Opdagelse og forebyggelse af besvigelse. svigelser

Transkript

1 Handelshøjskolen i Århus Erhvervsøkonomisk Institut Cand.merc.aud. Kandidatafhandling Opgaveløser: Christina Nielsen Vejleder: Torben Rasmussen Opdagelse og forebyggelse af besvigelse svigelser - Herunder revisors kontra ledelsens ansvar

2 Opdagelse og forebyggelse af besvigelser September Problembeskrivelse Indledning Problemformulering Problemafgrænsning Model og metodevalg Opgavestruktur Metodevalg Karakteristik af besvigelser Hvad er besvigelser? Årsager til besvigelser Muligheder Incitament/pres Retfærdiggørelse Hvem begår besvigelser? Interne besvigelser Eksterne besvigelser Typer af besvigelser Misbrug af aktiver Regnskabsmanipulation Afrunding Lovgrundlag Gældende revisionsvejledninger RS 24 (ajourført) Den øverste ledelses og den daglige ledelses ansvar En revisions iboende begrænsninger i forhold til besvigelser Revisors ansvar for at opdage væsentlige fejlinformation som følge af besvigelser Professionel skepsis Drøftelser i opgaveteamet Risikovurderingshandlinger Identifikation og vurdering af risiciene for væsentlig fejlinformation som følge af besvigelser Reaktioner på risiciene for væsentlig fejlinformation som følge af besvigelser Vurdering af revisionsbevis Den daglige ledelses udtalelser Kommunikation med den øverste ledelse og den daglige ledelse / Kommunikation med lovgivende og kontrollerende myndigheder Revisor er ikke i stand til at fortsætte opgaven Dokumentation ISA 24 (revised) SAS nr Øvrig relevant revisionslovgivning Lov om statsautoriserede og registrerede revisorer Revisors uafhængighed Revisors funktionsperiode og rapportering Bestemmelser omkring tavshedspligt Erklæringsbekendtgørelsen Afrunding...35

3 Opdagelse og forebyggelse af besvigelser September Revisor Misbrug af aktiver Planlægning Udførelse Uanmeldt kasseeftersyn/beholdningseftersyn - kassen Uanmeldt kasseeftersyn/beholdningseftersyn - checkbeholdning Uanmeldt kasseeftersyn/beholdningseftersyn - banken Uanmeldt kasseeftersyn/beholdningseftersyn - værdipapirer Uanmeldt kasseeftersyn/beholdningseftersyn - saldomeddelelser Uanmeldt kasseeftersyn/beholdningseftersyn - forretningsgangen Statusrevision Afslutning og rapportering Regnskabsmanipulation Planlægning Forespørgsel til den daglige ledelse >< den øverste ledelse Ledelsens incitament til at foretage regnskabsmanipulation Udførelse Omsætning Hensættelse til tab på debitorer Afslutning og rapportering Revisors muligheder for forebyggelse af besvigelser Afrunding Ledelsen Kontrolmiljø Ansættelser og forfremmelser Uddannelsesmæssig baggrund Kriminel fortid Beskæftigelse historie Code of Conduct Whistleblower program Bestyrelsens tilsynsførelse Reaktion på mangler og svagheder vedrørende besvigelser Risikovurdering Kontrol aktiviteter Funktionsadskillelse Attestation og godkendelse IT-sikkerhed Poståbning Bankafstemning og gennemgang af bankkontoudtog Automatisk faktureringssystem Udsendelse af periodisk kontoudtog Øvrige interne kontroller Information og kommunikation Overvågning Afrunding Revisors ansvar > < Ledelsens ansvar Revisors ansvar Revisionsprotokollat Ledelseserklæring Beholdningseftersyn...94

4 Opdagelse og forebyggelse af besvigelser September Ledelsens ansvar Den daglige ledelse Den øverste ledelse Afrunding Konklusion English Summary Litteraturliste...11 Bilag 1: Grundlæggende principper Bilag 2: Historisk udvikling Bilag 3: Anvendte forkortelser og begreber Bilag 4: Kasseeftersyn - Planlægning...13 Bilag 5: Kasseeftersyn - Kassebeholdning Bilag 6: Kasseeftersyn - Bankmellemværender Bilag 7: Kasseeftersyn - Værdipapirbeholdning Bilag 8: Saldomeddelelser Bilag 9: Kasseeftersyn - Debitorer Bilag 1: Kasseeftersyn - Forretningsgange Bilag 11: Kasseeftersyn - Opfølgning Bilag 12: Kasseeftersyn - Rapportering Bilag 13: Omsætning...14 Bilag 14: Hensættelse til tab på debitorer...141

5 Problembeskrivelse September Problembeskrivelse 1.1. Indledning Omverdenens forventninger til virksomheders årsrapporter er og har været, at revisor, efter påtegningen heraf, kan stå inde for, at årsrapporten ikke er påvirket af fejl og besvigelser. Revisor havde derimod tidligere den grundlæggende opfattelse, at den lovpligtige revision ikke omfattede revision vedrørende opdagelse af besvigelser, medmindre revisor under den normale revision fik mistanke herom. Der har således været en kløft mellem revisor og omverdenens forventninger til revisionen af besvigelser. Dette sammenholdt med flere regnskabsskandaler har de senere år medført en præcisering af revisors ansvar i forbindelse med besvigelser. Moderniseringen af revisorloven i 23 medførte, at revisor nu skal være langt mere aktiv i bekæmpelsen af besvigelser. Revisor tilrettelægger sin revision således, at det ved revisionens afslutning er muligt at afgive en revisionspåtegning. I denne revisionspåtegning vil revisoren blandt andet konkludere følgende:, at vi tilrettelægger og udfører revisionen med henblik på at opnå høj grad af sikkerhed for, at årsrapporten ikke indeholder væsentlig fejlinformation. Revisionen omfatter endvidere stillingtagen til og de væsentlige skøn, som ledelsen har udøvet, Det er vor opfattelse, at årsrapporten giver et retvisende billede af selskabets aktiver, passiver og finansielle stilling samt af resultatet af selskabets aktiviteter og pengestrømme Revisionen bygger hovedsagligt på de områder, der er væsentlige og hvor risikoen for fejl er størst. I den forbindelse er der gode muligheder for at opdage hændelige fejl, mens de tilsigtede fejl er sværere at opdage, da de ofte er forsøgt skjult. Det er ikke muligt, at foretage en skarp linie af, hvor dybt revisor skal gå i sin revision for at afsløre besvigelse. 1

6 Problembeskrivelse September 26 Samtidig viser en undersøgelse foretaget i 26 af Ernst & Young 1, at mellem 4% af de adspurgte virksomheder ikke har eller ikke er bekendt med, at virksomheden har en formel antibesvigelses politik. Den samme undersøgelse viser, at 9% af de adspurgte mener, at kontroller er tilstrækkelige til at identificere og efterforske bedrageri inden for deres egen organisation 2. Der er altså noget som tyder på, at revisor og ledelse stadig ikke har den samme forventning til, hvilket ansvar der påhviler hvem Problemformulering Formålet med denne opgave er at beskrive, analysere og diskutere, hvorledes besvigelse kan forebygges gennem blandt andet interne kontroller og funktionsadskillelse samt opdages i forbindelse med den lovpligtige revision. Opgavens hovedformål og -spørgsmål er formuleret som følgende: Hvordan kan/skal revisor og ledelsen henholdsvis opdage og forebygge besvigelser? Som omtalt i indledningen har der i mange år været en forventningskløft vedrørende ansvarsfordelingen mellem revisor og virksomhedens ledelse vedrørende henholdsvis opdagelsen og forebyggelsen af besvigelser i virksomheden. Indenfor det seneste årti er såvel den danske som den internationale lovgivning omkring området blevet skærpet, og i Danmark har man forsøgt at undgå de store erhvervsskandaler som både USA og Europa har været tilskuere til. Selvom lovgivningen er strammet op, er der stadig en løbende diskussion om, hvor dybt revisor skal revidere i den ordinære revision, medmindre revisor er blevet bekendt med forhold, som kan give mistanke om besvigelser. 1 Ernst & Young Fraud risk in emerging markets 26 2 Jf. Virksomheder undervurderer risiko for bedrageri, Revision & Regnskabsvæsen, nr. 8, 26. 2

7 Problembeskrivelse September 26 For at belyse ovenstående problemstilling, vil opgaven blive opdelt i nedenstående underspørgsmål: Hvilken lovgivning er gældende på dette område? Hvordan skal revisionen tilrettelægges således eventuelle besvigelser opdages? Hvorledes kan revisor tilrettelægge sin revision, således besvigelser forebygges? Hvilke redskaber skal ledelsen anvende ved forebyggelsen af besvigelser? Hvordan skal ansvaret for henholdsvis opdagelse og forebyggelse af besvigelser fordeles mellem revisor kontra ledelsen? På baggrund af ovenstående indgangsvinkel til begrebet besvigelser er det hensigten, at de ovenstående arbejdsspørgsmål vil være medvirkende til at belyse opgavens hovedformål Problemafgrænsning Opgaven er afgrænset til kun at omhandle de i Årsregnskabslovens 1 og 3 omtalte virksomheder, hvilket betyder, at opgaven ikke vil indbefatte særlige bestemmelser omkring virksomheder, som er omfattet af speciallovgivning. Her tænkes bl.a. på den finansielle sektor, offentlige institutioner, fonde og foreninger mv. Jeg vil ikke komme nærmere ind på revisionshandlinger i forbindelse med opgaver udover den ordinære lovpligtige revision. Det skal hertil siges, at revisionshandlingen ofte vil være identisk med de handlinger, som er omfattet af den ordinære lovpligtige revision. I den forbindelse vil forvaltningsrevision heller ikke blive berørt i nærværende opgave. Grundet opgavens omfang vil jeg ikke komme med en teoretisk gennemgang af revisionskoncepter, herunder god revisionsskik, da dette formodes at være kendt stof for læserne af denne opgave. Der henvises til bilag 1, såfremt der ønskes en redegørelse og forståelse af de grundlæggende revisionskoncepter omkring revisionsrisiko, revisionsmål og væsentlighed mv. Jeg vil ikke kommentere den historiske udvikling af lovgivningen omkring besvigelser medmindre, at dette synes relevant i den gældende situation. Ligeledes vil der af hensyn til projektets omfang og præcision fokuseres på de danske forhold, og kun eventuelle større 3

8 Problembeskrivelse September 26 afvigelser mellem de internationale forhold vil blive diskuteret. Der henvises til bilag 2, såfremt der ønskes en nærmere redegørelse af den historiske udvikling mv. I forbindelse med den internationale lovgivning, vil jeg kun kommentere den amerikanske SAS 99 samt ISA 24 foruden den i Danmark gældende lovgivning. Jeg vil ikke kommentere lovbekendtgørelse nr. 734 af 3/8 22 om Forebyggende foranstaltninger mod hvidvaskning af penge og finansiering af terrorisme kendt som hvid- og sortvaskloven. Afgrænsningen heraf skyldes, at det ikke vil være den form for besvigelser, som denne opgave vil omhandle. Selvom dette kunne være relevant i nogle situationer, vil opgaven ikke omhandle diskussionen omkring ophævelsen af revisionspligten for mindre virksomheder. Opgaven vil kun omhandle interne besvigelser, idet det, som omtalt under afsnit 2.3, er det område, der synes at være størst, både hvad angår antallet af besvigelser, men også hvad angår den økonomiske størrelse. Endvidere vil risikoen for eksterne besvigelser blive minimeret i takt med at risikoen for interne besvigelser minimeres, idet der ofte indgår personer internt i virksomheden i eksterne besvigelser. Jf. afsnit opgavens struktur opdeles kapitlet omkring revision af besvigelse i to områder: Misbrug af aktiver Regnskabsmanipulation I forbindelse med analysen af misbrug af aktiver vil området blive afgrænset til kun at omhandle besvigelser vedrørende likvide midler, og jeg vil derfor ikke berøre revisionen af øvrige aktiver end likvide midler. I forbindelse med analysen af regnskabsmanipulation vil området blive afgrænset til kun at omhandle besvigelser vedrørende omsætning og hensættelser til tab på debitorer, og jeg vil derfor ikke berøre revisionen af øvrige områder end de nævnte. I forbindelse med revisionen af omsætningen vil jeg dog ikke, grundet opgavens omfang, berøre området omkring igangværende arbejde. 4

9 Problembeskrivelse September 26 De to ovennævnte afgræsninger begrundes med, at der grundet opgavens omfang ikke kan medtages alle regnskabsposter, og ovennævnte tre poster tilsammen udgør SID-cyklen 3. Endvidere vil revisionen om de ovenfor nævnte områder kun omhandle revision, som kan opdage besvigelser, og ikke den generelle revision af områderne salg, likvider og debitorer. Desuden vil opgaven ikke omhandle edb-revision selvom dette er relevant, idet dette vil blive for omfattende. Kapitel 5 vil blive baseret på de fem elementer i COSO frameworket fra Det betyder, at de tre yderligere elementer, som fremgår af COSO frameworket fra 24 baseret på organisationernes enterprise risk management, ikke vil blive omtalt i denne opgave. Det er ikke hensigten med denne opgave, at fokusere på de store besvigelsessager, som har præget både USA og Europa, men jeg vil, hvor det er relevant, henvise til de domme, som har haft indflydelse på besvigelsesområdet i Danmark. Som det fremgår af nærværende opgave er den danske, såvel som den internationale lovgivning blevet skærpet, hvilket har medført diskussioner omkring revisors juridiske baggrund. Revisor har en økonomisk uddannelse og ikke en decideret juridisk uddannelse, hvilket kan være et dilemma i forhold til det øgede krav, som er opstået i forbindelse med at lovgivningen er skærpet. Grundet opgavens omfang vil jeg ikke kommentere denne diskussion yderligere Model og metodevalg Opgavestruktur Opgaven er opbygget i henhold til de udarbejdede arbejdsspørgsmål og inddelt i kapitler og underafsnit i henhold til figur 1.1. I kapitel 2 vil der blive givet en karakteristik af begrebet besvigelser, herunder en definition af begrebet samt en beskrivelse af de karakteristika, der knytter sig til besvigelser generelt. 3 SID-cyklen = Salg - Indbetalinger - Debitorer. 5

10 Problembeskrivelse September 26 Kapitel 3 vil være en gennemgang af den gældende danske lovgivning på området besvigelser samt øvrige lovgivning som anses som relevant for opgaven. Endvidere vil ISA 24 (revised) og SAS 99 blive omtalt. Gennemgangen er foretaget med det formål at give et overblik over lovgrundlaget samt give en fortolkning og vurdering af principper og metoder for opdagelse og forebyggelse af besvigelser. Revisionen af besvigelser vil blive diskuteret og analyseret i kapitel 4. Herunder vil planlægningen af revisionen, den egentlige revision samt konklusionen vedrørende det reviderede blive gennemgået, og forslag til revisionsplaner vil blive givet. Revisionen af misbrug af aktiver, herunder likvide midler samt revision af regnskabsmanipulation vil blive behandlet i dette kapitel, ligesom jeg vil diskutere revisors mulighed og evne til at forebygge besvigelser. I kapitel 5 vil jeg analysere og diskutere, hvilke muligheder virksomhedernes ledelse har for at forebygge besvigelser. Herunder vil jeg diskutere, hvilke redskaber virksomhederne skal benytte sig af for at minimere risikoen for misbrug af aktiver og regnskabsmanipulation. Sidst, men ikke mindst vil jeg i kapitel 6 diskutere ansvarsfordelingen mellem revisor og ledelse i forhold til besvigelser. Den ovenfor nævnte struktur for den samlede opgave kan illustreres på følgende måde: 6

11 Problembeskrivelse September 26 Kap. 1 Problemformulering Kap. 2 Karakteristik af besvigelser Lovgrundlag Kap. 3 Revisor Opdagelse (revision) Forebyggelse Misbrug af aktiver Regnskabsmanipulation Kap. 4 Ledelsen Kontrolmiljø Risikovurdering Kontrolaktiviteter Informationer og kommunikation Overvågning Kap. 5 Kap. 6 Revisors ansvar Ledelsens ansvar Kap. 7 Konklusion Figur 1.1: Opgavens Struktur, kilde: Egen produktion med inspiration fra Elling, Årsregnskabsteori i analytisk perspektiv, s

12 Problembeskrivelse September Metodevalg Ud fra problemformuleringens udformning har jeg opstillet forskellige spørgsmål, som jeg senere har gjort til genstand for analyse og diskussion. Jeg ønsker at finde nogle kausale sammenhænge (Årsagsvirknings-sammenhænge) mellem den teoretiske del og den praktiske del. Opgavens synsvinkel bygger på den analytisk baserede tankegang, og jeg vil forsøge gennem indtryk og erfaringer samt indsamling af artikler og øvrig litteratur at generalisere i form af teser. Mine data vil bestå af såvel kvalitative data i form af love og standarder og kvantitative data i form af diverse eksterne undersøgelser anvendt i analysen og diskussionen. De første to kapitler i opgaven er beskrivende og til dels analyserende. På baggrund af disse to kapitler vil jeg i de resterende tre kapitler forsøge at komme frem til svar på ovenstående problemstilling gennem en praktisk indgangsvinkel, analyser og diskussioner. Jeg har gennem hele opgaven valgt at inddrage egne vurderinger og holdninger. Anvendte forkortelser og udvalgte begreber er defineret i bilag 3. 8

13 Karakteristik af besvigelser September Karakteristik af besvigelser I nedenstående afsnit vil jeg give en præsentation af besvigelser, samt de forhold som knytter sig hertil Hvad er besvigelser? I både danske love og erklæringer nævnes ordet besvigelser, men ofte bliver dette ord ikke defineret nærmere. I nedenstående afsnit er det min hensigt at definere begrebet besvigelser, herunder en definition af begrebet i forhold til revision samt en beskrivelse af de karakteristika, der knytter sig til besvigelser generelt. Dansk retskrivnings definition på ordet besvigelser er bedrageri 4, og at bedrage eller at besvige defineres som at skaffe sig en fordel ved svindel og falskhed 5. RS 24 (ajourført) afsnit 5-6 arbejder med to definitioner; fejl og besvigelser, som bliver defineret som følger: Betegnelsen fejl anvendes om en utilsigtet fejlinformation i regnskaber, herunder udeladelse af et beløb eller en oplysning Betegnelsen besvigelser anvendes om en bevidst handling udført af en eller flere personer blandt den daglige ledelse, den øverste ledelse, medarbejdere eller tredjepart, hvor vildledning for at opnå en uberettiget eller ulovlig fordel er involveret. Denne opgave vil kun omhandle betegnelsen besvigelse, som altså er en bevidst handling. Med bevidste handlinger forstår jeg handlinger, som er begået bevidst for at opnå et givet resultat. 4 Straffelovens 279 definerer bedrageri som at skaffe sig eller andre uberettiget vinding, ved retsstridigt at fremkalde, bestyrke eller udnytte en vildfarelse bestemmer en anden til handling eller undladelse, hvorved der påføres denne eller nogen, for hvem handlingen eller undladelsen bliver afgørende, et formuetab. 5 Jf. KPMG, Besvigelser - risici og forebyggelse, side 2. 9

14 Karakteristik af besvigelser September 26 RS 24 (ajourført) 6 er en direkte oversættelse af ISA 24 (revised) 7, hvorfor der ikke er nogen yderligere hjælp heri. Historisk set har den danske lovgivning dog været noget mere præciseret, idet besvigelser tidligere var reguleret ved revisionsvejledning nr. 21. I RV nr. 21 var definitionen på besvigelser følgende: Besvigelser anvendes i denne vejledning som betegnelse for tilsigtede handlinger eller undladelser, der fører til eller kan føre til fejlinformation i regnskabet. RV nr. 21 præcisere altså besvigelser til ikke blot at være tilsigtede handlinger, men også tilsigtede undladelser, anses for værende besvigelser. Dette må kunne sammenlignes med straffelovens begreb forsæt. Definitionen på forsæt er, at gerningspersonen skal have haft en viden, gjort sig nogle forestillinger eller villet noget 8. Endvidere er forskellen på RV nr. 21 og RS 24, at den tidligere revisionsvejledning er lidt dybere i definitionsgraden. Jf. RV nr. 21 står der, at de tilsigtede handlinger eller undladelser skal føre til eller kunne føre til fejlinformation for, at der er tale om besvigelse. Ifølge RV nr. 21 er tilsigtede handlinger og undladelser, som ikke medfører, men blot kan føre til fejlinformation i årsrapporten, også omfattet af besvigelsesbegrebet. Dette kan ligeledes sammenlignes over til straffelovens definition af forsæt 9 : Direkte forsæt: Hvis personen tilstræber en bestemt følge (f.eks. at betale for lidt i skat), ved noget (f.eks. at nogle regnskabstal er urigtige), eller anser en bestemt følge for en sikker konsekvens af sin handling eller undladelse. Sandsynlighedsforsæt: Hvis personen kun anser det for muligt, at en omstændighed er til stede (f.eks. at de nævnte regnskabstal er urigtige), eller at en følge vil indtræde som konsekvens af hans/hendes handling (at der så vil blive betalt for lidt i skat), er det afgørende personens egen vurdering af sandsynlighedens størrelse. 6 RS 24 (ajourført) er den opdateret version af RS 24. I den resterende del af opgaven vil RS 24 (ajourført) blot blive omtalt som RS 24, hvilket dog ikke skal forveksles med den tidligere RS 24 af marts ISA 24 (revised) er den opdateret version af ISA 24. I den resterende del af opgaven vil ISA 24 (revised) blot blive omtalt som ISA 24, hvilket dog ikke skal forveksles med den tidligere ISA Jf. Langsted, Lars Bo m.fl., Revisoransvar, s Jf. Langsted, Lars Bo m.fl., Revisoransvar, s

15 Karakteristik af besvigelser September 26 Her kan ses en pendant mellem ordene føre til og tilstræbe (direkte fortsæt) samt kan føre til og anser det for muligt (sandsynlighedsforsæt). Tilfælde, hvor en handling eller undladelse ikke fører til, men kan føre til en fejlinformation i årsrapporten, kan være en handling eller undtagelse, som ikke indtræder eller forhindres og derfor ikke fører til fejlinformationer i årsrapporten. Både IASB s standarder, amerikanske standarder og engelske standarder anvender betegnelsen fraud om begrebet besvigelser. Da den danske revisionsstandard har valgt at lægge sig tæt op af ISA 24 er der ingen yderligere definering at hente her 1. Den amerikanske standard SAS no. 99 giver følgende definition på betegnelsen fraud : Fraud is a broad legal concept and auditors do not make legal determinations of whether fraud has occurred. Rather, the auditor s interest specifically relates to acts that result in a material misstatement of the financial statements. The primary factor that distinguishes fraud from error is intentional or unintentional. For purposes of the Statement, fraud is an intentional act that results in a material misstatement in financial statements that are the subject of an audit. 11 Selvom den amerikanske standard adskiller sig fra ISA 24 og RS 24, efterlader den dog ikke nogen betydelige forskelle mellem definitionen af besvigelser. Ifølge SAS 99 er det afgørende for besvigelser, at der er tale om en tilsigtet handling. SAS 99 beskriver dog endvidere, at der skal være tale om en væsentlig fejl i forhold til årsrapporten. Dette fremgår hverken af ISA 24 eller RS 24 s definition, men som jeg vil komme ind på senere i opgaven, bliver dette dog anvendt i forbindelse med revisionen af besvigelser. Revisionsmæssigt findes der på nuværende tidspunkt altså ikke en dybere definition af besvigelser, end den der er beskrevet i RS 24. Både ISA standarder, danske standarder og amerikanske standarder er enige om essensen af definitionen af besvigelser, ligesom de er enige i, hvad og hvem besvigelser omhandler. Årsagen til denne tilnærmelsesvis ens definition skal findes i det faktum, at ISA er et resultat af et nært samarbejde med de amerikanske revisionsstandardudstedere, og at RS 24 er en nærmest direkte oversættelse af 1 Jf. ISA 24 (revised) paragraph SAS 99 paragraph 5. 11

16 Karakteristik af besvigelser September 26 ISA 24. Dette skyldes, at der er et internationalt krav om større harmonisering regnskabs- og revisionsmæssigt. Da det er min opfattelse, at definitionerne i praksis dækker over det samme og en dybere definering ikke vil være relevant for den resterende del af opgaven, vil jeg ikke skelne mellem de ovenfor nævnte definitioner Årsager til besvigelser Der findes mange årsager til, at folk begår kriminalitet, og dermed også mange årsager til, at folk begår besvigelser. Kriminologen Donald R. Cressey 12 arbejdede ud fra en teori, om at der var tre forhold, som gjorde sig gældende i forbindelse med, at der blev udøvet besvigelser. De tre forhold, som i Danmark kendes som de tre M er, er følgende: Motiv Mulighed (opportunity) Motiv (pressure) Moral (rationalisation) Mulighed Moral Figur 2.1: Fraud appendix 1: Description and Characteristics of Fraud, PWC Ovenstående forhold er de forhold som anvendes af Kriminologen Donald R. Cressey. RS 24 (ajourført) anvender følgende definitioner i lighed med ISA 24 (revised): Muligheder (opportunities) Incitamenter/pres (incentives/pressures ) Retfærdiggørelse (attitudes/rationalizations) Muligheder Omstændigheder der gør, at det er muligt for personer at foretage besvigelser. Dette kan skyldes, at der eksempelvis er mangel på kontroller, eksisterende kontroller er utilstrække- 12 Jf. Pedersen, Claus, Besvigelser - den usynlige risiko, side

17 Karakteristik af besvigelser September 26 lige eller ledelsen tilsidesætter de kontroller, som eksisterer. Muligheden for besvigelser kan altså ses i sammenhæng med et utilstrækkeligt kontrolmiljø. Muligheden for besvigelser kan endvidere opstå af en mængde strukturelle forhold. Et unødvendigt pres, kompleks organisationsstruktur, underbemandede økonomi- og regnskabsfunktioner samt høj udskiftning af personel i disse funktioner, kan gøre risikoen for at besvigelser opstår endnu større Incitament/pres Motivet er oftest begrundet i økonomiske forhold, som opstår på grund af medarbejderens grådighed eller et akut behov. Manglende kompensation for medarbejderens arbejdsindsats, dårlig privatøkonomi eller et pres for at nå opstillede mål, kan være motivet for at besvigelser foretages. Ledelsen eller øvrige medarbejdere har altså et incitament eller er under relativ pres, som medfører en årsag til at begå besvigelser Retfærdiggørelse De involverede såvel ledelsen som øvrige medarbejdere kan legitimere og retfærdiggøre over for sig selv, hvorfor at besvigelsessituationen er berettiget. Personers attitude og karakteristisk hænger sammen med den moral, som man retfærdiggør over for sig selv. I følgebrevet til udkastet til RS 24 (ajourført) beskrives moral som følgende: Nogle personer har en holdning, en karakter eller etiske værdier, som tillader dem at begå en uærlig handling bevidst og tilsigtet. Imidlertid kan selv i øvrigt ærlige personer begå besvigelser i et miljø, der lægger tilstrækkeligt pres på dem. 13 Motiv og moral hænger oftest sammen. Ofte kan etiske regler afhjælpe besvigelser, da de kan medføre moralske betænkeligheder. Derfor kan der være relativ store fordele i, at virksomhederne internt offentliggøre en formel: Code of Conduct 13 Følgebrev til udkast til RS 24 (ajourført), Revisionsteknisk udvalg (FSR) 13

18 Karakteristik af besvigelser September 26 Procedure for angivelse af kollegaer (Whistle-blowing) Besvigelsespolitik Plan for respons ved besvigelser Ovenstående dokumenter viser, at virksomhederne har taget stilling til problemet, og der ikke er tvivl om, hvornår der er tale om besvigelser og hvornår der er tale om simple personalegoder, samt hvilke konsekvenser besvigelser har i de specifikke virksomheder Hvem begår besvigelser? I RS 24 og ISA 24 anvendes der tre forskellige grupper af personer, der har mulighed for at begå besvigelser. Disse tre grupper kan endvidere opdeles i interne og eksterne besvigelser: Ledelsen Medarbejdere = interne besvigelser Eksterne personer = eksterne besvigelser Ernst & Young har i 23 gennemført en større analytisk undersøgelse af forskellige forhold omkring besvigelser 14. Af denne undersøgelse fremgår det, at eksterne personer stod for 15% af den afdækkede besvigelse. Af de 85% interne besvigelser stod ledelsen for 55% og øvrige medarbejdere for 3% af de samlede afdækkede besvigelser, jf. nedenstående figur. 14 Ernst & Young, Fraud The Unmanaged Risk,

19 Karakteristik af besvigelser September 26 Ledelsen Øvrige medarbejdere 6% 4% 5% Kunder Leverandør 3% 55% Organiserede kriminelle Figur 2.2: Hvem begik den afdækkede besvigelse? Pedersen, Claus: Besvigelser - den usynlige risiko, INSPI nr. 5, Interne besvigelser Interne besvigelser begås af personer indenfor virksomheden. Dette kan være ledelsen såsom; bestyrelsen, direktionen eller ledende medarbejdere ligesom det kan være øvrige medarbejdere. Af ovenstående figur fremgår det, at 85% af besvigelserne er begået af personer inden for virksomhedens egne medarbejdere/ejere. Undersøgelsen, som er foretaget i 23 af Ernst & Young, adskiller sig væsentligt fra undersøgelsen foretaget af KPMG kun syv år tidligere. KPMG gennemførte i efteråret 1996 en spørgeskemaundersøgelse omkring holdninger til og erfaringer med besvigelser i dansk erhvervsliv. Af denne undersøgelse fremgik det, at eksterne personer begik 58% af besvigelserne, ledelsen begik 8% af besvigelserne og øvrige medarbejdere begik 34% af besvigelserne 15. Disse to undersøgelser sammenlignet udviser et væsentlig faresignal. Besvigelser begået af ledelsen er på syv år steget med 49 procent-point. Endvidere fremgår det af undersøgelsen foretaget af Ernst & Young i 23, at langt det største antal af de afdækkede besvigelser blev begået af ledende medarbejdere, som havde mindre end et års anciennitet i virksomheden KPMG, Besvigelser - risici og forebyggelse, Pedersen, Claus, Besvigelser - den usynlige risiko, INSPI nr. 5,

20 Karakteristik af besvigelser September 26 Af undersøgelsen foretaget af KPMG i 1996 fremgår det endvidere, at selvom ledelsen kun tegnede 8% af besvigelserne, svarede dette til 42% af det estimerede tab i forbindelse med besvigelserne, hvorimod eksterne besvigelser tegnede 26% det estimerede tab 17. Disse oplysninger tegner et billede af, at det er de interne besvigelser, som bør have den største fokus Eksterne besvigelser Eksterne besvigelser begås af personer udenfor virksomheden. På trods af at denne gruppe kaldes eksterne besvigelser, er det oftest at besvigelserne foretages i samarbejde med personer indenfor virksomheden. Personer, der begår eksterne besvigelser, kan være kunder, leverandører og personer indenfor organiseret kriminalitet. Den resterende del af opgaven vil kun omhandle interne besvigelser, hvorfor ovenstående område ikke vil blive nærmere omtalt, jf. afsnit 1.3. problemafgrænsninger Typer af besvigelser Der findes flere forskellige typer af besvigelser, som er relevante i forbindelse med de revisionsmæssige overvejelser omkring årsrapporten. Misbrug af aktiver Regnskabsmanipulation Korruption og bestikkelse Hvid- og sortvaskning af penge Computerkriminalitet Misbrug af betroet stilling Industrispionage Piratkopiering Denne opgave vil dog kun omhandle de første to typer af besvigelser, og jeg vil derfor ikke komme nærmere ind på de øvrige. Denne afgrænsning skyldes hovedsagligt, at RS 24 udelukkende omhandler regnskabsmanipulation samt misbrug af aktiver. 17 KPMG, Besvigelser - risici og forebyggelse,

21 Karakteristik af besvigelser September Misbrug af aktiver Ifølge undersøgelsen foretaget af Ernst & Young i 23 er misbrug af aktiver den besvigelsestype, som bekymrer virksomhederne (ledelsen) mest. Undersøgelsen viser, at 63% af de adspurgte virksomheder bekymrer sig om, hvorvidt aktiver bliver misbrugt. Misbrug af aktiver omhandler en uretmæssig anvendelse af virksomhedens aktiver. Ved misbrug af aktiver er det medarbejdere på alle niveauer af organisationen samt eksterne personer, som kan have interesse i den form for besvigelse. RS 24 skriver i paragraf 11 følgende omkring misbrug af aktiver: Misbrug af aktiver omfatter tyveri af virksomhedens aktiver og begås ofte af medarbejdere for forholdsvist små, uvæsentlige beløb. Den daglige ledelse, der ofte er bedre i stand til at tilsløre eller skjule misbruget ved fremgangsmåder, der er svære at opdage, kan imidlertid også være involveret. Misbrug af aktiver kan foretages på en række måder såsom: Underslæb Tyveri af fysiske aktiver eller immaterielle rettigheder For at skjule, at aktiverne ikke er til stede, eller de er anvendt til sikkerhedsstillelse uden korrekt autorisation, ses misbrug af aktiver ofte sammen med falske eller vildledende registreringer eller dokumenter. I de fleste tilfælde medfører misbrug af aktiver ikke, at der opstår væsentlig fejlinformation i årsrapporten, da det ofte drejer sig om mindre beløbsmæssige effekter. Misbrug af aktiver kan dog i nogle tilfælde være så omfattende og organiseret, at der er tale om en lang større effekt, og dermed stiger risikoen for væsentlig fejlinformationer i årsrapporten. I sådanne tilfælde vil misbrug af aktiver ligeledes være kombineret med regnskabsmanipulation. Regnskabsmanipulationen opstår som et forsøg på at skjule, at aktiver bliver misbrugt. Betegnelsen misbrug af aktiver anvendes i forbindelse med tyveri af betalingsmidler/likvider, tyveri af øvrige aktiver eller personlig anvendelse af virksomheders aktiver. Ved personlig anvendelse medregnes foruden fysiske brug af virksomhedens aktiver ligeledes anvendelsen af virksomhedens aktiver til brug for private sikkerhedsstillelser. 17

22 Karakteristik af besvigelser September 26 Tyveri af aktiver kan omhandle alle virksomhedens aktiver, men kan spænde lige fra tyveri af kuglepenne, mapper og papir til tyveri fra varelageret og tyveri af inventar. En voksende form for misbrug af aktiver er piratkopiering af virksomhedens software. Tyveri af aktiver omhandler også tyveri af betalingsmidler/likvider. Dette kan være i form af tyveri af debitorindbetalinger, kreditorudbetalinger samt tyveri i forbindelse med lønudbetalinger mv. Den resterende del af nærværende opgave vil kun omhandle tyveri af likvide midler, når emnet misbrug af aktiver behandles Regnskabsmanipulation Fejl opstået som følge af regnskabsmanipulation, er tilsigtede handlinger eller undladelser af beløb eller oplysninger i årsrapporten, foretaget med det mål at giver regnskabsbrugerne et bevidst forkert billede af virksomheden aktiver, passiver samt finansielle stilling. RS 24 skriver i paragraf 8 følgende omkring regnskabsmanipulation: Regnskabsmanipulation indebærer tilsigtet fejlinformation, herunder udeladelse af beløb eller oplysninger, i regnskaber for at vildlede regnskabsbrugerne. Regnskabsmanipulation vil kunne opnås ved: Manipulation, forfalskning (inklusive dokumentfalsk) eller ændring af bogføringen eller underliggende dokumentation, som danner grundlag for regnskabsudarbejdelsen. Forkert præsentation eller bevidst udeladelse af begivenheder, transaktioner eller anden betydelig information i regnskabet Bevidst forkert anvendelse af regnskabspraksis vedrørende beløb, klassifikation, præsentation eller oplysning. Regnskabsmanipulation sker ofte for at forbedre det økonomiske billede af virksomheden, hvilket vil ske med henblik på at frembringe overskud, udskyde underskud, forbedre balancetal mv. Den omvendte situation vil dog også være at betegne som besvigelser, og ses ofte for at foretage resultatudligning. Regnskabsmanipulation udføres hovedsagligt af ledelsen, idet det er ledelsen, som har den åbenlyse adgang hertil. Omfattende af ledelsen kan både være direktionen, bestyrelsen, 18

23 Karakteristik af besvigelser September 26 ledende medarbejdere indenfor regnskabsaflæggelsen m.fl. Selvom det oftest er ledelsen, som er involveret i regnskabsmanipulationen er det dog ikke ensbetydende med, at det er den øverste ledelse, som eksempelvis bestyrelsen eller den øvrige topledelse, der er involveret. Det kan for eksempel være regnskabschefen, der manipulerer regnskabet, mens bestyrelsen og direktionen er uvidende omkring forholdene. Der findes forskellige årsager til, at ledelsen foretager regnskabsmanipulation, ligesom der findes forskellige måder, hvorpå regnskabsmanipulationen foretages. Stort pres for at opnå budgetterede tal mv., utilstrækkeligt kontrolmiljø, forhold til aktionærerne og prestige er nogle af de årsager, der er til, at ledelsen foretager regnskabsmanipulation. Oftest er motivet bag regnskabsmanipulationen, at ledelsen ønsker personlig vinding, men som ovenstående eksempler viser, kan det også blot skyldes forfængelighed og prestige. Regnskabsmanipulationen kan eksempelvis foretages ved forkert periodisering, undladelse af væsentlige oplysninger, forkert anvendelse af regnskabspraksis, skøn og hensættelser misbruges samt fiktive og fejlagtige regnskabsposteringer. Årsagen til, at det er ledelsen, som oftest står bag denne manipulation, er, at ledelsen har muligheden for at tilsidesætte kontroller og de af virksomheden udarbejdede forretningsgange, for derigennem at påvirke regnskabsaflæggelsen i den ønskede retning. Indenfor de sidste ti til tyve år er fokus på regnskabsmanipulation blevet væsentlig forøget, idet internationale såvel som nationale virksomheder har været ramt af pludselige sammenbrud, som grundet omfattende og systematisk regnskabsmanipulation havde skjult de voksende økonomiske problemer, indtil dette var for sent. I Danmark har sagen om Nordisk Fjer fyldt meget, mens det internationalt set har været sager som Enron, Worldcom og Parmelat, som har domineret. Ifølge undersøgelsen foretaget af Ernst & Young i 23 er regnskabsmanipulation den besvigelsestype, som bekymrer virksomhederne (ledelsen) mindst. Dette skal dog sandsynligvis ses i lyset af, at det oftest er ledelsen selv, som udfører regnskabsmanipulationen, hvilket gør dem til den kriminelle, og de derfor ikke bekymrer sig så meget herfor. 19

24 Karakteristik af besvigelser September Afrunding I ovenstående kapitel har jeg beskrevet, hvad besvigelser er samt hvorfor og hvordan besvigelser opstår. Pres og grådighed er to vigtige begreber, når man skal forstå årsagen til besvigelser, idet det ofte er dette, der er incitamentet hertil. I kapitel 1 kom jeg ligeledes frem til, hvilke besvigelsesformer den resterende del af opgaven vil omhandle samt hvilke regnskabsposter opgaven vil koncentrere sig om. Misbrug af aktiver og regnskabsmanipulation er de primære besvigelsestyper, når vi diskuterer interne besvigelser. Da en fuldstændig gennemgang af besvigelser vil være for omfattende for denne opgave, har jeg, som omtalt under problemafgræsningerne, udvalgt likvide midler under diskussionen af misbrug af aktiver samt omsætning og hensættelse til tab på debitorer under diskussionen af regnskabsmanipulation, idet disse tre regnskabsposter til sammen udgør SIDcyklen 18. Før end jeg vil diskutere selve revisionen af besvigelser, vil jeg dog give en indsigt i den forskellige lovgivning og vejledninger, som der er indenfor området besvigelser. 18 SID = salg - indbetalinger - debitorer. 2

25 Lovgrundlag September Lovgrundlag De fleste regnskabsbrugere forventer, at en revideret årsrapport ikke indeholder fejl og herunder uopdagede besvigelser. Dette stiller dog revisor i et stort dilemma, idet revisor selvfølgelig skal gennemføre en kvalitetsmæssig revision, men samtidig leve op til god revisionsskik og ikke bruge unødvendig tid på revisionen, jf. LSRR 2, stk. 2. I indeværende kapitel vil jeg gennemgå revisionsstandens regulering omkring besvigelser. Herunder vil de grundlæggende regler omkring revision ligeledes blive undersøgt. Formålet med dette er at klarlægge, hvilke love og regler der ligger til grundlag ved den senere diskussion omkring omfanget af revisors kontra ledelsens ansvar for opdagelse og forebyggelse af besvigelser. Som supplering på kapital 3 henvises til bilag 2 vedrørende den historiske udvikling. Dette afsnit vil ikke være udtømmende for relevant lovgivning, men vil primært omhandle de vigtigste aspekter i den historiske udvikling Gældende revisionsvejledninger RS 24 (ajourført) Revisionsstandard 24 Revisors ansvar for at overveje besvigelser ved revision af regnskaber udgør den danske standard omkring besvigelser. RS 24 omhandler standarden for og retningslinjerne omkring revisors ansvar for at overveje besvigelser ved revision af regnskaber. Definitionen af besvigelser og dens karakteristika er allerede behandlet i kapitel 2, hvorfor dette ikke vil blive omtalt i nærværende afsnit. RS 24 erstatter den oprindelige RS 24 Revisors pligt til at overveje besvigelser og fejl ved revision af regnskaber. Den primære ændring af revisionsstandarden er, at RS 24 ikke længere indeholder forhold omkring fejl (utilsigtede fejlinformationer), men nu kun omhandler besvigelser (tilsigtede fejlinformationer). 21

26 Lovgrundlag September 26 RS 24 er desuden overordnet ændret i forhold til tidligere udgave for at komme i overensstemmelse med de nye revisionsprocesstandarder RS 315, RS 33 og RS Der er derfor en øget fokus på blandt andet risikovurderingshandlinger, test af kontroller og substanshandlinger. Endvidere uddybes afsnittet omkring planlægningsmødet i opgaveteams efter RS 315. I efterfølgende afsnit vil jeg give en kort gennemgang af det øvrige indhold af RS 24. For en mere detaljeret gennemgang henvises til RS Den øverste ledelses og den daglige ledelses ansvar Det er såvel den øverste ledelse som den daglige ledelses ansvar at forebygge og opdage besvigelser. Den øverste ledelses primære ansvar er at have opsyn med den daglige ledelses formåen med at vedligeholde et godt og sikkert kontrolmiljø, skabe og vedligeholde en kultur af ærlighed og høj etik samt sikring af integriteten af regnskabs- og rapporteringssystemerne i virksomheden. Etableringen og sikringen af regnskabs- og rapporteringssystemerne samt vedligeholdelsen af kontrolmiljøet, skal være tilrettelagt for at forebygge og opdage besvigelser. Desværre kan sådanne systemer ikke 1% eliminere risikoen for fejlinformation, men kun være med til at reducere risikoen. Risikoen for, at fejl ikke elimineres, vil derfor altid være der En revisions iboende begrænsninger i forhold til besvigelser I forbindelse med revisionen er der en risiko for, at revisor ikke opdager væsentlige fejlinformationer på grund af den iboende begrænsning, at der ikke kan fuldstændighedsrevideres 2. Formålet med revisionen er at komme med en konklusion, om hvorvidt regnskabet i væsentlighed er udarbejdet i overensstemmelse med den relevante regnskabsmæssige begrebsramme, men alligevel vil der altid være en risiko, af større eller mindre grad, for at regnskabet efter revisionens afslutning indeholder væsentlige fejlinformationer. Såfremt disse fejlinformationer er fremkommet grundet besvigelser, vil de ofte være sværere at opdage end utilsigtede fejl. Besvigelser vil ofte blive forsøgt skjult, hvilket også gør det sværere for revisionen at opdage. Endvidere er ledelsesbesvigelser sværere at opdage 19 De tre standarder er alle trådt i kraft pr. 15. december Dvs. ikke kan gennemgå hver enkelt transaktion og bilag samt ikke-registrerede transaktioner. 22

27 Lovgrundlag September 26 end medarbejderbesvigelser, idet ledelsen har mulighed for direkte eller indirekte at manipulere med regnskabsmaterialet. Selv om der efterfølgende opdages væsentlige fejl i regnskabet, er det ikke ensbetydende med, at revisor ikke har overholdt revisionsstandarderne, idet besvigelser og herunder især sammensværgelser omkring besvigelser, kan være praktisk talt umuligt for revisor at opdage. Hvorvidt revisor har levet op til handlingerne i revisionsstandarderne afhænger af, hvilke revisionshandlinger der er foretaget på de konkrete områder Revisors ansvar for at opdage væsentlige fejlinformation som følge af besvigelser Som omtalt i ovenstående afsnit er formålet med revisionen af et regnskab, at revisor efterfølgende kan udtale sig om, hvorvidt regnskabet er udarbejdet i overensstemmelse med reglerne herom. Er regnskabet revideret i henhold til revisionsstandarderne, giver det en høj grad af sikkerhed for, at regnskabet ikke indeholder væsentlig fejlinformation, hvad enten dette skyldes fejl eller besvigelser 21. Selvom der er udført revision på et regnskab, kan revisor ikke blive gjort ansvarlig for forebyggelsen af fejl. Revisionen kan dog virke forebyggende, men dette er ikke ensbetydende med, at revisor kan blive gjort ansvarlig herfor. Revision kan ikke give en garanti for at alt væsentlig fejlinformation opdages i forbindelse hermed. Anvendelse af skøn, iboende begrænsninger i de interne kontroller mv. medfører, at revisor i sidste ende kun kan afgive en revisionspåtegning, hvor der afgives en høj grad af sikkerhed for, at væsentlig fejlinformation er opdaget i forbindelse med revisionen. Det er dog et krav, at revisor bibeholder sin professionelle skepsis under hele forløbet, overvejer mulighederne for ledelsens tilsidesættelse af interne kontroller samt overvejer mulighederne for, at der er sket manipulation af regnskabsmateriale Professionel skepsis Ifølge RS 2 omkring målet med og generelle principper for revision af et regnskab, er der krav om, at revisor udfører sit arbejde med en professionel skepsis, hvilket betyder, at revisor skal have en problematiserende tilgang, ligesom de altid skal stille sig kritisk til de 21 Jf. RS 2 Målet med og generelle principper for revision af et regnskab. 23

28 Lovgrundlag September 26 revisionsbeviser, som der modtages fra virksomheden. Denne professionelle skepsis skal revisor opretholde under hele revisionen uden hensyntagen til tidligere års erfaringer med ledelsen og deres integritet og ærlighed. Ovenstående er ikke ensbetydende med, at revisor skal anse modtagne dokumentation og registreringer foretaget af virksomheden, som uægte. Ikke såfremt der ikke er grund til at antage andet, men derfor skal revisor heller ikke stole blindt på materialet. Dette er selvfølgelig en balancegang Drøftelser i opgaveteamet En af de væsentligste forskelle mellem den tidligere udgave af RS 24 og RS 24 (ajourført) er, at der er større fokus på drøftelse omkring risikoen for besvigelser i revisionsteamet. Inden revisionsopgavens opstart skal der foretages planlægning af opgaven. I den forbindelse skal der i henhold til RS 24 ske drøftelse af risikoen for besvigelser samt hvor udsat virksomhedens regnskab er for væsentlig fejlinformation. Opgavens ansvarlige partner skal tage stilling til, hvilke personer som skal deltage i denne drøftelse. I forbindelse med denne drøftelse, er det vigtigt, at der ikke er forudindtagne meninger, men samtidig skal alle fra opgaveteamet, som deltager i drøftelserne dele deres viden om, hvorledes og hvor risikoen for væsentlige fejlinformationer i regnskabet ligger. Efter denne drøftelse er det vigtigt, at relevante personer fra opgaveteamet, som ikke har deltaget i drøftelserne, får de informationer som er relevante for de opgaver, som de skal tage del i, når revisionsopgaven igangsættes Risikovurderingshandlinger Ifølge RS 315 skal revisor udføre risikovurderingshandlinger for derigennem at opnå en forståelse af virksomheden og dens omgivelser samt de interne kontroller. For at opnå denne forståelse skal revisor foretage en vurdering på baggrund af indsamlede informationer. Disse informationer skal blandt andet indeholde følgende: Forespørgsler om og opnåelse af forståelse for den øverste ledelses tilsyn 24

29 Lovgrundlag September 26 Revisor skal forespørge den daglige ledelse omkring deres vurdering af regnskabets indhold af væsentlig fejlinformation som følge af besvigelser, hvor ofte foretages der en besvigelsesrisikovurdering af virksomhedens ledelse samt forespørge øvrige i virksomhedens organisation omkring deres viden om besvigelser. Dette kunne for eksempel være beslutningskompetente medarbejdere, interne juridiske personer samt den interne revision såfremt en sådan afdeling forefindes. Endvidere skal revisor opdateres omkring hvorledes den øverste ledelse føre tilsyn med den daglige ledelse og hvordan den daglige ledelse har sikret sig minimering af besvigelsesrisikoen. Overvejelse af besvigelsesrisikofaktorer Revisors besvigelsesvurdering skal ligeledes indeholde en forståelse af virksomheden, dens omgivelser samt interne kontroller. Vurderingen skal indeholde en overvejelse af, hvilke besvigelsesrisikofaktorer der er til stede i virksomheden. Overvejelserne af besvigelsesrisikofaktorerne indeholder en vurdering af og indsamling af oplysninger omkring, hvilke muligheder og hvilket motiv de forskellige personer i organisationen har til at begå besvigelser. Et usædvanligt stort pres eller resultataflønninger kan være motivet og herunder muligheden for at begå besvigelser. Overvejelse af usædvanlige eller uventede relationer I forbindelse med diverse analytiske revisionshandlinger opstiller revisor nogle forventninger til resultatet af disse handlinger. I tilfælde hvor disse resultater forekommer uventet eller usædvanlige bør revisor overveje, hvorvidt dette kan have sammenhæng til besvigelser og hvorvidt dette kan medføre væsentlige fejlinformationer i regnskabet. Overvejelse af anden information Vurderingen af risikovurderingshandlingerne skal endvidere indeholde en overvejelse af om anden opnået information indikerer risici for besvigelser og dermed væsentlig fejlinformation i regnskabet. 25

30 Lovgrundlag September Identifikation og vurdering af risiciene for væsentlig fejlinformation som følge af besvigelser På baggrund af de indsamlede informationer er det revisors opgave at identificere og vurdere risiciene for væsentlig fejlinformation som følge af besvigelser. Revisor skal vurdere virksomhedens kontroller, kontrolaktiviteter og hvorvidt disse er implementeret. Vurderingen skal indeholde alle identificerede besvigelsesrisici herunder også besvigelsesrisici i relation til indregning af indtægter Reaktioner på risiciene for væsentlig fejlinformation som følge af besvigelser Såfremt revisor støder på omstændigheder som indikerer, at der er mulighed for fejlinformation, er det vigtigt, at revisor fortsætter sine handlinger, således at det kan konkluderes, om regnskabet indeholder væsentlige fejlinformationer. De handlinger og reaktioner, der skal overvejes som følge af besvigelser, kan blandt andet bestå af følgende 22 : Overveje udpegning af og tilsyn med personale, overveje den af virksomheden anvendte regnskabspraksis, og indarbejde et element af uforudsigelighed i udvælgelsen af arten, den tidsmæssige placering og omfanget af revisionshandlinger. Ovenfor er de mere generelle handlinger og reaktioner på at adresserer risiciene for væsentlige fejlinformationer som følge af besvigelser. Desuden skal der ske revisionshandlinger som reaktion på risiciene for væsentlig fejlinformation, som følge af besvigelser på revisionsmålsniveau samt revisionshandlinger som reaktion på den daglige ledelses tilsidesættelse af kontroller Vurdering af revisionsbevis Ifølge RS 33 skal revisor på baggrund af udførte revisionshandlinger samt de indsamlede revisionsbeviser foretage en vurdering af, om risiciene for væsentlige fejlinformationer på revisionsmålsniveauet stadig er de samme. Revisor skal vurdere, om der er opstået nye risici for væsentlig fejlinformation, som følge af besvigelser i forbindelse med de afsluttende analytiske handlinger i revisionen. 22 Jf. RS 24 (ajourført) afsnit

31 Lovgrundlag September 26 I forbindelse med, at revisor identificerer fejlinformationer i regnskabet i løbet af sin revision, skal revisor overveje, hvorvidt denne fejlinformation kan indikere besvigelser. Såfremt der er identifikationer på besvigelser, skal revisor overveje, hvorvidt dette kan have indflydelse på andre dele af den udførte revision, herunder blandt andet troværdigheden af den daglige ledelses udtalelser. Højst sandsynligt vil revisor være i stand til at udføre handlinger, som kan be- eller afkræfte antagelsen om, at regnskabet indeholder fejlinformation som følge af besvigelser eller fejl. Såfremt dette ikke er muligt, må revisor redegøre herfor i sin revisionspåtegning Den daglige ledelses udtalelser Revisor skal i forbindelse med revisionen indhente skriftlig erklæring fra den daglige ledelse, hvori denne erklærer sig omkring følgende 23 : Den anerkender sit ansvar for udformning og implementering af intern kontrol, der er udformet for at forebygge og opdage besvigelser; den har givet revisor oplysning om resultaterne af sin vurdering af risikoen for, at regnskabet kan indeholde væsentlige fejlinformationer som følge af besvigelser; den har oplyst revisor om sin viden om besvigelser eller formodninger om besvigelser, som påvirker virksomheden, og som vedrører: I. Den daglige ledelse II. medarbejdere, der har væsentlige roller i intern kontrol, eller III. andre, hvor besvigelsen kunne have en væsentlig effekt på regnskabet; og den har givet revisor oplysning om sin viden om enhver påstand om besvigelser eller mistanke herom, der vedrører virksomhedens regnskab, og som er meddelt af medarbejdere, tidligere medarbejdere, analytikere, regulatorer eller andre. I RS 58 Ledelsens udtalelser kan revisor få vejledning i, hvordan der opnås passende udtalelser fra den daglige ledelse. Da det er den daglige ledelse, som i sidste ende er ansvarlige for regnskabet, er det vigtigt, at revisor indhenter erklæringen på, at regnskabet ikke indeholder væsentlige fejlinformationer. Dette skal ikke opfattes som en ansvarsfraskrivning, og er ikke en erstatning for at opnå tilstrækkelig og kvalificeret revisionsbevis. 23 Jf. RS 24 (ajourført) afsnit 9. 27

32 Lovgrundlag September Kommunikation med den øverste ledelse og den daglige ledelse / Kommunikation med lovgivende og kontrollerende myndigheder Revisor har pligt til at meddele den daglige ledelse, den øverste ledelse og til tider også de lovgivende og kontrollerede myndigheder, såfremt der er identificeret fejlinformation, hvad enten der er tale om besvigelser, formodninger om besvigelser eller fejl. Hvilket ledelsesniveau eller eventuel myndighed, som skal modtage oplysningerne, afhænger af hvor i hierarkiet besvigelserne har fundet sted samt hvad besvigelsen omhandler. Desuden skal revisor meddele ledelsen omkring svagheder i de interne kontroller. Det er vigtigt, at revisor underretter de rigtige personer så hurtigt som muligt, således de nødvendige foranstaltninger kan træffes Revisor er ikke i stand til at fortsætte opgaven I få tilfælde vil revisor være nødsaget til at konkludere, at revisionen ikke kan fuldføres ud fra de fejlinformationer, som er konstateret. Det er svært at sætte et regelsæt for, hvornår det vil være passende, at revisor fratræder sin opgave, og hovedreglen er da også, at det er bedre at blive - og skrive end at fratræde en opgave. Såfremt revisor vælger at fratræde en opgave, har han pligt til oplyse den tiltræden revisor om årsagen til sin fratræden. Den nye revisor skal have informationer om, hvorfor revisor har valgt at fratræde opgaven, således den tiltrædende revisor kan indarbejde dette forhold i planlægningen af revisionsopgaven Dokumentation Som en del af risikovurderingen skal revisor dokumentere besvigelsesrisikofaktorer og den medfølgende reaktion herpå. I henhold til RS 23 Dokumentation skal arbejdspapirer indeholder overvejelser og konklusioner vedrørende alle væsentlige forhold, som revisor i sit arbejde er stødt på. De besvigelsesrisikofaktorer, som er blevet identificeret af revisor, skal dokumenteres, ligesom der skal foreligge dokumentation af, hvorledes revisor har valgt at videreføre sit arbejde mest hensigtsmæssigt med baggrund i disse risikofaktorer. 28

33 Lovgrundlag September 26 Det er et krav i henhold til RS 24 afsnit 19, at revisor skal dokumentere kommunikation om besvigelser til den daglige ledelse, den øverste ledelse, samt lovgivende myndigheder, hvor dette er nødvendigt mv ISA 24 (revised) RS 24 (ajourført) er en direkte oversættelse af ISA 24 (revised) The Auditor s Responsibility to Consider Fraud in an Audit of Financial Statements. ISA 24 (revised) vil derfor ikke blive nærmere omtalt SAS nr. 99 SAS no. 99 Consideration of Fraud in a Financial Statement Audit blev til under kraftig indflydelse af crashet og skandalesagerne i USA 24 og udsendt i oktober 22. I forbindelse med høringsfremsendelsen af SAS nr. 99 blev det bemærket, at revisors ansvar i forbindelse med den nye standard skulle være uændret i forhold til tidligere udgaver, men alligevel var forventningerne til revisors opdagelse forøget, idet standarden var gjort mere udtømmende og retningsgivende. Besvigelsesrisikofaktorerne ved revisionen tydeliggøres og kravet til dokumentationen øges i forhold til tidligere amerikanske standarder på området. Ønsket omkring international harmonisering på området har medført, at forskellene mellem RS 24 (ajourført)/isa 24 (revised) og SAS 99 er få og ubetydelige 25. Dette er selv om der i perioden mellem udgivelsen af ISA 24 (revised) og SAS 99 på næsten 1½ år, har været stadig stor kritik af revisors rolle i sager omkring besvigelser. I artiklen ISA 24 (revised) - yderligere skærpelser af krav til revision vedrørende besvigelser kritiseres ISA 24 for ikke at være præget af de erfaringer og kritikpunkter, der har været siden udgivelsen af SAS 99. Forskellene mellem SAS 99 og ISA 24 (revised) er således kun præget af væsentlige forskelle på områder, der relaterer sig til specifikke amerikanske forhold og forskelle i valg af terminologi. Disse forskelle har med danske øjne ingen betydning. 24 Kiertzner, Lars; Revisor og besvigelser - øget fokusering i lovgivning og revisionsstandarder, R&R nr side Christiansen, Brian m.fl.; ISA 24 (Revised) - yderligere skærpelser af krav til revision vedrørende besvigelser, R&R nr. 7-24, side

34 Lovgrundlag September 26 På baggrund af ovenstående synes det ikke relevant for nærværende opgave at beskrive SAS 99 nærmere, idet forskellene mellem SAS 99 og ISA 24 (revised) og dermed SAS 99 og RS 24 (ajourført) er uden væsentlighed Øvrig relevant revisionslovgivning Foruden de nærliggende revisionsstandarder omkring besvigelser ISA 24, SAS 99 og RS 24, er der anden revisionslovgivning, som synes relevant for området besvigelser. I bilag 1 har jeg gennemgået de grundlæggende revisionsprincipper. Herforuden vil jeg i nedenstående afsnit beskrive bestemmelserne omkring tavshedspligt, anmeldelsespligt samt de mest grundlæggende og relevante regler i revisorlovgivningen Lov om statsautoriserede og registrerede revisorer Lov omkring statsautoriserede og registrerede revisorer omfatter betingelserne for beskikkelse af statsautoriserede og registrerede revisorer. Endvidere omfatter loven vilkårene for udførelse af opgaver i forbindelse med revisionen. Det kan være i forbindelse med revisionen af regnskaber, supplerende beretninger, afgivelse af erklæringer og rapporter mv. Den nye revisorlov er baseret på de to gamle revisorlove LSR og LRR, men bygger endvidere også på to EU-henstillinger 26 samt den danske Revisorkommissions forslag 27. De nye regler omkring revisors anmeldelsespligt, som vil blive omtalt senere i dette kapitel, er dog hverken opstået som følge af gamle lovgivning, pres fra EU eller den danske Revisorkommission, men må anses som lovgivernes egen ide. I nedenstående afsnit vil revisorlovens mest fremtrædende områder blive omtalt Revisors uafhængighed I lovens kapitel 6 redegøres der for kravene til revisors uafhængighed. Heri anføres det, at revisor ikke må udføre opgaver, herunder revision af regnskaber, supplerende beretninger, afgivelser af erklæringer og rapporter mv., såfremt dette kan vække tvivl hos tredjemand omkring revisors uafhængighed. Sådanne tilfælde kunne blandt andet foreligge, såfremt 26 Henstillingerne omhandler revisors uafhængighed samt kvalitetssikring i forbindelse med lovpligtig revision. 27 Østerby, Tine Borum m.fl., Revisors anmeldelsespligt ved besvigelser, INSPI nr , side 32. 3

35 Lovgrundlag September 26 revisor har tætte familiære bånd til personer 28, der har bestemmende indflydelse, har ledelsesmæssige opgaver eller ansvaret for økonomiske relationer eller denne personkreds har en ikke ubetydelig økonomisk interesse, hos den som ønsker erklæringen afgivet eller er genstand for selve erklæringen. Desuden er der krav om, at revisor eller andre personer i revisionsteamet ikke må være eller har været ansat i eller medlem af ledelsen eller har været med til at træffe beslutninger for den virksomhed, som erklæringen ønskes afgivet for indenfor de seneste 2 år. Revisor, revisionsvirksomheden eller andre personer i revisionsvirksomheden, som er en del af revisionsteamet, må ikke have nogen form for direkte eller indirekte økonomisk interesse 29 i klienten, ligesom klienten ikke må have nogen form for økonomisk interesse i revisorvirksomheden. Dette er blot nogle af de gængse regler, der er omkring revisors uafhængighed. Endvidere fremgår det af 1 stk. 2, at der også skal ske rotation af den påtegnende revisor for blandt andet at opnå fuld uafhængighed, jf. nedenstående. LSRR 1, stk. 2: Revisionsvirksomheder, der reviderer de i pkt. omhandlede virksomheder, skal sikre, at den eller de revisorer, der underskriver revisionspåtegningen, udskiftes for en periode af mindst 2 år senest 7 år efter, at de er udpeget til opgaven. Erhvervs- og Selskabsstyrelsen kan fastsætte, at den i 1. pkt. omhandlede udskiftning skal finde sted med kortere tidsinterval. Følgende virksomheder er omfattet af bestemmelsen, indtil de ikke længere opfylder kriterierne: Børsnoterede selskaber, statslige aktieselskaber, virksomheder, der er underlagt tilsyn af Finanstilsynet, samt virksomheder, der i to på hinanden følgende regnskabsår opfylder to eller flere af følgende kriterier: 1) En medarbejderstab på 2.5 personer, 2) en balancesum på 5 mia. kr. eller 3) en nettoomsætning på 5 mia. kr. Denne regel står ikke under afsnittet omkring uafhængighed i LSRR, men synes stadig at omhandle dette, idet revisor med brug af denne regel undgår at opnå et for tæt forhold til klienten, som man kunne tænkes efter f.eks. 2 år, men i stedet står som uafhængig. En anden regel som også synes at læne sig op af uafhængighedsreglerne, men ikke er medtaget i kapitlet herom, er reglen omkring vederlag. I LSRR 13 står der følgende: 28 Familiære bånd vil i dette tilfælde foreligge ved ægteskab, fast samlivsforhold, ved adoptiv- eller plejeforhold, ved slægtskab i op- eller nedstigende linje til og med forældre og børn eller sidelinjen til og med søskende. 29 Med mindre der er tale om en økonomisk interesse, som sker på almindelige forretningsmæssige vilkår og som er ubetydelige. 31

36 Lovgrundlag September 26 LSRR 13. En revisionsvirksomhed, jf. 12, stk. 1, må ikke i hvert af tre på hinanden følgende regnskabsår have en større andel af sin omsætning end 2 pct. hos samme kunde. Erhvervs- og Selskabsstyrelsen kan undtage herfra, hvis der foreligger særlige omstændigheder. Stk. 2. Revisor må ikke for udførelsen af opgaver som omhandlet i 1, stk. 2, betinge sig 1) et højere vederlag for sit arbejde, end der kan anses for rimeligt, eller 2) et vederlag, hvis betaling eller størrelse gøres afhængig af andre forhold end det udførte arbejde. Stk. 3. Bestemmelsen i stk. 2 finder tillige anvendelse på vederlag for andre ydelser, når revisor eller andre personer i revisionsvirksomheden, der er knyttet til opgaven eller kontrollerer dennes udførelse, samtidig for den samme hvervgiver kontrollerer eller er knyttet til opgaver, som er omhandlet i 1, stk. 2. Også denne regel indskrænker, hvilke klienter revisor må beskæftige sig med, og da det ligeledes er svært for revisor at stå uafhængig af klienten, såfremt honorar for arbejdet hermed udgør mere end 2%, synes denne regel også at være relevant for revisors regler omkring uafhængighed Revisors funktionsperiode og rapportering Revisors funktionsperiode består indtil ny revisor er tiltrådt, medmindre andet fremgår af lovgivningen eller virksomhedens vedtægter. Revisor har dog ret til at fratræde hvervet, medmindre dette strider imod god revisorskik. I Danmark er det ofte mod god revisionsskik at fratræde sit hverv, og sætningen det er bedre at blive og skrive høres ofte omtalt i forbindelse hermed. Dette skal forstås således, at revisor i stedet for at fratræde bør skrive i f.eks. revisionspåtegning og revisionsprotokol de forhold, som har været medvirkende til tankerne omkring at fratræde. I forbindelse med en revision skal revisor afslutte sit arbejde med at forsyne det reviderede arbejde med en revisionspåtegning. Denne påtegning er en erklæring på det udførte arbejde samt revisors konklusion på det konkrete arbejde. Derforuden er det et krav, at revisor udarbejder en revisionsprotokol, hvori revisor rapportere omkring arten og omfanget af det udførte revisionsarbejde samt konklusionen herpå. Endvidere findes der i LSRR 1 regler omkring revisors anmeldelsespligt, hvilket ses af følgende: Stk. 5. Indser en virksomheds revisor, at et eller flere medlemmer af virksomhedens ledelse begår eller har begået økonomiske forbrydelser i tilknytning til udførelsen af deres hverv, og har revisor en begrundet formodning om, at forbrydelsen vedrører betydelige beløb eller i øvrigt er af grov karakter, skal revisor straks underrette hvert enkelt medlem af ledelsen herom. Underretningen indføres altid i revisionsprotokollen. Har ledelsen ikke senest 14 dage herefter over for revisor dokumente- 32

37 Lovgrundlag September 26 ret at have taget de fornødne skridt til at standse igangværende kriminalitet og til at rette op på de skader, den begåede kriminalitet har forårsaget, skal revisor straks underrette Statsadvokaten for Særlig Økonomisk Kriminalitet om de formodede økonomiske forbrydelser pkt. finder ikke anvendelse på forhold, der er omfattet af reglerne i lov om forebyggende foranstaltninger mod hvidvaskning af penge og finansiering af terrorisme. Stk. 6. Finder revisor, at underretning til ledelsesmedlemmerne vil være uegnet til at forhindre fortsat kriminalitet, skal revisor straks underrette Statsadvokaten for Særlig Økonomisk Kriminalitet om de formodede økonomiske forbrydelser. Det samme er tilfældet, hvis flertallet af virksomhedens ledelse er involveret i eller har kendskab til de økonomiske forbrydelser. Stk. 7. Fratræder revisor, jf. stk. 1, og sker dette i forbindelse med, at revisor har en begrundet formodning om, at der foreligger en situation, som er omhandlet i stk. 5, 1. pkt., skal revisor straks underrette Statsadvokaten for Særlig Økonomisk Kriminalitet herom samt om grundene til sin fratræden. Som omtalt tidligere er denne regel ikke affødt af EU-kommissionens anbefalinger eller pres fra Revisorkommissionen, men er indført på initiativ af lovgiverne selv, hvilket formentlig skal ses i lyset af de mange erhvervsskandaler, som de seneste år især har præget udlandet. Anmeldelsespligten opstår i forbindelse med, at revisor udfører opgaver, hvad enten det drejer sig om revisionsopgaver eller øvrige opgaver, og revisor i forbindelse med sit arbejde bliver bekendt med at et eller flere medlemmer af virksomhedens ledelse har begået økonomisk kriminalitet i tilknytning til deres arbejde for virksomheden og/eller revisor har en begrundet formodning om, at den begåede økonomiske kriminalitet vedrører ikke ubetydelige beløb eller i øvrigt er af grov karakter. I sådanne tilfælde er det revisors pligt at oplyse hvert enkelt medlem af ledelsen omkring forholdene. Med den moderniserede Revisorlov af 1. september 23 lægges der altså op til, at revisor har et langt større ansvar i forbindelse med afdækningen af besvigelser, end det tidligere har været set. 33

38 Lovgrundlag September Bestemmelser omkring tavshedspligt I henhold til ovenstående ses det, at revisors pligt til at anmelde besvigelser er skærpet, idet lovgiverne på eget initiativ har indsat regler omkring anmeldelsespligt i LSRR. Dette kan synes at stride imod reglerne omkring tavshedspligt. I henhold til LSRR 26 finder straffelovens 144, f og anvendelse for revisorer. Straffelovens 152 beretter følgende omkring tavshedspligt Den, som virker eller har virket i offentlig tjeneste eller hverv, og som uberettiget videregiver eller udnytter fortrolige oplysninger, hvortil den pågældende i den forbindelse har fået kendskab, straffes med bøde eller fængsel indtil 6 måneder. Stk. 2. Begås det i stk. 1 nævnte forhold med forsæt til at skaffe sig eller andre uberettiget vinding, eller foreligger der i øvrigt særligt skærpende omstændigheder, kan straffen stige til fængsel indtil 2 år. Som særligt skærpende omstændighed anses navnlig tilfælde, hvor videregivelsen eller udnyttelsen er sket under sådanne omstændigheder, at det påfører andre en betydelig skade eller indebærer en særlig risiko herfor. Stk. 3. En oplysning er fortrolig, når den ved lov eller anden gyldig bestemmelse er betegnet som sådan, eller når det i øvrigt er nødvendigt at hemmeligholde den for at varetage væsentlige hensyn til offentlige eller private interesser. Det moralske dilemma i ovenstående er efter min mening, at 152 anvender ordet uberettiget, hvilket det må siges ikke at være, da det jo vil være i henhold til LSRR 1, men samtidig står der, at det er en skærpende omstændighed, hvis videregivelsen af oplysningerne påfører skade eller indebærer en særlig risiko, hvilket jo vil gøre sig gældende for den anmeldte. Endvidere står der i markedsføringslovens 1, stk. 2 følgende: 1. Stk. 2. Har den pågældende fået kendskab til - eller fået rådighed over - virksomhedens erhvervshemmeligheder på retmæssig måde, må den pågældende ikke ubeføjet viderebringe eller benytte sådanne hemmeligheder. Forbudet vedvarer i 3 år efter tjenesteforholdets, samarbejdsforholdets eller hvervets ophør. I få tilfælde ville disse paragraffer dog ikke blive håndhævet, hvilket drejer sig om tilfælde, hvor den pågældende er forpligtet til at videregive oplysningerne eller handler ud fra en berettiget varetagelse af en åbenbar almen interesse eller efter eget eller andres tarv, jf. straffelovens 152 e. Hvorvidt revisor skal prioritere anmeldelsespligten eller tavshedspligten højst, er der endnu ikke forekommet sager, hvoraf praksis fremkommer i form af domme eller lignende. I 22 blev der dog afsagt dom i sagen Advokatnævnet mod Advokat Jørgen Grønborg 3. Sagen omhandlede det forhold, at Advokat Jørgen Grønborg havde videregivet fortrolige oplysninger til Fondsbørsens bestyrelse om, at PFA stod bag Kurt Thorsens opkøb af akti- 3 Jf. dom afsagt den 23. april 22 Advokatnævnet mod Advokat Jørgen Grønborg. 34

39 Lovgrundlag September 26 er. Advokatnævnet dømte, at Advokat Jørgen Grønborg havde handlet i strid med god advokatskik. Da sagen gik videre til Landsretten blev Advokat Jørgen Grønborg dog frifundet, ligesom et flertal af Højesterets dommer fandt, at oplysningerne videregivet til Fondsbørsens bestyrelse ikke var i strid med god advokatskik. Denne sag kan få stor betydning for lignende sager i forbindelse med revisors videregivelse af oplysninger, og på den baggrund er det ikke min opfattelse, at revisor kan blive dømt for at videregive oplysninger til SØK, såfremt revisor har fundet at oplysningerne er af sådan karakter, at disse oplysninger bør undersøges nærmere af SØK Erklæringsbekendtgørelsen Ifølge erklæringsbekendtgørelsens 2 skal revisor i forbindelse med revisionen i rimeligt omfang være opmærksom på forhold som kan indikere besvigelser. Dette betyder, at revisor i alle virksomheder, skal være opmærksom på, at der kan forekomme besvigelser, som skyldes ledelsens, ansattes eller udenforståendes handlinger Afrunding I ovenstående kapitel er den grundlæggende danske lovgivning vedrørende besvigelser beskrevet, ligesom den danske revisionsstandard omkring besvigelser er sammenlignet til de internationale standarder, herunder ISA og SAS. Disse viser, at de seneste års indførelse af revisionsstandarder i Danmark, har medført en større international harmonisering på området for besvigelser. Standarderne giver den teoretiske ansvarsfordeling mellem ledelse og revisor, men den teoretiske indgangsvinkel kan til tider være svær at tilknytte det praktiske. I forbindelse med gennemgangen af den danske lovgivning kan det ligeledes konkluderes, at Danmark helt atypisk har udarbejdet regler for revisors anmeldelsespligt i forbindelse med særlige besvigelser samtidig med at den danske lovgivning indeholder reglerne omkring revisors tavshedspligt. To regelsæt, som ikke synes at harmonere, men som alligevel er gældende. Reglerne omkring revisors anmeldelsespligt i forbindelse med særlige besvigelser er enestående for Danmark og er ikke kendt i den øvrige del af verdenen. Omkring efterlevelsen af reglerne om besvigelser, er det naturligvis vigtigt, at revisor lever op til uafhængighedsbestemmelserne, idet det kan være svært for revisor at rapporterer om 35

40 Lovgrundlag September 26 besvigelser, hvad enten det drejer sig om rapportering til den øverste ledelse eller i værste tilfælde til SØK, såfremt revisor er afhængig af klienten på den ene eller anden facon. Det er nødvendigt, at revisor konstant anvender sin professionelle skepsis, ikke kun hvad angår besvigelser, men også når det omhandler den øvrige del af den ordinære revision. Revisor har efter udarbejdelsen af RS 24 fået et mere specificeret og grundlæggende regelsæt til brug for revisionen af besvigelser, men dette har ikke nødvendigvis gjort det til et lettere område at revidere. Revisor har stadig et ansvar og kan ikke læse sig til alt, men skal hele tiden anvende sin professionelle skepsis. I de næstkommende kapitler vil jeg diskutere og analysere revisors henholdsvis ledelsens muligheder og ansvar for bekæmpelse af besvigelser. 36

41 Revisor September Revisor Som omtalt i bilag 1 består revisionen af tre dele: planlægning udførelse samt afslutning og rapportering I nedenstående kapitel vil jeg diskutere og gennemgå revisors muligheder for opdagelse af besvigelser i form af revision. Dette kapitel er opdelt i et afsnit om henholdsvis misbrug af aktiver og henholdsvis regnskabsmanipulation. Dernæst vil jeg diskutere revisors muligheder for at forebygge besvigelser Misbrug af aktiver I henhold til PWC s undersøgelse Global Economic Crime Survey 25 er den mest almindelige form for besvigelser misbrug af aktiver. Af undersøgelsen fremgår det ligeledes, at af de rapporterede besvigelser, har 62% af virksomhederne været udsat for misbrug af aktiver. Dette hænger højst sandsynligt sammen med, at det er den besvigelsestype, som er nemmest at udføre. Til gengæld er det også den besvigelsestype, som er nemmest at opdage. Som omtalt i afsnittet omkring problemafgrænsning har jeg valgt at fokusere på området likvide midler i forbindelse med opdagelsen af besvigelser i form af misbrug af aktiver. Formålet med dette afsnit er at give en praktisk fremstilling af, hvorledes revisor foretager revisionen af likvide midler som et led i den lovpligtige revision af årsrapporten, herunder beholdningseftersyn 31. Den strukturmæssige opdeling af dette afsnit vil blive foretaget i henhold til de tre revisionsprocesser, som omtalt i begyndelsen af dette afsnit Planlægning Det er vigtigt, at revisionsopgaver og -handlinger planlægges for derigennem at opnå en effektiv og målrettet revision. Ved manglende planlægning risikerer revisor at bruge tid og ressourcer på uvæsentlige områder, og i værste tilfælde overse væsentlige områder, hvilket vil medføre, at kravet om god revisionsskik ikke overholdes. 31 Også kaldet kasseeftersyn. 37

42 Revisor September 26 I planlægningsfasen er det endvidere vigtigt, at revisor har for øje, at mange besvigelser ikke normalt opdages, og det derfor til tider er nødvendigt at anvende alternative revisionsmetoder. Der er som sagt mange besvigelser, som ikke bliver opdaget og derudover mange besvigelser, som ikke bliver offentliggjort, idet de ikke ender med en egentlig retsforfølgelse. Hovard Davia har analyseret den tese og er kommet frem til, at hvis den samlede masse af besvigelser udgør 1%, så vil andelen af offentliggjorte besvigelser udgøre 2% af den samlede besvigelsesmasse og kun 6% af den samlede besvigelsesmasse vil være kendt af virksomheden 32, jf. nedenstående figur. Kendt af bedrageren Kendt af virksomheden Kendt af offentligheden Figur 4.1.: Besvigelser: Hvor meget kender man til? Pedersen, Claus Besvigelser - den usynlige risiko side 11. I planlægningsfasen skal revisor vurdere risikoen for væsentlige fejl i likvide midler, hvilket kan afhænge af følgende forhold: Postens beløbsmæssige væsentlighed i regnskabet Transaktionsvolumenet Beløbsmæssige størrelser af løbende indbetalinger Beløbsmæssige størrelser af løbende udbetalinger Eventuelle forekomster af usædvanlige og komplicerede betalingstransaktioner Likvide midler ses oftest som et væsentligt revisionsområde, idet der oftest forekommer mange transaktioner på disse konti, ligesom likvide midler er det aktiv, som er lettest at realisere. Allerede i planlægningsfasen bør revisor i henhold til RS 24 vurdere risikoen for besvigelser. Det er påkrævet heri, at revisor drøfter virksomhedens sårbarhed over for væsentlige fejlinformationer i regnskabet, som følge af blandt andet besvigelser, med de øvrige i revisionsteamet. 32 Jf. Pedersen, Claus Besvigelser - den usynlige risiko, side

43 Revisor September 26 Revisor må som udgangspunkt anvende sin professionelle skepsis og anvende en kritisk indgangsvinkel til virksomhedens informationer, for på den måde at indikere, hvilke områder og forhold, som kan indikere besvigelser i virksomheden. De områder, hvor risikoen for væsentlige fejlinformationer vurderes at være højst, skal revisionen naturligvis være ekstra opmærksom på. Som det ses af nedenstående figur, har likvide midler sammenhæng med de fleste øvrige poster i regnskabet, hvilket betyder at eventuelle fejl i likvide midler oftest vil medføre fejl i en eller flere af de øvrige poster. Mulighederne for besvigelser vedrørende likvide midler anses for at være store, hvilket medfører, at der oftest skal være fokus på dette område. Omsætning/tilgodehavender Indbetalinger fra debitorer Kontantsalg Andre eksterne udgifter Kontantkøb Udbetalinger til kreditorer Udlæg og refusion heraf Varekøb/varelager/- leverandørgæld Kontantkøb Udbetalinger til kreditorer Gager, lønninger mv. Udbetaling af lønninger Betaling af indeholdte skatter mv. Indbetalinger fra medarbejdere Likvider Kasse Bank (Gæld) Værdipapirer Køb og salg Udtræk Udbytte/renter Anlægsaktiver og afskrivninger Køb og salg Forbedringer Egenkapital Tilførsel af kapital Udlodning Figur 4.2: Sammenhænge mellem likvide beholdninger og transaktionskæder, Revision af likvide beholdninger, REVIFORA - Revisionsorientering, oktober De fleste transaktioner i virksomheden er berørt af likvide midler før eller siden. Det er derfor vigtigt, at revisionen tager stilling til, hvorledes håndteringen af disse transaktioner foretages i forbindelse med planlægningen af revision af likvide midler. 39

44 Revisor September 26 Først og fremmest er det vigtigt, at revisor har kendskab til virksomhedens organisation, ejerforhold, driftsmæssige og finansielle forhold, edb-anvendelse, betalingssystemer, registreringssystemer mv. i forbindelse med planlægningen 33. Dernæst er det vigtigt, at revisor danner sig et overblik over, hvorledes virksomhedens forretningsgange og interne kontroller fungerer. Hvorvidt ledelsen er villig til at stille de nødvendige ressourcer til rådighed for at opnå tilstrækkelig funktionsadskillelse samt effektive interne kontroller, er afgørende for, hvor stor den iboende risiko for fejl, herunder tilsigtede fejl i likvide midler, er. Ligeledes skal den iboende risiko vurderes i forhold til ledelsens troværdighed. I planlægningsfasen skal revisor tage stilling til, hvorledes virksomhedens forretningsgange og interne kontroller minimerer muligheden for besvigelser med fokus på følgende kontrolforanstaltninger: 1. Poståbning 2. Funktionsadskillelse 3. Godkendelse af kasserapporter 4. Godkendelse og attestation af betalinger 5. Løbende afstemning af likvide midler Da det er virksomhedens daglige ledelse, som er ansvarlig for at virksomhedens interne kontrolprocedure samt registreringssystemer og hermed ansvaret for ovenstående kontrolforanstaltninger, er det den daglige ledelse, som revisor skal henvende sig til herom. Revisors opgave er at opnå et sådant kendskab til virksomhedens forretningsgange, at det er muligt herigennem at identificere eventuelle svagheder og risici. Herunder er det ligeledes vigtigt, at revisor forespørger den daglige ledelse omkring dennes mening omkring risikoen for fejlinformationer i regnskabet. Det er vigtigt, at revisors forespørgsel foruden muligheden for besvigelser også omhandler konstaterede besvigelser. Såfremt der er konstateret besvigelser i virksomheden, kan disse besvigelser indikere overfor revisor, hvor svaghederne i virksomhedens kontrolmiljø er. 33 Jf. REVIFORA, Revision af likvide beholdninger, Revisionsorientering oktober

45 Revisor September 26 Forespørgslen til den daglige ledelse skal ikke forveksles med afdækning af ledelsesbesvigelser, og kan derfor ikke afdækkes ved udelukkende at forespørge den del af ledelsen. Foruden revisor skal tage kontakt til den daglige ledelse, bør han tage kontakt til den øverste ledelse. Dette bør ligeledes overvejes, hvis forespørgslerne til den daglige ledelse har givet anledning til forhold, som revisor bør debattere med den øverste ledelse. Da det er den øverste ledelse, som har det endelig ansvar for systemerne og overholdelse af lovgivningen, bør revisor forespørge denne omkring deres syn på forretningsgangene og de interne kontroller mv. som virksomheden besidder, og der igennem komme ind på, om der er områder, som den øverste ledelse mener, at revisor bør fokusere på i forbindelse med revisionen. Dette kunne eksempelvis være, hvis den øverste ledelse har mistanke til, at den daglige ledelse begår besvigelser, og dermed ønsker, at revisor fokuserer på dette område. Selv om ledelsen påpeger nogle områder overfor revisor som værende væsentlige, og som de ønsker at revisor skal fokusere på, er det ikke ensbetydende med, at ledelsen kan anmode revisor om at se bort fra områder, som efter ledelsen vurderes uvæsentlig, og dermed indskrænke revisionen. Kun revisor kan vurdere, hvilke områder der kan vurderes uvæsentlige. I forbindelse med planlægningen bør revisor ligeledes have forelagt en oversigt over fuldmagtsforholdene omkring bank, check og værdipapirbeholdning. I planlægningen af kasseeftersynet bør det selvfølgelig medtages, såfremt der er nogle i organisationen, som har enefuldmagt til nogle af bank- eller værdipapirbeholdningerne. Når indsamlingen af diverse oplysninger og informationer er foretaget i planlægningsfasen, kan revisor bevæge sig videre til udførelsesfasen. Forslag til revisionsplan for planlægningen af likvide midler, herunder kasseeftersyn er vedlagt ved bilag Udførelse De indsamlede oplysninger og informationer skal revisor bruge til at identificere forhold, som kan give mulighed, incitament eller midler til, at besvigelser udføres. Besvigelser forsøges holdt skjult, hvorfor det er vigtigt, at revisor anvender sin sunde fornuft sammenholdt med disse besvigelsesrisikofaktorer til opdagelsen af mulige besvigelser. Selvom revisor ikke som udgangspunkt skal basere sin revision på opdagelse af besvigelser, hører 41

46 Revisor September 26 det alligevel med til god revisionsskik at foretage et uanmeldt kasseeftersyn/beholdningseftersyn. Såfremt revisor vurdere, at de interne kontroller er så stærke, at det ikke vil være muligt for virksomhedens ansatte at foretage besvigelser, vil et kasseeftersyn ikke være krævet for, at revisor opfylder god revisionsskik. I responsumsag nr af 15. februar 26 blev der stillet følgende spørgsmål: om det er i overensstemmelse med god revisionsskik ikke at foretage kasseeftersyn Hertil svarede responsumudvalget, at behovet for at foretage et uanmeldt kasseeftersyn afhang af revisors vurdering af det interne kontrolmiljø. Det vil sige, at såfremt revisor vurdere, at de interne kontroller medfører, at det ikke er muligt at begå besvigelser, vil der ikke være behov for at foretage uanmeldt kasseeftersyn. Såfremt de interne kontroller ikke danner overbevisning herfor, skal revisor foretage uanmeldt kasseeftersyn Uanmeldt kasseeftersyn/beholdningseftersyn - kassen En del, af det at revidere likvide midler, er som minimum at foretage et årligt uanmeldt kasseeftersyn/beholdningseftersyn. Det uanmeldte kasseeftersyn kan endvidere være foreskrevet i særlovgivning, i selskabets vedtægter, i selskabets forretningsorden eller efter aftale med ledelsen. I mindre virksomheder vil man som oftest, medmindre der er særlige forhold, foretage et enkelt eftersyn i løbet af et år. Derimod vil der i større selskaber til tider være behov for to eller flere eftersyn. Formålet med det uanmeldte kasseeftersyn er at påse, hvorvidt virksomheden overholder de funktionsadskillelser og prokuraforhold, som er fastlagt internt. Endvidere skal det påses, om disse forhold er tilstrækkelige samt hvorvidt afstemningsprocedurerne og bogføringslovens krav til likvide transaktioner overholdes. Der er tre forhold, som det er vigtigt, at revisor holder sig for øje i forbindelse med det uanmeldte kasseeftersyn. Det uanmeldte kasseeftersyn skal være fortaget; uanmeldt 42

47 Revisor September 26 uventet og ufortrødent Med uanmeldt forstås, at revisor ikke på forhånd skal give besked til nogen i virksomheden omkring deres besøg 34, således at hverken ledelsen, bogholder eller kasseansvarlige kan være forberedt på revisors eftersyn. Årsagen hertil er, at såfremt de ansatte er bekendt med tidspunktet for det uanmeldte kasseeftersyn, kan besvigelserne enten forsøges skjult eller eksempelvis tilbagebetalt, hvis det drejer sig om penge fra kassen, i den periode hvor eftersynet foretages, og derefter fjernes igen. Med uventet forstås, at revisor ikke bør lægge det uanmeldte kasseeftersyn i samme periode hvert år. Der har tidligere været tendens til, at det uanmeldte kasseeftersyn altid blev foretaget i efteråret, som ofte er en mere stille periode i revisionsbranchen og ligeledes ofte blev lagt nærmest indenfor den samme uge hvert år. Årsagen til, at det uanmeldte kasseeftersyn skal være uventet, er den samme som ovenfor beskrevet. Med ufortrødent menes, at revisor ikke, efter denne er mødt op hos klienten og har tilkendegivet overfor klienten, hvad hensigten med besøget er, må blive hindret i foretagelsen af eftersynet. Dette kunne eksempelvis være, at besøget var ubelejligt for bogholder, regnskabschef eller øvrige implicerede personer. Årsagen hertil er, at en hindring af det uanmeldte kasseeftersyn kan være udtryk for at nogle i organisationen ønsker at skjule tilsigtede fejl for revisor. Såfremt det af helt specielle forhold ikke kan gennemføres, bør både den daglige som den øverste ledelse straks oplyses herom, ligesom årsagen hertil skal oplyses. Når revisor ankommer til klienten, skal han/hun uden ubegrundet ophold beslaglægge 35 eventuelle kontantkasser såvel danske som udenlandsk valuta. Desuden skal relevant bogføringsmateriale udleveres af bogholderen, således der kan dannes et overblik over virksomhedens beholdninger, herunder: Checkbeholdninger 34 Medmindre kasseeftersynet er bestilt af f.eks. ledelsen. I sådanne tilfælde bør der foretages et yderligere kasseeftersyn uden ledelsens viden herom senere. 35 Revisor skal straks ved ankomst til virksomheden indhente kontantbeholdninger eller have disse under påsyn, således det sikres, at der ikke foretages ændringer af den kontante beholdning. 43

48 Revisor September 26 Kontoudskrifter fra banken Råbalance og evt. relevante kontoudtog Seneste afstemning af likvide midler Under optællingen af kassen er det vigtigt, at kassereren er til stede, således der ikke efterfølgende kan være tvivl om, hvem der er ansvarlig for eventuelle differencer i kassen/kasserne. Alternativt kan revisor vælge at lade kassereren optælle kassen, mens revisor er til stede og under dennes opsyn. Dette er efter min mening det mest optimale, idet revisor dermed ikke kan drages til ansvar for eventuelt manglende kontanter. Den optalte saldo fra kassen inklusiv bilag fra kassen, som endnu ikke er bogført sammenholdes med den bogførte saldo i henhold til råbalancen pr. kasseeftersynsdatoen. Såfremt der er difference mellem det optalte og det bogførte, eftertælles kassen. Hvis differencen stadig konstateres, bogføres denne straks, og ved senere revisionsbesøg følges der op herpå. Opfølgningen drejer sig især om at se, at der ikke er foretaget ompostering af differencen efter vores kasseeftersyn. En ompostering kan være en indikation af, at kassereren evt. har lånt af kassen, og efterfølgende har returneret pengene. Ved større kassedifferencer skal revisor skriftligt orientere ledelsen i form af et protokollat. Endvidere bør der følges op på disse differencer ved eksempelvis at foretage et nyt uanmeldt kasseeftersyn inden for en vis periode. Det er en individuel vurdering, hvornår og om der skal foretages et yderligere uanmeldt kasseeftersyn, men det afhænger ofte af antal af transaktioner og kassens beløbsmæssige størrelse. Samtidig skal revisor ved mindre differencer som minimum orientere den daglige ledelse omkring differencen. En mindre difference vil oftest ikke føre til yderligere revision, men den daglige ledelse bør stadig have kendskab til forholdet, da det i sidste ende vil være dem, som står til ansvar herfor. I virksomheder med stor aktivitet i kassen vil man oftere se differencer, end i virksomheder, hvor kassen næsten aldrig tages i brug. Hvornår, der er tale om en stor, og hvornår, der er tale om en mindre difference, er igen en individuel vurdering, som afhænger af kassens beløbsmæssige størrelse og antal transaktioner i kassen. Det er også vigtigt, at der ved virksomhedens egne kasseafstemninger bogfø- 44

49 Revisor September 26 res differencer, således der ikke hele tiden forekommer en difference, som over årene blot bliver større og større. Med baggrund i ovenstående er det derfor også god skik, at revisor ved kasseeftersynet eller som minimum ved statusrevisionen gennemgår kontoen for kassedifferencer. Dette bør ske selvom kontoen ved status er af uvæsentlig karakter, da dette kan give revisor en fornemmelse af, om der er bogført transaktioner frem og tilbage, og derfor ikke ved status ses af den samlede saldo, jf. nedenstående eksempel. Eksempel 4.1: Kassereren låner primo hver måned (efter kasseafstemningen er foretaget) DKK 1. i kassen. Ultimo måneden lægges disse igen i kassen, således det ikke kan ses af den månedlige kasseafstemning, ligesom den daglige ledelse ikke får mistanke, hvis han/hun gennemgår månedsbalancerne. Da kassereren selvfølgelig er opmærksom på, at der i løbet af året foretages uanmeldt kasseeftersyn af revisoren, bogføres der primo hver måned DKK 1. ud af kassen og ultimo hver måned DKK 1. ind i kassen - modkontoen bliver eksempelvis på en differencekonto. På denne måde vil der ikke opstå differencer, som revisor vil undersøge nærmere. På baggrund af ovenstående er det min holdning, at revisor altid bør udsende en protokol i forbindelse med eftersynet, således at det er op til ledelsen at vurdere hvorvidt differencen er væsentlig. Dette er dog en vurderingssag, idet bestyrelsen i en børsnoteret virksomhed sandsynligvis vil være uinteresseret i mindre differencer. Revisor kunne evt. aftale med ledelsen, hvornår de vil modtage revisionsprotokollat vedrørende eftersynet, og hvornår det vil være tilstrækkeligt, at eftersynet blev gennemgået med den daglige ledelse. God skik ved et uanmeldt kasseeftersyn er desuden at foretage bilagskontrol, da der på den måde både kan tjekkes af, at de bilag, som bogføres, er relevante for virksomheden og ikke er af privat karakter, ligesom revisor vil kunne undersøge, om der foretages usædvanlige posteringer i den udvalgte periode. Alt efter hvor mange transaktioner der dagligt foretages via kassen, vil der ofte være tale om en kontrolperiode på 14 dage før kasseeftersynet og 14 dage efter kasseeftersynet. Såfremt det er en virksomhed med mange daglige transaktioner, kan der blot udvælges stikprøver i forbindelse med 14-dages perioden. Er transaktionerne for 14-dages perioden overskuelige foretages der kontrol af samtlige bilag. Kontrollen består af følgende: Arten: Synes omkostningen relevant for virksomheden, eller er omkostningen af privat karakter. Adressat: Er bilaget adresseret til virksomheden. Da der ofte er tale om udlæg og kasseboner, som bogføres via kassen, er dette dog ikke altid muligt at kontrollere. Korrekt kontering og bogføring: Er bilaget bogført på relevante konti. 45

50 Revisor September 26 Behørig godkendelse/attestation: Er bilaget attesteret/godkendt i forhold til de i virksomheden gældende attestationsregler. Dato: Er bogføringsdatoen korrekt i forhold til datoen på bilaget. Moms: Er momsen bogført korrekt. Dette punkt er ikke så relevant rent besvigelsesmæssigt, men da bilaget i forvejen gennemgås kan dette punkt med fordel medtages. Kontrollen af bilagene før kasseeftersynet kan med fordel foretages i forbindelse med det uanmeldte kasseeftersyn, mens bilagene efter kasseeftersynet af gode grunde først kan kontrolleres i forbindelse med senere besøg f.eks. i forbindelse med opfølgning, løbende revision eller statusrevision. Forslag til revisionsplan for kasseeftersynet vedrørende kassen er vedlagt ved bilag Uanmeldt kasseeftersyn/beholdningseftersyn - checkbeholdning Ved det uanmeldte kasseeftersyn skal virksomhedens checkbeholdning ligeledes udleveres til revisor. Revisor skal påse følgende vedrørende checkbeholdningen. 1. At checkbeholdningen opbevares forsvarligt 2. At checkene foreligger i ubrudt rækkefølge 3. At der ikke foreligger blankochecks 4. At annullerede checks overstreges og gemmes 5. Antallet af svømmende checks Ad.1: Checkbeholdningen skal opbevares forsvarligt, således det ikke er muligt for uvedkommende at have adgang til checkbeholdningen, og dermed drage nytte heraf. Ad. 2: Såfremt der er checks, som mangler i nummerrækkefølgende kan det være et tegn på besvigelser. Der skal derfor følges op på, hvilke checks som mangler i rækkefølgen, og hvad årsagen hertil er. Ad. 3: Såfremt der foreligger blankochecks kan enhver med adgang til checkbeholdningen drage nytte hertil. Der bør derfor aldrig af sikkerhedsmæssige årsager foreligge checks, som på forhånd er underskrevet. 46

51 Revisor September 26 Ad. 4: Det er vigtigt, at annullerede checks overstreges og gemmes. Først og fremmest vil det ikke være muligt at gennemgå checkbeholdningen for ubrudt rækkefølge, da disse vil mangle, og det vil være uvist, om de eksisterer i systemet eller om de på et tidspunkt vil blive hævet i forbindelse med besvigelser. Endvidere vil andre evt. kunne drage nytte af checkene, hvis de blot blev smidt i skraldespanden. Ad. 5: Svømmende checks 36 skal undersøges. De checks som på kasseeftersyns tidspunktet er svømmende, skal passe til bankafstemningen for checkbankbeholdningen. Revision af checkbeholdningen i forbindelse med kasseeftersynet fremgår af revisionsplanerne ved bilag 5 og bilag Uanmeldt kasseeftersyn/beholdningseftersyn - banken I forbindelse med det uanmeldte kasseeftersyn skal der desuden foretages afstemning af samtlige bankkonti, hvad enten der er tale om bankgæld, girokonti eller banktilgodehavende. Da de fleste virksomheder er online med deres bankforbindelse, er det optimale at få udskrevet kontoudtoget pr. kasseeftersynsdatoen. Er der konti, som af den ene eller anden grund ikke er tilgængelig via netbank, tages der kopi af seneste modtaget bankudtog og denne saldo verificeres via telefonisk kontakt til banken. Såfremt der er sket bevægelser herpå siden seneste udsendte bankudtog, faxes oversigt over bevægelserne fra banken til virksomheden med det samme. Såfremt der er difference mellem bankens saldo og bogføringen, foretages der en bankafstemning. Det vil her være fordelagtigt at tage udgangspunkt i den seneste bankafstemning foretaget af virksomheden selv og følge transaktionerne herefter i henholdsvis bank og bogføring. Er arbejdet med bankafstemningen af sådan karakter, at det vil være uhensigtsmæssigt at revisor foretager dette arbejde, kan afstemningen med fordel foretages af bogholderen. I sådanne tilfælde er det vigtigt, at revisor noterer saldoen i henholdsvis bank og bogføring pr. den dato, som det uanmeldte kasseeftersyn foretages, og det vil herefter være bogholderens ansvar at få afstemt disse to saldi. I sådanne tilfælde vil det endvidere være særdeles 36 Udstedte checks, som endnu ikke er hævet i banken. 47

52 Revisor September 26 vigtigt, at revisor følger op på eftersynet og foretager en kritisk gennemgang af bankafstemningen. I forbindelse med bankafstemningerne bør revisor ligeledes påse, hvad enten der er differencer eller ej, at der løbende foretages bankafstemning i en grad svarende til antallet af daglige transaktioner i banken. Dette skal foregå regelmæssigt i henhold til bogføringsloven 37. Ligeledes er det relevant, at revisor i bankafstemningen tager hensyn til de svømmende checks, som blev konstateret i forbindelse med gennemgangen af checkbeholdningen. Disse svømmende checks bør fremgå af bogføringen, men da de ikke er hævet vil de ikke fremgå af banken. Derfor vil der være en naturlig difference mellem bank og bogføringen på dette område. Ligesom ved kasseafstemning, vil det være god revisionsskik at foretage bilagskontrol af en periode på 14 dage før eftersynet og 14 dage efter eftersynet. Efterhånden som de fleste banktransaktioner foregår via netbank, er denne revisionsprocedure blevet mere omfattende. Årsagen hertil er, at når den ansvarlige for bankbetalinger ligger bilag til betaling via banken, foregår dette ofte manuelt - især i mindre virksomheder, og her er store muligheder for at besvige, jf. nedenstående eksempel. Eksempel 4.2: Den ansvarlige for bankbetalinger skal lægge dagens bilag/faktura til betaling via netbanken. Deri blandt er der en regning fra en af virksomhedens leverandør. Regningen indeholder et kontonummer, hvortil pengene skal sendes eller et FIK-nr., som er bestemmende for hvor pengene bliver sendt til. Når regningen lægges til betaling sættes pengene ind på den ansattes eget kontonummer, men ved angivelse af teksten til virksomhedens kontoudtog angives leverandørens navn. Hvis den som godkender betalingerne ikke gennemgår hver enkelt regning og herunder kontonummer eller FIKnr., vil det være muligt for bogholderen at foretage besvigelser på denne måde. På baggrund af ovenstående, er det derfor vigtigt, at revisor gennemgår hver enkelt transaktion i den udvalgte periode, og kontrollere de enkelte bilag/fakturaer i forhold til betalingstransaktionen. Proceduren herudover er den samme som ved gennemgangen af kassebilag, jf. afsnit Ved mange transaktioner vil det være hensigtsmæssigt kun at foretage stikprøvevis kontrol. Såfremt der i virksomheden er funktionsadskillelse vedrørende ændring af stamdata på kreditorbetalingerne og selve betalingen af kreditorerne, vil ovenstående del af kasseeftersynet ikke være relevant. 37 Revision af likvide beholdninger, REVIFORA - revisionsorientering oktober

53 Revisor September 26 Forslag til revisionsplan for området omkring bankmellemværende i forbindelse med kasseeftersynet er vedlagt ved bilag Uanmeldt kasseeftersyn/beholdningseftersyn - værdipapirer På baggrund af indhentede depotoversigt samt kontoudtog fra bogholderiet, afstemmes beholdningen af værdipapirer. Det vigtigste i forbindelse med afstemningen er, at den nominelle beholdning ifølge bogholderiet stemmer overens med den ifølge depotoversigten. Hvorvidt værdien stemmer fuldstændig overens er ikke det primære, men det bør naturligvis ikke være væsentlige beløbsmæssige forskelle. Ofte er det nødvendigt, at gennemgå årets til- og afgange i forhold til primoværdien for at kunne afstemme beholdningen af værdipapirer på kasseeftersynsdagen. Såfremt virksomheden har mange bevægelser vedrørende deres værdipapirbeholdning, vil det være hensigtsmæssigt at modtage et kartotek over værdipapirerne fra klienten, hvoraf det fremgår, hvad årets til- og afgange er, og på den måde afstemme til beholdningen pr. kasseeftersynsdagen. Forslag til revisionsplan for området omkring værdipapirer i forbindelse med kasseeftersynet er vedlagt ved bilag Uanmeldt kasseeftersyn/beholdningseftersyn - saldomeddelelser Et kasseeftersyn vil efter min mening ligeledes indeholde udsendelse af saldomeddelelser for henholdsvis debitorer og kreditorer. Selvom dette ikke direkte har med likvide midler at gøre, vil det stadig have en indflydelse på de likvide midler, hvis der foregår besvigelser i forbindelse med debitorindbetalinger og kreditorudbetalinger. Revisor bør derfor først og fremmest afstemme et evt. kreditor- og debitormodul til råbalance, for derigennem at kontrollere, at der ikke bogføres direkte på finanskontoen for henholdsvis kreditorer og debitorer, og på den måde skjule midlertidige posteringer. Dernæst bør der stikprøvevis udvælges henholdsvis debitorer og kreditorer, som revisor udsender saldomeddelelser for. Udvælgelsen af hvilke debitorer og kreditorer der skal ske udsendelse af saldomeddelelse for, kan ske efter flere forskellige testtyper. Ofte vil man dog udvælge sine stikprøver via targeted testing, som anvendes til at teste poster med spe- 49

54 Revisor September 26 cielle karakteristika. Det er vigtigt, at revisor ved anvendelse af denne testmetode har for øje, at der skal foretages en vurdering af risiko eller dækning, når det skal afgøres hvilke poster, der skal testes, ligesom det indebærer, at revisor anvender sin dømmekraft. Når targeted testing anvendes på mindre end 1% af populationen, kan resultatet ikke projiceres til resten af populationen. Alligevel anvendes denne test ofte, når der er tale om, at revisor kan udvælge poster, som har specielle karakteristika, hvilket eksempelvis kan være værdi, højere risiko, alder mv., og revisor samtidig effektivt kan teste posterne med denne eller disse specielle karakteristika. Når der udsendes saldomeddelelser foregår det ofte ved, at revisor udvælger debitorer/kreditorer med en stor værdi eller af ældre dato, da det oftest er disse, som der er mest væsentlige i forhold til revisionsrisikoen. Derfor vil der ofte være tale om targeted testing 38 ved udvælgelse af stikprøver til udsendelse af saldomeddelelser. Udsendelse af saldomeddelelser er især vigtig, når der ikke er funktionsmæssig adskillelse mellem kassefunktionen og debitor- og kreditorbogholderiet. Hvis f.eks. den som bogfører indbetalingerne fra banken også er debitorbogholder, vil det være et tegn på manglende funktionsadskillelse. Ligeledes vil det være et tegn på funktionsadskillelse, som kan påvirke debitorbogholderiet, hvis poståbneren også er debitorbogholder. Dette punkt er ikke så aktuelt, som det har været tidligere, da der ikke længere bliver betalt så meget med checks. Alligevel kan det dog indimellem ske, at debitorer vælger at sende en check til virksomheden i stedet for at betale via banken. Hvis personen som åbner posten, og dermed konvolutten med den fremsendte check, er den samme person som varetager debitorbogholderiet, vil dette være en svaghed i virksomhedens forretningsgange set i forhold til muligheden for besvigelser 39. Det er vigtigt, at der foregår en gennemgang af de udvalgte debitorer/kreditorer med regnskabschefen eller direktøren, da der kan være særlige forhold, som gør at virksomheden ikke ønsker, at der udsendes saldomeddelelser til den pågældende kunde. I sådanne tilfælde må revisionen heraf foretages på en alternativ måde, hvilket f.eks. kunne være kontrolle- 38 Targeted testing bygger på samme principper, som Judgmental sampling. 39 Der henvises til poståbningssagen (responsum 1151), hvor revisor ikke havde gjort virksomhedens ledelse opmærksomme på, at der ingen funktionsadskillelse var på området. 5

55 Revisor September 26 ring af efterfølgende indbetalinger fra debitoren og afstemning af kreditorkontoudtog for kreditorerne. Efter saldomeddelelserne er udsendt, skal der ske opfølgning efterhånden som debitorerne/kreditorerne returnerer deres saldomeddelelser inklusiv eventuelle bemærkninger. Ofte vil det være fordelagtigt at medsende et kontoudtog over åbne poster, da det på den måde gør det lettere for debitoren/kreditoren at se, hvordan en eventuel difference er opstået. Svaret skal returneres til revisor og ikke til virksomheden, således at det er revisor, der får kommentarerne omkring evt. uoverensstemmelser. Forslag til udformning af saldomeddelelser til debitorer/kreditorer er vedlagt ved bilag 8. Såfremt der efter ca. tre uger til en måned endnu ikke er modtaget svar fra debitorerne/kreditorerne, skal der udsendes rykker herpå. Hvis der stadig ikke modtages svar herfra, skal revisor være ekstra opmærksom herpå, og udføre alternativ revision i form af f.eks. kontrollering af efterfølgende ind- og udbetalinger. Forslag til udformning af revisionsplan for området saldomeddelelser er vedlagt ved bilag Uanmeldt kasseeftersyn/beholdningseftersyn - forretningsgangen I forbindelse med det uanmeldte kasseeftersyn er det ligeledes en god idé at få en ajourført beskrivelse af forretningsgangene på områderne omkring likvide midler. Denne forretningsgangsbeskrivelse skal indeholde informationer omkring regler, prokuraforhold, funktionsadskillelse samt øvrige procedure, som har indflydelse på de likvide midler. Disse oplysninger skal anvendes i forbindelse med det uanmeldte kasseeftersyn, hvorfor det er en god idé enten at have modtaget denne inden det uanmeldte kasseeftersyn eller få den udleveret, som noget af det første på eftersynsdagen 4. Det er min holdning, at revisor herforuden skal forespørge såvel bogholderen/kassereren, som den regnskabsansvarlige omkring disse forhold, idet det sker, at der foreligger en forretningsgangsbeskrivelse, men at den i praksis ikke anvendes eller er forældet. Det er dog 4 For at sikre, at kasseeftersynet er uventet, skal revisor naturligvis ikke anmode om forretningsgangsbeskrivelserne kort forinden eftersynet, men det kunne være en fast procedure, at revisor på en fast dato modtog opdaterede forretningsgangsbeskrivelser. 51

56 Revisor September 26 også et krav, at revisor tester kontrollerne, hvis revisionen skal understøttes af systemrevision. I forbindelsen med ajourføringen af forretningsgangsbeskrivelsen, er det vigtigt, at revisor er opmærksom på forholdene omkring interne kontroller. Jo flere relevante og effektive interne kontroller der foreligger, desto færre muligheder er der for de ansatte at udøve besvigelser. Forslag til revisionsplan for forretningsgange i forbindelse med kasseeftersynet er vedlagt ved bilag Statusrevision Størstedelen af revisionen af likvide midler og herunder revision af besvigelser vedrørende likvide midler foregår ved det ovenfor omtalte uanmeldte kasseeftersyn. Opfølgningen af kasseeftersynet kan af gode grunde ikke foretages samtidig med eftersynet, men foretages efterfølgende enten i forbindelse med et ekstra besøg, løbende revision eller statusrevision. Forslag til revisionsplan for opfølgning af kasseeftersynet er vedlagt ved bilag 11. Statusrevisionen består hovedsagligt i at afstemme de likvide konti til bankens saldo pr. statusdag. Statusrevisionen dækker dog stadig et element af besvigelser, idet der er krav om, at revisor indhenter engagementsforespørgsler fra samtlige af klientens banker. Det er vigtigt, at besvarelsen på engagementsforespørgslen sendes direkte til revisor. Dette anses som et stærkt bevis, idet det kommer fra tredjemand 41. Banken skal i besvarelsen anføre hvilke engagementer, der pr. statustidspunktet er mellem klienten og banken. Det vil derfor pr. statusdagen ikke være muligt at have en bankkonto i virksomheden, som ikke indgår i regnskabet, og som revisor ikke har kendskab til, medmindre denne bankkonto er placeret i en bank, hvor virksomheden ikke har yderligere engagementer med, og der derfor ikke er udsendt engagementsforespørgsel til. Det vil ifølge besvarelsen fra banken ligeledes fremgå, hvis der er pant, stillet sikkerhed eller på anden måde forpligtelser overfor banken. 41 Jf. Responsumsag nr. 961, hvoraf det fremgår, at God revisionsskik forudsætter, at mellemværende med et pengeinstitut skal afstemmes enten ved henvendelse til det pågældende pengeinstitut eller ved afstemning af ajourført originalmateriale. 52

57 Revisor September Afslutning og rapportering Såfremt revisor i forbindelse med det uanmeldte kasseeftersyn eller statusrevisionen, er blevet bekendt med fejl, hvad enten dette skyldes besvigelser eller ej, skal der herefter gives besked herom til virksomhedens ledelse. Som omtalt tidligere kan der være tale om en mindre og uvæsentlig fejl, som ikke skyldes besvigelser, hvorfor der ikke bør foretages yderligere end at give den daglige ledelse besked herom. Er der derimod tale om besvigelser, vil det foruden den daglige ledelse ligeledes være den øverste ledelse, som bliver inddraget i dette forhold. Under visse omstændigheder vil der ligeledes være tale om, at revisor skal meddele de offentlige myndigheder herom, jf. afsnit Der er i henhold til RS 24 krav om, at revisor uden ubegrundet ophold og hurtigst muligt giver meddelelse omkring de fundne forhold, således ledelsen kan foretage de fornødne foranstaltninger. Det er selvfølgelig vigtigt, at revisor informerer de korrekte personer omkring besvigelsen, og det er derfor også vigtigt, at revisor er bekendt med, hvilke personer som er involverede i besvigelsen, således revisor ikke risikerer at henvende sig til en person, som har deltaget i besvigelsen, da dette vil kunne føre til, at personer forsøger at sløre besvigelsen efterfølgende. Forslag til revisionsplan vedrørende rapportering af kasseeftersynet er vedlagt ved bilag 12. I ovenstående afsnit har jeg givet min mening omkring revisors fremgangsmåde i forbindelse med revisionen af likvider med henblik på opdagelse af besvigelser. I nedenstående afsnit vil fremgangsmåden ved revision med henblik på opdagelse af regnskabsmanipulation forsøgt repræsenteret 53

58 Revisor September Regnskabsmanipulation Formålet med dette afsnit er at give en praktisk fremstilling af, hvorledes revisor foretager revisionen af henholdsvis omsætningen og hensættelse til tab på tilgodehavende 42. Den strukturmæssige opdeling af dette afsnit vil blive foretaget i henhold til de tre faser i revisionsprocessen, i lighed med foregående afsnit. Af PWC s undersøgelse af 25 fremgår det, at af de rapporterede besvigelser, har 25% af virksomhederne været udsat for regnskabsmanipulation 43. Risiko for bevidst fejlinformation i regnskabet kan til dels afhænge af f.eks. den daglige ledelses karakteristika og dennes indflydelse på det interne kontrolmiljø, brancheforhold samt de driftsmæssige karakteristika og den økonomiske stabilitet Planlægning Årsrapporten kan ikke bygges op som en matematisk formel, og ved afslutningen af udarbejdelsen heraf, er det ikke muligt at sætte to streger under henholdsvis resultat og egenkapital. Mange poster i regnskabet kræver, at ledelsen foretager en række subjektive valg og skøn, hvilket kan have stor betydning for regnskabsaflæggelsen 45. Dette medfører desværre, at muligheden for regnskabsmanipulation øges. Det er efter min mening svært at revidere og opdage besvigelser i form af regnskabsmanipulation. Valg af anvendt regnskabspraksis og fastlæggelsen af regnskabsmæssige skøn, kan eksempelvis øge resultatet og dermed egenkapitalen, uden at der dermed er tale om regnskabsmanipulation. Såfremt regnskabet på baggrund af den anvendte regnskabspraksis samt de regnskabsmæssige skøn fremstår som aflagt efter ÅRL samt fremstår retvisende, vil ledelsens valg ofte ikke blive anfægtet. 42 Jf. Problemafgrænsningerne afsnit Jf. Global Economic Crime Survey 25, PWC, Jf. Notater fra Revision, HHA 45 Besvigelser - risici og forebyggelse, KPMG,

59 Revisor September 26 Revision af eventuelt regnskabsmanipulation bør planlægges nøje. Som omtalt ovenfor er det svært for revisionen at opdage besvigelser vedrørende regnskabsmanipulation, da der ofte er tale om regnskabsmæssige skøn samt disse besvigelser oftest søges skjult. Ved planlægningen af revisionen skal virksomhedens sårbarhed over for væsentlig fejlinformation i regnskabet som følge af besvigelser (eller fejl) drøftes i revisionsteamet. Formålet med dette er at sikre en bedre forståelse af virksomhedens sårbarhed over for besvigelsesrisici (og fejlrisici). Ligeledes er dette forhåbentlig med til at sikre, at revisionen omfatter alle former for risici. Det er et krav ifølge RS 24, at relevante personer i revisionsteamet inden selve revisionen samles til et møde, hvor besvigelseselementet diskuteres. Teamet skal drøfte risikoen for, at virksomhedens regnskab bliver udsat for væsentlig fejlinformation som følge af besvigelser. I forbindelse hermed er det vigtigt, at den deltagende del af revisionsteamet anvender sin professionelle dømmekraft, erfaringer med virksomheden og viden omkring virksomhedens udvikling 46. Herefter er det vigtigt, at de drøftede punkter kommunikeres videre til personer i revisionsteamet, som ikke deltog i mødet, hvis dette synes relevant. Teamet vil blandt andet diskutere følgende: Hvor mulighederne for besvigelser er Hvem som har mulighed for at foretage besvigelser i den aktuelle virksomhed samt Hvilke områder i regnskabet dette vil berøre. Revisionen skal rette henvendelse til den daglige ledelse for at få en forståelse af henholdsvis: Ledelsens vurdering af risikoen for, at regnskabet kan indeholde væsentlig fejlinformation som følge af besvigelser samt De regnskabs- og interne kontrolsystemer, som ledelsen har indført for at adressere sådanne risici. Ovenstående kan være medvirkende til at fastslå, hvorvidt ledelsen har kendskab til besvigelser, der har haft indflydelse på virksomheden eller mulige besvigelser, som virksomhe- 46 Jf. RS 24 (ajourført) pkt

60 Revisor September 26 den undersøger samt få et indblik i, hvorledes ledelsen selv forholder sig til de regnskabs- og interne kontrolsystemer, som der er indført. Som led i planlægningen skal der indhentes en forståelse og foretages en vurdering af selskabets interne kontroller. Vælges det herefter at basere revisionen på en eller flere af de identificerede interne kontroller, skal der foretages efterprøvning af disse kontrollers effektivitet Forespørgsel til den daglige ledelse >< den øverste ledelse Som omtalt i RS 24 afsnit 13, kan den daglige ledelse kontra den øverste ledelses ansvarsområder variere fra virksomhed til virksomhed, hvorfor det er vigtigt, at revisor retter sine forespørgsler og informationer til de rette personer. Ovenstående forespørgsler til henholdsvis den daglige ledelse, som den øverste ledelse kan give nyttige informationer vedrørende risiciene for besvigelser i regnskabet foretaget af medarbejdere. Omvendt er det usandsynligt, at ovenstående forespørgsler vil give nyttig viden vedrørende risikoen for fejlinformation i regnskabet i forbindelse med ledelsesbesvigelser. Derfor er det vigtigt, at revisor foretager en vurdering af den iboende risiko og kontrolrisikoen og på den baggrund tilrettelægger de substanshandlinger, som skal indgå i revisionen, og som reducerer risikoen for, at besvigelser ikke opdages. Endvidere er det vigtigt, at der allerede i planlægningen tages højde for, hvilke besvigelsesrisikofaktorer i relation til den daglige ledelses karakteristika og dennes indflydelse på kontrolmiljøet, der kan forekomme Ledelsens incitament til at foretage regnskabsmanipulation Som omtalt i ovenstående afsnit er det svært for revisionen at verificere ledelsesbesvigelser, da ledelsen ofte har mulighed for at omgås de i virksomheden opbyggede kontroller. Derfor er det vigtigt, at revisionen medtager dette faktum i planlægningen, og eksempelvis undersøger hvilke incitamenter, som ledelsen har for at begå regnskabsmanipulation. Revi- 47 For nærmere forståelse af virksomheders kontrolmiljø, interne kontroller mv. henvises til kapitel 5. 56

61 Revisor September 26 sor skal være bekendt med de tre M er jf. figur 2.1 og bruge denne viden i planlægningen af revisionen. I dag ses det ofte, at den daglige ledelses løn blandt andet består af bonus, aktieoptioner eller andre former for resultataflønning. Et forbedret resultat, en forbedret likviditet, en stigning i aktiekursen mv. kan derfor have en positiv privatøkonomisk effekt for den daglige ledelse, hvilket kan være motivet bag regnskabsmanipulationen. Regnskabsmanipulationen kan ligeledes være udført med det formål, at få arbejde og præsentationer til at syne af mere, end hvad de virkelig er. Dette kunne evt. ses blandt en fra den daglige ledelse eller den øverste ledelse for at opnå et trin op i hierarkiet med dertilhørende aflønning, prestige, respekt og magt blandt kolleger, ledere, samarbejdspartnere mv. Med samme midler kan dette også medføre en toppost i en anden virksomhed eller blot for at fastholde sin nuværende position i hierarkiet. Årsagen til at begå regnskabsmanipulation kan også findes, hvis ledelsen har forpligtet sig overfor tredje mand om at opnå resultater, som klart er urealistiske og uholdbare. Ledelsen vil på den baggrund kunne føle sig forpligtet til at foretage regnskabsmanipulation for ikke at skuffe virksomhedens interessenter. I nogle tilfælde vil det ganske enkelt blot skyldes ærekærhed, idet et ledelsesmedlem ønsker, at den pågældende arbejdsplads skal tilhører det gode selskab. Dette var højst sandsynligt, hvad der lå bag regnskabsmanipulationen i Nordisk Fjer Udførelse Som beskrevet i afsnittet omkring problemafgrænsninger er afsnittet omkring regnskabsmanipulation afgrænset til at omhandle salg og debitorer, således områderne alle vedrører SID-cyklusen Omsætning I forbindelse med revisionen af omsætningen er det vigtigt, at revisor fortager en vurdering af og føler sig overbevidst om følgende 49 : 48 Salg-Indbetalinger-Debitorer = Indbetalinger og til dels debitorer er gennemgået under misbrug af aktiver og salg og debitorer gennemgås under regnskabsmanipulation. 57

62 Revisor September 26 at alle leverede varer bliver faktureret at faktureringen er korrekt mht. dato, pris, udregning mv. at indtægterne bliver bogført og periodiseret korrekt. at sammenhængen i bogføringen mellem omsætning og debitorer er korrekt. at kreditnotaer udstedes på korrekt grundlag. at øvrige salgsafledte poster (merværdiafgift, skyldige varerabatter og provisioner, hensættelser til garantiforpligtelser etc.) er korrekt opgjort og oplyst i regnskabet. Revision af omsætning bygger ofte på systemrevision. Revisor bør gennemgå virksomhedens forretningsgangsbeskrivelse og herunder interne kontroller for området omsætning. På den baggrund kan revisor vurdere, hvor der er huller i systemet, som kan øge risikoen for fejl og besvigelser. Systemrevision foretages ved samtaler med de implicerede personer samt den daglige ledelse. Desuden vil revisionen bestå af at efterprøve forretningsgangene og de interne kontroller i form af diverse stikprøver. Dette afsnit vil ikke omhandle en gennemgang af forretningsgange og interne kontroller, idet kapitel 5 vil omhandle virksomhedernes forebyggelse af besvigelser, og forretningsgangene og diverse interne kontroller vil i den forbindelse blive omtalt. Såfremt der er områder, hvor de interne kontroller er svage, bør revisionen udbygges i form af substansrevision. Substansrevisionen vil bestå af regnskabsanalytisk revision og detailrevision. Revisor skal være opmærksom på tre forhold, som kan indikere besvigelser 5. Salg bliver bogført uden at der sker en levering Salg bliver bogført mere end en gang Fiktivt salg og de dertilhørende omkostninger bliver bogført De to første behøver nødvendigvis ikke at være et tegn på besvigelser, men kan blot være en fejl, mens den sidste uden tvivl er et tegn på besvigelser. 49 Fabricius, Ole m.fl. Revision af omæstning, REVIFORA, 2. 5 Arens, Alvin A. m.fl., Auditing and assurance services, side

63 Revisor September 26 Muligheden for, at revisor afslører besvigelser i forbindelse med ovenstående tre forhold, er ikke stor, men såfremt der er bogført salg uden, at der er sket en levering, kan det blandt andet opdages ved at påse dokumenter vedrørende fragt/overdragelse til kunden samt påse, at varen er fragået lagerbeholdningen. Såfremt der ikke kan findes et bilag vedrørende levering af varen hos klientens kunde eller varen ikke er fragået lageret, kan det tyde på, at der enten er sket en utilsigtet fejl eller der er tale om besvigelser. Motivet til besvigelser af denne type, er resultatudjævning, hvor salget bliver bogført i et år, mens udgifterne hertil bliver bogført i efterfølgende år. Salg, der er bogført dobbelt, kan forsøges opdaget ved, at revisor udvælger en fakturarækkefølge på eksempelvis 1 fakturaer, og gennemgår de enkelte fakturaer i henhold til bogføringen. Såfremt fakturaerne er i en fortløbende rækkefølge, og der ikke forekommer fakturaer med samme fakturanummer, synes denne test at være gennemført uden bemærkninger. Er dette ikke tilfældet, må revisor foretage yderligere revision i form af forespørgsel til den i bogholderiet, som varetager faktureringen og eventuelt til den daglige ledelse. Ligeledes bør evt. dokumentation i form af fragtbilag mv. gennemgås og afgang fra lageret. Sidst, men ikke mindst, kan der udsendes saldomeddelelser 51 til de aktuelle kunder, såfremt revisor ikke er overbevidst på anden vis. Besvigelsesformålet vil her være at forøge omsætningen og hermed resultatet. Det sidste forhold kan være svært at opdage, men eventuelt ved udsendelsen af debitorsaldomeddelelser 52 i forbindelse med kasseeftersynet, vil denne type af besvigelser kunne blive opdaget. Der bogføres til fiktive kunder, hvilket medfører, at der i bogholderiet står debitorer med saldi, der aldrig bliver betalt. Derfor bør en aldersfordelt debitorliste gennemgås og ældre saldi undersøges nærmere. Bogføringen kan dog ske op til status, hvilket vil betyde, at det ikke vil blive opdaget gennem denne form for revision. Dette faktum kan tale for, at der udsendes debitorsaldomeddelelser ved statustidspunktet. Dette bør dog efter min mening ikke erstatte udsendelsen heraf ved kasseeftersynstidspunktet, da man derved mister noget af revisionsdokumentationen vedrørende kasseeftersynet. Også denne form for besvigelser, må formodes foretaget for at forøge virksomhedens resultat. Periodisering vil i dette tilfælde være korrekt, men da der er tale om fiktiv salg, vil resultatet stadig blive forbedret med bruttofortjenesten af det bogførte salg. 51 Jf. bilag Jf. bilag 8. 59

64 Revisor September 26 Foruden ovenstående skal revisor foretage regnskabsanalytisk revision i forbindelse med revisionen af omsætningen. Hvis det er muligt at genere en omsætningsstatistik fra bogholderiet, som klienten anvender, vil det være muligt at se på udviklingen af f.eks. nettoomsætningen, kreditnotaer, omsætningshastighederne, tab på debitorer mv. På den baggrund kan revisor vurdere, hvorvidt at omsætningen og hertil knyttede poster har udviklet sig over årene, og hvorvidt dette kan have en indflydelse på den resterende del af revisionen. Såfremt afvigelser ikke kan forklares ud fra markedsvilkår mv., skal revisor foretage yderligere revision, og derigennem opnå en forståelse af, hvorfor tallene har udviklet sig således. Der kan være en naturlig forklaring på evt. afvigelser, men det kan ligeledes være et tegn på besvigelser, herunder regnskabsmanipulation. Revisor kan skanne salgskontiene og eventuelle salgsjournaler, og på den baggrund undersøge, om der er store eller usædvanlige posteringer. Dette vil især være relevant omkring statustidspunktet, da det er på daværende tidspunkt, at den ansvarlige er opmærksom på, om målene er nået eller ej. En gennemgang af kreditnotaer bogført i begyndelsen af nyt år, vil ligeledes være at anbefale. Såfremt der er bogført fiktive faktura i regnskabsåret, vil de højst sandsynligt blive tilbageført i nyt år, således de ikke der fremgår af debitorsaldolisten. Derfor er det en god ide at gennemgå de større og væsentlige kreditnotaer, som er udstedt i begyndelsen af nyt år. Revisor skal linke kreditnotaen sammen med den oprindelige faktura, således der kan kontrolleres for korrekt matchning og periodisering. Såfremt kreditnotaen i nyt år vedrører en faktura fra regnskabsåret, skal årsagen til kreditnotaen forklares af debitorbogholder eller den daglige ledelse, foruden den skal omposteres, såfremt den beløbsmæssig er af væsentlig betydning for regnskabsaflæggelsen. Ved at revisor kontrollerer den korrekte periodisering, men også undersøger, hvad der er årsagen til kreditnotaen, kan dette medvirke til, at evt. besvigelser opdages. Dokumentation i form af korrespondance med tredje mand (evt. klientens kunde) vil her være at foretrække for revisor. Revisionsplan til brug for revision af omsætning ses ved bilag 13 ligesom revisionsplan til brug for udsendelse af saldomeddelelser ses ved bilag 9. 6

65 Revisor September Hensættelse til tab på debitorer Hensættelse til tab på debitorer er en af de mange poster i regnskabet, som er baseret på skøn, og som sjældent kan præciseres 1%. Ledelsen kan have en formodning om, hvor stor en del af den samlede debitormasse, som ikke bliver indbetalt. Da det er ledelsen (eller ansatte) og ikke revisor, som har kontakten til kunderne, baseres størstedelen af revisors viden på oplysninger indhentet fra ledelsen. Såfremt den regnskabsansvarlige i en virksomhed er resultataflønnede, og ligeledes er den person, som foretager nedskrivningen på debitorer, vil dette være et incitament til at foretage regnskabsmanipulation og derved besvigelser. Denne risiko skal revisor være opmærksom på i udførelsen af revisionen. Revisionen af hensættelse til debitorer vil efter min mening omfatte nedenstående. Først og fremmest vil der senest ved statusrevision ske en opfølgning på de ved kasseeftersynet udsendte saldomeddelelser. Såfremt der er uoverensstemmelser mellem virksomheden og debitor, skal dette undersøges nærmere af revisor. Har virksomheden en forklaring herpå, eller skyldes det evt., at der er udarbejdet fiktive fakturaer i et forsøg på regnskabsmanipulation og forøgelse af omsætningen?, jf. ovenstående afsnit omkring indtægter. Såfremt der ikke er udsendt saldomeddelelser ved kasseeftersynet, bør der som minimum udsendes saldomeddelelser ved statusrevisionen 53. Som omtalt tidligere vil den daglige ledelse i nogle tilfælde, i forbindelse med udsendelsen af saldomeddelelserne, anmode revisor om ikke at få bekræftet visse saldi. Dette bør selvfølgelig kun godtages, såfremt der er en gyldig grund til denne anmodning. På den baggrund bør revisor derfor undersøge eventuelt eksisterende bevis til understøttelse af ledelsens forklaring, før end afvisningen accepteres. Endvidere bør de debitorer, som var udvalgt til udsendelse af saldomeddelelser, men som ikke blev udsendt grundet berettigede årsag, revideres på en alternativ måde, hvilket kunne være ved gennemgang af efterfølgende betaling, således det sikres, at debitoren er reel og ikke en fiktiv debitor, som anvendes i forbindelse med besvigelser. Det samme gør sig gældende, såfremt det ikke har været muligt at bekræfte et udvalgt beløb, grundet differencer mellem klienten og dennes kunde. 53 I få tilfælde vil det dog ikke være hensigtsmæssigt, at udsende saldomeddelelser. Dette kunne eksempelvis være tilfældet, hvor klientens debitorer består af offentlige virksomheder, idet disse sjældent svarer på saldomeddelelser. I sådanne tilfælde bør revisionen ske på alternativ vis. 61

66 Revisor September 26 Ved gennemgang af efterfølgende betaling, bør der stikprøvevis kontrolleres ned til betalingsbilaget, og ikke blot nøjes med gennemgang af debitorkontoudtog. Det er vigtigt, at det fastslås, at betalingen vedrører de pågældende tilgodehavender. Ydermere kan eksempelvis forsendelsesdokumenter, kopi af salgsfakturaer, salgsordre og anden relevant korrespondance, der understøtter den betalte del af kontosaldiene, undersøges. Revisionsmålet ved udsendelse af saldomeddelelser er tilstedeværelse og nøjagtighed, og det er vigtigt, at udsendelsen af saldomeddelelserne ikke forveksles med revisionen af værdiansættelsen. Derfor skal revisor ved status vurdere, ud fra en vurdering af væsentlighed og iboende risiko, tilstrækkeligheden af hensættelsen til tab på debitorer. Årsagen til, at jeg nævner debitorsaldomeddelelser under dette revisionsområde, er, at klientens kunder i forbindelse med besvarelsen af saldomeddelelsen har mulighed for at tilføje kommentarer. Disse kommentarer, mener jeg, kan være relevante for revisor at kende til, når revisor vurderer hensættelsen til tab på debitorer. Værdiansættelsen revideres i forbindelse med gennemgangen af den aldersfordelte debitorliste, og vurderingen af de poster der er indeholdt i den samlede debitorsaldo. Vurderingen kan ske ved gennemgang og test af den aldersfordelte debitorliste, hvoraf revisor kan vurdere aldersfordelingens rigtighed totalt set og undersøge usædvanlige udviklingstendenser og forhold, som kan indikere en risiko for besvigelser, hvilket vil kræve ydermere opmærksomhed. Revisor skal forhøre sig hos debitorbogholder alternativt den daglige ledelse, omkring den sædvanlige debitoromsætningshastighed. På den baggrund kan revisor vurdere, hvilke debitorer, som normalvis skulle have været betalt på statustidspunktet, og hvilke der af naturlige årsager stadig står som tilgodehavende. Endvidere skal revisor få en specifikation af de konti, som ledelsen har nedskrevet. Denne liste skal gennemgås og testes med henblik på at vurdere tilstrækkeligheden af hensættelsen. I den anledning sammenholdes debitorhensættelsen ligeledes med modtaget advokatbrev, idet advokatbrevet kan indeholde oplysninger, som understøtter hensættelsen. Dernæst gennemgås efterfølgende betalinger enten ved stikprøvevis bilagsrevision eller i henhold til en ajourført debitorliste. Revisionen vil ofte foregå en måned eller to eller mere fra statustidspunktet, hvorfor der højst sandsynligt vil være en del af debitorerne, som har indbetalt det på statustidspunktet skyldige beløb. For de debitorer som på revisionstids- 62

67 Revisor September 26 punktet ikke har betalt deres tilgodehavende, bør revisor gennemgå væsentlige debitorer og debitorer af ældre dato. For nogle debitorer vil det evt. være gældende, at der er udarbejdet en aftale med virksomheden omkring en afdragsordning. I sådanne tilfælde bør revisor indhente en kopi af denne aftale, som anvendes som dokumentation herfor. Ligeledes bør revisor via debitorkontoudtog og bankdokumentation kontrollere, at denne afdragsordning realiseres. Øvrige aftaler mellem virksomheden og deres debitorer bør ligeledes dokumenteres, og vurderes om disse aftaler tilkendegiver, at tilgodehavendet vil blive indfriet. Det er vigtigt, at revisor spørger ind til såvel de debitorer, som virksomheden har hensat til såvel som de debitorer, som er af ældre dato, og som der ikke er hensat til. Revisor kan ved samtaler med debitorbogholder samt den daglige ledelse få informationer, som kan danne grundlag for den af revisoren anbefalede hensættelse. En vurdering af hensættelse til debitorer bør foretages i samarbejde med debitorbogholder og den daglige ledelse, som under tilsyn af den øverste ledelse, er ansvarlig for aflæggelsen af regnskabet 54. Revisor skal bruge sin professionelle skepsis i forbindelsen med vurdering af ledelsens forklaringer til de foretagne hensættelser. Jo større hensættelsen på debitorer er jo mindre bliver resultatet. En resultataflønnede ledelse vil derfor ikke være interesseret i for store hensættelser, men for revisor, som er offentlighedens tillidsrepræsentant, er det vigtigt, at hensættelsen bliver vurderet og afsat så korrekt som muligt indenfor væsentlighedens grænse. Da hensættelse til tab på tilgodehavende bygger på et skøn, er det svært - nærmest umuligt - at konkludere, at uenighed mellem revisor og ledelsen skyldes, at der er tale om regnskabsmanipulation. Revisor bør dog tage dette forhold til sig, og vurdere om dette har indflydelse på den resterende del af revisionen, idet man kunne forstille sig, at der kunne være øvrige forhold, hvor revisor og ledelse ikke er enige. Såfremt ledelsen og revisor ikke kan blive enige om størrelsen på nedskrivningen af debitorer og dette efter revisors mening har betydning for det retvisende billede af regnskabet, skal regnskabet forsynes med en modificeret revisionspåtegning, hvilket betyder, at der skal tages forbehold. Dette forbehold skal fremgå klart og tydeligt af revisionspåtegningen, 54 Jf. RS 2 afsnit

68 Revisor September 26 ligesom det skal fremgå, hvor stort et beløb det drejer sig om. Endvidere skal dette rapporteres i revisionsprotokollatet, således også den øverste del af ledelsen bliver bekendt med forholdet inden de aflægger årsrapporten. Revisionsplan til brug for revision af hensættelse til tab på debitorer ses ved bilag Afslutning og rapportering Som omtalt under afsnit skal revisor uden ubegrundet ophold og hurtigst muligt give virksomhedens ledelse besked, såfremt revisor er blevet bekendt med fejl i forbindelse med revisionen. Endvidere er det revisors pligt ved afslutning af en revision at føre en revisionsprotokol, hvori revisor beretter om arten og omfanget af de udførte revisionsarbejder og konklusionerne herpå 55. Heri vil revisor blandt andet berette, såfremt der er fundet indikationer eller direkte beviser på, at der foregår besvigelser. I sådanne tilfælde har ledelsen både, hvad angår den daglige, som hvad angår den øverste ledelse, fået besked herom inden i form af et revisionsprotokollat. Endvidere skal revisor rapportere i revisionsprotokollatet, såfremt der er fundet områder, hvor risiciene og mulighederne for besvigelser er stor Revisors muligheder for forebyggelse af besvigelser Revisors muligheder for forebyggelse af besvigelser er ikke store, og det er i den forbindelse også vigtigt at være opmærksom på, at revisor ikke kan blive holdt ansvarlig for forebyggelsen af besvigelser. Dette er dog ikke ensbetydende med, at revisor ikke har pligt til at rådgive virksomhederne omkring deres muligheder for bekæmpelse af besvigelser. Desuden mener jeg, at tiltag som eksempelvis kasseeftersyn kan have en forebyggende effekt mod besvigelser. Såfremt kasseeftersynet foretages uanmeldt og uventet, som krævet, vil virksomhedens medlemmer vide at risikoen for at blive opdaget er til stede. Det gør sig ligeledes gældende ved udsendelse af saldomeddelelser til debitorer og kreditorer. I revisors vurdering af, hvorledes besvigelser kan forebygges, kan der tages udgangspunkt i de tre M er, jf. figur 2.1. Dette kan give en forståelse af årsagen til besvigelser, samt en vurdering af hvilket personer i organisationen, der vil være størst risiko for at begå besvigelser. 55 Jf. LSRR 1. 64

69 Revisor September 26 Revisor kan herefter gennem assistance og rådgivning sikre sig, at virksomheden har bedre muligheder for at udvikle en plan og opbygge et kontrolmiljø, der gør dem i stand til at forebygge besvigelser. Ligeledes vil revisor gennem udførelse af systemrevision og gennemgang og test af virksomhedens interne kontroller forebygge, at der sker besvigelser. Sidst men ikke mindst mener jeg, at en god kommunikation med virksomhedens ledelse kunne være forebyggende mod besvigelser. Som skrevet tidligere i dette afsnit, er det dog ikke revisors ansvar at forebygge besvigelser, men derimod kun at gøre virksomheden opmærksom på svagheder og mangler i kontrolmiljøet og de interne kontroller Afrunding I forbindelse med revision skal revisor med baggrund i sin risikovurdering vælge en revisionsstrategi, som matcher den pågældende klient. Ved denne risikovurdering skal revisor se på klienten og dennes virksomheds størrelse og organisationer, herunder om der er de fornødne funktionsadskillelser og interne kontroller til, at revisionen primært kan baseres på system revision. Det er således vigtigt, at revisor har den nødvendige viden omkring virksomheden, virksomhedens organisation, virksomheden forretningsgange og interne kontroller, således den mest optimale revisionsstrategi danner grundlag for revisionen. Revisor skal ikke planlægge revisionen ud fra, at der forekommer besvigelser, men skal dog i planlægningen medtage risikoen herfor. Revisionen skal derfor være påvirket af denne risikovurdering, men fokusering skal ikke udelukkende baseres på besvigelser medmindre der er mistanke til eller er opdaget besvigelser. I ovenstående kapitel har jeg koncentreret revisionen omkring likvide midler, omsætning og hensættelse til tab på debitorer. I forbindelse med besvigelser er der specielt to områder, som revisor skal være bevidst om i forbindelse med revisionen af interne besvigelser. Det drejer sig om misbrug af aktiver og regnskabsmanipulation. Misbrug af aktiver er især aktuelt jo mere likvide virksomhedens aktiver er. Derfor er likvide midler et af de aktiver, hvor revisor skal være mest opmærksom på risikoen for besvigelser. 65

70 Revisor September 26 Denne risiko kan blandt andet minimeres ved at revisor foretager uanmeldt kasseeftersyn. De vigtige punkter, i forbindelse med foretagelsen af det uanmeldte kasseeftersyn, er, at eftersynet foretages uanmeldt, uventet og ufortrødent. Alle likvider skal afstemmes, både hvad angår kasser, banker og værdipapirbeholdninger. Derforuden bør der efter min mening foretages bilagskontrol omkring eftersynsdatoen samt udsendes saldomeddelelser til debitorer og evt. kreditorer. Endvidere er det naturligvis vigtigt at lave en optimal opfølgning på eftersynet, således at alle punkter er gennemført optimalt. Såfremt der er punkter, som af den ene eller anden årsag ikke kan gennemføres eller der er øvrige væsentlige bemærkninger, skal der udarbejdes en protokol vedrørende kasseeftersynet til virksomhedens bestyrelse. Regnskabsmanipulation er ofte relevant, når der er tale om regnskabsposter, som ikke blot kan afstemmes til ekstern dokumentation, men i stedet er præget af mange transaktioner, skøn og vurderinger. Omsætning er en stor regnskabspost præget af mange transaktioner, som ikke er mulig at afstemme 1%, men som vil revideres gennem test af kontroller samt bilagskontrol og regnskabsmæssig analyse. Omkring omsætning er mulighederne for at besvige, at der foretages fakturering uden grundlag eller at periodiseringen af omsætningen ikke foretages korrekt. Revisors muligheder for revidering heraf er især at foretage regnskabsanalytisk revision, hvor større forskelle fra tidligere år, budgetter mv. vil blive undersøgt nærmere. Desuden vil systemrevision være at foretrække på denne regnskabspost, såfremt det er muligt. Også udsendelse af debitorsaldomeddelelser vil være at anbefale i forbindelse med revisionen af denne regnskabspost, idet især periodiseringen og tilstedeværelsen vil blive verificeret herigennem. Hensættelse til tab på debitorer fremkommer på baggrund af vurderinger og skøn, og ofte er det ikke muligt at dokumentere disse skøn. I visse tilfælde vil advokatbreve, konkursopgørelser mv. kunne dokumentere en del af virksomhedens hensættelse, mens der ofte vil være en andel, som ikke kan dokumenteres af eksterne revisionsbeviser. Det er vigtigt, at revisor baserer en del sin vurdering på især samtaler med debitorbogholder, regnskabschef mv. Desuden er det vigtigt, at revisor er opmærksom på, om der er et motiv til at f.eks. regnskabschefen skulle foretage besvigelser. Dette kunne være i form af resultataflønning eller pres fra omgivelserne på resultatet. Såfremt der foreligger motiver til at der foretages 66

71 Revisor September 26 besvigelser, skal revisor være ekstra opmærksom herpå. Udsendelsen af saldomeddelelser til debitorer dækker ikke selve revisionen af hensættelsen til tab på debitorer, da værdiansættelsen ikke er en af de revisionsmål, som der fokuseres på i den forbindelse. Derimod vil gennemgang af betalinger i nyt år, være god dokumentation for dette revisionsområde. Revisor vil i forbindelse med revisionen af debitorer modtage en aldersfordelt saldoliste, hvoraf det er muligt at se, hvor gamle de enkelte debitorer er på statustidspunktet. Sammenholdt med virksomhedens debitordage vil revisor have en formodning om, hvornår de enkelte debitorer bør være tilbagebetalt. Revisor bør kontrollere nogle af de væsentligste betalinger for på den baggrund at vurdere, om debitorer er værdiansat korrekt ved statustidspunktet. Øvrig modtaget dokumentation evt. i form af korrespondance med klientens kunder bør anvendes i forbindelse med revisors vurdering af tilstrækkeligheden af virksomhedens hensættelse til tab på debitorer. Revisors muligheder for at opdage besvigelser sker ofte ved tilfældigheder og ikke ved direkte kontrol heraf. Dette medfører dog ikke, at de revisionshandlinger som er omtalt i ovenstående afsnit ikke er vigtige. Desuden vil størstedelen af disse revisionshandlinger være påkrævet i forhold til at udføre revision i henhold til god revisionsskik. Derimod er forebyggelse af besvigelser ikke krævet fra revisors side. Alligevel vil jeg mene, at en god rådgivning omkring interne kontroller og kontrolmiljø er et krav fra revisors side. Ligeledes vil jeg mene, at kasseeftersynet og udsendelse af saldomeddelelser kan have en forebyggende effekt, idet virksomhedens deltagere er bekendt med denne revisionshandling, men ikke er bevidst omkring tidspunktet for dennes udførelse. 67

72 Ledelsen September Ledelsen Ledelsens muligheder for at minimere risikoen for besvigelser ligger i at opbygge et optimalt kontrolmiljø, således forsøg på besvigelser opdages med det samme eller forhåbentlig helt forebygges. Det vil dog aldrig være muligt at bekæmpe alle former for besvigelser, men jo mere fokus der er på området, jo mere minimeres risikoen for besvigelser. COSO-frameworket er den internationale accepterede norm for intern kontrol, som er udarbejdet af indflydelsesrige revisororganisationer og erhvervsorganisationer mv. i USA. COSO er en 3-dimensionel beskrivelse af de elementer, der indgår i intern kontrol og er velegnet som skabelon for opbyggelse samt bedømmelse af kvaliteten af virksomhedens interne kontrolsystem. COSO s framework består af fem komponenter: Kontrolmiljø (Control Environment) Risiko vurdering (Risk Assessment) Kontrol aktiviteter (Control Activities) Information og kommunikation (Information and Communications) Overvågning (Monitoring) Figur 5.1: Coso Framework, noter fra Cand.merc.aud studiet på Handelshøjskolen i Århus. 68

73 Ledelsen September 26 COSO-framework anvendes blandt andet af revisorer til vurdering af interne kontroller i virksomheder, men kan med succes også anvendes af virksomhederne til at strukturere og optimere det interne kontrolmiljø. Skønt COSO-frameworkets opdelinger nødvendigvis ikke afspejler, hvordan en virksomhed bedømmer og implementerer interne kontroller, anerkendes denne dog for sin passende forståelse for intern kontrol. For virksomhederne, som anvender COSO-frameworket, kan det optimere fokuset på henholdsvis interne kontroller og Corporate Governance. Formålet med dette kapitel vil være at udarbejde en vejledning for, hvordan virksomheder kan opbygge et effektivt program til forebyggelse og bekæmpelse af besvigelser. Vejledning vil ikke være 1% dækkende, idet virksomheder er forskellige, hvilket betyder, at deres kontrolmiljø derfor også vil være forskelligt, men forhåbentlig vil essensen være dækkende for de fleste Kontrolmiljø Første del af COSO-frameworket omhandler kontrolmiljøet, som omhandler mange af virksomhedens ikke-målbare værdier, såsom integritet, etiske værdier samt organisationens kompetencer. Derudover dækker kontrol miljøet også den øverste såvel som den daglige ledelses formåen til at uddelegere autoritet og ansvar i organisationen samt hvordan ledelsen organiserer og udvikler sine ansatte. Virksomhedens kompetence i form af medarbejdere, ledelse (daglige ledelse) samt bestyrelsen (øverste ledelse) er med til at forme og optimere kontrolmiljøet. Kontrolmiljøet har stor indflydelse på hele virksomheden, herunder hvordan virksomhedens aktiviteter er struktureret og hvordan risici er vurderet. Kontrolmiljøet har endvidere indflydelse på de øvrige fire komponenter i COSO s framework. Kontrolmiljøet er i konstant udvikling og bevægelse, og det er derfor også svært at udarbejde en direkte skabelon over dette, idet det er påvirket af mange begivenheder og udefrakommende elementer. Virksomhedens kultur og historie påvirker kontrolmiljøet, ligesom de mennesker, som er en del af virksomhedens organisation gør. Størstedelen af de begåe- 69

74 Ledelsen September 26 de besvigelser begås af personer på et ledende niveau 56, hvorfor et stærkt antibesvigelsesprogram 57 og effektive kontroller er essentielt for at opnå et sundt kontrolmiljø. For at effektivisere antibesvigelses programmet kan ledelsen fokusere på et eller flere af nedenstående tiltag: Ansættelser og forfremmelser Code of conducts (adfærdskodeks) Whistleblower programs (etisk hotline/ sladder program) Bestyrelsens tilsynsførelse Reaktion på mangler og svagheder vedrørende besvigelser Ansættelser og forfremmelser I forbindelse med ansættelse af personale til virksomheden er det vigtigt, at virksomheden sætter en standard for, hvilke oplysninger der skal indhentes samt hvor stor betydning disse oplysninger skal tillægges. Især for personel, som skal placeres i ansvarsfulde positioner, er det vigtigt, at oplysninger herom bliver evalueret, således at det mest kvalificerede personale bliver ansat. Dette gælder især alle lederstillinger samt alle økonomistillinger, da det netop i disse stillinger, er vigtigt at tage stilling til risikoen for besvigelser. Det samme er ligeledes vigtigt i forbindelse med forfremmelser internt i virksomheden. De oplysninger, som indhentes i forbindelse med ansættelse og evt. i forbindelse med forfremmelse, skal skriftlig dokumenteres og gemmes i et personarkiv for de enkelte medarbejdere. Personarkivet skal opdateres, når det er aktuelt, hvilket eksempelvis er når en medarbejder har bestået eksamener i ansættelsesforløbet mv Uddannelsesmæssig baggrund Den uddannelsesmæssige baggrund skal undersøges grundigt, hvilket eksempelvis kan gøres ved at modtage karakterbevis fra de aktuelle uddannelsesinstitutioner samt evt. kontakte selve institutionen for bekræftelse heraf. Der er de seneste år set flere eksempler på, at folk har manipuleret med deres eksamensbevis, hvorfor det kan være at foretrække, at selve institutionen bliver kontaktet for en tredjemands bekræftelse. Såfremt en potentiel 56 Jf. Afsnit 2.3. Hvem begår besvigelser. 57 På amerikansk Anti-fraud program, jf. Key Elements of Antifraud Programs and Controls, PricewaterhouseCoopers. 7

75 Ledelsen September 26 medarbejder ikke er ærlig omkring sit eksamensbevis, kan man forvente, at moralen på andre områder ligeledes kan være lav Kriminel fortid I forbindelse med ansættelsessamtaler bør virksomheder altid indhente straffeattester for potentielle medarbejdere. Heraf vil virksomheden kunne se, om personen tidligere er blevet dømt. Hvis eksempelvis personen tidligere har begået besvigelser på en tidligere arbejdsplads, og er blevet dømt herfor, vil det fremgå af personens straffeattest. Der er selvfølgelig altid en risiko for, at personen ikke er blevet dømt, men blot blevet afskediget. Ifølge en artikel af Claus Pedersen 58 er der flere virksomheder, som vælger at holde lav profil omkring opdagelsen af besvigelser, idet de indirekte omkostninger ved offentliggørelsen heraf kan være store og i nogle tilfælde større end selve besvigelsesomkostningerne. Påvirkningen af de øvrige medarbejdere samt beskadigelse af brand og image, kan hurtigt koste virksomhederne flere penge, end besvigelsen isoleret set har Beskæftigelse historie Samtidig med, at virksomheden modtager ansøgning fra en potentiel medarbejder, vil virksomheden højst sandsynlig ligeledes modtage et CV fra ansøgeren. Dette CV skal anvendes effektivt. Virksomhederne kan kontakte tidligere arbejdsgivere og få informationer omkring ansøgeren på denne måde. Såfremt den tidligere arbejdsgivere har nogle bemærkninger omkring ansøgeren, vil dette højst sandsynlig komme frem, såfremt virksomheden kontakter den tidligere arbejdsgiver. Det vil ikke kun være negativ omtale, som vil kunne blive indhentet på denne måde, men også positivt omtale, som kan være til gavn i den efterfølgende proces. Som omtalt i foregående afsnit, er der mange virksomheder, som vælger, at holde lav profil omkring besvigelsesepisoder internt i virksomheden, og derfor ikke altid anmelder sådanne situationer. Netop derfor er det vigtigt, at virksomheden kontakter tidligere arbejdsgivere, hvor sådanne oplysninger vil kunne blive indhentet Code of Conduct Code of Conduct er en skriftlig standard, som er udarbejdet for at afdække, hvad der er forkert adfærd, og hvilken adfærd man ønsker at fremme. Adfærdskodeksen skal henvende sig til alle personer, som på den ene eller anden måde har indflydelse på bogføring og fi- 58 Pedersen, Claus Besvigelser - den usynlige risiko, side

76 Ledelsen September 26 nansiel rapportering. Det gælder så vidt lønbogholderen, som det gælder bestyrelsesformanden, som begge har indflydelse og kan have muligheden for at begå besvigelser. Dette er dog ikke ensbetydende med, at der ikke skal være en Code of Conduct som dækker de resterende medarbejder i en virksomhed, men jeg mener, at det er vigtigt, at adfærdskodekset ikke bliver for overordnet, og det kan derfor være nødvendigt, at der udarbejdes mere end en Code of Conduct eller der udarbejdes specifikke afsnit for de forskellige arbejdsområder. Code of Conduct skal indeholde den ærlige og etiske adfærd, som virksomheden, ønsker at dens medarbejdere skal udvise. Endvidere skal Code of Conduct indeholder en beskrivelse af, hvordan gældende lovgivning, interne regler mv. overholdes og modsat en beskrivelse af, hvilken adfærd der vil blive betragtet som besvigende. Endvidere skal den indeholde de sanktioner, som en overtrædelse af adfærdsstandarden vil medføre. Formålet med kodeksen er at forbygge besvigelser og andre overtrædelser af virksomhedens regler. En Code of Conduct, der er udarbejdet og fungerer effektivt, er et grundlæggende fundament, hvis man ønsker at opnå et effektivt kontrolmiljø og antibesvigelsesprogram. Det er ikke nok, at der udarbejdes en adfærdskodeks. Det er om ikke mere vigtigt, at budskabet kommunikeres korrekt ud i organisationen. Det er ledelsens ansvar, at kodeksen kommunikeres korrekt i organisationen, samt at alle er bekendt med dens indhold. Ligeledes er det ledelsens ansvar at kontrollere kodeksen, og sørge for at den er opdateret og fungerer effektivt i forhold til virksomheden. Ved ansættelse bør virksomheden udlevere adfærdskodeksen til den nyansatte, samt gennemgå den aktuelle persons pligter og ansvar i forhold hertil. Code of Conduct skal herefter løbende kommunikeres ud til virksomhedens organisation. Det er min holdning, at selv den mest fyldestgørende og effektive Code of Conduct mister sin betydning, hvis den ikke kommunikeres korrekt og effektivt ud i organisationen. Adfærdskodeksen kan sikres optimal kommunikation i organisationen ved at indføre årlige bekræftelser fra de omfattende personer. Dette vil kræve, at personerne er opdateret samt kender til deres ansvar omkring kodeksen. Såfremt der ikke sker bekræftelse fra samtlige i 72

77 Ledelsen September 26 organisationen, er det selvfølgelig vigtigt, at der følges op herpå, således at det sikres, at alle er indforstået med adfærdskodeksen samt dens indhold. Ligeså vigtigt det er at have en effektiv Code of Conduct, ligeså stor en svaghed er det, hvis kodeksen ikke er effektiv eller slet ikke eksisterer Whistleblower program Whistleblower program er et endnu et tiltag, som virksomheden bør indføre i forbindelse med forbedringen af henholdsvis forebyggelsen samt opdagelsen af besvigelser. Whistleblower program handler om at iværksætte en etisk adfærd blandt organisationens ansatte. Whistleblower program er en mulighed for, at virksomhedens ansatte kan kommunikere deres bekymringer omkring potentielle overtrædelser af adfærdskodeksen, virksomhedens regler, uetisk adfærd eller faktiske eller mistænkte besvigelser 59. Det er vigtigt, at der er mulighed for at kommunikere anonymt. Dette kan på nogle punkter være en ulempe, idet dette i nogle tilfælde ville kunne medføre falske anklager, men samtidig er det en fordel, idet det kunne afholde nogle af de ansatte fra at kommunikere herom, såfremt de skulle stå frem med navn. Øverste ansvarlig for Whistleblower programmet er ledelsen, men det er vigtigt, at det ikke er en person, som har med ansættelser og fyringer at gøre, som sidder med det daglige ansvar, idet det kan afholde nogle fra at kommunikere hertil. Det kan være en fordel at have en tredje part, som den daglige leder af Whistleblower programmet. Dette kunne eksempelvis være en person iblandt den interne revision. Personer omfattet af den interne revision har ikke indflydelse på personalet, har ikke mulighed for at begå regnskabsmanipulation og til dels misbrug af aktiver, og er ikke en del af den øverste ledelse, hvilket efter min mening gør denne funktion optimal til rollen som ansvarlig for Whistleblower programmet. Alternativt skal den øverste ledelse finde en i organisationen, som besidder de samme egenskaber eller kommer i nærheden heraf. Ledelsen har dog stadig det øverste ansvar, hvilket betyder, at det er ledelsen, som har ansvaret for at alle i organisationen er bekendt med Whitsleblower programmet, anvender det 59 Key Elements of Antifraud Programs and Controls, side 6. 73

78 Ledelsen September 26 når det er aktuelt, at der bliver fulgt op på indberettede forhold, og at de ansatte har tillid til programmet. Whistleblower programmet er efter min mening både et forebyggende og et opdagende element i virksomheden. Opdagende fordi meningen med programmet, er at de ansatte indberetter mistænkelig forhold, og forbyggende fordi de ansatte er bekendte med programmet, og derfor ved at en mistænkelig adfærd kan medføre indberetning. Jeg mener især, at dette forhold er vigtigt i forbindelse med ledelsesbesvigelser, idet ansatte i virksomheder uden et Whistleblower program ikke har nogle instanser, hvor de kan indberette ledelsens mistænkelige adfærd til. Indberetningen skal ske til ledelsen, som er dem som er involverede i den mistænkelige adfærd. Derimod vil ansatte i virksomheder med et Whistleblower program kunne gå uden om ledelsen og direkte til eksempelvis den interne eller eksterne revision med sin mistro Bestyrelsens tilsynsførelse Den daglige ledelse har ofte ansvaret for, at der ikke foregår besvigelser i virksomheden, men dette har ikke sin berettigelse, såfremt der er tale om ledelsesbesvigelser, hvor det er den daglige ledelse, som foretager regnskabsmanipulation eller lignende. I sådanne tilfælde er det bestyrelsens ansvar at føre tilsyn med ledelsen, og vurdere risikoen for, at der bliver begået besvigelser af ledelsen. Bestyrelsen har et afgørende ansvar for, at der løbende bliver ført tilsyn med de interne kontroller. Herforuden bør der løbende føres tilsyn med den daglige ledelses tiltag mod besvigelser. Bestyrelsens arbejde og tilsynsførelsen bør som minimum indeholde følgende punkter 6 : Ledelsens antibesvigelsesprogram og kontroller, herunder ledelsens overvejelser og definition af besvigelsesrisikoen samt hvilke foranstaltninger der er implementeret til forebyggelse af besvigelser. Vurdering af risikoen for, at ledelsen tilsidesætter kontroller samt udøver øvrig uhensigtsmæssig indflydelse på regnskabsaflæggelsen. 6 Key Elements of Antifraud Programs and Controls, PricewaterhouseCoopers, side 9 74

79 Ledelsen September 26 Kontrol af de ansattes muligheder for at indberette besvigelser og øvrige overtrædelser eksempelvis i form af et Whistleblower program. Attestation og gennemgang af periodiske rapporter omhandlende faktiske og mistænkte besvigelser og øvrige forsømmelser i virksomheden. En intern plan, der indeholder besvigelsesrisikoen samt en instruks til at sikre, at den interne revision kan udtrykke bekymringer omkring ledelsens forhold til interne kontroller samt indberetning af mistænkte eller fundne besvigelser til bestyrelsen. Involvering af øvrige eksperter, såsom advokater, eksterne revisorer samt øvrige professionelle konsulenter såfremt dette er nødvendigt for at opklare besvigelser eller foretage nærmere undersøgelser af mistanke herom. Gennemgang af regnskabsprincipper, anvendt regnskabspraksis samt estimeringer anvendt af ledelsen til bestemmelse og hensættelse af betydelige beløb. Gennemgang af væsentlige ikke-rutinemæssige transaktioner og posteringer foretaget af ledelsen. Rapportering til bestyrelsen fra henholdsvis den interne og eksterne revision. Den daglige ledelse har altså ansvaret for, at der er et optimalt kontrolmiljø, samt at der er opbygget betryggende foranstaltninger til opdagelse og forebyggelse af besvigelser. Dog har bestyrelsen det øverste ansvar for, at dette bliver iværksat samt at følge op på funktionaliteten heraf. Desuden er det bestyrelsens ansvar at sikre sig, at der ikke foretages ledelsesbesvigelser samt at iværksætte foranstaltninger til minimering heraf. Området omkring besvigelser bør løbende være et punkt på dagsordenen under bestyrelsesmøderne, idet det altid vil være en risiko for at den daglige ledelse omgås de interne kontroller, misbruger sin stilling eller på anden måde forsømmer sit ansvar og sine pligter Reaktion på mangler og svagheder vedrørende besvigelser Et afgørende forhold for at opnå et optimalt kontrolmiljø, er hvordan bestyrelsen og den resterende del af ledelsen reagerer på eventuelle væsentlige og afgørende mangler og svagheder, som bliver opdaget i forbindelse med antibesvigelsesprogrammet. Såfremt der ikke reageres på sådanne forhold, må svagheden synes at være langt større end først antaget. 75

80 Ledelsen September 26 Det er vigtigt, at virksomheden har en plan, som kan iværksættes, når påstående besvigelse eller mistænksomme forhold opstår, og ikke vente indtil den faktiske besvigelse opdages og kan bevises. Ledelsen, såvel den daglige, som den øverste må tage behørige tiltag vedrørende disse væsentlige og afgørende mangler og svagheder i virksomhedens interne kontroller, herunder selve kontrolmiljøet. Alle former for besvigelser, hvad enten der blot er mistanke herom, påstand om besvigelser eller der er tale om faktiske besvigelser, og som er af væsentlig betydning eller hvis der er tale om ledelsesbesvigelser, skal ligeledes medføre behørige tiltag fra ledelse og/eller bestyrelsen. Der skal foretages en dybdegående undersøgelse af forholdene samt en vurdering heraf. Denne undersøgelse/vurdering skal indeholde en forbedring af relevante interne kontroller på de forretningsområder, hvor der er fundet væsentlige og afgørende mangler og svagheder, og såfremt det er hensigtsmæssigt ligeledes på øvrige områder. Virksomheden bør gemme alt dokumentation vedrørende denne behandling, herunder mødereferater og beslutninger, hvorefter den interne revision, eller den eksterne revision, såfremt der ikke eksisterer en intern revision i virksomheden, bør udføre en gennemgang og efterprøvning af denne proces. Denne efterprøvning og vurdering vil medføre, at virksomheden kan få feedback på deres proces, og eventuel lære af tidligere begået fejl Risikovurdering Virksomheder bør løbende foretage en risikovurdering, som foruden den traditionelle risikovurdering ligeledes bør indeholde en vurdering af besvigelsesrisikoen. Besvigelsesrisikoen vurderes blandt andet ved at betragte mulighederne for at begå besvigelser samt hvorledes besvigelser kan blive udført. På den måde opnår virksomheden et større kendskab til risikoen for besvigelser, og har dermed også nemmere ved at bekæmpe dette forhold. Når virksomheden fortager en vurdering af risikoen for besvigelser, er det ikke nok at se på, hvordan og hvorledes de ansatte vil og kan besvige, men ligeledes er det vigtigt at vurdere virksomhedens sårbarhed overfor tilsidesættelser og omgåelser af eksisterende interne kontroller foretaget af ledelsen. Risikoen for besvigelser begået af ledelsen eller bestyrelsen, kan være fatale for virksomheden, idet dette er en identifikation af, at de interne kontroller udgør en væsentlig mangel og er en stærk indikator på afgørende svagheder i kon- 76

81 Ledelsen September 26 trolmiljøet. Vurderingen bør endvidere indeholde en vurdering af, hvad bevæggrunden samt motivet bag ledelsesbesvigelserne kan være. Er der f.eks. bonusaflønninger blandt virksomhedens ledere skal dette indgå i vurdering af besvigelsesrisikoen, da dette alt andet lige vil øge risikoen herfor. I vurderingen skal indgå en vurdering af konsekvensen af eventuelle besvigelser, i form af effekten på årsrapporten, øvrig finansiel rapportering, misbrug af aktiver mv. For at effektivisere risikovurderingen, bør der løbende udføres en omfattende og formel vurdering af blandt andet besvigelsesrisikoen, og der bør især foretages en risikovurdering i forbindelse med omstrukturering, organisationsændringer og øvrige væsentlige forhold, som kan have indflydelse på vurderingen. For at opnå en effektiv vurdering af besvigelsesrisikoen er det en god idé, at der foretages en systematisk vurdering af risikoen, hvori der indgår en overvejelse af potentielle besvigelsesmuligheder. En mulighed vil være at lade den eksterne revision teste virksomhedens risikovurdering, ligesom den interne revision bør omfattes og deltage i vurderingen, såfremt virksomheden har en afdeling herfor. Selvom en effektiv risikovurdering sker løbende, er det stadigvæk vigtigt, at der foreligger dokumentation for den periodiske og systematiske vurdering af besvigelsesrisikoen, da det er vigtigt at opnå en effektiv vurdering af besvigelsesrisikoen og dermed kunne undgå eller opdage besvigelser Kontrol aktiviteter Efter virksomheden har udført en vurdering af kontrolrisikoen, skal de kontrolaktiviteter, som vil være medhjælpende til at mindske denne kontrolrisiko identificeres. Kontrolaktiviteter er de tiltag som igangsættes af såvel den daglige som den øverste ledelse til at forebygge, identificere, opdage og formindske risikoen for at den finansielle rapportering, herunder årsrapporten har været udsat for besvigelser eller at virksomhedens aktiviteter udsættes for misbrug. Interne kontroller kan defineres således: 77

82 Ledelsen September 26 Intern kontrol er den proces, der er udformet og påvirket af den øverste ledelse, den daglige ledelse og andre for at give høj sikkerhed for, at virksomhedens mål med hensyn til pålideligheden af regnskabsaflæggelsen, effektiviteten i driften og opfyldelse af lovgivningen bliver opnået. 61 I forbindelse med antibesvigelsesprogrammet bør der forefindes kontrolaktiviteter indenfor hele virksomheden på alle niveauer og i alle funktioner i organisationen. Kontrolaktiviteter kan ses i mange forskellige afskygninger, som f.eks. attestation, godkendelse, bekræftelser, afstemninger, funktionsadskillelse, gennemgang af driften samt sikkerhed af aktiver. I dag foregår mange af virksomhedens transaktioner og aktiviteter via IT, hvorfor det er vigtigt, at der ligeledes opsættes kontrolaktiviteter herfor, hvad enten der er tale om manuelle eller automatiske kontroller. Ledelsen bør løbende vurdere, hvorledes de interne kontroller er blevet implementeret hensigtsmæssigt på alle de områder, hvor ledelsen i forbindelse med vurderingen af besvigelsesrisikoen, har identificeret en højere risiko for besvigelser, hvilket eksempelvis kan være i forbindelse med indtægtsførsel, likvider samt ikke standardiseret transaktioner. Ligeledes skal ledelsen løbende vurdere, hvorvidt kontroller omkring selve virksomhedens finansielle rapporteringsproces fungerer samt hvorvidt risikoen for ledelsens tilsidesættelse af interne kontroller er blevet minimeret. Ledelsen skal overveje, hvorvidt de interne kontroller er implementeret fyldestgørende og dækkende for virksomhedens forretningsaktiviteter. Kontrollerne skal være behørigt designet med det formål at opdage og forebygge den besvigelsesrisiko, som er afsløret i forbindelse med vurderingen heraf. Kontrolaktiviteter handler om interne kontroller, effektive godkendelsesprocedure, funktionsadskillelse mv. Det vil ikke være muligt at give et fuldstændig billede af, hvilke foranstaltninger, som en virksomhed bør igangsætte for at sikre sig mod besvigelser, men nedenstående vil jeg gennemgå nogle af de mest grundlæggende kontrolaktiviteter til forebyggelse og opdagelse af besvigelser. 61 IT i revisionsprocessen, notater fra KSR s praktiske del vedrørende IT-revision. 78

83 Ledelsen September Funktionsadskillelse Funktionsadskillelse er en af de mest grundlæggende kontrolaktiviteter, men kan ofte være svært at gennemføre. I mange mindre virksomheder er det ikke muligt at gennemføre en effektiv funktionsadskillelse, fordi der ikke er nok ansatte til, at dette kan lade sig gøre. Det er dog min opfattelse, at mange mindre virksomheder kunne opbygge en funktionsadskillelse, som måske ikke er hel optimal, men alligevel medfører, at der ikke er personer, som alene råder over områder. Funktionsadskillelse sikrer, at fejl og mangler opdages og/eller forebygges. Funktionsadskillelse har to formål: 1. Det bliver mere besværligt at udføre besvigelser, fordi det kræver at to eller flere i organisationen skal konspirere. 2. Der er større sandsynlighed for at utilsigtede fejl opdages. For at sikre effektiv funktionsadskillelse, bør ingen i organisationen have kontrol over mere end en funktion indenfor samme område. Det vil eksempelvis sige, at den samme person som varetager faktureringen ikke skal stå for bogføring af indbetalinger. Derimod vil der ikke være noget problem ved, at den samme person som varetager faktureringen også varetager lønbogholderiet. Øvrige områder, hvor der bør være fuld funktionsadskillelse kunne eksempelvis være: Modtagelse/bogføring af betalinger - varetagelse/godkendelse af hensættelse til tab på debitorer. Godkendelse af timesedler - varetage lønudbetalinger og bogholderiet heraf. Varetagelse af kreditorbogholderiet - udbetalinger. Varetagelse af ind- og udbetalinger via bank - foretage løbende bankafstemning. Der er fire kategorier af ansvar, som bør gennemgås, når vi har med funktionsadskillelse at gøre: Attestation Forvaring/opsyn Bogholderi Afstemning 79

84 Ledelsen September 26 For at opnå den mest effektive og optimale funktionsadskillelse er der ingen personer i organisationen, som bør varetage flere opgaver indenfor en af ovenstående fire kategorier på samme tid. Endvidere bør der være ekstra meget fokus på funktionsadskillelsen jo mere likvide aktiverne er. På de områder, hvor der ikke kan ske fuld funktionsadskillelse, skal der oprettes kompenserende kontroller i stedet. Disse kontroller udarbejdes for at reducere risikoen for fejl og besvigelser. I virksomheder, hvor det af den ene eller anden grund ikke er muligt at gennemføre funktionsadskillelse, bør der ske større opsyn fra ledelsen side. Eksempelvis kan det være nødvendigt, at det er direktøren som varetager poståbningen samt gennemgår diverse afstemninger Attestation og godkendelse En måde at undgå at ansatte i virksomheden indkøber til privat formål for virksomhedens likvider, er at oprette en procedure for attestation og godkendelse. Denne procedure bør nedskrives og udsendes til samtlige i organisationen. Her skal det klart defineres, hvem der har autoritet til hvilke godkendelser, samt hvornår der skal ske godkendelse. Alt efter virksomhedens størrelse og øvrige kontrolaktiviteter, kunne det eksempelvis være den ansvarlige for hver funktion, som godkendte og attesterede bilag vedrørende den funktion, som han/hun er ansvarlig for. Her kunne der eksempelvis være tale om alle bilag over DKK 5. eller 1., eller hvilke beløb virksomheden anser for det mest korrekte i deres situation, som skulle godkendes. På den måde er der større sikkerhed for, at uvedkommende bilag ikke bliver godkendt og derfor ikke indgår i virksomhedens finansielle rapportering. Endvidere kunne større og mere afgørende investeringer kræves godkendt af bestyrelsen, således at der samtidig er en chance for at reducere risikofyldt investeringer. Alle bilag bør være attesteret, enten af en overordnet eller af den indkøbsansvarlige, således det altid er muligt at gå tilbage til den ansvarlige for købet. Det, at der er navn påført på alle bilag, kan efter min mening have en stor forebyggende besvigelseseffekt. 8

85 Ledelsen September IT-sikkerhed IT-sikkerhed er et voksende problem. Flere og flere informationer genereres og opbevares på computere, og det er mere sandsynligt, at der bliver adgang til disse informationer, og at de derigennem bruges uhensigtsmæssigt. Det primære værktøj for at undgå alles adgang og evt. uhensigtsmæssig anvendelse af informationer gemt på computere, er at oprette passwords. Disse passwords og dertilhørende brugernavne, kan angive adgangen, således at den enkelte bruger kun får adgang til de oplysninger og systemer, som der er nødvendigt for varetagelsen af dennes daglige arbejde. Der kan findes et utal af øvrige foranstaltninger og aktiviteter til at sikre virksomhedens IT og de informationer der indgår heri. Som omtalt i afsnit 1.3 vil jeg dog ikke gennemgå disse aktiviteter nærmere Poståbning For at undgå uretmæssig tilegnelse af indbetalinger, kan alle betalinger fra kunder ske via bank, således indbetalingen registreres på virksomhedens bankkonto. Såfremt dette ikke 1% er muligt, og der stadig til tider modtages kontant betaling eller checks fra kunder, bør det være en person f.eks. receptionisten, som ikke har noget med debitorbogholderiet eller faktureringen at gøre, som varetager poståbningen. Det kan også være at foretrække, at det er virksomhedens direktør eller lignende som varetager poståbningen, således han/hun ser, hvis der modtages checks, rykkere, klager, kreditorkontoudtog, bankkontoudtog, korrespondance med interessenter mv., som kan være nyttige at gennemgå, da disse dokumenter ofte kan henlede opmærksomheden på uoverensstemmelser, som kan være et tegn på besvigelse, jf. responsumsag nr. 961 bedre kendt som Poståbningssagen Bankafstemning og gennemgang af bankkontoudtog Som beskrevet ovenfor kan det være hensigtsmæssigt at lade en udenfor bogholderiet åbne kontoudtog og øvrig korrespondance fra banken. Det er ofte funktionelt at få et ekstra sæt øjne til at gennemgå bankbevægelser. 81

86 Ledelsen September 26 Periodisk bør der endvidere udarbejdes en bankafstemning. Såfremt en anden end den som varetager udbetalingerne fra banken varetager afstemningen, vil risikoen for fejl eller besvigelser ikke være så høj, idet de højst sandsynligt vil blive opdaget i forbindelse med afstemningen. Såfremt det er den samme person, som varetager bogføringen af banken, som varetager udbetalingerne, bør bankafstemningen som minimum godkendes af en højere i organisationen. Endvidere bør denne person ved samme lejlighed gennemgå bankkontoudtoget for afstemningsperioden, således forsøg på at dække over besvigelser lettere opdages Automatisk faktureringssystem En måde at minimere risikoen for besvigelser er at have et automatisk faktureringssystem. Dette betyder, at alle fakturaer udarbejdes i nummerrækkefølge, og automatisk bogføres i systemet. På den måde undgås det, at der faktureres udenom bogholderiet. Ligeledes kan det være at foretrække, at det kun er personer i salgsafdelingen, som varetager fakturering. Såfremt fakturering er spærret for personer i bogholderiet, og dermed også for de personer, som varetager bogføringen af indbetalinger fra kunder, falder risikoen for besvigelser på omsætningsområdet. I den forbindelse kan det ligeledes være at foretrække, at alle større kreditnotaer (f.eks. over DKK 1.), skal godkendes af den ansvarlige i salgsafdelingen. Herved undgås situationer, hvor salgspersonalet foretager besvigelser i ledtog med kunden Udsendelse af periodisk kontoudtog Ved løbende udsendelse af debitor og kreditorkontoudtog opnår man større chance for at opdage besvigelser. Dette vil blive opdaget af debitor/kreditor, såfremt det anført på kontoudtoget ikke stemmer overens med det, som fremgår af debitor/kreditors bogholderi. Debitor og kreditor konti, er en af de poster, som oftest vil blive anvendt til at skjule eksempelvis hævede beløb i banken eller lignende. Det er vigtigt, at det er påskrevet på kontoudtoget, hvem debitor/kreditor skal tage henvendelse til, såfremt der er uoverensstemmelser herimellem. Dette bør naturligvis være en højere end debitor/kreditorbogholderen. Udsendelsen af kontoudtogene kan eksempelvis foretages en gang om måneden. 82

87 Ledelsen September Øvrige interne kontroller Ovenstående interne kontroller og øvrige kontrolaktiviteter er blot et lille udpluk af de aktiviteter, som bør impliceres i enhver virksomhed uanset størrelse og art. Omfanget af aktiviteten kan dog variere. Der er dog mange flere kontrolaktiviteter, som bør anvendes i virksomheder, men dette kan afhænge meget af både størrelsen og arten heraf. Forslag til alternative kontroller kan være, at ledelsen ønsker mere end det ene obligatoriske foretagne uanmeldte kasseeftersyn af revisoren. Ledelsen kan med selskabets revisor aftale, at der udføres yderligere kasseeftersyn. Dette ses oftest, såfremt der allerede er mistanke om besvigelser, men kan også foretages som en ekstra kontrol. I denne kontrol kunne ligeledes ligge en kontrol af besvigelser foretaget af den daglige ledelse, idet det kunne være den øverste ledelse, som bestilte det ekstra uanmeldte kasseeftersyn, og i den forbindelse bad revisor om at udsende saldomeddelelser til debitorer og kreditorer. Det kan også være kontrol af stamdataændringer, således at der ved enhver ændring i stamdata, sendes en pop-up meddelelse til en i den daglige ledelse. Derved sikres det, at der eksempelvis ikke ændres i betalingsdata eller stamdata omkring debitorers maksimum beløb. Det er altid nemmere at foretage kontroller af poster, som kan 1% afstemmes, som f.eks. likvider, løn, mv. Alligevel er det vigtigt, at der også udføres nogle kontrolaktiviteter omkring de poster, som ofte er præget af mange transaktioner, skøn og vurderinger. Da disse poster ofte er varetaget af en i den daglige ledelse, er det vigtigt, at den øverste ledelse, har blikket rettet herimod. Det er op til den øverste ledelse at foretage en vurdering af, hvorvidt de skøn som den daglige ledelse har foretaget stemmer overens med den øverste ledelses forventninger og vurderinger Information og kommunikation For at opnå et succesfuldt kontrolmiljø, og et ligeledes succesfuldt antibesvigelsesprogram, er det vigtigt, at ledelsen sørger for en effektiv information og kommunikation i virksomheden. 83

88 Ledelsen September 26 Som omtalt tidligere er det vigtigt, at alle i organisationen kender til virksomhedens holdning til og politikker imod besvigelser, hvorfor det selvfølgelig er vigtigt, at der udsendes generelle informationer til alle i organisationen, hvilket indebærer alle fra rengøringspersonel og lagermedarbejder til økonomidirektøren og bestyrelsen. Derefter bør der endvidere udsendes mere specifikke informationer til de enkelte grupper, såfremt dette findes nødvendigt. Såfremt de ansatte i organisationen ikke føler, at programmet bliver taget seriøst fra ledelsens side, er det svært at motivere de ansatte til at være seriøse herom. Det er i den forbindelse også vigtigt, at de enkelte i organisationen kender til deres rolle i kampen mod besvigelser. I den forbindelse finder jeg det ligeledes nødvendigt, at der udsendes informationer om, hvem i organisationen man kan henvende sig til, såfremt der er spørgsmål omkring antibesvigelsesprogrammet og de dertilhørende politikker. Således vil de ansatte altid kunne henvende sig til denne kontaktperson, såfremt der er spørgsmål til eksempelvis virksomhedens Code of Conduct eller øvrige foranstaltninger omkring antibesvigelsesprogrammet 62. Det er betydningsfuldt for virksomhedens antibesvigelsesprogram, at der indsamles informationer omkring tidligere identificerede besvigelser i virksomheden. Hvordan kunne dette ske, hvad er der sket siden og hvad kan der gøres for at forhindre lignende hændelser? Samtidig er det vigtigt, at virksomheden indsamler oplysninger omkring de styrker og svagheder, der er i det opbyggede antibesvigelsesprogram. I de fleste tilfælde vil det ikke være muligt at sikre sig 1% imod besvigelser, og netop derfor er det vigtigt, at virksomheden er bekendt med, hvor i antibesvigelsesprogrammet at virksomhedens svagheder ligger, således at opmærksomheden jævnligt er rettet herimod. Informationer omkring periodiske interne kontroller, hvad enten de udføres automatisk eller manuelt skal indsamles og gemmes, således disse informationer er tilgængelige for de relevante personer i organisationen. 62 Alt afhængig af virksomhedens størrelse, er det ligeledes vigtigt, at disse informationer kommunikeres til eksterne interessenter af virksomheden, som f.eks. kunder, leverandører og bankforbindelser. 84

89 Ledelsen September 26 Ligesom der er kontroller i forbindelse med alle andre aktiviteter i virksomhederne, er der ligeledes interne kontroller og aktiviteter, som bør opbygges omkring virksomhedens informationssystemer og informationsteknologi. Som tidligere omtalt bør der være en klar funktionsadskillelse. Dette kan istandsættes ganske simpel ved oprettelse af brugernavne og adgangskoder, som samtidig er indrettet således, at der kun gives adgang til de programmer og informationer, som den enkelte har brug for i det daglige arbejde. På den måde sikres det eksempelvis, at flere medarbejdere har adgang til virksomhedens netbank, men kun nogle få kan indlægge betalinger i programmet og endnu færre kan godkende disse betalinger. Ligeledes kan der indsættes kontroller i systemet, som vil umuliggøre at der ændres i computerens tidskode. Dermed vil det ikke være muligt for eksempelvis økonomidirektøren eller lignende at manipulere med systemet tidskode, og dermed ændre bogføringen omkring statustidspunktet, hvor en korrekt periodisering er væsentlig for virksomhedens resultat. Såfremt økonomidirektøren er resultataflønnet, kan denne person have en interesse i at manipulere med periodiseringen og dermed virksomhedens resultat. Derfor bør der i virksomhedens økonomisystem være indlagt interne kontroller, som sikre at kun enkelte personer, som f.eks. den ansvarlige for IT-afdelingen har mulighed herfor. Denne person bør naturligvis ikke være afhængig af virksomhedens resultat, hvilket ansatte i ITafdelingen sjældent er. Som nævnt i afsnittet omkring problemafgrænsninger, vil jeg ikke komme nærmere ind på IT-kontroller, men blot pointere, at det er vigtigt, at virksomheden i sin kamp imod besvigelser også er opmærksomme på dette ikke uvæsentlige område. Det er ligeledes væsentligt, at såvel de interne kontroller i forbindelse med virksomhedens IT som de øvrige interne kontroller i virksomheden jævnligt efterprøves for at sikre, at disse ikke blot fungere i teorien, men også i praksis. Information og teknologi er et af de elementer, som ikke kan ses isoleret set, men som ligeledes er dækkende for de øvrige fire elementer i COSO s framework. Virksomhedens informations og teknologi område har indflydelse på hele organisationen og dermed også på virksomhedens antibesvigelsesprogram, både hvad angår kontrolmiljøet, kontrolaktiviteterne og de øvrige elementer. 85

90 Ledelsen September Overvågning For at skabe et effektivt antibesvigelsesprogram er det afgørende, at der sker løbende overvågning og kontrol af selve programmet. Det gør sig gældende for alle elementerne i virksomhedens antibesvigelsesprogram. Hvor ofte der skal ske overvågning og kontrol af de forskellige dele af antibesvigelsesprogrammet afhænger af mange faktorer. Hvordan har antibesvigelsesprogrammet påvirket forholdene i virksomheden og de tilhørende besvigelsesrisici, og hvad er erfaringen med implementeringen af de interne kontroller og antibesvigelsesprogrammet? Det er op til såvel den daglige såvel som den øverste ledelse at vurdere, hvor ofte der skal ske overvågning og kontrol af antibesvigelsesprogrammet. Det essentielle er dog at opnå en nødvendig og rimelig overbevisning, om at antibesvigelsesprogrammet minimerer risikoen for besvigelser i virksomheden, men da dette er individuelt fra virksomhed til virksomhed, er det ikke muligt at give en overordnet vurdering i denne opgave af, hvor ofte denne overvågning skal foretages. Som omtalt i foregående afsnit er anvendelse af informationsteknologi ofte effektivt. Informationsteknologi har både fordele og ulemper. Ulempen er naturligvis, at der skal opsættes en del regler og interne kontroller herfor, for at sikre, at dette ikke blot øger risikoen for besvigelser. Derimod er fordelen ved at anvende informationsteknologi, at de interne kontroller omvendt kan effektiviseres på mange områder, ligesom informationsteknologi kan være en fordel ved forebyggelse og opdagelse af besvigelsesaktiviteter. Overvågningen og kontrollerne skal foregå løbende og skal integreres i virksomhedens driftsaktivitet, som en normal del heraf. Samtidig er det vigtigt, at der føres en løbende vurdering af, hvilken overvågning og kontrol, som den daglige ledelse har opsat, for at opnå dette effektive antibesvigelsesprogram. Denne evaluering skal blandt andet indeholde en vurdering af følgende: Fører den daglige ledelse periodisk sammenligning med bogholderiet og informationssystemet i forhold til faktiske aktiver? (f.eks. lagerkontrol) Tager den daglige ledelse ansvar for at opretholde og overvåge antibesvigelsesprogrammet og de dertilhørende politikker? 86

91 Ledelsen September 26 Reagerer og forbedrer den daglige ledelse antibesvigelseskontrollerne, når der sker anbefaling heraf fra såvel de interne som de eksterne revisorer? Sker der omgående og betryggende forbedringer fra ledelsens side, når mangler og væsentlige svagheder i de interne kontroller opdages? Selv om det først og fremmest er ledelsens ansvar, at der sker overvågning og kontrol af antibesvigelsesprogrammet, er det samtidig vigtigt, at der i organisationen er en overordnet ansvarsfølelse, og at alle i organisationen er ambitiøse omkring programmet. Det er derfor vigtigt, at ledelsen motiverer virksomhedens medarbejdere til at tage del i antibesvigelsesprogrammet. Mange mennesker kan af natur ikke lide at blive kontrolleret, da de derved føler sig mistænkeliggjort, og det er derfor særdeles vigtigt, at alle forstår hvad antibesvigelsesprogrammet betyder for de enkelte medarbejdere, og hvorledes hver enkelt person i organisationen kan være behjælpelig til at forbedre programmet. Det er vigtigt, at alle motiveres til at deltage og ikke føler sig mistænkeliggjort, idet dette nemt kan skabe svagheder i programmet Afrunding I de seneste år er interessen for at skabe et stærkt kontrolmiljø forøget, ligesom der er blevet større fokus på risk management. COSO blev iværksat som et projekt for at give virksomhederne en optimal løsning. I ovenstående kapitel har jeg forsøgt at give en vejledning til, hvordan der fra virksomheden og dennes ledelse kan skabes et betryggende kontrolmiljø og dermed rammerne om en organisation, hvor risikoen for besvigelser mindskes. Denne vejledning er bygget på CO- SO og de tilhørende 5 elementer. Om virksomheder skal inddrage alle funktioner i bekæmpelsen af besvigelser afhænger af virksomhedens størrelse og organisation. I en undersøgelse foretaget af Ernst & Young i 22 fremgik det, at effektive interne kontroller er den bedste måde, hvorpå virksomheder kan forebygge såvel som påvise besvigelser. Den anden bedste måde, hvorpå virksomheder kan forebygge besvigelser på, er ved ledelsens egen gennemgang, mens whistle-blowers anses for at være den anden bedste måde at påvise besvigelser, jf. nedenstående figur. 87

92 Ledelsen September 26 Hvad virker bedst? Dimension Forebyggelse Påvisning Interne kontroller 1 1 Ledelses gennemgang 2 4 Intern revision 3 3 Ekstern revision 4 6 Whistle-blowers 5 2 Ved tilfælde 6 5 Figur 5.1: Hvad virker bedst?, Besvigelser - den usynlige risiko, INSPI Ovenstående er udarbejdet på baggrund af undersøgelsen foretaget af Ernst & Young i 22, og der kan derfor være afvigelse i forhold til, hvilke konklusion en lignende undersøgelse ville give, hvis den blev foretaget i 26. Det er dog min formodning, at ovenstående afbildning giver et overordnet indtryk af forholdene for såvel 22, som for 26. Dette understøttes ligeledes af undersøgelsen foretaget af PricewaterhouseCoopers i 25 63, hvoraf det fremgår, hvordan de adspurgte virksomheder havde afdækket besvigelserne. Heraf fremgår det ligeledes, at intern revision og interne tip er blandt de metoder, som fungerer bedst. Ligeledes er Ernst & Young netop udkommet med en ny undersøgelse foretaget i 26 64, hvoraf det fremgår, at interne kontroller stadig er den måde, som virksomhederne vurdere at være bedst til såvel opdagelse, som forebyggelse af besvigelser, jf. nedenstående figur. 63 PWC Global economic crime survey 25 - Danmark, Ernst & Young Fraud risk in emerging markets, 26 88

93 Ledelsen September 26 Hvad virker bedst? Dimension Forebyggelse og påvisning Interne kontroller 1 Intern revision 2 Ledelses gennemgang 3 Intern uddannelse af besvigelsespolitikker 4 Whistle-blowers 5 Løbende rotation af personale 6 (7) Ekstern revision 6 (7) Figur 5.2: Hvad virker bedst?, Efter egen tilvirkning baseret på Fraud risk in emerging markets, Ernst & Young, 26. Den daglige ledelse har et ansvar for at antibesvigelsesprogrammer bliver iværksat, og at det anvendes optimalt. I sidste ende er det dog bestyrelsen, som har det overordnet ansvar herfor. En god risikostyring er som sagt bestyrelsens ansvar, men ofte har bestyrelsen vanskeligt ved at danne et overblik, og derfor også vanskeligt ved at udvikle et passende og optimalt antibesvigelsesprogram. COSO-framworket kan anvendes som et værktøj, således de enkelte virksomheder kan udvikle det program, som er optimalt. Sammenholdt med foregående afsnit omkring revisors ansvar for opdagelse og forebyggelse af besvigelser, vil jeg i nedenstående afsnit give en mere praktisk vinkel af ansvaret mellem revisor kontra ledelsen. 89

94 Revisors ansvar >< Ledelsens ansvar September Revisors ansvar > < Ledelsens ansvar COSO-frameworket blev udarbejdet med baggrund i besvigelser i form af svindel, bedrageri og kriminalitet, men også med baggrund i den kløft, som var opstået mellem revisor og ledelsen, hvad angår ansvaret omkring besvigelser. Som omtalt i problemformuleringen er der delte meninger blandt revisorer og virksomhedsledere, om hvor ansvaret for forebyggelsen og opdagelsen af besvigelser ligger. Lovgivningen fremlægger den teoretiske synsvinkel herpå, men i praksis kan ansvarsfordelingen være svær at præcisere Revisors ansvar Revisors ansvar for besvigelser kan opdeles i revisors indsats i forebyggelse og opdagelse. Forebyggelse mod besvigelser kan revisor påvirke ved at yde rådgivning om etablering af interne kontrolforanstaltninger, mens opdagelsen bygger på revisors tilrettelæggelse og udførelse af revisionen. I nedenstående afsnit vil jeg diskutere de mest gængse forhold, hvor revisors ansvar kommer til udtryk. Er der tale om en forøget risiko for besvigelser, er det revisors ansvar at tilrettelægge revisionen under hensyntagen hertil. Alt andet vil være i modstrid med god revisionsskik og kunne medføre erstatningsansvar Revisionsprotokollat I forbindelse med regnskabsaflæggelse skal revisor forsyne årsrapporten med en revisionspåtegning. I denne fremgår det, hvordan revisionen er udført samt hvorvidt denne har givet anledning til bemærkninger, jf. RS 7 Revisionspåtegninger på regnskaber afsnit 16.. Revisors ansvar er altså afgrænset til at opnå høj grad af sikkerhed, hvilket indebærer en professionel skepsis samt stillingtagen til ledelsens anvendelse (eller tilsidesættelse) af interne kontroller. Som omtalt tidligere er det dog ikke muligt at opnå absolut sikkerhed for, at regnskabet ikke indeholder fejl på grund af eksempelvis skøn, brugen af tests samt iboende begrænsninger. Det er derfor kun revisors ansvar at opnå en høj grad af sikkerhed og ikke absolut sikkerhed. 65 Jf. Langsted, Lars Bo m.fl. Revisoransvar side

95 Revisors ansvar >< Ledelsens ansvar September 26 Ligeledes har revisor et ansvar for at gøre virksomhedens ledelse opmærksom på mangler og svagheder i virksomhedens kontrolmiljø. Til dette anvendes revisionsprotokollatet. Revisionsprotokollatet kan defineres som et kommunikationsredskab for revisoren til at underrette virksomhedens øverste ledelse om den udførte revision og resultatet heraf. Revisionsprotokollatet skal både anvendes i forbindelse med revision i løbet af året samt revision af årsregnskabet. Revisor skriver blandt andet i protokollatet, hvilke revisionsarbejder som der er udført samt hvilke mangler, der er fundet ved bogholderiet samt regnskabet, jf. LSRR 1. I tilfælde af mangler i virksomhedens interne kontrolmiljø mv. er det god revisionsskik at gøre ledelsen opmærksom på dette i revisionsprotokollen. Alle væsentlige resultater af revisionen og alle væsentlige kritiske bemærkninger skal anføres i revisionsprotokollen. Dette vedrører såvel væsentlige forhold, som har betydning for årsrapporten, som forhold der har haft betydning for revisionens udførelse. Dette kunne eksempelvis dreje sig om svagheder i de interne kontroller, hvilket skal rapporteres til den øverste ledelse, hvad enten revisionen har afdækket eventuelle fejlmuligheder ved hjælp af alternative revisionsmetoder eller ej. Rapporteringspligten til bestyrelsen om interne kontrolsvagheder er som hovedregel ufravigelige, uanset om den øverste ledelse er bekendt med disse svagheder eller ej. I nogle tilfælde kan den øverste ledelse være i den situation, at de accepterer denne svaghed i virksomhedens interne kontroller, hvilket kan medføre, at der undlades årlige gentagelser i revisionsprotokollatet. I sådan situation bør forholdet dog altid gentages ved udskiftning i ledelsen og ellers med passende mellemrum. Endvidere bør en sådan aftale indarbejdes i virksomhedens tiltrædelsesprotokollat (eller opdateret tiltrædelsesprotokollat). Ifølge RS 24 skal nedenstående specifikke forhold rapporteres til virksomhedens øverste ledelse, uanset at disse forhold ikke nødvendigvis falder ind under revisors kriterier for væsentlig indhold i revisionsprotokollen. Identificeret en besvigelse uanset om forholdet kan anses for ubetydeligt, jf. afsnit Opnået information, der indikerer, at en besvigelse eksisterer, uanset om forholdet kan anses for ubetydeligt, jf. afsnit

96 Revisors ansvar >< Ledelsens ansvar September 26 Væsentlige svagheder vedrørende udformning eller implementering af intern kontrol med henblik på at forebygge og opdage besvigelser, jf. afsnit 99. Disse forhold skal beskrives i revisionsprotokollen. Hvad enten det drejer sig om manglende funktionsadskillelse, svagheder i interne kontroller eller konstatering af besvigelser, skal revisor kommunikere disse forhold til virksomhedens øverste ledelse. Det er revisors ansvar, at virksomhedens øverste ledelse bliver opmærksom på disse forhold, hvorfor at anvendelsen af revisionsprotokollen er et optimalt kommunikationsmiddel, idet samtlige i den øverste ledelse skal underskrive denne, jf. RS 265 afsnit 12. At det er revisors ansvar, at gøre selskabets ledelse opmærksom på, at der er svagheder i udformningen eller implementeringen af interne kontroller med henblik på at forebygge og opdage besvigelser, understreges blandt andet af højesteretsdom af 22. september 23 66, hvor revisor blev dømt for ikke over for bestyrelsen at have redegjort for de kontrolmæssige svagheder, som begrænsningerne i det administrative personale kunne medføre, og de foranstaltninger, som selskabets ledelse burde/kunne iværksætte for at mindske risikoen for fejl og herunder besvigelser. Højesteret tilføjede ved afsigelsen af domme, at det i tilfælde som den gældende sag, hvor selskabet ikke havde tilstrækkelige ressourcer til at varetage sine selskabsretlige pligter, påhvilede revisor en pligt til at være ekstra opmærksom på svagheder i de interne kontroller samt at henlede ledelsens opmærksom herpå. Revisor blev i sagen dømt til at betale de omkostninger (tab), som selskabet havde haft i forbindelse med, at deres tidligere bogholder i en periode fra 1993 til 1996 besveg selskabet, ved at oprette fiktive lønafregninger og overføre disse beløb til sig selv. I forbindelse med retssagen blev Foreningen af Statsautoriserede Revisorers responsumudvalg forespurgt. Udvalget fastslog, at revisor burde have gennemgået den interne kontrol, hvilket ville have afsløret, at ledelsen ikke havde tilrettelagt en hensigtsmæssig kontrol med lønbogholderiet og udbetalingen af lønningerne. Endvidere fastslog responsumudvalget, at revisor i revisionsprotokollen burde have gjort ledelsen opmærksom på de kontrolmæssige 66 Jf. U H 92

97 Revisors ansvar >< Ledelsens ansvar September 26 svagheder og de foranstaltninger, som ledelsen burde have iværksat for at minimere disse svagheder. Det er vigtigt, at påpege, at der i denne sag blev lagt vægt på revisors manglende kommunikation med selskabets ledelse omkring de manglende interne kontroller, og ikke så meget det, at revisor ikke havde opdaget, at bogholderen havde udført besvigelser i en periode på 4 år Ledelseserklæring I forbindelse med revisionen af et regnskab skal revisor indhente en erklæring hos selskabets ledelse omkring følgende oplysninger: Oplysninger, som ikke umiddelbart er tilgængelige i selskabet Oplysninger, som er vanskelige at revidere Forhold, som revisionen finder bør nærmere forklares, før end der kan afgives erklæring om regnskabet Ledelseserklæringen kan aflægges som et ledelses og revisor godkendt referat fra møder, hvori ovenstående forhold og oplysninger er blevet drøftet eller mere normalt som en liste over de forhold og oplysninger, som revisor ønsker at ledelsen skal erklære sig om. Ledelseserklæring skal dog foreligge skriftlig, idet dette ofte kan være det vigtigste revisionsbevis på områder, hvor det ikke er muligt at indhente f.eks. tredjemands dokumentation. Især områder, hvor der anvendes skøn, kan være sværere at revidere, hvorfor en ledelseserklæring indeholdende forhold omkring selskabets skøn og hensættelser, kan være et vigtigt revisionsbevis. Ledelsen afgiver erklæringen efter bedste overbevisning og i særlige tilfælde vil det endvidere være påkrævet, at ledelseserklæringen ligeledes godkendes af bestyrelsen. Ledelseserklæringen tilpasses de konkrete forhold i det enkelte selskab, og afgives umiddelbart før regnskabet påtegnes af revisor. Det bliver ofte diskuteret, at ledelseserklæring anvendes som en total ansvarsfraskrivelse fra revisors side, men ved en eventuel retssag, vil en ledelseserklæring ikke kunne bruges 93

98 Revisors ansvar >< Ledelsens ansvar September 26 som bevis på, at revisionen er foretaget ud fra god revisionsskik, og vil derfor ikke efter min mening kunne anvendes som primært revisionsbevis, men kun som sekundær bevis Beholdningseftersyn Et andet punkt som falder ind under god revisionsskik og dermed også er en del af revisors ansvar i forbindelse med forebyggelsen og opdagelsen af besvigelser, er at der minimum én gang om året udføres et beholdningseftersyn. Jf. afsnit omkring beholdningseftersyn er formålet med et beholdningseftersyn at kontrollere og sikre, at transaktioner omkring likvider udføres forsvarligt samt at sikre, at de likvide beholdninger er til stede. Ved øvrige beholdninger optælles beholdningen og afstemmes til det bogførte. Beholdningseftersynet skal tage stilling til følgende revisionsmål: Ejendomsret Tilstedeværelse (Værdiansættelse) I sag nr. 47/24-R i Disciplinærnævnet for Statsautoriserede og Registrerede Revisorer blev revisor kendt skyldig i manglende opfyldelse af god revisionsskik, idet der i en periode fra 1997 til og med 21 blev udført svig fra bogholders side imod arbejdsgiveren, som var en kirkekasse, for et beløb på DKK Klagen mod revisor gik på, at denne ikke havde opfyldt sin pligt omkring god revisionsskik, idet revisor ikke havde indhentet original dokumentation i forbindelse med såvel beholdningseftersyn som statusrevisionen. Desuden var der ikke foretaget kasseeftersyn i 21, idet kassereren havde udsat disse gentagne gange, ligesom kasseeftersynet i 2 ikke var foretaget med udgangspunkt i kasseeftersynsdatoen, men i stedet en tidligere dato. Jf. afsnit er der tre forhold, som der er essensen i et beholdningseftersyn. Disse forhold er, at beholdningseftersynet skal foretages: uanmeldt uventet og ufortrødent 94

99 Revisors ansvar >< Ledelsens ansvar September 26 Især punkterne omkring uanmeldt og ufortrødent synes efter min mening ikke at være opfyldt i denne sag, idet revisor i 2 flere gange forsøgte at aftale møde med bogholderen samt at dette møde flere gange blev udskudt. Revisor har et ansvar for at sikre sig, at det modtagne revisionsbevis er originalt materiale, hvilket også er medvirkende til, at det anses som god revisionsskik at indhente engagementsforespørgsel direkte hos banken i forbindelse med regnskabsårets afslutning Ledelsens ansvar Ledelsen har især et ansvar for at forebygge besvigelser. I en lang periode var der en udbredt holdning mellem ledere, at det var revisor som havde ansvaret for at opdage besvigelser, og derved søgte at undgå at tage ansvar for området omkring besvigelser. I dag er denne situation ændret, og flere ledere ønsker at forebygge besvigelser i virksomheden. Jeg mener, at denne holdningsændring især skyldes virksomhederne og herunder ledelsens forøget opmærksomhed på følgevirkningerne af besvigelser. Ifølge undersøgelsen foretaget af PricewaterhouseCoopers i 25 påvirker besvigelserne i 38% af sagerne forhold til forretningsrelationer. Endvidere ses der ved 23% af sagerne, at besvigelserne har indflydelse på de ansattes moral/motivation samt i 46% af sagerne påvirker besvigelserne virksomhedens omdømme. Dette er efter min mening med til, at ledelsen er blevet mere opmærksom på deres ansvar for besvigelserne samt deres muligheder for at forebygge besvigelser 67. Virksomhedens største mulighed for at forebygge besvigelser er som tidligere omtalt at opbygge et optimalt kontrolmiljø. Alle i organisationen er ansvarlige for at minimere risikoen for besvigelser, jf. nedenstående figur, som viser det direkte og indirekte ansvar for den interne kontrol. 67 Jf, Global Economic Crime Survey 25 Danmark. Ovenstående tal vedrørende den danske del af undersøgelsen. 95

100 Revisors ansvar >< Ledelsens ansvar September 26 Den øverste ledelse Den daglige ledelse Medarbejdere Revisor Figur 6.1.: Ansvarsintegrationen mellem organisationens medlemmer, Egen produktion med inspiration fra KPMG, Besvigelse - risici og forebyggelser, side Den daglige ledelse Den daglige ledelse har især ansvaret for at sikre sig, at de daglige transaktioner er beskyttet mod besvigelser. Den daglige ledelse står for at etablere et kontrolmiljø, tilrettelægge de interne kontrolsystemer samt at vedligeholde virksomhedens politikker og procedurer. Den daglige ledelse skal påse, at selskabets bogføring, regnskabsforhold og formueforvaltning sker på en måde efter selskabets forhold tilfredsstillende måde, og at det nødvendige grundlag for revisionen er til stede. I henhold til ÅRL 8 er det ledelsens ansvar, at selskabet aflægger årsrapporten i overensstemmelse med de gældende bestemmelser i lovgivningen og evt. vedtægterne. Det er ledelsens ansvar, at sikre at såvel tilsigtede som utilsigtede fejl og udeladelser forhindres og opdages. Dette sikres, som omtalt i kapitel 5, gennem etablering af hensigtsmæssige forretningsgange, interne kontroller, procedure mv., hvilket bør baseres på besvigelsesrisikoen. 96

101 Revisors ansvar >< Ledelsens ansvar September 26 Det er endvidere ledelsens ansvar løbende at oplyse revisionen om forhold, som kan have betydning for vurdering af selskabet. Ledelsen skal herunder give revisionen adgang til at foretage de undersøgelser, som findes nødvendige for udførelsen af revisionsopgaven, jf. ASL 54b Den øverste ledelse Den øverste ledelse har ansvaret for, at den daglige ledelse varetager ovenstående opgaver optimalt samt at sikre sig, at den daglige ledelse ikke foretager besvigelser. Den øverste ledelse skal sikre sig, at der er etableret interne kontroller samt at disse kontroller løbende bliver vedligeholdt. Det er bestyrelsen, som godkender og påtegner årsrapporten og indstiller den til godkendelse på selskabets generalforsamling. Ligeledes er det bestyrelsens ansvar at underskrive revisionsprotokollaterne for at bekræfte, at disse er læst, og at bestyrelsen er bekendt med indholdet af protokollaterne. Det er bestyrelsens ansvar at påse, at regnskabssystemer og forvaltning af aktiver og forpligtelser kontrolleres på en passende måde i forhold til virksomhedens aktiviteter. Ligeledes er det bestyrelsens ansvar løbende at tage stilling til, at bogføringen og andre registreringer udgør et pålideligt grundlag for udarbejdelsen af årsrapporten, samt at bogføringsloven og øvrig relevant regnskabslovgivning er opfyldt. Dette ansvar opfyldes gennem etablering af et betryggende kontrolmiljø, herunder politikker, procedurer mv., jf. afsnit 5. Den øverste ledelse skal ligesom den daglige ledelse i henhold til ASL 54b løbende oplyse revisionen om forhold, som kan have betydning for bedømmelse af selskabet Afrunding Ansvaret for opdagelsen og forebyggelsen af besvigelser har i mange år været præget af en større forventningskløft mellem ledelse og revisor. De seneste år har vi set indtil flere større sager, hvor ansvaret for besvigelsernes tilstedeværelse er blevet diskuteret flittigt. Dette har medført, at såvel virksomhederne som revisorerne er blevet mere opmærksomme på, hvordan risikoen for besvigelser mindskes. 97

102 Revisors ansvar >< Ledelsens ansvar September 26 Det er dog min mening, at der skal et større samarbejde til mellem revisor og ledelse for at opnå den optimale situation, hvor risikoen for besvigelser er mindre end de omkostninger, som der skal til for at bekæmpe disse. Revisors del af denne opgave bør være at yde større rådgivning i virksomhederne omkring opbyggelsen af kontrolmiljøerne. Mange virksomheder, især i Danmark, er mellemstore organisationer, som ikke har ressourcer til at bruge længere perioder på at opbygge og forbedre evt. eksisterende kontrolmiljøer. Her mener jeg, at revisor må tage ansvar og hjælpe virksomhederne i deres opbygning og implementering og ikke blot bruge revisionsprotokollatet til at gøre virksomhedens ledelse opmærksomme på, at der er et problem. Revisor skal være på forkant med problemet og tilbyde virksomhederne deres ekspertise og rådgivning. Samtidig skal ledelsen være mere kritisk overfor deres eget arbejde. En nylig undersøgelse foretaget af Ernst & Young 68, viser at flere af de danske virksomheders risikostyring baseres på controllerfunktioner selvom disse ofte ikke prioriterer risikostyring og interne kontroller højst. I udlandet går ledelsen hen imod at etablere interne revisionsfunktioner, som arbejder direkte under bestyrelsen og dermed også refererer direkte hertil. Denne tendens har endnu ikke slået til i Danmark, hvor kun 26% af de adspurgte virksomheder i undersøgelsen, har en intern revisionsfunktion og de resterende 74% mener, at de er dækket af en veletableret controllerfunktion. Dette synes efter min mening ikke at være tilstrækkeligt, og ledelsen bør i overvejende grad tage deres ansvar seriøst. Med hensyntagen til de omkostninger, som en økonomisk skandale kan medføre, bør flere af de større virksomheder i Danmark etablere en intern revisionsfunktion. I nedenstående figur har jeg forsøgt at give en samlet oversigt over ansvarsfordelingen mellem revisor, den daglige ledelse og den øverste ledelse. 68 Winterskov, Otto E.P.; Manglende risikostyring og intern kontrol, Revision & Regnskabsvæsen, nr. 7,

103 Revisors ansvar >< Ledelsens ansvar September 26 ANSVARSFORDELING Revisor Oplyse revisor om forhold som kan have betydning for revisionen Forebygge og opdage besvigelser At daglige transaktioner er beskyttet mod besvigelser Etablere et kontrolmiljø Vedligeholde virksomhedens politikker og procedurer Tilrettelæggelse af interne kontrolsystemer Overvågning og sikring af det interne kontrolmiljø Gennemgå og underskrive protokollaterne Sikre at relevant lovgivning opfyldes Valg og anvendelse af hensigtsmæssig regnskabspraksis Udarbejdelse og aflæggelse af årsregnskabet Udførelse af beholdningseftersyn Daglig ledelse X Øverste ledelse X (X) X X X X X X X X X X X X X X Rapportering af fejl og mangler i det interne kontrolmiljø til virksomhedens ledelse Indhentning af ledelseserklæring Rapportering af besvigelser uanset om forholdet anses som ubetydeligt Tilrettelægge og udføre revisionen under hensyntagen til at tage opnå en høj grad af sikkerhed for at regnskabet ikke indeholder fejl og mangler. Rådgivning omkring opbygning af det interne kontrolmiljø Figur 6.2.: Ansvarsfordeling, Egen produktion X X X X (X) Det er vigtigt at være opmærksom på, at ansvarsfordelingen mellem især den øverste og den daglige ledelse kan afhænge af selskabets størrelse og hjemsted. 99

104 Konklusion September Konklusion Hovedformålet med opgaven har under henvisning til problemformuleringen været at påvise, hvordan revisor og ledelse kan/skal henholdsvise opdage og forebygge besvigelser. Hvilken lovgivning er gældende på dette område? I forbindelse med revisionen af besvigelser er revisor underlagt revisionsstandarden RS 24, som omhandler revisors ansvar for at overveje besvigelser ved revision af regnskaber. Revisionsstandarden blev i begyndelsen af 26 ajourført, således det i dag er en fuldstændig oversættelse af ISA 24. Ligeledes er der ikke væsentlige forskelle sammenlignet med den amerikanske lovgivning på området - SAS 99. Der er altså de seneste år sket en international harmonisering på dette revisionsområde, hvilket tydeligvis er sket på baggrund af de store erhvervsskandaler i især USA. RS 24 omhandler de grundlæggende elementer i revisionen af besvigelser, såsom revisor kontra ledelsens ansvar, risikovurderinger, identifikationen, drøftelsen i revisionsteamet, kommunikationen med klienten, vurderingen af revisionsbeviser mv. For at overholde god revisionsskik skal denne standard anvendes og dokumenteres. Hertil skal revisor dog selvfølgelig være opmærksom på, at der kan være handlinger, som vil være uvæsentlige grundet klientens størrelse eller andre forhold. Foruden RS 24 foreligger der desuden loven om statsautoriserede og registrerede revisorer, som har indflydelse på revisionen af besvigelser. Denne lov omhandler blandt andet reglerne omkring revisors uafhængighed, revisors funktionsperiode og rapportering samt bestemmelserne omkring tavshedspligt. Revisors uafhængighed er relevant i forbindelse med besvigelser, idet jeg anser det som væsentlig, at revisor ikke på den ene eller anden måde står i forhold til sin klient, og på den baggrund ikke er objektiv i sin revision. I forbindelse med opdagelse af eller mistanke om besvigelser er det vigtigt, at revisor umiddelbart efter retter henvendelse til ledelsen, den øverste ledelse eller Statsadvokaten for Særlig Økonomisk Kriminalitet (SØK) med sin mistanke eller opdagelse. Det sidste forhold omkring rapporteringspligt til SØK, jf. LSRR 1 er speciel for den danske lovgivning, og revisor kan komme i et moralsk dilemma, såfremt situationen skulle opstå, hvor de har pligt til at rapporterer til SØK, idet revisor samtidig skal overholde reglerne omkring tavsheds- 1

105 Konklusion September 26 pligt. Man må dog forudsætte, at reglerne omkring anmeldelsespligten til SØK vil veje tungere, end reglerne omkring tavshedspligten. Hvordan skal revisionen tilrettelægges således eventuelle besvigelser opdages? En vigtig del af revisionen er, at revisor foretager en omhyggelig og detaljeret planlægning, som kan danne baggrund for den resterende del af revisionen. En del af planlægningen vil være, at revisor gennemgår virksomhedens forretningsgange og interne kontroller. Især virksomhedens funktionsadskillelse er vigtig for revisors videre planlægning. I forbindelse med den efterfølgende revision skal virksomhedens forretningsgange og interne kontroller efterprøves af revisor, således der opnås overbevisning for, at disse også fungerer i praksis. Revisionen af likvide midler i relation til besvigelser handler især om, at revisor skal foretage kasseeftersyn. Det er vigtigt, at dette kasseeftersyn foretages uanmeldt, uventet og ufortrødent, således ingen i organisationen er forberedt herpå, og dermed har mulighed for at slette spor efter besvigelser eller lignende. Eftersynet bør dække alle likvide midler, både hvad angår kassebeholdninger, banker, værdipapirer mv. Desuden er det min holdning, at der i forbindelse med kasseeftersynet ligeledes skal udsendes saldomeddelelser til debitorer og eventuelt kreditorer. Dette kan selvfølgelig virke uhensigtsmæssigt, såfremt virksomheden ikke har væsentlige debitorer eller kun har offentlige debitorer, som ofte ikke besvarer disse meddelelser. I sådanne tilfælde er det min holdning, at revisionen bør bestå af kontrollering af efterfølgende betalinger. Ligeledes er det vigtigt, at revisor modtager originalt dokumentation ved indsamling af revisionsbeviser. Således bør revisor aldrig modtage kopier af bankopgørelser mv., men skal altid modtage de originale, som derefter kan kopieres. Endvidere skal revisor i forbindelse med statusrevisionen indhente engagementsforespørgsler direkte fra klientens bankforbindelser. Et andet og vigtigt element i forbindelse med besvigelser, er revisionen af regnskabsmanipulation. I denne opgave har jeg fokuseret på områderne omsætning og hensættelse til tab på debitorer. Det vigtigste område i forbindelse med revisionen af omsætningen, må være at teste og kontrollere de forretningsgange og interne kontroller, som virksomheden har 11

106 Konklusion September 26 opbygget. Heraf kan revisor vurdere om dette findes tilstrækkeligt, og dermed ikke vil udføre væsentlig substansrevision på området. Ellers vil kontrollering af fakturanumre, udsendelse af debitorsaldomeddelelser samt regnskabsanalytisk revision være de optimale metoder til brug for revision af besvigelser. Ligeledes bør revisor gennemgå posteringerne på omsætningskontiene op til status og lige efter status, da denne periode er præget af periodisering, og derfor vil være en let tilgang til manipulation af virksomhedens resultat. Hensættelser til tab på debitorer er en af de poster i regnskabet, som er præget af meget skøn og vurderinger. Dette gør den også sværere at revidere, idet der ofte ikke er revisionsbeviser, som kan understøtte det samlede beløb. Revisor skal indhente den dokumentation, som er mulig til brug for understøttelse af hensættelsen, hvilket eksempelvis kan være advokatbrev, korrespondance med klientens kunder mv. Desuden bør revisor gennemgå hensættelserne gennem kommunikation med debitorbogholder, ledelse og evt. øverste ledelse. Revisor skal være meget opmærksom på eventuelle motiver til at begå besvigelser i forbindelse med revisionen af denne regnskabspost. Dette hjælper revisor til at vurdere, hvorvidt der skulle være incitiament til at begå besvigelser, og dermed hvor stor betydning revisor skal pålægge dette. Et stærkt revisionsbevis i forbindelse med revisionen af hensættelse til tab på debitorer er gennemgang af virksomhedens normale debitordage sammenholdt med betalinger foretaget i efterfølgende år. Alt efter hvor lang perioden er mellem status og selve revisionen finder sted, vil gennemgang af efterfølgende betalinger have stor betydning. Sker revision allerede efter 2-3 uger, kan dette punkt dog være uden væsentlig resultat. Når revisionen er overstået er det vigtigt, at revisionen er dokumenteret, og at væsentlig korrespondance er gemt. Dette kan være anvendeligt ved næste års revision samt i eventuelle efterfølgende retssager. Hvorledes kan revisor tilrettelægge sin revision, således besvigelser forebygges? Det er ledelsens ansvar at forebygge besvigelser, men derfor bør revisor stadig fokusere på dette område. Revisor kan blandt andet være behjælpelig med forebyggelsen af besvigelser ved at rådgive deres klienter omkring antibesvigelsesprogrammer, interne kontroller mv. og på den måde samarbejde med virksomhederne omkring bekæmpelsen af besvigelser. 12

107 Konklusion September 26 Endvidere mener jeg, at revisor kan forebygge besvigelser ved at være uventet og uanmeldt i forbindelse med det årlige kasseeftersyn. Virksomhedens ansatte vil være bekendt med, at revisionen kommer uventet på besøg i løbet af året, og dermed vil de ligeledes være bekendt med, at risikoen for at blive opdaget er til stede, hvilket kan virke forebyggende. Hvilke redskaber skal ledelsen anvende ved forebyggelsen af besvigelser? COSO frameworket er et redskab udviklet af revisororganisationer og erhvervsorganisationer i USA. COSO er velegnet som skabelon for opbyggelse samt bedømmelse af kvaliteten af virksomhedens interne kontrol system. Formålet med COSO er, at virksomhedens kontrolmiljø opbygges optimalt, således risikoen for besvigelser mindskes. COSO kan fungere som det grundlæggende redskab i virksomhedernes antibesvigelsesprogram. For at opnå et optimalt kontrolmiljø er det vigtigt, at virksomhederne udsender de rigtige signaler samt virksomhedens mål og værdier til de ansatte. Denne proces foregår i hele virksomheden og virksomhedens værdier, holdninger og etik skal allerede vises i forbindelse med ansættelse af personale. Derfor er det vigtigt, at virksomheden har en ansættelsespolitik, hvor der blandt andet indhentes straffeattester, karakterbeviser kontrolleres samt at der korresponderes med tidligere arbejdsgivere. Code of Conduct er et slags adfærdskodeks, som beskriver virksomheden og dennes ansattes måde at agere på. En Code of Conduct, der er udarbejdet og fungerer effektivt, er et grundlæggende fundament, hvis man ønsker at opnå et effektivt kontrolmiljø og antibesvigelsesprogram. Whistleblower program roses af mange for at være et godt opdagelses- og påvisningsværktøj. Oprettelsen af et whistleblower program skal tages seriøst, og det er vigtigt, at den ansvarlige herfor ikke kan tænkes at være den, der besviger. Den optimale løsning vil være at placere whistleblower programmet i en intern revisionsfunktion, idet disse personer, hverken er ledere eller har muligheder for at foretage regnskabsmanipulation eller lignende besvigelser. Whistleblower programmet kan også være forebyggende, idet virksomhedens ansatte ved, at deres kollegaer har mulighed for anonymt at indberette mistænkelig adfærd. 13

108 Konklusion September 26 Et godt kontrolmiljø består ligeledes af en bestyrelse, som tager ansvar, fører tilsyn med den daglige ledelse samt sørger for at fejl og mangler i virksomhedens antibesvigelsesprogram forbedres eller helt elimineres. Bestyrelsen skal fordele og uddelegere ansvar til den daglige ledelse og ledelsen for de enkelte funktioner i virksomheden, men skal stadig føre tilsyn med, at deres opførsel og adfærd er korrekt i forhold til virksomhedens Code of Conduct. Ledelsen af virksomheden skal foretage en løbende risikovurdering, som indeholder en vurdering af besvigelsesrisikoen. Denne vurdering bør give virksomheden en indsigt i, hvorledes besvigelser er mulige i virksomheden, men også en indsigt i hvor sårbar virksomheden er overfor besvigelser, samt hvilke konsekvenser det vil få for virksomheden, såfremt den var udsat for besvigelser af den ene eller anden art. Denne vurdering skal danne baggrund for opbyggelsen af de interne kontrolaktiviteter. De interne kontroller er grundlæggende for at minimere risikoen for besvigelser, idet disse er med til at gøre det sværere at foretage besvigelser. Opbyggelsen af interne kontroller skal selvfølgelig sammenholdes med den nytteværdi, som der er ved opbyggelsen, men der findes flere grundlæggende interne kontroller, som størstedelen af virksomheder vil være nødsaget til at indføre for at minimere besvigelsesrisikoen. Funktionsadskillelse kan være svært at gennemføre i helt små virksomheder, men herforuden bør det være en grundlæggende kontrol i virksomheder. En optimal funktionsadskillelse kan gøre det nærmest umuligt for en ansat at foretage besvigelser i form af misbrug af aktiver uden at være i ledtog med en kollega. Foruden funktionsadskillelse er godkendelse og attestation af bilag en god intern kontrol, idet det mindsker risikoen for, at der gennem virksomheden indkøbes til privat brug. Løbende afstemninger, IT-kontroller i form af password og adgangsbegrænsninger, automatiseret systemer mv. er blot et udpluk af de aktiviteter, som bør være til stede i enhver virksomheder uanset størrelse og art. Størrelsen kan selvfølgelig være afgørende for, hvor kompliceret disse kontroller skal være. For at opnå et godt og optimalt kontrolmiljø samt velfungerende interne kontroller er det desuden vigtigt, at informationerne og kommunikationen herom er optimal. Det er ledelsens ansvar, at alle informationer kommunikeres rundt i virksomheden. Denne kommuni- 14

109 Konklusion September 26 kation skal ligeledes indeholde oplysninger omkring ansvarsområder samt hvem i organisationen, der er ansvarlige for eksempelvis Code of Conduct, Whistleblower programmet mv. Det er vigtigt, at alle i organisationen har kendskab til virksomhedens holdning til antibesvigelsesprogrammet, og at alle i ledelsen er motiveret og tager programmet seriøst. Såfremt antibesvigelsesprogrammet ikke bliver taget seriøst fra ledelsens side, vil det ligeledes være svært at motivere den ansatte herom. Alle i organisationen bør kende deres plads og rolle i kampen mod besvigelser. Sidst men ikke mindst er det vigtigt, at antibesvigelses programmet løbende bliver overvåget, vurderet og kontrolleret, således virksomhedens ledelse hele tiden er opmærksomme på, hvor der er fejl og mangler i programmet, som kan skabe muligheder for besvigelser. Hvordan skal ansvaret for henholdsvis opdagelse og forebyggelse af besvigelser fordeles mellem revisor kontra ledelsen? Ansvaret for at opdage og forebygge besvigelser er en fælles opgave mellem ledelsen og revisor. Det er ledelsens ansvar at opbygge og opretholde et optimalt kontrolmiljø, hvor interne kontroller og øvrige foranstaltninger er indarbejdet for at minimere risikoen for besvigelser. Samtidig er det revisors opgave at rådgive virksomhederne og dermed ledelsen omkring deres muligheder for at optimere kontrolmiljøet samtidig med, at revisor har ansvaret for at tilrettelægge revisionen, således at risikoen for uopdaget besvigelser mindskes. Revisor har flere opgaver i løbet af revisionen, som skal være afklaret for, at revisor har levet op til god revisionsskik. Det drejer sig blandt andet om at foretage uanmeldt kasseeftersyn, udsende saldomeddelelser, indhente en ledelseserklæring samt gøre klientens ledelse opmærksom på mangler og svagheder i virksomhedernes kontrolmiljø og antibesvigelsesprogram evt. i forbindelse med udarbejdelsen af den årlige revisionsprotokol. Det er min opfattelse, at især de senere års store erhvervsskandaler har gjort revisor mere opmærksomme på deres ansvar i forbindelse med opdagelsen og bekæmpelsen af besvigelser. Området omkring forebyggelse af besvigelser kunne dog efter min mening dog forbed- 15

110 Konklusion September 26 res via bedre rådgivning. Ligeledes skal revisor være opmærksom på, at revisionshandlingerne til brug for opdagelse af besvigelser ikke skal blive for automatiseret, således revisor glemmer at anvende sin professionelle skepsis, og dermed indretter revisionen efter klienten og ikke blot efter, at de ikke bagefter kan blive retsforfulgt for manglende opfyldelse af god revisionsskik. Jeg synes dog, at de senere år viser en klar tendens til, at revisor bliver mere opmærksom på problemet omkring besvigelser og dermed bedre til at vurdere, hvor risikoen for besvigelser ligger hos de enkelte klienter, hvilket i sidste ende medfører bedre og mere koncentrerede revisionshandlinger. Det er samtidig min opfattelse især set i lyset af nyeste undersøgelse foretaget af Ernst & Young 69, at ledelsen i Danmark stadig er bagud med at tage det ansvar, som de bør i kampen mod besvigelser. Ledelsen har et stort ansvar for at både opdage og forebygge besvigelser, og med henblik på de store omkostninger, som besvigelser kan medføre, bør ledelsen blive mere opmærksomme herpå. Forhåbentlig vil vi i de kommende år se flere interne revisionsfunktioner, som kan have stor indflydelse på virksomhedernes antibesvigelsesprogram, idet det netop er deres primære opgave. I mange virksomheder er den økonomi ansvarlige resultataflønnet på den ene eller anden facon, hvilket også gør risikoen endnu større for regnskabsmanipulation. Netop derfor bør virksomhederne være mere opmærksomme på, at der er et problem. 69 Winterskov, Otto E.P.; Manglende risikostyring og intern kontrol, Revision & Regnskabsvæsen nr. 7,

111 English Summary September English Summary In the last decade both Danish and international legislation has increased on the area about frauds. Companies and auditors in Denmark are trying to avoid similar trade scandals as we have seen in both the USA and Europe. The modernization of the law of accounting in 23 resulted in the fact that auditors have to be more active in the fight against fraud. External audit relies on highlights and the areas where the risk for errors and frauds is highest. In this context the possibilities of detecting errors are good while frauds are more difficult to discover. With the publication of RS 24 (revised) the auditors have got more precise rules and regulations about auditor s opportunities to discover frauds. On the other hand the newest study shows that relatively many companies have not created a formal antifraud program. This suggests that the auditors and the managements have still not got the same expectations as to on whom the responsibility lies. The aim of this thesis has been to demonstrate how auditor and management respectively can/must detect and prevent frauds with reference to the formulation of the problem. Auditors are subject to auditing standard RS 24, which concerns auditor s responsibility to consider fraud in relation to audit of the annual accounts. The auditing standard was revised in the beginning of 26 so that as it is now a total translation of ISA 24. Equally, the difference between RS 24 and American legislation is not considerable. During the last few years there has been an international convergence, which has obviously happened in the light of the big trade scandals in especially the USA. It is important that the auditor makes a careful and circumstantial planning of the work which can provide the background for the rest of the audit. The audit should analyse the companies operating plan and internal controls. This thesis has been centralized in the three areas; cash assets, turnover and bad debts. I have through analysis and discussion looked into the importance of the auditor to make unannounced cash register check, receive original documentation and inspect the internal controls and segregation of duties when auditing the cash assets. When auditing the turnover it is important to inspect the operating plans, analyse this year s turnover against last 17

112 English Summary September 26 year s and budgeted turnovers. Also the auditor can control the invoice numbers to check if there is a chronological order. Also it is important to look into the possible consequences of people in the organisation with performance-related pay. That is important because it can be the incentive to commit fraud. When analysing the bad debts it is important that the auditor looks into the allocation and receives as much external documentation as possible. The auditor has to make a critical examination and must inspect ingoing payments received after the balance sheet date. Auditors work depends on how much preventive work the companies have performed. The companies and their management facilities to prevent frauds are to build up a strong antifraud program. COSO framework is a tool developed by accountancy bodies and trade organizations in the USA. COSO is suitable as a template to evaluate the quality of the companies internal control systems. The aim of COSO is to build up an optimal control environment thus reducing the risk of frauds. To get an optimal antifraud program it is important that the companies send out the right message to the organization and the people in the organization especially the company s mission, vision and values. The company and the management must build up an optimal policy of deployment, a detailed Code of Conduct, an efficient Whistleblower program and internal controls that detect and prevent frauds etc. Also it is important that the board shows its responsibility and supervises the daily management and make sure that weaknesses and defects either improve or are eliminated. It is important that everybody in the organization is aware of the antifraud program and the company s attitude to the program. The company s management, both the daily management and the board, must be in front of the program and also be serious about the program. Otherwise it is difficult to motivate the rest of the organization to take part in the program. Everybody in the organization should know their position and their part in the fight against frauds. The responsibility to detect and prevent fraud is a challenge shared by managements and auditors. It is management s responsibility to build up and maintain an optimal control environment where internal controls and other measures are established to minimize the risk of frauds. Concurrently it is the auditors responsibility to advise the company and its management on their opportunities to optimize the control environment and antifraud pro- 18

113 English Summary September 26 gram. Simultaneously, it is the auditors responsibility to plan the audit with the intention to minimize the risk of undiscovered frauds. It is my opinion that especially the last few years trade scandals have made the audit more aware of its responsibility in the fight against frauds. Even so I think that the audit could do a better job in their counselling. Also the audit should still use its professional scepticism and be aware of the risk of lacking when the task gets too automated. I think the last few years shows a tendency towards audits that are more aware of the problem about frauds and also get better to valuate the risk of frauds. It is also my opinion especially in the light of the newest study that the management in Denmark is still behind in taking responsibility in the fight against frauds. The management has a big responsibility in both detecting and preventing fraud and with reference to the high costs, which frauds carry, the management should be more aware of the problem. Hopefully future years will bring more internal audit functions, which can have a huge impact on the companies antifraud programs. 19

114 Litteraturliste September Litteraturliste 9.1. Artikler mv. Forfatter Titel Forlag mv. Udgave År Bjerrum, Vibeke Spæcom-chef svindlede for 33 Børsen D. 2. dec. 25 Daell mio. kr. Bjerrum, Vibeke Spæcom-svindel større end først Børsen D. 28. nov. 25 Daell antaget. Bjerrum, Vibeke Spæcom-direktør Børsen D. 24. nov. 25 Daell varetægtsfængslet i tre uger Bjerrum, Vibeke Spæcom-chef fyret efter mistanke Børsen D. 18. nov. 25 Daell om svindel Boelsgaard, Kurt Corporate Governance en chance Ledelse i Dag Nr og en udfordring for bestyrelsen Carlsen, Sven m.fl. Revisionsvejledning 21 Revision og Nr Besvigelser Regnskabsvæsen Christensen, Peter Har revisionen til formål at opdage Havskov besvigelser? Christiansen, Brian ISA 24 (Revised) Revision og Nr m.fl. Regnskabsvæsen Damgaard, Jens Otto Besvigelser, revisors ansvar og Revision og Nr forebyggende foranstaltninger Regnskabsvæsen Dengsøe, Poul Virksomheder snydt for en halv Børsen D. 29. nov. 25 milliard Dengsøe, Poul Mere svindel i udlandet Børsen D. 29. nov. 25 Fabricius, Ole Revision af likvide beholdninger Revifora A 6.4 Revisionsorientering 1999 Fabricius, Ole m.fl. Revision af omsætning Revifora A 6.5 Revisionsorientering Haaning, Torben Den idealiserede uafhængighed Revision og Nr Regnskabsvæsen Jensen, Ane Arnth En dyr besparelse at fjerne INSPI Nr revisionen Kiertzner, Lars Revisor og besvigelser - øget fokus i lovgivning og revisionsstandarder Revision og Regnskabsvæsen Nr Kiertzner, Lars RS 24 (ajourført) Revisors ansvar for at overveje besvigelser ved revision af regnskaber Revision og Regnskabsvæsen Koefoed, Jesper m.fl. Regnskabsmanipulation Revision og Regnskabsvæsen Mogensen, Bjørn R. Revisionsprotokollen Revision og m.fl. Regnskabsvæsen Nieschwietz, Robert Empirical Research on External Journal of J. m.fl. Auditors Detection of Financial Accounting Literatur Nr Nr Nr Vol Statement Fraud. Pedersen, Claus Besvigelser - den usynlige risiko INSPI Nr Selley, David C m.fl. Fraud and error CA Magazine August 22 Selley, David C m.fl. Detecting fraud and error CA Magazine August 24 Shaw, Colin Fighting fraud Management June 22 Magazine Welinder, Henrik Revision af debitorer Revifora A 6.3 Revisionsorientering 23 Winterskov, Otto Manglende risikostyring og intern Revision og Nr E.P. kontrol Regnskabsvæsen Østerby, Tina Borum Revisors anmeldelsespligt ved INSPI Nr m.fl. besvigelser Putting COSO's Theory into Practice Tone at the Top - TAT Layout.qdx November 25 11

115 Litteraturliste September 26 Artikler fra internettet: / News and Analysis / Corporate Governance / Key Elements of Antifraud Programs and Controls

116 Litteraturliste September Udgivelser mv. Forfatter Titel Forlag mv. Udgave År Andersen, Ib Arens, Alvin A. m.fl. Elling, Jens O. Ernst & Young Ernst & Young Ernst & Young Ernst & Young FSR Den skinbarlige virkelighed Auditing and Assurance Services Årsrapporten - teori og regulering Fraud The Unmanaged Risk Fraud Real Solutions to a Real Risk Forventninger til fremtidens interne revision, god selskabsledelse og risikostyring Fraud risk in emerging markets Risk Management - Risikostyring og intern kontrol set fra bestyrelsens side Samfundslitteratur 1. udgave 1999 Prentice Hall Ninth edition 23 Gjellerup 1. udgave 22 Ernst & Young 23 Ernst & Young 24 Ernst & Young 26 Ernst & Young 26 Foreningen af statsautoriserede revisorer 1. udgave 25 HLB Forebyggelse af svig er et fælles ansvar Holm, Claus Diverse notater og plancher fra Revision HHA Kiertzner, Lars Diverse notater og plancher fra Revision HHA, AUU KPMG Besvigelser - risici og forebyggelse Langsted, Lars Bo Revisor Ansvar Forlaget Thomson 5. udgave 24 PricewaterhouseCoopers PricewaterhouseCoopers PricewaterhouseCoopers PricewaterhouseCoopers Seehausen, Jesper m.fl. Pricewaterhouse- Coopers Pricewaterhouse- Coopers Global Economic Crime Survey 25 The Emerging Role of Internal Audit in Mitigating Fraud and Reputation Risks Key Elements of Antifraud Programs and Controls COSO-standarden for risikostyring Materialesamling Besvigelser Pricewaterhouse- Coopers Pricewaterhouse- 25 Coopers Aalborg Universitet 25 Revisorhåndbogen Forlaget Thomson Elektronisk udgave SAS 99 Auditing Standards Board Højsteretsdom: U H Sag nr. 47/24-R Responsumsag nr FSR

117 Litteraturliste September 26 Responsumsag nr FSR Responsumsag nr. 169 FSR 1996 Responsumsag nr. 961 FSR 199 Responsumsag nr. 826 FSR 1984 Responsumsag nr. 724 FSR 1981 Advokatnævnet mod Advokat Jørgen Grønborg (PFA) Advokatnævnet 22 Diverse materiale fra undervisning på cand.merc.aud. studiet 9.3. Hovedopgaver mv. Forfatter Titel Forlag mv. Udgave År Borup Jensen, Iben m.fl. Behandling af den nye revisorlovgivning med HHA 23 særlig fokus på revisors anmeldelsespligt ved besvigelser Bamberg, Christel m.fl. Besvigelser og regnskabsmæssige skøn HHA 25 Hansen, Mads m.fl. Procesorienteret revision og besvigelser CBS 23 Knudsen, Frederik m.fl. Revisors rolle i forbindelse med afdækning af CBS 23 besvigelser i virksomhedens regnskab Langeland, Robert m.fl. Analyse af de pligter, der påhviler revisor under HHA 24 revisionen Larsen, Anne m.fl Revision af likvide beholdninger herunder CBS 24 besvigelser. Neumann, Per m.fl. Revision mod besvigelser HHA 1998 Pedersen, Claus m.fl. Regnskabsmanipulation HHA 1999 Roug, Hans Peter Ledelsens ansvar for kontrolsystemet samt HHA 24 revisors fastlæggelse af kontrolrisikoen med hovedvægt på revisors vurdering af det interne kontrolsystem Rømer, Henrik m.fl. Revisors og selskabsledelsens rolle i relation til CBS 23 besvigelser i regnskabet Svendsen, Jeanne m.fl. Revisors arbejde omkring besvigelser - ud fra en CBS 23 teoretisk og praktisk synsvinkel Aabenhus, Kasper Revision for besvigelser med betalingsmidler HHA

118 Bilag 1: Grundlæggende principper September 26 Bilag 1: Grundlæggende principper Dette bilag er blandt andet baseret på revisionsstandard RS 2 Målet med og generelle principper for revision af regnskaber og revisionsstandard RS 5 Revisionsbevis. Hovedformålet med revisionen er, at revisor udtaler sig om regnskabet i revisionspåtegning, jf. RS 2 afsnit 2. Revisionen udføres, hvor det er lovmæssigt krævet, eller hvor der er indgået aftale om revision af årsregnskabet eller andre regnskaber. Den reviderede årsrapport skal give et retvisende billede af virksomhedens aktiver og passiver, finansielle stilling samt resultat. I forbindelse med at revisor påtager sig en revisionsopgave, må der ikke indgås aftaler, som på nogle måder indskrænker eller sætter begrænsninger for revisionen. Revisionen skal desuden udføres i henhold til god revisionsskik, hvilket vil sige i overensstemmelser med de principper som accepteres og anvendes af kyndige og ansvarsbevidste revisorer. I nærværende bilag vil nogle af de grundlæggende principper ved revision blive gennemgået, idet dette er grundlæggende for den senere diskussion og omtale omkring revision af besvigelser. Professionel skepsis I forbindelse med planlægning og revision af en opgave skal revisor opretholde en professionel skepsis, da regnskabet kan indeholde væsentlige fejlinformationer, herunder fejl forårsaget af besvigelser. Denne skepsis er nødvendig gennem hele revisionsprocessen for at minimere risikoen for at overse usædvanlige forhold eller væsentlige fejl. Den professionelle skepsis indebærer desuden, at revisor ikke udelukkende kan basere sine konklusioner på ledelsens udtalelser, men er afhængige af tilstrækkelige og stærke revisionsbeviser. Accept af opgaven Uafhængighedsbetingelserne 7 skal være opfyldt før end revisor kan acceptere at påtage sig en revisionsopgave. Disse betingelser går blandt andet ud på, at revisor ikke må påtage sig revisionsopgaver, hvor det samlet honorar udgør mere end 2% af revisionsvirksomhedens samlede omsætning, idet revisionsvirksomheden dermed kan anses for at være afhængig af 7 Jf. LSRR

119 Bilag 1: Grundlæggende principper September 26 klienten. Honoraret skal desuden være baseret på den tid, som revisor har anvendt på sagen, og må derfor heller ikke være højere end, hvad der er rimeligt eller det kan være fastlagt ud fra en fasthonoraraftale. Revisor skal endvidere tage stilling til, om han/hun har de fornødne ressourcer og kompetencer til at løse den specifikke opgave, ligesom revisor skal sikre, at han har tilstrækkelig kendskab til eventuelle specifikke regler og love, som er nødvendige ved den specifikke opgave. Før end revisor endelig accepterer at påtage sig en opgave, skal revisor rette henvendelse til den tidligere revisor, og indhenter oplysninger omkring årsagen til dennes fratræden, jf. LSRR 1. Når revisor herefter acceptere at påtage sig en revisionsopgave, skal revisor i henhold til RS 265 afsnit 16 udarbejde et tiltrædelsesprotokollat, som redegør for revisionens formål, ansvar, tilrettelæggelse, udførelsen af revisionen samt rapporteringen. Væsentlighed Revisionens rapportering, planlægning og udførsel skal ske på grundlag af revisors vurdering af blandt andet væsentlighed. Dette begreb er grundlæggende i revision og har stor indflydelse i forbindelse med udførelsen af en revisionsopgave. Idet revisionen skal udføres så hurtigt og effektivt som hvervet tillader, og det ikke er muligt at teste og kontrollere samtlige transaktioner i en virksomhed, er det nødvendigt, at kun områder/transaktioner, som er væsentlige samt områder, hvor risikoen for fejl og mangler er til stede, revideres. Revisionsmæssigt defineres en post som værende væsentlig, såfremt en fornuftig regnskabsbruger ville træffe en anden beslutning, såfremt evt. oplysninger omkring posten havde fremgået af rapporten. Jævnfør ovenstående er det ikke muligt for revisoren at gennemgå samtlige transaktioner, hvorfor revisor arbejder med et væsentlighedsniveau, som anvendes i forbindelse med blandt andet stikprøveudtagning. 115

120 Bilag 1: Grundlæggende principper September 26 Tilsigtede fejl vil dog ofte være væsentlige for regnskabsbrugerne, idet der her er tale om at skjule oplysninger mv. for regnskabsbrugerne. Revisor skal derfor altid rapportere de besvigelser han opdager i revisionen, da de alle betragtes som værende væsentlige uanset størrelsen herpå. Lovgivningsmæssige krav/oplysninger til regnskabet er ikke omfattet af væsentlighedsniveauet. Risiko Foruden væsentlighed er også risiko et vigtigt aspekt i forbindelse med revisionen af årsrapporten. Risikoen for, at der forekommer væsentlige fejl i regnskabet, kan opdeles i følgende risici: Iboende risiko (risikoen for at væsentlige fejl og mangler opstår) Kontrolrisiko (risikoen for at væsentlige fejl eller mangler ikke forhindres eller rettes af den interne kontrol) Opdagelsesrisiko (risikoen for at revisor ikke afslører væsentlige fejl og mangler under revisionen) Den samlede risiko omtales som revisionsrisikoen og er defineret som: Revisionsrisiko (RR) = Den iboende risiko (IR) Kontrolrisikoen (KR) Opdagelsesrisikoen (OR). Revisionsmål I forbindelse med revisionens planlægning og udførelse skal revisor vurdere risikoen for væsentlige fejl og mangler i forhold til følgende revisionsmål 71 : Tilstedeværelse (aktiver, forpligtelser og egenkapital er til stede) Rettigheder og forpligtelser (virksomheden har eller kontrollerer rettighederne til aktiver, og forpligtelser påhviler virksomheden) Værdiansættelse og fordeling (aktiver, forpligtelser og egenkapitalposter er medtaget i regnskabet med de passende beløb, og eventuelle værdiansættelseseller fordelingsreguleringer er passende bogført) 71 Revisionsmål ifølge RS 5 - definitionen på revisionsmålene er baseret på definitionerne fra RS

121 Bilag 1: Grundlæggende principper September 26 Fuldstændighed (alle aktiver, forpligtelser, egenkapitalposter, transaktioner og begivenheder, som bør registreres, er blevet registreret samt alle oplysninger, som bør medtages i regnskabet, er blevet medtaget) Periodisering (transaktioner og begivenheder er blevet bogført i den rigtige regnskabsperiode) Forekomst (transaktioner og begivenheder, som er bogførte transaktioner og begivenheder, eksisterer og vedrører virksomheden) Nøjagtighed (beløb og andre data vedrørende bogførte transaktioner og begivenheder er bogført behørigt) Klassifikation og forståelighed (transaktioner og begivenheder er blevet bogført på de rigtige konti og er passende præsenteret og beskrevet i regnskabet) Forekomst samt rettigheder og forpligtelser (oplyste begivenheder, transaktioner og andre forhold er indtruffet og vedrører virksomheden) Disse revisionsmål skal være opfyldt, før end revisor kan vurdere, om regnskabet er retvisende. Revisionsprocessen Revisionsprocessen opdeles i tre: Planlægning Udførelse Afslutning og rapportering Til sikring af revisionens kvalitet og effektivitet skal revisor på baggrund af informationer omkring klientens virksomhed planlægge revisionen. I planlægningsfasen skal der først og fremmest indsamles oplysninger omkring virksomhedens ejerforhold, organisation, driftsmæssige og finansielle forhold, registreringssystemer mv., hvilket danner baggrund for den grundlæggende viden omkring virksomheden. Disse grundlæggende informationer er revisors informationer i dennes vurdering af hvilke risici, der er forbundet med at drive denne specifikke virksomhed, ligesom det danner et overblik over ledelsens indstilling til de regnskabsmæssige og forretningsmæssige risici, der er forbundet med virksomheden. 117

122 Bilag 1: Grundlæggende principper September 26 I planlægningsfasen indsamles der desuden oplysninger omkring edb-anvendelse, økonomisystemer samt virksomhedens kontrolmiljø, idet disse oplysninger er med til at give revisor et indblik i, hvordan og hvorledes systemer og procedurerne i virksomheden kan forventes at identificere, registrere, behandle og rapportere regnskabsmæssige data rettidigt og pålideligt. Virksomhedens økonomiske udvikling er ligeledes med til at give revisionen et overblik over de risici, der er i forbindelse med revisionsopgaven. Virksomhedens økonomiske udvikling vil normalvis blive belyst ved hjælp af en analyse af hoved- og nøgletal. Informationsmængden i forbindelse med planlægningen afhænger af virksomhedens størrelse samt revisors forhåndskendskab til virksomheden, men det vil højst sandsynligt være nødvendigt for revisor at indsamle flere informationer ved revision af en ny klient end ved en allerede eksisterende klient, hvor revisor allerede har et kendskab til virksomheden. På baggrund af de indsamlede oplysninger omkring virksomheden, er det muligt for revisor at foretage en indledende vurdering af risikoen for væsentlige fejl og mangler i regnskabet. Risikovurderingen består i at kortlægge den iboende risiko og kontrolrisikoen. Revisor udarbejder et såkaldt planlægningsnotat, hvor ovenstående indsamlede oplysninger, revisionsstrategi og risikovurdering indarbejdes samt revisionsopgavens tidsmæssige forløb og bemanding beskrives. Dette planlægningsnotat skal indeholde de identificerede risici. Endvidere skal der foreligge en revisionsplan for hver revisionspost, som beskriver arten og omfanget af de revisionshandlinger, som skal foretages for de enkelte områder. Ligesom planlægningsfasen kan udførelsesfasen opdeles i tre metoder, som revisionen skal være opmærksomme på: Systemrevision Substansrevision Dokumentation for den udførte revision Systemrevision defineres, som de metoder og arbejdshandlinger, som anvendes for at undersøge og vurdere, om virksomhedens forretningsgange og interne kontroller er opbygget 118

123 Bilag 1: Grundlæggende principper September 26 således, at regnskabsinformationerne undergår en tilstrækkeligt pålidelige behandling, der er nødvendig for aflæggelsen af et retvisende regnskab. Under forudsætning af, at revisor tidligere har konstateret at virksomhedens interne kontroller fungerer optimalt, og såfremt der ikke er ændret væsentlig i systemerne inden for de seneste år, behøver revisor ikke at kontrollere de interne kontroller hvert år, men kan i stedet nøjes med at revidere efter rotationsprincippet 72. Såfremt revisor konstaterer svagheder eller mangler i virksomhedernes interne kontroller, skal dette i henhold til god revisionsskik bl.a. meddeles ledelsen i revisionsprotokollen, således ledelsen har en mulighed for at rette op på dette. Indeholder systemerne væsentlige svagheder og ikke fungerer tilfredsstillende eller har virksomheden en så begrænset størrelse, at der ikke kan etableres et tilfredsstillende kontrolmiljø, må revisionen i stedet baseres på substansrevision. Substansrevision defineres, som de metoder og arbejdshandlinger, som anvendes for at opnå en overbevisning om, at transaktioner bogføres korrekt, herunder at revisionsmålene er opnået. Når systemrevisionen viser, at de interne kontroller er mangelfulde, eller når det ikke økonomisk kan betale sig at bygge på kontroltest af de interne kontroller, er substansrevision den hensigtsmæssige revisionsmetode. Substansrevision foretages med udgangspunkt i de enkelte transaktioner og retter sig mod de enkelte regnskabsposter. Selve revisionen gennemføres ved hjælp af enten regnskabsanalytisk revision eller detailrevision. Hovedformålet med regnskabsanalytisk revision er at vurdere sandsynligheden for regnskabet retvisende og de opnåede resultater mv. ved at analysere de enkelte poster i regnskabet, sammenholde dem med budgetter, tidligere regnskaber, afstemte statusposter og beregnede nøgletal. 72 Rotationsprincippet kan bl.a. betyde at de interne kontroller efterprøves og revideres f.eks. hvert 3. år. 119

124 Bilag 1: Grundlæggende principper September 26 Detailrevision fungerer ved, at revisor indhenter dokumentation til bekræftelse af de enkelte regnskabsposter. Denne dokumentation kan være eksterne bekræftelser, gennemgang af aftaler, gennemgang af bestyrelsesreferater, fysisk kontrol mv. Anvendelse af henholdsvis regnskabsanalytisk revision og detailrevision afhænger især af regnskabsposternes størrelse, art samt risikovurderingen. Ofte vil det dog være en kombination af begge, som skaber det optimale resultat. En effektiv revision vil oftest bestå af en kombination af både systemrevision og substansrevision. Revisionen kan dog ikke udelukkende baseres på systemrevision. Til gengæld vil man i mange mindre virksomheder se, at revisionen udelukkende baseres på substansrevision, idet virksomhedens størrelse og organisation medfører et mangelfuldt kontrolmiljø. Ligesom det er gældende i planlægningsfasen, er det utrolig vigtigt, at revisionen dokumenteres både hvad angår arten og omfanget, men også konklusionen på det udførte arbejde. Som afslutning på revisionens arbejde skal revisor forsyne årsrapporten med en revisionspåtegning, som skal indeholde en konklusion over det udførte arbejde. Før end denne påtegning kan udarbejdes skal revisor dog gennemgå det udførte arbejde, og på den baggrund konkludere, om revisionen er udført i henhold til den planlagte revisionsstrategi og de udarbejdede revisionsplaner. Konklusioner på såvel det samlede arbejde, som på de enkelte væsentligste områder, skal fremgå af revisionens arbejdspapirer. 12

125 Bilag 2: Historisk udvikling September 26 Bilag 2: Historisk udvikling 73 Internationale forhold Fra Luca Pacioli var den første som beskrev det dobbelte bogholderi 74. Dette var i 1494, og Fra Luca Pacioli anbefalede i samme omgang, at bogholderiet blev revideret og der blev fokuseret på interne kontroller. Denne anbefaling blev dog ikke hørt og man skal helt frem til 196 erne før end vigtigheden af interne kontroller får den nødvendige opmærksomhed 75. Hertil skal det selvfølgelig påpeges at revisionen dengang ikke tog udgangspunkt i stikprøver, men hovedsagligt revidere alle transaktioner 76. Helt fra revisionens begyndelse og indtil den industrielle revolution i midten af 18 tallet var revisionens hovedformål at afsløre besvigelser. Ændringen af at ejer- og ledelsesforholdene i form af aktionærerne ikke nødvendigvis også var lederne af virksomhederne, gjorde at kravet om det retvisende billede blev mere vigtigt, og opdagelsen af besvigelser blev nedprioriteret. Dette blev i 1912 tydeligt beskrevet af Montgomery: In what might be called the formative days of auditing student were taught the chief objectives of an audit were, (1) detection and prevention of fraud, and (2) detection and prevention of errors, but in the recent years there has been a decided change in demand and service. Present day purposes are: (1) to ascertain actual financial condition and earnings of an enterprise; (2) detection of fraud and errors, but this is a minor objective. 77 Som det ses af ovenstående var opdagelsen af besvigelser stadig en del af revisionen, det var blot ikke længere det primære formål hermed. Faktisk var det kun en mindre del af revisionen og kunne på ingen måder længere opfattes som den primære del af revisionen. 73 Afsnit 3.1. Historisk udvikling er hovedsagligt bygget på Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?. 74 Fra Luca Pacioli er ikke opfinderen bag det dobbelte bogholderi, men var blot den første til at beskrive dette. 75 Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side

126 Bilag 2: Historisk udvikling September 26 Revisionen var ikke længere planlagt således alle besvigelser blev opdaget, men der blev dog stadig fulgt op på besvigelser. Således udsendte AICPA i september 196 SAP 3 Responsibilities and Functions of the Independent Auditor in the Examination of Financial Statements, som var en konsekvens af at SAP 1 Extensions of auditing procedure var blevet kritiseret kraftigt. The ordinary examination incident to the expression of an opinion on financial statements is not primarily designed, and cannot be relied upon, to disclose defalcations and other similar irregularities, although the discovery of deliberate misrepresentations by management is usually more closely associated with the objective of the ordinary examination, such examination cannot be relied upon to assure its discovery. 78 Denne standard blev aldrig accepteret i USA, og i 1975 blev der nedsat en komite i AIC- PA, som skulle redefinere revisors rolle og ansvar vedrørende besvigelser. Komiteen anså det dog ikke som nødvendigt med ændringer, og denne opgave medførte derfor ikke store ændringer 79. Datidens revisorer ville stadig ikke pålægges ansvaret om, at skulle være ansvarlige for opdagelsen af besvigelser, men ville alligevel gerne signalere at besvigelser ofte blev opdaget. På en konference i 1992 blev det slået fast at SAS nr. 16 ikke havde krav om at revisorerne skulle opdage og påvise besvigelser, men revisor skulle søge efter besvigelser. Dette var modsat en alternativ komite (The Cohen Commision), som i 1978 mente at revisor havde en forpligtelse til at lede efter besvigelser og ligeledes opdage de besvigelser som undersøgelser normalt ville afdække. Dette var blot endnu et bevis på, at der var en forventningskløft, om hvem ansvaret tilfaldt og hvor stor en del af ansvaret revisor skulle bære. Dette får AICPA til blandt andet at udstede SAS nr. 53 The Auditor s responsibility to Detect and Report Errors and Irregularities, som en skærpelse af revisors ansvar for opdagelsen af besvigelser. Revisionen skal tilrettelægges således at alle væsentlige fejl opdages, uanset om disse fejl er tilsigtede eller utilsigtede. Der er dog stadig en forventningskløft, 78 Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side

127 Bilag 2: Historisk udvikling September 26 idet SAS nr. 53 ligesom SAS nr. 16 pointerer at efterfølgende opdagelse af besvigelser ikke er et tegn på at revisionen ikke er udført forsvarligt. Begrebet væsentlighed bliver også vigtigt, i definitionen af opdagelsen af besvigelser, idet SAS nr. 53 i 5 to gange anvender dette begreb. I denne sammenhæng vises det altså tydeligt, at fejl, som ikke er væsentlige for årsrapporten heller ikke er revisors ansvar, hvad enten der er tale om tilsigtede eller utilsigtede fejl. Ligeledes blev der i SAS nr pointeret at påtegningen i årsrapporten ikke skulle opfattes som en garanti, men som en rimelig overbevisning fra revisors side. Ansvarsfraskrivningen er der stadig, hvilket ses endnu mere tydeligt i den sidste del af 8: Vi søger at opdage alle væsentlige fejl og mangler (både tilsigtede og utilsigtede), men vi vil ikke holdes ansvarlige for uopdagede (tilsigtede) fejl og mangler eftersom påtegningen ikke er en garanti. I forhold til SAS nr. 16 er der dog tale om en skærpelse, idet SAS nr. 16 næsten fraskrev ethvert ansvar. Allerede i 1996 kommer der en efterfølger hertil i form af udkast til SAS nr. 82. På det tidspunkt er den store diskussion, hvorvidt SAS nr. 82 er en skærpelse i forhold til SAS nr. 53 eller om der blot er tale om en tydeliggørelse af den hidtidige praksis på området. Ledende personer i AICPA udtaler sig kort efter udgivelsen af udkastet således: The proposed changes in auditing standards clarify the auditor s existing responsibility -- that is, to plan and perform the audit to obtain reasonable assurance about whether the financial statements are free from material misstatement, whether caused by error or fraud. 8 I 1997 bliver det endvidere anført, at SAS nr. 82 adskiller sig ved, at denne i forhold til de tidligere standarder på samme område, kræver en særskilt vurdering af risikoen for besvigelser, retningslinier i forbindelse med identifikationen af besvigelsesrisikoen, kommunikation herom mv. Dette medfører nødvendigvis ikke en skærpelse af ansvaret omkring hvorvidt revisor bør opdage besvigelser, men øger til gengæld kravene til revisionens gennemførsel. 8 Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side

128 Bilag 2: Historisk udvikling September 26 Internationalt er revisionsvejledningen ISA nr. 11 (ISA nr. 24) på samme niveau som SAS nr. 53 rent indholdsmæssigt og det samme gør sig gældende for den engelske standard SAS nr. 11. I 21 blev en revideret udgave af ISA nr. 24 The auditor s responsibility to consider fraud and error in an audit of financial statements offentliggjort. Denne trådte i kraft fra den 3. juni 22 og næsten samtidig blev erstatningen for SAS nr. 82 offentliggjort i form af SAS nr. 99 Consideration of Fraud in a Financial Statement Audit. Den amerikanske revisionsvejledning trådte i kraft den 15. december 22. Begge revisionsvejledninger var mere specificeret end deres forgængere og var på mange måder en skærpelse af revisions ansvar vedrørende opdagelse af besvigelser. Dette var især gældende på området omkring planlægningsfasen, hvor risikoen for besvigelser og fejl ønskes diskuteret mere. Nedenstående tabel viser en oversigt over den historiske udvikling i revisions formål. Revisions formål Opdagelse af besvigelser Opdagelse af besvigelser. Opdagelse af fejlposteringer Fastlæggelse af det retvisende billede af årsrapporten. Opdagelse af 194 fejl/besvigelser Fastlæggelse af det retvisende billede af årsrapporten Fastlæggelse af det retvisende billede af årsrapporten. Det er erkendt at det retvisende billede kan være påvirket af besvigelser og opdagelse af besvigelser er derfor blevet en væsentlig del af revisionen. Figur B2.1. Revisionens formål udarbejdet med udgangspunkt I Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side 82. Danske forhold Det var den konservative professor, dr. Polit. L.V. Birck som i begyndelsen af 19-tallet forslog oprettelsen af autoriserede revisorer. På daværende tidspunkt sad Peter Adler Al- 124

129 Bilag 2: Historisk udvikling September 26 berti som justitsminister 81, og lovforslaget omkring oprettelsen af autoriserede revisorer blev stærkt bekæmpet fra justitsministerens front. Den 8. september 198 blev det dog afsløret at Alberti stod bag en af tidernes største bedrageri sager. Siden 1894 havde Alberti bedraget den Sjællandske Bondestands Sparekasse for omkring 15 millioner kroner, svarende til cirka en femtedel af den danske stats samlede årlige indtægter 82. Dette blev til gengæld startskuddet for den første revisorlov, og Alberti s bedrageri sag blev en væsentlig årsag hertil. Revisorloven, som flere gange i løbet af 19-tallet blev ændret, gav ikke revisionen noget primær mål, men set under lyset af, at det var Alberti-sagen, som havde påbegyndt denne regulering, var der ingen tvivl om, at det var besvigelser og bedrageri, som revisionen skulle have fokus på. I slutningen af 198 erne og begyndelsen af 199 erne var der dog en større diskussion mellem Professor Vagn Greve og statsautoriseret revisor Gunni Pedersen. Diskussion gik på, hvorledes revisor havde et ansvar i opdagelsen af besvigelser. Således argumentere Gunni Pedersen i Revision og Regnskabsvæsen i 199 for, at revisions formål ikke historisk set er betinget af at afdække besvigelser 83. Den nugældende revisorlov bestemmer i 14, at revisor skal udføre det ham betroede hverv i overensstemmelse med god revisorskik. Ingen kan vidst være i tvivl om at god-skik-reglerne fastsættes af standen selv. For statsautoriserede revisorer er FSR s responsumudvalg det mest kompetente organ, der kan udtale sig om god revisorskik herunder god revisionsskik, og der er derfor ikke megen tvivl om at netop udtalelser om revisionens formål afgivet af dette udvalg vejer meget tungt ved en juridisk bedømmelse. Responsumudvalget har gennem mange år klart udtrykt, at det ikke er revisionens formål at afsløre besvigelser og andre misligheder. Revisionens formål er således at give revisor en begrundet overbevisning om, at regnskabet opfylder de krav lovgivningen og vedtægterne stiller til regnskabsaflæggelsen. Revisionens formål er ikke at afsløre svindel, og det har det ikke været i snart 8 år Justitsminister i perioden Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side Christensen, Peter Harskov; Har revisionen til formål at opdage besvigelser?, side

130 Bilag 2: Historisk udvikling September 26 Selvom Gunni Pedersen havde ret i store dele af hendes udtalelser, kan man ikke se helt bort fra, at regnskabsbrugernes forventninger til revisionen. Netop denne diskussion var et godt eksempel på den forventningskløft, som der var omkring revisionens ansvar for opdagelse af besvigelser. I flere år herefter er det holdningen, at revisor ikke er ansvarlig for opdagelse af besvigelser, men bør advare omkring risikoen for besvigelser. I revisionsvejledning 1 udgivet i 1978 står der følgende i pkt. 7.2: Revisors kontrol har ikke som sigte at forhindre eller opklare besvigelser eller andre uregelmæssigheder. Ved revision af årsregnskabet og gennemgangen og vurderingen af selskabets interne kontrol bør revisor dog være opmærksom på, at besvigelser og andre uregelmæssigheder kan forekomme. Sådanne forhold kan være af betydning ved bedømmelsen af årsregnskabet. Endvidere står der i pkt. 7.3 i samme vejledning følgende: Har revisor, som følge af hvad han har iagttaget, anledning til at tro, at der er begået uregelmæssigheder af virksomhedens ansatte, skal disse iagttagelser meddelelse til ledelsen, som i første omgang tager bestemmelse om de videre undersøgelser, som skal udføres, og hvem, der skal foretage disse. Hvorvidt revisor kan nøjes med at støtte sig til ledelsens opklaring af uregelmæssighederne, beror på i hvilken udstrækning disse bedømmes at kunne påvirke årsregnskabet. Der har gennem de sidste 1 år været fokus på området besvigelser, men forventningskløften er stor. Revisorerne fraskriver sig ved enhver lejlighed ansvaret for opdagelsen af besvigelser, mens regnskabsbrugerne ser opdagelsen og forebyggelsen af besvigelser, som en stor del af revisionens formål. I juni 1999 trådte RV 21 i kraft. Indholdet af RV 21 er hovedsagligt i overensstemmelse med den daværende udgave af ISA 24 Fraud and Error. RV 21 var den første danske regulering indenfor dette område, og vejledte revisor i, hvorledes revisor skulle tilrettelægge og udfører revisionen med henblik på, at vurdere væsentlig fejlinformationer opstået 126

131 Bilag 2: Historisk udvikling September 26 som følge af besvigelser. Endvidere fremsatte RV 21 også nogle specifikke krav til revisors rapportering i forbindelse med besvigelser. 127

132 Bilag 3: Anvendte forkortelser og begreber September 26 Bilag 3: Anvendte forkortelser og begreber LSRR Lov om statsautoriserede og registrerede revisorer af 19/5 24. LSR Lov om statsautoriserede revisorer (ophævet) LRR Lov om registrerede revisorer (ophævet) ÅRL Årsregnskabsloven af 26. ISA International Standards on Auditing SAS Statement on Auditing Standards AICPA American Institute of Certified Public Accountants R&R Revision og regnskabsvæsen RVL Revisionsvejledning RS Revisionsstandard ASL Aktieselskabsloven APSL Anpartsselskabsloven Ledelse Består af to dele. Bestyrelsen samt den daglige ledelse. I den daglige ledelse indgår såvel den daglige direktør, regnskabschefen, økonomilederen mv. Interne kontroller 85 En virksomheds interne kontroller består af både manuelle og programmerede elementer - i en eller anden indbyrdes vægtning og kombination - hvilket er relevant for revisors risikovurdering og planlægning af yderligere revisionshandlinger. Manuelle kontroller Kan karakteriseres som følgende kontroller: Godkendelse Kontrol af aktiviteter Afstemninger Opfølgning på afstemningsposter Programmerede Kontroller Kan karakteriseres som følgende kontroller: 85 Jf. notater fra CMA. 128

133 Bilag 3: Anvendte forkortelser og begreber September 26 Inddatakontroller Hashtotaler, totalsammenholdelse Time stamp Proceskontroller (fuldstændighed, nøjagtighed) Transaktionssporet 86 Ved transaktionssporet forstås den sammenhæng, der er mellem de enkelte registreringer og det samlede regnskab mv. Transaktionssporet sikrer ved sine oplysninger om sammenhæng mellem regnskabets enkeltposter med registreringerne, samt at det kan kontrolleres, at alle registreringer er indeholdt i regnskabet. Det samme gælder for den omvendte situation, hvor der kan tages udgangspunkt i den enkelte registrering, der så kan følges til en post i regnskabet. Kontrolsporet 87 Ved kontrolsporet forstås de oplysninger, der dokumenterer registreringernes rigtighed. Bilag skal indeholde nødvendige oplysninger for at identificere kontrolsporet (dvs. dokumentere registreringernes rigtighed og foretagne kontrolhandlinger), herunder tydeligt angive transaktionsdato og beløb. Bilag skal være forsynet med en tydelig og entydig identifikation af det kontrolspor, som fremgår af registreringen (dvs. bilagsnummer, kontering, dato for registreringen og godkendelse for udførelse)

134 Bilag 4: Kasseeftersyn - Planlægning September 26 Bilag 4: Kasseeftersyn - Planlægning 1. Foretag mindst ét uanmeldt kasseeftersyn i løbet af regnskabsåret. Fastsæt tidspunktet for kasseeftersynet og påse variation i forhold til tidligere år. 2. Gennemgå forretningsgangen og fastlæg omfanget af kasseeftersynet, herunder: Antal kasser. Bankkonti. Værdipapirbeholdning. Mellemregninger. Debitorer og kreditorer. Omfanget af kasseeftersynet afhænger af hvilke beholdninger, som kassereren har rådighed over. Gennemgå bemærkninger fra sidste uanmeldte kasseeftersyn, herunder især bemærkninger, der giver anledning til ændret fremgangsmåde. Under eftersynets enkelte punkter kontrolleres, at forretningsgangen er overholdt. Udvælg herefter de nødvendige handlinger til at udføre eftersynet. 3. Planlæg medarbejdersammensætning og arbejdsfordeling. 4. Begrund, såfremt kasseeftersynet ikke foretages. 13

135 Bilag 5: Kasseeftersyn - Kassebeholdning September 26 Bilag 5: Kasseeftersyn - Kassebeholdning 1. Rekvirer kassebeholdning og udskrift af kassebogføringen pr. dags dato samt eventuel manuel kasserapport. 2. Kassen optælles i overværelse af kassereren og afstemmes med kassebogføringen. Indhent kassererens underskrift for kasseafstemningen. Opnoter checks i kassen og vær især opmærksom på gamle checks, fremdaterede checks, manglende endosseringsstempel samt personalechecks, herunder især checks udstedt af kassereren. Bogføring og indsætning i banken kontrollers under "Opfølgning". Opnoter ikke bogførte udgiftsbilag og udlægsbilag i kassen og vær bl.a. opmærksom på ældre bilag og udlæg, herunder udlæg uden modtagers kvittering. Bogføring af bilag samt afregning af udlæg kontrolleres under "Opfølgning". Opnoter andre bilag fx. indtægtsbilag m.m. i kassen. 3. Manuel kasserapport eftertælles. 4. Foretag afstemning mellem kassekontoen i finanssystem og saldoen ifølge kassebogføringen (kasserapporten). 5. Gennemgå kassebilag i en periode på ca. 14 dage før kasseeftersynet i forbindelse med kasseeftersynet og i en periode på ca. 14 dage efter kasseeftersynet i forbindelse med opfølgningen. (Perioden kan afhænge af transaktionsomfanget) 131

136 Bilag 6: Kasseeftersyn - Bankmellemværender September 26 Bilag 6: Kasseeftersyn - Bankmellemværender 1. Rekvirer pr. dags dato engagementsoversigt og kontoudskrifter fra bank(er) samt kontoudskrifter fra finansbogføringen for samtlige bankkonti. 2. Foretag afstemning af bankkontiene. Anmod alternativt klienten herom. 3. Til brug for bankafstemningerne opnoteres sidste ubrugte checknummer. 4. Foretag nummerkontrol af ubrugte checkblanketter. Vær herunder opmærksom på eventuelle blankochecks. Gennemgå eventuelle skæringsposter i bankafstemningerne. Efterfølgende bogføring og hævning/indsætning i banken kontrolleres under "Opfølgning". 5. Gennemgå bankbilag i en periode på ca. 14 dage før kasseeftersynet i forbindelse med kasseeftersynet og i en periode på ca. 14 dage efter kasseeftersynet i forbindelse med opfølgningen 132

137 Bilag 7: Kasseeftersyn - Værdipapirbeholdning September 26 Bilag 7: Kasseeftersyn - Værdipapirbeholdning 1. Rekvirer pr. dags dato depotoversigt og kontoudskrifter fra bank(er) samt kontoudskrifter fra finansbogføringen for samtlige værdipapir. 2. Foretag afstemning af værdipapirerne. Anmod alternativt klienten herom. 133

138 Bilag 8: Saldomeddelelser September 26 Bilag 8: Saldomeddelelser Debitor A/S Debitorvej 15 8 Århus C XX.XX.2X Som revisor for: Saldo A/S Saldovej Århus C tillader vi os at meddele Dem, at Deres konto (nr ) pr. den XX.XX.2X udviste: tilgodehavender hos Dem på DKK , Vi beder Dem venligst snarest tilbagesende vedlagte meddelelse i underskrevet stand i vedlagte frankerede kuvert og eventuelt anføre bemærkninger, som denne meddelelse måtte give anledning til. Denne meddelelse er en almindelig revisionsmæssig kontrolforanstaltning, som vil blive gentaget med ubestemt mellemrum og må ikke betragtes som nogen påmindelse om betaling. Alle henvendelser vedrørende denne meddelelse bedes derfor rettet direkte til revisor Anders Andersen. Med venlig hilsen Anders Andersen Revisor 134

139 Bilag 8: Saldomeddelelser September 26 Bilag 8: Saldomeddelelser (fortsat) Underskrevne Debitor A/S Debitorvej 15 8 Århus C bekræfter herved rigtigheden af den modtagne saldomeddelelse vedrørende vor konto (nr ) hos: Saldo A/S Saldovej Århus C der pr. den XX.XX.2X viste: en saldo i Deres klients favør på DKK , Bemærkninger: Underskrift: Dato: Ref.: Revisor Anders Andersen 135

140 Bilag 9: Debitor September 26 Bilag 9: Kasseeftersyn - Debitorer Såfremt der ikke er funktionsmæssig adskillelse mellem kasse-/bankfunktionen og debitorbogholderiet udsendes saldomeddelelser til debitorerne. 1. Indhent debitorsaldoliste pr. seneste månedsskifte og afstem listen med debitorkontoen i finansbogholderiet. 2. Udvælg en stikprøve fra debitorlisten, hvortil der skal sendes saldomeddelelser. 3. Inden udsendelse gennemgås de udvalgte debitorer med debitorbogholderen/direktøren. Forklaringer på afviste debitorer opnoteres og vurderes. Gennemgang af besvarelser m.m. foretages under "Opfølgning". 136

141 Bilag 1: Kasseeftersyn - Forretningsgange September 26 Bilag 1: Kasseeftersyn - Forretningsgange 1. Anmod klienten om en ajourført beskrivelse af forretningsgangen på kasseområdet. Ajourfør alternativt egen beskrivelse. Vær opmærksom på eksistensen af følgende interne kontroller: Adskillelse mellem kasse- og bogholderifunktionen. Daglige kasseoptællinger og afstemninger. Betryggende opbevaring af kontantkasse og ubrugte checkblanketter. Maksima for kassebeholdninger. Regler for personalets indløsning af checks, forskud m.m. Løbende afstemninger af bankkonti. Løbende afstemninger af debitor- og kreditormodul med finanskontiene. Godkendelse af afstemninger. Eksistensen af værdiindgangsbog. Poståbningsprocedure. Straksendossering af modtagne checks. Hensigtsmæssige fuldmagtsregler ved betaling med: (a) Check. (b) Edb-overførsler. Attestationsregler vedr. udgiftsbilag. Passwordsystem. Overordnet gennemgang og godkendelse af kassebogføringen. Ovennævnte interne kontroller testes og det påses herunder, at udførte kontroller dokumenteres med attestation og dato. 2. Påse at ledelsen periodisk påser, at interne kontroller udføres. 3. Påse at kassebogføringen er rimelig ajourført. 4. Forespørg om kassereren forvalter andre pengemæssige beholdninger og undersøg i givet fald om klienten er bekendt hermed. 5. Undersøg om klienten overholder reglerne i bogføringsloven. 137

142 Bilag 11: Kasseeftersyn - Opfølgning September 26 Bilag 11: Kasseeftersyn - Opfølgning Opfølgning af kasseeftersynet foretages ca. 2-3 uger efter kasseeftersynet (alternativt ved senere besøg). Planlæg omfanget heraf ud fra bemærkningerne fra kasseeftersynet. Opfølgningen kan omfatte: 1. Påse at eventuelle checks i kassen nu er indsat i banken. 2. Påse at udgiftsbilag og checks i kassen nu er bogført. 3. Påse at udlæg er afregnet og bogført. 4. Gennemgå i øvrigt kassebogføringen og kassebilag i perioden efter kasseeftersynet. 5. Påse at manglende godkendelser på bilag nu er indhentet. 6. Foretag bilagskontrol af bank- og kassebilagene for en periode på ca. 14 dage efter kasseeftersynet. 7. Påse at skæringsposter i bankafstemninger nu er bogført eller hævet/indsat. 8. Udsend rykkere til debitorer og kreditorer, der ikke har besvaret vor henvendelse. 9. Undersøg uoverensstemmelser i modtagne svar på saldomeddelelserne. 1. Ikke besvarede saldomeddelelser følges op enten nu eller senere ved at gennemgå efterfølgende indbetalinger. 11. Udarbejde eventuelle bemærkninger til brug for næste uanmeldte kasseeftersyn. 138

143 Bilag 12: Kasseeftersyn - Rapportering September 26 Bilag 12: Kasseeftersyn - Rapportering 1. Udarbejd kritiske bemærkninger fra kasseeftersynet. 2. Vurder behovet for udarbejdelse af et management letter. 3. Udarbejd revisionsprotokollat. 4. Evt. rapportering af besvigelser til øvrige end virksomhedens ledelse (SØK). 139

144 Bilag 13: Omsætning September 26 Bilag 13: Omsætning 1. Gennemgå og test selskabets forretningsgange og interne kontroller vedrørende området omsætning. Udvælg poster bogført på salgskontiene for at opnå høj sikkerhed for, at der er opnået nøjagtighed ved at udføre følgende: 2. Påse, at der er blevet udstedt salgsfaktura, og at fakturaen er blevet korrekt bogført på debitorkonto, mv. 3. Foretag nummerkontrol på et antal fakturaer. 4. Gennemgå aftaler, fragtomkostninger, lagerafgange mv., som kan bekræfte varesalget. Kontrol af skæring ved status: 4. Gennemgå kreditnotaer efter status, og påse at der ikke er kreditnotaer, som vedrører det aktuelle regnskabsår. 5. Gennemgå fakturaer op til status, og påse at der ikke er sket forudfakturering, som vedrører kommende regnskabsår. Foretag ydermere en regnskabsanalytisk gennemgang af omsætningskontiene i form af gennemgang, sammenligning og vurdering heraf. Gennemgangen kan indledningsvis foretages som en gennemlæsning fa bogføringen samt herefter beregning af nøgletal, sammenligning med sidste års tal og budgetter mv. Analysernes omfang og art skal naturligvis tilpasses den konkrete klient, det er dog vigtigt, at der foretages en selvstændig vurdering af de enkelte regnskabsposter. 14

145 Bilag 14: Hensættelse til tab på debitorer September 26 Bilag 14: Hensættelse til tab på debitorer 1. Udsend saldomeddelelser eller følg op på udsendelsen foretaget i forbindelse med kasseeftersynet. Hvis saldomeddelelser ikke udsendes, dokumenteres grunden til, at dette ikke er vurderet hensigtsmæssigt. 2. Indhent en detaljeret aldersfordelt saldoliste over debitorerne. Afstem denne til finans. 3 Gennemgå afskrivning af tab på debitorer ved at udføre følgende: Overvej rimeligheden i udgiften til tab på debitorer i lyset af afskrivningerne af tab på debitorer i tidligere år. Undersøg dokumentationen for afskrivninger af tilgodehavender i perioden og fastslå, hvorvidt afskrivningerne er korrekt bemyndiget. 4 Vurder tilstrækkeligheden af hensættelsen til tab på debitorer ved at udføre følgende: Ud fra den indhentede aldersfordelte debitorsaldoliste gennemgås rimeligheden i aldersfordelingen og undersøg usædvanlige tendenser og forhold, som kan tyde på en revisionsrisiko, der kræver yderligere opmærksomhed. Afgør hvorvidt den aldersopdelte debitorsaldoliste er korrekt ved at kontrollere aldersfordelingen for udvalgte debitorer. Indhent en liste over tilgodehavender, for hvilke der er foretaget hensættelser. Gennemgå og efterprøv den proces, som ledelsen har anvendt til deres vurdering af, hvorvidt de kan inddrives. Hvis der er foretaget hensættelser ved brug af en formel på grundlag af den aldersopdelte liste, fastslå, med henvisning til tidligere års arbejdspapirer vedrørende klientens procedurer, hvorvidt grundlaget er: o I overensstemmelse med sidste år o Hensigtsmæssigt under de givne forhold og o I overensstemmelse med anvendt regnskabspraksis. Drøft med ledelsen muligheden for at inddrive tilgodehavender og gennemgå anden dokumentation, der understøtter inddrivelsen, hvor dette findes nødvendigt. 141