Effektiv bruk av Descartes i Romerike revisjon IKS

Sammen med høy service og god kundekontakt, er det et mål at RRI skal være det selvfølgelige valget for kommunene, kirkene og selskapene på Romerike og i de omkringliggende områdene.

RRI er pr i dag et resultat av sammenslåing av tre kommunale revisjonsvirksomheter, og i perioden 2016 – 2018 ble det gjennomført et omfattende omstillingsprosjekt, hvor vi arbeidet med å få på plass et felles sett med arbeidsrutiner for å kunne effektivt ta i bruk Descartes på en ensartet måte. Av de tre tidligere organisasjonene som ble sammenslått hadde to benyttet Descartes, men ikke ensartet, og en organisasjon hadde ikke brukt det tidligere.

1. Innledning

Arbeidet har gitt resultater, og vi har betraktelig bedret vår effektivitet, samtidig er dette arbeidet en kontinuerlig prosess som RRI jobber videre med. Her har samtlige ansatte i regnskapsrevisjonen deltatt og bidratt til at det har latt seg gjennomføre. Vi benytter i dag Descartes til alle våre revisjonsoppdrag, helt fra de store kommunene til de mindre legatene. All dokumentasjon/revisjonsbevis lastes opp og lagres elektronisk i Descartes, og absolutt ingenting av dokumentasjon skal lagres annet sted.

Vi søkte OU-midler og benyttet Sant Revisjon AS som samarbeidsparter under hele prosessen når det kom til praktisk og effektiv bruk av Descartes og til å utvikle den interne revisjonsmetodikken. Konsulentene vi benyttet er til vanlig kursholdere for Regnskap Norge og Den norske Revisorforening.

Resultatet av dette arbeidet ønsker vi i Romerike revisjon å dele i form av hvordan vi løser et revisjonsoppdrag av en kommune på en effektiv måte, og hvordan vi sørger for å holde den røde tråden gjennom hele revisjonsprosessen – fra planlegging, gjennomføring og frem til avleggelsen av revisjonsberetningen. Når dette er sagt – vil vår metodikk helt sikkert endres noe slik at den blir i tråd med de nye ISA ene. Denne artikkelen er skrevet for å dele vår kunnskap om hvordan vi løser våre revisjonsoppdrag per i dag – før disse endringene, og som vi vet er på trappene i disse dager.

2. Formål med revisjon

Formålet med revisjonen er å øke brukerens tillitt til regnskapet, slik at de kan foreta økonomiske beslutninger basert på den informasjonen årsregnskapet gir, jf. ISA 200 Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene punkt 3. Revisor må derfor med utgangspunkt i brukerne av regnskapet planlegge og gjennomføre revisjonen av årsregnskapet.

Vi er samtidig under press for å utføre en kostnadseffektiv revisjon som gjør at vi som revisor under revisjonen må jobbe effektivt og nøyaktig, samtidig som vi skal skaffe oss en betryggende sikkerhet for at regnskapet totalt sett ikke inneholder vesentlig feilinformasjon, uavhengig av om feilen skyldes feil eller misligheter, jf. ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper punkt 5. Vi skal også dele vår kompetanse med alle våre eierkommuner slik at de sitter igjen med en merverdi som gjør at de får bedre kontroll og styring på økonomiområdet.

3. Hvordan sikre den røde tråden gjennom revisjonen

De aller fleste kommunerevisorer benytter Descartes som revisjons- og metodikkprogram. Programmet ble utviklet av Den norske Revisorforening (DnR) og følger revisjonsmetodikken til International Standards on Auditing (ISA). DnR står for det faglige innholdet i Descartes og samarbeider tett med systemeier Visma.

Verktøyet hjelper oss til overholdelse av ISA-ene. Det hjelper oss også til å få til en effektiv revisjonsprosess ved bruk av maler og oppdaterte sjekklister, for eksempel, sjekklisten for overholdelse av bokføringsloven. NKRF oppdaterer sjekklistene for kommunene og sender inn til DnR som legger det inn i Descartes.

I tillegg til at Descartes hjelper oss gjennom revisjonen, har Descartes også noen fallgruver. Det kan være alt fra:

• manglende rød tråd – man går seg rett og slett bort ved f.eks. at man skriver for mye
• at det kopieres for mye – informasjon fra andre klienter og feil årstall
• at maler ikke benyttes riktig – feil bruk, og ofte er de ikke uttømmende
• at det blir mye klikking vs. å gjøre akkurat nok og de rette revisjonshandlingene – ikke for mye og ikke for lite.

Vi har sett og erfart at det finnes svært ulike tilnærminger til hvordan man kommer seg igjennom revisjonen ved bruk av Descartes. Under følger vår tilnærming til Descartes og hvordan vi i RRI i praksis gjennomfører revisjonen med bruk av Descartes på en kommune – med fokuset rettet mot risikoer, transaksjonsklasser, saldobalansen og samspillet mellom test av kontroller og substanshandlinger.

3.1 Planlegging, risikoer og påstander

Planlegging av revisjon handler i hovedsak om å forstå risikoen for hvor i et regnskap det kan være feil og på bakgrunn av risikovurderingen utvikle en revisjonsplan. Dette gjør vi i Descartes under Forretningsforståelse og risikofaktorer under risikovurderingshandlinger. Formålet her er at revisor skal innhente en forståelse av ledelsens mål og strategier og forretningsrisikoene som kan føre til vesentlig feilinformasjon. Revisor skal opparbeide seg en forståelse av virksomhetens interne kontroll som er relevant for revisjonen, og dette skal dokumenteres under Enhetens art, Eksterne forhold og Interne Forhold.

Definisjonen av regnskapspåstandene er i ISA 315 Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser punkt 12 a beskrevet som følger: «Uttalelser, eksplisitt eller på annet vis, om innregning, måling, presentasjon og tilleggsinformasjon, som er inkorporert i regnskapet, fremstilt av ledelsen og utarbeidet i samsvar med det gjeldende rammeverket for finansiell rapportering.»

Med andre ord kan man tenke seg at når ledelsen legger frem regnskapet – sier de samtidig at regnskapet er nøyaktig, at kostandene er gyldige og at alle inntekter er registrert og fullstendig. Vi skal som revisor vurdere påstandene ved regnskapsavleggelsen og vurdere om ledelsen har oppfylt sin plikt om at årsregnskapet gir et riktig bilde av virksomheten og er korrekt.

Når vi utfører risikovurderingshandlinger og det avdekkes forhold og/eller risiko som vi mener kan påvirke den videre revisjonen, beskriver vi den med en gang og legger den direkte opp i risikomatrisen og hekter på den regnskapspåstanden vi vurderer det er risiko for. Vi har som rutine at de risikoer som vi avdekker i planleggingen og underveis, alle skal opp i risikomatrisen. Det vil si at ingen risikoer skal stå alene et annet sted i Descartes – da mister vi den røde tråden med en gang, i hvert fall løper vi en stor risiko for at den ikke blir med videre. Vi beskriver ikke de generiske/konstante [1] risikoene som alltid vil være til stede, og vi tar kun med risikofaktorer som gjelder årets regnskapsavleggelse. Vi er også forsiktige med å skrive alt for mye i planleggingen – med andre ord, vi tilstreber oss til kun å ta med informasjon som er nødvendig for inneværende års revisjon. Risikoer kan deles inn i to typer:

1. Generiske/konstante risikoer er risikoer som alltid vil forekomme. Disse er knyttet opp til påstander om transaksjonsklasser, kontosaldoer, tilleggsopplysninger og til påstandene fullstendighet, nøyaktighet, gyldighet, klassifisering og periodisering for samtlige transaksjonsklasser. For samtlige kontosaldoer vil konstante risikoer knyttes til påstandene eksistens, rettigheter og forpliktelser, fullstendighet og verdsettelse [2].
2. Andre identifiserte risikoer er risikoer som kan være basert på forretningsrisikoer, endringer i rammebetingelser, eller identifiserte mislighetsrisikoer [3], og eventuelt risiko for feil ved å skille driftsutgifter vs. investeringsutgifter. Disse risikoene kan knyttes til enkeltpåstander for en eller flere transaksjonsklasser, kontosaldoer eller tilleggsopplysninger.

For alle våre transaksjonsklasser hekter vi derfor på alle regnskapspåstandene for alle, transaksjonsklasser, kontosaldoer eller tilleggsopplysninger, jf. punkt 1 nevnt over. Begrunnelsen er at vi skal konkludere på alle påstandene via våre ulike revisjonshandlinger og alle disse generiske/konstante risikoene. Vi mener det derfor ikke er nødvendig å splitte opp transaksjonsklassene mer enn nødvendig. F.eks. skal alle påstandene være inndekket for rammetilskudd, brukerbetalinger, fast lønn, variabel lønn etc.

For andre identifiserte risikoer, herunder særskilte risikoer som krever spesiell revisjonsmessig oppmerksomhet, knytter vi til enkeltpåstander for en eller flere transaksjonsklasser, kontosaldoer eller tilleggsopplysninger, jf. punkt 2 nevnt over.

De identifiserte risikoer vi avdekker – legges opp i risikomatrisen, men kun med den påstanden hvor det er faktisk er risiko for at den kan inneholde feil. F.eks. dersom det er avdekket at kommunen har økt risiko for feil på skillet mellom driftsutgifter og investeringsutgifter – hekter vi på her det som revisor skjønnsmessig vurderer risikoen til. Her vil den mest sannsynlig havne på økt risiko for feil klassifisering (K) og dermed ikke gyldig (G) i det regnskapet den er ført i – dersom risikoen inntreffer.

3.2 Saldobalansen i Descartes

Her gjøres det mye forskjellig og det finnes ingen eksakt fasit. Noen laster inn hele kommunens saldobalanse, som i utgangspunktet er stor og består av svært mange linjer, mens andre manuelt tar inn de vesentlige postene.

Vi mener at det er tilstrekkelig å kun legge inn noen få kontoer i Descartes, for eksempel, en for omløpsmidler, en for anleggsmidler, en for gjeld og en for egenkapital. Dersom en spør seg selv, hva er det vi faktisk bruker denne til i vår revisjon? I praksis er det kun for å tilordne regnskapspåstander til balansen – og den består av omløpsmidler, anleggsmidler, gjeld og egenkapital. Det er derfor ikke nødvendig å ha med flere.

3.3 Risikooversikten og transaksjonsklasser

Når det kommer til risikooversikten og transaksjonsklasser er det nok like mange meninger om denne oversikten som det finnes revisjonsselskaper i vår bransje. Når det er sagt er det absolutt flere måter å løse dette på enn akkurat vår. Likevel vil vi slå et slag for hvordan vi har løst dette hos oss – fordi det er enklere å følge den røde tråden og fordi det blir oversiktlig. Vi har ikke veldig mange transaksjonsklasser, men kun de som er nødvendige, og vi lister kun opp faktiske og reelle risikoer.

Når det kommer til risikooversikten og transaksjonsklasser er det nok like mange meninger om denne oversikten som det finnes revisjonsselskaper i vår bransje.

Vi har sjelden mer enn to til tre risikoer – men disse forventes å følges opp med flere revisjonshandlinger enn det vi hadde gjort dersom risikoen ikke var til stede. Dersom det ikke eksisterer noen økt risiko – blir likevel transaksjonsklassen revidert – men under den «ordinære» revisjonen. Det vil si at vi gjør kun det som er tilstrekkelig for å kunne konkludere på påstandene.

Vi mener at mer man bryter den opp, og jo flere transaksjonsklasser man har – mer uoversiktlig og vanskeligere blir det å følge den røde tråden gjennom hele revisjonsprosessen, og ikke minst holde kontroll og oversikt over alle påstandene. For å kunne konkludere, skal alle påstandene bekreftes i konklusjonen. I RRI har vi 12 transaksjonsklasser – og vi hekter på alle påstander, jf. de generiske/konstante risikoene nevnt under punkt 1 i avsnittet 3.1 over. Jeg stiller spørsmål om hvorvidt man vil få en bedre og mer effektiv revisjon med flere transaksjonsklasser?

Her er det nok mange som mener at det er svært mange ulike transaksjonsklasser i en kommune. Jeg stiller da spørsmålet tilbake. På hvor mange måter skjer transaksjonsflyten gjennom regnskapet? En kommune har flere forsystemer – men når dataene først har kommet inn i regnskapet, er vår påstand at flyten er ganske lik, og de ulike regnskapsmessige transaksjonene har samme regnskapsmessig behandling; f.eks. når det gjelder barnehage og SFO.

Særskilte risikoer – mislighetsrisiko har vi alltid med i risikomatrisen, jf. at samtlige risikoer skal samles ett sted i Descartes. Vi har med mislighetsrisiko for både inntekter og utgifter – og konkluderer først under årsoppgjøret. Vi parkerer ikke en mislighetsrisiko i Risikooversikten, men dokumenterer vår vurdering av denne risikoen her og tar deretter med oss mislighetsrisikoene videre og konkluderer på dette under henholdsvis driftsinntekts- og driftsutgiftsområdet. Vår begrunnelse for dette er at vi ikke kan konkludere på særskilte risikoer i en så tidlig fase – og det uten å ha sett på et eneste bilag.

3.4 Kontrollvurdering og risikovurderingshandlinger på områder

Når første del av risikovurdering er utført og risikomatrisen er satt opp og tilordnet påstander – går vi videre med risikovurderingshandlinger på områdenivå. Vi hadde tidligere åtte områder, men vi så at det kunne bli litt mange. Vi satte oss derfor ned og så for oss hvordan regnskapet faktisk ser ut og hvordan det er bygget opp, og vi havnet da på følgende seks områder:

1. Driftsinntekter
2. Driftsutgifter
3. Finans
4. Investeringsregnskapet
5. Lønn
6. Årsoppgjør

På hvert område under kontrollvurdering og risikovurderingshandlinger foretar vi kartlegging av rutiner og etablerte interne kontroller gjennom intervjuer og observasjoner. Det er her et krav at man skal angi hvem som er intervjuet, hvilke dokumenter som gjennomgås samt at relevante interne kontroller skal beskrives. Vi foretar her analyser og for eksempel vugge til grav-tester hvor vi opparbeider oss god kunnskap om transaksjonsflyten gjennom regnskapet for de ulike transaksjonsklassene som er på området.

Selve rutinene blir beskrevet under skjermbildene «Rutiner og systemer» sammen med en beskrivelse av IT-systemene som er relevante, og som har betydning for regnskapet. For alle relevante kontroller har vi et krav om at THORE (under implementerte kontroller) skal beskrives og vurderes. For eksempel kan en ledelseskontroll hos oss på en kommune se slik ut:

• Type kontroll: Manuell oppfølging regnskap mot budsjett med økonomirapportering til formannskapet og tertialrapportering til kommunestyret (drift og investering)
• Hensiktsmessighet: Kontrollen er godt egnet til å sikre god regnskapsoppfølging og budsjettstyring i de ulike enhetene. Vesentlige avvik avdekkes og forklares.
• Omfang: Rapportering tre ganger pr år.
• Risiko som dekkes av kontrollen: Transaksjonsklasser FP; tilleggsopplysninger FGNK
• Erfaring og kompetanse: NN ved budsjettenheten som er ansvarlig for rapporteringen vurderes til å ha god kompetanse på område. NN har vært mange år i kommunen, og vi har lang erfaring med ham/henne gjennom mange år.
  

3.5 Test av kontroll, substanshandlinger og regnskapspåstander – type 1, 2 og 3

Etter planlegging – skal revisor lage revisjonshandlinger som skal dekke regnskapspåstandene for transaksjonsklasser og kontosaldoer eller tilleggsopplysninger. Her må man påse at man kun hekter på de påstandene som er aktuelle for den enkelte revisjonshandling, alt etter som hvor man er i regnskapet og hva man faktisk kontrollerer. For eksempel:

For driftsutgifter i driftsregnskapet har vi to transaksjonsklasser: «Kjøp av varer og tjenester og overføringsutgifter» med klassifisering type 1 (test av kontroll og substans) – og en mislighetsrisiko type 2 (særskilt risiko). Men vi tester flere forhold innenfor transaksjonsklassen:

• Ved test av effektiviteten av kommunens interne kontroll for attestasjon og anvisning (test av kontroll) hekter vi på GNPK ERV for transaksjonsklassen. I tillegg hekter vi på G for mislighetsrisikoen for innkjøp.
  Vi mener at når vi tester denne kontrollen vil alle disse påstandene dekkes i mer eller mindre grad – forutsatt at kontrollen er effektiv og at vi kan bygge på den. Fordi vi i dette tilfellet hekter på påstanden G for mislighetsrisikoen, kan denne kontrollen ikke rulleres (vi har i tillegg en substanshandling for endelig vurdering av mislighetsrisikoen, da denne ikke kun kan dekkes inn ved test av kontroll).
• Vi tester også kommunens avstemming av leverandørgjeld og hekter på påstandene ERFV og (indirekte GFNPK – motpostkontroller).
• Vi tester også ledelsesrapporteringen gjennom året med søkelys på regnskapsrapportering, budsjettoppfølging og om dette faktisk stemmer med regnskapet. Her hekter vi på FP på transaksjonsklassen og for tilleggsopplysninger FGNK.

Når dette er sagt er ikke revisjonen ferdig her etter test av kontroller – da en test av kontroll aldri kan stå alene, men sammen med en substanskontroll. Motsatt kan en substanshandling stå alene, men da må vi utføre svært mange bilagskontroller – og slik vi ser det, er det ikke mulig å oppnå tilstrekkelig sikkerhet med kun substanskontroller på en kommune. Dersom vi mener at kommunen ikke har tilstrekkelig internkontroll for å teste kontroller – sier vi samtidig at vi ikke kan stole på kommunens internkontroll og kan vi da signerer beretning? Trolig ikke.

... – og slik vi ser det, er det ikke mulig å oppnå tilstrekkelig sikkerhet med kun substanskontroller på en kommune.

God internkontroll er en forutsetning for å sikre pålitelig finansiell rapportering. Uansett, i vårt eksempel har vi i risikomatrisen satt opp type 1 som tilnærming til revisjonen, og vi må utføre både test av kontroll og substanskontroller på driftsutgifter. Hos oss legger vi da gjerne inn følgende substanskontroller på området.

• Analytisk substanskontroll - FP
• Kontroll av inngående faktura/kreditnotaer – utvalg er både statistisk og skjønnsmessig (her bygger vi også på bilagskontroller i mva.-komp.) - GNPK
• Revisjon av annen kortsiktig gjeld - ERFV
• Revisjon av mislighetsrisiko - G
• Periodisering - FP
• Overføringsutgifter (at det ikke ytes tilskudd som mottakeren ikke har krav på, at det foreligger dokumentasjon og er riktig registrert i regnskapet) - GNK/ERV

Når vi så har utført både test av kontroller og substanskontroller på driftsutgifter (som nevnt over), har vi antageligvis tilstrekkelig med revisjonsbevis slik at vi kan bekrefte ledelsens avgitte regnskap på påstandsnivå, og kan vi konkludere på et område. I RRI tester vi kontroller på alle områder, men vi har kun en test på årsoppgjørsområdet, og det er ledelseskontrollen.

I RRI tester vi kontroller på alle områder, men vi har kun en test på årsoppgjørsområdet, og det er ledelseskontrollen.

Type 2 risikoer, særskilte risikoer som er mislighetsrisiko på inntekter og utgifter, krever særskilte tester av kontroller og substanshandlinger. Her kan ikke en substanshandling stå alene. Det er et krav at ledelsen skal ha iverksatt internkontroll på dette.

Vi har noen transaksjonsklasser med type 3; overføringsinntekter, avsetning og bruk av fond i driftsregnskapet, finansiering og overføring fra drift til investeringsregnskapet (bruk av lån, fond, statlige overføringer), årsoppgjør og skille drift vs. investering. Her utfører vi ingen test av kontroll, men vi har det på områdene, men ikke på alle transaksjonsklassene.

3.6 Uvesentlige transaksjonsklasser og kontoer vs. arbeidsvesentlighet

Vi skiller ikke ut uvesentlige transaksjonsklasser eller kontosaldoer i risikooversikten. Både fordi vi ikke har en veldig detaljert oversikt med mange transaksjonsklasser og fordi det ofte er en eller flere andre revisorer på oppdraget som tar for seg ulike områder. På området vurderes dette – da vi mener man har mye bedre oversikt her, og det er her vi eventuelt skiller ut uvesentlige transaksjonsklasser og kontoer under arbeidsvesentligheten hvor det ikke er stor risiko for at det er feil (sannsynlighet og betydning) og som vi ikke skal se nærmere på. Dette dokumenteres og legges på områdenivå.

Når dette er sagt skiller vi aldri ut transaksjonsklasser og/eller kontosaldoer som har elementer av skatter og avgifter i seg. Dette reviderer vi alltid uavhengig av beløp.

3.7 Påstander om transaksjonsklasser og kontosaldoer og tilleggsopplysninger

For at vi skal få til en effektiv og hensiktsmessig revisjon er det vesentlig at vi setter opp «revisjonskriteriene» som vi skal revidere, på forhånd og opp mot regnskapspåstandene. Noen regnskapspåstander er mer kritiske enn andre, og under følger enkelte eksempler:

• Fullstendighet – den mest kritiske for både inntekter og gjeld. Det er mer sannsynlig at inntekter holdes utenfor bokføringen enn at det blir bokført for mye. For gjeld blir konsekvensen dersom ikke all gjeld er bokført, at egenkapitalen blir overvurdert. Her er det viktig at revisor vektlegger når revisjonshandlingene lages. For inntekter – kontroller fra grunnlag til hovedbok for å kunne bekrefte at alle inntektene er blitt bokført. For gjeld – må revisor kontrollere bokføringen og avstemming, f.eks. mot lånedokumenter.
• Gyldighet – er den mest kritiske på innkjøp. Det er normalt større risiko for at det er ført for mye kostnader i regnskapet og/eller at man har fått dekket inn private kostnader og/eller at det eksisterer fiktive kostnader. Det er her risiko for misligheter i regnskapet kan forekomme – og at kostnader overvurderes og derfor hekter vi på G i risikomatrisen vår.
• Nøyaktighet – Denne påstander har med at beløp og andre data fra grunnlaget er nøyaktig kontert og bokført i regnskapet. Nøyaktighet på transaksjonsnivå samsvarer i stor grad med verdsettelse på balansenivå.
• Eksistens – Dette er det viktigste kravet på eiendelssiden i balansen og innebærer at eiendelene eksisterer og tilhører kommunen. F eks. rutiner for kundefordringer må sørge for at de fordringene som står i balansen, er oppført med en verdi som er i samsvar med vurderingsreglene. Det er da kritisk at både eksistens og verdsettelse dekkes inn.
• Rettigheter og forpliktelser – sammenfaller med påstanden eksistens. Dekker både formell og reell eksistens. F.eks. vil en saldoforespørsel for en kundefordring, dekke både rettigheten til fordringen og at den faktisk eksisterer.
• Verdsettelse – påstanden betyr at balansepostene er bokført i regnskapet med riktig beløp og at eiendelen har riktig verdi.
• Periodisering – Innebærer at transaksjoner er bokført i riktig regnskapsperiode. Dette er knyttet til årsskiftet da revisor avlegger revisjonsberetning for årsregnskapet.
• Riktig presentasjon og klassifisering – Gjelder for både resultat- og balanseposter. Innebærer at den løpende kontrollen av påstandene gjennom året sammenstilles og presenteres ved årsavslutningen i henhold til Forskrift om økonomiplan, årsbudsjett, årsregnskap og årsberetning for kommuner og fylkeskommuner eller til skatte- og avgiftsmyndigheter.

Hva revisor faktisk kontrollerer i revisjonshandlingen og i hvilken revisjonsretning – for både test av kontroller og substanskontroller, vil til slutt avgjøre hvilke regnskapspåstander som dekkes inn på den enkelte revisjonshandling. Revisor skal til slutt sikre at samtlige påstandene blir dekket gjennom utførte revisjonshandlinger.

Kilder:

• Effektiv bruk av Descartes – kursmateriell
• ISA-ene (gjeldende i 2021)
• Revisjonshandlinger i praksis, Tine Degerstrøm Stenvold og Mona Mjøsund Degerstrøm (fagbokforlaget, 2020)

Noter:

1. Revisjonshandlinger i praksis 12.5.1.5
2. Revisjonshandlinger i praksis 12.5.1.5
3. Revisjonshandlinger i praksis 12.5.1.5.

Lenke til kontroll & revisjon nr. 3/2022: