Riskbedömningen utgör en viktig del av revisorns arbete. Detta är ett odiskutabelt faktum. Någonting som däremot kan diskuteras är i vilken utsträckning man måste använda olika riskbegrepp för att kunna göra en meningsfull riskbedömning.

I RS 400 om riskbedömning och intern kontroll stipuleras hur revisorn ska gå till väga för att fastställa revisionsrisken och utforma granskningsåtgärder för att minimera densamma.

Inom företagsekonomi finns en förkärlek för att skapa modeller; gärna där man får rita kurvor av typ tillgång/efterfrågan eller pris/elasticitet. Modeller behövs i de fall de kan vara en hjälp för att förklara och förenkla en komplicerad verklighet. Detta är själva grundidén med en modell. Om modellerna istället försvårar tillvaron för användarna fyller de ingen som helst funktion. Det skapar istället en onödig teoretisk nivå, som möjligen kan ha som funktion att den medför en viss intellektuell tillfredsställelse hos användaren när han eller hon förstår hur modellen hänger ihop.

RS 400 talar som bekant om totalt fyra olika risker, inneboende risk, kontrollrisk, upptäcktsrisk och revisionsrisk som revisorn har att beakta i sin riskbedömning. Min fråga är: Behövs detta verkligen?

Inneboende risk, dvs. benägenheten hos en post att innehålla felaktiga uppgifter som skulle kunna vara väsentliga är lätt att förstå. Likaså är begreppen kontrollrisk, dvs. risken för att en felaktig uppgift inte rättas till inom företagets kontroll, samt revisionsrisk, risk att revisorn gör ett felaktigt uttalande, enkla att förstå sig på. Dessa är en slags verkliga risker som man har att förhålla sig till. Att revisionsrisken är den som man i slutändan ska minska till en godtagbar nivå är ju också själva poängen med hela riskbedömningen; alltså ett viktigt delmål för hela revisionen.

Men sedan kommer upptäcktsrisken. Min personliga uppfattning är att detta riskbegrepp måste ha uppstått ur någon modellsnickares önskan att skapa ett omvänt samband. Ni vet; det finns ett omvänt samband mellan inneboende och kontrollrisk å ena sidan och upptäcktsrisk å andra sidan. Om detta står att läsa i punkt 43 i ovannämnda RS. Då finns även möjlighet att rita ett diagram med två linjer som korsar varandra i sann företagsekonomiteoretisk anda. Eller som i bilagan till RS 400 möjlighet att i tabellform åskådliggöra hur den godtagbara nivån på upptäcktsrisken kan variera. Ett försök att på matematiskt vis åskådliggöra sambandet mellan de olika riskerna finns till och med. Detta finns återgivet i FAR:s ”Revision – en praktisk beskrivning” enligt följande:

RR = IR*KR*UR

I vilken mån denna formel får någon praktisk betydelse för revisorn i allmänhet vet jag inte, för mig personligen känns det helt opraktiskt att med formler försöka åskådliggöra något som är lättare att begripa utan modell.

Åter till upptäcktsrisken: Det är alltid förenat med pedagogiska svårigheter att förklara begreppet upptäcktsrisk. Varför? Helt enkelt därför att det finns ett lingvistiskt problem inbyggt i begreppet. Det är språkteoretiskt sett en felkonstruktion enligt min uppfattning. ”Upptäckt” är något vi förknippar med något positivt; upptäcka är någonting vi vill göra, medan ”risk” förknippas med något negativt. Vad händer? Jo; det uppstår en så kallad semantisk krock i våra hjärnor. ”Upptäcktsrisken” är som bekant risken att revisorn inte upptäcker en felaktig uppgift. Det är alltså egentligen en slags ”Att-missa-risk” som avses; man kan även som motsats tänka sig begreppet ”upptäcktschans”. Båda dessa termer känns betydligt enklare att förklara för sig själv. Prova själv: ”Inneboende risk och kontrollrisk är höga, då måste jag reducera risken att missa fel genom att utöka min granskning så att revisionsrisken blir godtagbar.” Alternativt ”Inneboende risk och kontrollrisk är höga, mina upptäcktschanser måste därför ökas genom ökade revisionsåtgärder så att revisionsrisken minskas”. Detta känns logiskt.

Efter att ha funderat över detta kan man gå ett steg längre och fråga sig; behövs begreppet upptäcktsrisk över huvud taget? Mitt svar på denna fråga är: Nej. För vad är det man egentligen gör då man exempelvis ”godtar en högre upptäcktsrisk” ? Jo, man granskar mindre. Och vad innebär det att ”reducera upptäcktsrisken” ? Just det; man granskar mer. Kanske behövs det bara att man utifrån inneboende risk och kontrollrisk bedömer vilken omfattning av granskning som behövs? Men så enkelt bör det kanske inte vara? Då skulle man ju inte ens behöva en bilaga till RS 400 längre, eller så skulle den se ut så här:

Revisorns bedömning av inneboende risk:

Revisorns bedömning av kontrollrisk:

Hög

Medium

Låg

Hög

Störst

Mindre

Medel

Medium

Mindre

Medel

Större

Låg

Medel

Större

Minst

De inramade områdena anger hur omfattningen av granskningen bör vara, relativt sett, för att revisionsrisken ska hamna på en godtagbar nivå.

Från mitt perspektiv, mitt i revisorsutbildningen, skulle det i alla fall märkbart öka logiken och förståelsen för riskbegreppen.

Sara Deutschmann är blivande godkänd revisor på Revidacta Revision AB.