Konsekvenser

Ser inte risker

Enligt Han et al. (2016) introducerar IT risker för både revisorerna och deras kunder, vilket skapar utmaningar för revisorerna vid deras granskning. En av konsekvenserna som främst togs upp av IT-experterna gällande revisorernas låga IT-kompetens, var att de inte alltid såg IT-relaterade risker. Expert A menade att ”… har man inte en IT-

kunskap så ser man aldrig risken”. Många experter menade att revisorerna skulle se fler

risker om de hade en högre IT-kompetens, eftersom den låga kompetensen idag gör att revisorerna inte har förståelse för alla risker kopplade till IT. Enligt ISA 315 måste revisorerna skaffa sig förståelse för hur kunderna har hanterat IT-relaterade risker (ISA 315, p. 21), vilket det enligt experterna verkar som att revisorerna inte alltid gör, just av anledningen att de inte kan eller förstår dessa risker. Under intervjuerna var detta inte något som sågs som ett stort problem hos revisorerna, men desto mer hos experterna. Revisorerna var överens om att man tar in en IT-expert för att minska risken att skriva under en oren revisionsberättelse, men just IT-relaterade risker var mer i fokus under intervjuerna med IT-experterna än med revisorerna. Enligt IT-experterna tycks förklaringen vara att revisorerna inte ser alla IT-relaterade risker. Istället ansåg revisorerna att revisionsrisken minskar mycket på grund av att IT-utvecklingen gjort att hela populationer kan testas, istället för att endast ta stickprov, vilket IT-experterna inte motsätter sig. Både IT-experterna och revisorerna var överens om att användandet av IT-experter i revisionen minskar risken, eftersom det många gånger inte hade varit möjligt att genomföra vissa revisioner utan en IT-expert. Skillnaden bland deras svar var dock att IT-experterna hela tiden poängterade de IT-relaterade riskerna som till exempel behörigheter, medan fokus hos de flesta revisorerna låg på att man kan minska risken på grund av att själva granskningen underlättas. IT-experterna trodde således att

66

revisorerna genom mer IT-kompetens hade sett fler IT-relaterade risker och också förstått hur viktigt det är att kontrollera dessa risker.

Revisorerna såg heller ingen risk i användandet av en expert, vilket inte överensstämmer med tidigare forskning (Carrington, 2014; Murphy & Yetmar, 1996; Pentland, 1993; Smith-Lacroix et al., 2012). Enligt Porter et al. (2008) är det viktigt att revisorn känner tillit till experten och väljer experter utifrån det, vilket tycks vara förklaringen till varför ingen revisor såg en risk i att använda sig av en IT-expert. Armstrong (1991) menar att komfort produceras och utbyts på tre nivåer: i revisionsteamet, inom revisionsbyrån och mellan byrån och allmänheten. Samtliga revisorer som intervjuades hade en IT-expert på plats på kontoret, vilket tycks vara anledningen till att de inte såg någon risk i att använda sig av dessa personer. Tilliten till IT-experterna och deras kompetens var således hög hos alla revisorer, så fastän revisorn fortfarande bär risken (ISA 620, p. 3) ansåg ingen revisor att de såg en risk i att använda sig av en IT-expert. IT-experterna menade å andra sidan att även detta berodde på revisorernas brist på kompetens, det vill säga att de inte hade tillräckligt med IT- kompetens för att ifrågasätta eller se risker med IT-experternas bedömningar.

Känner sig ”för” komfortabla

Kopplat till risk och revisorns tillit till experten, leder detta in på revisorns komfort. Alla revisorer var överens om att användandet av IT-experter i revisionen leder till en ökad komfort, vilket överensstämmer med Pentland (1993) som i sin studie menar att revisorns komfort kan påverkas positivt av användandet av IT-experter, eftersom de har lättare för att identifiera fel i revisionen som är kopplade till deras expertis. Smith- Lacroix et al. (2012) menar dock att IT-experten kan komma att ses som ett orosmoment och därmed påverka revisorns komfort negativt, dock verkade inte revisorerna hålla med om detta. Anledningen till att revisorn upplever en hög komfort med IT-expertens bedömningar och inte ser användandet som något orosmoment, tycktes dock bero på den låga IT-kompetensen hos revisorerna, enligt några av experterna. Expert B uttryckte till exempel att revisorerna skulle kunna ställa sig mer kritiska till IT-experternas bedömningar och ifrågasätta mer om de hade en högre IT- kompetens, vilket skulle kunna göra att komforten antingen ökar eller minskar. Högre

67

IT-kompetens hade således både kunnat göra att revisorn känner en högre komfort eftersom revisorn då kan göra bedömningen om expertens bedömningar ser korrekta ut, samtidigt som komforten även skulle minska eftersom revisorn skulle bli mer kritisk. Vissa experter upplevde att revisorerna kanske är aningen för komfortabla i nuläget med deras bedömningar, inte för att revisorerna inte bör lita på deras bedömningar, utan snarare att revisorerna saknar kunskap till att kunna utvärdera IT-experternas kompetens och bedömningar.

Pentland (1993), Humphrey och Moizer (1990) skriver om magkänslans betydelse i revisionen och att det är något som styr huruvida en revisor känner sig komfortabel eller inte. Kopplat till revisorernas tillit till experterna och deras magkänsla, tycks detta vara anledningen till att de känner sig så komfortabla som de gör med experternas bedömningar. Många revisorer uttryckte vikten av personkännedom och att detta var något som gjorde att de kände sig komfortabla med IT-experternas bedömningar, vilket även IT-experterna höll med om. Att revisorerna känner sig så pass komfortabla med IT-experternas bedömningar är kanske inte är ett problem i sig, men många av revisorerna uttryckte att de hade känt sig mer komfortabla om de hade haft en högre IT- kompetens. I dagsläget verkar revisorerna både sakna kompetens till att kunna ifrågasätta IT-experternas bedömningar och i många fall även förstå dem, enligt IT- experterna. Eftersom komfort handlar om att avlägsna orosmoment och uppnå ett komfortabelt tillstånd (Carrington, 2014), kan det därmed vara problematiskt att revisorn inte alltid förstår de orosmoment som finns kopplade till IT.

Att ha en revisionsmedarbetare med IT-kompetens i teamet var något som diskuterades under några av intervjuerna. De respondenter som hade någon i teamet som var duktig på IT uttryckte att de kände sig mer komfortabla med användningen av dessa personer än med andra personer på kontoret. Att komforten var högre inom teamet överensstämmer med Pentland (1993) som menar att komfort kan ses som en handelsvara som rör sig inom revisionsteamet för att tillslut nå den påskrivande revisorn. Användningen av en IT-expert kan därmed ses som att man rör sig utanför revisionsteamet och att komforten då inte blir lika hög. Att fler yngre medarbetare skulle få en högre utbildning inom IT var således något som önskades av både revisorerna och IT-experterna, för att kunna nå en högre komfort.

68

En konsekvens av revisorernas brist på IT-kompetens kan således vara att de känner sig ”för” komfortabla med IT-experternas bedömningar, eftersom de varken har kompetensen till att utvärdera IT-experternas kompetens eller bedömningar. Att revisorerna i sig känner en hög komfort gällande användandet av IT-experter ansågs vara något positivt enligt många av revisorerna, dock var inte alla IT-experterna överens. Några experter upplevde att revisorerna köper det mesta rakt av, vilket kan ses som problematiskt eftersom det är revisorn som bär risken (ISA 620, p. 3).

Dåliga beställare

Något som diskuterades under många av intervjuerna var att IT-experterna ansåg att revisorerna var dåliga beställare av deras tjänster, vilket även det är en följd av låg IT- kompetens. Expert A menade att ”… kom och gör lite IT”, var ett vanligt sätt att uttrycka sig bland revisorerna när de ville ha hans hjälp. Många IT-experter menade således att revisorerna inte alltid vet vad de vill ha hjälp med eller vad som behövs göras. IT-experterna får därför ibland styra revisorerna, när det istället borde vara revisorerna som ska styra IT-experterna. Revisor E uttryckte vikten av att kunna styra IT-experten för att få fram revisionsbevis som stödjer granskningen, men enligt IT- experterna verkar inte kompetensen finnas hos alla revisorer till att göra detta. Eftersom revisionens genomförande i grund och botten bygger på revisorernas professionella och subjektiva bedömningar (Öhman, 2004), torde det vara revisorn som ska göra bedömningen om vad som ska göras och inte IT-experten. Vidare säger ISA 620 att det är viktigt att revisorn inhämtar tillräckligt med förståelse för specialistens specialområde för att kunna fastställa karaktären, omfattningen och målen med specialistens arbete (ISA 620, p. 10). Utifrån studiens intervjuer verkar det dock som att det istället är IT- experten som gör detta till övervägande del med revisorns hjälp, snarare än tvärtom. Många IT-experter menade att det således blir en diskussion där IT-experten får hjälpa revisorn att komma fram till vad revisorn vill ha för hjälp, istället för att revisorn innan vet vad som behövs.

Många IT-experter upplevde även att de ibland antingen kan komma in för tidigt eller försent i revisionen, vilket också tycks bero på revisorernas IT-kompetens. Expert A

69

menade till exempel att han många gånger kommer in för tidigt eller när det är för enkelt i revisionen och att mycket av kartläggningen samt planeringen skulle kunna skötas av revisionsteamet. Samtidigt upplevde vissa IT-experter att revisorerna ibland märker försent att en IT-expert behövs tas in i revisionen eller att de helt enkelt inte förstår. ”Oj vad konstigt och vad krångligt det blev med all IT här (…) vi kanske ska ha

lite IT-revision”, upplevde Expert E att revisorer sagt veckan innan revisionsberättelsen

ska skrivas på. Enligt ISA 620 ska revisorn kunna avgöra om en specialist ska användas i revisionsarbetet (ISA 620, p. 5), vilket inte alltid verkar vara så lätt för revisorerna att göra.

Utnyttjar inte experten optimalt

En annan konsekvens av revisorns bristande IT-kompetens tycks vara att IT-experterna inte används på ett optimalt sätt, vilket delvis hör ihop med ovanstående konsekvenser. Enligt Expert A är kunskapen hos revisorn en avgörande faktor när det kommer till i vilken omfattning IT-experterna används i revisionen. Fortsättningsvis menade Expert A att de genom bland annat dataanalys hade kunnat hjälpa revisorerna att genomföra en mer effektiv revision och att en ökad användning av IT-experter i revisionen därmed hade varit positivt.

Som nämnt ovan i studien ser inte revisorerna alla IT-relaterade risker, därför hade en ökad IT-kompetens kunnat öka deras användning av IT-experter. Enligt några av experterna förstår inte revisorerna riktigt vad IT-experterna kan göra, vilka risker som finns och hur viktigt IT-experternas arbete är. En ökad kompetens hade därmed kunnat leda till att användningen av IT-experter i revisionen hade kunnat öka och en effektivare revision med en högre kvalité hade kunnat genomföras. Enligt Janvrin et al. (2008) uppmuntrar standarderna revisorn till att använda sig av IT-experter bland annat när: kunden har komplexa IT-system och kontroller, gör ändringar i sitt IT-system, delar data mellan system, har elektronisk e-handel, använder ny teknik eller när betydande revisionsbevis endast är tillgängliga elektroniskt. Enligt IT-experterna finns det dock betydligt mer saker som de kan göra och användas till. Många av studiens experter önskade därför att revisorerna skulle få mer utbildning inom IT, för att på ett bättre och effektivare sätt kunna dra nytta av IT-experten. Fastän revisorerna ser risker och

70

hanterar dessa, kan de hanteras på ett bättre och mer effektivt sätt genom användningen av IT, menade vissa experter. Genom till exempel dataanalys kan revisorn granska all data, vilket i sin tur leder till att sannolikheten för att revisorn upptäcker felaktigheter i redovisningen ökar (Alles & Gray, 2016). Dataanalys är något som används, men verkar inte användas i den omfattning som det kan göras. Många IT-experter upplevde dock att deras roll de senaste åren blivit större på grund av just dataanalys, men att det kunde användas i större utsträckning för att få en effektivare revision eftersom de då slipper göra lika mycket substansgranskning. Enligt Han et al. (2016) kan IT minska revisionsrisken genom att den dagliga driften kan förbättras, mer data finns tillgänglig och den interna kontrollen kan effektiviseras. Vidare menar Tarek et al. (2017) att kunskap om hur IT används, relaterade risker och förmågan att använda IT som en resurs i revisionen, anses som viktigt för revisorns effektivitet under hela revisionsprocessen. Att revisorn därmed inte använder IT-experterna och IT i revisionen i en större utsträckning, kan därför ses som att de inte genomför en sådan effektiv revision som egentligen är möjlig att genomföra med IT-expertens hjälp.