Revisorlovens § 31

Lovmæssige krav til revisionsudvalgets arbejder

Der er i revisorlovens § 31 en række lovmæssige krav til de arbejder, som revisionsudvalget skal udføre.

Bestyrelsen kan vælge mellem at nedsætte et revisionsudvalg eller udføre de lovpligtige opgaver selv. Der er i revisorlovens § 31 en række lovmæssige krav til bestyrelsens sammensætning, som skal være opfyldt, uanset om det vælges at nedsætte et revisionsudvalg, eller det vælges, at den samlede bestyrelse skal varetage de lovpligtige opgaver i tilknytning til regnskabsaflæggelsen.

Uanset om der nedsættes et revisionsudvalg, eller udvalgets opgaver vælges varetaget af den samlede bestyrelse, er der behov for at vurdere, hvordan de lovgivningsmæssige opgaver, der pålægges vedrørende regnskabsaflæggelsen, mest hensigtsmæssigt kan tilrettelægges og løses i den enkelte virksomhed.

Vi har i appendiks 1 oplistet en række spørgsmål, som revisionsudvalget bør stille i relation til regnskabsaflæggelsen og tilrettelæggelse af risikostyrings og interne kontrolsystemer. Inspiration til spørgsmålene er hentet fra den engelske Turnbull guidance 2005.

Anbefalinger vedrørende tilrettelæggelsen af revisionsudvalgets arbejde kan downloades her:

 Revisorlovens pgr. 31.pdf

Indhold

Tilrettelæggelse af revisionsudvalgets arbejde

Overvågning af regnskabsaflæggelsesprocessen

Virksomhedens interne risikostyringssystem

Virksomhedens interne kontrolsystem

Virksomhedens interne revision

Lovpligtig revision af årsregnskabet m.v.

Lovpligtig revisions uafhængighed

Indstilling til revisorvalg

Appendiks 1

Tilrettelæggelse af revisionsudvalgets arbejde

I det følgende er belyst de informationsbehov, der sædvanligvis opstår ved overvejelser om, hvorledes udvalgets lovgivningsmæssige opgaver bedst muligt varetages. Ønsker bestyrelsen yderligere opgaver varetaget af udvalget, vil dette følgelig afstedkomme yderligere informationsbehov.

Vi har i det følgende primært fokuseret på, at lovpligtige regnskabsrapporteringer udformes i overensstemmelse med gældende love og standarder og under hensyntagen til bestyrelsens risikovurdering vedrørende regnskabsaflæggelsen.

Vi behandler i det følgende anbefalinger vedrørende overvågning af:

  • Regnskabsaflæggelsesprocessen
  • Virksomhedens interne risikostyringssystem vedrørende regnskabsaflæggelsen
  • Virksomhedens interne kontrolsystem vedrørende regnskabsaflæggelsen
  • Virksomhedens eventuelle interne revision
  • Lovpligtig revision af årsrapporten m.v.
  • Lovpligtig revisions uafhængighed

Overvågning af regnskabsaflæggelsesprocessen

Overvågningen bør som minimum omfatte den lovpligtige finansielle rapportering i henhold til reglerne for aktieudstedere på OMX Nordiske Børs og finansielle virksomheder, herunder års- og delrapporter m.v. Om øvrig regnskabsrapportering ligeledes skal behandles, må besluttes individuelt for den enkelte virksomhed.

Med henblik på at opnå indblik i tilblivelsesprocesserne for nævnte rapporteringer kan følgende forhold overvejes:

* Ledelsesgodkendt procedure for udarbejdelse og kontrol af samlet proces for tilblivelse af regnskabsrapporteringer

  • Etablering af møderække og agenda med direktion, økonomifunktion, eventuel controller-funktion og eventuel intern revision tilpas forud for rapporteringsterminer
  • Tilstrækkelighed af ressourcer og kompetencer i lys af regnskabsmæssig referenceramme og ambitionsniveau
  • Realistiske tidsplaner 
  • Omfang af strategi-, ledelses- og regnskabs-rapportering til udvalget ud over ekstern rapportering. Eksempelvis vil periodiske ledelsesrapporteringer og budgetopfølgninger være nødvendige for udvalgets vurdering af rapporteringernes kvalitet og fuldstændighed (i et kreditinstitut er eksempelvis løbende rapportering om kapitalbehov et væsentligt krav)
  • Indsigt i regnskabsmæssige, revisionsmæssige og kontrolmæssige referencerammer
  • Særlig indsigt i anvendt regnskabspraksis
  • Særlig indsigt i ledelsesberetning, herunder om den er retvisende og afbalanceret, samt at den opfylder de i Årsregnskabslovens § 107b stillede krav
  • Rapporteringer om væsentlige regnskabs- og revisionsmæssige problemstillinger

Overvågning af virksomhedens interne risikostyringssystem

Overvågning af virksomhedens interne risikostyringssystem (procedurer eller systemer, som virksomheden har indført i forbindelse med risikostyringen, herunder hvorledes ledelsen løbende identificerer og styrer risici for væsentlige fejl i regnskabsaflæggelsen)

Med risikostyringssystem forstås de processer, forretningsgange og ressourcer, som virksomheden, herunder bestyrelsen, anvender til at identificere og kvantificere væsentlige risici, samt hvordan de skal håndteres.

Vi anbefaler, at bestyrelsen/revisions-udvalget overvejer følgende forhold:

  • At få etableret overblik over hvilke processer, forretningsgange, it-systemer, generelle it-kontroller m.v. som omfatter regnskabsaflæggelsen.Det er vigtigt, at der skabes overblik over, hvilke områder der har betydning for regnskabsaflæggelsen for at gøre risikostyringen og overvågningen så effektiv som muligt
  • Hvordan bestyrelsen og direktionen definerer væsentlige risici vedrørende regnskabsaflæggelsen, der kan være en trussel mod virksomhedens overlevelse eller væsentligt skade virksomhedens økonomiske stilling og omdømme, herunder definering af risici for væsentligt fejlbehæftede eller ufuldstændige regnskabsrapporteringer under hensyntagen til regnskabslæsers bedømmelse af virksomheden.
  • Hvordan bestyrelsen og direktionen har tilrettelagt procedurer for risikostyring, herunder fastlagt risikogrænser med udgangspunkt i definerede risici for regnskabsaflæggelsen
  • At få etableret overbliksbeskrivelse af det samlede risikostyringssystem og eventuelle uddybende forretningsgangsbeskrivelser på særlig væsentlige områder
  • At få etableret periodiske rapporteringer fra virksomhedens eventuelle risikostyringsfunktion eller andre, som har fået ansvar for løbende opfølgning. Endvidere eventuelle periodiske rapporteringer fra ekstern og eventuel intern revision
  • Forholder sig til periodiske rapporteringer om interne risikostyringssystemers effektivitet. Det vil sige om risikostyringssystemerne fungerer og opfanger væsentlige risici og udviklingen i disse
  • Forholder sig til tilstrækkeligheden af ressourcer og kompetencer i risikostyringsfunktionen under hensyn-tagen til de stillede opgaver
  • Opstiller realistiske tidsplaner
  • At få etableret møderække og agenda med direktionen, risikostyringsfunktion/dagligt ansvarlige for risikostyring og ekstern revision samt den eventuelle interne revision. Mindst et årligt møde mellem udvalget og revisionen bør foregå uden direktionens tilstedeværelse.

Overvågning af virksomhedens interne kontrolsystem

Overvågning af virksomhedens interne kontrolsystem (interne kontroller, som er indført i virksomheden til sikring af, at væsentlige fejl i regnskabsaflæggelsen bliver imødegået, opdaget og korrigeret.)

Virksomhedens interne kontrolsystem er kontroller, som er etableret for at imødegå de risici, som er identificeret, og som bestyrelsen og direktionen ønsker reduceret til et acceptabelt niveau. Kontrolsystemerne omfatter såvel manuelle som automatiserede kontroller, herunder medarbejderes opgaver, fysiske foranstaltninger, it-systemer, generelle it-kontroller osv. I den forbindelse bør bestyrelsen/revisionsudvalget overveje:

  • Om der er tilstrækkeligt overblik over, hvilke processer, forretningsgange, it-systemer, generelle it-kontroller m.v., som omfatter regnskabsaflæggelsen, herunder om der er tilrettelagt tilstrækkelige procedurer for intern kontrol i lys af definerede sikkerhedsniveauer i virksomhedens risikostyringssystemer,
  • Dette skal være med til at sikre, at der er tilstrækkelige interne kontrolsystemer til afdækning af de risici, der har betydning for regnskabsaflæggelsen,
  • I samarbejde med direktionen at fastlægge et niveau for kontrolmiljøet for regnskabsaflæggelsen/rapporteringer, herunder eventuelt valg af compliance referenceramme (f.eks. COSO), valg af it-systemer og it-sikkerhedsniveau samt forretningsmæssige og it-mæssige beredsskabsplaner,
  • At få skabt overbliksbeskrivelse af det samlede interne kontrolssystem og anmodning om eventuelle uddbende forretningsgangsbeskrivelser på særlige væsentlige områder, at få etableret periodiske rapporteringer fra virksomhedens controller-funktion samt en eventuel intern revision og den eksterne revision,
  • Hvordan periodisk rapportering om interne kontrolsystemers effektivitet skal tilrettelægges. Det vil sige rapportering om, hvordan de interne kontroller er designet, således at de nedbringer de identificerede risici i forbindelse med regnskabsaflæggel-sen til det ønskede risikoniveau, samt om de bliver udført som forventet med rette omhu og interval,
  • Rapportering om eventuelle besvigelser,
  • Om der er tilstrækkelige ressourcer, inklusive kompetencer til implementering og udførelse af kontroller, herunder i en eventuel controller-funktion i lys af stillede opgaver,
  • Realistiske tidsplaner,
  • Etablering af møderække og agenda med direktion, eventuel controller-funktion, ekstern revision og den eventuelle interne revision. I det omfang, der er etableret en compliancefunktion, vil ovennævnte punkter ligeledes være relevante at overveje.

Overvågning af virksomhedens interne revision

Vedrørende overvågning af intern revision bør bestyrelsen/udvalget foretage sig følgende:

  • Overveje indholdet af intern revisions funktionsbeskrivelse
  • Foretage en vurdering af den interne revisions uafhængighed til den øvrige organisation vurdere om der er tilstrækkelige ressourcer og kompetencer i lys af funktionsbeskrivelsens opgaver
  • Planlægge om hvordan samarbejde med virksomhedens organisation og ledelse skal tilrettelægges
  • Vurdere indholdet af revisionsplan og de foretagne risikovurderinger
  • Vurdere omfang af rapportering fra intern revision og intern revisions egen afrapportering om effektivitet
  • Tilrettelægge realistiske tidsplaner
  • Etablere møderække og agenda med intern revision

Overvågning af lovpligtig revision af årsregnskabet m.v.

I forhold til den eksterne revision bør følgende indgå i overvågningen:

  • Gennemgang og stillingtagen til indhold af revisionsaftale, herunder aftale om ikke-revisionsydelser med ekstern revision
  • Vurdering af tilstrækkelighed af ressourcer, herunder kompetencer blandt andet i lys af ønsker til sparring fra ledelsen samt eksempelvis valg af regnskabsmæssig referenceramme samt risikostyrings- og interne kontrolsystemer
  • Hvordan samarbejde med virksomhedens organisation og ledelse er tilrettelagt
  • Vurdering af indhold af revisionsplan og de foretagne risikovurderinger
  • Vurdering af honorarbudget
  • Opstilling af realistiske tidsplaner
  • Vurdering af rapportering om væsentlige revisionsmæssige forhold (revisionsprotokol, management letter etc.), der ligeledes danner baggrund for en vurdering af revisionens udførelse
  • Etablering af møderække og agenda med lovpligtig revision

Overvågning af lovpligtig revisions uafhængighed

Denne overvågning bør omfatte:

  • Etablering af overblik over lovgivningens krav til uafhængighed,
  • Vurdering af oversigt over leverede ydelser, herunder drøftelser med direktionen,
  • Drøftelser om eventuelle trusler mod revisors uafhængighed.

Indstilling til revisorvalg

Bestyrelsen/revisionsudvalget bør overveje:

  • Processen for vurdering af ekstern revision,
  • Etablering af proces for valg/genvalg af ekstern revision.

Ønskes en uddybende dialog om anbefalingerne, er du meget velkommen til at henvende dig til din sædvanlige kontaktperson hos Grant Thornton.

 


Appendiks 1

Turnbull ”Revised Guidance for Director son the Combined Code” 2005, Appendix ”Assessing the effectiveness of the company’s risk and control processes”

Spørgsmål som bestyrelsen (Revisionsudvalget) bør stille og drøfte i forbindelse med interne kontrol- og risikostyringssystemer vedrørende regnskabsaflæggelsen, herunder deres overvågningspligt.

I Turnbull Guiden ”Revised Guidance for Directors on the Combined Code, Oct. 2005”, som gælder for engelske børsnoterede selskaber, indgår et

appendiks med spørgsmål, som bestyrelsen bør stille og drøfte med direktionen i forbindelse med interne kontrol- og risikostyringssystemer. Disse spørgsmål anses også relevante i forhold til årsregnskabslovens § 107b nr. 6 ”Beskrivelse af hovedelementerne i virksomhedens interne kontrol- og risikostyringssystemer i forbindelse med regnskabsaflæggelsesprocessen” samt ved bestyrelsens/revisionsudvalgets løbende overvågning om systemers effektivt jf. revisorlovens § 31.

Spørgsmålene i Turnbull Guidens er søgt tilpasset den danske lovgivning. Nedenstående er til inspiration og kan ikke anses for udtømmende.

Risikovurdering

  1. Har virksomheden klare mål vedrørende regnskabsaflæggelsen, og er de kommunikeret som effektive retningslinier for medarbejderne vedrørende risikovurdering og kontrolmål. F.eks. inkluderer mål, relaterede planer og retningslinier målbare performance mål og indikatorer?
  2. Er væsentlige interne risici vedrørende regnskabsaflæggelsen identificeret og vurderet som en løbende proces?
  3. Er der en klar forståelse i direktionen og blandt medarbejdere af, hvilke risici der er acceptable for bestyrelsen?

Kontrolmiljø og kontrolaktiviteter

  1. Har bestyrelsen en klar strategi for håndtering af væsentlige identificerede risici vedrørende regnskabsaf-læggelsen? Er der en politik for, hvordan disse risici skal håndteres?
  2. Supporterer virksomhedens kultur, kodeks, human ressource politikker og performance systemer virksomhedens risikostyrings- og interne kontrolsystemer vedrørende regnskabsaflæggelsen?
  3. Demonstrerer direktionen, gennem dens handlinger og politikker, den fornødne kommittent, kompetence og integritet?
  4. Er beføjelser, ansvarsområder og ledelsesansvar vedrørende regnskab-saflæggelsen klart defineret, således at beslutninger tages og handlinger udføres af relevante personer?
  5. Kommunikerer virksomheden til medarbejderne om, hvad der forven-tes af dem og deres beføjelser til at handle frit? Dette kan f.eks. vedrøre områder som serviceniveau, internt som for outsourcede aktiviteter, materielle og immaterielle aktiver, business continuity overvejelser, regnskabsførelse og finansiel rapportering.
  6. Har medarbejdere i virksomheden (og hos outsourcingleverandører) viden, kvalifikationer og værktøjer til at supportere gennemførelsen afvirksomhedens mål i forhold til regnskabsaflæggelsen og til effektiv ledelse af risici i forhold til de satte mål?
  7. Hvordan er processer og kontroller tilpasset til at reflektere nye eller ændrede risici eller konstaterede svagheder?

Information og kommunikation

  1. Modtager direktionen og bestyrelsen rettidig, relevant og pålidelig rapportering om processer vedrørende mål og relaterede risici om interne kontrolsystemer, der tilvejebringer den information, internt og eksternt, som er nødvendig for beslutningsprocessen og den ledelsesmæssige overvågning? Dette bør inkludere performance rapporter og indikatorer på ændringer sammen med kvalitativ information som væsentlige fejl eller mangler i processer og kontroller omkring regnskabsaflæggelsen.
  2. Er informationsbehov og risikosty-rings- og kontrolsystemer revurderet i takt med, at mål og relaterede risici ændres eller svagheder er identificeret?
  3. Er perioderegnskabsprocedurer, inklusive halvårsregnskaber og årsrapporten, effektive til at kommunikere et retvisende regnskab?
  4. Er der etableret muligheder for medarbejdere til at rapportere mistanke om uregelmæssigheder?

Overvågning

  1. Er der en løbende proces, som er forankret i virksomhedens målsætninger for regnskabsaflæggelsen? Er målsætningerne endvidere adresseret af direktionen, og overvåger denne en effektiv anvendelse af politikker, processer og kontrolaktiviteter relateret til intern kontrol og risikostyring? (Sådanne processer kan inkludere selfassessment af kontroller, bekræftelser fra medarbejdere om compliance med politikker og kodeks, intern og ekstern revisionsrapporter og andre ledelsesrapporter).
  2. Overvåger disse processer virksomhedens evne til at revaluere risici og justere kontroller effektivt som respons på ændringer i mål, i virksomheden og eksterne påvirkninger vedrørende regnskabsaflæggelsen?
  3. Er der tilstrækkelig information til bestyrelsen (og revisionsudvalget) om effektiviteten af de løbende overvågningsprocesser i forbindelse med risici og kontrolforhold vedrørende regnskabsaflæggelsen? Dette bør inkludere regelmæssig rapportering af enhver væsentlig fejl eller svaghed.
  4. Er der særlige foranstaltninger til ledelsesovervågning og rapportering til bestyrelsen vedrørende risiko- og kontrolforhold af særlige væsentlighed? Disse bør for eksempel inkludere aktuelle - eller mistanke om - besvigelser og andre uregelmæssigheder eller forhold, som kan have en negativ effekt på virksomhedens finansielle forhold.

 

IFRS Top 20

Publikationen ”IFRS’ Top 20 om vigtige oplysninger og regnskabsmæssige problemstillinger” kan downloades her.

© 2009 Grant Thornton - Statsautoriseret Revisionsaktieselskab