Måleffektiv revisjon gjennom risikovurderingen

Dette innebærer å bruke passende revisjonshandlinger, anvende ny teknologi ved behov, planlegge og organisere arbeidet godt og holde oss oppdatert på de nyeste revisjonsstandardene. Men, det er ikke nok at revisjonen er måleffektiv; den må også være så kostnadseffektiv som mulig.

Hva mener vi med en måleffektiv revisjon?

Lav ressurstilførsel kan gjøre måloppnåelse vanskelig, men i en situasjon med knappe ressurser er det viktig å fokusere på kravene for en god risikovurdering. En god risikovurdering er naturligvis bare en start, det er kombinasjonen av god risikovurdering, riktige handlinger basert på vurderingen og korrekt rapportering som skaper et vellykket revisjonsoppdrag.

Denne artikkelen[1] har fokus på revisors risikovurderinger, men vil også si noe om revisors risikohåndtering. Jeg starter med to korte spørsmål: Er risikovurdering nødvendig? Og, er det fornuftig?

Hvis revisjon er en 100 prosent-vurdering, er det naturligvis ikke behov for risikovurderinger. I nyere tid er en risikobasert tilnærming sett på som naturlig både i revisjon og ved tilsyn. Først i 1983 kom den første standarden som eksplisitt omhandlet risikobegrepet i revisjon, men også tidligere var risiko et viktig begrep i faget.

Risikovurdering er altså en løsning på et problem, men hvilket problem? Tidligere revisjonsskandaler viser at problemet ikke nødvendigvis er manglende eller dårlige risikovurderinger, men ofte manglende handling eller rapportering. Bedre risikovurdering alene vil altså neppe forhindre de store skandalene, men gode risikovurderinger vil kunne bidra til at vi kanaliserer knappe revisjonsressurser til der de gir mest nytte, og de er et krav i ISA-ene.

Noen spørsmål kan vi uansett stille oss: Får vi til å gjøre gode risikovurderinger? Har vi tilstrekkelig kjennskap til kunde og bransje til å kunne skille mellom ulike grader av risiko? Bruker vi for mye ressurser på områder med høy risiko og glemmer områder med lavere, men ikke lav nok risiko? Er det alltid mulig å gjennomføre gode risikovurderinger eller er det for høy kompleksitet og for mye usikkerhet?

Alternativet til risikodrevet revisjon er at vi gjennomfører de samme revisjonshandlingene uavhengig av risiko, og vi skal ikke lete lenge i revisjonsstandardene før vi finner gode eksempler.

ISA 240 Revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper (pdf), punkt 27, sier at vi skal ha som utgangspunkt «at det foreligger risiko for misligheter ved inntektsføring». ISA 240, punkt 33 sier at «uavhengig av revisors vurdering av risikoene (…) skal revisor (…) og ISA 250 Vurdering av lover og forskrifter ved revisjon av regnskaper (pdf), punkt 15 sier at revisor «skal utføre (…) revisjonshandlinger for å bidra til å identifisere brudd på andre lover og forskrifter». Og ikke minst sier ISA 330 Revisors håndtering av anslåtte risikoer (pdf), punkt 18, at «Uavhengig av den anslåtte risikoen (…) skal revisor utforme og utføre substanshandlinger for hver enkelt vesentlige transaksjonsklasse, kontosaldo og tilleggsopplysning».

Revisjonsrisikomodellen

En moderne revisjon bygger på sammenhengene vi kjenner fra revisjonsrisikomodellen (revisjonsrisikoligningen) der[2]:

Revisjonsrisiko (RR) = Iboende risiko (IR) * Kontrollrisiko (KR) * Oppdagelsesrisiko (OR) og Risiko for vesentlig feilinformasjon (RVF) = IR * KR

Gitt et ønske om en relativt lav RR vil for eksempel en høy RVF innebære behov for en lavere OR (der en lav OR innebærer «mye» revisjon, det vil si at type, tidspunkt og omfang av revisjonshandlinger sørger for at OR blir tilstrekkelig lav) enn i en situasjon der det er en lavere RVF.

Modellen er relevant både på regnskapsnivå og påstandsnivå og brukes på følgende måte:

1. Fastsett et planlagt nivå på RR slik at det kan uttrykkes en konklusjon om regnskapet
2. Vurder IR og KR
3. Bruk revisjonsrisikoligningen til å fastsette OR

Revisor gjennomfører tradisjonelt kvalitative risikovurderinger. Alternativet er en kvantitativ risikovurdering der revisor tildeler tallverdier til risikoene i revisjonsrisikomodellen. Ved en kvantitativ vurdering av iboende risiko, bruker vi en kvantitativ metode for å tallfeste sannsynlighet og konsekvens av hendelser/forhold som kan føre til at det oppstår vesentlig feilinformasjon.

Hva er så konsekvensene om oppdagelsesrisikoen settes for lavt eller for høyt? La oss se på et talleksempel, der vi for å gjøre sammenhengene i modellen synlige bruker en kvantitativ risikovurdering. Etter vurdering av IR og KR samt testing av KR kommer vi frem til av RVF er lik 0,2 og vi ønsker RR lik 0,05. Dette gir en OR lik 0,25 (0,05/0,2).

Men, hva hvis faktisk RVF i dette eksempelet er 0,5? I så fall ender vi opp med en implisitt oppnådd RR lik 0,125 (0,5*0,25) fordi OR ikke er passende for faktisk, men ikke kjent, RVF.

Og, her er vi endelig kommet til poenget: hvis vi gjør en dårlig risikovurdering, kan vi ende opp med å revidere alt for mye – noe som ikke er kostnadseffektivt eller enda verre: vi reviderer alt for lite og ender opp med en altfor høy revisjonsrisiko.

Og, her er vi endelig kommet til poenget: hvis vi gjør en dårlig risikovurdering, kan vi ende opp med å revidere alt for mye – noe som ikke er kostnadseffektivt eller enda verre: vi reviderer alt for lite og ender opp med en altfor høy revisjonsrisiko.

Hva sier ISA 315 om revisors risikovurderinger?

Med virkning fra regnskapsåret 2022, ble ISA 315 Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser (pdf), som omhandler revisors risikovurdering, oppdatert. Oppdateringen medførte blant annet mer fokus på iboende risikofaktorer (se ISA 315, vedlegg 2), innføring av begrepet spekter av risiko, krav til separat risikovurdering av IR og KR og nye krav knyttet til forståelse av IT og generelle IT-kontroller.

Ifølge ISA 315, punkt 13, skal revisor gjennomføre risikovurderingshandlinger, definert i punkt 12j som «Revisjonshandlinger som er utformet og gjennomført for å identifisere og anslå risikoene for vesentlig feilinformasjon på regnskaps- og påstandsnivå, enten de skyldes misligheter eller feil», for å

• Identifisere og anslå risikoer for vesentlig feilinformasjon på regnskaps- og påstandsnivå og
• Utforme videre revisjonshandlinger i samsvar med ISA 330

Noen typer risikovurderingshandlinger skal alltid gjennomføres: forespørsler til ledelsen og andre relevante personer (…), analytiske handlinger, observasjon og inspeksjon (ISA 315, punkt 14). Automatiserte verktøy og teknikker kan benyttes for å undersøke store mengder data i risikovurderingshandlingene (se ISA 315, punkt A20).

Revisor skal gjennomføre risikovurderingshandlinger for å forstå:

• Enheten og dens omgivelser (denne innebærer å skaffe kunnskap om type enhet, bransje, regulering osv.)
• Iboende risikofaktorer
• Enhetens finansielle resultatmål og
• De fem komponentene i COSO-modellen, herunder kundens egen prosess for å identifisere forretningsrisikoer (ISA 315, punkt 22) og kundens aktiviteter knyttet til informasjonsbehandling (…) for signifikante transaksjonsklasser (ISA 315, punkt 25)

Med unntak av de kravene som stilles i ISA 315, punkt 14, er det opp til revisors profesjonelle skjønn å avgjøre hvilke og hvilket omfang av risikovurderingshandlinger som må utføres (se ISA 315, punkt A16).

Fokus på tilstedeværelsen av iboende risikofaktorer (se ISA 315, vedlegg 2) hjelper revisor med å identifisere risiko for vesentlig feilinformasjon både på regnskaps- og påstandsnivå og omfatter faktorer som usikkerhet, kompleksitet, endringer og subjektivitet. Når revisor har identifisert en risiko for vesentlig feilinformasjon knyttet til en påstand, vil denne påstanden være relevant, og transaksjonsklassen, kontosaldoen eller tilleggsopplysningen denne påstanden tilhører er signifikant.

Deretter må revisor vurdere de identifiserte risikoene på regnskaps- og påstandsnivå. På påstandsnivå innebærer dette først å vurdere størrelsen på de iboende risikoene ved å vurdere sannsynligheten for og konsekvensen av eventuell feilinformasjon.

Dersom sannsynligheten for feilinformasjon og konsekvensen av denne er høy, er det identifisert en særskilt risiko (se ISA 315, pkt. A 212) – men en høyere iboende risikovurdering vil også kunne oppstå ved en kombinasjon av lavere sannsynlighet og svært stor konsekvens (se ISA 315, pkt. A213).

Ettersom ISA 330 stiller ulike krav til revisors risikohåndteringshandlinger basert på om en risiko er en særskilt risiko eller ikke, blir dette skillet viktig.

Ettersom ISA 330 stiller ulike krav til revisors risikohåndteringshandlinger basert på om en risiko er en særskilt risiko eller ikke, blir dette skillet viktig. Dersom revisor planlegger å gjennomføre test av kontroll for å hente inn revisjonsbevis, må revisor også vurdere kontrollrisiko. Alternativt vil risiko for vesentlig feilinformasjon være lik iboende risiko, se ISA 315, punkt 34.

Revisors respons på risikovurderingen

Revisors risikovurderingsarbeid munner ut i en revisjonsplan der det er fastsatt hvilken type, tidspunkt og omfang av videre revisjonshandlinger som er planlagt for å hente inn tilstrekkelig og hensiktsmessig revisjonsbevis (ISA 330, punkt 6). Revisor må hente inn «mer overbevisende revisjonsbevis jo høyere revisor vurderer risikoen» (ISA 330, punkt 7b) slik vi husker fra revisjonsrisikomodellen.

På et overordnet nivå, kan det basert på risikovurderingene være nødvendig å (se ISA 330, punkt A1):

• Understreke overfor revisjonsteamet nødvendigheten av å opprettholde profesjonell skepsis

• Bruke personale med mer erfaring eller spesialkompetanse

• Sørge for økt oppfølging

• Bygge inn ytterligere uforutsigbare elementer ved utvelgelsen av revisjonshandlinger

Revisors risikovurderinger – hva kan gå galt?

Revisors risikovurderinger kan kategoriseres som beslutninger under usikkerhet. Forskere som Tversky og Kahneman (1974) har lenge studert hvordan mennesker tar slike beslutninger, blant annet i boken «Thinking, fast and slow» (Kahneman, 2011) utgitt på norsk som «Tenke, fort og langsomt».

Forskning viser at beslutninger under usikkerhet lider under en rekke ulike skjevheter (bias), for eksempel på grunn av beslutningstakerens egeninteresse eller hjernens bruk av «snarveier» (heuristikker). Disse snarveiene kan bidra til effektive beslutninger, men ikke nødvendigvis, og kjennskap til ulike heuristikker kan forbedre beslutningene våre.

I forbindelse med risikovurderinger, kan vi ende vi opp med dårlige beslutninger, for eksempel, fordi vi

• benytter den informasjonen som er enklest tilgjengelig i hjernen istedenfor den mest relevante (availability) og ender opp med den samme risikovurderingen som i fjor selv om faktiske forhold har endret seg
• tar utgangpunkt i en numerisk verdi og justerer fra denne (anchoring) og, for eksempel, ubevisst tar utgangspunkt i at alle risikoer er små til det motsatte er bevist eller unnlater å endre risikovurderinger over tid
• legger mest vekt på informasjon som støtter egne preferanser/synspunkter (confirmation). Hvis vi har et positivt bilde av kunden, kan dette føre til at vi samler inn og bruker bevis som bekrefter dette og overser iboende risikoer som kan føre til misligheter
• overvurderer egne evner (overconfidence)

Noen forskningsfunn – hva vet vi om revisors risikovurderinger fra tidligere forskning?

Revisors risikovurderinger har vært et tema i tidligere forskning i en rekke studier. Noen interessante funn er, for eksempel, at kvalitetskontroll ikke synes å fjerne confirmation bias (Cassell et al., 2022), at bransje-ekspertise og spesialisering er viktig for at revisor skal gjøre gode risikovurderinger (Allen et al., 2006), at det er en sammenheng mellom revisors risikovurdering og revisors tester, men sammenhengen er svak (Allen et al., 2006) og at endringer i risiko ikke fører til tilstrekkelig endring i testing (Mock & Wright, 1999). Mugwira et al. (2025) finner at revisjonsbevis hentet ved hjelp av prosessmining oppfattes mer relevante i planleggingsfasen av et revisjonsoppdrag enn i substansfasen.

Hvordan kan vi forbedre revisors risikovurderinger?

ISA 200 Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene (pdf), A25, legger vekt på betydningen av profesjonelt skjønn i revisors risikovurdering. Kontinuerlig opplæring og profesjonell utvikling kan forbedre dette skjønnet.

Bruk av teknologi kan redusere behovet for skjønn og også gi bedre risikovurderinger. Revisjonshandlinger som skanning (bruke teknologi for å identifisere transaksjoner med høy risiko for feil) og prosessmining (analyse av transaksjonslogger for å identifisere transaksjoner som ikke følger tradisjonell/forventet flyt) kan gi revisor et bedre grunnlag for sine risikovurderinger. 

Bruk av teknologi kan redusere behovet for skjønn og også gi bedre risikovurderinger.

Andre tiltak inkluderer forbedret kommunikasjon med kunde, grundig dokumentasjon, peer review og kvalitetskontroll og ikke minst: et bevisst forhold til egne og andres bruk av heuristikker.

Avsluttende kommentarer

Avslutningsvis vil jeg stille noen flere spørsmål som det kan være nyttig å tenke gjennom: Opplever dere at risikovurderingene har blitt bedre nå som ISA 315 gir mer utfyllende veiledning? Hvis ikke, er det noe dere kan gjøre med dette? Finnes det teknologi eller analysemetoder som dere ikke benytter som det er på tide å ta i bruk? Kan en mer kvantitativ tilnærming til risikovurdering bidra til bedre risikovurderinger?

___________________________

Utfyllende litteratur

Allen, R. D., Hermanson, D. R., Kozloski, T. M. & Ramsay, R. J. (2006). Auditor risk assessment: Insights from the academic literature. Accounting Horizons, 20(2), 157-177.

Cassell, C. A., Dearden, S. M., Rosser, D. M. & Shipman, J. E. (2022). Confirmation bias and auditor risk assessments: Archival evidence. Auditing: A Journal of Practice & Theory, 41(3), 67-93.

Kahneman, D. (2011). Thinking, fast and slow. Farrar, Straus and Giroux.

Mock, T. J. & Wright, A. M. (1999). Are audit program plans risk‐adjusted? Auditing: A Journal of Practice & Theory, 18(1), 55-74.

Mugwira, T., Stuart, I. C., Kulset, E. M. & Nipper, M. (2025). The use of process mining in assessing the risk of material misstatement during an audit: Experimental evidence. Available at SSRN: https://ssrn.com/abstract=5109951.

Tversky, A. & Kahneman, D. (1974). Judgment under Uncertainty: Heuristics and Biases: Biases in judgments reveal some heuristics of thinking under uncertainty. science, 185(4157), 1124-1131.

____________________________

Noter:

1. Denne artikkelen bygger på foredraget jeg holdt på NKRFs Fagkonferanse i Kristiansand 13. juni 2024.
2. Se ISA 200 Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene for definisjon av begrepene.

__________________________________

Lenke til kontroll & revisjon nr. 2/2025: