Anvender du iboende risiko eller residual risiko i planlægningen?

Denne blog er et debatindlæg og en opfordring at dele dine holdninger til, om man skal tage udgangspunkt i den iboende risiko eller residual risikoen, når man udvælger revisionsområder og fastlægger revisionsfrekvensen.

I mine mere end 25 år som intern revisor har jeg erfaret, at der er mange måder at lave revisionsplanlægning på. I dag har vi alle lært at sige, at vi udfører ”risikobaseret” revision. Men på trods af det har jeg oplevet, at der er forskel på, hvordan man udvælger revisionsområder og fastlægger revisionsfrekvenser. Nogle bygger på den iboende risiko. Andre bygger på residualrisikoen. Jeg har derfor sat mig for at undersøge, hvad der er rigtigst, hvis der er noget, som er rigtigst.

Men før jeg beskriver resultatet af min undersøgelse, vil jeg understrege, at emnet ikke har været drøftet i foreningens bestyrelse, og at dette blogindlæg udelukkende er udtryk for mine personlige erfaringer, observationer og holdninger.

IIA har udgivet dokumentet ”Developing a Risk-based Internal Audit Plan”. Dokumentet er i kategorien ”supplemental guidance – practice guide”, hvilket betyder, at dokumentet er en del af den ikke-obligatoriske del af IPPF. Det vil sige en vejledning till interne revisorer. Dokumentet siger, at den interne revisor skal vurdere både den iboende risiko og residual risikoen, men dokumentet giver ikke et klart svar på, hvilken type risiko der skal danne grundlag for udvælgelsen af revisionsopgaver eller fastlæggelsen af revisionsfrekvensen.

Hvis man i tillæg hertil ser på IIA definition af begrebet ”risiko”, bliver man til dels mere afklaret. Jævnfør IIA måles risici ved hjælp af ”impact” og ”likelihood”. Det interessante her er, at dokumentet angiver, at ”likelihood” inkluderer effektiviteten af kontrollerne og kompleksiteten af de operationelle processer. På den måde indikeres det, at risiko-baseret revision tager udgangspunkt i den residualle risiko, idet kontrollernes effektivitet påvirker vurderingen af ”likelihood”, når man måler størrelsen af risikoen.

En anden kilde til afklaring af mit spørgsmål er Revisionsbekendtgørelsen. Den kan i hvert fald give en indikation af Finanstilsynets holdning til spørgsmålet. Jævnfør Revisionsbekendtgørelsen skal intern revision omfatte alle væsentlige og risikofyldte områder i virksomheden. Revisionsbekendtgørelsen angiver eksempler på væsentlige områder og angiver, at den interne revision skal have en risikobaseret tilgang til hvilke områder i virksomheden, der skal indgå i revisionsplanen for det pågældende år. Men heller ikke Revisionsbekendtgørelsen giver et direkte svar på, hvorvidt man skal basere sig på den iboende risiko eller på residualrisikoen.

På den anden side kan man fortolke Revisionsbekendtgørelsen således, at der skal tages udgangspunkt i den iboende risiko, idet et væsentligt område som er yderst velkontrolleret, vil have en lav residualrisiko, men området skal dækkes af intern revision, idet intern revision skal omfatte alle væsentlige og risikofyldte områder. Dette understøttes også af min erfaring med Finanstilsynet, som har en forventning om, at der er visse områder i de finansielle virksomheder, som intern revision dækker hvert år.

Udgangspunktet er således, at IIA og Finanstilsynet peger på en forskellig praksis. Dette bekræftes også af, at jeg i mit virke har set forskellig praksis anvendt både i Danmark og internationalt perspektiv.

Et er hvad teorien og lovgivningen siger, men hvad giver mening?

Min personlige opfattelse er, at det giver mening af anvende den iboende risiko eller en kombination af den iboende risiko og residualrisikoen. Hvis man udelukkende anvender residualrisikoen, vil der være en risiko for at man overser svagheder i væsentlige kontroller, fordi man ikke reviderer dem med en tilstrækkelig frekvens. Det betyder også, at man ikke bør medtage kontrollerne effektivitet i vurderingen af ”likelihood”. Man kunne som sagt også anvende en kombination, hvor man for eksempel anvendte den iboende risiko til at bestemme frekvensen af revisionen, kombineret med at man anvendte residualrisikoen til udvælgelse af revisionsområder.

Generelt tænker jeg, at der ikke er en eksakt metode, som er den eneste, der kan anvendes. Skriv derfor gerne en kommentar til min blog, om hvad din virksomhed gør og eventuelt hvorfor. Skriv også gerne en kommentar om, hvilken metode du foretrækker.