”Der går lidt tid før revisorer definitivt kan sige at alt i det her regnskab er rigtigt. Det er stadigvæk nogle fremtidsscenarier. Det bliver rigtig svært at sige 100%. ”I al væsentlighed” vil man holde fast i, i lang tid
endnu fordi der kan også være usikkerhed i algoritmer”
I forbindelse med at man kan udføre fuld bilagsrevision, ville der stadigvæk være risiko for fejl, fordi mennesker laver fejl. På trods af at AI kan gennemgå et større sæt af data og transaktioner, end det er fysisk muligt for revisor, så er det stadigvæk revisor, der i sidste ende er et menneske der fortolker data, og i forbindelse med hele robotprocessen kan der opstå en række fejl, som mennesket har overset. Det vil nok betyde at man vil være tilbage i en risikovurderingsanalyse af robotten der udføres af at revisor eller andre myndige personer. Hvilken størrelse vil revisor være, og hvor lang tid ser man der går, før man ser dette ske vil nok afhænge af hvor hurtigt kunderne udvikler sig i forbindelse med digitalisering og automatisering. Dette vil skabe et pres for revisor, fordi han bliver nød til at følge med, for at kunne bibeholde sin rådgivende funktion og kunne kommunikere med revisor omkring kundens behov, som i fremtiden sandsynligvis i høj grad vil relatere sig til mere komplekse teknologier. Men scenariet om at kunstig intelligens vil kunne indtage store dele af erhvervslivet som betænkningen ligger op til, vurderes blot at følge det behov og efterspørgsel der er kommet på det. Hvorimod det blandt andet var Christian Lehmann Nielsens vurdering, at scenariet om at kunstig intelligens vil dominere i revisionsbranchen‐ og processen ligger mere fremtidigt, fordi man først nu er i gang med i højere grad at implementere robotics og dataanalyse, som også vil skabe en del nye muligheder for revisor. Herefter skal revisor
”vende sig til dette” og få robotics og dataanalyse implementeret og nå en modningsfase, og skabe en forretningsgang, etik og sædvane på området, og dette kan tage flere år. Først herefter vil man drive videre i kunstig intelligens. Revisionsbranchen har efter Christian Lehmanns mening, været lidt
”heldigere” end andre brancher som fx banker, der er presset meget af konkurrence på
digitaliseringsfronten – hvor revisorer den dag i dag, ikke er ”truet” af særlig mange ændringer endnu, mener Christian Lehmann.
Denne gennemgang fokusere således på hvilke ajourføringer der vurderes nødvendige, for at revisor kan gennemføre en AI baseret revision og opnå egnet og tiltrækkelig revisionsbevis heraf i sin erklæring med høj sikkerhed. Det vurderes at der er behov for ændringer i rammerne omkring revision, nemlig ISA standarderne, som også Christian Lehmann Nielsen mente i vores interview med ham.
Spørgsmålet om, hvor meget der skal ajourføres kommer an på om kunstig intelligens skal kunne gennemføre revisionen selvstændigt, eller om kunstig intelligens skal fungere som et støtteværktøj. Ud fra delkonklusioner vedrørende gennemgang af ISA 500, vurderes det ikke på nuværende tidspunkt at være usandsynligt, at revisionen bliver udført uden inddragelse af revisor i processen. Revisor skal stadigvæk forholde sig til alt dokumentation som computeren udarbejder, uanset om revisorer opbygger tillid til computeren. Det vurderes at dette vil være tilfældet, så længe revisor er inde i billedet, og man ikke på anden vis kan opnå erklæring om et regnskabs rigtighed.
Derfor udarbejdes ajourføringerne på baggrund af, at AI kan fungere som et beslutningsgrundlag og et værktøj. Afslutningsvist udføre revisor review af computerens arbejde i forbindelse med udarbejdelse af produktet (revisorerklæringen).
Både ISA 200, 315, 330, 500 og 520 beskriver manuelle metoder til at planlægge revisionen ved udføre risikovurderingshandlinger og derefter udføre revisionen ved substanshandlinger for at opnå
tilstrækkelig og egnet revisionsbevis.
Grundet den eksponentielt voksende teknologiske udvikling, vurderes det derfor, at ISA standarderne bør underkastes en gennemgribende ajourføring, med kunstig intelligens og dataanalyse som det gennemgående område. Del 3 gennemgik eksempler på hvordan dette kunne udføres, men ville kræve, at ISA standarderne blev ajourført med konkrete handlinger som krav til revisor, når han basere sig på kunstig intelligens arbejde. Det vurderes ligeledes at det vil være en trinvis overgang for revisorerne, med gældende virkning efter en rimelig periode, således at revisionsbranchen gradvist kan følge en glidende overgang.
3.16.1 ISA 315
Revisors ansvar for at identificere og vurdere risici for væsentlige fejlinformation i regnskabet. Som beskrevet i teoriafsnittet i rapporten, omfatter risikovurderingshandlinger i form af forespørgsel, analytiske handlinger, observation samt inspektion.
Ajourføring 1
Uddrag fra ISA 315.A14:
”Analytiske handlinger udført som risikovurderingshandlinger kan identificere sider af virksomheden, som revisor ikke var klar over… ”
Ovenstående beskrivelse sandsynliggøre mulighederne for at anvende analyseværktøjer til at identificere sider af virksomheden som revisor ikke var klar over ved analyse, for at vurdere risici for væsentlig fejlinformation. Det vurderes at definitionen af analytiske handlinger bør udspecificeres til at udføre analytiske handlinger, som de udføres i dag men også ved dataanalyse og AI baserede analytiske handlinger, eventuelt ind under nogle punkter. Ved AI baserede analysehandlinger opstiller og udføre computeren analysen, uden menneskelig involvering.
Ajourføring 2 Uddrag fra 315.A18:
”Observation og inspektion kan understøtte forespørgsler til den daglige ledelse og andre og kan også give information om virksomheden og dens omgivelser. ”
Det vurderes at definitionen af observation og inspektion, ligeledes burde omfatte revisionshandlinger, med mulighed for at kunne udføre det ved NLP eller andre AI teknologier der kan udføre
dokumentlæsning, til at understøtte forespørgsler til ledelsen.
Ajourføring 3
Hvis AI baseret analysehandlinger skal anvendes i stedet for revisors traditionelle handlinger, skal standarden indeholde et særskilt afsnit i forbindelse med revisors opnåelse af forståelse for den bagvedliggende teknologi. Herunder at værktøjet er testet og godkendt til anvendelse. Det vurderes ifølge rapporten at der skal være udført forretningsgange og sikkerhedsforanstaltninger af værktøjet for at sikre at ingen kan ændre i programmeringen. Denne holdning understøttes ligeledes af interview med Søren Jensen136. Heraf skal afsnittet indeholde revisors overvejelser vedrørende datakvalitet.
Det vurderes at ændringerne skal være supplerende i forhold til eksisterende revisionshandlinger, for at revisor stadigvæk har muligheden for at kunne udføre revision af mindre virksomheder, der ikke har den teknologiske modenhed som beskrevet i CMM modellen. På denne måde kan revisor identificere risici og foretage handlinger på revisionsmålsniveau.
136 Bilag 1
3.16.2 Ajourføring af ISA 330
Denne standard introducere revisors reaktion på de risici for væsentlig fejlinformation, som er identificeret i foregående standard. Som beskrevet i teoriafsnittet i rapporten omhandler standarden revisors overvejelser omkring art, tidsmæssig placering og omfanget på revisionsmålsniveau.
Som beskrevet i ISA 330.A11 udføre revisor test af kontroller eller substanshandlinger i årets løb eller ved periodens afslutning.
Ved anvendelse af en AI baseret revisionsstrategi, vurderes det at ajourføringen til denne standard, skal inddrage et særskilt afsnit omkring AI baseret analysehandlinger samt reaktion på betydelige risici.
Det vurderes at standardens eksisterende vejledninger burde tilpasses i forbindelse med en forklaring omkring art, tidsmæssig placering og omfang ved udførelsen af AI analysehandlinger.
Arten definere formål og type af revisionshandlingen, som enten kan være test af kontroller eller substanshandlinger. Herunder burde ”AI baserede analysehandlinger” tilføjes og kan anvendes på samme type handlinger (observation, inspektion osv.). Den tidsmæssige placering vurderes uændret, og følger revisors nuværende beskrivelse jf. ISA 330.10. Omfanget gennemgås jf. ajourføring af ISA 500, i nedenstående afsnit.
3.16.3 Ajourføring af ISA 500
Jf. ISA 500 er det revisors ansvar at udforme og udføre revisionshandlinger, således at han kan opnå tilstrækkelig og egnet revisionsbevis og drage rimelige konklusioner heraf.
Hvad er således et egnet og tilstrækkeligt revisionsbevis? Tilstrækkeligheden var som defineret i ISA 500, målestokken for mængden af revisionsbeviset. Dette vurderes opfyldt, da man ved en AI baseret analyse strategi vil gennemgå hele populationen, i stedet for at udtage stikprøver. Hermed vurderes at
tilstrækkeligheden er opfyldt. Dog vil det kræve en ajourføring vedr. stikprøvebaseret revision, som tilføjer muligheden for fuldstændig revision ved hjælp af et AI program.
Egnetheden defineres som relevansen og pålideligheden. Det vurderes at relevansen og pålideligheden er uændret da AI vil basere sig på samme givne datasæt af kunden, og opnå samme logiske forbindelse mellem revisionshandling og revisionsmålet. Dermed vurderes at AI kan opnå tilstrækkelig og egnet revisionsbevis.
Ved at udføre revision ved AI baserede analysehandlinger, kan revisor teste afvigelser som analysen fremhæver i stedet for stikprøvebaseret revision. Derfor skal formuleringen i ISA 500.A16 omkring stikprøver som henviser til ISA 530.56 omfatte forklaring omkring test af afvigelser.
I nedenstående afsnit, diskuteres revision af afvigelser og om revisor skal teste alle afvigelser eller ved test af stikprøver. Målet for revisor er at teste alle afvigelser, men såfremt at computeren fremhæver for mange afvigelser, skal revisor være i stand til bruge andre alternativer.
Test af afvigelser
Standarden forholder sig ikke til test af afvigelser, men blot test af populationer. Derfor er det
nødvendigt at definere krav omkring test af afvigelser ved en AI baseret revisionsstrategi. Punkt 500.A52 gør det allerede muligt for revisor at udvælge alle elementer (en 100% undersøgelse) hvorfor der ikke er behov for at tilføje punkter om det. Spørgsmålet er således at revisor skal teste samtlige afvigelser eller blot teste afvigelser ved stikprøver. Udgangspunktet er at begge metoder har en positiv effekt på at opdage væsentlig fejlinformation i risikofyldte poster. Målet er, at teste alle afvigelser hvilket bekræftes af interview med Christian Lehmann Nielsen.
I tilfældet af, at dataanalyseværktøjer og AI baserede analysehandlinger ved fuldstændig revision har identificere for mange afvigelser til at revisor kan teste alle sammen, kan revisor opnå tilstrækkeligt revisionsbevis ved at teste stikprøver, hvis samtlige afvigelser er af samme type.
Ajourføringerne vedrørende ISA 500 og ISA 520 omfatter dermed test af afvigelser, og hvordan revisor kan opnå revionsbevis ved at teste stikprøver. Dette vil også have en indvirkning på begrebet omfang.
Afslutningsvis, vurderes der behov for introduktion af tilføjelser til et særskilt afsnit omkring, hvilke robotter, maskiner, droner og andre teknologier revisor kan anvende til at udføre handlingerne inspektion, observation, ekstern bekræftelse, efterregning, genudførelse, analytiske handlinger eller forespørgsel.
3.16.4 Ajourføring af ISA 700
ISA 700 vedrørende revisors ansvar for at udforme en konklusion om et regnskab, samt formen og indholdet af revisors uafhængige erklæring som resultat af det reviderede regnskab. Erklæringen har høj grad af sikkerhed. Teoretisk set giver revisor 95% sikkerhed på at regnskabet er korrekt i al væsentlighed, og det vil der efter implementering af AI blive ved med at være.
Som tidligere nævnt, kunne det tænkes at man ved fuldstændig revision kunne opnå en højere grad af sikkerhed, men da der stadigvæk arbejdes med et væsentlighedsniveau, og man ikke 100% kan udelukke fejl i algoritmer, fastholdes regnskabet i al væsentlighed er korrekt og ikke 100% korrekt.
Når man basere sin revision på komplekse algoritmer kunne revisor føle sig særlig udsat i forhold til at han på nuværende tidspunkt i begrænset omfang kan forstå og benytte AI udarbejdet dokumentation som revisionsbevis.
Det er opfattelsen, at dataanalyse, robotics og AI vil have en markant indflydelse på revisionsbranchen.
Det vurderes at revisor burde udtale sig om at revisionen er udført som en kombination af kontrol‐, substans‐ og AI baseret revision, hvor det er effektivt. Derudover burde revisor beskrive relevante oplysning om, at bestyrelsen har sikre at revisor får adgang til at implementere ”automatiske udtræk”
såfremt der foretaget integration mellem virksomhedens IT systemer og revisors AI systemer, eller har implementeret proces‐mining analyser i virksomhedens kontroller. Derfor kunne det tænkes at der ikke var behov for ajourføring af ISA 700, men at revisor erklærer sig på at han har benyttet en AI baseret revisionsstrategi og afgive samme sikkerhed.
Kontinuerlige ajourføringer
Rapporten vurdere at standarderne, burde tilpasses gradvist, i takt med teknologien. Det vurderes at standarderne på nuværende tidspunkt ikke kræver radikale ændringer, men vil give mulighed for at udføre en AI baseret revisionsstrategi. Begreber som test af kontroller og substanshandlinger, vil stadigvæk være gældende, dog med tilføjelse i forbindelse med AI.
Derfor vurderes det at én ajourføring ikke er tilstrækkelig, men skal følge den teknologiske udvikling ind til ISA standarderne skal ajourføres igen når behovet igen opstår. Spørgsmålet er om ISA standarderne skal presse revisorerne ved at ajourføre standarderne til at udvikle sig innovativt, eller om det skal være den anden vej rundt.
Baggrunden for denne holdning er, at det forventes at mange virksomheder presses til at digitaliserer deres ERP og bogføringssystemer, til en sådan grad at revisor nemt kan udføre dataanalyse og AI i større omfang. Idet AI blot er i modningsfasen men vil befinde sig i vækst marked i nærmere fremtid, som giver adgang til flere værktøjer med revisor kandidater med højere IT baggrund.
3.16.5 Ajourføring af ISQC 1
Både de radikale og inkrementelle forandringer i revisorbranchen, giver anledning til overvejelser i forbindelse med ajourføring af kvalitetssikring og kontrol af revisionsopgaverne foretaget af revisionshusene. En omstrukturering af ISQC 1 kan være nødvendig, idet AI vil have en omfattende indflydelse på revisionen og hvordan revisionsvirksomhederne skal have større fokus på kvalitetsstyring og evaluering af deres nye revisionsredskaber. Formentlig skal kontrollens hensigt ændres fra at være
”tjekliste fokuseret” omkring hele revisionen, til en mere principbaseret kontrol ved hjælp af
kvalitetsstyring. I analysen fremgår mange innovative løsninger som kræver kvalitetskontrol, hvorfor det formentlig ikke vil skabe nogen værdi at gennemgå kvalitetssikring, på udvalgte opgaver, efter den traditionelle metode. Endvidere skal en ajourføring, til en principbaseret tilgang medvirke til, at AI redskaberne er overvåget og er kvalitetssikret på hver revisionsopgave. IAASB arbejder på en omformulering af kvalitetsstyring i ISQC 1.137
137
IAASB ‐ Quality Control at Firm Level ‐ ISQC 1
DEL 4
Hermed den afsluttende del på rapporten, hvor der er udformet anbefalinger til fremtidens revisor, en perspektivering der omfatter yderligere forhold samt en afsluttende konklusion på rapportens resultater.