www.nkrf.no » Kommunerevisoren.no » 2018 » Nr. 4

Søk

Forsidebilde:
Knut Erik Lie
(Drammen kommune flagger for NKRF på Bybrua)

NKRF
Munkedamsveien 3B
Postboks 1417 Vika
0115 Oslo

Tlf: +47 23 23 97 00

post@nkrf.no

Hopp over seksjon - Til hovedinnhold - Topp

Stikkprøver i revisjon: Detaljtesting*

Ellen M. Kulset, førsteamanuensis, Norges Handelshøyskole (NHH) og Høgskolen i Sørøst-Norge

Når vi i revisjonssammenheng benytter stikkprøver, skiller vi gjerne mellom stikkprøver som benyttes for å teste den operasjonelle effektiviteten av en internkontrollprosedyre (test av kontroll) og stikkprøver som benyttes for å teste påstander om ulike transaksjonsklasser eller balansekonti (detaljtesting).

I denne artikkelen vil vi ha fokus på sistnevnte stikkprøvetype. Med stikkprøve vil vi forstå en handling der vi anvender «revisjonshandlinger på mindre enn 100 % av enhetene i en populasjon som er relevant for revisjonen, under forutsetning av at alle enheter har en mulighet til å bli valgt ut, for å skaffe revisor et betryggende grunnlag for å kunne trekke konklusjoner om hele populasjonen” (ISA 530[1], pkt. 5a).

Ellen M. Kulset er siviløkonom NHH, statsautorisert revisor og har en PhD i Business Economics fra NHH. Hun har tidligere arbeidet som manager i KPMG og arbeider nå som førsteamanuensis ved NHH og Høgskolen i Sørøst-Norge.

Vi vil ta utgangspunkt i følgende praktiske problemstilling: La oss anta at vi skal revidere en kundes kundefordringer med fokus på eksistens. Vi ønsker å gjennomføre en stikkprøvebasert test der vi reviderer en stikkprøve bestående av et antall, n, kundefordringer, og vi ønsker å bruke resultatet fra denne testen til å si noe om alle kundefordringenes eksistens. La oss videre anta at selskapet har en kundefordringssaldo på kroner 2 500 000 per 31.12. Revisor tolererer feil på kroner
125 000[2] knyttet til kontoen og basert på tidligere erfaring anslår han at det er grunn til å forvente feil på kroner 25 000.[3] Vi vil først presentere hvordan denne revisjonsoppgaven kan løses ved hjelp av stikkprøver basert på skjønn og diskutere hvilke problemer denne metodikken gir oss. Vi vil deretter se på hvordan vi kan løse problemene ved å bruke en statistisk basert metodikk kalt penge-enhetsstikkprøve, (MUS - monetary unit sampling). Vi vil også diskutere når MUS er å foretrekke fremfor den alternative statistiske metoden; klassisk variable stikkprøve (KVS), før vi avslutningsvis kortfattet diskuterer bruken av artikkelens metoder i et fremtidsperspektiv.

Stikkprøver basert på skjønn

La oss anta at revisor ønsker å bruke en skjønnsmessig metodikk.  Revisor starter da gjerne med å sortere enhetene i populasjonen etter størrelse. Vi ønsker å kontrollere alle store kundefordringer, og med store mener vi da gjerne alle kundefordringer som er så store at vi ser for oss at de hver for seg potensielt kan inneholde feil som er større enn tolererbar feil. Resten av kundefordringene ønsker vi å sjekke ved hjelp av en stikkprøve. Hvis selskapet vi reviderer har en rekke svært små kundefordringer som samlet sett utgjør en liten andel av saldoen på kundefordringskontoen, kan vi eventuelt velge å ikke kontrollere disse og reservere den stikkprøvebaserte kontrollen til de «mellomstore» kundefordringene.

Revisor må først og fremst ta stilling til følgende: (1) hvor stor stikkprøve har han behov for (2) hvordan skal han velge ut de enheter som skal være med i stikkprøven og dermed bli utsatt for de revisjonshandlingene revisor skal utføre og (3) hvordan skal han konkludere på testen han har utført basert på funnene fra stikkprøven.

Vi kan f. eks. beregne passende stikkprøvestørrelse ved å bruke følgende formel (se Eilifsen et al. 2014, s. 312):

der vi finner konfidensfaktoren i tabell 1 under:


Tabell 1 - Konfidensfaktorer til bruk i skjønnsbaserte stikkprøver (hentet fra Eilifsen et al. (2014) s. 312)


La oss anta at vi har delt kundefordringskontoen hos selskapet vi reviderer inn i tre strata og at den består av 15 store kundefordringer (større enn 25 000), 250 mellomstore kundefordringer (i intervallet mellom 3 000 og
25 000) og 1000 små kundefordringer (mindre enn 3 000) og en saldo på kroner 2 500 000, se tabell 2 under. Vi ønsker å revidere alle de store kundefordringene og ta en stikkprøve for å revidere de små og mellomstore kundefordringene. Basert på tidligere utført arbeid kan vi sette risikoen for vesentlige feil (denne risikoen består av iboende risiko og kontrollrisiko) til moderat, og vi mener det er tilstrekkelig med et lavt konfidensnivå (jo høyere konfidensnivå vi velger, desto lavere vil revisjonsrisikoen knyttet til kontoen bli). For å finne passende stikkprøvestørrelse bruker vi formelen over og finner at 21 enheter vil være et passende antall i stikkprøven (1 750 000 / (125 000 – 25 000) * 1,2).[4] Disse 21 kan vi fordele på de to strataene i samsvar med strataenes bokførte verdi slik at vi kontrollerer 10 enheter i stratum 2 (21 * 850 / 1 750) og 11 enheter i stratum 3 (21 * 900 / 1 750). For å trekke enhetene kan vi i samsvar med ISA 530 velge mellom ulike metoder, men uansett metodevalg må enhetene i stikkprøven trekkes på en slik måte at stikkprøven kan forventes å være representativ for populasjonen (dvs. vi velger ut enheter med egenskaper som er typiske for populasjonen), se ISA 530, pkt. A12.


Tabell 2 - Eksempel


La oss anta at vi har gjennomført saldoforespørsler til de 36 (15 + 21) kundene som er plukket ut, og at vi i de tre strataene fant feilene i tabell 2 over. Disse feilene må nå projiseres[5] til populasjonen, og vi benytter gjerne en metode kalt «ratio projisering» der vi først beregner feilandelen i stikkprøven og deretter beregner hvilken feil som finnes i populasjonen ved at vi antar at feilandelen der er den samme som i stikkprøven. Dersom vi finner en feil på kroner 2 000 i en stikkprøve på kroner 425 000 gir dette en feilandel på 0,47 prosent. Dersom totalpopulasjonen er på kroner 850 000 betyr dette at vi får en beregnet (projisert) feil på kroner 4 000 (850 000 * 0,47 %). I eksempelet over får vi da en total projisert feil på kroner 6 965 (beste estimat på feil i populasjonen) som består av faktiske avdekkede feil på kroner 2 750 og beregnede feil på kroner 4 215. Men hvordan skal vi ta hensyn til at stikkprøven vi har trukket ikke nødvendigvis er representativ for populasjonen? Når vi bruker en stikkprøve basert på skjønn, har vi ingen mulighet til å kvantifisere utvalgsrisikoen,[6] og vi velger derfor å sammenligne projisert feil med forventet feil for å avgjøre om vi kan konkludere med om kontoen er uten vesentlige feil, ref. ISA 530, pkt. A22. I vårt eksempel betyr dette at vi kan konkludere med at kundefordringskontoen ikke inneholder vesentlige feil da de totale avdekkede og beregnede feilene på kontoen (6 965) er lavere enn forventede feil (25 000).

Men hvordan skal vi ta hensyn til at stikkprøven vi har trukket ikke nødvendigvis er representativ for populasjonen?

Når vi benytter skjønnsmessige stikkprøver er det særlig to forhold som er problematiske: (1) når vi avgjør hvor mange enheter vi skal kontrollere kvantifiserer vi ikke hvilket konfidensnivå vi ønsker; vi skiller altså kun mellom en eller flere kategorier av typen høy, moderat osv. uten at høy betyr et spesifikt konfidensnivå, kun at dette er høyere enn hvis vi velger moderat i en gitt stikkprøvesituasjon, og (2) vi har ingen mulighet til å kvantifisere utvalgsrisikoen. Vi vil i det følgende presentere en statistisk metode, Monetary Unit Sampling (MUS), som kan benyttes for å rette opp i disse to forholdene. Metoden er i dag lett tilgjengelig ved hjelp av revisjonsprogramvare av typen ACL, IDEA osv., og hensikten med presentasjonen under er kun å gi et lite innblikk i hvordan metoden fungerer. For de som måtte ønske en mer matematisk fremstilling av metoden, viser vi til spesiallitteraturen, f. eks. Lillestøls bok «Statistiske metoder i revisjon» (1996) kapittel I-3 og II-4.

Monetary Unit Sampling (MUS)

MUS er en metode som bygger på attributt-stikkprøveteori (dvs. samme teorigrunnlaget som vi bygger på i forbindelse med test av kontroller). Ved bruk av denne metoden ser vi på hver krone i populasjonen som en populasjonsenhet slik at vi i vårt gjennomgangseksempel har en populasjon bestående av 2 500 000 kroneenheter.[7] For å bestemme hva som er passende stikkprøvestørrelse, n, regner vi om tolererbar og forventet feil til prosent av saldoen vi skal kontrollere. Vi bestemmer oss for hvilket konfidensnivå som er passende, f. eks. 90 eller 95 prosent, og vi kan deretter finne passende stikkprøvestørrelse i det samme tabellverket som vi benyttet i forbindelse med test av kontroller. Dersom vi har tilgang til revisjonsprogramvare (f. eks. ACL eller IDEA) vil vi kunne legge inn de valgte parameterverdiene i programvaren og få regnet ut hva som er passende stikkprøvestørrelse. Med våre forutsetninger finner vi en tolererbar avvikshyppighet lik 5 prosent (125 000 / 2 500 00) og en forventet avvikshyppighet lik 1 prosent (25 000 / 2 500 000). Vi finner ønsket stikkprøvestørrelse med et konfidensnivå lik 95 prosent i tabell 3 lik 93.[8]


Tabell 3 – Stikkprøvestørrelse som en funksjon av tolererbar og forventet avvikshyppighet ved et ønsket konfidensnivå på 95 prosent (hentet fra Audit Sampling, tabell A-1)


For å bestemme hvilke 93 kroneenheter vi skal kontrollere, kan vi velge mellom ulike metoder, se f. eks. Lillestøl (1996) kapittel I-3.3 for en oversikt over metoder som er aktuelle i forbindelse med MUS. Vi starter først med å ordne populasjonen av kundefordringer f. eks. ved å sortere på kundenummer slik at vi får en liste over kundefordringene vi skal revidere som akkumulerer seg opp til 2 500 000 (dersom vi bruker et databasert revisjonsprogram gjør dette denne jobben for oss). Vi skal i det følgende velge ut enheter for kontroll ved å benytte et fast intervallutvalg med tilfeldig start. Det betyr at vi starter utvelging av enheter ved å beregne et utvalgsintervall lik populasjon / stikkprøvestørrelse, i vårt tilfelle 2 500 000 / 93 = 26 882. Dette betyr at vi skal kontrollere hver 26 882 krone i populasjonen. La oss anta at den første kundefordringen har en saldo på kroner
2 350. Neste kundefordring på listen har en saldo på kroner 15 495 mens tredje kundefordring på listen har en saldo på kroner 22 838.  For å finne hvilken kroneenhet vi skal starte med, trekker vi et tilfeldig tall mellom 1 og størrelsen på utvalgsintervallet (26 882). La oss anta at vi trekker tallet 3 977. Vi skal da kontrollere krone nummer 3 977. Kundefordring nummer en inneholder ikke denne kronen da denne bare har en saldo på kroner
2 350. Kundefordring nummer to inneholder derimot denne kronen da vi ved å akkumulere kundefordring en og to kommer til tallet 17 845. Vi skal altså revidere kundefordring nummer to (vi reviderer hele kundefordringen selv om vi trekker ut kun en enkelt krone-enhet). Deretter skal vi kontrollere hver 26 882 krone i populasjonen. Neste enhet vi skal kontrollere blir altså krone nr. 30 859 (3 977 + 26 882). Vi ser at kundefordring en + to + tre gir en akkumulert saldo på 40 683 slik at den neste kundefordringen vi skal kontrollere blir nummer tre. Vi fortsetter slik til vi har plukket ut alle de 93 kronene vi skal revidere med tilhørende kundefordringer.

La oss anta at vi finner fire kundefordringer med feil med et totalt avvik mellom bokført og faktisk verdi på kroner 23 466, se tabell 4 under, og la oss videre anta at feilene totalt er på 3 prosent av stikkprøven som er kontrollert. Hvis vi antar samme prosentvise feil i den delen av populasjonen vi ikke har kontrollert, tilsier dette at et beste estimat på feil i populasjonen vil være på 75 000 (2 500 000 * 0,03). For å ta hensyn til utvalgsrisiko ønsker vi å spesifisere en øvre grense slik at hvis testen blir gjennomført 100 ganger, vil faktisk feilbeløp på kontoen 95 av gangene være lavere enn denne øvre grensen. Vi finner denne øvre grensen i tabell 5 under ved å lese av for 4 feil ved en stikkprøve på 93 og et konfidensnivå på 95 prosent. Dette gir en øvre grense litt lavere enn 9,9 prosent og litt høyere enn 9,0 prosent. Ved å interpolere finner vi en øvre grense lik 9,6 prosent som i kroner blir på 240 000 (0,096 * 2 500 000). Ved en slik beregning har vi imidlertid implisitt antatt at alle feilførte kroner er 100 prosent feilført. Vi skal nå se på en metode der vi ikke bare tar hensyn til antall feil vi har avdekket, men også hvor mye kundefordringene som er kontrollert er feilført med når vi beregner øvre grense. Denne metoden fastsetter den øvre grensen trinnvis.

Hvis vi ikke avdekker feil i stikkprøven vi kontrollerer, finner vi øvre grense ved å multiplisere en konfidensfaktor (hentet fra tabell 6 under) med utvalgsintervallet.  Hvis vi finner feil, utgjør denne beregningen en basismargin, i vårt eksempel på 80 646 (3 * 26 882). Deretter beregner vi nødvendige tillegg til øvre grense ved å ta hensyn til antall og størrelsen på feilene vi har avdekket. Vi projiserer først de avdekkede feilene til utvalgsintervallet, se tabell 4a under, og deretter legger vi til et tillegg for utvalgsrisiko (multipliserer projisert feil med en konfidensfaktor), se tabell 4b under. Konfidensfaktorene hentes fra tabell 6 under og avhenger av hvilket konfidensnivå vi ønsker og antall feil vi har avdekket. Merk at vi sorterer feilene vi har avdekket etter hvor mye de prosentvis er feilført med før vi legger til tillegg for utvalgsrisiko.


Tabell 4a


Tabell 4b


Tabell 5 – Øvre konfidensgrense ved et ønsket konfidensnivå på 95 prosent (hentet fra Audit Sampling, tabell A-3)


Tabell 6 Konfidensfaktorer MUS (hentet fra Eilifsen et al. 2014)


Enheter som er større enn utvalgsintervallet vil ved denne metoden ikke få noe tillegg for utvalgsrisiko (de er 100 prosent-revidert).

Vi ser av tabell 4b over at vi i vårt eksempel ved denne metoden får en øvre grense lik 150 621 dersom vi har avdekket de feilene som er beskrevet over. Ettersom denne øvre grensen er høyere enn tolererbar feil betyr dette at vi ikke kan konkludere med at kundefordringskontoen er uten vesentlige feil. Revisor har nå flere valg: (1) Han kan øke stikkprøvestørrelsen (men det er neppe så aktuelt her ettersom stikkprøvestørrelsen allerede er relativt stor), (2) han kan utføre andre substanshandlinger, (3) han kan be kunden om å korrigere kontoen, (4) hvis kontoen ikke korrigeres og det ikke hentes inn ytterligere bevis, må revisor vurdere betydningen av feilen for revisjonsberetningen. I vårt eksempel er de faktisk avdekkede feilene på 23 466. Det er altså ikke tilstrekkelig at kunden kun korrigerer disse, han må også korrigere deler av de projiserte feilene for at revisor skal kunne konkludere med at kontoen er uten vesentlige feil. I denne situasjonen vil revisor være mest bekymret for risikoen for at han feilaktig aksepterer kontoen som korrekt når den ikke er det (type II-feil), ettersom dette i ytterste konsekvens vil kunne gi feil revisjonsberetning. Han vil være mindre opptatt av risikoen for feilaktig forkastning av en korrekt konto.

MUS egner seg særlig i forbindelse med revisjon av konti som kundefordringer, andre fordringer, finansielle instrumenter, lager og tilganger, f. eks. av varige driftsmidler.

MUS egner seg særlig i forbindelse med revisjon av konti som kundefordringer, andre fordringer, finansielle instrumenter, lager og tilganger, f. eks. av varige driftsmidler. MUS har en rekke fordeler sammenlignet med den alternative statistiske metoden, klassisk variabel stikkprøve (KVS): (1) Når det forventes få eller ingen feil gir MUS vanligvis den laveste stikkprøvestørrelsen, (2) når vi velger enhetene i stikkprøven som skissert over, får vi automatisk en stratifisert stikkprøve (alle enheter som er større enn utvalgsintervallet kommer med i stikkprøven) og (3) det er ikke behov for å forutsette noe om feilenes statistiske fordeling (KVS er basert på normalfordelingen) eller estimere populasjonsstandardavviket for å konstruere konfidensgrenser. KVS gir gjerne lite presise estimater i den typiske revisjonssituasjonen der vi i stikkprøvene gjerne har få men relativt store feil. Videre vil den virkelige variansen ha en tendens til å bli undervurdert dersom vi avdekker få feil med den konsekvens at projiserte feil med tilhørende konfidensgrenser ikke er reliable ved bruk av KVS. KVS vil imidlertid egne seg bedre dersom vi har null-konti (null-konti vil ikke bli trukket ut når vi bruker MUS ettersom saldoen på disse kontoene er null) eller negative konti, dersom enhetene i stikkprøven kan være feilført med mer enn 100 prosent, dersom vi forventer undervurderingsfeil og dersom en konto inneholder relativt mange feil (i denne situasjonen vil MUS gi en for stor avsetning til utvalgsrisiko). For en nærmere presentasjon av klassisk variabel stikkprøve vises også til Lillestøls bok «Statistiske metoder i revisjon».

Avslutning

Den pågående digitaliseringsprosessen som finner sted i de fleste sektorer av økonomien, har/vil få konsekvenser for hvordan vi kan/bør utføre et revisjonsoppdrag.

Den pågående digitaliseringsprosessen som finner sted i de fleste sektorer av økonomien, har/vil få konsekvenser for hvordan vi kan/bør utføre et revisjonsoppdrag. Når det gjelder arbeid knyttet til eksistens av kundefordringer, vil vi f. eks. dersom vi får tilgang til alle innbetalinger en bedrift har mottatt direkte fra en ekstern tredjepart (typisk banken), kunne avstemme disse mot bedriftens kundefordringer på et senere tidspunkt enn balansedato. Dermed vil vi med tilnærmet 100 prosent sikkerhet kunne si at disse kundefordringene eksisterte på balansedatoen. Rent generelt vil det fremover åpne seg muligheter for i større grad å benytte seg av ekstern informasjon uten at handlingene man utfører er stikkprøvebasert. Det er imidlertid grunn til å forvente at revisor også i fremtiden vil benytte seg av stikkprøver i forbindelse med detaljtesting. Dersom en bedrift f. eks. har mange kundefordringer som fremdeles er utestående på det tidspunktet man må avslutte revisjonen, kan det være aktuelt å benytte en «gammeldags» saldoforespørsel til kunder med utestående beløp. Som presentert over, er det også ved revisjon av en rekke andre poster aktuelt å benytte en stikkprøvebasert detaljtest. Sist, men ikke minst, fremtiden er også i morgen og inntil vi venter på de store endringene, er hvordan man kan/bør utføre stikkprøvebasert detaljtesting, uavhengig av hvilke revisjonsmetoder som vil dukke opp fremover, fremdeles en viktig del av revisors kunnskapsbase.


Referanser:

American Institute of Certified Public Accountants. 2014. Audit Sampling. New York: AICPA

ISA 530 Stikkprøver i revisjon

Eilifsen, Aa, W. F. Messier, S. M. Glover and D. F. Prawitt. 2014. Auditing and assurance services. Berkshire: Mc Graw Hill Education.

Lillestøl, J. 1996. Statistiske metoder i revisjon. Oslo: Cappelen.


Noter:

[*] Denne artikkelen kan gjerne leses sammen med min artikkel «Stikkprøver i revisjon: test av kontroller» som sto i Kommunerevisoren nr. 4/2017, men det er også mulig å lese den uten å kjenne til innholdet i artikkelen om test av kontroller. Artikkelen er basert på siste del av foredraget «Stikkprøver i revisjon» som forfatteren avholdt på NKRFs fagtreff for regnskapsrevisorer 16. november 2017. Enkelte endringer er innarbeidet slik at fremstillingen passer bedre til artikkelformatet. Artikkelen bygger ellers særlig på kapittel 9 i boken «Auditing & Assurance Services» av Eilifsen et al. (2014). Lesere som ønsker ytterligere innsikt i problemstillingene som behandles i artikkelen vises til Eilifsen et al. (2014), ev. til spesiallitteraturen, f. eks. Lillestøls bok «Statistiske metoder i revisjon» (1996).

[1] ISA 530 Stikkprøver i revisjon

[2] Tolererbar feil settes lik eller lavere enn revisors arbeidsvesentlighetsgrense og vil dermed avhenge av de samme faktorene som totalvesentlighetsgrensen.

[3] Revisor anslår forventede feil ved å ta utgangspunkt i faktorer som den vurderingen han har gjort knyttet til kontoens iboende risiko, andre revisjonshandlinger han har utført og/eller feil avdekket i tidligere år.

[4] I vårt eksempel ser vi at formelen foreslår en stikkprøvestørrelse i intervallet 18 til 53 avhengig av ønsket konfidensnivå.

[5] Avdekkede feil skal i utgangspunktet projiseres, jf. ISA 530 pkt. 14. Feil som er funnet å være enkeltstående, kan utelates ved projisering, jf. pkt. A19.

[6] Utvalgsrisiko defineres i ISA 530 pkt. 5c som «Risikoen for at den konklusjonen revisor trekker på grunnlag av et utvalg, kan være forskjellig fra den konklusjonen revisor ville ha trukket dersom hele populasjonen var gjenstand for den samme revisjonshandlingen».

[7] Eksempelet som presenteres for å demonstrere bruken av MUS er hentet fra læreboken «Auditing & Assurance Services» med noen små tilpasninger.

[8] Dersom vi isteden hadde benyttet formel (1) over ser vi at dette hadde gitt oss en stikkprøvestørrelse i intervallet 25-75. Formelen i dette tilfellet implisitt et konfidensnivå som er lavere enn 90 prosent. Merk at dette er greit kun dersom det er dette lavere konfidensnivået vi ønsker oss, ref. 530, A11.


Kommunerevisoren nr. 4/2018 - 73. årg.

Til toppen av siden

Topp