The Audit Risk Model
“Gaat de efficiency ten koste van de effectiviteit?”
Bachelor scriptie Accountancy & Control
Sella Baykara 10438793
29 juni 2015, definitieve versie Supervisor: E.A. Duyster-Went
Statement of Originality
This document is written by Sella Baykara who declares to take full
responsibility for the contents of this document.
I declare that the text and the work presented in this document is original
and that no sources other than those mentioned in the text and its
references have been used in creating it.The Faculty of Economics and
Business is responsible solely for the supervision of completion of the
work, not for the contents.
I. Abstract
In dit onderzoek is onderzocht of de efficiency van de audit met behulp van het auditrisk model ten koste gaat van de effectiviteit van de audit. Het model wordt wereldwijd toegepast door auditors, maar de afgelopen jaren is het hevig onder vuur komen te liggen en is er kritiek geleverd over de geschiktheid en adequaatheid ervan. Middels een
literatuuronderzoek, kan er geconcludeerd worden dat de auditor met behulp van het auditrisk model minder werkzaamheden hoeft te verrichten en minder auditkosten maakt. Door de juiste inschatting van het inherente en interne controle risico ontdekt de auditor eveneens meer materiële fouten. Verder kan er geconcludeerd worden dat er aan het auditrisk model ook nadelen zitten. Het blijkt dat het voor de auditor lastig is om een duidelijke onderscheid te kunnen maken tussen het inherente en interne risico, wat wel essentieel is. Dit onderzoek draagt bij aan voorgaande literatuur omdat er in dit onderzoek het effect van de business risk voor de audit ook is onderzocht als onderdeel van het auditrisk model. Echter, ook hier verschillen de meningen over of de business risk een onderdeel is van het auditrisk model of niet. De suggesties voor vervolgonderzoeken naar deze vraag en meer, kunnen leiden tot een betere inzicht.
II. Inhoudsopgave
I abstract blz. 3
II Inhoudsopgave blz. 4
1) Inleiding blz. 5
2) De accountantscontrole blz. 7
3) het audit risk model blz. 8
3.1) introductie blz. 8
3.1.1) ontwikkeling van het model blz. 9
3.2) componenten van het model blz. 9
3.2.1) accountantscontrole risico blz. 9
3.2.2) inherente risico blz. 9
3.2.3) Interne controle risico blz. 10
3.2.4) Detectie risico blz. 11
4) Audit risk model en efficiency blz. 12
5) Audit risk model en effectiviteit blz. 15
6) Tekortkomingen van het model blz. 19
7) Discussie en vervolgonderzoek blz. 20 7.1 discussie efficiency blz. 20 7.2 discussie effectiviteit blz. 21 7.3 vervolgonderzoek blz. 23 8) Conclusie blz. 24 9) Bibliografie blz. 25
1. Inleiding
Op 7 oktober 1999 stelde de voorzitter van de Securities and Exchange Commission (SEC) Arthur Levitt Jr. in een toespraak:
“ In an era that calls for greater risk management, the industry (het accountantsberoep) has migrated to what they call the “risk-based” model. Because of the challenges of executing these new standards well, I wonder if the public interest is being better served. We cannot permit thorough audits to be sacrificed for re-engineered approaches that are marginally more efficient, but significantly less effective” (Levitt, 1999)
Het model dat Levitt Jr. in zijn speech aanhaalt is het auditrisk model. Volgens Blokdijk (2001, p.71) wordt door de Amerikaanse Securities and Exchange Commission (SEC) en eveneens door de International Organizatiion of Securities Commissions (IOSCO) publiekelijk getwijfeld of dit model wel degelijk effectief is. Volgens Allen, Hermanson, Kozloski en Ramsay (2006) hebben verschillende onderzoekers het audit risk model kritisch bekeken. Hierbij zijn er verschillende conclusies getrokken over de geschiktheid en
adequaatheid van het model. dat er over de afgelopen dertig jaar verschillende onderzoekers het audit risk model kritisch hebben bekeken met betrekking tot de geschiktheid en
adequaatheid ervan die hebben geleid tot gemixte conclusies.
De accountantscontrole van de jaarrekening vind plaats in de vorm van zogenaamde gegevensgerichte en systeemgerichte controles. Deze gegevensgerichte controles zoals het inventariseren, van goederen, gelden en waardepapieren zijn volgens Blokdijk (2001, p.71) een essentieel deel van de werkzaamheden van de accountant. Blokdijk (2001, p.1) stelt dat er in de loop van de tijd een omschakeling is ontstaan bij het controleren van de jaarrekening naar een systeemgerichte aanpak, omdat men ervan uitgaat dat de accountantscontrole hierdoor efficiënter zal zijn. Volgens Blokdijk (2001, p.71) bestaat er een voorkeur voor de systeemgerichte aanpak bij de accountantscontrole in Nederland. Dit houdt in dat de accountantscontrole vooral bestaan uit systeemgerichte werkzaamheden, waarbij gegevensgerichte controles geminimaliseerd worden.
De systeemgerichte aanpak steunt op de risicoanalyse. Zo stelt Blokdijk (2001, p1.) dat deze voorkeur voor systeemgerichte controle gesteund wordt door de theorie van de risicoanalyse ingeval het inherent risico en het interne controle risico niet ‘hoog’ zijn, waardoor er dus minder gegevensgerichte werkzaamheden plaats hoeven te vinden en efficiënter gewerkt kan worden.
Al met al wordt de systeemgerichte aanpak gebaseerd op de risicoanalyse die ook wel bekend staat als het audit risk model (Blokdijk, 2001, p.1).
Daarentegen is het auditrisk model de laatste jaren hevig onder vuur komen te liggen.
vervolgens stelt de Koning (2002, p.272) voor om het inherente risico door het bedrijfsrisico te vervangen.
De verschillende meningen over het model hebben mij geleid tot de volgende onderzoeksvraag: “Gaat de efficiency van de accountantscontrole met behulp van het audit risk model ten koste van de effectiviteit?”
Deze onderzoeksvraag wordt onderzocht met behulp van een
literatuuronderonderzoek. Dit literatuuronderzoek zal bijdragen aan het bestaande literatuur, omdat er over de efficiency en effectiviteit van het auditrisk model afzonderlijk is
geschreven, maar deze nog niet eerder in eenzelfde onderzoek zijn gecombineerd. Hiervoor breng ik de relevante literatuur bij elkaar om zo een antwoord te kunnen geven op mijn onderzoeksvraag
In hoofdstuk twee zal allereerst een duidelijker beeld gegeven worden van de accountantscontrole en waarom deze nodig is. Verder wordt in hoofdstuk drie het audit risk model toegelicht en de bijbehorende componenten verder uitgewerkt. In hoofdstuk vier wordt de efficiency van het model onderzocht, waarna in hoofdstuk vijf ingegaan zal worden op de effectiviteit van het model. In hoofdstuk zes komen de tekortkomingen van het model aan bod en in hoofdstuk zeven zal de discussie plaatsvinden. In hoofdstuk acht wordt er ten slotte afgesloten met de conclusie.
2. De Accountantscontrole
Limperg legde de basis voor het accountantsberoep in zijn artikel Leer van het gewekte vertrouwen (1932). Mollema (2003) bespreekt het doel van de accountantscontrole, waarbij gesproken wordt over de term “assurance” die gegeven wordt over de kwaliteit van een object, denk hierbij als voorbeeld aan de gecontroleerde jaarrekening.
Mollema (2003) definieert deze term als “ het geven van inzicht in inbreuken op een kwaliteitstoestand van een object en in kansen dat deze zullen optreden, op zodanige wijze dat duidelijk wordt of aan een van tevoren gedefinieerde standaard al dan niet is voldaan”. De assurance die over de kwaliteit van de jaarrekening door de accountantscontrole wordt gegeven, kan nuttig zijn voor een gebruiker van die jaarrekening die hier belang in stelt, maar niet in staat is alle relevante details te begrijpen die te maken hebben met de kwaliteit van de jaarrekening (Mollema, 2003). Echter, zo stelt Mollema (2003) dat het geven van assurance niet verward dient te worden met het afgeven van volledige zekerheid.
Mollema (2003) en Klijnsmit (2003, p.190) stellen “assurance” dient om de onzekerheid, dan wel de onwetendheid te reduceren.
Het is noodzakelijk voor de auditor de waarschijnlijkheid dat hij tot een fout oordeel komt te beperken, omdat deze valse assurance consequenties met zich meebrengt (Mollema, 2003). Een fout oordeel die door de auditor wordt gegeven, kan volgens Mollema (2003) twee richtingen op, namelijk een ten onrechte positief oordeel of een ten onrechte negatief oordeel.
In de meeste gevallen worden er positieve oordelen afgegeven door de auditor, waarbij het grootste auditrisico bestaat dat deze positieve “assurance” wordt afgegeven op grond van onjuiste conclusies (Mollema, 2003). Mollema beschrijft dat dit risico ingeperkt dient te worden tot een aanvaardbaar niveau, maar nooit helemaal kan worden uitgesloten (2003). Volgens Mollema (2003) kan er met behulp van een model dat wereldwijd toepassing heeft gekregen, het auditrisico geanalyseerd worden. Dit model is het auditrisk model.
In dit hoofdstuk is de accountantscontrole in grote lijnen aan bod gekomen. Het auditrisk model speelt hierbij een grote rol. In het volgende hoofdstuk zal er verder worden ingegaan op het auditrisk model en zullen de componenten verder beschreven worden.
3. Het Audit Risk Model
Zoals in de inleiding is aangekondigd, zal in dit hoofdstuk het audit risk model worden besproken en een duidelijker beeld gegeven worden van de componenten ervan. Allereerst wordt het model geïntroduceerd en een kleine toelichting gegeven over de ontwikkeling van het model. Vervolgens zullen de verschillende componenten, zoals inherente risico, interne controle risico en detectie risico verder beschreven worden om een duidelijker beeld te krijgen van het model en de werking ervan.
3.1 Introductie
Het audit risk model is een model dat wereldwijd erkend is en toegepast wordt (Mollema, 2003). Het doel van de accountantscontrole is de gebruikers van de financiële gegevens van een bedrijf een redelijke mate van zekerheid verschaffen. Hoe de accountant dit proces inricht is gebaseerd op het audit risk model. Volgens Blokdijk (2001) is het audit risk model een systeemgerichte aanpak die gebaseerd is op de risicoanalyse in de accountantscontrole. Met behulp van het audit risk model worden bij de aanvang van de accountantscontrole bij een bedrijf de risico’s ingeschat. Deze risico’s hebben betrekking op de vraag of de
jaarrekening materiele fouten bevat. Volgens Klijnsmit, Sodekamp en Wallage (2003) moet de controle op de jaarrekening zodanig worden ingericht dat het audit risk tot een
aanvaardbaar niveau wordt beperkt. Het is vervolgens aan de accountant zelf om het audit risk in te schatten, waarbij dit risico over het algemeen ligt tussen de 1% en 5% kans dat er bij een jaarrekening die materiele fouten bevat, alsnog een goedkeurende verklaring wordt gegeven (Klijnsmit, Sodekamp en Wallage, 2003).
3.1.1 Ontwikkeling van het model
Het ontstaan van het audit risk model vindt plaats in de jaren zeventig en tachtig van de vorige eeuw (Kloosterman, 2004, p.572). Dit model heeft vervolgens een duw in de rug gekregen door er wiskunde en steekproeven, die gebaseerd zijn op Bayesiaanse statistiek, aan toe te voegen (Kloosterman, 2004, p.572). Hiernaast heeft het audit risk model een verdere ontwikkeling doorgemaakt wat betreft de componenten ervan. Eerst werd in SAS 39 (AICPA 1981) het inherente risico niet inbegrepen in het model (Strawser, 1991). Echter, twee jaar later is het inherente risico toegevoegd aan het audit risk model in SAS 47 (AICPA 1983).
3.2 Componenten van het model
In dit hoofdstuk zal zoals aangekondigd het model verder beschreven worden aan de hand van de componenten. Allereerst zal het inherente risico nader toegelicht worden, vervolgens het interne controle risico en zal er afgesloten worden met het detectie risico.
3.2.1 Accountantscontrolerisico/audit risk
De afhankelijke variabele in het auditriskmodel is het accountantscontrolerisico waar het om draait. De accountantscontrolerisico wordt ook wel het auditrisk genoemd. Verschillende studies citeren van de Statement on Auditing Standards 47 (AICPA, 1983) het citaat over de het accountantscontrole risico (Strawser, 1991; Dusenbury et al., 2000). Waar het auditrisk op neer komt is het volgende: Een accountant die, bij een jaarrekening met materiele fouten, ten onrechte een goedkeurende verklaring afgeeft.
3.2.2 Inherente risico
De eerste component voor het beschrijven van het accountantscontrole risico is het inherente risico. In de literatuur wordt het inherente risico beschreven als de vatbaarheid voor materiele fouten van een bepaalde jaarrekening post, wanneer deze in relatie worden gezien met andere jaarrekeningposten waarbij verondersteld wordt dat er geen interne
beheersmaatregelen plaatsvinden. (AICPA, 1983). Volgens Knechel (2001) zijn er een aantal factoren die het inherente risico bepalen zoals de frequentie van transacties, de aard van het bedrijf en de integriteit van het management. Volgens Blokdijk (2004) heeft de accountant geen invloed op de genoemde factoren en dus ook niet op het inherente risico, maar dient de accountant het wel te beoordelen. Voor de accountant is het uitermate belangrijk om met zijn deskundigheid het inherente risico zo juist mogelijk vast te stellen eer hij aan zijn controle begint (Colbert, 1988). Zo stelt Colbert (1988) dat er te veel werkzaamheden verricht worden wanneer dit risico te hoog wordt ingeschat, waardoor de efficiency van de controle achteruit
gaat. Hier tegenover staat dat wanneer het inherente risico te laag wordt ingeschat, dit leidt tot minder werkzaamheden dan noodzakelijk was, waardoor er een onjuist oordeel over de jaarrekening gegeven kan worden. Hierdoor is de controle niet effectief geweest.
Samengevat kan er gesteld worden dat de accountant geen invloed heeft op het
inherente risico, aangezien dit risico voortvloeit uit de externe factoren van de bedrijfsvoering zonder dat er interne beheersmaatregelen plaatsvinden. Hoewel de accountant hier geen invloed op kan oefenen, dient hij dit echter wel zo nauwkeurig mogelijk vast te stellen om zo de efficiency en de effectiviteit van de controleaanpak te waarborgen.
3.2.3 Interne controlerisico
De tweede component betreft het interne controlerisico. In de literatuur wordt dit beschreven als het risico dat er een materiele fout is ontstaan die, door het bedrijf dat gecontroleerd wordt, zelf niet is ontdekt dan wel voorkomen (SAS 47, AICPA, 1983). De interne beheersmaatregelen van de cliënt hebben het grootste effect op het interne controle risico. Hierbij stelt ISA 400.27 dat de accountant meer controlebewijs dient te verkrijgen met behulp van gegevensgerichte controles wanneer de beoordeling op het inherente en interne controle risico hoog is. Net zoals op het inherente risico, heeft de accountant geen invloed op het interne controle risico. Zoals het bij het inherente risico ging om de externe factoren, gaat het er bij de interne controle risico om de interne factoren zoals de organisatie en het personeel op de boekhoudafdeling van de cliënt en de betrouwbaarheid van het gebruikte
informatiesysteem van de cliënt.
Samengevat betreft het interne controlerisico het risico op een materiele fout dat door de gecontroleerde bedrijf zelf niet ontdekt dan wel voorkomen is. Net zoals bij het inherente risico heeft de accountant ook hier geen invloed op het interne controle risico.
3.2.4 Detectie risico
De derde component van het audit risk model betreft het detectierisico. In de literatuur wordt dit beschreven als het risico dat de accountant een materiele fout in zijn controle van de jaarrekening niet ontdekt (SAS 47 AICPA, 1983). Hierbij gaat het om de werkzaamheden van de accountant zelf waarbij hij vervolgens een materiele fout over het hoofd heeft gezien. In tegenstelling tot het inherente en interne controle risico, heeft de accountant hier wel invloed op de fouten in de jaarrekening. Hierbij kan dus gesteld worden dat het detectierisico verband houdt met de effectiviteit van de controlewerkzaamheden van de accountant. Hoe meer gegevensgerichte controles de accountant verricht, des te lager het detectierisico wordt. Uiteindelijk bepaalt de accountant hoe hij te werk zal gaan om tot een juist oordeel te komen, waarbij een aantal factoren een rol kunnen spelen zoals het kiezen van een juiste controle aanpak, misvatting van de controleresultaten en de toepassing van het gebruik van
waarnemingen (Chang, 2008).
Samengevat betreft het detectie risico het risico op een materiele fout in de jaarrekening die de accountant tijdens zijn controle werkzaamheden niet ontdekt. In
tegenstelling tot het inherente en interne controle risico kan de accountant hier wel invloed op uitoefenen.
In dit hoofdstuk is het Audit Risk Model nader toegelicht met behulp van de componenten inherente risico, interne controle risico en het detectie risico. Hierbij gaat het erom dat wanneer de accountant een van de componenten vermindert, het totale controlerisico
gereduceerd wordt. Zoals eerder genoemd zal de accountant zijn controlerisico onder de 5% grens willen behouden, waarbij wanneer de accountant dit percentage overschrijdt, er ten onrechte een goedkeurende verklaring afgegeven zal worden.
4. Audit risk model en efficiency
In dit hoofdstuk komt de efficiency van het werken met het auditrisk model aan bod. Er wordt onderzocht of er met behulp van dit model een efficiëntere audit wordt uitgevoerd. Hierbij zijn auditwerkzaamheden en de totale auditkosten goede indicatoren om hierop een antwoord te geven.
Blokdijk (2004) biedt in zijn onderzoek een analyse van het auditrisk model. Zoals eerder genoemd heeft de auditor geen invloed op het inherente en interne controle risico, enkel op het detectierisico. Voor de auditor is het belangrijk om het inherente en interne controle risico te beoordelen, omdat hij aan de hand van deze beoordeling zijn auditwerkzaamheden bepaald om het detectierisico tot een aanvaardbaar niveau te reduceren (Blokdijk, 2004) Hierdoor heeft de beoordeling van het inherente en interne controle risico door de auditor een direct effect op de efficiëntie van de audit. Wanneer de beoordeling van het inherente en interne controle risico niet als ‘hoog’ beschouwd dient te worden, hoeft de auditor minder
werkzaamheden te verrichten en dus ook minder kosten in rekening te brengen (Blokdijk, 2004). De verminderde gegevensgerichte werkzaamheden van de auditor houden onder andere in: aselecte steekproeven, cijferanalyses en de combinatie van cijferbeoordeling (Blokdijk, 2001). De gegevensgerichte werkzaamheden van de auditor zijn volgens Blokdijk (2001) belangrijk, omdat juist deze werkzaamheden leiden tot de ontdekking van fouten in tegenstelling tot systeemgerichte werkzaamheden die enkel kunnen leiden tot de ontdekking en aanwijzingen van mogelijke fouten. Om het inherente en interne controle risico lager dan ‘hoog’ te behouden, dient de accountant volgens Blokdijk (2004) een onderzoek uit te voeren naar de opzet, bestaan en de werking van de administratieve organisatie en de interne controle. Dit onderzoek vindt plaats aan de hand van zogenaamde ‘tests of controls’
bestaande uit meerdere fasen (Blokdijk, 2004).
Bij de eerste fase richt de interne controle zich op de vraag of een bepaalde
gebeurtenis op een juiste manier heeft plaatsgevonden en eveneens of de vastlegging ervan goed is geweest (Blokdijk 2004). Deze eerste fase speelt zich af in de operationele sfeer (Blokdijk, 2004). De correcte vastlegging van een bepaalde gebeurtenis dient als
bewijsmateriaal voor de juistheid en volledigheid van de beweringen over de jaarrekening (Blokdijk, 2004). Echter, de eerste vastlegging kan alleen als voldoende bewijs aangemerkt worden indien er hierop interne controle is toegepast (Blokdijk, 2004). Volgens Blokdijk (2004) kan de auditor deze interne controle niet zelf uitvoeren. De auditor is namelijk technisch en commercieel niet deskundig genoeg om dit te kunnen doen en kan niet op alle relevante plaatsen aanwezig zijn (Blokdijk, 2004). Blokdijk (2004) noemt deze interne controle onvervangbaar. Hieruit concludeert Blokdijk (2004) dat de auditor de interne controle niet kan repareren ingeval de interne controle van een bedrijf niet of slecht is uitgevoerd. Volgens Blokdijk (2004) dienen de tests of controls als afronding van de
risicoanalyse. De auditor moet meer werkzaamheden verrichten als de interne controle niet goed functioneert, maar omdat deze interne controle als onvervangbaar wordt gezien, kan de auditor dit niet doen (Blokdijk, 2004). Blokdijk (2004) stelt hierdoor dat de onvervangbare interne controle niet meegewogen dient te worden in de risicoanalyse.
De tweede fase heeft betrekking op het correct verwerken van de gebeurtenissen in de verantwoording zoals sorteren, sommeren en salderen en speelt zich af in de administratieve sfeer (Blokdijk, 2004). Hierbij is de interne controle volgens Blokdijk (2004) voornamelijk gericht op de juiste manier van verwerken van de gebeurtenissen in de verantwoording. Voor deze verwerking in de verantwoording worden er een of meer systemen ontworpen
(Blokdijk, 2004). Vervolgens wordt dit systeem door de auditor beoordeeld, getest en ten slotte goedgekeurd. Hierbij zijn onder andere de algemene controle maatregelen zoals de interne controle op wijzigingen in de programmatuur en de toegangscontroles belangrijk (Blokdijk, 2004). De toepassingscontroles zoals geprogrammeerde controles en
gebruikerscontroles zijn eveneens van betekenis (Blokdijk, 2004). Volgens Blokdijk zijn tests of controls op de wijzigingen in de programmatuur erg moeilijk uit te voeren en ook niet effectief, omdat er hierbij in principe het bestaan van het systeem en niet de werking ervan getest wordt. Wanneer de toeganscontroles richting kunnen geven aan de
gegevensgerichte arbeid, kunnen tests of controls hierop effectief zijn (Blokdijk, 2004). Volgens Blokdijk (2004) zijn de tests of controls op de toepassingscontroles niet efficiënt en ook niet effectief, omdat er op deze controles in de meeste gevallen geen functiescheiding is toegepast.
Bell, Doogar en Solomon (2008) onderzoeken het gevolg van een business risk approach voor de hoeveelheid auditwerkzaamheden en auditkosten. Volgens Knechel Salterio en Ballou (2001) is het business risico namelijk onlosmakelijk verbonden met de auditrisk. Risico’s die een organisatie kunnen schaden, zijn volgens Knechel et al.(2001) tevens de risico’s die effect kunnen hebben op een audit. Het onderzoek van Bell et al. (2008) bestaat uit verzamelde data over 165 audits die zijn uitgevoerd door een Big 4 bedrijf in 2002. Uit het onderzoek blijkt dat de implementatie van de business risk approach leidt tot het inzetten van meer ervaren medewerkers (Bell et al., 2008). Verder komt uit hun
onderzoek naar voren dat de totale arbeidsuren 10% lager zijn bij een implementatie van de business risk approach en de totale audit kosten 25% minder zijn wanneer de business risk approach wordt toegepast (Bell et al., 2008). Uit het onderzoek van Bell et al.(2008) blijkt dat implementatie van de business risk approach de efficiëntie van de audit bevordert in termen van de totale arbeidsuren en totale auditkosten.
In een eerder onderzoek van Bell, Landsman en Shackleford (2001) analyseren zij de relatie tussen het waargenomen business risico van de auditor en de auditkosten. Uit hun analyse blijkt dat wanneer er een hoger business risico waargenomen wordt door de auditor, dit zich vertaalt in meer audituren en tevens een hoger uurtarief. Echter, aan de hand van data van een internationaal auditcompany over 422 audits in 1989, vinden Bell et al.(2001) bewijs
dat audituren wel stijgen, maar het uurtarief constant blijft bij een hoger business risico. Hoewel er dus vanuit wordt gegaan dat er bij een hogere business risico het uurtarief eveneens zal stijgen, blijkt dit niet het geval te zijn, waardoor de totale kosten minder hard stijgen dan in eerste instantie is voorspeld. Bij een hoger business risico leidt de
implementatie van de business risk approach tot een minder harde stijging van de totale kosten, maar wordt er wel meer werk verricht
Hiernaast suggereert het audit risk model dat wanneer een bedrijf gebreken vertoont in haar interne controle, de auditor nog steeds een goedkeurende verklaring kan afgeven als hij de substantive tests vergroot (Hogan en Wilkins, 2008). Dit houdt in dat wanneer het inherente en of het interne controle risico stijgt, auditors het detectie risico kunnen verlagen door meer substantive tests uit te voeren en het totale audit risico binnen de perken te houden (Hogan en Wilkins, 2008). In hun onderzoek gaan Hogan en Wilkins (2008) na of het audit risk model de werkelijkheid op een juiste manier beschrijft. Hogan en Wilkins (2008) vragen zich hierbij af of de relatie tussen audit kosten en gebreken in de interne controle leidt tot een hogere inspanning van de auditor tijdens zijn werkzaamheden bij bedrijven die gebreken in hun interne controle vertonen. Hogan en Wilkins (2008) bekijken in hun onderzoek de auditkosten van een aantal bedrijven. Hierbij vergelijken zij bedrijven die gebreken in hun interne controle bekend hebben gemaakt met bedrijven waar dit niet het geval is. Uit de resultaten van Hogan en Wilkins (2008) blijkt dat de auditkosten in een jaar, bij een bedrijf dat bekend heeft gemaakt dat haar interne controle gebreken vertoont, 35% hoger zijn dan bij een bedrijf waar dat niet het geval is. Hogan en Wilkins (2008) tonen aan dat auditkosten evenredig stijgen met de grootte van het probleem in de interne controle. Hoe groter de gebreken in de interne controle van een bedrijf, des te hoger de kosten. Hogan en Wilkins (2008) stellen vervolgens dat auditkosten een goede verklaring geven voor de inspanning van de auditor. Dit blijkt vervolgens ook uit hun bevindingen, waarbij auditors hun inspanning verhogen bij de aanwezigheid van een verhoogd interne controle risico. Echter, Hogan en Wilkins (2008) stellen de mogelijkheid niet uit dat deze hogere auditkosten ook een gevolg kunnen zijn van een verhoogd business risico dat zich meestal voordoet bij bedrijven met gebreken in de interne controle.
Uit het onderzoek van Hogan en Wilkins (2008) blijkt dat het detectierisico een goede indicatie geeft van de auditkosten in vergelijking tot het inherente en interne controle risico. Wanneer het detectierisico als hoog wordt ingeschat stijgen de totale auditkosten, omdat er meer substantive tests worden uitgevoerd. Echter, hieruit kan ook opgevat worden dat
wanneer het inherente en interne controle risico van een bedrijf niet als hoog wordt ingeschat, de totale auditkosten lager uitvallen door een besparing in de substantive tests.
5. Audit risk model en effectiviteit
In dit hoofdstuk zal de effectiviteit van het audit risk model onderzocht worden. Dit wordt gedaan aan de hand van relevante onderzoeken waarbij afgevraagd kan worden of de materiele fouten gevonden worden en of er terecht juiste en onjuiste verklaringen worden afgegeven.
Allen, Hermanson, Kozloski en Ramsay (2006) doen een literatuuronderzoek naar de vragen over de risicoanalyse die in 2005 zijn gesteld door het Public Company Accounting
Oversight Board (PCOAB). Het doel van dit onderzoek is een bijdrage leveren aan de risicoanalyse in de financiële verslaggeving aan de hand van academische literatuur over het business risico, inherente risico, interne controle risico en het fraude risico (Allen et al., 2006).
Auditors maken de laatste jaren steeds meer gebruik van de strategieën en business processen van het te controleren bedrijf, ofwel een business risk approach (Allen et al., 2006). De vraag hierbij is of deze nieuwe aanpak een effect heeft op de effectiviteit van de auditor bij het ontdekken van materiele fouten. Allen et al.(2006) noemen een aantal
voorbeelden die deze vraag kunnen beantwoorden. Zo beschrijven zij dat met behulp van een business risk approach de auditor zijn oriëntatie verbreedt van een balans oriëntatie naar een bredere focus op de gehele organisatie, de omgeving ervan en de kernprocessen van de organisatie (Allen et al.,2006). Doordat de auditor voldoende inzicht krijgt in de business processen van de cliënt, helpt dit de auditor bij het begrijpen van de key performance indicators (KPI) en bij het ontwikkelen van een betere inzicht in de accounts van de jaarrekening van de cliënt (Allen et al., 2006). Volgens Allen et al. (2006) verhoogt een business risk approach tevens de mate waarin auditors business risico strategieën integreren in hun risicoanalyse. Hieruit komt onder andere naar voren dat auditors, door het integreren van een business risico analyse, meer cliënt gerelateerde risico’s documenteren. Verder nemen auditors een sterkere band waar tussen de controle omgeving en de risico van een materiele fout. En ten slotte nemen auditors ook een sterkere band waar tussen het inherente risico en een materiele fout (Allen et al., 2001).
Houghton en Fogarty (1991) onderzoeken, met behulp van een ‘error survey’, 480 controleopdrachten in de Verenigde Staten, Verenigd Koningrijk en Zuid Afrika. Met de data die Houhgton en Fogarty (1991) hebben verkregen van de error survey hebben zij een
analyse gemaakt. Het doel hiervan is de karakteristieken vast te leggen van fouten die door auditors detecteerbaar zijn en of plaatsen waar deze fouten zich voordoen ontdekt worden tijdens het audit planning proces. Een van de bevindingen uit het onderzoek van Houghton en Fogarty (1991) is dat de meeste auditors snel en accuraat bepaalde accountbalansen of
transacties identificeren die de grootste en kleinste risico’s hebben met betrekking tot materiële fouten. Houghton en Fogarty (1991) noemen hiervoor als reden de verzamelde
informatie en opgedane kennis van de auditor over de procedures, strategieën en personeel van het te controleren bedrijf.
Houston, Peters en Pratt (1999) vergelijken in hun onderzoek het audit risk model met de business risk approach. Hierin hebben zij onderzocht onder welke omstandigheden het auditrisk model dan wel de business risk approach de auditplanning beter beschrijft. In een experimentele opzet kregen auditors een case waar een materiele fout was ontdekt of een onregelmatigheid aanwezig was (Houston et al.(1991). Na het beoordelen van de
componenten van het auditrisk model en het business risico, deden de auditors een
aanbeveling voor de werkzaamheden en de kosten (Houston et al., 1991). De resultaten van het experiment geven aan dat er in aanwezigheid van een materiële fout, de auditor met behulp van het auditrisk model een betere aanbeveling doet voor de werkzaamheden en kosten dan auditors die de business risk approach hebben toegepast. Bij de aanwezigheid van een onregelmatigheid doen auditors die de business risk approach hebben toegepast een betere aanbeveling voor de werkzaamheden, maar bevatten de kosten wel een risicopremie (Houston et al., 1991. Het blijkt dat de business risk approach risico’s over
onregelmatigheden beter omvat dan het auditrisk model, waardoor auditors die de business risk approach toepassen een extra prijs toekennen aan de risico van onregelmatigheden.
Twee recente studies tonen potentiele nadelen van de business risk approach. Ten eerste onderzoeken Ballou, Earley en Rich (2004) hoe auditors informatie gebruiken dat is verkregen tijdens een systeemgerichte controle wanneer zij de essentiële business processen van een bedrijf evalueren. Hiervoor hebben Ballou et al. (2004) 117 auditors van een
internationaal accountantsorganisatie, dat voornamelijk volgens de systeemgerichte aanpak werkt, cases laten oplossen. Tijdens de case kregen de auditors belangrijke informatie over de processen van het bedrijf. Hen werd verteld dat de informatie is verkregen door een
systeemgerichte analyse (Ballou et al., 2004). Uit de resultaten van het onderzoek blijkt dat wanneer een systeemgerichte analyse van een bedrijf aangeeft dat deze typisch is voor haar industrie, auditors hierdoor de problemen binnen het bedrijfsproces minder zwaar inschatten (Ballou et al., 2004).
Ten tweede doen O’Donnell en Schultz (2005) onderzoek naar het holistische perspectief die auditors verkrijgen bij het maken van een systeemgerichte analyse. Hierbij onderzoeken zij of dit invloed heeft op de mate waarin auditors risicoanalyses op account-level aanpassen wanneer zij afwijkingen aantreffen in de accounts die inconsistent zijn met de verkregen informatie over de cliënt. Tijdens een business risk approach richten auditors zich op het algehele vooruitzicht van een organisatie. Hierbij leren ze de strategie van hun cliënt kennen waarbij de risico’s met betrekking tot het bedrijfsmodel ontdekt en
gedocumenteerd kunnen worden (O’Donnell en Schultz., 2005). Uit het onderzoek van O’Donnell en Schultz (2005) blijkt sprake te zijn van een zogenaamd ‘halo’ effect wanneer auditors een systeemgerichte analyse uitvoeren. Hierbij concluderen zij dat auditors bij het uitvoeren van een systeemgerichte analyse met gunstige resultaten minder geneigd zijn om
hun risico-evaluatie aan te passen op een account level wanneer er zich ongebruikelijke fluctuaties voordoen.
De combinatie van het inherente en controle risico wordt ook wel het risico van materiele misstatements genoemd (RMM) (Ruhnke en Schmitdt., 2014). Dit RMM houdt in dat financiële statements fouten van materieel belang bevatten voordat er een audit is gedaan door auditors (Ruhnke en Schmidt., 2014). Ruhnke en Schmidt (2014) onderzoeken of audit adjustments ( = een journal entry die een auditor maakt ter correctie van een ontdekte fout tijdens de audit) systematisch verschillen met inherente en controle risicofactoren. Hun analyse is gebaseerd op 1148 audit adjustments in de financiële statements van 255 cliënten van een Duits Big 4 bedrijf (Ruhnke en Schmidt., 2014). Om een redelijke mate van
zekerheid te verschaffen dat de financiële statements geen materiele fouten bevatten, moet de auditor alle fouten documenteren (Ruhnke en Schmidt., 2014). Bij het onderzoeken naar materiele fouten, dient de auditor rekening te houden met kwalitatieve en kwantitatieve factoren (Ruhnke en Schmidt., 2014). Ruhnke en Schmidt.(2014) analyseren de relatie tussen inherente en controle risicofactoren en audit adjustments. Zoals uit figuur 1 blijkt, zou het aantal en de omvang van audit adjustments hoger moeten zijn bij de aanwezigheid van inherente en controle risicofactoren.
figuur 1
De onderzochte risicofactoren voor het inherente risico zijn de kwaliteit van het management, bestaande uit competence en integriteit, en de economische positie van de cliënt (Ruhnke en Schmidt, 2014). Volgens Ruhnke en Schmidt (2014) heeft de kwaliteit van het management invloed op het inherente risico, waarbij zij hun aannames baseren op de vindingen van voorgaande studies van Hylas en Ashton, 1982; Johnson, 1987; en Maletta en Wright, 1996. Uit deze studies blijkt namelijk dat de competence van het management een verband heeft met audit adjustments (Ruhnke en Schmidt, 2014). Een zwakke economische positie van de cliënt kan extra druk geven op het management die op zijn beurt weer kan leiden tot frauduleuze verslaggeving (Ruhnke en Schmidt., 2014). Met betrekking tot de interne controle betreffen de risicofactoren de entity level controls (ELC, controleprocedures die voornamelijk door het management zijn uitgevoerd) en of de cliënt een interne audit uitvoert (Ruhnke en Schmidt., 2014). Ruhnke en Schmidt (2014) stellen dat gepaste en effectieve controle activiteiten, zoals entry level controles, het voor de cliënt mogelijk maken fouten te voorkomen waardoor het interne controle risico verminderd wordt. Een interne audit helpt bij het ontdekken van materiële fouten bij de klant (Ruhnke en Schmidt, 2014). Volgens Ruhnke en Schmidt (2014) zijn er twee determinanten die leiden tot het ontdekken van materiële fouten en dus tot audit adjustments. Ten eerste, als het inherente risico en of interne controle risico hoog is, zullen de financiële statements meer fouten bevatten. Ten tweede, als reactie op een hoger inherent en of controle risico, zal de auditor de audit input verhogen (verlagen van het detectie risico door middel van meer werkzaamheden) om het audit risico tot een aanvaardbaar niveau te verlagen. Door deze verhoging van de audit input is de auditor in staat meer fouten te ontdekken (Ruhnke en Schmidt., 2014).
Uit het onderzoek van Ruhnke en Schmidt (2014) blijkt dat de onderzochte inherente risicofactoren een effect hebben op audit adjustments. Wanneer de integriteit en competence (kwaliteit) van het management bij de cliënt hoger zijn en de cliënt heeft een sterke
economische positie, dan is de omvang van adjustments lager. De interne controle
risicofactor, entity level controls, is zeer significant bij het analyseren van de omvang van audit adjustments. Dit suggereert volgens Ruhnke en Schmidt (2014) dat een beoordeling van de entity level controls ook als indicatour zou kunnen dienen voor het beoordelen van de controle systemen bij de cliënt. Echter, uit empirisch bewijs blijkt dat het moeilijk is om geschikt auditbewijs te verkrijgen over de effectiviteit van de entity level controls (Ruhnke en Schmidt, 2014). Verder vinden Ruhnke en Schmidt (2014) een positief verband tussen de audit input en audit adjustments. Dit houdt in dat er bij een stijging van de audit input ook een stijging zal zijn in de audit adjustments. Stijging in de audit adjustments betekent een stijging in ontdekte fouten en dus een effectievere audit (Ruhnke en Schmidt, 2014)
6. Tekortkomingen van het Audit risk model
Over de afgelopen dertig jaar hebben verschillende onderzoekers het audit risk model kritisch bekeken. Hierbij is vooral de geschiktheid en adequaatheid van het model onderzocht,
waaruit verschillende conclusies zijn getrokken (Allen et al., 2006). Enkele voorstanders zoals Dusenbury et al. (2000) concluderen dat het audit risk model niet leidt tot een onderschatting van materiele fouten. In een eerder onderzoek van Dusenbury en Reimers (1996) testen zij met behulp van een experiment drie verschillende modellen, namelijk het standaard auditrisk model zoals beschreven in SAS 47 (AICPA, 1983), een toepassing van het model door een specifiek bedrijf (Firm-model) en een Belief-Based model. Het
experiment werd gehouden onder tachtig auditors van een Big 6 bedrijf. Het experiment bestond uit twee beslissingsfasen, waaronder een initiële en een herziene, waarin auditors het inherente, interne controle en het detectierisico beoordeelden (Dusenbury en Reimers, 1996). Tijdens het experiment zijn vier onafhankelijke variabelen gemanipuleerd die een effect hebben op het inherente, interne controle en het detectierisico (Dusenbury en Reimers, 1996). Deze variabelen zijn onder andere de risico omgeving van de cliënt (hoog/laag), de sterkte van de tests of control (sterk/zwak), het resultaat van de tests of controls (positief/negatief) en de gevoeligheid van een account ( accounts receivable/ property, plant en equipment) voor materiële fouten (Dusenbury en Reimers, 1996). Uit de resultaten van het experiment van Dusenbury en Reimers (1996) blijkt dat auditors die het Firm-model toepassen een betere beoordeling geven van de variabelen dan auditors die het standaard auditrisk model
toepassen. Auditors die het Belief-Based model toepassen beoordelen de variabelen op hun beurt beter dan auditors die het Firm-model toepassen. De verklaring die Dusenbury en Reimers (1996) hiervoor geven, is dat auditors bij toepassing van een Belief-Based model, de kwaliteit van het verzamelde bewijs opnemen in hun risico analyse en bij de andere twee (auditrisk model en Firm-model) aanpakken niet.
Haskins en Dirsmith (1995) onderzoeken de afhankelijkheid tussen het interne controle en inherente risico. Zij verzamelen de data voor hun analyse door middel van een test die zij hebben verspreidt over 146 auditors van Big 8 bedrijven (Haskins en Dirsmith, 1995). Uit hun analyse blijkt dat de beoordeling van het inherente en interne controle risico door de auditors onderling afhankelijk zijn van elkaar (Haskins en Dirsmith, 1995). Volgens Haskins en Dirsmith (1995) suggereren de resultaten van het onderzoek dat de beoordeling van het inherente en interne controle risico in elkaar verweven zit. Zo stellen Haskins en Dirsmith (1995) dat de auditor hierdoor niet per se het inherente risico beoordeelt, maar het interne controle risico en dit als inherent bestempeld. Hierdoor bestaat de kans op een onderschatting van het totale auditrisico (Haskins en Dirsmith, 1995).
7. Discussie en vervolgonderzoek
Uit het literatuuronderzoek zijn de tests of controls. een combinatie van het auditrisk model met het business risico en de voor en nadelen van beide aanpakken naar voren gekomen. In dit hoofdstuk worden deze besproken, om zo gemotiveerd tot een conclusie te komen op mijn onderzoeksvraag.
7.1 Discussie efficiency
De samenhang tussen de componenten van het auditrisk model is belangrijk. Dusenbury (2000) geeft aan dat na de beoordeling van het inherente en interne controle risico, de auditor een schatting maakt voor de te verrichten werkzaamheden die het detectierisico tot een bepaald niveau reduceren. Dit moet vervolgens allemaal passen binnen de grens van het auditrisico van 1% en 5% (Klijnsmit et al., 2003).
Blokdijk (2004) geeft een analyse van het auditrisk model, waarin hij de tests of controls ziet als afronding van de risicoanalyse. Deze tests of controls bestaan uit meerdere fasen, maar zijn volgens Blokdijk (2004) niet altijd zinvol. In de eerste fase kan de interne controle namelijk niet uitgevoerd worden door de auditor, omdat hij hiervoor onvoldoende deskundigheid bevat en niet op alle relevante plaatsen tegelijk aanwezig kan zijn (Blokdijk, 2004). In de tweede fase is de interne controle moeilijk uit te voeren door de auditor en is deze tevens niet effectief (Blokdijk, 2004). Hij stelt namelijk dat hier het bestaan van de interne controle wordt getest en niet de werking ervan. Dit zou kunnen komen door de beperkingen van de auditor zoals de competenties, tijd en de kennis over de gebruikte systemen bij de cliënt. De business risk approach zou hierbij uitkomst kunnen bieden, aangezien het business risico volgens Knechel et al. (2001) onlosmakelijk verbonden is met het audit risk. Hierbij verneemt de auditor namelijk kennis van de processen en systemen van het bedrijf eer hij aan de audit begint. De gevolgen van deze aanpak voor de
auditwerkzaamheden en auditkosten is onderzocht door Bell et al.(2008). Uit hun onderzoek is gebleken dat er meer ervaren medewerkers ingezet worden. Dit leidt vervolgens tot een besparing van de totale audituren van 10% en een vermindering van de totale auditkosten van 25% (Bell et al., 2008). Echter in een eerder onderzoek van Bell et al.(2001), nemen zij bij een stijging van het business risico, een stijging van de auditwerkzaamheden waar.
Deze bevinding wordt tevens niet uitgesloten door Hogan en Wilkins (2008). Uit hun onderzoek blijkt namelijk dat wanneer een bedrijf bekend maakt dat haar interne controle gebreken vertoont, de auditor meer auditwerkzaamheden moet uitvoeren om het
detectierisico tot een aanvaardbaar niveau te verlagen (Hogan en Wilkins, 2008).
Uit het vorengaande komt naar voren dat tests of controls niet altijd zinvol zijn. Deze zijn wel belangrijk, omdat de waardering hiervan bepaald hoeveel werkzaamheden verricht moeten worden. Om deze waardering te vergemakkelijken biedt een business risk approach
wellicht uitkomst, omdat de auditor hierbij een betere basiskennis heeft over het bedrijf voordat hij aan de audit begint. Het blijkt dat de business risk approach leidt tot een efficiëntere audit in het onderzoek van 2008, maar minder efficiënt in het onderzoek van 2001. Dit zou een effect kunnen zijn na de invoering van de Sarbanes Oxley Act in 2002. Deze Act bevorderde de vrijgeving van belangrijke informatie over de controls van het bedrijf, waardoor de auditor meer informatie tot zijn beschikking heeft die van invloed kan zijn op een efficiëntere planning van de audit.
7.2 Discussie effectiviteit
Zoals hiervoor besproken, leidt de bekendmaking van het bedrijf over de gebreken van haar interne controle tot meer werkzaamheden voor de auditor. Echter, dit kan betekenen dat de auditor gerichter kan controleren op eventueel materiele fouten, omdat hij zich ervan bewust is dat de interne controle gebreken vertoont.
Allen et al. (2006) noemen hiernaast nog een aantal redenen waarom een business risk approach effectief kan uitpakken voor de audit. Ten eerste verbreedt de auditor zijn oriëntatie over de gehele organisatie..Hierdoor krijgt hij meer inzicht in de processen van de cliënt en een betere inzicht in de accounts van de jaarrekening. Ten tweede vinden Houghton en Fogarty (1991) in hun onderzoek dat auditors sneller en accuraat accountbalansen
identificeren met de grootste en kleinste risico op materiële fouten, wanneer de business risk approach wordt toegepast. Dit zou een efficiënte en effectieve werking kunnen hebben voor de audit. Ten eerste kan het efficiënt zijn, omdat de auditor niet onnodige werkzaamheden besteedt aan accounts waar zich de kleinste risico’s bevinden voor materiele fouten. Ten tweede kan het effectief zijn , omdat de auditor gerichter kan zoeken in de accounts met de grootste risico op materiële fouten.
Echter, uit onderzoek van Ballou et al. (2004) en O’Donnell en Schultz (2005), blijkt dat er aan de business risk approach ook nadelen zitten. Ten eerste concluderen Ballou et al. (2004) uit hun onderzoek, dat auditors de problemen die zich binnen het bedrijfsproces voordoen onvoldoende zwaar meewegen, wanneer uit een systeemgerichte analyse blijkt dat het bedrijf typerend is voor haar industrie. Ten tweede spreken O’Donnell en Schultz (2004) van een zogenaamd ‘halo’ effect wanneer auditors een systeemgerichte analyse uitvoeren. Dit houdt in dat auditors minder geneigd zijn hun risicoanalyse aan te passen, als er zich
ongebruikelijke fluctuaties voordoen bij een systeemgerichte analyse met gunstige resultaten. De voordelen voor de effectiviteit van een business risk approach blijkt uit de
onderzoeken van Allen et al. (2006) en Houghton en Fogarty (1991). Echter, uit de
onderzoeken van Ballou et al. (2004) en O’Donnell en Schultz (2004) blijkt dat het voordeel van de business risk approach, waarbij de auditor meer kennis opdoet over het bedrijf, ook averechts kan werken waardoor de audit minder effectief uitpakt.
Houston et al. (1999) vergelijken in hun onderzoek het auditrisk model met de business risk approach. Uit hun resultaten van het experiment blijkt dat auditors die het auditrisk model toepassen voor hun auditplanning, een betere aanbeveling doen voor de totale auditwerkzaamheden bij de aanwezigheid van een materiële fout (Houston et al., 1999). Echter, wanneer er sprake is van een onregelmatigheid, doen auditors die de business risk approach toepassen een betere aanbeveling voor de auditwerkzaamheden. Hiernaast komt uit het onderzoek van Dusenbury en Reimers (1996) naar voren dat auditors de kwaliteit van het verzamelde bewijs niet opnemen in hun risicoanalyse.
Uit het onderzoek van Houston et al. (1999) blijkt dat het auditrisk model de risico’s voor onregelmatigheden minder omvat dan de business risk approach. Ook blijkt dat auditors die het auditrisk model toepassen, de kwaliteit van het verzamelde bewijs niet opnemen in de risicoanalyse. Een verklaring hiervoor kan zijn dat de auditor niet volledig gebruik maakt van het auditrisk model. Zoals eerder genoemd, probeert de auditor de totale auditrisk binnen de grens van 1% en 5% te behouden. Door deze beperking van het model, kan het minder beschrijvend werken. Hierdoor zouden auditors een minder goede waarde toekennen aan het bewijs, dat zich kan vertalen in een minder effectieve audit.
In een recent onderzoek van Ruhnke en Schmidt (2014) analyseren zij of audit adjustments verschillen met risicofactoren van materiële misstatements (RMM, een combinatie van het inherente en controle risico). Uit de analyse van Ruhnke en Schmidt (2014) blijkt dat de inherente risicofactoren negatief verbonden zijn met audit adjustments. Hoe lager de risico van deze factoren, des te meer audit adjustments er gedaan worden door de auditor en dus meer fouten ontdekt. De controle risicofactoren tonen een positief verband met audit adjustments (Ruhnke en Schmidt, 2014). Dit houdt in dat door een hoog inherent en controle risico, de jaarrekening meer fouten kan bevatten, waardoor de auditor de audit input (werkzaamheden) zal verhogen om het detectierisico tot een aanvaardbaar niveau te verlagen. Echter, uit het onderzoek van Haskins en Dirsmith (1995) komt naar voren dat het inherente en controle risico onderling afhankelijk zijn van elkaar. Zo beoordelen auditors het controle risico, maar bestempelen deze onbewust als een inherent risico (Haskins en Dirsmith, 1995). Hieruit blijkt dat de beoordeling van het inherente en controle risico door de auditor in elkaar verweven zit (Haskins en Dirsmith, 1995).
Uit het onderzoek van Ruhnke en Schmidt (2014) blijkt dat de auditor de inherente en interne controle risico’s van elkaar dient te onderscheiden, omdat deze een tegenstellend verband vertonen met audit adjustments. Echter, blijkt uit het onderzoek van Haskins en Dirsmith (1995), dat auditors dit onderscheidt niet altijd kunnen maken omdat beide risico’s onderling afhankelijk zijn. De kennis van de auditor over het beoordelen van inherente en interne controle risico’s speelt dus een rol voor de effectiviteit en efficiency van de audit. Wanneer deze risico’s namelijk niet juist ingeschat worden, heeft dit een gevolg voor het detectierisico. Dit vertaalt zich vervolgens in de hoeveelheid werkzaamheden die de auditor moet verrichten om de mogelijke materiële fouten te ontdekken
7.3 vervolgonderzoek
Gezien dit een literatuuronderzoek betreft, heeft het onderzoek ook zo zijn beperkingen. Ten eerste bestaan de onderzochte onderzoeken voornamelijk uit analyses en theorieën over het werken met het auditrisk model. Ten tweede zijn in de meeste onderzoeken alleen een aantal factoren/variabalen onderzocht die een effect hebben op de componenten van het auditrisk model. Hierdoor zijn de resultaten gelimiteerd tot die gebruikte factoren/variabalen, waarbij het beeld dat verkregen wordt, moeilijk toepasbaar is op de werkelijkheid.
Hiernaast zijn er een aantal opties te noemen voor eventuele vervolgonderzoeken. Uit de onderzoeken blijkt dat de beoordeling van het inherente en interne risico een belangrijke rol spelen bij het uitvoeren van de audit, echter heeft de auditor hier geen invloed op. Waar de auditor wel invloed op heeft is het detectierisico. De auditor kan dit namelijk verlagen door zijn werkzaamheden te verhogen. Hierbij rijst de vraag of er voor de auditor andere mogelijkheden zijn om het detectierisico te verlagen, zonder dat dit ten koste gaat van extra werkzaamheden, die zorgen voor een efficiëntere en effectievere audit.
Verder is in dit onderzoek eveneens het effect van het business risico onderzocht op de audit, ervan uitgaande dat dit ook een onderdeel is van het auditrisk model. Echter, bestaan er ook hier verschillende meningen over. In een vervolgonderzoek zou onderzocht kunnen worden of het business risico wel of niet behoort in het auditrisk model
Een ander vervolgonderzoek om tot een helder antwoord te komen, is middels een empirisch onderzoek. Een voorbeeld kan zijn om bij accountantskantoren langs te gaan en kijken hoe de auditors werken met het auditrisk model. Hechten auditors, na de vele discussies over het model, nog steeds evenveel waarde aan het model?
Tot slot is de invloed van de invoering van de Sarbanes Oxley Act al genoemd op de audit. Een vervolgonderzoek zou kunnen zijn om de periode voor en na de invoering van deze Act te onderzoeken en het effect ervan op de audit.
8. Conclusie
Middels dit literatuuronderzoek is geprobeerd om een antwoord te vinden op de volgende centrale vraag:
“ Gaat de efficiëntie van de accountantscontrole met behulp van het audit risk model ten koste van de effectiviteit ?”
Om deze onderzoeksvraag te beantwoorden is allereerst een duidelijker beeld gegeven van de accountantscontrole. Hiernaast is het audit risk model verder toegelicht met de bijbehorende componenten ervan. Het eigenlijke onderzoek ging om de efficiëntie en de effectiviteit van het werken met het audit risk model te toetsen. Hiervoor is eerst onderzocht of de
accountantscontrole met behulp van het audit risk model überhaupt leidt tot een efficiëntere audit. Dit blijkt in eerste instantie niet het geval, omdat de tests of controls niet altijd zinvol zijn. Echter, het business risico lijkt verbonden te zijn met het auditrisk, waardoor de toepassing van een business risk approach wel leidt tot een efficiëntere audit. Doordat de auditor meer kennis verneemt over de gehele organisatie leidt dit tot een besparing in de totale auditwerkzaamheden en totale auditkosten.
Ten tweede is onderzocht of de audit effectief blijft naast de efficiënte voordelen van het model. Bij een business risk approach schat de auditor de risico’s beter in, waardoor materiële fouten eerder ontdekt kunnen worden. Echter, de extra kennis die de auditor opdoet, leidt tot het minder zwaar meewegen van problemen binnen het bedrijfsproces en blijkt er tevens sprake te zijn van een ‘halo’ effect. Hiernaast lijkt het auditrisk model minder beschrijvend te werken dan de business risk approach. Auditors doen bij de aanwezigheid van een materiële fout weliswaar een betere aanbeveling voor de auditwerkzaamheden, maar niet wanneer er onregelmatigheden aanwezig zijn. Hierbij dient afgevraagd te worden of dit wel een vereiste is van het auditrisk model of niet.
Ook nemen auditors de kwaliteit van het bewijs niet op in hun risicoanalyse, waardoor de audit minder effectief kan uitpakken dan bij een business risk approach.
Uit het meest recente onderzoek blijkt dat de factoren die een invloed hebben op de componenten van het auditrisk model een juiste indicatie geven van auditadjustments. Wanneer de auditor het inherente en interne controle risico juist beoordeelt, leidt dit tot meer auditadjustments en dus meer ontdekte fouten. Echter, blijkt uit een experiment dat de auditor het onderscheid tussen inherente en interne controle risico’s niet altijd te kunnen maken, omdat deze risico’s in elkaar verweven zitten.
Concluderend, de accountantscontrole met behulp van het auditrisk model leidt in combinatie van het business risico tot een efficiëntere audit. Hiernaast leidt het ook tot een effectieve audit, waarbij de belangrijkste nadelen zich bij de kennis van de auditor voordoen in het juist beoordelen van het inherente en interne controle risico.
9. Bibliografie
Allen, R. D., Hermanson, D. R., Kozloski, T. M., & Ramsay, R. J. (2006). Auditor risk assessment: Insights from the academic literature. Accounting Horizons, 20(2), 157-177.
American Institute of Certified Public Accountants (AICPA). (1983).
Statement on Auditing Standards no. 47. New York: Auditing Standards Board. Ballou, B., C. E. Earley, and J. S. Rich. 2004. The impact of strategic-
positioning information on auditor judgments about business-process performance. Auditing: A Journal of Practice & The- ory 23 (2): 71–88
Bell, T. B., Doogar, R., & Solomon, I. (2008). Audit labor usage and fees under business risk auditing. Journal of Accounting Research, 46(4), 729-760.
Bell, T. B., Landsman, W. R., & Shackelford, D. A. (2001). Auditors' perceived business risk and audit fees: Analysis and evidence. Journal of Accounting research, 35-43.
Blokdijk, J. H. (2001). De effectiviteit van de systeemgerichte aanpak in
de accountantscontrole. Maandblad voor Accountancy en Bedrijfseconomie, 75(3), pp. 71-80.
Blokdijk, J. H. (2004). Tests of control in the audit risk model: effective? Efficient?. International Journal of Auditing, 8(2), pp. 185-194.
Brumfield, C. A., Elliott, R. K., & Jacobson, P. D. (1983). Business risk and the audit process. Journal of Accountancy, 155(4), pp. 60-68.
Chang, S., Tsai, C., Shih, D., & Hwang, C. (2008). The development of audit detection risk assessment system: Using the fuzzy theory and audit risk model. Expert Systems with applications, 35(3), pp. 1053-1067.
Cohen, J. R., and D. M. Hanno. 2000. Auditors’ consideration of corporate governance and manage- ment control philosophy in preplanning and planning judgments. Auditing: A Journal of Practice & Theory 19 (2): 133–146.
Colbert, J.L. (1988). Inherent risk: An investigation of auditor’s judgement. Accounting, Organizations and Society, 13, (2), pp. 111-121.
probability-based specifications of audit risk. Auditing: A Journal of Practice & Theory 15 (2): 12–28.
Dusenbury, R. B., Reimers, J. L., & Wheeler, S. W. (2000). The audit risk model: An empirical test for conditional dependencies among assessed component risks. Auditing: A Journal of Practice & Theory, 19(2), pp. 105-117.
Elder, R. J., and R. D. Allen. 2003. A longitudinal field investigation of audit risk assessments and sample size decisions. The Accounting Review 78 (4): 983–1002.
Haskins, M. E., and M. W. Dirsmith. 1995. Control and inherent risk assessments in client engage- ments: An examination of their interdependencies. Journal of Accounting and Public Policy 14 (1): 63–83.
Hogan, C. E., & Wilkins, M. S. (2008). Evidence on the audit risk model: Do auditors increase audit fees in the presence of internal control deficiencies?. Contemporary
Accounting Research, 25(1), 219.
Houghton, C. W., & Fogarty, J. A. (1991). Inherent risk. Auditing-a Journal of Practice &
Theory, 10(1), 1-21.
Houston, R. W., Peters, M. F., & Pratt, J. H. (1999). The audit risk model, business risk and audit-planning decisions. The Accounting Review, 74(3), 281-298.
ISA 400 (2004). Geraadpleegd van
http://www.icisa.cag.gov.in/Background%20Material/RISK%20ASSt%20AND%20INTNL %20CONTROL%20ISA_400.pdf
Klijnsmit, P., Sodekamp, M., & Wallage, P. (2003). Bedrijfsrisico's van de accountant en het Audit Risk Model. Maandblad voor Accountancy en Bedrijfseconomie, 77(5), pp. 190-195.
Kloosterman, H. (2004). Wat is eigenlijk risicoanalyse in de accountantscontrole? Maandblad voor Accountancy en Bedrijfseconomie, 78(12), pp. 570-578.
Knechel, W. R., Salterio, S. E., & Ballou, B. (2001). Auditing: assurance & risk. South-Western College Pub.
Koning, F. d. (2002). Beoordeling van de interne controle in het kader van de
accountantscontrole. Maandblad voor Accountancy en Bedrijfseconomie, 76(6), pp. 272-280. Levitt, Arthur, Jr., (1999), Remarks to the Panel on Audit Effectiveness of the Public
Oversight Board, October 7, (http://www.sec.gov/news/speeches/ spch301.htm).
Limperg Jr, T. (1932). De functie van de Accountant en de Leer van het Gewekte Vertrouwen’. Maandblad voor accountancy en bedrijfshuishoudkunde, 2, 17-20.
Mollema, K. (2003). Auditrisico, meer dan ooit een issue (1). Maandblad voor Accountancy en Bedrijfseconomie, 77(12), pp. 551-556.
O’Donnell, E., and J. Schultz, Jr. 2005. The halo effect in business risk audits: Can strategic risk assessment bias auditor judgment about accounting details? The Accounting Review 80 (3): 921–939.
Ruhnke, K., & Schmidt, M. (2014). Misstatements in financial statements: The
relationship between inherent and control risk factors and audit adjustments. AUDITING: A
Journal of Practice & Theory, 33(4), 247-269.
Strawser, J. (1991). Examination of the Effect of Risk Model Components on Perceived Audit Risk. A Journal of Practice and Theory, 10(1), pp. 126-135.
