Erfaringer fra praktisk implementering av de nye reglene for revisjonsutvalg

Nye oppgaver og økt ansvar medfører et behov for mer systematisering og dokumentasjon av arbeidet i revisjonsutvalget.

I denne bloggen tar jeg for meg erfaringer fra diskusjoner med kunder knyttet til implementering av de nye reglene i finansforetak. Erfaringene kan også være nyttige for børsnoterte foretak underlagt ASA-lovens krav om revisjonsutvalg. For børsnoterte foretak som ikke er finansforetak vil kommentarer i bloggen knyttet til risikoutvalg ikke være relevante siden disse ikke er pålagt å ha risikoutvalg.

Økt ansvar for revisjonsutvalget

De nye bestemmelsene i finansforetaksloven § 8-19 (og ASA-lovens § 6-43) som hadde ikrafttredelse 1. januar 2021, pålegger revisjonsutvalgene flere nye oppgaver og økt ansvar. Det økte ansvaret og de nye oppgavene medfører et behov for mer systematisering og dokumentasjon av arbeidet i revisjonsutvalget. En generell økning i omfanget av regulatoriske krav og rammebetingelser, sterkere fokus på kvalitet i finansiell rapportering og en trend med økte forventninger til rapportering om blant annet bærekraft, tilsier dessuten at både ansvaret, arbeidsmengden og kravet til kompetanse for medlemmene av revisjonsutvalget har økt. 

I slutten av april sendte Finanstilsynet ut en spørreundersøkelse (undersøkelsen) om hvordan revisjonsutvalg i børsnoterte foretak oppfyller de nye oppgavene og hvordan det økte ansvaret håndteres. Mange av temaene og spørsmålene i undersøkelsen kan gi indikasjoner på hva regulerende myndigheter vil være opptatt av i sin oppfølging av revisjonsutvalgets arbeid i tiden som kommer; både for finansforetak og børsnoterte foretak.

I undersøkelsen stilte Finanstilsynet spørsmål ved om revisjonsutvalget har oppgaver utover de som er pålagt i henhold til ASA-lovens § 6-43 (finansforetaksloven § 8-19). Diskusjonen knyttet til hvilke oppgaver revisjonsutvalget skal ha er ikke ny. Det er viktig å ha klart for seg at revisjonsutvalget er et saksforberedende organ for det samlede styret knyttet til oppgaver som er nærmere definert i loven. Det er mange eksempler på at revisjonsutvalget gjennom sin arbeidsinstruks har hatt fullmakter til å utføre arbeid langt utover de oppgavene utvalget er satt til å forvalte etter loven. 

Hvordan avgrenses revisjonsutvalgets oppgaver mot styrets arbeid

Nå som kravene til revisjonsutvalgets arbeid har blitt mer omfattende er det spesielt viktig at revisjonsutvalget fokuserer på de oppgavene utvalget er tillagt gjennom lovgivningen. For å sette revisjonsutvalget i stand til å utføre oppgavene på en best mulig måte bør styret gjennom arbeidsinstruksen for revisjonsutvalget begrense utvalgets oppgaver og fullmakter til det som er nødvendig for å ivareta de lovpålagte oppgavene.

I det følgende diskuteres de kravene lovverket stiller til revisjonsutvalget. 

Nye rapporteringskrav og revisjonsutvalgets oppgaver 

Revisjonsutvalgets ansvar for rapportering er i finansforetaksloven § 8-19 begrenset til finansiell rapportering. At revisjonsutvalget har særskilte oppgaver knyttet til bærekraftsrapportering fremgår ikke direkte av lovens bokstav. I Finanstilsynets undersøkelse om revisjonsutvalg er det flere spørsmål knyttet til revisjonsutvalgets oppfølging av betydningen av klimarisiko for finansiell rapportering. Finansiell og ikke-finansiell rapportering blir stadig mer integrert. Det er derfor nærliggende at revisjonsutvalget også følger opp bærekraftsrapporteringen. 

Åpenhetsloven ble vedtatt i juni 2021. Åpenhetsloven § 5 stiller krav til rapportering for foretak som ikke er små, målt etter regnskapslovens definisjon. Rapporteringskravene er knyttet til foretakets aktsomhetsvurderinger relatert til grunnleggende rettigheter og anstendige arbeidsforhold. Redegjørelsen kan inngå i redegjørelsen for samfunnsansvar. Det skal opplyses i årsberetningen hvor redegjørelsen er tilgjengelig. For å sikre en helhetlig bærekraftsrapportering anbefaler jeg å integrere rapporteringen etter åpenhetsloven i foretakets bærekraftsrapportering. 

Likestillings- og diskrimineringslovens § 26a krever at i private virksomheter med mer enn 50 ansatte skal arbeidsgiver redegjøre for den faktiske tilstanden når det gjelder kjønnslikestilling i virksomheten og hva de gjør for å oppfylle aktivitetsplikten etter lovens § 26. Redegjørelsen om likestilling skal gis i årsberetningen eller annet offentlig tilgjengelig dokument. SIden redegjørelsen er tett knyttet opp mot årsberetningen er det nærliggende at revisjonsutvalget behandler denne som ledd i deres oppfølging av regnskapsrapporteringsprosessen.

For regnskapsåret 2021 skal foretak med aksjer på regulert marked avgi rapport om godtgjørelse for ledende personer. Finansforetaksforskriften § 15-3 krever at i finansforetak med godtgjørelsesutvalg skal dette utvalget forberede alle saker om godtgjørelsesordninger for styret. Revisjonsutvalget i finansforetak har derfor ikke noe ansvar knyttet til rapporten om godtgjørelse for ledende personer. For foretak som ikke er finansforetak, og som ikke har godtgjørelsesutvalg, vil det være naturlig at revisjonsutvalget inkluderer en gjennomgang av også denne rapporten. Innholdet er nært knyttet opp til noteverket i årsregnskapet og er dessuten av særlig interesse for eierne. 

Har medlemmene av revisjonsutvalget riktig kompetanse?

Finanstilsynet påpeker i undersøkelsen at revisjonsutvalget samlet skal ha den kompetanse som ut fra selskapets organisasjon og virksomhet er nødvendig for å ivareta sine oppgaver. Minst ett av medlemmene i revisjonsutvalget skal være uavhengig av virksomheten og ha kvalifikasjoner innen regnskap eller revisjon. Hva disse kvalifikasjonene innen regnskap og revisjon innebærer er ikke nærmere definert i lovgivningen og er derfor gjenstand for en skjønnsmessig vurdering. 

Jeg har ved flere anledninger fått spørsmål fra styremedlemmer om jeg mener de har den nødvendige kompetansen for å ivareta en rolle som medlem av revisjonsutvalget. Det er viktig å fokusere på at det er revisjonsutvalget samlet som er pålagt å ha den nødvendige kompetansen, ikke hvert enkelt medlem. Når styret utpeker medlemmer av revisjonsutvalget er det derfor viktig at de underbygger vedtaket med en begrunnet vurdering av om de styremedlemmer som blir utpekt til å sitte i revisjonsutvalget samlet har den nødvendige kompetansen, herunder at minst ett av medlemmene i revisjonsutvalget skal være uavhengig av virksomheten og ha kvalifikasjoner innen regnskap eller revisjon. Kompetansekravet er også noe valgkomiteen bør være opptatt av ved innstilling av medlemmer til styret. Valgkomiteens innsats er grunnleggende for å sikre at styret som helhet har den riktige kompetansesammensetningen og kan utpeke medlemmer til revisjonsutvalget som tilfredsstiller lovens krav til kompetanse. For å sikre gode prosesser knyttet til valg av styremedlemmer og utpeking av medlemmer til revisjonsutvalg, er det hensiktsmessig at valgkomiteens retningslinjer omfatter hvilke kompetansekrav som skal stilles til styrets medlemmer. 

Hvordan bør arbeidsinstruksen for revisjonsutvalget innrettes?

De nye bestemmelsene om revisjonsutvalgets oppgaver har medført et behov for å oppdatere arbeidsinstruksen for revisjonsutvalget slik at de oppgaver utvalget er tillagt etter loven klart fremgår av arbeidsinstruksen. En generell anbefaling er at arbeidsinstruksen er så kort og presis som mulig. Revisjonsutvalgets arbeidsoppgaver og fullmakter bør begrenses til det som er nødvendig for å ivareta utvalgets oppgaver etter loven. Arbeidsinstruksen utfylles av det årshjulet som styret vedtar for revisjonsutvalget. I årshjulet kan mer spesifikke fokusområder fremgå.

Hva bør årshjulet for revisjonsutvalgets arbeid inneholde?

De nye bestemmelsene gjør det også nødvendig å oppdatere årshjulet for revisjonsutvalgets arbeid. Revisjonsutvalget har normalt minst 4 møter i løpet av året. Typiske agendapunkter i revisjonsutvalgets årshjul er:

• Års- og delårsrapporter, herunder utarbeidelse av en ESEF-merket versjon av årsrapporten for noterte foretak
• Bærekraftsrapportering
• Ledelsens plan knyttet til internkontroll og risikostyring over finansiell rapportering, herunder tilnærming til vesentlighetsvurderinger knyttet til finansiell og ikke-finansiell rapportering
• En oppsummering fra ledelsen knyttet til risikostyring og internkontroll over finansiell rapportering som tilrettelegger for at revisjonsutvalget kan ivareta sitt ansvar knyttet til oppfølgingen av regnskapsrapporteringsprosessens integritet
• Vurderingsposter og vesentlige hendelser av betydning for den finansielle rapporteringen
• Endringer i regler av betydning for den finansielle rapporteringen
• Ekstern revisors revisjonsplan
• Oppsummeringer fra ekstern revisor
• Tilleggsrapport fra ekstern revisor i tilknytning til avleggelse av årsregnskapet
• Internrevisjonsrapporter relatert til overvåking av systemene for internkontroll og risikostyring over foretakets regnskapsrapportering. Annen rapportering fra internrevisjonen hører inn under risikoutvalgets årshjul
• Oppfølging av tilleggstjenester levert av ekstern revisor, størrelsen på revisors honorar for tilleggstjenester og ekstern revisors uavhengighet
• Evaluering av revisjonsutvalgets arbeid
• Møteplan og årshjul for revisjonsutvalget

Listen er utviklet basert på dialog med en rekke finansforetak i tilknytning til deres implementering av de nye reglene for revisjonsutvalg. Listen er ikke uttømmende. Utarbeidelse av en ESEF-merket versjon av årsrapporten som er nevnt i listen over, er det krav om for første gang for regnskapsåret 2021. Foretakets revisor skal avgi bekreftelse om også ESEF-versjonen av årsrapporten som ledd i revisjonen av årsregnskapet. Foreløpig er det kun et fåtall leverandører som tilbyr merking i henhold til ESEF. Kapasiteten i markedet er derfor begrenset. Det er derfor viktig å velge leverandør av merkingen så snart som mulig. Revisjonsutvalget bør sette av tid til gjennomgang av ESEF-merkingen i løpet av høsten 2021. Å gjøre dette etter nyttår vil med stor sannsynlighet kunne komme til å forsinke avleggelsen av årsregnskapet. 

Hvordan revisjonsutvalgets oppfølging av regnskapsrapporteringsprosessen kan tilrettelegges

Revisjonsutvalgets ansvar for oppfølgingen av regnskapsrapporteringsprosessen er omfattende etter de nye reglene. Det er nødvendig at administrasjonen utarbeider dokumentasjon som er dekkende for at revisjonsutvalget kan ivareta oppfølgingen på mest mulig effektiv måte. Den dokumentasjonen som blir utarbeidet av administrasjonen, kan også være en del av den dokumentasjonen som blir fremlagt for det samlede styret. Revisjonsutvalget bør i størst mulig utstrekning kunne bygge på og referere til underlag fra administrasjonen i sin videre rapportering til styret knyttet til regnskapsrapporteringsprosessens integritet. Det vil være behov for at revisjonsutvalgets redegjørelse fremgår av eget referat som fremlegges for styret eller direkte i styrereferatet. 

Revisjonsutvalgets ansvar for oppfølgingen av regnskapsrapporteringsprosessen medfører også et behov for at revisjonsutvalget opparbeider seg en god forståelse av internkontroll og risikostyring over finansiell rapportering. Dette kan løses gjennom at administrasjonen fremlegger for revisjonsutvalget en årsplan knyttet til internkontroll og risikostyring over finansiell rapportering som dokumenter hvordan administrasjonen vil arbeide for å understøtte en regnskapsrapporteringsprosess med integritet. En slik årsplan bør inneholde foretakets tilnærming til vesentlighetsvurderinger.

Hvorfor det er viktig at revisjonsutvalget har et forhold til vesentlighetsvurderinger

Vesentlighet har vært tema i spørreundersøkelser og temarapporter fra Finanstilsynet. Fokus har vært rettet både mot vesentlighetsvurderinger knyttet til årsregnskapet med tilhørende noter og vesentlighetsvurderinger knyttet til bærekraftsrapportering. Denne skjerpede oppmerksomheten fra regulerende myndigheter underbygger at det er nødvendig for foretak å ha en systematisert og dokumentert tilnærming til vesentlighetsvurderinger dersom foretaket ikke allerede har dette på plass. 

Finanstilsynet henviser i tilknytning til sine spørreundersøkelser til IFRS-veiledningen om vesentlighetsvurderinger. Henvisningen kan indikere at Finanstilsynet er opptatt av hvordan foretakene vurderer hva som er av kvalitativ betydning for brukerne selv om Finanstilsynets spørsmål i hovedsak rettet seg mot tallfesting av vesentlighet.

Foretakets vesentlighetsvurderinger må på agendaen til revisjonsutvalget i god tid før rapportering av finansiell og ikke-finansiell informasjon. Det er nødvendig for å sikre robuste vurderinger av både hvilken informasjon som er relevant for primære brukere og hvilken metodikk foretaket skal benytte når kvalitative og kvantitative vesentlighetsvurderinger blir satt på spissen i avslutningsfasen for rapporteringen.

Det er ikke opplagt at ledelsen ønsker å verken forholde seg til eller å tallfeste en konkret vesentlighetsgrense. Det stilles ikke krav om dette noe sted i regelverket. Ledelsen kan derfor fortsatt velge å anvende et profesjonelt skjønn. Finanstilsynets undersøkelse kan oppfattes som et signal til revisjonsutvalget og foretaket om å arbeide mer konsistent med, og dokumentere  vesentlighetsvurderinger.

Hvordan revisjonsutvalgets oppfølging av ekstern revisor kan organiseres

Revisjonsutvalget er pålagt å informere det samlede styret om resultatet av den lovfestede revisjonen og forklare hvordan revisjonen bidro til regnskapsrapportering med integritet. I tillegg skal revisjonsutvalget overvåke revisjonsutførelsen og revisors uavhengighet. Oppfølgingsansvaret overfor ekstern revisor er med dette omfattende. En stor del av Finanstilsynets spørreundersøkelse om revisjonsutvalg er rettet mot revisjonsutvalgets oppfølging av ekstern revisor. Finanstilsynets spørsmål dekket også temaer som ikke er lovregulert. Det skal bli interessant å følge med på om resultatene av Finanstilsynets spørreundersøkelser leder til at Finanstilsynet tar initiativ til ny regulering for å utvide revisjonsutvalgets oppgaver. 

Ekstern revisor må tilrettelegge for at revisjonsutvalget kan ivareta sitt oppfølgingsansvar overfor ekstern revisor på en effektiv måte. Ekstern revisor bør, så langt det lar seg gjøre, innrette sin rapportering til revisjonsutvalget slik at den gir revisjonsutvalget den informasjonen utvalget trenger for å ivareta sitt oppfølgingsansvar. Jeg oppfordrer til at revisjonsutvalget og eksternrevisor samarbeider om en plan som ivaretar de individuelle forholdene til hvert enkelt foretak på best mulig måte. 

Med den nye revisorlovgivningen pålegges også eksternrevisor nye oppgaver overfor revisjonsutvalget. En av disse oppgavene er en årlig tilleggsrapport. Første gang ekstern revisor skal avgi tilleggsrapporten er i tilknytning til avleggelsen av årsregnskapet for 2021, dvs en gang i løpet av første halvår 2022. Rapporten skal legges frem senest på datoen for revisjonsberetningen, og den skal undertegnes og dateres av dem

som har foretatt revisjonen. Samlet sett fremstår kravene til innhold i tilleggsrapporten som en oppsummering av revisjonen etter at den er gjennomført, og på et tidspunkt når revisor har bestemt seg for sine konklusjoner i revisjonsberetningen. Kravene til innhold dekker mange av de forhold revisjonsutvalget er pålagt å følge opp overfor ekstern revisor. En god diskusjon om forholdene som dekkes i rapporten vil bidra til å hjelpe revisjonsutvalget med overvåkingen av revisors arbeid.   

Revisors praktisering av de nye reglene om begrensninger i omfang av rådgivning levert av ekstern revisor skal overvåkes av revisjonsutvalget. Overvåkingen må omfatte godkjenning av alle tilleggstjenester og at honorar for rådgivningstjenester ikke er betinget og at det er innenfor lovbestemte grenser. Revisjonsutvalget kan gi fullmakter til administrasjonen for godkjenning av tilleggstjenester levert av ekstern revisor. For å ivareta oppfølgingsansvaret, må revisjonsutvalget regelmessig ha revisors rådgivningstjenester og uavhengighet som agendapunkt på utvalgets møter. Det er hensiktsmessig å diskutere spørsmål om uavhengighet direkte med selskapets revisor. 

Revisjonsutvalgets forhold til internrevisor

Finansforetaket med en forvaltningskapital som ikke overstiger 20 milliarder kroner kan ha et kombinert revisjons- og risikoutvalg. Ordningen er vanlig i mindre finansforetak. I slike tilfeller rapporterer internrevisor til revisjons- og risikoutvalget for sitt arbeid knyttet til både operasjonell og finansiell risiko.

I lovteksten som gjaldt fram til 1. januar 2021 hadde revisjonsutvalget et direkte oppfølgingsansvar overfor internrevisor. Dette har medført at internrevisor historisk som regel har fremlagt alle sine rapporter, som i hovedsak har vært av operasjonell karakter, for revisjonsutvalget. Det har fremstått som en litt underlig løsning gitt at revisjonsutvalgets hovedansvar er knyttet opp mot finansiell rapportering og finansiell risiko og ikke operasjonell risiko. En vanlig fortolkning basert på forarbeider har vært at revisjonsutvalgets oppfølgingsansvar overfor internrevisor har vært knyttet til det arbeidet som internrevisor har gjort som er av betydning for internkontroll over finansiell rapportering. Praksis for hvordan internrevisor har blitt fulgt opp har variert mellom finansforetak. Noen foretak har latt internrevisor rapportere ene og alene til revisjonsutvalget og i andre finansforetak har kun det arbeidet internrevisor har utført av betydning for internkontroll over finansiell rapportering blitt fremlagt for revisjonsutvalget. Hoveddelen av internrevisors rapportering som er rettet mot operasjonell risiko, har i det siste tilfellet blitt behandlet i risikoutvalget.

Den nye lovteksten har løst dette dilemmaet. Nå fremgår det tydelig av lovteksten at det er internrevisors arbeid relatert til overvåking av systemene for internkontroll og risikostyring over foretakets regnkapsrapportering som hører inn under revisjonsutvalgets ansvarsområde. Alt annet arbeid utført av internrevisor hører derfor nå naturlig inn under risikoutvalgets ansvarsområde.

Manglende overholdelse av reglene om revisjonsutvalg kan medføre overtredelsesgebyr

Finansforetaksloven inneholder bestemmelser om overtredelsesgebyr. Spesielt etterlevelsen av finansforetakslovens § 8-19 om revisjonsutvalgets oppgaver krever anvendelse av skjønn fra revisjonsutvalgets side. Denne bestemmelsen gir vide fullmakter og definisjonsmakt til Finanstilsynet til å skjønne over hva som innebærer brudd på lovens krav. Det blir derfor viktig å dokumentere revisjonsutvalgets arbeid på en etterprøvbar måte for å underbygge at revisjonsutvalget har ivaretatt sine oppgaver i samsvar med lovens krav.

Ta gjerne kontakt med oss i PwC om du ønsker å diskutere revisjonsutvalgets arbeidsform og innretning i forhold til kravene i ny lovgivning.