Anvender du iboende risiko eller residual risiko i planlægningen?
Denne blog er et debatindlæg og en opfordring at dele dine holdninger til, om man skal tage udgangspunkt i den iboende risiko eller residual risikoen, når man udvælger revisionsområder og fastlægger revisionsfrekvensen.I mine mere end 25 år som intern revisor har jeg erfaret, at
der er mange måder at lave revisionsplanlægning på. I dag har vi alle lært at
sige, at vi udfører ”risikobaseret” revision. Men på trods af det har jeg
oplevet, at der er forskel på, hvordan man udvælger revisionsområder og
fastlægger revisionsfrekvenser. Nogle bygger på den iboende risiko. Andre
bygger på residualrisikoen. Jeg har derfor sat mig for at undersøge, hvad der
er rigtigst, hvis der er noget, som er rigtigst.
Men før jeg beskriver resultatet af min undersøgelse, vil
jeg understrege, at emnet ikke har været drøftet i foreningens bestyrelse, og
at dette blogindlæg udelukkende er udtryk for mine personlige erfaringer,
observationer og holdninger.
IIA har udgivet dokumentet ”Developing a Risk-based Internal
Audit Plan”. Dokumentet er i kategorien ”supplemental guidance – practice
guide”, hvilket betyder, at dokumentet er en del af den ikke-obligatoriske del
af IPPF. Det vil sige en vejledning till interne revisorer. Dokumentet siger,
at den interne revisor skal vurdere både den iboende risiko og residual
risikoen, men dokumentet giver ikke et klart svar på, hvilken type risiko der
skal danne grundlag for udvælgelsen af revisionsopgaver eller fastlæggelsen af
revisionsfrekvensen.
Hvis man i tillæg hertil ser på IIA definition af begrebet
”risiko”, bliver man til dels mere afklaret. Jævnfør IIA måles risici ved hjælp
af ”impact” og ”likelihood”. Det interessante her er, at dokumentet angiver, at
”likelihood” inkluderer effektiviteten af kontrollerne og kompleksiteten af de
operationelle processer. På den måde indikeres det, at risiko-baseret revision
tager udgangspunkt i den residualle risiko, idet kontrollernes effektivitet
påvirker vurderingen af ”likelihood”, når man måler størrelsen af risikoen.
En anden kilde til afklaring af mit spørgsmål er
Revisionsbekendtgørelsen. Den kan i hvert fald give en indikation af
Finanstilsynets holdning til spørgsmålet. Jævnfør Revisionsbekendtgørelsen skal
intern revision omfatte alle væsentlige og risikofyldte områder i virksomheden.
Revisionsbekendtgørelsen angiver eksempler på væsentlige områder og angiver, at
den interne revision skal have en risikobaseret tilgang til hvilke områder i
virksomheden, der skal indgå i revisionsplanen for det pågældende år. Men
heller ikke Revisionsbekendtgørelsen giver et direkte svar på, hvorvidt man
skal basere sig på den iboende risiko eller på residualrisikoen.
På den anden side kan man fortolke Revisionsbekendtgørelsen
således, at der skal tages udgangspunkt i den iboende risiko, idet et
væsentligt område som er yderst velkontrolleret, vil have en lav
residualrisiko, men området skal dækkes af intern revision, idet intern
revision skal omfatte alle væsentlige og risikofyldte områder. Dette
understøttes også af min erfaring med Finanstilsynet, som har en forventning
om, at der er visse områder i de finansielle virksomheder, som intern revision
dækker hvert år.
Udgangspunktet er således, at IIA og Finanstilsynet peger på
en forskellig praksis. Dette bekræftes også af, at jeg i mit virke har set
forskellig praksis anvendt både i Danmark og internationalt perspektiv.
Et er hvad teorien og lovgivningen siger, men hvad giver
mening?
Min personlige opfattelse er, at det giver mening af anvende
den iboende risiko eller en kombination af den iboende risiko og
residualrisikoen. Hvis man udelukkende anvender residualrisikoen, vil der være
en risiko for at man overser svagheder i væsentlige kontroller, fordi man ikke
reviderer dem med en tilstrækkelig frekvens. Det betyder også, at man ikke bør
medtage kontrollerne effektivitet i vurderingen af ”likelihood”. Man kunne som
sagt også anvende en kombination, hvor man for eksempel anvendte den iboende
risiko til at bestemme frekvensen af revisionen, kombineret med at man anvendte
residualrisikoen til udvælgelse af revisionsområder.
Generelt tænker jeg, at der ikke er en eksakt metode, som er den eneste, der kan anvendes. Skriv derfor gerne en kommentar til min blog, om hvad din virksomhed gør og eventuelt hvorfor. Skriv også gerne en kommentar om, hvilken metode du foretrækker.
Kommentarer
Du skal være logget på som medlem for at kunne se kommentarer.