3.9 Revisionshandlinger i planlægningsfasen
3.9.2 Reaktioner på identificeret risici
1. Test af kontroller 2. Substanshandlinger
Ad 1 Test af kontroller
Test af kontroller udføres for at vurdere kontrollernes funktionalitet i forbindelse med opdagelse eller forebyggelse af væsentlig fejlinformation på revisionsmålsniveau84.
Test af kontroller kan ved hjælp af AI udføres ved proces‐mining analyser. Eksempelvis kan proces mining udføres på varelagerprocessen fra bestilling af varer til endelig salgsfaktura. Dette sikre, at der vil være sammenhæng mellem arten af den revisionshandling, som revisor benytter til at identificere risici for en proces og de test som udføres på kontrollen. For at revisor kan opnå forståelse for de transaktions
84 ISA 330.4
flowet, kan der foretages en proces‐mining analyse, som skal identificere om medarbejdere overholder forretningsgange eller udnytter kontrolsvagheder. Hermed kan revisor identificere uventede
transaktioner, manuelle registreringer og ikke‐rutine handlinger.
Man kan blandt andet benytte proces‐mining til at teste eventlogs. I de fleste ERP systemer registrere medarbejdere, efter hver handling, et digitalt spor i systemet i form af eventlogs. Disse eventlogs bliver registreret i ERP systemet, og indeholder oplysninger om, hvem der har foretaget en given handling, hvornår den blev udført og eventuelt hvem der har godkendt ordren85.
Eksempel på udtræk af ”eventlogs” i virksomhedens ERP system Activity Case ID Start time Complete
time
Login/Incitaler Role
Bestilling af varer 339 11‐03‐2017 08:33:23
11‐03‐2017 08:45:02
SMFW Request
Godkendelse af bestilling
339 11‐03‐2017 09:15:45
11‐03‐2017 09:16:41
DUCA Manager
Varer modtagelse 339 15‐03‐2017 07.33.21
15‐03‐2017 08.21.06
JKGF Request
Proces for registrering
339 15‐03‐2017 10.03.41
15‐03‐2017 11.23.42
DUCA Manager
Betaling for varer 339 15‐03‐2017 11.33.11
15‐03‐2017 11.36.01
DUCA Request
Godkendelse 339 15‐03‐2017 11.36.01
15‐03‐2017 12.11.02
ASDA Manager
Salgsordre 940 01‐04‐2017 23.13.12
01‐04‐2017 23.14.21
DUCA Purchasing
Indpakning 940 02‐04‐2017 07.43.16
02‐04‐2017 08.15.16
JKGF Inventory worker Vare forsendelse 940 02‐04‐2017
09.01.11
02‐04‐2017 09.12.13
SMFW Inventory worker
Faktura 940 03‐04‐2017
08.11.16
03‐04‐2017 08.22.43
DUCA Manager
Modtagelse af beløb
940 05‐04‐2017 03.23.12
05‐04‐2017 03.23.13
IT Auto
Tabel 1 ‐ Kilde: egen tilvirkning efter inspiration fra følgende kilde86
Proces‐mining kan analysere data fra tabel 1 og skabe et mønster af transaktions‐flowet. Systemet kan på baggrund af disse eventlogs i tabel 1, skabe transaktions‐flowet i visualiseret format, for samtlige signifikante klasser af transaktioner. AI computeren, kan benytte det visualiserede format til, at
85 Using Process Mining to Analyze and Improve Process Flexibility
86 How to Perform a Bottleneck Analysis With Process Mining, www.Youtube.com
identificere om der foreligger nogen afvigelser fra den beskrevne forretningsproces87. Procesvejen kan medvirke til, at identificere risici for væsentlig fejlinformation, som også benyttes i
risikovurderingshandlingerne, såfremt der foreligger nogen afvigelser. Revisor kan således teste om der er foretaget godkendelser på samtlige bestillinger, om der er funktionsadskillelse fra godkendelse til forsendelse og modtagelse af ordre, eller om der er overtrædelser af andre kontroller.
Proces‐mining analyser kan ligeledes belyse om processen kan effektiviseres eller om der foreligger svagheder i kontroller. Figur 11 illustrer, hvordan transaktioner identificeres i gennem hele processen.
Analysen kan fremhæve antal overtrædelser, ikke godkendte hændelser eller andre forhold i mellem hver aktivitet i processen. Således er der mulighed for at analysere fulde populationer og teste samtlige kontroller i en forretningsproces. Som illustreret i figuren, fremhæves de røde linjer som indikere høje transaktionsfrekvenser, mens de tynde indikerer lave transaktionsfrekvenser.
Forskning fra American Accounting Association ‐ Research Ideas for Artificial Intelligence in Auditing88, beskriver ideen omkring et kontrolovervågningssystem, der udføre proces‐mining analyser på
virksomhedens væsentlige forretningsprocesser. AI systemer skal således identificere væsentlige overtrædelser eller svagheder ved kontroller. Heraf kan AI afgive en konklusion omkring forholdet i
87 Using Process Mining to Analyze and Improve Process Flexibility
88 American Accounting Association 2016
Figur 11 ‐ Visualiseret diagram af en forretningsproces – kilde http://fluxicon.com/disco/
procesbeskrivelsen og overholdelse af samtlige kontroller i processen. Derudover kan AI fremhæve anbefalinger til revisor omkring forslag til forbedringer i processen.
Teknikker inden for såsom machine learning og Deep Learning (Natural Language Processing og texture recognition), kan benyttes til at gennemgå fakturaer og afstemme til bogføringen89. Denne AI baserede tilgang, vil således anses som en kombination mellem detailrevision og test af kontroller. AI applikationer kan fokusere på aktiviteter med høj transaktions frekvens og teste samtlige afvigelser, ved at undersøge
underliggende dokumentation og rapportere væsentlige fejl.90
Ad 2 Substanshandlinger
Substanshandlinger udføres for at revisor kan opdage væsentlig fejlinformation på revisionsmålsniveau og omfatter detailtest og substansanalytiske handlinger. I en AI baserede tilgang vil detailrevisionen udføres betydeligt anderledes end den udføres i dag, hvor bilagsmaterialet kontrolleres igennem stikprøver91. Detailtest kan omfatte optælling og afstemning eller stikprøvevis bilagsrevision.
Eliminering af stikprøver
Når revisor revidere en virksomhed, er det ikke muligt for revisor at gennemgå alle transaktioner. Dette vil være alt for tidskrævende og omfangsrigt, da større virksomheder kan have op til flere millioner af transaktioner. Det vil således være fysisk umuligt for revisor at gennemgå dette i status perioden, ind til regnskabet skal aflægges, uanset om revisor har udført en del af arbejdet på løbende revision. Revisor kan enten udføre test af kontroller ved løbende revision, eller teste stikprøver i forbindelse med statusrevisionen.
Revisor fastsætter stikprøve størrelsen, enten ved brug af en statistikbaseret formel, sin faglige vurdering eller en kombination af begge. Revisor vil typisk udvælge nøgleenheder, som er stikprøver der overstiger en vis grænse, eksempelvis væsentlighedsniveauet eller en anden grænse som revisor vurdere, ved særligt risikofyldte regnskabsposter. Når revisor har fastsat sin population og udvalgt sine nøgleenheder, fastsætter revisor de specifikke stikprøver ud over nøgleenhederne, fx ved tilfældig udvælgelse. I
forbindelse med revisors vurdering af identificerede afvigelser og fejlinformation, kan revisor udvide stikprøvestørrelsen, hvilket kan være nødvendigt for at sikre, at revisor har opnået høj sikkerhed og dermed afgive en retvisende konklusion om regnskabsposten. Når revisor har fundet fejlinformation i forbindelse med stikprøvegennemgangen, kan revisor således projicere stikprøven på hele populationen, for at få et billede af fejlandelen på hvad hele populationen ville udgøre. Projektionen kan benyttes til, at
89 www.dhatim.com
90 Using Process Mining to Analyze and Improve Process Flexibility
91 Revision i praksis – Sudan, Samuelsen, Parker og Davidsen
revisor kan estimere fejl i forhold til den samlede population. Alt efter om revisor vurdere, at det er en atypisk fejl og dermed ikke repræsentativ, kan han udholde den fundne fejl eller medtage det i revisors fejlark. Sådan udvælger revisor typisk stikprøver i dag, når der er udvalgt en stikprøvebaseret revision.
Denne metode skulle opnå høj grad af sikkerhed ved simple statistiske programmer og menneskelig professionel dømmekræft foretaget af revisor.
Ved brug af kunstig intelligens, kan man i stedet for at udtage stikprøver, analysere 100% af
virksomhedens finansielle transaktioner. Spørgsmålet er således, om man i virkeligheden kan slippe begrebet stikprøver i revisionsprocessen fuldstændigt og hvordan ville dette i så fald vil fungere. Da revisorer først kom til og en lang årrække efter, foretog revisorer fuld bilagsrevision og gennemgik derfor hvert enkelt bilag i virksomheden og satte sit stempel på det92. Det er således ikke helt fremmed for revisorhistorien at udføre fuld bilagsrevision. Stikprøverne er blot en optimering og effektivisering af fuldstændig revision, ved formentlig at bibeholde samme niveau af sikkerhed i regnskabet.
Fuld bilagsrevision kan dog udføres grundigere og mere effektivt ved hjælp af AI, og skaber muligheden for at opnå et mere præcist estimat af virksomhedens samlede fejlinformation. AI kan nedbryde bjerge af data og identificere uregelmæssigheder i det massive datasæt, ved hjælp af machine learning teknologier. Dermed giver dette revisor et fuldstændigt overblik over virksomhedens transaktioner.
Dette kan ligeledes gøre revisor opmærksom på information, som han ved stikprøver ikke havde opdaget.
Dette vil betyde at revisorerne kan bruge mindre tid på den manuelle stikprøveudvælgelse, og i stedet bruge mere tid på at forholde sig til mere værdiskabende opgaver, såsom at udføre analyser på datasættet som AI har analyseret93.
Tidsmæssig placering
Det tidsmæssige aspekt for udførelsen af AI generede analyser kan baseres på revisors vurdering af, hvornår der skal indhentes udtræk. Revisor skal derfor overveje, tidspunktet hvor datasættet vurderes tilstrækkeligt og rettidigt til analyse. I interviewet med Christian Lehman, pointere han at der i højere grad vil ske synkronisering mellem kundens ERP systemer og revisors AI analyseværktøjer94. Så længe adgangen ikke kan ændre i systemet andet end at indhente udtræk, kan revisor generere dataudtræk til analyse, fra virksomhedens systemer. Heraf kan revisor selv afgøre, hvornår han vurdere, at
virksomhedens oplysninger er tilstrækkelige og rettidigt.
92 Søren Jensen, Interview – Bilag 1
93 CFO.com ‐ Artificial Intelligence Comes to Financial Statement Audits, Brennan, Baccala, Flynn, Feb. 2017
94 Christian Lehmann Nielsen, Interview ‐ (Bilag 2)