Automatiserte verktøy og teknologiske løsninger i revisjon
Denne artikkelen omhandler ATT (Automated Tools and Techniques) i revisjon, med særlig fokus på hvordan disse verktøyene påvirker revisjonsrisiko, kontrollmetoder og krav til dokumentasjon. Videre diskuteres hvordan ATT kan bidra til å effektivisere revisjonsprosesser samtidig som revisjonsrisikoen holdes på et akseptabelt nivå.
Partner, Revisorgruppen Fjordane AS
Innledning
I en tid der digitalisering og automatisering preger næringslivet, kreves det at revisors arbeidsmetoder holder tritt med denne utviklingen. Automatiserte verktøy og teknologiske løsninger har blitt en sentral del av revisjonsprosessen, spesielt med hensyn til de internasjonale revisjonsstandardene (ISA). Bruken av slike verktøy har potensial til å forbedre revisors risikovurderinger, oppdagelse av feil og dokumentasjon av revisjonshandlinger.
IAASB (The International Auditing and Assurance Standards Board) har gitt ut en anbefaling for bruk av automatiserte verktøy og teknikker som dokumentasjon av handlinger i revisjonsoppdrag, forkortet ATT.
ATT og revisjonsmetodikk
Tradisjonell revisjon vs. revisjon med ATT
Revisjonshandlinger kan utføres på to måter:
Tradisjonell metodikk, hvor revisor manuelt gjennomgår og analyserer regnskapsdata.
Bruk av ATT, hvor automatiserte verktøy støtter revisjonen i kombinasjon med tradisjonelle metoder.
Samfunnets økende digitalisering har gjort det nødvendig for revisorer å ta i bruk ATT for å håndtere stadig mer komplekse økonomisystemer og revisjonsklientenes utstrakte bruk av kunstig intelligens (KI) i sin virksomhet. Bruken av ATT kan avdekke mønstre og risikoer på en langt mer effektiv måte enn det blotte revisorøyet kan fange.
Revisjonsrisiko og ATT
Risikovurdering er en grunnpilar i revisjon, og ATT påvirker hvordan risiko analyseres og håndteres.
Tre hovedtyper av revisjonsrisiko:
Iboende risiko – Risikoen for feil i regnskapet som følge av virksomhetens egenart.
Kontrollrisiko – Risikoen for at virksomhetens interne kontroller ikke oppdager eller korrigerer feil.
Oppdagelsesrisiko – Risikoen for at revisor ikke avdekker vesentlige feil.
Bruken av ATT bidrar til en mer omfattende risikovurdering, da teknologi kan analysere store datamengder raskt og effektivt. ATT reduserer oppdagelsesrisikoen ved å gi revisorer bedre verktøy for å identifisere uregelmessigheter.
Tradisjonell revisjon må legge til grunn en høyere risiko og kontrollomfang knyttet til regnskapspåstandene for å ha tilstrekkelig sikkerhet for at andelen uoppdagede feil ikke er vesentlig. Dette risikogapet lukkes i stor utstrekning ved bruk av ATT-verktøy som da forutsettes å ha egenskap av å kunne finne og presentere tilnærmet alle potensielle feil.
En KI-basert bakgrunnssjekk av ledelsen og selskap som er sentrale kunder og leverandører, vil kunne bidra til reduksjon av iboende risiko eller utlede påstander som bør undersøkes nærmere. Hvis man beveger seg inn på området for bærekraftsrapportering, kan KI levere detaljert analyseresultat som et sentralt kontrollelement.
Kontrollrisiko kan reduseres med å gjennomføre en rutinetest maskinelt ved å måle utførte sporbare kontrollhandlinger imot de målene revisor setter seg for akseptable avvik for å konkludere med tilstrekkelig sikkerhet.
ATT kan gjøre revisjonen mindre avhengig av virksomhetens interne kontrollaktiviteter, og revisor kan avdekke feil langt mer effektivt. Virksomhetenes bruk av verktøy basert på KI kan øke oppdagelsesrisikoen betraktelig ved lite transparente og verifiserte datasystem som brukes hos revisjonsklientene. Det er blitt enklere å produsere manipulerte data og informasjon, noe som påvirker bevisverdien negativt på revisjonsbevis hentet fra interne kilder i motsetning til eksterne kilder.
Eksempler på ATT i revisjon
Bruken av ATT omfatter flere teknologier og metoder, inkludert:
Regneark og dataanalyse
Avanserte pivotmodeller og filtreringsverktøy hjelper revisorer med å analysere store datamengder.
Feilaktig eller mangelfull kompetanse innen bruk av slike verktøy kan imidlertid øke oppdagelsesrisikoen.
KI
KI kan analysere tidligere kontrollresultater og identifisere mønstre som kan indikere misligheter eller feil.
Bruken av KI i revisjon reiser også spørsmål om personvern og konfidensialitet. Det er brudd på taushetsplikten å laste opp dokument med taushetsbelagt informasjon til en åpen KI språkmodell for å tolke eller produsere nummerert kommunikasjon, beretning eller innhold i epost. Det samme vil gjelde hvis man benytter funksjoner som Transkripsjon der assistenten tolker hva som blir sagt i et møterom for å generere referat eller protokoll. Denne teksten er ikke anonymisert nok til at det kan sendes til en server der data blir brukt til maskinlæringsformål, uavhengig av om serveren ligger i Norge eller Finland. Flere tilbydere promoterer servere i Norden som GDPR kompatible. Konfidensialitet reguleres av et helt annet regelverk enn GDPR. Konfidensiell informasjon som trenes opp til bruk som AI assistent, deler spesifikk informasjon til andre brukere. Her må man også spesielt være observant på feiltolkninger som kan genereres ved bruk av nykommere på markedet. Det er helt sentralt og et viktig sikkerhetstiltak at all informasjon som sendes til en AI assistent er anonymisert.
Droner og KI-aktivert bildeanalyse
Bruk av droner til varetellinger kan gi en mer nøyaktig oversikt over beholdninger enn manuelle metoder. Pr i dag krever ISA 501 Revisjonsbevis – særlige hensyn knyttet til utvalgte poster revisors fysiske tilstedeværelse for kontroll av varelager.
KI-aktivert bildeanalyse kan automatisere kontroll av lagerbeholdning.
Dokumentasjonskrav for ATT i revisjon
Bruken av ATT i revisjonsprosesser må dokumenteres grundig for å oppfylle kravene i ISA og ISQM-standardene.
Dette inkluderer:
Beskrivelse av ATT-verktøyene – Hva slags data blir analysert, og hvordan?
Validitet og pålitelighet – Hvilke metoder brukes for å sikre at data er korrekte?
Bruk av tredjeparter – Hvis eksterne leverandører brukes, må det dokumenteres hvordan dataene håndteres. Her er problemstillinger rundt konfidensialitet sentralt.
Eksempel på dokumentasjon i henhold til ISA 230 Revisjonsdokumentasjon og ISA 501 Revisjonsbevis – særlige hensyn knyttet til utvalgte poster
Ved bruk av ATT i varetellinger må revisor dokumentere hvordan AI og droneteknologi er anvendt.
Revisors vurderinger og analyser må underbygges med relevant dokumentasjon.
ATT og revisjon av mindre komplekse enheter (MKE)
Den nye standarden for revisjon av mindre komplekse enheter legger vekt på ATT som en anbefalt metode for å håndtere risikoer effektivt.
ATT kan hjelpe med:
Identifisering av uvanlige transaksjoner.
Automatisert kontroll av regnskapsdata.
Raskere og mer presis revisjonsprosess.
Eksempler på revisjons-handlinger ved bruk av ATT
For små og mellomstore revisjonsfirmaer (SMB-revisorer) kan ATT gi store fordeler, men mange vegrer seg for å ta i bruk slike verktøy på grunn av kostnader, kompleksitet eller kompetanse.
Nedenfor beskrives konkrete eksempler på hvordan revisorer enkelt kan implementere ATT i revisjonsarbeidet, uten store investeringer.
1. Effektiv dataanalyse med regneark og enkle skript
Problem: Mange revisorer, ikke bare SMB-revisorer, bruker fortsatt manuelle stikkprøver og visuell gjennomgang av transaksjoner, noe som er tidkrevende og kan overse viktige avvik.
ATT-løsning:
Bruke avanserte funksjoner i Excel eller Google Sheets, som Power Query og Pivot-tabeller, for å filtrere ut mistenkelige transaksjoner.
Enkle Python- eller r-skript kan brukes til å kjøre automatiske analyser, f.eks. for å sjekke Benfords lov på en populasjon av transaksjoner for å oppdage avvikende mønstre.
Konkret eksempel:En revisor kan bruke Excel Power Query til å trekke ut alle leverandørbetalinger i en periode og sortere transaksjoner med:
Manglende mva.-koder
Duplikater av fakturanummer
Transaksjoner på helger eller utenfor normal arbeidstid
Dette kan gjøres med enkle filtre og krever ingen dybdekunnskap i programmering.
Flere KI språkmoduler har også kodegenerator som lager programmeringskoder etter din funksjonsbeskrivelse. Med små justeringer av den genererte koden kjørt i Power Automate autoriserer du deg for tilgang på Altinn og sjekker status på alle aktørene dine for et gitt Altinn-skjema og ev. laster ned vedleggene som ligger i innboksen på det skjemaet på alle aktørene samtidig.
2. Automatisert banktransaksjonsanalyse og kassakontroller
Problem: Bankavstemming og kassakontroller er ofte tidkrevende og utføres manuelt, noe som øker risikoen for feil og manglende oppdagelse av avvik.
ATT-løsning:
Bruke RPA (Robotic Process Automation)-verktøy som UiPath eller Power Automate for å hente ut banktransaksjoner automatisk.
Kobling av regnskapsdata med bankkontoutdrag i Excel eller Power BI for rask avstemming.
Konkret eksempel:En revisor kan sette opp et Power BI Dashboard som automatisk henter data fra en bedrifts bankkonto og regnskapssystem, og sammenligner transaksjoner daglig.
Eventuelle avvik, som transaksjoner som mangler motpost i regnskapet, kan flagges automatisk.
Revisor sparer timer med manuelt arbeid hver måned og kan heller fokusere på å tolke avvikene.
3. Bruk av ATT for risikovurdering og avviksmønsteranalyse
Problem: Revisjonsrisiko er ofte vanskelig å vurdere i SMB-bedrifter med mangelfulle / svake interne kontroller.
ATT-løsning:
Bruk av KI-verktøy eller dataanalyse for å oppdage avvik i regnskapstall over tid.
Trendanalyse for å identifisere uvanlige mønstre i kontantstrømmer eller kostnader.
Konkret eksempel:
En revisor kan bruke gratis eller rimelige verktøy som Google Looker Studio eller Tableau Public for å visualisere utviklingen av inntekter og kostnader.
Hvis f.eks. driftskostnader plutselig øker med 30 % i et kvartal uten noen åpenbar forklaring, kan ATT bidra til å flagge dette tidlig.
4. Digital varetelling med ATT (KI og droner)
Problem: Observasjon av varelager kan være utfordrende, spesielt i bransjer med store lagre eller verdifulle varer plassert på vanskelig tilgjengelige steder.
ATT-løsning som kan være kontrollhandlinger som støtter fysisk observasjon:
Bruk av KI-drevet bildeanalyse for å telle varer raskt ved hjelp av droner eller kameraer.
Bruk av RFID-teknologi for å spore varer automatisk uten manuell inntasting. RFID er et digitalt gjenkjenningssystem som arbeider mot visuelle kilder og kommuniserer trådløst mellom datasystemer.
Konkret eksempel:
En SMB-bedrift som driver med lagerhold, kan bruke en rimelig drone med kamera for å scanne hyller og telle varer.
Bildene analyseres med KI-verktøy som Google Vision eller Amazon Rekognition, som kan telle esker og matche med registrerte beholdningstall.
Revisor kan enkelt validere tellingen i sanntid via et nettbrett.
Dette reduserer risikoen for feil og gjør at revisjonen kan gjennomføres langt raskere enn ved tradisjonell varetelling.
5. Automatisert kontroll av organisasjonsnumre og leverandørrisiko
Problem: Mange SMB-bedrifter handler med små leverandører som ikke alltid er registrert riktig, eller som kan ha økonomiske problemer.
ATT-løsning:
Bruk av API-er fra Brønnøysundregistrene til å sjekke leverandørens status automatisk.
Kryssjekking av leverandører mot svartelister og sanksjonsregistre med automatiserte verktøy.
Konkret eksempel:
En revisor kan bruke et enkelt Python-skript eller en Power Automate-løsning til å hente inn leverandørers status fra offentlige registre.
Hvis en leverandør er slått konkurs eller har høy risiko, flagges dette automatisk i revisjonsfilen.
Dette kan spare revisor for mye tid sammenlignet med manuelle søk.
Hvordan revisorer kan komme i gang med ATT
Selv om ATT kan virke avansert, er det enkelt for revisorer å komme i gang ved å følge disse stegene:
1. Start med gratis eller billige verktøy
Excel Power Query og Pivot-tabeller
Google Looker Studio for dataanalyse
Python/R for enkle skript
UiPath eller Power Automate for RPA
2. Ta i bruk standardiserte system
Bruk ferdige ATT-system for risikovurdering og substanshandlinger.
Automatiser gjentagende prosesser som banktransaksjonskontroller og fakturakontroller.
3. Bygg kompetanse i revisjonsteamet
Korte onlinekurs i Power BI, Python eller dataanalyse kan gi stor gevinst.
Involver teamet i pilotprosjekter for å teste ut ATT-verktøy før full implementering.
4. Prioriter ATT som gir mest verdi for tidsbruk
Fokuser på ATT-løsninger som sparer mest tid på revisjonsarbeidet, f.eks. automatisert dataanalyse eller bankavstemming.
Unngå overkompliserte løsninger – små forbedringer kan gi store tidsbesparelser
Konklusjon
Integrering av automatiserte verktøy og teknologiske løsninger i revisjon kan gi betydelige fordeler, men krever også at revisorer tilpasser seg nye arbeidsmetoder og forstår hvordan systemene virker.
Bruken av ATT kan:
Redusere revisjonsrisiko
Forbedre tilliten til revisjonsbransjen generelt
Forbedre kvaliteten på revisjonsarbeidet og dermed tilliten til de revisorene som bruker ATT
Effektivisere revisjonsprosessen
Samtidig må revisorer være bevisste på utfordringer knyttet til ATT, inkludert krav til dokumentasjon, datasikkerhet og kompetanse innen teknologi. For å opprettholde revisjonskvalitet i en digital verden må revisjonsforetak kontinuerlig oppdatere sin metodikk og teknologiske kunnskap.
Denne nye verdenen appellerer i høy grad til yngre, kommende krefter i revisjonsbransjen. Oppgaver som tradisjonelt er blitt oppfattet som manuelle, repeterende og monotone blir overtatt av teknologiske hjelpemidler. Da står revisor igjen med en viktig oppgave å utføre vurderinger av analyseresultat og kommunikasjon med kunde med fokus på virksomhetsforståelse og kundeservice. Så det er en god trøst for eksisterende og kommende utøvere opp i all denne teknologiske utviklingen at revisorskjønnet aldri kan erstattes med kunstig intelligens.
Utviklingen av teknologiske verktøy i revisjon er utvilsomt av stor verdi både for revisjonsbransjens rekrutteringsprosesser og for å øke presisjon i rapporteringen og dermed redusere virksomhetsrisikoen for revisor og revisjonsklientene.
Referanser:
International Auditing and Assurance Standards Board (IAASB)
International Standards on Auditing (ISA)
ISQM-standarder for kvalitetsstyring i revisjonsforetak
