Det är roligt att man har börjat diskutera revisionsforskningen i Sverige. Olika skribenter har i Balans och på andra ställen pekat på ett antal intressanta aspekter väl värda att studera, det har exempelvis handlat om revisorns oberoende, det internationella inflytandet samt extern/intern rotation.
Vi vill naturligtvis bidra i denna process genom att peka på ett annat viktigt område inom revisionen: hur revisorer hanterar och bedömer risker i revisionsprocessen. En revisor kan inte kontrollera alla transaktioner ett bolag gjort, det faller på sin egen orimlighet. Därför har man utvecklat olika tekniker för att göra olika urval för att sedan kunna uttala sig om redovisningen i sin helhet. I modern tid har detta urval i stora drag ersatts av en riskanalys, man analyserar helt enkelt var i redovisningen som de största felen kan tänkas uppstå (och varför) och sedan har man styrt revisionen därefter.
Riskanalysen har därmed blivit ett av de mer centrala inslagen i revisionen, inte minst av kostnadsskäl. Ju bättre man är på att identifiera riskerna, desto mer riktad kan man vara i sin granskning och desto lägre pris kan man offerera. Frågan är bara hur man gör denna riskanalys och vilka problem som kan tänkas finnas. Om detta finns det knappt något skrivet eller forskat om i Sverige under den senaste tioårsperioden, vilket kan tyckas vara ganska anmärkningsvärt med tanke på den centrala roll som riskanalysen har.
Vad kan tänkas vara intressant att diskutera? Vilka olika problemområden finns? Det är klart att revisionens professionella natur ställer till med problem för alla som är intresserade av riskanalysen. Vad som utgör en revisionsrisk är upp till revisorn själv att bedöma, därför kan det vara svårt att komma med normativa uttalanden om hur revisorer bör bedöma och hantera risker. Finns det trots detta aspekter av riskbedömningen som är intressant att fördjupa sig inom, som kan leda till ett bättre synsätt på risk? Låt oss rikta blicken mot den internationella forskningen inom risker. Vad har man valt att lyfta fram som viktiga forskningsfrågor?
Tre huvudfåror inom riskforskningen
Kortfattat kan man säga att den internationella revisionsriskforskningen är uppdelad i tre huvudfåror. Den första kategorin analyserar revisorns identifieringsproblem: hur går man tillväga för att identifiera riskerna? Den andra kategorin diskuterar om det finns beroendeförhållande mellan de olika riskkomponenterna (dvs. inneboende risk, kontrollrisk samt upptäcktsrisk), vilket skulle indikera att den totala riskanalysen undervärderas. Den tredje kategorin syftar till att placera riskanalysen i ett mer övergripande perspektiv, med frågeställningar av karaktären ”vilken grad av strukturering skall revisionen ha, vad är revisionens mervärde, hur kan man på marginalen tillföra mer säkerhet?” Vad innebär nu detta mer konkret och vilka konkreta frågeställningar kan vi identifiera?
Den första kategorin undrar exempelvis om revisorer är konservativa när det gäller att identifiera risker, konservativa i bemärkelsen att man främst ser till traditionella högriskfaktorer. Detta problem tas bl.a. upp av Monroe (2000), som i en amerikansk studie undersökte om det spelar någon roll i vilken ordning som revisionsbevis kommer i. Han kom fram till att det inte gjorde det, dvs. revisorerna som ingick i studien ändrade inte sin bedömning vartefter mer information kom. Detta skulle även kunna indikera att revisorerna inte var så avancerade i sin riskanalys, man nöjde sig med bokslutsposter som vanligtvis är riskfyllda. Det finns andra studier om detta, liksom studier som visar att revisorer har blivit bättre på att anpassa riskanalysen till det enskilda företaget.
Den andra kategorin forskning försöker mäta risken för att revisorer undervärderar den totala revisionsrisken om det finns ett beroendeförhållanden mellan de tre komponenterna i riskmodellen. Forskningen bygger på den amerikanska Audit Risk Model, en enkel formel där man ser den totala revisionsrisken som en produkt av de tre komponenterna: Revisionsrisken = inneboende risk x kontrollrisk x upptäcktsrisk. Detta kan tyckas vara väldigt teoretiskt och kvantitativt, men man har visat att om modellen tillämpas strikt (dvs. gör separata bedömningar och multiplicerar ihop dessa) kommer revisionsrisken att undervärderas. Om detta finns det ett stort antal studier, se bl.a. Messier och Austen (2000) och Dusenbury m.fl. (2000).
Vad kan vi säga om denna typ av forskning? Det entydiga svaret är att detta är en studie i överbevisning. Forskningen har syftat till att visa att modellen är för enkel vilket man gjort på ett överdådigt sätt. Frågan är bara om det är någon, ens i USA, som använder sig av detta sätt att mäta risk (vi tror inte det). Fast det är kanske inte detta som är det centrala. Det intressanta med denna typ av forskning är att man implicit diskuterar överföringen mellan revisionens kvalitativa aspekter och de kvantitativa besluten. Den underliggande frågan gäller hur man överför den subjektiva, kvalitativa och professionella bedömningen av vad som utgör en risk till kvantitativa mått. Här finns det mer att forska kring.
Den tredje typen av riskbedömningsforskning berör den debatt som kallats ”structure versus judgment”, dvs. vilken grad av strukturering som revisionen bör ha. Redan på 80-talet diskuterade man skillnader i företagskultur, där vissa firmor kunde kännetecknas av en mer strukturerad syn på revisionen och andra en mer ”omdömesbaserad”. Den klassiska studien gjordes av Cushing och Loebbecke (1986). På senare år har främst Power skrivit om denna debatt, se t.ex. Power (1996) och (1997). En annan intressant forskningsrapport har skrivits av Herrbach (2001), han studerar ett antal faktorer i företagskulturen som framkallar stress som sedan inverkar negativt på revisionskvaliteten.
Hur påverkar detta riskanalysen? Framför allt återknyter det till identifieringen av risker. Om det kostnadseffektiva trycket gjort att revisionen måste kosta mindre finns det ett klart standardiseringsincitament. Om revisionen skall bära sina egna kostnader och utrymmet för kompletterande konsulttjänster blir mindre, blir effekten att revisorer – enligt lag och etiska föreskrifter – tvingas känna till mycket om företaget men utan att kunna ta betalt för denna kunskap. Vidare återknyter det till överföringen av kvalitativa bedömningar till kvalitativa beslut, eller mer konkret: hur går man från ”hög”, ”medel” eller ”låg” risk till konkreta väsentlighetstal?
En annan intressant aspekt av detta tredje ben av forskning är vad revisionens mervärde är. Om revisionen syftar till att överföra kunskap till klienterna, t.ex. om hur man internt kan bli bättre på att se risker och skapa fungerande intern kontroll, innebär inte detta ett implicit antagande om att revisorer är bättre än sina klienter på att bedöma risk? Här finns även en informationsasymmetriaspekt att ta upp: väger en ekonomichefs ord tyngre än revisorns, p.g.a. att han har en bättre insyn? Hur balanserar man detta med rationalitetsincitamenten?
En enkel empirisk undersökning
Vi gjorde en enkel empirisk undersökning bland några svenska revisorer för att undersöka de frågor som den internationella forskningen berör. Totalt sett gjorde vi elva intervjuer med olika företrädare för branschen under november och december förra året, då vi ställde frågor kring hur riskbedömningen gick till.
När det gäller övergripande frågeställningar valde de flesta av våra intervjupersoner att poängtera vikten av att förstå företagets affärslogik, hur klienten tjänar pengar. Likaså poängterade de flesta vikten av att förstå de interna kontrollsystemen. En ganska rådande, men inte enhetlig syn, var att den största risken var klienten själv. Man menade att den svaga länken i samanhanget är okunskap hos den som upprättar det grundläggande materialet. Vidare pekade många på olika konkreta områden, som komplex elderivathandel eller kontantstint pizzabageri. Eller ny VD, nytt uppdrag, bristande förtroende revisor – klient.
Som väntat fick vi ganska entydiga svar om Audit Risk Model: det var inget man använde sig av i Sverige. Visserligen funderade de flesta i termer av inneboende risk och kontrollrisk, men att man gör en mer sammanvävd bedömning. ”Att då först försöka beskriva den inneboende risken blir lite flummigt och ineffektivt”, som en av våra intervjupersoner sade.
Just när det gällde användningen av kvantitativa metoder fick vi mer varierade svar: vissa var mer inne på denna linje, andra var klart avståndstagande. Fast det vi skulle vilja veta mer om är just hur man gör överföringen av den kvalitativa bedömningen till kvantitativa mått. En annan av våra intervjupersoner noterade att ”den första, det är den kvalificerade delen, då tänker man själv. Men sedan kan man använda olika metoder för vilka belopp man skall fastna för, vad som är rimligt.”
Slutligen frågade vi om stukturerade metoder kontra mer omdömesbaserade, vi fick uppfattningen att vissa var mer öppna för omdömesbaserade metoder där omdömet snarare än den standardiserade revisionen får råda. Vi fann att det fanns tre läger när det gällde kvantitativt/kvalitativt: (1) ingen kvantifiering, riskanalysen skall inte struktureras, (2) ingen kvatifiering, osäkra på vad en ökad kvantifiering skulle innebära, (3) mer strukturering är nödvändigt.
Sammanfattning
Vilka frågeställningar kan vara intressanta att lyfta fram?
Vilka slutsatser kan vi nu dra efter att ha studerat den internationella forskningen och genomfört den enkla empiriska undersökningen? Låt ta en något kritisk hållning och peka på ett par punkter.
Det tydligaste, och som alla våra intervjuer pekar på, är det subjektiva inslaget i revisionen: riskbedömningen går inte att kvantifiera eller standardisera, hur man än vänder och vrider på det, det är upp till revisorns kompetens och erfarenhet att avgöra vad som är en risk eller inte. Mot detta står de forskare som menar att revisorer tror att de agerar subjektivt och individuellt men ändå – när det väl gäller – fokuserar på vissa givna kategorier (se t.ex. vår diskussion om detta inledningsvis, Monroe, 2000). Låt oss ta detta som en utgångspunkt för en studie när det gäller svenska förhållanden: hur pass avancerad och individanpassad är man egentligen i sin riskanalys?
En annan intressant fråga är att se hur revisorns egen riskinställning påverkar de väsentlighetsbelopp som sätts. Här bör man ta fasta på faktumet att revisorn själv är ett instrument för att bedöma risk. En revisor med mildare inställning till risk kanske är beredd att acceptera högre väsentlighetsbelopp medan en annan revisor skulle kräva ett mindre väsentlighetsbelopp och därmed ta ut ett högre pris. Som köpare av revision, hur kan jag vara konstruktiv i min analys av vilka väsentlighetsbelopp som sätts? Detta är i sin tur relaterat till graden av strukturering och standardiseringen av revisionen. Hur ser relationen ut mellan pris/antal debiterade timmar, grad av strukturering och satta väsentlighetsbelopp?
Just relationen mellan väsentlighet och risk är oerhört central. Som vi diskuterat ovan behövs det mer forskning om hur riskanalysen omsätts till konkreta väsentlighetsbelopp. Hur går man från att säga att ”det här är en stor risk” till att säga ”jag sätter väsentlighetsbeloppet till 40 000 kr”? Behöver vi en mer nyanserad skala för att kommunicera risker?
Vidare, som vi berörde ovan: vilka effekter får den ökade prispressen på riskanalysen? Kommer detta att leda till att man inte kan göra en avancerad riskanalys utan nöja sig med en standardiserad modell där de största bokslutsposterna granskas? Här kommer diskussionen om rationalisering av revisionsprocessen in, kommer det strukturerade synsättet på revision att ta över? Finns det en risk för att revisionen blir maskiniserad och standardiserad?
Vi skulle också gärna veta mer om hur man hanterar situationer där klienten anser sig ha ett informationsövertag gentemot revisorn. Vems ord väger tyngst? Förhandlar man fram en gemensam syn på vilka risker som råder?
Till slut, antag att riskanalysen består av fyra komponenter: (1) hur identifierar man riskerna, (2) hur mäter/värderar/bedömer man dessa risker, (3) hur kommunicerar man riskerna intern inom revisionsteamet och till kund samt (4) hur följer man upp riskerna. Vi tror att det finns många olika frågeställningar inom respektive komponent av riskanalysen som har betydelse för den totala bedömningen. Skriv gärna mer om detta!
Ek.mag.
Ulf Bengtsson
och ek.mag.
Jonas Nilsson
är nyutexaminerade med inriktning på redovisning. Artikeln bygger på författarnas magisteruppsats skriven vid Stockholms universitet.
Referenser
Cushing, B. och Loebbecke, J. (1986) ”Comparison of Audit Methodologies of Large Accounting Firms ”, Studies in Accounting Research, No 26
Dusenbury, R., Reimers, J. och Wheeler, S. (2000) ”The Audit Risk Model: An Empirical Test For Conditioned Dependencies Among Assessed Component Risks ”, Auditing, Vol. 19, No. 2
Herrbach, O. (2001) ”Audit Quality, Auditor Behaviour and the Psychological Contract ”, The European Accounting Review, Vol. 10, No. 4
Messier, W. och Austen, L. (2000) ”Inherent Risk and Control Risk Assessments: Evidence on the Effect of Pervasive and Specific Risk Factors ”, Auditing, Vol. 19, No. 2
Monroe, G. (2000) ”An examination of order effects in auditors’ inherent risk assesments ”, Accounting & Finance, Vol. 40, No. 2
Power, M. (1996) ”Making Things Auditable ”, Accounting, Organizations and Society, Vol. 21, No. 2/3
Power, M. (1997) The Audit Society , Oxford University Press, New York.
Se även Bengtsson, U. och Nilsson, J. (2002) ”Risker i revisionsprocessen – sökandet efter en svensk referensram ”, Magisteruppsats i redovisning vid Stockholms universitet.