Tillid til regnskaber med erklæring om udvidet gennemgang

Tekst/
Anette Chemnitz Horne, lektor på UCN, cand.merc. integreret virksomhedsudvikling
Anne Mette Voldbjerg, lektor på UCN, cand.merc.aud.
Louise Jensen, lektor på UCN, cand.merc. økonomistyring, adjunkt

Denne artikel tager alene udgangspunkt i regnskabsklasse B virksomheder, som qua årsregnskabsloven kan vælge en udvidet gennemgang frem for en revision. Artiklen behandler spørgsmålet, om interessenterne til mellemstore håndværksvirksomheder kan have tillid til et årsregnskab med erklæring om udvidet gennemgang trods en mindre grad af sikkerhed end ved revision?

Indsamling af data

Baggrunden for denne artikel er interviews med økonomiansatte fra fem virksomheder og revisorer fra syv revisionshuse. Der blev udvalgt fem virksomheder, som har mellem 21–48 ansatte, en balancesum på mellem 13–39 millioner kroner, en bruttofortjeneste på mellem 8–29 millioner kroner og et resultat før skat mellem 0,7 millioner–9 millioner kroner.

De udvalgte respondenter er beskæftiget inden for entreprenørarbejde. Netop disse virksomheder blev valgt, da de alle i årsrapporten har posten: Igangværende arbejder, og det er en kompleks regnskabspost.

Hos de udvalgte virksomheder blev der interviewet fem økonomiansatte, som enten var regnskabschefer, eller alternativt bogholdere i de tilfælde, hvor virksomheden ikke havde ansat en regnskabschef. Disse blev udvalgt, da de sidder med det daglige økonomiarbejde og derfor må forventes at have gode forudsætninger for at udtale sig om emnerne.

Der blev interviewet revisorer fra syv forskellige revisionsvirksomheder. Disse blev udvalgt således, at de repræsenterede såvel store som små revisionshuse i Nordjylland. Alle revisorer har flere års erfaring i branchen og forventes at besidde de nødvendige faglige forudsætninger for at kunne besvare vores spørgsmål fyldestgørende. 

Udvidet gennemgang i stedet for revision

Udvidet gennemgang kræver ifølge Standard om udvidet gennemgang af årsregnskaber¹ ”at revisor planlægger og udfører reviewhandlinger med henblik på at opnå begrænset sikkerhed for sin konklusion om årsregnskabet. Reviewhandlinger består primært af forespørgsler og analytiske handlinger”.

Interviewene med revisorerne har vist, at kunderne ikke har den store interesse for valg af revisorydelse, og at kundernes motivation for at vælge den for dem korrekte revisionsydelse for størstedelens vedkommende er prisen.

Ifølge revisorerne er det aldrig kunderne, som beder om at ændre fra revision til udvidet gennemgang. Det vil oftest være initieret af revisor gennem dialog med kunderne. De virksomheder, vi har talt med, udtaler samstemmende, at de gør, som deres revisor anbefaler, og ingen af virksomhederne er klar over, at de får lavet udvidet gennemgang.

Undersøgelsen har vist, at revisorerne oftest laver flere opgaver, end der foreskrives i reviewstandarden². Dette skyldes ifølge revisorerne, at revisionsvirksomhederne værner om deres ry i forhold til at være offentlighedens tillidsrepræsentant, herunder især i forhold til pengeinstitutterne. 

I forhold til forskellen mellem udvidet gennemgang og revision var det visse revisorers opfattelse, at udvidet gennemgang er samme produkt, som revision var for år siden. I dag omfatter revision mange flere opgaver end de dokumentationskrav, som var gældende for år tilbage. En revisor udtaler: “Udvidet gennemgang er bare det, vi lavede for 10 år siden ved fuld revision.”  En anden revisor udtaler: “Revision skulle tidligere ikke indeholde beskrivelse af interne kontroller. Det, jeg lærte om revision i sin tid, er det, der svarer til udvidet gennemgang i dag”.

Forståelse af virksomheden og dens omgivelser

Revisorerne udtaler samstemmende, at når de får en ny kunde³, laves der en undersøgelse af virksomhedens interne og eksterne forhold. Herved får revisor en forståelse eller fornemmelse af virksomheden, som sætter revisor i stand til at finde de områder, hvor det kan være nødvendigt at udføre handlinger for at mindske risikoen for fejlinformation i regnskabet. Et indgående kendskab til kunden er vigtigt for revisor for at kunne forholde sig objektivt til den måde, virksomheden drives på.

Der er i reviewstandarden⁴ krav om, at revisor skal opnå en forståelse af kontrolmiljøet i den givne virksomhed, herunder vurdere om den daglige ledelse har udviklet og vedligeholdt en kultur af hæderlighed og etisk adfærd, og at den samlede styrke af elementerne i kontrolmiljøet giver et passende grundlag for de øvrige interne kontrolelementer, og om disse øvrige elementer undermineres af mangler i kontrolmiljøet.

Kontrolmiljøet i en virksomhed vil afhænge af den kultur, som hersker i virksomheden. Har virksomheden en hæderlig og etisk adfærd, vil behovet for kontroller af den givne virksomhed være mindre. Revisorerne udtaler i den forbindelse, at nogle af deres beslutninger om tilstrækkeligheden af interne kontroller og risici bygger på professionel dømmekraft, som revisor får gennem kendskab til såvel virksomheden som sit arbejde som revisor gennem flere år. Det betyder også, at der ved nyansættelse af nøglepersoner i virksomheden vil være en højere risikovurdering fra revisors side.

Et svagt eller mangelfuldt internt kontrolmiljø kan resultere i, at der sker fejl ved både risikovurdering og de interne kontroller. Hvis for eksempel ledelseskulturen i virksomheden er at udvise ligegyldighed over for regnskabsaflæggelsen i forhold til, at det er retvisende, vil medarbejderne ofte gøre det samme.

Det er bestyrelsen samt den daglige ledelse, som skal sikre, at det interne kontrolmiljø og processer i en virksomhed fungerer optimalt. Det kræver en stor viden om selskabets struktur, branche, økonomi samt de relevante lovkrav. Når undersøgelsens deltagende virksomheder spørges om brug af bestyrelse svarer tre ud af de fem, at den anvendes aktivt. To af disse virksomheder har bestyrelsesmøder fire gange om året, mens en af virksomhederne har bestyrelsesformanden på besøg én gang hver måned.

I de virksomheder, vi har interviewet, er det vores opfattelse, at der på trods af ligegyldighed med hensyn til valg af revisors ydelse, er stor interesse for, at virksomheden aflægger et korrekt regnskab.

Risici samt væsentlighed set fra revisors synsvinkel

Revisorerne udtaler, at når de fastlægger arten og omfanget af det arbejde, de skal udføre hos en virksomhed, sker det på baggrund af en vurdering af risiko og væsentlighed, således at deres arbejde fokuserer på de væsentligste og mest risikofyldte områder. Risikovurderingen skal ikke foretages med den samme dybde ved udvidet gennemgang som ved revision⁵.

Revisor skal ved udvidet gennemgang gøre sig de samme overvejelser om, hvad der er væsentligt i forhold til regnskabet som helhed, som hvis der skal afgives en revisionskonklusion på regnskabet⁶. Men i modsætning til revision er der ikke krav om, at revisor overvejer væsentlighedsniveau ved udførelsen⁷.

Revisor skal desuden ikke kontrollere væsentlige oplysninger ved for eksempel fysisk kontrol, observation og efterretning.  Adspurgt om væsentlighed svarer de fleste af revisorerne, at der også laves væsentlighedsniveau ved udvidet gennemgang, men nævner samtidigt, at der anvendes en større grad af professionel skepsis til at vurdere, om tingene er i orden. Nogle revisorer nævner i den forbindelse også, at udvidet gennemgang derfor kræver mere erfarne revisorer.  En revisor nævner, at ved vurdering af, om et årsregnskab er retvisende, skal regnskabsbrugerne tænkes ind, da disse ikke skal træffe en forkert beslutning på baggrund af årsregnskabet.

Risici set fra virksomhedens synsvinkel

Selve risikovurderingen indeholder en identifikation samt vurdering af de interne og eksterne faktorer, der påvirker virksomheden. Den enkelte virksomhed bør vurdere, hvilke risici den er underlagt og derudfra udarbejde og implementere passende interne kontroller. Hvad virksomheden vælger at foretage sig på baggrund af en afdækket risiko afhænger af virksomhedens risikoappetit. På spørgsmål omhandlende risici i virksomheden nævner fire af virksomhederne, at det er nye kunder. En af de adspurgte virksomheder har et bredere perspektiv og udtaler, at det er et område, de er blevet klogere på de sidste fem år, og at ”vi skal holde os på den sti, hvor vi ved, hvor vi skal være”.

På spørgsmålet om, hvad der bestemmer, om en ny kunde udgør en risiko, svares samstemmende fra alle interviewede, at det kommer an på den nye kundes omdømme samt opgavens størrelse. Har kunden et godt omdømme, foretages der ofte ingen yderligere tjek. Risikovurderingen vil dog også afhænge af opgavens størrelse hos kunden. Alle virksomhederne på nær én nævner, at de har en mere eller mindre fast beløbsgrænse for, hvornår de undersøger en ny kundes kreditværdighed. Herudover spørges netværk, og der ses eventuelt på kundens regnskab. En virksomhed nævner, at der altid kan laves bedre risikovurdering.

De mål, processer og arbejdsgange, der eksisterer i en virksomhed, udspringer af den mission, vision og strategi, bestyrelsen og ledelsen har fastsat for virksomheden. Det er medarbejderne, som fører målene ud i livet gennem de processer, der er i virksomheden. Dette sikres for eksempel gennem klare jobbeskrivelser.

Fire af de deltagende virksomheder udtaler, at der er udarbejdet jobbeskrivelser til de enkelte medarbejdere, og at alle virksomhederne har en personalehåndbog. Samtidigt udtaler tre af virksomhederne, at det er et område, de har øget opmærksomhed på, og den virksomhed, som ikke allerede har jobbeskrivelser, nævner, at det er et område, de fremadrettet vil have fokus på. Virksomhederne udtaler samstemmende, at det interne miljø i høj grad bygger på tillid til medarbejderne. Der uddelegeres ansvar til de enkelte medarbejdere i administrationen samt på byggepladserne. Det kan således ud fra vores interviews konstateres, at virksomhederne med fordel kunne have øget fokus på de risikoelementer, der er i og omkring virksomheden.

Revisors opfattelse af interne kontroller i virksomhederne

Til intern kontrol og intern styring hos mange store ejerledede håndværksvirksomheder udtaler revisorerne, at virksomhederne anvender bankafstemning af konti i pengeinstitutter, procedurer for månedsafslutning, bogføringsbalance samt sagsregnskab.

Revisorerne udtaler, at de er usikre på, om den kontrol, virksomhederne udøver, reelt dækker over de risici, som findes i og omkring virksomheden. En revisor udtaler, at ”det overvågende kontrolelement efter min mening er alt for lille. Kontrolelementet bygger meget på tillid, især i Nordjylland. Kontrolmiljøet er for dårligt, hvis du spørger mig”. En anden revisor udtaler: “En kapitalfond kræver kontrolmiljø, mens ejerledede virksomheder som oftest ikke har det, da de vælger at spare på denne post.”

Revisorerne udtaler samstemmende, at der ved udvidet gennemgang ikke testes for, hvordan interne kontroller fungerer, men at revisor skal have en forståelse af den interne kontrol i virksomheden. Revisorerne skal i deres arbejdspapirer dokumentere deres forståelse af kontrolmiljøet. Opdager revisorerne en svaghed heri, påpeger de det over for ledelsen og foretager de ekstra handlinger, som er nødvendige, for at de kan stå inde for regnskabet. “Vi skal se, at der er en form for forretningsgang, vi skal bare ikke afprøve den”, udtaler flere revisorer. En revisor udtaler: ”Vi er lidt firkantede, så opdager jeg for eksempel enefuldmagt til netbank, så vil jeg via dialog give oplysninger herom, men det er ikke noget, jeg skal skrive. Hvis jeg støder på noget, så oplyser jeg om det, men jeg leder ikke efter det.”

En revisor nævner, “at selv om det påpeges, at der mangler en intern kontrol, er det ikke altid, at virksomheden retter op på dette”. I de situationer er holdningen blandt revisorerne generelt, at har virksomheden fået besked om en manglende intern kontrol og ikke har rettet op på denne, vil det for revisor betyde, at der udføres ekstra handlinger for at afdække problemet. Herefter bliver kunden faktureret for de ekstra handlinger, som revisor udfører. Dette kan i sidste ende medføre, at kunden får udført en egentlig revision. Såfremt kunden ikke følger revisors anbefalinger, har det ingen offentliggjorte konsekvenser for virksomhederne.

Revisorerne udtaler, at de er usikre på, om kunderne er klar over, hvilke fordele det giver at have velfungerende interne kontroller i de store regnskabsklasse B virksomheder.

Virksomhedernes opfattelse af interne kontroller

Et veltilrettelagt kontrolsystem vil bestå af en blanding af forebyggende, opbyggende og korrigerende kontroller, som kan være manuelle eller automatiske. Ifølge teorien skal der laves cost-benefit analyser af de enkelte kontroller for at vurdere, om det kan betale sig at udføre disse.

Det kan således godt være for omkostningstungt at indføre en kontrol i forhold til det udbytte, virksomheden kan få herved, ikke mindst på kort sigt.  Interne kontroller kan for eksempel vedrøre krav om underskrift, funktionsadskillelse, generel autorisation til køb under et vist beløb med videre. Uskrevne interne kontroller kan dog i et vist omfang forebygge manglende risikovurdering, hvis virksomheden er i den nedre ende af klasse B virksomheder. Kontrol af debitorer kan for eksempel godt foretages rutinemæssigt, selv om der ikke er en nedskreven kontrol herfor.

I de virksomheder, vi har talt med, er arbejdet med systematisk risikovurdering begrænset, hvilket betyder, at de interne kontroller ikke udspringer af en systematisk risikovurdering. De eksisterende interne kontroller er for det meste ikke nedskrevne. Virksomhederne udtaler, at der anvendes en del face-to-face kommunikation mellem administrationen og den daglige ledelse samt mellem administrationen og formændene på arbejdsstederne. 

En vigtig intern kontrol er effektiv separation af ansvarsområder, det vil sige, at der skal være flere personer til at godkende forskellige transaktioner. For eksempel bør den samme person ikke bestille, modtage og betale for indkøbte varer. I forbindelse med indkøb af varer til de forskellige igangværende arbejder gælder det for alle de adspurgte virksomheder, at der er etableret et mere eller mindre formaliseret kontrolsystem, som sikrer, at én person ikke kan stå for alle tre funktioner: Indkøb, modtagelse samt betaling af varer.

Dog ligger indkøb samt modtagelse af varer i nogle af virksomhederne hos samme medarbejder, da retten til såvel indkøb som opgaven med at kontrollere faktura op mod følgeseddel her ligger hos svendene eller hos byggeleder. Dette skyldes praktiske årsager, da leverandøren skal kunne komme af med sine varer ude på pladsen. Bogføring af betaling ligger hos bogholder, som kun må bogføre, hvis der er koblet et sagsnummer på fakturaen. Fire af de adspurgte virksomheder nævner, at eneste undtagelser herfra er direktionen, som derfor kan indkøbe, modtage og betale.

Ingen af de adspurgte virksomheder ligger inde med et varelager af betydning, hvorfor det ikke risikovurderes og dermed ikke indgår i virksomhedernes interne kontroller.

Informationerne vedrørende de igangværende arbejder, som virksomhederne er engageret i, stammer fra de it-systemer, som anvendes⁸. De fleste virksomheder har tilkøbt software udviklet til branchen, som hjælper med håndteringen af fakturaer, ordrestyring og planlægning af projekter.

Tre af de adspurgte virksomheder anvender it-systemet EG eller Minuba, som har integreret, at bestilling, kontrol og betaling håndteres af flere personer.  Systemerne afhjælper derfor en del af den manuelle håndtering, er med til at kvalitetssikre data og har en indbygget sikkerhed i for eksempel dobbelt godkendelse af materialeindkøb og hjælp til effektiv projektstyring.

Igangværende arbejder behandles med stor opmærksomhed i alle de adspurgte virksomheder. Alle projekter med igangværende arbejder har tilknyttet en projektleder, og alle betalinger skal via projektleder/byggeleder for at blive godkendt til betaling hos bogholder.

Alle virksomhederne har løbende opfølgning på likviditeten. Bogholder eller økonomichef rapporterer mundtligt til ledelsen enten ugentligt eller hver 14. dag. Det omhandler både likviditet, debitorer samt kreditorer. Der er stort fokus på forfaldne debitorer i virksomhederne, da dette har indvirkning på virksomhedens likvider.  De fleste virksomheder foretager kontrol af debitorer 2–3 gange om ugen, en enkelt virksomhed dog kun hver 14. dag. Kreditorerne tjekkes typisk en gang om måneden, kassekreditten mellem 1 dag og ugentligt.

Opsamling

Artiklen har undersøgt, om interessenterne kan have tillid til et årsregnskab med erklæring om udvidet gennemgang.

I mindre virksomheder i regnskabsklasse B beror kontrolmiljøet ofte på en ikke nedfældet overordnet kultur i virksomheden. Den overordnede kultur omhandler for eksempel ledelsens etiske adfærd samt ledelsens holdning til regnskabsaflæggelse, som også påvirker medarbejderne og i sidste ende kvaliteten og korrektheden af regnskabet. Vores undersøgelse viser, at virksomhederne virker meget interesserede i at aflægge et korrekt regnskab.

Kontrolmiljøet i de adspurgte virksomheder bygger mest af alt på tillid i forholdet mellem medarbejderne og ledelsen. Vores undersøgelse understreger, at revisorerne lægger vægt på deres professionelle dømmekraft ved vurdering af virksomhedernes kontrolmiljø. Skulle revisor komme ud for en virksomhed med et svagt kontrolmiljø, og hvor der ikke er interesse i at udarbejde et retvisende regnskab, vil revisor typisk udføre de handlinger, som er nødvendige, for at revisor kan stå inde for sit arbejde.

Virksomhedernes umiddelbare forståelse af risici i og omkring deres virksomhed omhandler kreditrisiko ved nye kunder. Det betyder også, at de kontroller, der eksisterer i virksomhederne, ikke udspringer af en systematisk risikovurdering foretaget af virksomheden, men typisk sker gennem de systemer, virksomhederne anvender til både sagsstyring og økonomi. Revisorerne udtaler, at nogle af deres beslutninger om tilstrækkeligheden af interne kontroller og risici i virksomhederne bygger på revisors professionelle skepsis. Derfor er det anbefalelsesværdigt, at der anvendes samme revisor i virksomheden gennem flere år.

Tillid har i undersøgelsen vist sig at være en af grundstenene i virksomhedens kontrolmiljø. Det gælder også virksomhedens tillid til revisoren og omvendt.

Svagheder i de interne kontroller udgør et risikoelement for virksomhederne.  Revisorernes opfattelse er, at virksomhederne mangler opmærksomhed på de risikoelementer, de udsætter virksomheden for, ved svagheder i deres interne kontroller.

Det er vigtigt for mellemstore håndværksvirksomheder, at der eksisterer et effektivt kontrolmiljø i virksomheden. Vores undersøgelse viser, at håndværksvirksomhederne via deres it-systemer har gode muligheder for at kontrollere igangværende arbejder. Desuden har virksomhederne ubetydelige lagre, hvorfor observation eller optælling heraf ikke er så vigtigt.

Da der her er tale om mellemstore og ikke så komplekse virksomheder, kan uskrevne interne kontroller i visse tilfælde forebygge manglende risikovurdering. Eksempler på forhold, som kan have betydning for, at manglende interne nedskrevne kontroller ikke udgør nogen risici for aflæggelse af en retvisende årsrapport, er et etisk og forsvarligt miljø, funktionsadskillelser i it- systemer, løbende opfølgning på likviditeten og jævnlige møder mellem økonomimedarbejder og ledelse.

Vores vurdering er, at virksomhederne, trods manglende forståelse for overordnede risici og nedskrevne forretningsgange, forsøger at skabe et kontrolmiljø, der giver mening i forhold til virksomhedens størrelse og kompleksitet.

Ud fra vores undersøgelse kan vi konkludere, at interessenterne kan have tillid til en årsrapport med erklæring om udvidet gennemgang, såfremt det er en erfaren revisor, som forestår arbejdet, og det er den samme revisor, virksomheden har gennem flere år.