Revisoransvar ved besvigelser

School of Business and Social Sciences Aarhus Universitet Cand. Merc. Aud studiet Kandidatafhandling Revisoransvar ved besvigelser - Analyse af forventningskløft mellem revisor og interessenter Udarbejdet af: Pia Obel Christensen Eksamensnummer: 285556 Studienummer: PC82472 Vejleder: Jan K Mortensen Dato: 2. januar 2015 Antal tegn: 131.657

Indholdsfortegnelse Executive Summary...1 1. Indledning...3 1.1 Problemformulering...4 1.2 Disposition...4 1.3 Metode/teori afsnit...5 1.3.1 Spørgeskemaundersøgelse...6 1.4 Afgrænsning...6 1.5 Kildekritik...7 1.6 Målgruppe...8 1.7 Begrebsliste...8 2. Begrebet besvigelser...8 2.1 Besvigelsestrekanten...9 2.2 Besvigelsestyper...10 2.2.1 Regnskabsmanipulation...10 2.2.2 Misbrug af aktiver...11 3. Ledelsens ansvar for forebyggelse og opdagelse af besvigelser...12 3.1 COSO framework...12 3.1.1 Kontrolmiljø...13 3.1.2 Risikovurdering...13 3.1.3 Kontrolaktiviteter...14 3.1.4 Information og kommunikation...14 3.1.5 Overvågning af kontroller...14 3.2 Anbefalinger for god selskabsledelse...14 3.3 Delkonklusion på ledelsens ansvar for forebyggelse og opdagelse af besvigelser...17

4. Revisors overordnede mål ved revision af regnskaber...17 4.1 Revisionsrisiko...17 4.2 Iboende begrænsninger...18 4.3 Krav til revisor...19 4.4 Delkonklusion på revisors overordnede mål ved revision af regnskaber...20 5. Revisors ansvar for afdækning af besvigelser...20 5.1 Identifikation og vurdering af risici...21 5.2 Reaktioner på vurderede risici...22 5.3 Reaktion på besvigelser eller mistanker herom...24 5.4 Delkonklusion på revisors afdækning af besvigelser...24 6. Forventningskløften...25 6.1 Spørgeskema...26 6.2 Generelle oplysninger fra spørgeskemaet...26 6.3 Undersøgelser vedrørende ledelsens rolle og ansvar...27 6.4 Undersøgelser vedrørende revisors rolle og ansvar...28 6.4.1 Hvem er revisor repræsentant for?...28 6.4.2 Revisors rolle som offentlighedens tillidsrepræsentant...30 6.4.3 Revisors kompetencer...31 6.4.4 Revisors konklusion på årsregnskabet...33 6.5 Diskussion af analysen...35 6.6 Delkonklusion på spørgeskemaundersøgelsen...36 7. Hvordan kan forventningskløften mindskes?...36 7.1 Udkast til ISA 701 Kommunikation af væsentlige forhold konstateret under revisionen i revisors erklæring...37 7.1.1 Standardens indhold...38 7.1.2 Betydningen af den nye ISA...39

7.2 Kommunikation af væsentlighed i revisionspåtegningen...41 7.3 Kommunikation af rettede og ikke rettede fejl i revisionspåtegningen...43 7.4 Delkonklusion på forventningskløften...46 8. Retspraksis...47 8.1 Revisors erstatningsansvar...47 8.2 Culpa bedømmelsen...48 8.3 Vurdering af ansvarsgrundlaget...50 8.4 U.2003.2505H...50 8.5 U.2011.3010Ø...55 8. 6 Delkonklusion på gennemgang af retspraksis...62 9. Konklusion...62 10. Perspektivering...64 11. Litteraturliste...65 Diverse bilag henvist til fra opgaven Bilag 1 - Begrebsliste Bilag 2 Spørgeskema Bilag 3 Eksempel på ny revisionspåtegning Bilag 4 Korrespondance med fagligt center Anvendte artikler vedlagt som bilag Bilag 5: Vi skal have lukket forventningskløften Bilag 6 Nordisk Fjer skandalen Bilag 7 Læs hele Stein Bagger interviewet Bilag 8 Gate Gourmet-chef anklages for svindel for 138 millioner kroner

Executive Summary This thesis is prepared as part of the MSc in Business Economics and Auditing at Aarhus University. Auditor s responsibility relating to fraud is a subject that has always been a relevant and discussed subject among auditors and the public but when new cases relating to fraud emerges in the media the subject becomes of a higher interest from the public in relation to how far auditor s responsibility reaches and how far it should reach. The media s presentation of the cases can often lead to the misunderstanding that committed fraud is a result of a poor performed audit. Fraud cases often lead to heavy losses and sometimes it can even lead to a bankruptcy. Often focus is directed toward the auditors of the company where the fraud has been committed when creditors and lenders seek their losses with acquisitions of a poor performed audit. The Danish association of state authorized public accountants believes that the reason for the many cases is that there is an expectation gap between what society believes to be auditor s responsibilities and their legal responsibility. The consequences of the media s representation and the public s view on auditor s responsibility can be a threat to accountants and their status seeing that the primary job of an accountant is to represent the public. This master thesis will focus on clarifying management responsibility and auditors responsibility according to law. When responsibilities are clear, an analysis of the public s view on responsibilities will be performed through a questionnaire and the thesis will conclude on whether an expectation gap exist. Furthermore, the thesis will conclude on whether the expectation gap consists because of unrealistic expectations from the public, because of a lack in auditor s regulation or because auditors do not meet their responsibilities according to law. The thesis will also include suggestions as to how the expectation gap can be minimized. Side 1 af 66

A section with an analysis of relevant case law is included to illustrate how auditor responsibility is assessed in the court of law that will lead to a conclusion on how responsibilities between management and auditors is judged in practice. Side 2 af 66

1. Indledning Revisor har udover at være ansat af virksomheden også en rolle som offentlighedens tillidsrepræsentant. Revisors dobbelt rolle omtales ofte som et agent/principal forholdet, hvor revisor skal varetage både virksomhedens interesser og offentlighedens interesser. Revisorer er i medfør af denne rolle underlagt et særligt udvidet ansvar, hvor der er mulighed for at pålægge et ansvar for fejl begået af revisor, der kan lede til fejlfortolkning eller misbrug fra andre. Ansvarsformerne for revisor kan deles op i erstatningsansvar, strafansvar og disciplinæransvar. Revisoransvar er omdrejningspunktet for denne opgave med fokus på revisors ansvar ved besvigelser. Spørgsmålet om revisors ansvar ved besvigelser har altid haft relevans, men får i forbindelse med, at der opstår nye sager om besvigelser et øget fokus fra medierne og interessen fra offentligheden øges i relation til, hvor langt revisors ansvar rækker. De nok mest omtalte sager inden for de seneste år er sagerne om IT Factory og Gate Gourmet, hvor henholdsvis Stein Bagger og Amanda Jacobsen var omdrejningspunktet. I begge sager var særligt medierne hurtige til, at stille spørgsmålstegn ved revisors arbejde. Man kan igennem mediernes fremstilling af sagerne få en opfattelse af, at der kan sættes lighedstegn mellem begåede besvigelser og dårlig udført revision. En sag om besvigelser leder i mange tilfælde til store tab og i nogle tilfælde til virksomhedens konkurs. Ofte ser man her, at fokus rettes mod revisor med anklage om dårlig udført revision med krav om erstatning for det lidte tab. Brancheforeningen FSR mener, at årsagen til de mange sager skyldes, at der er en forventningskløft imellem, hvad revisors arbejde reelt består i lovgivningsmæssigt og hvad virksomheder, samfundet og øvrige interessenter mener, at revisors arbejde består i. 1 Konsekvenserne for revisorerne ved forventningskløften kan være, at interessenterne mister tilliden til revisor og at revisor i medfør heraf, er i fare for at miste sin status/rolle som offentlighedens tillidsrepræsentant og sker dette mister revisor sin betydning for samfundet. 1 Artikel - Vi skal have lukket forventningskløften Side 3 af 66

Det er således i medfør at ovenstående og egen beskæftigelse som revisor, at inspirationen til denne opgave er opstået, hvor det vurderes interessant at dykke ned i denne problemstilling og særligt forventningskløften samt analysere på tidligere sager om erstatningsansvar rettet mod revisor. 1.1 Problemformulering Hovedspørgsmålet igennem opgaven er formuleret således: Er revisors forventning til afdækning af besvigelser i overensstemmelse med interessenternes forventninger hertil? 1. Hvilket ansvar påhviler ledelsen for at forebygge og opdage besvigelser? 2. Hvad er revisors ansvar for afdækning af besvigelser i henhold til lovgivningen? 3. Stemmer interessenternes forventninger til ledelsen og revisor i praksis overens med, hvad der er gældende ifølge lovgivningen? Hvis ikke, hvordan kan man mindske denne forventningskløft? 4. Hvad siger retspraksis omkring revisors ansvar for besvigelser, der kan henføres til revisors manglende overholdelse af lovgivningen/god revisionsskik? 1.2 Disposition Specialet er inddelt i tre hovedafsnit, der afslutningsvist kan sammenfattes til en konklusion på problemformuleringen. Indledende til dette er der dog foretaget en beskrivelse og gennemgang af begrebet besvigelser, således der for opgavelæser ikke drages tvivl om netop dette begreb, da en klar definition og forståelse heraf er væsentlig for opgaven. Del et af de tre hovedafsnit omfatter en teoretisk beskrivelse af henholdsvis revisors, den øverste ledelses og den daglige ledelses ansvar for besvigelser. I del to af specialet analyseres forventningskløften gennem en empirisk undersøgelse ved hjælp af spørgeskemaer rettet til en relevant kreds af respondenter. Undersøgelsen kobles sammen med den beskrevne teori, og ud fra den foretagne undersøgelse forsøges der givet forskellige bud på, hvordan man kan mindske forventningskløften mellem offentligheden og revisor. Den sidste og tredje del af specialet vil fokusere på, hvilken retspraksis der er på området, og denne vil igen blive analyseret ved at sammenholde med teorien på området og den foretagne empiriske analyse. Specialet kan på baggrund af ovenstående beskrivelser og analyser til slut kædes sammen i en konklusion på problemformuleringen. Specialets opbygning er illustreret nedenfor: Side 4 af 66

Kilde: Egen fremstilling 1.3 Metode/teori afsnit Specialet vil indledende hovedsageligt bestå af en beskrivende del for at fastlægge hvilket ansvar der lovgivningsmæssigt ligger hos de involverede parter ved revision. Her tages der primært udgangspunkt i offentliggjort litteratur, selskabsloven, samt revisorloven og relevante revisionsstandarter. Der udføres herefter en empirisk analyse igennem et spørgeskema, hvor fokus primært vil ligge på hovedproblemet i opgaven nemlig den forventningskløft, der er mellem revisor og offentligheden. Metoden for spørgeskemaet er nærmere beskrevet i det følgende afsnit 1.3.1. Specialet tager herefter udgangspunkt i en beskrivelse af reglerne for revisors erstatningsansvar, der også tager sit udgangspunkt i lovgivningen og offentliggjort litteratur på området. Beskrivelsen danner grundlag for en analyse af retspraksis, hvor retspraksis består af offentliggjorte domme, som yderligere suppleres med udtalelser fra responsumudvalget. Side 5 af 66

1.3.1 Spørgeskemaundersøgelse Formålet med spørgeskemaet er, at indsamle primære data til specialet, der kan analyseres og sammenholdes med eksisterende sekundær data. Spørgeskemaet udsendes elektronisk, da det vurderes at være den hurtigste proces for at modtage mange svar på relativt kort tid. Det er ligeledes hurtigere og nemmere for respondenterne at behandle et elektronisk spørgeskema end et post spørgeskema eller deltagelse i interview. I det elektroniske spørgeskema er det ligeledes muligt at styre besvarelserne ved, at der kan være én eller flere svarmuligheder. Endeligt er det også tidsbesparende at behandle elektroniske spørgeskemaer, og et elektronisk spørgeskema syner mere professionelt. Nogle af de umiddelbare ulemper ved at anvende spørgeskemaanalysen er, at undersøgelsen ikke kan blive repræsentativ, da svarprocenterne som oftest er relativt lave. En anden umiddelbar ulempe ved at anvende spørgeskema frem for en interview undersøgelse er, at det ikke er muligt at stille respondenterne dybdegående spørgsmål, sådan at begrundelserne for de angivne svar kan undersøges nærmere. I udarbejdelsen af spørgeskemaet, har der været stor fokus på, at svarmuligheden ved ikke var mulig at angive ved alle de stillede spørgsmål. Dette er gjort, således at respondenterne ikke tvinges til at gætte sig til den korrekte svarmulighed, der betydeligt ville svække kvaliteten af det rundsendte spørgeskema. Spørgeskemaet er udsendt igennem Tric Trac, der er et web baseret program til design og indsamling af spørgeskemaanalyser, hvor der er opnået studielicens via programmets hjemmeside. Spørgeskemaet er vedlagt som bilag 2 til denne opgave. 1.4 Afgrænsning Grundet specialets begrænsede omfang, har det været nødvendigt at foretage visse afgrænsninger. Forventningerne til revisors afdækning af besvigelser er afgrænset til at omhandle revisors ansvar ved revisionsopgaver, og der er således afgrænset fra alle andre opgaver end revision. Endvidere er der afgrænset fra forventningskløften i forhold til utilsigtede fejl, og det er således kun forventningskløften i forhold til besvigelser der behandles. Side 6 af 66

I opgavens afsnit 3 om ledelsens ansvar for forebyggelse og opdagelse af besvigelser er der lavet en afgrænsning fra at en dybdegående gennemgang og analyse af COSO og vejledninger for god selskabsledelse herunder risikostyring, der vil kunne danne grundlag for et særskilt speciale. I opgavens afsnit 5 om revisors ansvar er det primært ISA 240 om revisors ansvar vedrørende besvigelser ved revision af regnskaber der er behandlet. Der er således afgrænset fra at behandle andre revisionsstandarder, der ikke er henvist til fra ISA 240. Der er herudover afgrænset fra at behandle udkast til ajourførte ISA er nævnt i opgavens afsnit 7.1 ud over udkastet til den nye ISA 701. Disse omfatter ISA 700 (udformning af en konklusion og afgivelse af erklæring om et regnskab), ISA 260 (kommunikation med den øverste ledelse), ISA 570 (fortsat drift), ISA 705 (modifikationer til konklusionen i den uafhængige revisors erklæring) og ISA 706 (supplerende oplysninger vedrørende forståelse af regnskabet og supplerende oplysninger vedrørende forståelse af revisionen i den uafhængige revisors erklæring). Endelig er der foretaget en afgrænsning fra en beskrivelse af revisors strafansvar og disciplinæransvar, og der er ligeledes afgrænset herfra ved udvælgelse af relevante offentliggjorte domme, der er analyseret i denne opgave. Som det kort er redegjort for i opgavens afsnit 8, er der et begrænset antal af offentliggjorte erstatningssager mod revisorer, der skyldes at sagerne ofte er dækket af revisors forsikring og dermed bliver afgjort som forsikringssager. Der foreligger en omfattende praksis vedrørende erstatningsspørgsmålene hos ansvarsforsikringsselskaberne. Disse afgørelser er dog ikke offentlig tilgængelige, hvorfor det ikke er muligt at inddrage disse ved en gennemgang af retspraksis. 2 Der er dog afgrænset fra at behandle revisors pligt til at tegne forsikringer yderligere i denne opgave. 1.5 Kildekritik Der anvendes hovedsageligt primære kilder til opgaveskrivningen, da disse vurderes at have den højeste grad af troværdighed grundet, at de ikke er fortolket af andre. I forbindelse med anvendelsen af sekundære kilder anvendes hovedsageligt undervisningsmateriale og faglige kilder som eksempelvis artikler og materiale fra FSR. Kun i begrænset grad anvendes 2 Revisoransvar, (2013, s. 304) Side 7 af 66

artikler, der er skrevet i de offentlige medier og kun i de tilfælde, hvor det understøtter andre kilder eller kendt stof. 1.6 Målgruppe Målgruppen for denne opgave er vejleder og censor tildelt i forbindelse udarbejdelsen af dette speciale. Herudover henvender opgaven sig til alle med interesse for revision og regnskab og herunder specifikt opgavens emne om revisors ansvar for afdækning af besvigelser. Det forudsættes, at man som opgavelæser, har et vist foregående kendskab til emnet revision. 1.7 Begrebsliste Der er udarbejdet en begrebsliste vedlagt som bilag 1 til denne opgave, således der ikke drages tvivl om anvendelsen af de anvendte begreber, og der opnås en fælles forståelse heraf mellem forfatter og læser af denne opgave. 2. Begrebet besvigelser Det særlige ved begrebet besvigelser er, at det ikke er et juridisk begreb der findes gengivet i straffelovgivningen og besvigelser i sig selv er derfor ikke strafbare. Besvigelser er et revisionsmæssigt begreb, der er defineret i den revisionsmæssige regulering og det er de underliggende gerningsindhold, der er strafbare. 3 Herunder kan nævnes tyveri, underslæb, bedrageri, mandatsvig, skyldnersvig, skattesvig og hæleri, der alle behandles i straffelovens kapitel 28 om formueforbrydelser. Ud over straffelovgivningen findes der en række strafbestemmelser i særlovgivningen om formueforbrydelser. Af særlovgivninger indeholdende strafbestemmelser kan nævnes erklæringsbekendtgørelsens kapitel 3, hvidvaskningslovens kapitel 11, revisorlovens kapitel 12, årsregnskabslovens kapitel 24 og selskabslovens kapitel 23. Besvigelser er defineret i ISA 240 afsnit 11(a) som: Besvigelser en bevidst handling udført af en eller flere personer blandt den daglige ledelse, den øverste ledelse, medarbejdere eller tredjeparter, der benytter vildledning til at opnå et uberettiget eller ulovlig fordel 4 3 Besvigelser og økonomisk kriminalitet (2010, s. 70) 4 ISA 240 pkt. 11(a) Side 8 af 66

Ovenstående definition på besvigelser redegør dermed også implicit for, at fejl ikke er omfattet af definitionen, da en fejl ikke klassificeres som en bevidst handling. Betegnelsen fejl anvendes i ISA om en utilsigtet fejlinformation i regnskabet, herunder udeladelse af beløb eller oplysninger. 5 En række faktorer skal dermed ifølge ISA være til stede for, at der er tale om en besvigelse. I det følgende afsnit vil det blive beskrevet, hvornår der er en risiko og et grundlag for, at besvigelser kan opstå. 2.1 Besvigelsestrekanten Besvigelsestrekanten består af tre risikofaktorer, der alle siges at skal være til stede for, at besvigelser kan opstå, og det er disse tre risikofaktorer, der udgør den samlede besvigelsesrisiko. Risikofaktorerne er til stede uanset, hvilken type af besvigelse, der er tale om. Teorien er udviklet af Donald R. Cressy tilbage i 1953 og er i dag en integreret del af ISA 240. 6 De tre risikofaktorer beskrives som 7 : - Incitament eller pres, der giver et motiv for at begå besvigelser - Mulighed for at begå besvigelser - Retfærdiggørelse for at begå besvigelser Faktorer der kan lede til incitament eller pres til at begå besvigelser, kan være at en virksomhed er truet økonomisk, at der ligges et stort pres på ledelsen til at opnå resultater for at tilfredsstille aktionærer og interessenter eller personlige økonomiske forhold. Mulighed for besvigelser kan opstå ved typen transaktioner der håndteres i virksomheden. Dette kan være transaktioner med nærtstående parter eller omfattende skøn og komplekse transaktioner. Muligheden kan ligeledes opstå ved, at ledelsen ikke har etableret et formelt kontrolmiljø, der overvåges løbende eller er ineffektivt. Retfærdiggørelsen kan opstå ved dårlig kommunikation af virksomhedens værdier og etiske standarder eller uhensigtsmæssige sådanne. Andre eksempler på retfærdiggørelse kan være, at virksomheden forsøger at opretholde aktiekurs og resultatudvikling og i forlængelse af dette, at virksomheden har forpligtet sig over for aktionærer og andre kreditorer med urealistiske budgetter. 5 ISA 240 pkt. A2 6 Revisors opklaring af besvigelser (2012, s. 24) 7 ISA 240 pkt. A1 Side 9 af 66

Der kan være mange andre faktorer, der kan lede til besvigelser. Ovenstående er blot nogle eksempler, der er med til at øge forståelsen for, hvorfor besvigelser forekommer i praksis. 2.2 Besvigelsestyper I ISA 240 er beskrevet to typer af fejlinformationer, der er væsentlige for revisor. Disse er fejlinformation som følge af regnskabsmanipulation og fejlinformation som følge af misbrug af aktiver. 2.2.1 Regnskabsmanipulation Regnskabsmanipulation beskrives i ISA 240, som tilsigtet fejlinformation i regnskabet, herunder udeladelse af beløb eller oplysninger for at vildlede regnskabsbrugerne. Af eksempler på regnskabsmanipulation er i ISA 240 nævnt manipulation, forfalskning eller ændring af den underliggende bogføring eller dokumentation der danner grundlag for regnskabsudarbejdelsen. Det kan også være en forkert præsentation eller bevidst udeladelse af begivenheder og transaktioner eller anden betydelig information for regnskabet. Endeligt er som eksempler også nævnt bevidst forkert anvendelse af regnskabspraksis vedrørende beløb, klassifikation, præsentation eller oplysning. 8 Regnskabsmanipulation involverer ofte den daglige ledelses tilsidesættelse af kontroller, der i øvrigt synes at fungere effektivt. 9 Af meget kendte og medieomtalte sager om regnskabsmanipulation er sagen Nordisk Fjer og sagen om IT Factory. I sagen om Nordisk Fjer A/S var der foretaget fiktive handler med varer og produktionsudstyr imellem koncernens selskaber, forfalsket regnskaber og medarbejdere og ledere blev manipuleret til at medvirke til besvigelserne. Blot 14 måneder efter offentliggørelsen af 1989 regnskabet for Nordisk Fjer, hvor egenkapitalen udgjorde 781 millioner kroner, blev selskabet erklæret konkurs. 10 I sagen om IT Factory blev der blandt andet solgt falske licenser på software, serienumre og bestyrelsesformandens underskrift blev forfalsket og leasingselskaber og banker blev overtalt til at 8 ISA 240 pkt. A2 9 ISA 240 pkt. A4 10 Artikel Nordisk Fjer skandalen Side 10 af 66

belåne fakturaer. Selskabet indgav i december 2008 en konkursbegæring og det estimeres, at selskabets administrerende direktør Stein Bagger har bedraget for 860 millioner kroner. 11 2.2.2 Misbrug af aktiver Misbrug af aktiver beskrives i ISA 240 som tyveri af virksomhedens aktiver og begås ofte af medarbejdere. Den daglige ledelse der ofte har bedre muligheder for at skjule misbruget, kan dog også være involveret. Der er ligesom for regnskabsmanipulation nævnt en række eksempler på, hvordan misbrug af aktiver kan forekomme. Eksemplerne omfatter misbrug af debitorindbetalinger (underslæb) og tyveri af fysiske aktiver eller immaterielle rettigheder. Det kan også være betaling for varer og tjenesteydelser, der ikke er modtaget herunder udbetaling til fiktive forhandlere, returkommission eller udbetaling til fiktive medarbejdere. Endeligt er som eksempel nævnt privat benyttelse af virksomhedens aktiver. Privat benyttelse kan bestå i, at benytte virksomhedens aktiver til sikkerhedsstillelse for et privat lån eller lån til en nærtstående part. Ved denne type af besvigelse er der ofte et element af falske eller vildledende registreringer eller dokumenter for at skjule misbruget af autorisation. 12 En sag der omhandler misbrug af aktiver og også fik omfattende mediedækning er sagen om Gate Gourmet og selskabets administrerende direktør Amanda Jakobsen. Amanda Jakobsen havde i en årrække mellem 2008-2011 overført penge fra virksomhedens konto til hendes private konto, og havde også hævet kontante beløb. Underslæbet blev estimeret til 138 millioner kroner. 13 Gate Gourmet led ikke så alvorlige følger som både Nordisk Fjer og IT Factory, der førte til konkurs, og selskabet er således i dag stadig aktivt. I alle de nævnte sager blev fokus under mediedækningen rettet mod selskabernes revisorer, og der blev stillet spørgsmålstegn ved om revisorernes arbejde var udført grundigt nok og revisors hverv som offentlighedens tillidsrepræsentant. I de følgende afsnit foretages en gennemgang af henholdsvis revisors ansvar og ledelsens ansvar i relation til forebyggelse og opdagelse af besvigelser. 11 Artikel Læs hele Stein Bagger interviewet 12 ISA 240 pkt. A5 13 Artikel Gate Gourmet-chef anklages for svindel for 138 millioner kroner Side 11 af 66

3. Ledelsens ansvar for forebyggelse og opdagelse af besvigelser Ledelsens ansvar for afdækning af besvigelser skal findes i selskabslovens 115 og 117. Det gælder efter selskabslovens 115 nr. 2: I kapitalselskaber, der har en bestyrelse, skal denne udover at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at der er etableret de fornødne procedurer for risikostyring og interne kontroller I kapitalselskaber, hvor der ikke er udpeget en bestyrelse er det direktionens opgave at sikre ovenstående jf. SEL 117, stk. 1 og 2. Måden hvorpå virksomheden, herunder bestyrelse og direktion vælger at foretage deres risikostyring, og hvilke interne kontroller der etableres til at imødekomme de identificerede risici er op til den enkelte virksomhed. Der findes således ikke som i revisorlovgivningen konkret lovgivning på, hvordan ledelsen skal leve op til dette ansvar. Af kommentarer til selskabsloven fremgår det blandt andet om bestyrelsens ansvar: En forsvarlig organisation af selskabets virksomhed indebærer f.eks. at fastlægge hovedlinierne for, hvordan virksomheden tilrettelægges... 14 Ved formuleringen»fornødne procedurer«sigtes der bl.a. til, at der skal være forskel på, hvilke krav der stilles til risikostyring og interne kontroller i forskellige typer og størrelser af selskaber. 15 Der findes diverse vejledninger til virksomhederne, når de skal foretage deres risikovurdering og etablere et effektivt internt kontrolmiljø, hvor blandt andet COSO begrebsrammen og anbefalinger for god selskabsledelse i Danmark er meget brugte. Der foretages en overordnet gennemgang af disse i det følgende. 3.1 COSO framework COSO s begrebsramme hjælper på struktureret vis virksomheder med at identificere skjulte risici, og bidrager til at styrke og opretholde et sundt kontrolmiljø og kan anvendes af alle typer af virksomheder. 14 Kommentar til selskabsloven afsnit 699 15 Kommentar til selskabsloven afsnit 700 Side 12 af 66

Begrebsrammen er illustreret nedenfor: Kilde: Revisoransvar (2013, s. 178) Toppen af begrebsrammen illustrerer de overordnede mål med interne kontroller, der deles op i sikring af en effektiv drift, udarbejdelse af pålidelig regnskabsinformation og overholdelse af love og regulativer. 16 Siden af terningen repræsenterer strukturen i virksomheden og fronten består af fem kontrolkomponenter, der repræsenterer de tiltag en virksomhed skal iværksætte for at opnå målet med begrebsrammen. De fem kontrolkomponenter er kort beskrevet i det følgende. 3.1.1 Kontrolmiljø Kontrolmiljøet er fundamentet for en effektiv intern kontrol og omfatter den daglige ledelses og den øverste ledelses holdninger, opmærksomhed og tiltag vedrørende virksomhedens interne kontrol og dens vigtighed i virksomheden. Kontrolmiljøet fastlægger tonen i organisationen og har indflydelse på de ansattes kontrolbevidsthed. 3.1.2 Risikovurdering I risikovurderingsprocessen identificerer man de risici der eksisterer i forhold til at nå de forretningsmæssige mål. Man bør overveje eksterne og interne begivenheder og omstændigheder, der kan have negativ indflydelse på rapportering af finansielle data, herunder adgange, rettigheder, registreringer mv. 16 Omfattet af definitioner i ISA 315 pkt. 4c Side 13 af 66

Når risici er blevet identificeret bør ledelsen overveje deres betydning og sandsynligheden for forekomst, samt hvordan de skal håndteres. I nogle tilfælde kan ledelsen vælge at acceptere konsekvenserne ved en mulig risiko fordi omkostningerne til at afhjælpe risikoen, kan overstige fordelen. 3.1.3 Kontrolaktiviteter Kontrolaktiviteter er de politikker og procedurer, der medvirker til at sikre, at ledelsens anvisninger gennemføres for at imødegå risici der er identificeret i risikovurderingsprocessen. Kontrolaktiviteter omfatter en række aktiviteter såsom godkendelser, tilladelser, kontrol, afstemninger og funktionsadskillelse. De forekommer i hele organisationen, på alle niveauer og i alle funktioner. 3.1.4 Information og kommunikation Informationssystemet består af infrastruktur, software, personer, procedurer og data mv. Informationssystemet der er relevant for målene for regnskabsaflæggelse og omfatter regnskabssystemet, består af de procedurer der er etableret til at initiere, registrere, behandle og rapportere virksomhedens transaktioner. Kommunikation omfatter uddelegering af opgaver og ansvar der er relevante for de interne kontroller, og kan være både i mundtlig og skriftlig form. 3.1.5 Overvågning af kontroller Overvågning af kontroller har til formål at vurdere kvaliteten af de interne kontroller over tid. Ledelsen skal overvåge kontroller for at fastslå, om de fungerer effektivt, og om de imødekommer identificerede risici, og da risici ændrer sig over tid, bør ledelsen også løbende overveje om kontrollerne skal tilpasses til de ændrede risici. Ledelsens etablering af et velfungerende kontrolmiljø mindsker risikoen for væsentlig fejlinformation, uanset om dette skyldes besvigelser eller fejl. 3.2 Anbefalinger for god selskabsledelse Anbefalinger for god selskabsledelse udgives af Komitéen for god Selskabsledelse, der har til opgave at følge udviklingen i god selskabsledelse nationalt og internationalt og tilstræbe kontinuitet i arbejdet med god selskabsledelse i Danmark. 17 17 Anbefalinger for god selskabsledelse, Komiteen for god selskabsledelse 2013, (2014 s. 4) Side 14 af 66

Anbefalingerne skal ses som best practice for ledelse af selskaber, der er optaget til handel på et reguleret marked. 18 Vejledningerne vurderes dog også ligesom det er tilfældet for COSO, at kunne anvendes på mindre selskaber, hvis de tilpasses disse selskabers størrelse. Det sidste kapitel af anbefalinger for god selskabsledelse går på regnskabsaflæggelse, risikostyring og revision og indeholder følgende anbefalinger: Det anbefales, at bestyrelsen tager stilling til og i ledelsesberetningen redegør for de væsentligste strategiske og forretningsmæssige risici, risici i forbindelse med regnskabs-aflæggelsen[sic] samt for selskabets risikostyring 19 Anbefalingerne omkring risikostyring minder meget om de der er beskrevet under COSO, men udelukker sig dog ikke til risici i forbindelse med regnskabsaflæggelsen. Anbefalingen går også på at selskaberne skal være åbne over for interessenterne, når det kommer til, hvordan de foretager deres risikostyring. Det anbefales, at bestyrelsen beslutter, hvorvidt der skal etableres en whistle-blower-ordning med henblik på at give mulighed for en hensigtsmæssig og fortrolig rapportering af alvorlige forseelser eller mistanke herom. 20 Whistleblower begrebet har siden finanskrisen og også i kølvandet på større svindelsager vundet større indpas i de danske virksomheder. Ordningen har til primært formål, at modvirke, at der foregår uhensigtsmæssig adfærd i virksomheden. Ved ordningen har man som medarbejder, bestyrelsesmedlem, kunder, leverandører og andre personer med tilknytning til virksomheden, mulighed for at gøre opmærksom på kritisable forhold, men samtidig være anonym. De forhold der rapporteres om, samt personerne vil også blive behandlet som anonyme. Ordningen gør det mere sikkert for medarbejdere eller andre at sladre om personer med tilknytning til virksomheden, og gør det dermed også i større omfang muligt for virksomheden, at identificere risici inden de udvikler sig til skandaler. 18 Anbefalinger for god selskabsledelse, Komiteen for god selskabsledelse 2013, (2014 s. 24) 19 Anbefalinger for god selskabsledelse, Komiteen for god selskabsledelse 2013, (2014 s. 24) 20 Anbefalinger for god selskabsledelse, Komiteen for god selskabsledelse 2013, (2014 s. 25) Side 15 af 66

Det anbefales, at bestyrelsen sikrer en regelmæssig dialog og informationsudveksling mellem revisor og bestyrelsen, herunder at bestyrelsen og revisionsudvalget mindst en gang årligt mødes med revisor uden, at direktionen er til stede og, at revisionsaftalen og det tilhørende revisionshonorar aftales mellem bestyrelsen og revisor på baggrund af en indstilling fra revisionsudvalget. 21 Af særlig interesse for opgaven i denne anbefaling er punktet omkring aftale af revisionshonoraret. Når der laves aftaler om revisionshonoraret bør der være lige så stor fokus på forventningsafstemninger. De to størrelser vurderes at være tæt forbundet i og med, at revisor alt andet lige vil kunne udføre mere arbejde jo mere de betales i honorar, og nogle vil måske endda gå så langt at sige, at revisor kan udtale sig med en større grad af sikkerhed, jo mere arbejde der udføres. Som det beskrives under revisors overordnede mål, i afsnit 4 er det ved revision revisors opgave, at opnå høj grad af sikkerhed for at regnskabet som helhed er uden væsentlige fejlinformationer. Det ligger implicit heri, at man ikke kan opnå absolut grad af sikkerhed fra revisor for, at regnskabet er uden fejlinformation. Man kan dog forestille sig situationer, hvor det er et ønske fra ledelsen/bestyrelsen, at der eksempelvis udføres mere arbejde i forbindelse med vurdering af virksomhedens interne kontroller. Ligeledes kan man forestille sig, at nogle virksomheder har en forventning om, at revisor foretager en revision af alle oplysninger, der måtte være i regnskabet, der ikke er tilfældet grundet anvendelsen af væsentlighed, samt visse begrænsninger i lovgivningen. Her tænkes særligt på, at der ikke lovgivningsmæssigt kan foretages revision af ledelsesberetningen. Endelig kan man forestille sig, at nogle virksomheder forventer en mere løbende kontakt og sparring med revisor end andre, der måske bare skal have revisionen gennemført, og ellers styrer den daglige drift på egen hånd. Virksomhedernes forventninger til revisor vurderes i mange tilfælde, at variere der især nok afhænger af, hvem der er interessenter af regnskabet. Det væsentlige ved diskussionen er, at man kan aftale sig mere arbejde, end hvad lovgivningen kræver, men at dette vil have indflydelse på aftalen om revisors honorar. 21 Anbefalinger for god selskabsledelse, Komiteen for god selskabsledelse 2013, (2014 s. 25) Side 16 af 66

3.3 Delkonklusion på ledelsens ansvar for forebyggelse og opdagelse af besvigelser Det primære ansvar for forebyggelse og opdagelse af besvigelser ligger hos virksomhedens ledelse. Der findes af anerkendte vejledninger blandt andet COSO framework og anbefalinger for god selskabsledelse, som ledelsen kan følge for at leve op til dette krav. En virksomheds interne kontrolsystem og effektiviteten heraf, har sammen med den iboende risiko meget stor indflydelse på mængden af den substansbaseret revision der skal udføres. Dette er nærmere beskrevet i de følgende afsnit, hvor revisors overordnede mål ved revision af regnskaber er beskrevet med udgangspunkt i ISA 200 og revisors ansvar for afdækning af besvigelser er beskrevet med udgangspunkt i ISA 240. 4. Revisors overordnede mål ved revision af regnskaber En erklæring om revision er en erklæring med høj grad af sikkerhed. Når der afgives erklæringer med høj grad af sikkerhed er revisor underlagt revisorloven, erklæringsbekendtgørelsen, samt de Internationale Revisionsstandarder. Ved en erklæring med høj grad af sikkerhed, er målet at opnå høj grad af sikkerhed for, at regnskabet som helhed er uden væsentlig fejlinformation, hvad enten dette skyldes besvigelser eller fejl. Som resultat på revisionen afgives revisors erklæring, med en konklusion om regnskabet. 22 Det er væsentligt at påpege, at ligesom ledelsen har ansvaret for at forebygge og opdage besvigelser, er det også ledelsen, der aflægger årsregnskabet og har ansvaret for indholdet. Dette fremgår af årsregnskabslovens kapitel 2. I de følgende afsnit gennemgås hvilke forhold revisor skal forholde sig til og vurdere i forbindelse med revisionen og opnåelse af tilstrækkelig sikkerhed for at regnskabet er uden væsentlig fejlinformation. 4.1 Revisionsrisiko Af ISA 200 fremgår det, at høj grad af sikkerhed opnås ved at mindske revisionsrisikoen tilstrækkeligt. Revisionsrisikoen defineres som risikoen for, at revisor udtrykker en upassende konklusion, når regnskabet indeholder væsentlig fejlinformation. Revisionsrisikoen er illustreret nedenfor: 22 ISA 200 pkt. 11 Side 17 af 66

Revisionsrisiko = Ibeoende risiko X Kontrolrisiko X Opdagelsesrisiko Kilde: Egen fremstilling på baggrund af noter fra revision I Som figuren illustrerer, består revisionsrisikoen af tre risici, der tilsammen udgør revisionsrisikoen. Opdagelsesrisikoen er den revisor kan ændre på ved tilrettelæggelsen af revisionshandlinger. Revisor skal således foretage en vurdering af den iboende risiko og kontrolrisikoen for herefter at vurdere, hvilken opdagelsesrisiko der kan accepteres, hvilket igen bestemmes ud fra, hvilken revisionsrisiko der kan accepteres. Den iboende risiko er den risiko en regnskabspost, revisionsmål eller oplysning er udsat for inden der overvejes eventuelle relaterede kontroller. Kontrolrisikoen er risikoen for, at væsentlig fejlinformation ikke forebygges eller opdages af en virksomheds interne kontroller, der knytter sig til regnskabsposter, revisionsmål og oplysninger. Opdagelsesrisikoen er risikoen for, at de handlinger der udføres af revisor for at reducere revisionsrisikoen, ikke fører til opdagelse af væsentlig fejlinformation jf. ovenfor. Revisionsrisikoen kan aldrig reduceres til nul. Der forventes derfor heller ikke, at revisor kan opnå absolut sikkerhed for, at regnskabet er uden væsentlig fejlinformation som følge af besvigelser eller fejl. 23 4.2 Iboende begrænsninger Revisors opgave er ved en revision efter ISA 200, at opnå høj grad af sikkerhed for, at regnskabet som helhed er uden væsentlig fejlinformation, hvad enten det skyldes besvigelser eller fejl. Ordet væsentligt er et subjektivt begreb og betyder sagt på en anden måde, at revisor skal sikre sig, at eventuel fejlinformation ikke vil ændre på modtagerens opfattelse af regnskabet. Væsentlighed anvendes under hele revisionsprocessen der omfatter planlægningen af revisionen, udførelse af revisionen og afslutning af revisionen herunder vurdering af korrigerede og ikke korrigerede fejlinformationer identificeret under revisionen. Revisor fastsætter væsentlighed ud fra forhold som; hvem er modtager af regnskabet, hvilken type af virksomhed der er tale om, opererer virksomheden i en risikofyldt branche, er der en kompetent 23 ISA 200 A45 Side 18 af 66

ledelse, er der mange risikofyldte regnskabsposter i regnskabet, kendskab til interne kontroller i virksomheden og historisk kendskab til fejlmargin i regnskabet. Anvendelsen af væsentlighed ved en revision udspringer af de iboende begrænsninger. Ved iboende begrænsninger skal det forstås, at selv ubegrænset tid og ressourcer til anvendelse ved udførelsen af en revision ikke kan sikre, at revisor kan afgive en konklusion om, at regnskabet med fuld sikkerhed er korrekt. Revisor forsøger dog at minimere risikoen for at der er væsentlige fejl i regnskabet ved anvendelse af et væsentlighedsbeløb, der sammen med den accepterede revisionsrisiko er bestemmende for de revisionshandlinger der skal udføres, samt hvor meget revisionsbevis der skal indhentes. De iboende begrænsninger er særligt relevante i relation til fejlinformation som følge af besvigelser. Dette skyldes, at der er større risiko for, ikke at opdage væsentlig fejlinformation som følge af besvigelser end risikoen for ikke at opdage væsentlig fejlinformation som følge af fejl. Dette skyldes, at besvigelser kan indeholde sofistikerede og organiserede tiltag udformet for at skjule dem, der kompliceres yderligere, hvis der er tale om en sammensværgelse. 24 4.3 Krav til revisor Revisor skal ved udførelsen af en revision overholde relevante etiske krav efter ISA erne, herunder krav om uafhængighed. De etiske krav er beskrevet i vejledningen til ISA 200 og omfatter integritet, objektivitet, faglig kompetence og fornødent omhu, fortrolighed og professionelt adfærd. 25 De etiske krav efter ISA erne er også dem der efter dansk revisorlovgivning er omfattet af god revisorskik efter revisorlovens 16. RL 16 bruger også betegnelsen offentlighedens tillidsrepræsentant, der er gældende for revisor, når der afgives erklæringer med sikkerhed, der ikke udelukkende er bestemt til hvervgivers eget brug. Revisor skal endvidere efter revisorlovens 16 udvise den nøjagtighed og hurtighed, som opgaven tillader. Uafhængighed er nærmere beskrevet i uafhængighedsbekendtgørelsens 1, stk. 1, hvor uafhængighed deles op i uafhængighed i opfattelse og uafhængighed i fremtoning. Ved 24 ISA 240 pkt. 6 25 ISA 200 pkt. A15 Side 19 af 66

uafhængighed i opfattelse forstås, at det kan påvises, at revisor ikke er uafhængig mens der ved uafhængighed i fremtoning forstås, at en velinformeret tredjemand mener, at revisor ikke fremstår som uafhængig. Ved en velinformeret tredjemand menes en person, der har indsigt i den pågældende erklæringsafgivelse. Revisor er underlagt tavshedspligt efter revisorlovens 30, der henviser til straffelovens 152 til 152 f. Der gælder visse undtagelser, der ikke redegøres for yderligere i dette speciale, med undtagelse af revisorlovens 22 om økonomisk kriminalitet. Revisor skal endvidere udvise en professionel skepsis, og skal anvende en faglig vurdering ved planlægning og udførelse af en revision. Dette indebærer blandt andet, at revisor skal forholde sig til pålideligheden af dokumenter og svar på forespørgsler, der anvendes som revisionsbevis. Det er dog væsentligt at påpege, at revisor kan acceptere registreringer og dokumenter som ægte, medmindre revisor har grund til at formode det modsatte. 26 4.4 Delkonklusion på revisors overordnede mål ved revision af regnskaber Revisors overordnede mål er som det fremgår af ovenstående gennemgang, at udtrykke en konklusion med høj grad af sikkerhed for at regnskabet er uden væsentlig fejlinformation, der opnås gennem en vurdering af revisionsrisikoen. Revisionen indeholder nogle iboende begrænsninger, der betyder, at revisor aldrig vil kunne erklære sig med fuldstændig grad af sikkerhed. Revisor skal som led i deres rolle som offentlighedens tillidsrepræsentant overholde diverse lovgivningsmæssige krav knyttet til deres adfærd, der omfatter diverse etiske krav, uafhængighed og tavshedspligt. 5. Revisors ansvar for afdækning af besvigelser ISA 240 indeholder en beskrivelse af det ansvar revisor er underlagt vedrørende besvigelser ved revision af regnskaber. Standardens punkt fire fastslår indledningsvist, som det også er redegjort for i afsnit tre til denne opgave, at det primære ansvar for at forebygge og opdage besvigelser ligger hos virksomhedens øverste og daglige ledelse. 26 ISA 200 pkt. A21 Side 20 af 66

Revisors mål ved afdækning af besvigelser under revisionen er i henhold til ISA 240: 27 a) at identificere og vurdere risici for væsentlig fejlinformation i regnskabet som følge af besvigelser b) at opnå tilstrækkeligt og egnet revisionsbevis om de vurderede risici for væsentlig fejlinformation som følge af besvigelser ved at udforme og gennemføre passende reaktioner og c) på passende vis reagere på besvigelser eller mistanker herom, som er konstateret under revisionen. 5.1 Identifikation og vurdering af risici ISA 315 omhandler revisors ansvar for at identificere og vurdere risici for væsentlig fejlinformation på regnskabsniveau og revisionsmålsniveau, uanset om dette skyldes besvigelser eller fejl. Risikovurderingen kræver, at revisor tilrettelægger handlinger i sin revision, med henblik på at forstå virksomheden og dens interne kontrolmiljø, for derigennem at kunne identificere og vurdere risici for besvigelser de såkaldte risikovurderingshandlinger. 28 ISA 240 har på forhånd defineret to områder, der er betydelige risikoområder i forhold til besvigelser. Disse er henholdsvis ledelsens tilsidesættelse af kontroller og indtægtsregistrering. Ledelsens tilsidesættelse af kontroller er altid en væsentlig risiko, da ledelsen som led i dens position, har muligheden for at tilsidesætte effektive interne kontroller med henblik på, at foretage besvigelser i virksomheden. ISA 240 tilkendegiver, at risikoniveauet varierer fra virksomhed til virksomhed, men at risikoen er til stede i alle virksomheder. En yderligere årsag til, at der efter ISA 240 altid vurderes at være tale om en væsentlig risiko er, at måden hvorpå tilsidesættelsen kan ske er uforudsigelig, og der er derfor en risiko for, at en tilsidesættelse af kontroller fører til væsentlig fejlinformation i regnskabet. 29 Forhåndsantagelsen om indtægtsregistreringen kan i visse tilfælde afkræftes, hvis risikoen ikke er relevant i forhold til virksomhedens omstændigheder. Når revisor konkluderer, at forhåndsantagelsen ikke er til stede, skal revisor i revisionsdokumentationen kunne dokumentere begrundelsen herfor, der kan understøtte afkræftelsen. 27 ISA 240 pkt. 10 28 ISA 315 pkt. 3 29 ISA 240 pkt. 31 Side 21 af 66

Som eksempel på revisionsopgaver, hvor risikoen kan afkræftes, nævner ISA 240 i vejledningen til standarden revision af udlejningsvirksomheder, hvor indtægterne typisk kun består af én type af simple og enkle transaktioner, såsom lejeindtægter. 30 I disse tilfælde vil indtægten som oftest kunne afstemmes til eller sandsynliggøres ud fra de underliggende lejekontrakter. Andre overvejelser revisor kan gøre, og som kan medvirke til at forhåndsantagelsen vedrørende indregning af indtægter, som en betydelig risiko kan afkræftes er hvor: - Indregningen af indtægter er ikke kompleks - Der er minimalt eller ingen pres på ledelsen til at manipulere med indtægter i og med at virksomheden er profitabel, solvent og har positive indtægtsstrømme. - Dato for overførsel af risici og ejendomsret i forbindelse med salg er let identificerbar. - Typen af indtægtsstrømme er homogene, der minimerer risikoen for, at indtægter indregnes forkert - Alt salg faktureres i lokal valuta - Der er ikke tidligere i forbindelse med revisionen fundet fejl ved indregning af indtægter Revisor skal igennem hele revisionsprocessen, der består af planlægning, udførelse og afslutning foretage sin risikovurdering og genoverveje den indledende risikovurdering efterhånden som, der opnås ny viden. 31 5.2 Reaktioner på vurderede risici Revisor skal reagere på de vurderede risici ved at tilrettelægge revisionen således, at der ved udførelsen udvises en øget professionel skepsis og opmærksomhed på især de områder, som risiciene omfatter. 32 ISA 240 opstiller en række reaktioner, som revisor skal indarbejde i sin revision som følge af vurderede besvigelsesrisici. Reaktionerne omfatter bland andet, at revisor skal indarbejde et element af uforudsigelighed i arten, omfanget og den tidsmæssige placering af revisionshandlinger for blandt andet at forhindre, at personer i virksomheden skjuler eventuel regnskabsmanipulation ud fra viden om revisors sædvanlige revisionshandlinger. I praksis kunne elementet af uforudsigelighed eksempelvis ske ved at udvælge typer af posteringer eller 30 ISA 240 pkt. A30 31 ISA 315 pkt. 31 32 ISA 240 pkt. A33 Side 22 af 66

balancekonti, som normalt ikke er indgået i revisionen, eller der kan ske et uanmeldt beholdningseftersyn. Der er for at adressere risikoen for ledelsens tilsidesættelse af kontroller i ISA 240 indarbejdet specifikke handlinger til at imødekomme denne risiko. Handlingerne er dog ikke udtømmende, hvilket kræver, at revisor herudover aktivt skal vurdere, om der ud fra karakteren af risikoen eller forhold i virksomheden er behov for andre revisionshandlinger. Handlingerne listet i ISA 240 omfatter blandt andet, at revisor skal teste om finansposteringer og justeringer foretaget i forbindelse med regnskabsudarbejdelsen er passende. Derudover skal revisor gennemgå regnskabsmæssige skøn for manglende neutralitet og vurdere, om de forhold, der fører til eventuel manglende neutralitet, er en risiko for væsentlig fejlinformation som følge af besvigelser. Vurdering af regnskabsmæssige skøn kan være særligt vanskeligt for revisor i og med, der er mange usikkerheder forbundet med et skøn, men også det at revisor kan komme ud for, at skulle vurdere regnskabsmæssige skøn i forskellige brancher, som revisor ikke har det fornødne kendskab til. Eksempler herpå kan være værdiansættelse af ejendomme beliggende i udlandet eller værdien af et udviklingsprojekt i en nystartet virksomhed. Det er op til revisor selv at vurdere om han besidder de nødvendige kompetencer. Mener revisor ikke han besidder de fornødne kompetencer til vurderingen, kan der tilknyttes specialister til opgaven i overensstemmelse med ISA 620. Endelig skal revisor vurdere, om den forretningsmæssige begrundelse (eller manglen herpå) for betydelige transaktioner, der ligger uden for virksomhedens normale drift, eller som på anden måde forekommer usædvanlig efter revisors forståelse af virksomheden og dens omgivelser tyder på, at de er blevet iværksat for at manipulere med regnskaberne eller for at skjule misbrug af aktiver. 33 Revisor skal udover ovenstående efter ISA 240, som afslutning på sin revision og vurdering af risikoen for væsentlig fejlinformation som følge af besvigelser udføre analytiske handlinger tæt på, eller ved afslutningen af revisionen for at vurdere, om der kan være hidtil uopdaget fejlinformation. Ved at foretage en overordnet analyse på dette tidspunkt får revisor klarhed over, om regnskabet er konsistent med dennes forståelse. Som afslutning på revisionen skal revisor endvidere indhente en skriftlig udtalelse fra ledelsen, hvori ledelsen blandt andet erklærer sig om: 33 ISA 240 pkt. 32 Side 23 af 66

- at den anerkender sit ansvar for regnskabs- og interne kontrolsystemer. - at den har oplyst om resultaterne af ledelsens vurdering af risikoen for, at regnskabet kan indeholde væsentlig fejlinformation som følge af besvigelser - at den har givet revisor alle væsentlige oplysninger vedrørende eventuelle besvigelser eller formodninger om besvigelser - at ikke korrigerede fejlinformationer i regnskabet, som revisor har fundet under revisionen, er uvæsentlige for regnskabet som helhed. 5.3 Reaktion på besvigelser eller mistanker herom Ved konstaterede besvigelser eller mistanke herom, skal revisor hurtigst muligt informere den daglige ledelse og primære ansvarlige inden for forebyggelse og opdagelse af besvigelser i virksomheden. Såfremt mistanken omfatter den daglige ledelse, skal revisor i stedet informere den øverste ledelse. Ledelsen har efter underretning fra revisor 14 dage til at tage de fornødne skridt til at standse den igangværende kriminalitet og rette op på de skader, den har forårsaget. Såfremt ledelsen ikke foretager tilstrækkelige handlinger skal revisor straks underrette Statsadvokaten for Særlig Økonomisk Kriminalitet (SØK). Dette skal ligeledes ske, hvis underretning til ledelsesmedlemmerne er utilstrækkelig til at forhindre fortsat kriminalitet. Fratræder revisor under betingelse af revisorlovens 18, stk. 2, grundet formodningen om, at der er begået økonomiske forbrydelser skal SØK ligeledes underrettes. 34 5.4 Delkonklusion på revisors afdækning af besvigelser Ved gennemgangen af ISA 240 er det fastslået, at det ikke er revisors primære ansvar at forebygge og opdage besvigelser. Revisor er dog underlagt visse krav i tilknytning til dette risikoområde, der imidlertid omfatter en vurdering af, hvilke områder der indeholder betydelige risici i relation til besvigelser ud over de foruddefinerede og en passende reaktion herpå, der har betydning for omfanget af revisionen. Konstaterer revisor besvigelser eller er der en begrundet mistanke om at der foregår besvigelser, indeholder standarden også en beskrivelse af, hvordan revisors reaktionsmønster bør være. 34 Revisorlovens 22, stk. 1-3 Side 24 af 66