Kan revisor stole på kunders interne kontroller?
Artikkelen fokuserer på et sentralt beslutningsproblem: kan revisor stole på kunders interne kontroller eller ikke? Vi presenterer noe av logikken og teorien bak stikkprøvekontroller og prøver samtidig å besvare enkelte spørsmål som ofte stilles i forbindelse med dette.
Førsteamanuensis
Universitetet i Sørøst Norge og Norges Handelshøyskole
Professor Emeritus
Norges Handelshøyskole
ISA 530Stikkprøver i revisjon
Bruk av stikkprøver reguleres av ISA 530 Stikkprøver i revisjon, og det åpnes for bruk av både statistiske- og skjønnsbaserte stikkprøver. Det legges imidlertid til grunn at for eksempel stikkprøvestørrelser ikke skal avhenge av om revisor rent formelt benytter en statistisk angrepsvinkel eller ikke, se ISA 530 pkt. A 9 og 11.
Tematilsyn i 2016
Finanstilsynet gjennomførte i 2016 et tematilsyn hos 65 norske revisjonsselskaper (inklusiv de fem store) der de undersøkte selskapenes bruk av stikkprøver (Finanstilsynet 2016). Kulset (2019) analyserer Finanstilsynets funn og finner blant annet at noen av stikkprøvestørrelsene som er i bruk i forbindelse med test av kontroller, ikke synes å bygge på statistisk teori. Basert på dette funnet er denne artikkelens første siktemål å presentere noe av den teoretiske støtten norske revisorer tidvis kan ha bruk for når de anvender stikkprøver for å teste kundenes internkontroll.
Pensumlitteraturen som benyttes i revisjonsfaget i dag knyttet til stikkprøver, har en praktisk tilnærming til emnet: studentene skal lære ulike metoder som de skal kunne bruke i praksis, men det blir i liten grad lagt til rette for at studentene skal kunne forstå hvordan disse metodene bygger på det de tidligere har lært i statistikkfaget.* En grundig innføring i det teoretiske grunnlaget for statistiske metoder i revisjon er tilgjengelig i boken «Statistiske metoder i revisjon» av Lillestøl (2000), som tidligere var pensum på revisorstudiet ved NHH. Forfatterne retter en stor takk til professor Aasmund Eilifsen og professor Tonny Stenheim for nyttige innspill i forbindelse med tidligere versjoner av denne artikkelen. Ellen M. Kulset takker Sparebankstiftelsen Nøtterøy-Tønsberg for forskningsmidler tildelt USN til bruk i prosjekter innenfor fagfeltene regnskap og revisjon. Denne artikkelens andre siktemål er å svare på noen av de spørsmålene revisjonsstudenter ofte stiller ved å bruke den kunnskapen studentene tidligere skal ha tilegnet seg, først og fremst i metodefaget statistikk. Artikkelen henvender seg altså både til revisjonsstudenter og praktiserende revisorer. Artikkelen vil kun fokusere på enkelte problemstillinger knyttet til attributtsampling (behandlet f.eks. i Eilifsen et al., 2014 i kapittel 8) og fremstillingen er illustrert ved bruk av Excel.
Et sentralt beslutningsproblem – estimere avvikshyppighet
Denne artikkelen fokuserer på et sentralt beslutningsproblem som revisor ofte står overfor: skal han/hun stole på en kundes interne kontroller eller ikke? I denne situasjonen ønsker revisor gjerne å bruke en stikkprøve for å lage et estimat med tilhørende konfidensgrenser på andelen ganger som en internkontroll ikke har fungert i en gitt periode (avvikshyppighet).
Revisjonshandlingen
Fra et teoretisk ståsted kan revisjonshandlingen beskrives som følger: Vi har en populasjon bestående av N elementer (her hver gang en kontroll skulle vært utført i en gitt periode). I denne populasjonen er M elementer spesielle (her at kontrollen ikke er utført som den skal, dvs. vi har et kontrollavvik). Revisor ønsker å akseptere kundens kontroll dersom andelen kontrollavvik a = M/N i populasjonen er liten (dvs. under/på et akseptabelt nivå). Her er a ukjent, men a kan estimeres ut fra en stikkprøve med â = Y/n der Y er antall kontrollavvik i stikkprøven og n er stikkprøvestørrelsen. Det trekkes et tilfeldig utvalg bestående av n elementer fra populasjonen, og vi har at Y er hypergeometrisk fordelt med parametre (N,M,n), se f. eks. Ubøe (2016) side 132.
Stikkprøvestørrelse – estimatets presisjon
Stikkprøvens størrelse er bestemmende for hvor presist estimatet â er ved at større stikkprøvestørrelse gir et «smalere» konfidensintervall. Estimatets presisjon uttrykkes ved at det beregnes en øvre grense for andelen kontrollavvik (ensidig konfidensintervall) med en gitt sannsynlighetsgaranti (konfidensnivå).
Dersom den øvre grensen for andelen ligger under en fastlagt vesentlighetsgrense (tolererbar avvikshyppighet), aksepteres den testede interne kontrollen, i motsatt fall aksepteres den ikke.* I statistisk terminologi er konfidensnivået til et konfidensintervall for en ukjent parameter definert som sannsynligheten for at intervallet vil inneholde parameterens sanne verdi. I revisjonssammenheng skal en slik konfidensgaranti fungere som sikkerhet for at den faktiske avvikshyppigheten i populasjonen ikke overskrider den tolererbare avvikshyppigheten, jf. ISA 530, vedlegg 2. Når revisor skal bestemme nødvendig stikkprøvestørrelse, bør det tas hensyn til både risikoen for å overvurdere hvor godt internkontrollen fungerer (beta-risiko) og risikoen for å undervurdere hvor godt internkontrollen fungerer (alfa-risiko).
Beta- og alfa-risiko
Med beta-risiko i forbindelse med kontrolltesting forstår vi risikoen for at vi, basert på resultatet i stikkprøven, konkluderer med at internkontrollen fungerer tilfredsstillende når den faktisk ikke gjør det. Med alfa-risiko forstår vi risikoen for at vi, basert på funnene i stikkprøven, konkluderer med at interkontrollen ikke fungerer slik den skal (dvs. vi kan ikke bygge på denne) selv om den faktisk fungerer tilfredsstillende.* I boken «Auditing and assurance services», Eilifsen et al. (2014) brukes betegnelsene type I feil og type II feil for henholdsvis undervurdering (alfa-risiko) og overvurdering (beta-risiko). Dette samsvarer med begrepene i teorien for statistisk hypotesetesting med forventet akseptabel andel kontrollavvik som nullhypotese.
Beta-risiko spesielt viktig i praksis
I praksis vil revisor gjerne kombinere test av kontroll for en påstand med en analytisk substanshandling eller en detaljtest. Dette betyr at beta-risikoen blir spesielt viktig: hvis revisor basert på funnet i en kontrolltest finner at en kontroll kan stoles på selv om denne kontrollen egentlig ikke fungerer, vil han/hun ikke foreta de endringene det er behov for i revisjonsprogrammet med tanke på endring av type, tidspunkt eller omfang av substanshandlingene. I ytterste konsekvens kan revisor i denne situasjonen ende opp med å konkludere feil i revisjonsberetningen fordi han/hun ikke har hentet inn tilstrekkelig med revisjonsbevis.
Alfa-risikoen er derimot mindre viktig ettersom revisor, dersom han/hun konkluderer med at internkontrollen ikke fungerer, vil måtte utføre mer substanstesting enn planlagt. Alfa-risiko blir dermed først og fremst et spørsmål om revisjonseffektivitet.