verwerven in de entiteit en
haar omgeving
Inzicht verwerven in de entiteit en haar omgeving
De accountant dient inzicht te verwerven in:
A. De relevante sectorspecifieke factoren, regelgeving en andere externe factoren, met inbegrip van het van toepassing zijnde stelsel inzake financiële verslaggeving; hiertoe verzoekt de accountant het management en, indien van toepassing, de personen belast met governance om een,
gedocumenteerde, bevestiging of de entiteit overige wet- en regelgeving met een mogelijk materiële invloed op de jaarrekening naleeft127. Met de invoering van de Meldplicht datalekken per 1 januari 2016, betekent dat management een dergelijke bevestiging alleen kan afgeven als zij een toereikende interne beheersing heeft ingericht rond de bescherming van persoonsgegevens. Ten aanzien van de keuze en toepassing door de entiteit van grondslagen voor financiële verslaggeving, met inbegrip van de redenen voor wijzigingen in die grondslagen, dient de accountant te evalueren of de door de entiteit gehanteerde grondslagen voor financiële verslaggeving geschikt zijn voor haar activiteiten en in overeenstemming zijn met het van toepassing zijnde stelsel inzake financiële verslaggeving en met de grondslagen voor financiële verslaggeving die in de desbetreffende sector worden gebruikt; ook dient de accountant inzicht te krijgen in de wijze waarop de entiteit haar financiële prestaties meet en beoordeelt.
In verband met zijn verantwoordelijkheden met betrekking tot fraude in het kader van een controle van financiële overzichten128, onderscheidt de accountant frauduleuze financiële verslaggeving en de oneigenlijke toe- eigening van (immateriele) activa en is er sprake van een stimulans of druk om te frauderen, een waargenomen gelegenheid om te frauderen en
bepaalde argumenten ter rechtvaardiging van het plegen van fraude. De accountant dient het management om inlichtingen te verzoeken129 met betrekking tot de inschatting door het management van het risico dat de
127 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 250 lid 14,
Handleiding Regelgeving Accountancy (“HRA”) 2016
128 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 240 A1, Handleiding
Regelgeving Accountancy (“HRA”) 2016
129 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 240 lid 17,
financiële overzichten mogelijk een afwijking van materieel belang bevatten die het gevolg is van fraude, met inbegrip van de aard, omvang en frequentie van deze inschattingen; de werkwijze die het management volgt om de risico's op fraude in de entiteit te identificeren en erop in te spelen, met inbegrip van eventuele specifieke frauderisico's die het management heeft geïdentificeerd of die onder zijn aandacht zijn gebracht of van
transactiestromen, rekeningsaldi of in de financiële overzichten opgenomen toelichtingen waarvoor waarschijnlijk een frauderisico bestaat; de informatie die het management eventueel aan de met governance belaste personen heeft meegedeeld over zijn processen om de risico's op fraude in de entiteit te identificeren en erop in te spelen; en de informatie die het management
eventueel aan zijn werknemers heeft meegedeeld over zijn visie op
bedrijfspraktijken en ethisch gedrag, de kernwaarden van de onderneming. Kernwaarden fungeren als ethisch kompas en zijn de kern van de
bedrijfscultuur binnen een onderneming. Het begrip “waarde” komt, net zoals het begrip: normen, uit de ethiek en sociologie. Een definitie van waarden is: ‘..centrale maatstaven met behulp waarvan men het eigen gedrag en dat van anderen beoordeelt’130. Het gaat om zaken die men collectief goed en juist vindt, die men graag wil, en waarnaar men streeft. Waarden zijn dus morele doelen of idealen die mensen nastreven, waarderen en motiveren. Waarden hebben emotionele lading: ‘daar gaan mensen voor’. Enkele voorbeelden: eerlijkheid, respect, trouw, betrouwbaarheid, betrokkenheid, liefde, moed en rechtvaardigheid. Principes of normen, die de basis vormen voor de interne beheersing van een organisatie zijn een afgeleide van de kernwaarden. Een principe is een grondbeginsel, een stelregel voor gedrag en geeft aan op welke wijze wij onze overtuigingen in daden tot uitdrukking willen brengen. Principes vormen de ethische code en daarmee de gedragsmatige vertaling van de waarden van een organisatie. Verwarrend in dit kader is het gebruik van het overlappende (sociologische) begrip normen. Normen zijn
uitwerkingen, vertalingen van waarden naar concrete handelingen; normen zijn plaats- en tijdgebonden. Een sociologische definitie: ‘(…) opvattingen over hoe men zich dient te gedragen, of hoe men zich juist niet moet gedragen. Er zijn positieve normen, geboden, en negatieve normen of verboden.
B. De doelstellingen en strategieën van de entiteit alsmede de daarmee verband houdende bedrijfsrisico's die tot risico's op een afwijking van materieel belang kunnen leiden; digitale transformatie veroorzaakt revolutionaire veranderingen extern die een grotere souplesse vereisen van een organisatie dan voorheen. Daarmee stijgt het belang van tijdloze ankerpunten in het fundament van een organisatie ten opzichte van een aan continue veranderingen onderhevige strategie. De missie, visie, kernwaarden en strategie van de onderneming zijn voor continuïteit van de onderneming belangrijk.
130 Van Doorn, L., Lammers, C. (1976) Moderne sociologie: een systematische inleiding.
Een missie131 of de uit het Engels ontleende term mission statement is een beknopte omschrijving van de hogere doelstelling van een bedrijf of
organisatie. Het doel van een missie is het bevorderen van de cohesie en coherentie van de organisatie. Een missie komt meestal samen voor met een visie.
De term visie132 verwijst naar het gewenste langetermijnperspectief van een organisatie. Er is slechts één visie per organisatie. De visie wordt afgeleid van, en is in overeenstemming met de missie. Missie en principes vormen samen de visie. De visie is bedoeld om invloed uit te oefenen op de
organisatie door: het motiveren van medewerkers, het focussen van
medewerkers op relevante activiteiten, het scheppen van een kader aan de hand waarvan medewerkers kunnen afleiden op welke wijze activiteiten moeten worden ingevoerd in de organisatie en hoe deze activiteiten passen binnen een groter geheel Een organisatie heeft een visie als het een duidelijk beeld van de toekomst heeft. Daarop kan zij dan anticiperen in haar
productontwikkeling, vernieuwing van diensten enzovoort. Volgens het 7s model van McKinsey133 is de visie het centrale managementinstrument en
zorgt het voor samenhang en sturing van andere managementinstrumenten. Singularity University heeft in haar onderzoek vastgesteld dat exponentiële organisaties een Massive Transformative Purpose hebben. Dat is te
beschouwen als een variant op de missie, visie en kernwaarden. C. de aard van de entiteit, met inbegrip van:
1. haar activiteiten;
2. haar eigendoms- en governancestructuur;
3. de soorten investeringen die de entiteit doet en voornemens is te doen, met inbegrip van investeringen in voor een bijzonder doel opgerichte entiteiten; en
4. de wijze waarop de entiteit is gestructureerd en wordt gefinancierd; teneinde in staat te zijn inzicht te verwerven in de transactiestromen, rekeningsaldi en toelichtingen die in de financiële overzichten zijn te
verwachten; onder invloed van de digitale transformatie groeit de noodzaak van een governance structuur rond informatietechnologie en de coördinatie met de rest van de organisatie, in case de enterprise architecture. Enterprise architecture is eind jaren tachtig begonnen aan de kant van de
informatietechnologie, maar heeft zich door de jaren heen ontwikkeld tot een vakgebied dat zich richt op de onderlinge afstemming van een groter aantal gezichtspunten binnen een organisatie. Het aandeel informatietechnologie voert echter nog wel de boventoon.
131 Christopher K. Bart, Nick Bontis, Simon Taggar, (2001) "A model of the impact of
mission statements on firm performance", Management Decision, Vol. 39 Iss: 1
132 Dam van, Nick, Marcus, Jos (2005) Een praktijkgerichte benadering van Organisatie en
Management, 2005, Wolters-Noordhoff
133 Pascale, Richard, Athos, Anthony (1981), The art of Japanese management, 1981
Een definitie van enterprise architecture is de volgende134:
“Description of the fundamental underlying design of the components of the business system, or of one element of the business system (e.g., technology), the relationships among them, and the manner in which they support the enterprise’s objectives.”
De enterprise architecture is als het ware een overkoepelend consistent geheel van principes en modellen dat richting geeft aan ontwerp en realisatie van de processen, organisatorische inrichting, informatievoorziening en technische infrastructuur van een organisatie. Aan de totstandkoming van de enterprise architecture gaat onder andere een door management
geformuleerd informatiebeleid135 vooraf:
“Op basis van de eisen en randvoorwaarden die aan de informatievoorziening gesteld worden, formuleert en documenteert het management een beleid ten aanzien van informatiebeveiliging. Hiervoor wordt eerst bepaald welke
informatiesystemen voor de informatievoorziening relevant zijn, welk belang ze vertegenwoordigen en welke betrouwbaarheidseisen er aan gesteld worden. Vervolgens wordt in het beleid aangegeven hoe men om wenst te gaan met de risico’s die de informatiesystemen bedreigen: moeten de kosten van beveiliging in evenwicht zijn met de potentiële schade waartegen men beveiligt (risiconeutraal), accepteert men grotere risico’s (risicodragend), of wenst men juist zo weinig mogelijk risico’s te lopen (risicomijdend). Tevens wordt in het beleid aangegeven welke standaarden en richtlijnen er gelden voor het uitvoeren van risicoanalyse en voor het selecteren, implementeren en evalueren van beveiligingsmaatregelen. Zo kan bijvoorbeeld het toepassen van de Code voor informatiebeveiliging voorgeschreven worden”
De accountant dient risico's op een afwijking van materieel belang te identificeren en in te schatten door inzicht te verwerven in de entiteit en haar omgeving met inbegrip van de interne beheersing die relevant is voor de controle136.
Inzicht verwerven in de Interne beheersing
Tijdens het verwerven van inzicht in de interne beheersingsmaatregelen die voor de
controle relevant zijn, dient de accountant de opzet van deze
beheersingsmaatregelen te evalueren en na te gaan of ze zijn geïmplementeerd, door werkzaamheden uit te voeren in aanvulling op het verzoeken om inlichtingen bij personeelsleden van de entiteit137.
134 Information Systems Audit and Control Association, Inc. (2016) Glossary geraadpleegd
www.isaca.org/pages/glossary op 24 juli 2016
135 Overbeek, Paul, Roos Lindgreen, Edo, Spruit, Marcel (2000). Informatiebeveiliging onder
controle. 2000 Prentice Hall
136 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 lid 12,
Handleiding Regelgeving Accountancy (“HRA”) 2016
137 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 lid 13,
Interne beheersing of “controls” binnen organisaties zijn er op gericht om het gedrag van medewerkers te beïnvloeden teneinde organisatiedoelen te bereiken (Anthony, 1965138; Merchant, 1982139; Lawyer en Rhode, 1976140). Het gaat hierbij om zowel het voorkomen van ongewenst gedrag, zoals fouten, ongelukken, incidenten en overtredingen, als het bevorderen van gewenst gedrag, zoals rechtmatigheid, effectiviteit en efficiëntie.
Controls zijn onder te verdelen in hard controls en soft controls (Kaptein en Kerklaan, 2003141; Vink en Kaptein, 2008142). Hard controls zijn formeel (zoals beleid, systemen en handboeken), terwijl soft-controls informeel zijn (zoals cultuur, klimaat en bewustzijn). Niet alleen hebben hard- en softcontrols een afzonderlijke op het gedrag van managers en medewerkers, ook de wisselwerking tussen hard- en softcontrols kan van invloed zijn op het gedrag (Kaptein en Wallage, 2010143). Hard controls kunnen naast een positief ook een negatief effect op het gedrag van medewerkers hebben. Kaptein en Vink (2012) hebben over het effect van
beheersingsmaatregelen een zogenaamde Controls Coderingstheorie144 ontwikkeld.
Centraal hierbij is de wijze waarop medewerkers de bedoeling die de leiding heeft met beheersingsmaatregelen interpreteren. Omdat de beheersingsmaatregelen de autonomie van medewerkers reduceren is er het risico dat medewerkers te veel op de maatregelen gaan vertrouwen danwel dat zij de maatregelen gaan wantrouwen. De kern van de Controls Coderingstheorie is dat harde of formele
beheersingsmaatregelen bewust en onbewust worden gecodeerd door managers en vervolgens worden gedecodeerd door medewerkers.
De interne beheersing bestaat uit de volgende componenten145:
• Interne beheersingsomgeving: als onderdeel van het verwerven van inzicht in de interne beheersingsomgeving dient de accountant te evalueren of het
138 Anthony, R.N. (1965), Planning and Control Systems: Framework for analysis, 1965
Boston, Graduate School of Business Administration, Harvard University
139 Merchant, K.A. (1982), The control function of management, Sloan Management Review,
vol. 23, no. 4
140 Lawler, E.E., Rhode, J.G. (1976). Information and control in organizations, Pacific
Palisades: Goodyear.
141 Kaptein, Prof. Dr. M., Kerklaan, V. (2003). Controlling the ‘soft controls’, Management
Control & Accounting, vol. 7, no. 6
142 Vink, H.J., Kaptein, Prof. Dr. M. (2008). Soft-controls bij de rijksoverheid: Een
onderzoek naar de oorzaak van rechtmatigheidsfouten. Maandblad voor Accountancy en Bedrijfseconomie (“MAB”) vol. 82
143 Kaptein, Prof. Dr. M., Wallage RA, Prof. Dr. P. (2010). Assurance over gedrag en de rol
van soft controls: Een lonked perspectief, Maandblad voor Accountancy en Bedrijfseconomie (“MAB”), vol. 84
144 Kaptein, Prof. Dr. M., Vink RA, Drs. H.J. (2012) De zachte kant van harde
beheersingsmaatregelen: een Controls Coderingstheorie. Maandblad voor Accountancy en Bedrijfseconomie (“MAB”) november 2012
145 Nadere voorschriften controle- en overige standaarden (“NVCOS”) 315 leden 14 - 24,
management, onder het toezicht van de met governance belaste personen, een cultuur van eerlijkheid en ethisch gedrag heeft gecreëerd en in stand houdt; en de sterke punten in de elementen van de interne
beheersingsomgeving samen een geschikte basis vormen voor de andere
componenten van de interne beheersing, en of deze andere componenten
niet door tekortkomingen in de interne beheersingsomgeving worden aangetast.
Met de introductie van het element “Cultuur” bevestigt de Monitoring Commissie Corporate Governance het belang van de component: Interne beheersingsomgeving, de soft of informal controls op ondernemingsniveau, en het effect op de werking van de hard controls.
• Risico-Inschattingproces van de entiteit: De accountant dient inzicht te verwerven in de vraag of er binnen de entiteit een proces bestaat voor het identificeren van bedrijfsrisico's die relevant zijn voor de doelstellingen van de financiële verslaggeving, het inschatten van de significantie van deze risico's, het inschatten van de waarschijnlijkheid dat deze risico's zich zullen voordoen en het nemen van beslissingen over te ondernemen acties om op deze
risico's in te spelen. Indien de entiteit een dergelijk proces heeft vastgesteld (hierna het risico-inschattingsproces van de entiteit genoemd), dient de
accountant inzicht te verwerven in dat proces en in de resultaten ervan. Indien de accountant risico's op een afwijking van materieel belang identificeert die door het management niet zijn geïdentificeerd, dient hij te evalueren of er een onderliggend risico bestond van een type waarvan de accountant verwacht dat het door het risico-inschattingsproces van de entiteit wordt geïdentificeerd. Indien een dergelijk risico bestaat, dient de accountant inzicht te verwerven in de reden waarom het risico-inschattingsproces dat risico niet heeft
geïdentificeerd, en dient hij te evalueren of het proces in de gegeven omstandigheden geschikt is of dient hij te bepalen of er sprake is van een significante tekortkoming in de interne beheersing met betrekking tot het risico-inschattingsproces van de entiteit. Indien de entiteit geen dergelijk proces heeft vastgesteld of indien de entiteit over een ad-hocproces beschikt, dient de accountant met het management te bespreken of er bedrijfsrisico’s zijn geïdentificeerd die relevant zijn voor de doelstellingen van de financiële verslaggeving en hoe daarop is ingespeeld. De accountant dient te evalueren of het ontbreken van een gedocumenteerd risico-inschattingsproces passend is in de gegeven omstandigheden, dan wel een significante tekortkoming in de interne beheersing vormt.
In haar Voorstel voor herziening van De Nederlandse Corporate Governance Code stelt de Monitoring Commissie Corporate Governance dat voor
waardecreatie op de lange termijn een adequaat systeem voor beheersing van risico’s onmisbaar is; het bestuur van de vennootschap is
verantwoordelijk voor het vaststellen van de risk appetite en het beheersen van de risico’s verbonden aan de strategie en de activiteiten van de
vennootschap. De context wordt bepaald door aspecten als continuïteit, reputatie, financiële verslaggeving, financiering, operationele activiteiten en lange termijn waardecreatie.
• Het voor de financiële verslaggeving relevante informatiesysteem, met
inbegrip van de daarmee samenhangende bedrijfsprocessen en de communicatie: De accountant dient inzicht te verwerven in het
informatiesysteem, met inbegrip van de daarmee verband houdende bedrijfsprocessen, dat relevant is voor de financiële verslaggeving, met inbegrip van de transactiestromen in de activiteiten van de entiteit die
significant zijn voor de financiële overzichten; de procedures, binnen zowel de IT- als handmatige systemen, waardoor de transacties tot stand worden gebracht, vastgelegd, verwerkt, naargelang nodig gecorrigeerd, overgenomen in het grootboek en in de financiële overzichten gerapporteerd; de daarmee verband houdende administratieve vastleggingen, onderbouwende informatie en specifieke in de financiële overzichten opgenomen rekeningen die voor het tot stand brengen, vastleggen, verwerken en rapporteren van transacties worden gebruikt; dit omvat de correctie van onjuiste informatie en de wijze waarop informatie in het grootboek wordt verwerkt. De vastleggingen kunnen handmatig of elektronisch tot stand worden gebracht; de wijze waarop in het informatiesysteem gebeurtenissen en omstandigheden, uitgezonderd
transacties, die significant zijn voor de financiële overzichten worden
vastgelegd; het proces van financiële verslaggeving dat wordt gebruikt om de financiële overzichten van de entiteit op te stellen, met inbegrip van
significante schattingen en toelichtingen; en interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip van journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om eenmalige, ongebruikelijke transacties of correcties vast te leggen.
De accountant dient inzicht te verwerven in de wijze waarop de entiteit taken en verantwoordelijkheden met betrekking tot de financiële verslaggeving alsmede significante zaken in verband met de financiële verslaggeving
meedeelt, met inbegrip van: communicatie tussen het management en de met governance belaste personen; en externe communicatie, bijvoorbeeld met regelgevende of toezichthoudende instanties.
• Interne beheersingsactiviteiten: De accountant dient inzicht te verwerven in interne beheersingsactiviteiten die voor de controle relevant zijn, te weten die waarvan hij van oordeel is dat het noodzakelijk is dat hij er inzicht in krijgt om de risico's op een afwijking van materieel belang op het niveau van
beweringen in te schatten en om verdere controlewerkzaamheden die op de
ingeschatte risico's inspelen op te zetten. Een controle vereist niet dat de accountant inzicht verwerft in alle interne beheersingsactiviteiten die
betrekking hebben op alle significante transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen of op elke bewering die daarvoor relevant is.
Bij het verwerven van inzicht in de interne beheersingsactiviteiten van de entiteit dient de accountant inzicht te verwerven in de wijze waarop de entiteit op uit IT voortkomende risico's heeft ingespeeld.
• Monitoring van interne beheersingsmaatregelen: De accountant dient inzicht te verwerven in de belangrijkste activiteiten die de entiteit uitvoert om de interne beheersing met betrekking tot de financiële verslaggeving te
monitoren, met inbegrip van de activiteiten die verband houden met de interne beheersingsactiviteiten die voor de controle relevant zijn, alsmede in de wijze waarop de entiteit acties onderneemt ter correctie van tekortkomingen in haar interne beheersing. De accountant dient inzicht te verwerven in de bronnen van de informatie die bij de monitoringactiviteiten van de entiteit wordt gebruikt en in de basis waarop het management de informatie voldoende betrouwbaar acht voor het doel.
Internal Audit functie
Indien de entiteit over een interne auditfunctie beschikt, dient de accountant inzicht te verwerven in de aard van de
verantwoordelijkheden en de organisatorische positie van de interne auditfunctie, alsmede in de activiteiten die zijn uitgevoerd of die zijn uit te voeren. De interne auditfunctie onderzoekt of het geheel aan
voorliggende plannen, uitgewerkte beheersingskaders en
daadwerkelijk getroffen beheersingsmaatregelen voldoende is afgeleid van en afgestemd op datgene dat door topleiding en stakeholders daartoe is geëxpliciteerd146.
De Monitoring Commissie Corporate Governance stelt voor het
principe en de best practice bepalingen uit de huidige Code die zien op de interne audit functie uit te breiden met als doel de positie van de interne audit functie te verstevigen147.
Beheersing van uitbestede activiteiten
Veel entiteiten besteden148 aspecten van hun bedrijfsvoering uit aan organisaties die diensten verlenen variërend van de uitvoering van een specifieke taak onder de leiding van de entiteit tot de vervanging van