Accountantscontrolerisico model
Het controlerisico98 (“ACR”) wordt als volgt gedefinieerd: “Het risico dat de
accountant een onjuist controleoordeel tot uitdrukking brengt wanneer de financiële overzichten een afwijking van materieel belang bevatten.
Ook al kunnen stelsels inzake financiële verslaggeving materialiteit99 in verschillende
termen benaderen, toch wordt in het algemeen het volgende uiteengezet:
• afwijkingen, met inbegrip van weglatingen, afzonderlijk of gezamenlijk, worden van materieel belang geacht indien daarvan redelijkerwijs kan worden verwacht dat zij een invloed zullen hebben op de economische beslissingen die gebruikers op basis van de financiële overzichten nemen;
• oordeelsvormingen met betrekking tot de materialiteit komen tot stand in het licht van de gegeven omstandigheden en worden door de omvang of de aard van een afwijking, of door een combinatie van beide, beïnvloed; en
• bij oordeelsvormingen met betrekking tot aangelegenheden die van materieel belang zijn voor de gebruikers van financiële overzichten, worden de gemeenschappelijke behoeften aan financiële informatie van de gebruikers als groep overwogen.Het mogelijke effect van afwijkingen op specifieke individuele gebruikers, van wie de behoeften ver uiteen kunnen lopen, wordt niet overwogen.
De Standaarden100 bevatten doelstellingen, vereisten en toepassingsgerichte en overige verklarende teksten die erop gericht zijn de accountant te ondersteunen bij het verkrijgen van een redelijke mate van zekerheid. De Standaarden vereisen van de accountant dat hij professionele oordeelsvorming toepast en dat hij tijdens het plannen en uitvoeren van de controle een professioneel-kritische instelling
handhaaft.
Controlerisico101 is een functie van de risico’s op een afwijking van materieel belang en het ontdekkingsrisico.”
Onder het ontdekkingsrisico102 wordt het volgende verstaan: Het risico dat de
werkzaamheden die door de accountant zijn uitgevoerd om het controlerisico terug
98 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid 13.c,
Handleiding Regelgeving Accountancy (“HRA”) 2016
99 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 320 lid 2, Handleiding
Regelgeving Accountancy (“HRA”) 2016
100 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid 7, Handleiding
Regelgeving Accountancy (“HRA”) 2016
101 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid 13.c,
te brengen naar een aanvaardbaar laag niveau een bestaande afwijking niet zullen detecteren en die afzonderlijk of gezamenlijk met andere afwijkingen van materieel belang zouden kunnen zijn.
Het risico op een afwijking van materieel belang103 wordt als volgt gedefinieerd: het
risico dat de financiële overzichten, voorafgaand aan een controle, een afwijking van
materieel belang bevatten. Dit risico bestaat uit twee componenten, als volgt
beschreven op het niveau van beweringen:
1. inherent risico (“IR”) – De vatbaarheid van een bewering met
betrekking tot een transactiestroom, rekeningsaldo of in de financiële overzichten opgenomen toelichting voor een afwijking die afzonderlijk of gezamenlijk met andere afwijkingen van materieel belang is, voordat er rekening wordt gehouden met de eventuele daarop betrekking hebbende interne beheersingsmaatregelen;
2. intern beheersingsrisico (“ICR”) – Het risico dat een afwijking kan voorkomen in een bewering met betrekking tot een transactiestroom, rekeningsaldo of een in de financiële overzichten opgenomen
toelichting die, afzonderlijk of gezamenlijk met andere afwijkingen van materieel belang is, niet wordt voorkomen of niet tijdig wordt
gedetecteerd en hersteld door de interne beheersing104 van de entiteit.
Risico's op een afwijking van materieel belang identificeren en inschatten en risico's waaraan tijdens de controle speciale aandacht moet worden besteed
De accountant dient risico-inschattingswerkzaamheden uit te voeren om een basis te verkrijgen voor het identificeren en inschatten van risico's op een afwijking van
materieel belang op het niveau van de financiële overzichten en beweringen105. Dit doet hij door inzicht te verwerven in de entiteit en haar omgeving, inclusief de interne beheersing.
Als onderdeel van de risico-inschatting dient de accountant te bepalen of er geïdentificeerde risico's zijn die op grond van zijn oordeelsvorming significante
risico's vormen106. Bij het toepassen van deze oordeelsvorming dient de accountant
de effecten van interne beheersingsmaatregelen die op het risico betrekking hebben, buiten beschouwing te laten. Bij het toepassen van oordeelsvorming over de vraag welke risico's significante risico's zijn, dient de accountant ten minste rekening te houden met de vraag of het risico een frauderisico betreft; het risico verband houdt
102 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid13.e,
Handleiding Regelgeving Accountancy (“HRA”) 2016
103 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 200 lid 13.n,
Handleiding Regelgeving Accountancy (“HRA”) 2016
104 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 lid 4.c,
Handleiding Regelgeving Accountancy (“HRA”) 2016
105 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 lid 15,
Handleiding Regelgeving Accountancy (“HRA”) 2016
106 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 27-29,
met recente significante ontwikkelingen op economisch, boekhoudkundig of ander
gebied en daarom specifieke aandacht vereist; de complexiteit van transacties; het
risico verband houdt met significante transacties met verbonden partijen; de mate van subjectiviteit bij het waarderen van financiële informatie met betrekking tot het risico, vooral als de waardering veel onzekerheid inhoudt; en of het risico verband houdt met significante transacties die buiten het kader van de normale
bedrijfsvoering van de entiteit vallen of die anderszins ongebruikelijk lijken.
Uit onderzoek van Hernandez (2011)107 blijkt dat het door accountants ingeschatte frauderisico (significante risico’s), ingeschatte corporate governance risico (interne beheersingsrisico (“ICR”)) en het prestatierisico van de onderneming (de
continuïteitsveronderstelling) met elkaar gecorrelleerd zijn, en dat deze positief (lees; verhogend) worden beïnvloed door zorgen rond ethiek en integriteit van
management en de (dis-) balans van financiële en niet-financiële doelstellingen in de remuneratie van het management. Messier, Martinov-Bennie en Eilifsen (2005)108
kwamen tot de conclusie dat de beoordeling door de accountant van het
management en haar integriteit in het bijzonder mede bepalend is voor de hoogte van de materialiteit.
Hieruit volgt de conclusie dat bij organisaties waar het management gericht is op ethiek, (kern-) waarden en duurzame doelstellingen (gericht op de lange termijn), er sprake is van minder zorgen rond integriteit en minder prestatiedruk; deze
organisaties betekenen dat er voor de accountant sprake is van een lager
accountantscontrolerisico en dat er voor stakeholders, inclusief aandeelhouders, sprake is van een (duurzaam) waardeverhogend effect op de onderneming, shared value109.
Onder shared value wordt verstaan: het genereren van economische waarde op een dusdanige wijze dat naast het genereren van winst tegelijkertijd waarde wordt
gecreëeerd voor de maatschappij, met andere woorden waarde wordt gecreëerd niet alleen voor de share- (aandeelhouders) maar voor alle stakeholders van een
onderneming. Dit door ook recht te doen aan de verwachtingen en behoeften van deze stakeholders.
Mede in het licht van de digitale transformatie beargumenteert110 Monique van
Dijken Eeuwijk de noodzaak voor het creëren van shared value als het gaat om Big data, data analytics en privacy. Alleen wanneer er vertrouwen is in de maatschappij in de wijze waarop data wordt gebruikt door ondernemingen, in wat zij “beloven” ten aanzien van privacy, is het mogelijk om de potentie van big data en de ontsluiting daarvan door data analytics volledig uit te nutten en waarde te creëren: om ‘shared
value’ te creëren.
107 Hernandez PhD, José R. (2011) Good Value from Shared Values. A fraud and risk
perspective
108 Messier, Jr., W.F., Martinov-Bennie, N., Eilifsen, A. (2005). A review and integration of
empirical research on materiality: Two decades later. 2005 Auditing: A Journal of Practice and Theory (24)
109 Porter, M.E.. Kramer, M.R. (2011). Creating share value. Harvard Business Review 89 110 Dijken Eeuwijk van, Mr. drs. M.G.M. Big data, data analytics en privacy: Het creëren van
Speerpunt van de Monitoring Commissie Corporate Governance in haar herziening van De Nederlandse Corporate Governance Code is “Meer focus op lange termijn waardecreatie”. Zij wil de nadruk leggen op de focus op lange termijn waardecreatie van de vennootschap en de aan haar verbonden onderneming. Die focus verlangt van het bestuur en de raad van commissarissen dat zij duurzaam handelen, door zich bij de uitoefening van de hun toebedeelde taken te richten op lange termijn waardecreatie, aandacht te hebben voor kansen en risico’s en daarbij de belangen van alle bij de vennootschap betrokken stakeholders mee te wegen. Onder
stakeholders verstaat de Commissie:
“Groepen en individuen die direct of indirect het bereiken van de doelstellingen van de vennootschap beïnvloeden of erdoor worden beïnvloed, zoals aandeelhouders en andere kapitaalverschaffers, werknemers, toeleveranciers, afnemers en
maatschappelijke groeperingen.”
In de redenering dat het niet realiseren en/of beheersen van het risico op het niet realiseren van kritische organisatie variabelen gerede twijfel doet ontstaan over de continuïteitsveronderstelling. Daarmee er een risico op een materiële afwijking, ten onrechte op basis van de continuïteitsveronderstelling opgestelde jaarrekening, bestaat waaraan, op basis van de interpretatie van begrip “zorgplicht voor accountants” speciale aandacht moet worden besteed. Leiden de KOVs tot
significant risico’s in de controle en dient hij inzicht te verwerven in de interne
beheersingsactiviteiten van de entiteit die op dat risico betrekking hebben. Als de accountant dan tot de conclusie komt dat er leemten bestaan in de opzet en bestaan van deze interne beheersingsactiviteiten, dan dient hij die als significante leemten in
de interne beheersing te rapporteren aan de personen belast met governance en
management.
Onderscheid kan worden gemaakt in hard en soft controls. Soft controls111 worden als volgt gedefinieerd: “Een soft control is een (beheersings-)maatregel welke – meer dan hard controls – ingrijpt op c.q. appelleert aan het persoonlijk functioneren van medewerkers (overtuiging, persoonlijkheid). Soft Controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld de motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers.”
Het onderscheidende criterium van wat een soft of hard control is, ligt niet in de “hardheid” van de beheersmaatregel zelf, maar op welke kritische organisatie
variabele112 de beheersmaatregel van invloed is.
In gevallen waarbij de bijdrage van de organisatievariabelen aan de doelstellingen en strategie van de organisatie als “kritisch” kan worden getypeerd, geldt dat het niet verwezenlijken van de organisatievariabelen (continuïteits-) risico’s met zich mee brengt voor de organisatie. De onder “A” genoemde meting en beoordeling van (financiële) prestaties vloeit voort uit de identificatie van KOVs.
Overwegende de literatuur zoals uiteengezet onder “zorgplicht voor accountants” zijn het niet realiseren en/of niet beheersen van het realiseren, de inrichting van soft
111 Auditen van soft controls (2000), de Heus & Stremmelaar, Kluwer 2000 112 Auditen van soft controls (2000), de Heus & Stremmelaar, Kluwer 2000
en/of hard controls rond die KOV, door de entiteit van kritische
organisatievariabelen, omstandigheden die gerede twijfel kunnen doen ontstaan
over de continuïteitsveronderstelling. De “bron” waaraan KOV ontleend worden zijn de kernwaarden, de missie, de visie en de enterprise architecture van de
onderneming. Theoretisch zijn bij het ontbreken van expliciete kernwaarden, missie, visie en enterprise architecture, de KOV onbekend en is daarmee een onderneming de facto stuurloos met een verhoogd risico van discontinuïteit tot gevolg.
Indien de accountant heeft bepaald dat er een significant risico bestaat, dient hij inzicht te verwerven in de interne beheersingsactiviteiten van de entiteit die op dat risico betrekking hebben. Voor een uitgebreide verhandeling van deze exercitie wordt verwerwezen naar de bijlage III.
Uitvoeringsmaterialiteit
Wanneer de planning van de controle er alleen op gericht is individuele afwijkingen van materieel belang te detecteren, wordt voorbijgegaan aan het feit dat het totaal van de individuele afwijkingen die niet van materieel belang zijn, ertoe kan leiden dat de financiële overzichten een afwijking van materieel belang bevatten, en wordt geen speelruimte gelaten voor mogelijke niet-gedetecteerde afwijkingen.
Uitvoeringsmaterialiteit113 (die gedefinieerd is als één of meer bedragen) wordt vastgesteld om de waarschijnlijkheid dat het totaal van niet-gecorrigeerde en niet- gedetecteerde afwijkingen in de financiële overzichten de materialiteit voor de financiële overzichten als geheel overschrijdt, tot een passend laag niveau terug te brengen. Op gelijksoortige wijze wordt uitvoeringsmaterialiteit met betrekking tot een materialiteitsniveau dat voor bijzondere transactiestromen, rekeningsaldi of in de financiële overzichten opgenomen toelichtingen bepaald is, vastgesteld teneinde de waarschijnlijkheid dat het totaal van niet-gecorrigeerde en niet-gedetecteerde
afwijkingen in die bijzondere transactiestromen, rekeningsaldi of in de financiële overzichten opgenomen toelichtingen het materialiteitsniveau voor die specifieke transactiestromen, rekeningsaldi of in de financiële overzichten opgenomen toelichtingen overschrijdt, tot een passend laag niveau terug te brengen. Het bepalen van uitvoeringsmaterialiteit is geen eenvoudige mechanische
berekening en houdt het toepassen van professionele oordeelsvorming in. Het wordt beïnvloed door het door de accountant verworven inzicht in de entiteit, dat wordt geactualiseerd tijdens het uitvoeren van de risico-inschattingswerkzaamheden, alsmede door de aard en omvang van de afwijkingen die zijn vastgesteld bij eerdere controles en aldus door de verwachtingen van de accountant met betrekking tot afwijkingen in de huidige verslagperiode.
Hoewel het inzicht van de accountant in de interne beheersing van de entiteit niet van invloed is op de bepaling van significante risico’s en materialiteit, heeft dat inzicht wel invloed op de hoogte van de uitvoeringsmaterialiteit. Met andere
woorden: indien de accountant op basis van zijn professionele oordeelsvorming van mening is dat de interne beheersing van de entiteit in opzet en bestaan relatief sterk
113 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 320 A12, Handleiding
is, heeft dat een relatief positief effect op de hoogte van de uitvoeringsmaterialiteit. Er hoeft immers met minder “speelruimte” voor niet gedetecteerde afwijkingen rekening te worden gehouden.
Onderzoek van Majoor en ter Braak (2012)114 heeft aangetoond dat er een positieve
relatie bestaat tussen de door de accountant ingeschatte kwaliteit van de interne beheersingsomgeving en de bepaling van de hoogte van de uitvoeringsmaterialiteit. Tegelijkertijd is aangetoond dat de aanwezigheid van een audit-commissie een negatieve invloed heeft op de bepaling van de hoogte van de materialiteit. Hetgeen aantoont dat ook de aanwezigheid van intern toezicht binnen de gecontroleerde onderneming zelf, een belangrijke bijdrage kan leveren aan de verbetering van de kwaliteit van de accountantscontrole. De premise is immers dat een lagere
materialiteit leidt tot een verhoging van de kwaliteit van de accountantscontrole. Het bepalen van de uitvoeringsmaterialiteit, mede op basis van het verkregen inzicht in de entiteit en de risicoinschatting bij sterk IT gedreven ondernemingen zoals ExO’s, vereist derhalve impliciet een verzwaarde IT Audit competentie van de betrokken controlerend accountant.
Data analyse
Volgens Eimers en van Leeuwen (2015)115 draagt de toepassing van data analyse op basis van nieuwe technologische ontwikkelingen bij aan de effectiviteit, efficiency en relevantie van de accountantscontrole. Expliciete invlechting van de
waardenkringloop die behoort bij de typologie van de organisatie in een
controleaanpak waar elektronische data een belangrijke rol spelen, draagt hieraan bij.
In de Nederlandse literatuur heeft zich de afgelopen decennia een indeling van soorten van organisaties ontwikkeld die is gericht op het vaststellen van de betrouwbaarheid van de interne informatieverzorging, de’Typologie van
Starreveld’116117. Deze indeling van organisaties is gebaseerd op de mogelijkheid om de volledigheid van de opbrengstverantwoording en de juistheid van de daaraan gerelateerde kosten te baseren op het verband dat binnen het
waardekringloopproces bestaat tussen de opgeofferde en verkregen zaken. De processen die deel uitmaken van de waardenkringloop van een organisatie, zijn verwant aan de in de Verenigde Staten gehanteerde cycle benadering waarbij
114 Majoor, Barbara, Braak ter, Rick (2012). De kwaliteit van de beheersingsomgeving en het
effect op de materialiteit. Maandblad van Accountancy en Bedrijfseconomie (“MAB”) november 2012
115 Eimers RA, Prof. Dr. P.W.A., Leeuwen RA van, Prof. Dr. O.C. (2015). De typologie als
basis voor een effectieve en efficiënte data-analyse. Maandblad voor Accountancy en Bedrijfseconomie (“MAB”) oktober 2015
116 Leeuwen, O.C. van, Starreveld, R.W. (2005). Bestuurlijke informatieverzorging:
Typologie van bedrijfshuishoudingen. Noordhof Uitgevers.
117 Leeuwen, O.C. van, Bergsma, J. (2014). Algemene grondslagen Starreveld: Bestuurlijke
processen in zogenaamde cycles zijn ondergebracht. De typologie was lang een integraal onderdeel van het kern curriculum rond accountantscontrole118.
Daar waar in het verleden data-analyse zich beperkte tot financiële informatie uit het grootboek of sub-administraties, is het, door de digitale transformative, nu mogelijk om op transactieniveau alle geregistreerde transacties integraal te analyseren. Onderzoek toont aan dat met process mining fouten kunnen worden ontdekt die met “traditionele systeemgerichte werkzaamheden niet waren onderkend119.
Door de koppeling aan externe databronnen is de stap naar Big Data snel te maken. Waar voorheen een beroep moest worden gedaan op een steekproef of een test van de interne controle (controls testing) op een deel van de populatie, zijn nu complete datasets relatief makkelijk te ontsluiten. Dit maakt het mogelijk een nieuwe dimensie toe te voegen aan de huidige controleaanpak, waarbij een efficiëntere en vooral effectievere controlemix van systeemgerichte en gegevensgerichte
controlewerkzaamheden optreedt.
Een en ander mitigeert de constatering van de Autoriteit Financiële Markten (“AFM”) dat accountants de relatie tussen onderkende risico’s en de daaruit volgende
systeem- en gegevensgerichte werkzaamheden onvoldoende effectief in hun
controleaanpak verankeren. AFM legt daarbij veel nadruk op de volledigheid van de opbrengstverantwoording120.
Data analyse of Computer assisted audits techniques (‘CAAT’s’) komen specifiek voor in de toepassingsgerichte teksten van NV COS 330 “Inspelen door de
accountant op ingeschatte risico’s”121. Met de snelgroeiende beschikbaarheid van elektronische data is het belangrijk om conform de controlestandaarden
professioneel kritisch122 te zijn op de herkomst van de data voordat deze data worden ingezet in de controle om te voorkomen dat dat de accountant een
tunnelvisie heeft over de data die hij ter beschikking krijgt. De Boer et al. (2014)123 vatten het effect van elektronisch beschikbare data op de betrouwbaarheid als volgt samen, indicaties voor betrouwbaarheid van data in de ISA 500.A31 (bewoording uit
118 Frielink, A.B., Heer de, H.J. (1989). Leerboek accountantscontrole – Typologie
accountantscontrole in het kader van de algemene controle (delen 2A en 2B). Leiden, Stenfert Kroese.
119 Jans, M., Alles, M., Vasarhelyi, M. (2014). A field study on the use of process mining
event logs as an analytical procedure in auditing. The Accounting Review, 89 (5).
120 Autoriteit Financiële Markten (“AFM”) (2014). Uitkomsten onderzoek kwaliteit
wettelijke controles Big 4-accountantsorganisaties.
121 Nadere Voorschriften Controle- en Overige Standaarden (“NVCOS”) 330 Inspelen door
de accountant op ingeschatte risico’s (2016). Handleiding Regelgeving Accountancy (“HRA”) 2016.
122 Nadere Voorschriften Controle- en Overige Standaarden (“NVCOS”) 200 lid 15 (2016).
Handleiding Regelgeving Accountancy (“HRA”) 2016.
123 Boer, M. De, Eimers, P.W.A., Elsas, Ph. (2014). Reengineering the audit in a digitized
environment – developments in practice, challenges for auditing standards and opportunities for further research. Paper presented at the International Symposium on Audit Research.
NV COS Standaard 500.A31 weergegeven) en de effecten op de betrouwbaarheid in een datarijke controle:
• De betrouwbaarheid van controle-informatie neemt toe wanneer deze uit onafhankelijke bronnen buiten de entiteit is verkregen: Neemt toe als de accountant externe bevestiging verkrijgt op de belangrijkste verbanden. • De betrouwbaarheid van intern gegenereerde controle-informatie neemt toe
wanneer de daarmee verband houdende door de entiteit opgelegde interne beheersingsmaatregelen, met inbegrip van die welke betrekking hebben op het opstellen en onderhouden van die informatie, effectief zijn: Neemt toe als de belangrijkste controlemaatregelen (waaron- der verbanden) integraal zijn verwerkt in het ERP-systeem.
• Controle-informatie die direct door de accountant is verkregen (...): Neemt toe als de accountant zelf de aansluitingen vaststelt. Dit staat los van de vraag of deze verbanden in het ERP-systeem zijn opgenomen.
• Controle-informatie in de vorm van documenten op papier, in elektronische vorm of op andere ge- gevensdragers vastgelegd, is betrouwbaarder dan mondeling verkregen informatie (...): Neemt toe als de accountant primair de actuele goederen- en dienstenstroom observeert en totaalverbanden kan onderkennen. Dit levert meer op dan wanneer hij de procesbeschrijvingen doorleest en één lijncontrole uitvoert.
• Controle-informatie die is verschaft door originele documenten is betrouwbaarder dan controle-in- formatie die is verschaft door fotokopieën of faxen of door
documenten die zijn ge-emaild, gedigitaliseerd of anderszins zijn omgezet in elektronische vorm, waarvan de betrouwbaarheid kan afhangen van de interne