Met de controleactiviteiten zoals beschreven in hoofdstuk 8 ‘Bedrijfsverkenning’ heeft de controle medewerker de onderneming in kaart gebracht. Hij heeft een indruk gekregen van wat de organisatie doet en hoe zij dit gestalte geeft. Hij kent de belangrijkste bedrijfsprocessen en de verbanden daartussen inclusief de ondersteunende applicaties. Ook weet hij welke procesrisico’s daaraan verbonden zijn. Verder heeft hij zich een beeld gevormd van de AO/IB die men in een dergelijke organisatie zou mogen verwachten. Hij is zo, met andere woorden, tot de ‘soll-positie’
van de AO/IB gekomen.
Nu gaat de controle medewerker vaststellen welke beheersingsmaatregelen de belastingplichtige heeft getroffen om de fiscale risico’s af te dekken. Met andere woorden, hij brengt de ‘ist-positie’
van de AO/IB in beeld. Na een vergelijking van de ‘soll-’ met de ‘ist-positie’ kan de controle-medewerker vervolgens het eventuele ‘restrisico’ voor de leiding van de onderneming (en de Belastingdienst) bepalen. Hij weet dan idealiter welke risico’s (nog) niet worden afgedekt door internebeheersingsmaatregelen.
Wanneer de ‘ist’-positie’ in kaart wordt gebracht, wordt ook onderzoek gedaan naar de ‘general IT-controls’ en de ‘application controls’. Het doel van dit onderzoek is te beoordelen in hoeverre de controle medewerker gebruik kan maken van de internebeheersingsmaatregelen binnen het geautomatiseerde systeem. Deze aspecten zijn mogelijk beoordeeld door een extern deskundige, zodat de controle medewerker diens informatie kan gebruiken om de ‘ist-positie’ vast te stellen.
Opzet van de AO/IB
De opzet van de AO/IB is vaak vastgelegd in organisatieschema’s, procedurebeschrijvingen, stroomschema’s, kassa-instructies, taak- en functiebeschrijvingen, bevoegdhedenregelingen, handboeken en dergelijke. Op basis van deze documentatie vormt de controle medewerker zich een beeld van de AO/IB. Hij vergroot door middel van gesprekken met de ondernemer en/of (na toestemming van de leiding) met diens medewerkers zijn inzicht in de AO/IB.
Meer informatie over de AO/IB staat in de bijlage bij dit hoofdstuk.
Formele en materiële beoordeling
Steunen op het werk van accountants
Controleprogramma
Bedrijfsverkenning
Richtlijn 9a
Opzet AO/IB
Wanneer de controle medewerker de opzet van de AO/IB voor de geautomatiseerde omgeving beoordeelt, besteedt hij samen met de EDP-auditspecialist aandacht aan de ‘application controls’, de geprogrammeerde beheersingsmaatregelen die zijn opgenomen in de applicaties zelf.52 Verder besteedt de controle medewerker samen met de EDP-auditspecialist ook aandacht aan de inrichting van de ‘interfaces’ tussen applicaties en op welke wijze de ‘audit trail’ is gewaarborgd.
Als de controle medewerker gebruikmaakt van een analyse van de bedrijfsprocessen en de
beheersingsmaatregelen die door de onderneming zelf of haar adviseur/accountant zijn opgesteld, gaat de controle medewerker na of die toereikend zijn.
In de markt zijn verschillende certificeringen verkrijgbaar, waarvan de ISO-certificeringen de bekendste is. Onder andere de ISO 9001 ‘Kwaliteit’ en 27002 ‘Informatiebeveiliging’ kunnen voor de controle van de controle medewerker relevante certificeringen zijn. Een dergelijk certificaat geeft aan dat de processen van het bedrijf in opzet voldoen aan de normen van de ‘International Standards Organization’. Aandachtspunt is dat het bedrijf zelf kan beslissen welke processen het onder het certificaat wil laten vallen. De controle medewerker moet zich ervan vergewissen dat de voor hem relevante processen ook onder het certificaat vallen en dus beschreven, intern bekend zijn en gevolgd worden. In douaneonderzoeken kan de controle medewerker ook nog gebruikmaken van certificaten als TAPA (‘Technology Asset Protection Association’) en Erkend Luchtvrachtagent.
Het kasverkeer is een proces dat vaak bijzondere aandacht vraagt. Gedurende de analyse van de administratie is het daarom van belang dat de controle medewerker zich een helder beeld vormt van de opzet van de AO/IB betreffende dit proces. Informatie over het type kassasysteem is in dat kader van belang. Er bestaan namelijk kassasystemen waarvoor het ‘Keurmerk betrouwbare afreken systemen’ is afgegeven. Indien de ondernemer een kassasysteem gebruikt met een dergelijk keurmerk, levert dit de controle medewerker positieve voorinformatie op. Het keurmerk garandeert immers een gesloten kassasysteem. De mutaties die in het kassasysteem geregistreerd zijn, kunnen niet meer achteraf worden gemanipuleerd en de ‘audit trail’ is in het kassasysteem gewaarborgd.
Ook aspecten als de beschikbaarheid van auditfiles en het bijhouden van logging zijn gewaarborgd.
Het keurmerk garandeert daarmee dat datgene wat is vastgelegd, ook ongewijzigd blijft. Dit kan invloed hebben op de keuzes ten aanzien van de gegevensgerichte controles (zie hoofdstuk 10.4.3
‘Volledigheid van het geldverkeer’). De controle medewerker krijgt betrouwbare informatie over de vastgelegde transacties. Het betekent tevens dat de controle medewerker alert moet blijven op wat mogelijk niet is vastgelegd. Ook moet hij alert blijven op de wijze waarop datgene wat wel is vastgelegd, terecht komt in de verantwoording.
Of een onderneming nu wel of geen kassasysteem met een keurmerk heeft, de controle medewerker gaat met betrekking tot de AO/IB inzake het kasverkeer achtereenvolgens het volgende na:
– wat het belang is van de kasstromen;
– in welke mate de ondernemer er belang bij heeft dat de transacties juist en volledig worden vastgelegd;
– hoe het kassasysteem bij de ingebruikname is ingeregeld;
– welke functiescheidingen er te onderkennen zijn ten aanzien van de kas;
– welke algemene procedures er zijn ten aanzien van het beheer van de kas;
– of er één of meer kasregisters zijn en welke rapportage- en controlemogelijkheden er zijn, zoals het gebruik van X- en Z-afslagen en de controlerol;
– op welke wijze de vastleggingen gedaan worden als er geen kasregister is;
– hoe toezicht wordt gehouden op de kas (kascontrole);
– hoe de kasrapportage in de financiële administratie wordt verwerkt.
52 Tijdens de voorwaardelijke controles (zie paragraaf 9.6 ‘Voorwaardelijke controles’) besteedt de controle-medewerker ook aandacht aan de ‘general IT controls’.
‘Interfaces’ en audit trail
Gebruik van werk van anderen
ISO 9000
Keurmerk kassasystemen
AO/IB rondom kasverkeer
Het personeelsproces wordt voor veel ondernemingen als relevant proces aangemerkt. De controle-medewerker verzamelt gedurende de analyse van de administratie onder andere antwoorden op vragen als:
– hoe ziet het proces betreffende de aanstelling en het ontslag van personeelsleden eruit?
– hoe wordt de beloning bepaald en op welke wijze verloopt de uitbetaling?
– hoe worden de uren gepland en geregistreerd? Zijn er bijvoorbeeld werkroosters?
– welke functiescheidingen zijn aanwezig in het personeelsproces en is dat voldoende?
– op welke wijze wordt een verband gelegd tussen de aanwezigheidsregistratie plus vakantie, ziekte en dergelijke enerzijds en de (in)directe uren anderzijds? Wordt dit verband periodiek ook intern gelegd en/of geanalyseerd?
– op welke wijze worden de indirecte uren en absentie-uren intern op aanvaardbaarheid getoetst?
– op welke wijze wordt er een verband gelegd tussen de directe uren en de geleverde prestaties?
– welke verbanden worden er gelegd tussen de brutosalarissen en de inhoudingen en nettosalarissen?
– hoe worden de bruto-nettoberekeningen intern op aanvaardbaarheid getoetst?
– welke toetsingen op de uitbetaling van de inhoudingen (loonheffing, premieheffing werknemersverzekeringen, pensioenpremies en dergelijke) en nettosalarissen worden er uitgevoerd?
Bedrijfsprocesanalyse
In het MKB zijn processchema’s vaak niet beschikbaar. Dat betekent dat de controle medewerker dan zelf de AO/IB in kaart moet brengen. Daarvoor kan hij gebruikmaken van de zogenoemde
‘bedrijfsprocesanalysemethode’ (BPA) of een vergelijkbare methode. De BPA is bij uitstek een techniek om de AO/IB inzake de relevante bedrijfsprocessen te structureren en systematisch vast te leggen. Met de BPA brengt hij de verschillende bedrijfsprocessen in kaart, legt hij de norm vast die aan de AO/IB mag worden gesteld, geeft hij de procesrisico’s weer, gaat hij na hoe deze risico’s door het bedrijf worden afgedekt en schat hij de restrisico’s in.
De controle medewerker beperkt zich niet tot de analyse van de afzonderlijke bedrijfsprocessen, maar maakt ook de verbanden daartussen inzichtelijk. Daartoe vormt hij zich een beeld van de wijze waarop de gegevens van de primaire vastleggingen verder (subsidiair) verwerkt worden en uiteindelijk in de (financiële) verantwoordingen worden opgenomen.
Wanneer de openbaar accountant een controle heeft ingesteld, mogen we er vrijwel altijd van uitgaan dat deze al een soortgelijke procesanalyse heeft uitgevoerd. De controle medewerker kan dan gebruikmaken van het werk dat de accountant al heeft verricht.
Ondanks een goede opzet van de AO/IB kunnen beheersingsmaatregelen worden omzeild en gefrustreerd indien meerdere personen dat beogen. Dat wordt ook wel ‘samenspanning’ genoemd.
Bovendien heeft het management vaak de mogelijkheid de interne beheersing te doorbreken.
Dergelijke inbreuken zijn meestal dusdanig gecamoufleerd in de administratie dat het vaak onmogelijk is voor de controle medewerker om ze vast te stellen.
Bestaan van de AO/IB
Het is van belang niet alleen informatie te verkrijgen over de opzet van de AO/IB, maar ook om na te gaan of de beschreven organisatie inderdaad heeft bestaan en nog steeds bestaat. De feitelijke situatie van de AO/IB behoeft om verschillende redenen namelijk niet in overeenstemming te zijn met de beschreven situatie. Dat bepaalde maatregelen en procedures zijn voorgeschreven, behoeft nog niet te betekenen dat ze ook worden nageleefd. Verder kunnen maatregelen en procedures achterhaald zijn, omdat bijvoorbeeld de activiteiten van de huishouding gewijzigd zijn of omdat de organisatiestructuur veranderd is.
Personeelsproces
BPA
Verbanden bedrijfsprocessen
Doelmatig werken
Kwade trouw
Theorie en praktijk
Een belangrijk aspect waarmee de controle medewerker rekening moet houden, is dat hij meestal achteraf controleert. De situatie in de controleperiode behoeft niet altijd de situatie te zijn die hij nu in het bedrijf aantreft. De controle medewerker gaat dus na of zich belangrijke wijzigingen hebben voorgedaan, zoals nieuwe productieprocessen, een fusie, nieuw management en dergelijke.
Wijkt de situatie in de controleperiode niet te veel af van de huidige situatie, dan kan de controle-medewerker het bestaan van de AO/IB toetsen door actuele (management)rapportages op te vragen.
Ook kan hij gebruikmaken van waarnemingen ter plaatse of fysieke controles en lijncontroles op de huidige administratie uitvoeren.
Lijncontrole
Met een lijncontrole volgt de controle medewerker van een bepaalde transactie (bijvoorbeeld de verkoop van een goed) alle relevante (deel)processen om te beoordelen aan welke procedures de transactie feitelijk onderworpen is (bestaan) en of die in overeenstemming zijn met de gepresenteerde opzet van de AO/IB.
De controle medewerker voert minimaal één lijncontrole uit per proces per boekjaar. Hiermee krijgt hij in elk geval een goed inzicht in de relevante bedrijfsprocessen en de samenhang daartussen. Het aantal uit te voeren lijncontroles is afhankelijk van de aard en omvang van de organisatie en of zich in het boekjaar belangrijke wijzigingen hebben voorgedaan in de organisatie.
Er zijn twee soorten lijncontroles, de zogenaamde ‘cradle to grave-test‘ (ook wel ‘walkthrough test’) en de ‘grave to cradle-test’. De ‘cradle to grave-test‘ is een lijncontrole waarmee vanuit de oorspronkelijke primaire vastleggingen, bijvoorbeeld het bestellingenbestand, een transactie wordt gevolgd tot aan de vastlegging in het grootboek.
Met een ‘grave to cradle-test’ wordt de omgekeerde route gevolgd, bijvoorbeeld vanuit de verantwoorde verkopen terug naar de initiële verkooporders. Het zal duidelijk zijn dat de meeste informatie wordt verkregen door beide soorten lijncontroles toe te passen.
Het antwoord op de vraag of lijncontroles kunnen worden uitgevoerd, wordt mede bepaald door de mate waarin de administratieve organisatie de mogelijkheden biedt transacties administratief te volgen (‘accounting trail‘) en te controleren met brondocumenten (‘audit trail’). Door lijn-controles uit te voeren vergroot de controle medewerker tevens zijn inzicht in de belangrijkste bedrijfsprocessen en de daarbij behorende primaire en subsidiaire vastleggingen.
De controle medewerker of de EDP-auditspecialist kan onderzoeken of de geprogrammeerde beheersingsmaatregelen (‘application controls’) bestaan. Het is ook mogelijk dat er gebruik kan worden gemaakt van het werk van derden, bijvoorbeeld externe IT-auditors. In dat geval kan er een ‘review’ worden gedaan op de uitgevoerde werkzaamheden. Ook met eigen waarnemingen, herberekeningen, herhalingen en cijferanalyse kan informatie worden verzameld over de ‘ist-positie’. Voor inzicht in de AO/IB kunnen in sommige gevallen ook data-analysetechnieken worden toegepast.
Wanneer de organisatie gebruikmaakt van applicaties waarvoor een keurmerk is afgegeven, zoals het ‘Keurmerk Betrouwbare Afrekensystemen’, besteedt de controle medewerker aandacht aan de wijze waarop de applicatie is ingericht, en of deze afwijkt van de keurmerkinstellingen.