• No results found

9.6 Voorwaardelijke controles

9.6.6 Vaststelling materiële betrouwbaarheid

Als laatste activiteit van de voorwaardelijke controles stelt de controle medewerker de materiële betrouwbaarheid van de administratie vast. Hij beoordeelt of alles wat verantwoord had moeten worden, ook werkelijk is verantwoord. De beoordeling van de ‘general IT-controls’ is hiervoor onmisbaar.

Met de vaststelling van de materiële betrouwbaarheid van de administratie bevindt de controle-medewerker zich in het gebied tussen de eerste en tweede ovaal van het transactiemodel dat reeds in hoofdstuk 5.4 ‘Transactiemodel’ is beschreven. Het verband tussen de eerste en tweede ovaal laat zien dat van alle transacties in de werkelijk wereld een primaire vastlegging moet worden opgenomen, inclusief alle relevante kenmerken van de transacties. Kortom, de controle medewerker gaat na of de AO/IB effectief heeft gefunctioneerd. Daartoe beperkt hij zich eerst tot de zogeheten

‘keycontrols’, waaronder de maatregelen van onvervangbare interne beheersing in de relevante bedrijfsprocessen inclusief de ondersteunende applicaties.56 De relevante bedrijfsprocessen heeft de controle medewerker eerder in de bedrijfsverkenning al bepaald, zie paragraaf 8.6 ‘Vaststelling verbanden tussen relevante bedrijfsprocessen’. De omzetverantwoording is in bijna alle gevallen een relevant bedrijfsproces.

De maatregelen van onvervangbare interne beheersing kunnen achteraf niet door de onderneming, de openbaar accountant of de controle medewerker worden uitgevoerd. Onvervangbare interne-beheersingsmaatregelen zijn dus maatregelen en procedures waarvan leemten of gebreken (tekortkomingen) achteraf niet kunnen worden hersteld. Het gaat vaak om de waarborgen dat de transacties van de onderneming zodanig worden geregistreerd – in casu de primaire registraties – dat de volledigheid van de omzetverantwoording controleerbaar is. Voorbeelden van onvervangbare internecontrolemaatregelen zijn: functiescheiding, leegstandcontroles, toegangscontroles (bioscoop, het klassieke – en dus herkenbare – voorbeeld) en de kwaliteits- en kwantiteitsinspecties tijdens de ontvangst van goederen.

Wanneer een controle wordt ingesteld, is de eerste mogelijke waarneming van een transactie de primaire vastlegging ervan in de administratie van de onderneming. De koop van een product in de winkel is achteraf niet meer waar te nemen. De registratie ervan op de scankassa in de winkel is meestal wel achteraf zichtbaar. Hiervoor is het noodzakelijk dat de winkel maatregelen van interne beheersing heeft genomen om te kunnen garanderen dat de verkoop van het product ook echt wordt geregistreerd, bijvoorbeeld door functiescheiding. Deze maatregelen moeten functioneren wanneer de transactie wordt voltrokken. Zo niet, dan is achteraf geen zekerheid te geven over de juistheid en de volledigheid van de registratie van de transactie.

Dergelijke beheersingsmaatregelen zijn er op diverse managementniveaus (de zogeheten

‘management controls’), als ook op procesniveau (de zogeheten ‘process controls’); zie de bijlage bij dit hoofdstuk voor voorbeelden. Tezamen moeten zij ervoor zorgen dat de aangiften vrij zijn van materiële onjuistheden of onvolledigheden. Ook is het mogelijk dat de controle medewerker ‘non-keycontrols’ in zijn testwerkzaamheden zal betrekken. Hierover later in dit hoofdstuk meer.

Beheersingsmaatregelen

Onvervangbare interne beheersingsmaatregelen

Testmethode

De controle medewerker stelt een testplan vast waarin het volgende is opgenomen:

– de geïdentificeerde (fiscale) risico’s;

– de internebeheersingsmaatregelen (in ieder geval de ‘keycontrols’) die getest moeten worden;

– de aard van de ‘key control’ (handmatig dan wel geprogrammeerd);

– de testmethode per ‘key control’;

– het aantal tests per ‘key control’;

– de relevante documenten die ten behoeve van de test opgevraagd moeten worden;

– de gegevens die per test in het controledossier zullen worden vastgelegd. In het algemeen zijn dat de naam van de tester, de testdetails, het testtijdstip, de testlocatie en de testbevindingen;

– testbevindingen en de gevolgen hiervan voor de reductie van de gegevensgerichte controlewerkzaamheden.

Uiteraard gaat de controle medewerker eerst na of de ‘keycontrols’ al intern – bijvoorbeeld door de interne accountant of door andere medewerkers die met het toezicht op de interne beheersing belast zijn – of extern (door de openbaar accountant) zijn onderzocht op de effectieve werking ervan. Hij gaat dan na in hoeverre hij daarop kan steunen. Is dat niet het geval, dan zal hij een keuze moeten maken. Ofwel hij voert deze systeemgerichte controlewerkzaamheden alsnog uit, ofwel hij richt zijn controle (grotendeels) gegevensgericht in. Die keuze is afhankelijk van de omvang en aard van het bedrijf, het inzicht in de AO/IB (inclusief de controleerbaarheid van de ‘keycontrols’).

Afhankelijk van de aard van de test verricht de controle medewerker meestal één of een combinatie van de volgende vier activiteiten:

Hij voert een inlichtingengesprek (interview) met de betrokken medewerker(s) om zekerheid te krijgen over de status van de ‘keycontrols’. De controle medewerker stelt met open vragen vast of degene die hij interviewt het juiste antwoord kan geven zonder hulp of aanwijzingen. Weet de bevraagde wat hij moet doen, waarmee hij dat moet doen, wanneer hij dat moet doen en wat de relevantie daarvan is?

– Hij verifieert aan de hand van onderzoek van documentatie of een ‘key control’ al dan niet is uitgevoerd. Dit kan bijvoorbeeld blijken als een paraaf is geplaatst of juist ontbreekt of als een adequate reactie op afwijkingen al dan niet is uitgebleven. In dit kader kan worden gedacht aan het achterblijven van een nadere analyse door de controller op het moment dat uit de margeanalyse op de opbrengsten per periode blijkt dat het verschil tussen de gerealiseerde marge en de begrote marge in periode X groter is dan de vooraf als acceptabel gedefinieerde afwijking.

– Hij voert een waarneming ter plaatse uit om te beoordelen of een bepaalde beheersings-maatregel al dan niet werkt, bijvoorbeeld doordat de betrokken medewerker in aanwezigheid van de controle medewerker tracht zijn functie te doorbreken en de controle medewerker vervolgens vaststelt dat het systeem dit ook echt blokkeert. Uiteraard meldt de controle-medewerker deze toetsing dan vooraf aan de belastingplichtige en verzekert hij zichzelf ervan dat eventuele nadelige gevolgen van deze test herstelbaar zijn. Het is goed om te beseffen dat een dergelijke waarneming ter plaatse in beginsel alleen iets zegt over de werking van de internebeheersingsmaatregel op dat moment.

– Hij voert nogmaals een ‘key control’ uit. Herhalen van procedures kan alleen als de eerdere uitvoering van de internebeheersingsmaatregel is gedocumenteerd. Dit geeft de hoogste zekerheid over de werking van de AO/IB.

Testplan

Steunen op werkzaamheden van anderen

Interview

Verificatie

Waarneming ter plaatse

Herhalen van procedures

Naast de aandacht voor de ‘hard controls’ is het ook van belang dat de controle medewerker zich een beeld vormt van de ‘soft controls’ op de werkvloer en aan de top. Wat is de houding van het personeel en het management ten aanzien van interne beheersing? Voert men de voorgeschreven procedures min of meer automatisch uit zonder erbij na te denken en voelt men zich ook echt betrokken bij het proces? Is er sprake van een gedragscode en/of een klokkenluidersregeling en in hoeverre wordt er toegezien op de naleving ervan? Worden vermoedens van misstanden door of jegens het personeel aan de orde gesteld en wordt hieraan vervolgens door de ‘compliance officer’ gevolg gegeven? De controle medewerker kan dit achterhalen door gesprekken te voeren en waarnemingen ter plaatse uit te voeren. Voor interviews met medewerkers vraagt de controle-medewerker eerst toestemming aan de leiding van het bedrijf. Dit geldt onverkort ook voor de interviews ten aanzien van de ‘hard controls’.

Elementen waarop de controle medewerker kan letten wanneer hij de ‘soft controls’ in beeld brengt, zijn: helderheid, bespreekbaarheid, voorbeeldgedrag (toon aan de top), betrokkenheid, uitvoerbaarheid, transparantie, aanspreekbaarheid en handhaving.

Het is belangrijk dat de opgedane beelden rondom de ‘soft controls’ worden gedeeld met collega’s en tijdens vaktechnische bijeenkomsten worden besproken, omdat deze ‘zachte’ informatie soms moeilijk te interpreteren is. Door beelden over opvallende zaken met betrekking tot de interne beheersing te delen, kunnen we deze scherper maken dan wel juist afzwakken. Wanneer er consequenties worden getrokken uit de bevindingen ten aanzien van de ‘soft controls’, dienen deze te worden vastgelegd in het dossier.

‘Dual purpose test’

Indien de controle medewerker van een transactie zowel de internebeheersingsmaatregelen toetst (systeemgericht) als een controle uitvoert op de juistheid van het gegeven zelf (gegevensgericht), voert hij een zogeheten ‘dual purpose test‘ uit.57 In deze paragraaf beschrijven we alleen de wijze waarop de controle medewerker de systeemgerichte controlewerkzaamheden (systeemtests) uit de ‘dual purpose test’ moet uitvoeren. Ten behoeve van de ‘dual purpose test’ wordt op de (gereduceerde) steekproef (zie hoofdstuk 11 ‘Juistheidscontroles’) een postensteekproef getrokken.

Van die getrokken posten voert de controle medewerker een systeemtest uit.

Testmoment

De tests moeten erop toezien dat de controle medewerker een uitspraak kan doen over de werking over het gehele controletijdvak. Meestal doet de situatie zich voor dat een fiscale controle na afloop van het controletijdvak wordt ingesteld. Dan is een waarneming ter plaatse niet meer mogelijk voor dat desbetreffende controletijdvak. De controle medewerker zal er in dergelijke gevallen voor kiezen om nogmaals de ‘key control’ uit te voeren, dan wel documentatie te onderzoeken ter verificatie.

Ook kan de controle medewerker ten tijde van de controle, dus na het controletijdvak, een beperkt aantal testen uitvoeren. Wel moet hij nagaan of de opzet van de AO/IB sinds het controletijdvak niet gewijzigd is. Want alleen dan kan hij de bevindingen van de testactiviteiten ten tijde van de controle combineren met de bevindingen van de testactiviteiten over het controletijdvak, om zo een conclusie te kunnen trekken over de werking van de AO/IB gedurende het controletijdvak.

De controle medewerker zorgt er daarnaast voor dat hij inzicht krijgt in de testactiviteiten van de openbaar accountant door onder andere om inzage in het controledossier van de accountant te verzoeken. In het traject van horizontaal toezicht en AEO kan de controle medewerker, door te werken in de actualiteit, de waarneming ter plaatse wel uitvoeren gedurende het desbetreffende controletijdvak.

‘Soft controls’

Systeemgerichte werkzaamheden t.a.v. ‘dual purpose test’

Werking gedurende controletijdvak

AO/IB niet gewijzigd

Aantal tests

Conform de reductietabel (zie hoofdstuk 11 ‘Juistheidscontroles’) geldt dat de controle medewerker ten aanzien van het aantal (‘dual purpose’) tests altijd een minimum van 25 moet hanteren.

Indien sprake is van een meer complexe organisatie met een groter aantal bedrijfsprocessen, kan niet worden volstaan met het genoemde minimumaantal van 25. Het aantal uit te voeren (‘dual purpose’) tests wordt dan door de controle medewerker vastgesteld op basis van ‘professional judgement’. Het genoemde aantal van 25 geldt ook als minimum voor het aantal ‘dual purpose tests’ in een gereduceerde steekproef.

Geprogrammeerde beheersingsmaatregelen

Wanneer de ‘ist-positie’ van de AO/IB wordt vastgesteld, onderzoekt de EDP-auditspecialist in opdracht van de controle medewerker de opzet van de ‘general IT-controls’. Waar dit zinvol wordt geacht, worden gedurende de voorwaardelijke controles ook het bestaan en de werking onderzocht. Op het moment dat de randvoorwaardelijke IT-beheersingsmaatregelen, de ‘general IT-controls’, effectief zijn, kan de EDP-auditspecialist volstaan met een eenmalige test van de fiscaal relevante, geprogrammeerde controles (‘application controls’). De kentering van handmatige naar geprogrammeerde beheersingsmaatregelen heeft als bijkomend voordeel dat de controle-medewerker zijn controlewerkzaamheden kan beperken.

Wanner de EDP-auditspecialist de werking van de ‘general IT-controls’ vaststelt, zal hij over het algemeen gebruikmaken van werkzaamheden die zijn uitgevoerd door andere (door het bedrijf zelf ) ingeschakelde deskundigen.

Onvolkomenheden

Wanneer een onvolkomenheid in een ‘key control’ wordt geconstateerd, legt de controle medewerker dat in zijn controledossier vast. De onvolkomenheden moeten worden geëvalueerd om te bepalen waardoor deze AO/IB-maatregel (deels) niet heeft gewerkt. Bovendien gaat de controle medewerker na of dit falen (enigszins) wordt gemitigeerd door andere maatregelen in de AO/IB. Daarnaast moet hij nagaan of het gaat om een incidentele of een structurele onvolkomenheid. Indien nodig zal hij daartoe het aantal tests uitbreiden. Vervolgens zal hij moeten inschatten wat de invloed van het falen van deze ‘key control’ kan zijn op de volledigheid en juistheid van de aangifte. Uiteraard gaat het uiteindelijk om het gecombineerde effect van alle maatregelen in de AO/IB. Ten slotte spreekt hij zijn bevindingen met de belastingplichtige door. Dat gesprek zal vaak resulteren in een afspraak voor de toekomst of een waarschuwing.

Beoordeling intern uitgevoerde controles

Een veelgebruikte beheersingsmaatregel is de controle op de cijferanalyses die de organisatie zelf uitvoert – wordt dat adequaat gedaan? – en op opvallende verhoudingen en ontwikkelingen:

worden die intern afdoende geanalyseerd en verklaard? De controle medewerker stelt dan vervolgens van enkele interne analyses de inhoudelijke juistheid vast.

Daarnaast gaat de controle medewerker na of er intern relevante verbandscontroles zijn uitgevoerd.

In sommige gevallen voert de openbaar accountant en/of fiscaal adviseur ook nog relevante verbandscontroles uit. De controle medewerker gaat ook na welke verbandcontroles zijn uitgevoerd.

Die vult hij indien nodig aan door zelf enkele (omspannende) verbandscontroles, verspreid over de controleperiode, te herhalen. Bovendien stelt de controle medewerker vast of eventuele verschillen intern zijn geanalyseerd en afdoende zijn verklaard. Zo nodig voert hij zelf een kritische deelwaarneming op de onderliggende brondocumenten uit.

Handmatig en automatisch

Onvolkomenheden

Beoordeling intern uitgevoerde controles

Verbandscontroles