportering)
Bilag 4 (Intern revisions opgaver og ansvar)
Der er i revisionsbekendtgørelsen krav om, at den af interne revision udførte revision skal omfatte alle væsentlige og risikofyldte områder i virksomheden, jf. § 21, stk. 1. Derudover er der i revisionsbekendtgørelsen fastsat rammer inden for hvilke, den interne revision må udføre opgaver.
Formålet er, at den interne revision skal være uafhængig af de aktiviteter, der revideres.
I nedenstående afsnit 1 er opridset de forhold, som intern revision generelt skal være opmærksom på, forinden en opgave påtages. Dernæst er der i afsnit 2 givet en række eksempler på opgaver, som den interne revision skal udføre.
1. Bestemmelserne i revisionsbekendtgørelsen
1.1 Kun revision
I henhold til § 18, stk. 2, i revisionsbekendtgørelsen
– ledes den interne revision af en revisionschef.
Bestemmelsen skal medvirke til at sikre, at ansatte i den interne revision ikke anvendes som direkte assistance til den eksterne revision under ledelse af den eksterne revision (hvilket er nævnt som en mulighed i ISA 610). Den eksterne revision må gerne anvende arbejde udført af intern revision, arbejdet skal blot være udført som intern revision, på foranledning og under ledelse af revisionschefen.
I henhold til § 21, stk. 1, i revisionsbekendtgørelsen skal den af intern revision udførte revision
– omfatte alle væsentlige og risikofyldte områder i virksomheden.
Der henvises til nedenstående afsnit 2.2 for en uddybning heraf.
I henhold til § 21, stk. 3, i revisionsbekendtgørelsen
– må revisionschefen og medarbejderne i den interne revision ikke deltage i andet arbejde i virksomheden eller koncernen end revision.
Bestemmelsen skal medvirke til at sikre den interne revisions uafhængighed, herunder forhindre selvrevision.
Ved udførelsen af revisionen må den interne revision eksempelvis ikke:
– medvirke til at træffe forretningsmæssige beslutninger eller tage ansvar herfor,
– udføre kontrolopgaver, da den interne revision skal kunne revidere virksomhedens interne kontroller
– udarbejde eller opstille årsrapporten eller andre opgørelser af historiske finansielle informationer,
– bogføre eller på anden vis registrere,
– deltage i ansættelse af medarbejdere til virksomheden, undtagen rekruttering af medarbejdere til den interne revision,
– administrere lønninger, ejendomme, ombygninger eller lignende,
– anvise betalinger eller være prokurahaver for den finansielle virksomhed på andre områder end de der vedrører omkostninger relateret til den interne revision,
– stå for implementeringen af ændrede driftsrutiner, herunder effektiviseringstiltag og rationaliseringer,
– stå for udarbejdelsen af den daglige overvågning og rapportering af målopfyldelsen,
– deltage i fastsættelsen af de operationelle mål,
– beslutte eller stå for effektuering af sanktioner ved afdækket bedrageri,
– fastlægge eller stå for udarbejdelsen af driftsstrategier og -processer,
– deltage i administrationen af whistleblower ordninger (intern revision må f.eks. ikke være primær modtager, være med til at bestemme hvad der skal ske med whistleblows og hvem de enkelte henvendelser skal sendes videre til), eller
– deltage i kontrollen af lønpolitikken i henhold til aflønningsbekendtgørelsen
Dette gælder uanset om revisionschefen påtegner årsrapporten eller ej.
De nævnte opgaver er ikke revision, jf. § 21, stk. 3, i revisionsbekendtgørelsen, ligesom intern revision vil komme i konflikt med forbuddet mod selvrevision ved at udføre de nævnte opgaver, jf. § 21, stk. 5, i revisionsbekendtgørelsen.
Der er som udgangspunkt ikke noget til hinder for, at intern revision varetager den interne auditfunktion i henhold til Solvens II bestemmelserne for forsikringsselskaber.
1.2 Uafhængighed
I henhold til § 21, stk. 4, i revisionsbekendtgørelsen
– må intern revision ikke påtage sig opgaver, når der foreligger omstændigheder, der er egnet til at vække tvivl hos en velinformeret tredjemand om den interne revisions uafhængighed.
Det fremgår af § 23, stk. 3, i revisionsbekendtgørelsen
– revisionschefen må ikke komme i en situation, hvor vedkommende erklærer sig, konkluderer eller oplyser om forhold eller dokumenter, som revisionschefen, ansatte i den interne revision eller konsulenter, som revisionschefen gør anvendelse af, har udarbejdet grundlaget for..
Bestemmelserne skal sikre den interne revisions uafhængighed. Revisionschefen udfører opgaver i henhold til revisionsbekendtgørelsen og påtegner tillige årsrapporten, hvis dette er besluttet af bestyrelsen.
Den interne revision skal, for at værne om sin uafhængighed, altid være opmærksom på, at revisionschefen og medarbejderne i den interne revision:
– har en pligt til at identificere og vurdere omstændigheder og relationer, der skaber trusler mod uafhængigheden, og dokumentere dette, og
– tager de fornødne skridt til at eliminere disse trusler eller reducere dem til et acceptabelt niveau gennem anvendelse af sikkerhedsforanstaltninger, idet omfang det er muligt givet, at udgangspunktet er, at de er ansat i virksomheden.
1.3 Tilstrækkelige kompetencer og ressourcer
Hertil kommer, at den interne revision, jf. § 23, stk. 2, i revisionsbekendtgørelsen
– alene må påtage sig de arbejdsopgaver, som den har tilstrækkelige kompetencer og ressourcer til at udføre.
Dette indebærer, at den interne revision skal have tilstrækkelige kompetencer og ressourcer til at denne kan revidere alle væsentlige og risikofyldte områder i virksomheden, jf. § 21, stk. 1, i revisionsbekendtgørelsen.
Intern revision må gerne benytte eksperter eller outsource revisionen under iagttagelse af god revisorskik, jf. ISA 620 og ISA 220. Det skal bemærkes, at intern revision bl.a. skal være i stand til at vurdere ekspertens kompetencer og objektivitet, at intern revision skal opnå en tilstrækkelig forståelse af ekspertens ekspertiseområde, og at intern revisions ansvar for den samlede konklusion ikke kan mindskes ved brug af eksperter eller outsourcing. Det er fortsat intern revision, der skal afgive konklusionen efter § 27 og kunne stå inde for ansvaret for konklusionen og derfor skal have tilstrækkelige ressourcer og kompetencer til at vurdere ekspertens revision, jf. § 23, stk. 2. Intern revision kan ikke outsource deltagelsen i revisonen af de væsentlige og risikofyldte områder til brug for revisionschefens påtegning på årsregnskabet, jf. § 24, stk. 2.
2. Eksempler på arbejdsområder for den interne revision
Nedenstående er afgrænsningen af, hvilke opgaver der i henhold til bestemmelserne udføres af den interne revision, uddybet.
2.1 Revision og review af historiske finansielle oplysninger
Revision eller review af historiske finansielle oplysninger, herunder årsrapporter, halvårsrapporter m.v., omfatter en gennemgang og vurdering af de forretningsgange samt de manuelle og systembaserede kontroller, der knytter sig til frembringelsen af de historiske finansielle oplysninger.
Intern revisions opgaver kan eksempelvis omfatte
– revision og afgivelse af revisionspåtegning på årsrapporter,
– review af perioderapporter,
– afgivelse af erklæringer, konklusioner, oplysninger og informationer i henhold til lov om finansiel virksomhed og revisionsbekendtgørelsen, og
– afgivelse af erklæringer over for offentlige myndigheder.
Hvis revisionschefen påtegner årsrapporten, skal revisionschefen deltage i revisionen af de væsentlige og risikofyldte områder i årsregnskabet, jf. § 24, stk. 2, i revisionsbekendtgørelsen. Vurderingen af, hvilke områder der er væsentlige og risikofyldte, sker efter retningslinjerne i ISA 315 og vil afhænge af den enkelte virksomhedstype og kompleksitet.
I kreditinstitutter vil f.eks. udlån, gebyrer, handelsbeholdning, ejendomme, unoterede kapitalandele og afledte finansielle instrumenter, samt passiver som f.eks. pensionsforpligtelser og garantier som udgangspunkt være væsentlige samt risikofyldte, bl.a. på grund af komplekse regler, anvendelse af modeller, overholdelse af placeringsregler og opgørelse af solvens.
I forsikringsselskaber vil f.eks. præmieindtægter, erstatningsudgifter/forsikringsydelser samt investeringsafkastet anses som væsentligt og risikofyldt. Også de tilknyttede investeringsaktiver og hensættelser til forsikrings- og investeringskontrakter samt reassurance og afledte finansielle instrumenter er sædvanligvis væsentlige og risikofyldte områder.
Årsrapportens indhold, herunder ledelsesberetning, regnskab/koncernregnskab, 5-årsoversigt og noter, samt anvendt regnskabspraksis, anses i alle tilfælde som værende væsentlige og risikofyldte.
Ovenstående eksempler for de enkelte virksomhedstyper er alene tænkt som inspiration, da der i alle tilfælde skal foretages en konkret og dokumenteret individuel vurdering, af hvilke væsentlige og risikofyldte områder, der er knyttet til den enkelte virksomheds aktivitet.
Inden intern revision påtager sig opgaver, der ikke er nævnt i funktionsbeskrivelsen, jf. § 23 i revisionsbekendtgørelsen, skal revisionschefen indhente bestyrelsens eller en eventuel revisionsudvalgsaccept inden opgaven påtages.
2.2 Revision af væsentlige og riskofyldte områder i virksomheden
Der henvises til bilag 2, punkt 13-35, hvoraf det fremgår hvilke områder, der normalt vil være væsentlige for de enkelte virksomhedstyper.
Intern revision skal:
– vurdere, hvorvidt virksomheden har identificeret alle væsentlige risici og har rapporteret dette til bestyrelsen,
– vurdere hvorvidt kontrolsystemet er tilrettelagt og fungerer på betryggende vis,
– udfordre ledelsens syn på risikostyring i virksomheden,
– vurdere pålideligheden af ledelsesrapporteringen, samt overholdelse af love og regler, og
– bistå bestyrelsen med at beskytte virksomhedens aktiver, omdømme og fortsatte drift.
Revisionen af det interne kontrolsystem omfatter vurdering af etablerede forretningsgange og test af væsentlige kontroller. Intern revision skal have fokus på:
– væsentlige kontrolsvagheder og -nedbrud samt årsagen hertil, og
– de forretningsgange og kontroller, der understøtter virksomhedens beslutningsprocesser.
Revisionen skal, uanset om intern revision påtegner årsregnskabet og delårsregnskaber eller ej, omfatte virksomhedens regnskabsaflæggelsesproces.
Ved vurdering af, om det interne kontrolsystem er tilretttelagt og fungerer på betryggende vis, kan intern revision ikke alene basere sig på arbejdet udført af risikostyrings- og compliancefunktionen eller andre kontrolfunktioner, idet disse funktioner ikke har den samme uafhængighed af organisationen, som intern revision har. Funktionerne er en del af virksomhedens interne kontrolsystem og skal vurderes og testes af intern revision. Herefter kan intern revision konkludere i hvilket omfang, intern revision kan basere sig på det udførte kontrolarbejde. Ved vurdering af risikostyringsfunktionen, compliancefunktionen og andre kontrolfunktioner kan der hentes inspiration i den vurdering ekstern revision, i overenstemmelse med god revisionsskik, skal foretage af den interne revisionsfunktion, før intern revisions arbejde kan anvendes af ekstern revision.
Intern revision skal have en risikobaseret tilgang til hvilke områder i virksomheden, der skal indgå i revisionsplanen for det pågældende år. Revisionsplanen bør være fleksibel i det omfang, der opstår ikke planlagte hændelser og dertilhørende væsentlige risici, hvor intern revision bør prioritere revision og rapportering af disse.
Intern revision skal rapportere eventuel væsentlig usikkerhed, fejl eller mangler, som intern revision indentificerer.
2.2.1 Revision af risikostyring
Finansielle virksomheder er eksponeret overfor forskellige risikotyper. De vigtigste risikotyper er kreditrisiko, markedsrisiko, likviditetsrisiko, operationel risiko og forretningsrisiko. Revisionen omfatter den etablerede risikostyring indenfor de enkelte risikotyper, herunder de fastsatte limits og den etablerede rapporteringsstruktur.
Intern revision skal vurdere om de etablerede politikker ligger inde for rammerne af lov om finansiel virksomhed med tilhørende bekendtgørelser og vejledninger og om de fastsatte grænser ikke er urimelige efter virksomhedens forhold. Intern revision kan ikke påtage sig overvågningsopgaver, således at intern revision bliver en del af det interne kontrolapparat.
Eksempelvis er udviklingen af risikostyringsstrategier til bestyrelsens godkendelse samt fastsættelse af risikoniveauet typiske ledelsesopgaver, som derfor ikke kan udføres af den interne revision. Intern revision kan ikke påtage sig udviklings- og kontrolopgaver i relation til de enkelte risikotyper, idet den interne revision vil kunne komme i en situation, hvor den skal erklære sig om opgaver, som den selv har medvirket ved udarbejdelsen af.
Der er som udgangspunkt ikke noget til hinder for, at intern revision optræder som den uafhængige enhed i relation til opgaven omtalt i punkt 22 i bilag 1 til bekendtgørelse om opgørelse af risikoeksponeringer, kapitalgrundlag og solvensbehov, hvis den interne revision er uafhængig, og det ikke er i konflikt med øvrige love og regler.
2.2.2 Revision af compliancefunktionen
Compliancefunktionen er ansvarlig for, at assistere ledelsen i effektivt at håndtere virksomhedens compliance risici. Hvis en selvstændig compliancefunktion ikke er etableret, er den daglige ledelse ansvarlig for at håndtere eventuelle compliance risici og udpege en anden enhed, der er ansvarlig for at udføre den fornødne kontrol.
Intern revision skal, ud fra væsentlighed og risiko, gennemgå og vurdere, om de i virksomheden etablerede processer til håndtering af compliancefunktionens aktiviteter er betryggende. Intern revision kan ikke varetage compliancefunktionen eller dele heraf, da dette er uforeneligt med revisionsopgaven (selvrevision).
2.2.3 Basel Komiteen og IAIS
Ud over ovenstående retningslinjer, for hvad der er omfattet af intern revision, kan der hentes inspiration i Basel Komiteens princip 1, 6, 7 og 13 i ”The internal audit function in banks” for kreditinstitutter og i International Association og Insurance Supervisors (IAIS)’s princip 8.6 i ”Insurance Core Principles, Standards, Guidance and Assesment Methodology” for forsikringsvirksomheder.
3. Etiske principper
Revisionschefer, vicerevisionschefer og ansatte i den interne revision skal efterleve nedenstående etiske principper.
Integritet
Revisor skal være redelig og ærlig i alle professionelle og forretningsmæssige forbindelser.
Objektivitet
Revisor må ikke være forudindtaget, have interessekonflikter eller være under utilbørlig påvirkning af andre, således at den professionelle og forretningsmæssige dømmekraft undertrykkes.
Professionel kompetence og fornøden omhu
Revisor er forpligtet til løbende at vedligeholde sin faglige viden og færdigheder på et niveau, der er nødvendigt for at sikre, at der leveres en kvalificeret professionel ydelse baseret på en opdateret viden om den seneste udvikling inden for god skik, lovgivning og metoder. Revisor skal optræde omhyggeligt og i overensstemmelse med relevante faglige og professionelle standarder, herunder udvise professionel skepsis.
Fortrolighed
Revisor skal respektere fortroligheden af informationer opnået som led i ansættelsesforholdet, og må ikke videregive sådanne informationer til tredjemand uden behørig og specifik tilladelse hertil, medmindre der er en juridisk eller professionel ret eller pligt hertil. Fortrolige oplysninger opnået som led i ansættelsesforholdet må ikke anvendes til at opnå personlig fordel for revisor eller tredjemand.
Professionel adfærd
Revisor skal overholde relevant lovgivning og anden regulering og undgå enhver form for adfærd, som kan miskreditere intern revision.
Yderligere inspiration kan hentes i IFAC’s etiske regelsæt »Code of Ethics for Professional Accountants«, som ligger på IFAC’s hjemmeside (www.ifac.org) eller IIA’s etiske regelsæt, som ligger på IIA`s hjemmeside (www.theiia.org). De etiske regler udgives også af FSR - danske revisorer i en udgave tilpasset danske forhold.