·Audun Martinussen

ISA 315 forklart — hva revisor faktisk ser etter

ISA 315 er den revisjonsstandarden som styrer hvordan revisor identifiserer og vurderer risiko. Her er hva den faktisk krever av deg som klient, og hvorfor det er mer enn bare formalia.

ISA 315 ble revidert i 2019 og er nå hovedstandarden som styrer hvordan revisor identifiserer og vurderer risiko for vesentlige feil i regnskapet. For norske selskaper som revideres etter ISA-standardene — og det er alle børsnoterte og de fleste mellomstore — er ISA 315 grunnlaget for omtrent alt revisor gjør i planleggingen.

Hvis du er økonomidirektør eller daglig leder og lurer på hvorfor revisor stiller så detaljerte spørsmål om interne kontroller, IT-systemer og prosesser, så er svaret stort sett: ISA 315. Denne artikkelen forklarer kort hva standarden krever, hvilke konsekvenser det har for hvordan du forbereder deg, og hva som ofte mangler i SMB-er.

Hva ISA 315 krever av revisor

Etter den reviderte standarden skal revisor:

  1. Forstå selskapet og dets omgivelser, inkludert bransje, regulering og rammeverket for finansiell rapportering.
  2. Forstå selskapets system for internkontroll — som spesifikt inkluderer kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjonsbehandling og overvåking.
  3. Identifisere og vurdere risikoer for vesentlige feil på regnskapsnivå og påstandsnivå.
  4. Designe videre revisjonshandlinger som svarer på de vurderte risikoene.

Det er punkt 2 og 3 som rammer deg som klient hardest, fordi det er der revisor må samle inn dokumentasjon fra deg.

De fem komponentene i internkontroll

ISA 315 (revidert) bruker COSO-rammeverkets fem komponenter — ikke fordi standarden eksplisitt krever COSO, men fordi det er praksis. For en grundigere gjennomgang av selve rammeverket, se denne artikkelen om COSO.

1. Kontrollmiljø

Tonen fra toppen. Etiske retningslinjer, styrets uavhengighet, kompetansenivå, organisasjonsstruktur. Revisor vil spørre om policyer, etiske dilemma-håndtering, og om HR-rutiner.

2. Selskapets egen risikovurderingsprosess

Hvordan identifiserer du selv risikoer? Har du et risikoregister? Hvor ofte oppdateres det? Hvem eier det? Hvis du svarer "vi har ikke det", er det ikke automatisk en feil — men du må kunne forklare hvordan ledelsen faktisk identifiserer risiko.

3. Informasjonsbehandling og kommunikasjon

Hvordan flyter informasjon i selskapet? Hvilke systemer er involvert, og hvordan henger de sammen? Dette er der prosessdokumentasjon og systemdiagrammer er gull verdt. Hvis du må tegne det på en tavle hver gang en ny revisor spør, taper du tid.

4. Kontrollaktiviteter

De konkrete kontrollene som er på plass for å håndtere risiko. Godkjenningsterskler, segregering av oppgaver, avstemming, kontrollberegninger, automatiske systemkontroller. Disse skal være dokumenterte, ikke bare praktisert.

5. Overvåking

Hvordan vet ledelsen at kontrollene fungerer? Internrevisjon, ledelsesgjennomganger, sertifikatprogrammer, KPI-er som fanger opp avvik. For mellomstore selskaper er dette ofte den svakeste komponenten.

Hva som faktisk skjer i en revisjon

Revisor starter med å snakke med ledelsen og samle inn dokumentasjon. De vil typisk be om:

  • Selskapets prosessbeskrivelser eller flytdiagram for nøkkelsykluser
  • Liste over IT-systemer og hvordan de henger sammen
  • Beskrivelse av kontroller, gjerne i et kontrollregister
  • Tilgang til risikoregister, hvis det finnes
  • Policy-dokumenter (autorisasjons-matrise, etiske retningslinjer, IT-policy)
  • Resultater fra interne kontroller eller revisjoner

Deretter gjør de walkthrough — se egen artikkel om walkthrough-forberedelse — og tester et utvalg kontroller for å se om de fungerer som beskrevet.

Hvorfor ISA 315-revisjonen ble strengere i 2019

Den reviderte standarden krever:

  1. Eksplisitt vurdering av IT-systemer og IT-kontroller. Tidligere kunne revisor "ignorere" IT i mindre revisjoner. Nå må de vurdere alle systemer som påvirker finansiell rapportering, og dokumentere det.
  1. Sterkere fokus på kontrollers design og implementering. Det holder ikke å si "vi har segregering av oppgaver". Revisor må kunne se kontrollens design, vurdere om den faktisk håndterer risikoen, og verifisere at den er implementert.
  1. Skalerbarhet for små og store revisjoner. Standarden er bevisst skrevet for å fungere både for små AS og store konsern, men det betyr også at små selskaper må ha minst grunnleggende dokumentasjon på plass.

Vanlige mangler i norske SMB-er

I praksis ser jeg fire ting som mangler oftere enn ikke:

  1. Manglende prosessdokumentasjon. Folk vet hvordan ting fungerer, men det står ingen steder.
  2. Manglende kontrollregister. Kontroller er på plass, men ikke samlet eller dokumentert med ansvarlig, frekvens og evidens.
  3. Manglende systemoversikt. Ingen vet helt sikkert hvilke systemer som snakker med hvilke, eller hvordan data flyter.
  4. Manglende formell risikovurdering. Ledelsen tenker på risiko, men det er ikke nedfelt et sted revisor kan referere til.

Alle fire kan fikses på noen uker hvis du jobber strukturert. Hvis du vil se hva en samlet leveranse ser ut, se eksempel-leveransen vår.

Hva det koster å ikke ha dette på plass

Konsekvensen av manglende dokumentasjon er sjelden at revisor avslår oppdraget. Det er at revisjonen tar lengre tid og koster mer. Revisor må samle inn informasjonen selv, gjøre flere walkthrough-runder, og falle tilbake på mer detaljert substanstesting. Det betyr flere timer på fakturaen og lengre kalenderløp før årsregnskapet kan signeres.

For en grundigere diskusjon om kostnaden av manglende dokumentasjon, se denne artikkelen.

Hva du kan gjøre i dag

Hvis du leser dette og innser at du mangler dokumentasjon, prioriter slik:

  1. Lag systemoversikt — ett A4-ark som viser hvilke systemer som er involvert i regnskap, hvilke som integrerer, og hvor manuelle steg er.
  2. Skriv kort narrativ for de tre viktigste syklusene — typisk inntekt, innkjøp og lønn.
  3. List opp kontrollene per syklus. Hvem gjør, hvor ofte, hvor ligger evidensen.
  4. Lag et enkelt risikoregister med 10–15 reelle risikoer og hvilke kontroller som håndterer dem.

Disse fire stegene tar typisk to til fire uker hvis du gjør det selv, eller én uke hvis du får hjelp.

Oppsummering

ISA 315 er ikke en byråkratisk øvelse. Standarden er bygget for å sikre at revisor virkelig forstår hvordan selskapet fungerer før de planlegger testing. Når den fungerer, gir den deg en revisor som spør gode spørsmål og kan fokusere arbeidet sitt der det betyr noe. Når den ikke fungerer, gir den deg en revisor som leter etter trygghet ved å teste mer.

Det beste rådet jeg kan gi er å ikke vente til revisor spør. Ha dokumentasjonen klar før revisjonen starter. Det sparer alle for tid.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.