En central del av planeringen handlar om att förstå var risker för fel kan uppstå i redovisningen och vilka kontroller företaget har infört för att hantera dessa risker. I Senseworks kan du arbeta strukturerat med att förstå och dokumentera företagets processer, från att identifiera relevanta processer i riskbedömningen till att testa kontrollernas effektivitet och använda resultatet i den fortsatta granskningen.
1. Skapa och anpassa processer
Börja i riskbedömningen för att lägga till en process. Du kan antingen välja en färdig processmall eller skapa en egen. När du har lagt till en process och kopplat den till relevanta kontogrupper behöver du fylla på med dokumentation.
2. Lägg till ett flöde
I förstå processer väljer du antingen en befintlig mall eller bygger ett eget flöde. Det går att ha flera flöden inom samma process, om ett företag till exempel har både kontantförsäljning och fakturaförsäljning kan de dokumenteras som separata flöden, eftersom de kan innebära olika risker och kontroller.
3. Lägg till dina steg
När du har lagt till ett flödet är det dags att lägga till vilka steg som genomförs i processen. Även här kan du välja från befintliga steg eller skapa egna.
Mallarna ska ses som inspiration och är alltid anpassningsbara utifrån hur det aktuella företaget faktiskt genomför processen.
Behöver jag göra alla steg?
Nej, processflödet är uppbyggt för att stödja olika arbetssätt. I många uppdrag räcker det att beskriva och förstå processen. Walkthrough, identifiering av kontroller och testning genomförs endast när det är relevant utifrån revisorns bedömning och identifierade risker.
4. Dags för walkthrough (om tillämpligt)
En walkthrough genomförs vid behov och är en riskbedömningsåtgärd där syftet är att verifiera att revisorns bild av processen stämmer med hur den fungerar i praktiken. Revisorn följer en transaktion eller händelse genom hela processen, från att den uppstår till att den är bokförd i räkenskaperna. Det görs genom att spåra ett eller några exempel och dokumentera det. Ofta är det i samband med en walkthrough som revisorn kan identifiera relevanta kontroller.
5. Identifiera och dokumentera kontroller (om kontroller är relevanta)
Om det finns relevanta kontroller i processen dokumenterar du kontrollbeskrivning, vem som utför den, hur och när. Revisorn identifierar och förstår de kontroller som är relevanta för revisionen. Genom att koppla kontrollerna till rätt processteg skapas ett tydligt underlag för att bedöma om de kan användas i revisionen.
6. Bedöm utformning och införande (om kontroller är relevanta)
Detta steg är aktuellt om du har identifierat kontroller som är relevanta för revisionen. För varje kontroll ska du bedöma om den är ändamålsenligt utformad och om den har införts i verksamheten. Utan godkänd utformning och införande finns det ingen grund för att testa kontrollens effektivitet och förlita sig på kontrollen.
7. Testa kontrollens effektivitet (om du avser att förlita dig på kontroller)
Test av kontrollens effektivitet är endast aktuellt om du avser att förlita dig på kontrollen i din revision samt om utformning och införande är godkänd. Du dokumenterar urval, testmetod och resultat. Kontrollen kan bedömas som Effektiv eller Ej effektiv. Om man avser att förlita sig på en kontroll behöver revisorn inhämta tillräckliga revisionsbevis för att kontrollen fungerat effektivt under hela den granskade perioden. Det kräver ett representativt urval och en formell testmetodik.
8. Justera kontrollrisken i riskbedömningen (om du avser att förlita dig på kontroller)
Om en kontroll har testats och bedömts vara effektiv kan du manuellt justera kontrollrisken på påståendenivå i riskbedömningen. Justeringen görs aktivt av revisorn och sker inte automatiskt då riskbedömningen behöver uppdateras och sparas på nytt för att det ska ge effekt i siffergranskningen.
Gå till den aktuella kontogruppen i riskbedömningen. Där visas kopplade processer och kontroller för respektive räkenskapspåstående.
Om du bedömer att du kan förlita dig på en kontroll kan du uppdatera kontrollrisken under kombinerad risk. Kontrollrisken som justeras påverkar den kombinerade risken och ger ett tydligt underlag för att motivera vald granskningsstrategi.
Revisorn utformar granskningsåtgärder som svarar mot de bedömda riskerna. Ett strukturerat processarbete med dokumenterade kontroller och testresultat ger ett starkt underlag för att motivera varför substansgranskning kan göras i mer eller mindre utsträckning.
I mindre, ägarledda bolag är processer ofta mindre formaliserade och kan i praktiken utföras av en eller ett fåtal personer. I dessa fall kan det vara mer ändamålsenligt att arbeta med ett förenklat upplägg i processflödet.
Om du vill arbeta på ett sätt som liknar tidigare arbetssätt, där processförståelsen dokumenteras mer sammanhållet, kan du:
Detta gör att du kan samla din förståelse av processen, inklusive walkthrough och eventuella kontroller, utan att behöva bryta ned flödet i flera detaljerade steg.
Arbetssättet kan också vara användbart om du redan har dokumenterat processen i externa arbetspapper och vill undvika dubbelarbete. Du kan då sammanfatta eller hänvisa till dokumentationen i ett steg, samtidigt som processen fortfarande kopplas till riskbedömningen i Senseworks.
Oavsett arbetssätt behöver dokumentationen vara tillräcklig för att ge stöd för din riskbedömning och fortsatta granskning.
Processer kan återanvändas sedan mellan revisionsår, vilket innebär att du inte behöver starta från noll varje år. Istället uppdaterar du och justerar vid behov. Det sparar tid och skapar kontinuitet i dokumentationen, särskilt för kunder med stabila processer som förändras lite från år till år.
Tidigare användes granskningsåtgärder för att dokumentera processer. I och med det nya flödet ersätts dessa av den strukturerade processfunktionen. Det innebär att befintliga processåtgärder arkiveras och inte längre visas som aktiva åtgärder i uppdraget. Dokumentationen försvinner däremot inte, den finns kvar som borttagna åtgärder i en flik under aktiva granskningsåtgärder. Det betyder att du alltid kan:
Funktionen finns automatiskt i alla nya uppdrag som skapas men för befintliga uppdrag behöver du uppdatera metodiken om det är så att du vill välja in det nya processflödet för redan aktuell revision.
Gör såhär:
När bör jag skapa egna processer istället för att använda mallar?
Mallarna är ett stöd och en utgångspunkt, men de behöver anpassas till hur företaget faktiskt arbetar.
Om processen avviker från standardflöden, innehåller specifika moment eller skiljer sig i ansvarsfördelning är det ofta mer ändamålsenligt att justera mallen eller skapa en egen process.
Syftet är att dokumentationen ska spegla verkligheten och ge ett tillräckligt underlag för att förstå risker och, vid behov, identifiera relevanta kontroller.
Behöver jag alltid göra en walkthrough?
Nej. Walkthrough är en metod för att verifiera din förståelse av processen och identifiera kontroller, men den genomförs endast när det är relevant utifrån revisorns bedömning och de identifierade riskerna.
Måste jag identifiera och dokumentera kontroller i alla processer?
Nej. Om det inte finns några relevanta kontroller för revisionen, eller om du inte avser att förlita dig på dem, kan arbetet stanna vid att beskriva och förstå processen.
När behöver jag testa kontrollers effektivitet?
Test av kontrollers effektivitet är endast aktuellt om du avser att förlita dig på kontroller i din revision och har identifierat kontroller som är ändamålsenligt utformade och införda.
I så fall behöver du inhämta tillräckliga och ändamålsenliga revisionsbevis för att de har fungerat effektivt under den granskade perioden.
Vad gör jag om det inte finns några tydliga kontroller i processen?
Det är vanligt i mindre, ägarledda bolag. I dessa fall fokuserar du på att förstå och dokumentera processen samt planerar din granskning utifrån detta, ofta med mer substansinriktade åtgärder.
Behöver jag bryta ned processen i flera steg?
Nej. Du kan anpassa detaljnivån efter behov. I enklare fall kan det räcka att dokumentera processen i ett enda steg med löpande text.
Kan jag arbeta som jag gjort tidigare och dokumentera allt samlat?
Ja. Du kan skapa ett eget flöde med ett enda steg och dokumentera hela processen i löpande text. Det är särskilt användbart i mindre uppdrag eller om du vill arbeta mer översiktligt.
Vad gör jag om jag redan har dokumenterat processen i externa arbetspapper?
Du kan sammanfatta eller hänvisa till den dokumentationen i ett steg för att undvika dubbelarbete, samtidigt som du kopplar processen till riskbedömningen.
Måste jag uppdatera processerna varje år?
Du kan återanvända tidigare processer, men behöver alltid bedöma om de fortfarande är aktuella och uppdatera dem vid behov.
Hur hänger processarbetet ihop med riskbedömningen?
Processerna kopplas till kontogrupper och räkenskapspåståenden i riskbedömningen. Syftet är att skapa ett tydligt samband mellan hur företaget arbetar, vilka risker som finns och hur revisionen planeras och genomförs.
När bör jag använda flera flöden inom samma process?
Det är lämpligt när olika delar av processen skiljer sig åt i hur de genomförs, till exempel vid olika typer av försäljning eller olika system.
Om skillnaderna påverkar risker eller kontroller är det ofta bättre att dela upp processen i flera flöden.