De relatie tussen de kernpunten in de nieuwe controleverklaring en de risico’s in het jaarverslag

De relatie tussen de kernpunten in de nieuwe controleverklaring

en de risico’s in het jaarverslag

Master Thesis Accountancy

Rijksuniversiteit Groningen, Faculteit Economie en Bedrijfskunde

23 januari 2017

Niels Jousma

Studentnummer: s2208547

Stadhouderstate 20

8925AE Leeuwarden

Tel.: (+31) 06-36296915

Eerste beoordelaar (begeleider):

dhr. M. Looijenga RA

Tweede beoordelaar:

prof. dr. D.A. de Waard

Aantal woorden:

11.393

ABSTRACT

In dit onderzoek is gezocht een relatie te leggen tussen de kernpunten in de nieuwe controleverklaring en de risico’s in het jaarverslag in Nederland. Onderzocht is of het verloop van tijd en de Big 4-organisaties (de accountant) invloed hebben op deze relatie. De methode die is gebruikt om dit onderzoek uit te voeren is de inhoudsanalyse. Hierbij zijn indexscores gegeven aan de kernpunten, waarbij een indexscore van één staat voor een overeenkomst tussen een kernpunt en een risico, en een nul voor geen overeenkomst. Naar voren is gekomen dat naarmate de tijd vordert er meer kernpunten worden gerapporteerd en dat meer kernpunten een indexscore van één hebben gekregen. Alleen voor het jaar 2015 is gebleken dat het verloop van tijd van invloed is op de relatie tussen de overeenkomstige kernpunten en risico’s. Wat betreft de Big 4-organisaties heeft Deloitte de minste overeenkomsten tussen de kernpunten van de controle en de risico’s, daarentegen heeft EY juist de meeste overeenkomsten. Uit de resultaten blijkt verder dat de Big 4-organisaties wel degelijk invloed hebben op de relatie tussen de kernpunten van de controle en de risico’s. Echter komen deze resultaten niet overeen met de visies van de Big 4-organisaties, wat mogelijk te wijten is aan de invloed van de individuele accountant bij het bepalen van de kernpunten van de controle

INHOUDSOPGAVE

2.1 Risico’s in het jaarverslag (Risk Disclosure) ... 10

2.2 Kernpunten van de controle ... 11

2.3 Uitleg verschil risico’s in het jaarverslag en de kernpunten van de controle ... 13

2.4 Big 4-organisaties (accountant) ... 14

2.4.1 Deloitte ... 14 2.4.2 EY. ... 14 2.4.3 KPMG ... 15 2.4.4 PwC ... 15 2.4.5 Conclusie ... 16 3. THEORETISCHE INKADERING ... 18

3.1 Vertrouwenstheorie van Limperg ... 18

3.1.1 Een potentiële, nieuwe verwachtingskloof... 20

3.2 Legitimiteitstheorie ... 20

3.3 Stakeholder theorie ... 21

3.4 Risico’s in het jaarverslag ... 21

3.5 Kernpunten van de controle ... 23

4. METHODE ... 24 4.1 Onderzoeksopzet ... 24 4.2 Onderzoeksontwerp ... 25 4.2.1 Betrouwbaarheid ... 26 4.2.2 Validiteit ... 27 4.3 Variabelen ... 27

4.3.1 Verloop van tijd ... 28

4.3.2 Big 4-organisaties ... 28

5. RESULTATEN ... 29

5.2 Verloop van tijd ... 30

5.3 Big 4-organisaties (Accountant) ... 32

5.4 Verloop van tijd op niveau controleverklaring ... 33

6. CONCLUSIE & DISCUSSIE ... 34

6.1 Conclusie ... 34 6.2 Discussie ... 37 6.2.1Beperkingen ... 37 6.2.2 Vervolgonderzoek ... 38 LITERATUURLIJST ... 39 BIJLAGEN ... 46

Bijlage 1: Voorbeeld van directe relatie tussen risico en kernpunt van de controle ... 46

Bijlage 2: Voorbeeld van indirecte relatie tussen risico en kernpunt van de controle... 46

Bijlage 3: Voorbeeld opnemen kernpunten van de controle en risico’s, inclusief (voorbeeld) toewijzen van de indexscore ... 47

Bijlage 4: Resultaten SPSS Verloop van tijd ... 49

Bijlage 5: Resultaten SPSS Big 4-organisaties ... 50

1. INTRODUCTIE

1.1 Inleiding

Al sinds het bestaan van het accountantsberoep is er kritiek op de accountant, maar de laatste twintig jaar is de kritiek heviger geworden. Vooral de verschillende (boekhoud)schandalen, zowel internationaal (Enron) als nationaal (Vestia, Imtech), en de financiële crisis (2007-2011) hebben ervoor gezorgd dat het maatschappelijk verkeer vond dat de kwaliteit van de accountantscontrole omhoog moest. Om de kwaliteit van de accountantscontrole te verhogen, werd onder andere geopperd dat de controleverklaring uitgebreider moest. De controleverklaring had een te beperkte informatiewaarde (Bos & Strating, 2014). De gebruikers van de controleverklaring vonden dat de controleverklaring niet ondernemingsspecifiek was en geen informatie gaf over de uitgevoerde werkzaamheden van de accountant. Als reactie hierop heeft de Nederlandse Beroepsorganisatie van Accountants (NBA) een ‘nieuwe’ controleverklaring geïntroduceerd, voorlopig alleen voor alle OOB’s (Organisaties van Openbaar Belang). In het jaar 2013 was de regelgeving met betrekking tot deze nieuwe controleverklaring nog steeds in ontwikkeling, maar desondanks is de nieuwe controleverklaring in dat boekjaar al bij een derde van de beursondernemingen toegepast. Vanaf de boekjaren die afsluiten op of na 15 december 2014 is de uitgebreidere controleverklaring verplicht bij alle OOB’s. De controleverklaring nieuwe stijl is in het Verenigd Koninkrijk zelfs al verplicht gesteld vanaf het boekjaar 2013. Hiermee lopen Nederland en het Verenigd Koninkrijk voor op de rest van de wereld.

De invoering van de nieuwe controleverklaring is één van de 53 maatregelen die zijn genomen door de Werkgroep Toekomst Accountantsberoep om de kwaliteit en de onafhankelijkheid van de accountant te verbeteren (Werkgroep Toekomst Accountantsberoep, 2014). In november 2016 is een rapport verschenen van de Monitoring Commissie Accountancy waaruit blijkt dat er grote stappen zijn gemaakt met het uitvoeren van deze 53 maatregelen, maar dat er nog veel moet gebeuren wil dit op voldoende niveau zijn (MCA, 2016). Hierin wordt benoemd dat de invoering van de nieuwe, uitgebreide controleverklaring als één van de maatregelen nuttig wordt geacht en daarbij helpt om de prestatiekloof (‘performance gap’), als onderdeel van de verwachtingskloof, te verkleinen.

Een belangrijke vraag die bij dit alles gesteld kan worden is: Heeft de nieuwe controleverklaring ook daadwerkelijk hogere informatiewaarde en is de kwaliteit van de accountantscontrole omhoog gegaan?

De controlestandaard waarin de nieuwe regels en plichten met betrekking tot de nieuwe controleverklaring staan is NV COS 702N; ‘Aanvullingen met betrekking tot het rapporteren bij een volledige set van historische financiële overzichten voor algemene doeleinden bij een organisatie van openbaar belang’. Deze standaard is verplicht gesteld door de NBA voor de controleverklaringen bij alle OOB’s. Het belangrijke doel van deze standaard is om de structuur van de controleverklaring vast te leggen (NBA, 2014b). Eén van de vereisten met betrekking tot de nieuwe controleverklaring is het rapporteren van zogenoemde kernpunten van de controle (in het Engels: Key Audit Matters (KAMs)).

De kernpunten van de controle zijn de zaken die het meest significant zijn geweest tijdens de controle (NV COS 702N, 2014) of die van de accountant veel aandacht hebben gevraagd. Deze kernpunten van de controle zijn specifiek gericht op de organisatie die wordt gecontroleerd en hebben daarom een hoog informatief gehalte (PwC, 2014). Deze kernpunten van de controle zijn specifiek gericht op een bepaalde organisatie, en betreffen daarom niet standaardteksten die voor elke organisatie elk jaar hetzelfde zijn.

Naast dat de accountant zijn kernpunten van de controle nu moet opnemen in zijn controleverklaring, moet de gecontroleerde organisatie zijn risico’s opnemen in zijn jaarverslag. De controleverklaring van de accountant en de risicoparagraaf van een jaarverslag hebben een overeenkomst, namelijk dat in beide mogelijke bedreigingen worden genoemd voor de gecontroleerde organisatie. Het verschil hierbij is dat in de controleverklaring de bedreigingen ten aanzien van de jaarrekening worden genoemd die in de ogen van de accountant relevant zijn en in de risicoparagraaf worden de bedreigingen genoemd die in de ogen van het management van de organisatie relevant zijn. Een mogelijk gevolg hiervan is dat er verschillen zijn tussen de benoemde kernpunten in de controleverklaring en de risico’s benoemd in de risicoparagraaf. Tegelijkertijd zou hier een grote overlap verwacht worden omdat de toegelichte ondernemingsrisico’s over het algemeen het meest significant zijn tijdens de controle. Vandaar dat de onderzoeksvraag luidt:

In hoeverre komen de risico’s die de organisatie heeft toegelicht in haar jaarverslag overeen met de kernpunten in de controleverklaring, en welke ontwikkeling is hierin waarneembaar over de jaren 2013 t/m 2015?

Wat betreft het benoemen van de kernpunten van de controle hebben de Big 4-organisaties hun eigen strategie opgesteld (Deloitte, 2015; EY, 2014; KPMG, 2016; PwC, 2015). Voor bijna alle OOB’s geldt dat hun accountant een Big organisatie is. Daarom kan een Big 4-organisatie mogelijk invloed hebben op de relatie tussen de risico’s in de risicoparagraaf van het jaarverslag en de kernpunten van de controle. Hierbij is de volgende deelvraag opgesteld:

In hoeverre hebben de Big 4-organisaties (de accountant) invloed op de relatie tussen de kernpunten van de controle in de controleverklaring en de risico’s in het jaarverslag?

Uit deze twee vragen komt naar voren dat de relatie tussen de kernpunten van de controle en de risico’s in het jaarverslag van belang is, waarbij wordt onderzocht of de variabelen ‘verloop van tijd’ en de ‘Big 4-organisaties’ (de accountant) invloed hebben op deze relatie.

1.2 Relevantie

De maatschappij heeft verwachtingen over de kwaliteit van de dienstverlening van accountants. Door middel van de controleverklaring laat de accountant aan het maatschappelijk verkeer zien wat hij heeft gedaan tijdens de accountantscontrole en wat de uitkomsten zijn van zijn werkzaamheden. Het maatschappelijk verkeer, waaronder investeerders en beleggers, heeft echter twijfels bij de kwaliteit van de accountantscontrole (Eumedion, 2013; VEB, 2015). Ze vinden namelijk dat de kwaliteit te wensen overlaat. Door een uitgebreidere en nieuwe controleverklaring kan de accountant laten zien wat hij heeft gedaan tijdens zijn controle. Hierdoor moet het vertrouwen van het maatschappelijk verkeer in de accountant omhoog gaan. Dit is één van de doelstellingen geweest van de invoer van de nieuwe controleverklaring.

In dit onderzoek wordt de relatie gelegd tussen het jaarverslag (en dan vooral de risicoparagraaf hierin) en de controleverklaring van de accountant (en dan vooral de kernpunten van de controle). Er is wel apart onderzoek gedaan naar de risicoparagraaf in het jaarverslag en de kernpunten van de controle, maar de relatie ertussen is nog niet onderzocht.

De risicoparagraaf en de controleverklaring zijn echter wel aan elkaar gerelateerd, omdat in de risicoparagraaf de risico’s van de organisatie staan door de ogen van het management en de kernpunten de risico’s door de ogen van de accountant zijn. De vraag is of de gedachtegangen van het management en de accountant overeenkomen. Het management licht in het jaarverslag toe wat zij de belangrijkste risico’s vindt binnen haar organisatie, maar de accountant doet dit ook door middel van het noteren van wat hij de belangrijkste kernpunten van de controle vindt. Het is interessant om te kijken of deze risico’s en kernpunten overeenkomen en te zien of het management en de accountant een andere kijk op de organisatie hebben. De relatie tussen beide partijen wordt ondersteund door de auditcommissie van de organisatie, omdat zij zorgen voor het oplossen van conflicten tussen het management en de accountant en daarnaast zorgen ze voor het verbeteren van de kwaliteit van de controle (Stewart & Munro, 2007; Deloitte, 2015). Daarnaast heeft de auditcommissie ook een directe relatie met de accountant, omdat de accountant de kernpunten van de controle in overleg met de auditcommissie opstelt.

Als er verschillen worden geconstateerd tussen de risico’s in de risicoparagraaf en de kernpunten van de controle in de controleverklaring kunnen de gebruikers van beide stukken raar opkijken. Zij gaan ervan uit dat het management en de accountant op elkaar zijn afgestemd wat betreft de risico’s waar de organisatie aan onderhevig is. Wanneer de gebruiker grote verschillen ziet, dan kan hij vraagtekens zetten bij de betrouwbaarheid van de risicoparagraaf en/of de kernpunten van de controle. Beleggers en investeerders schatten het aandeel van de organisatie anders in, waardoor mogelijk de waarde van de organisatie daalt en beleggers en investeerders hun aandelen verkopen of niet meer zijn geïnteresseerd in het kopen van het aandeel. Vanwege de mogelijke verschillen tussen de risico’s en de kernpunten én de visie van het management en de accountant kan er een potentiële nieuwe verwachtingskloof ontstaan.

Brouwer et al. (2016) hebben in hun onderzoek een eerste opzet gedaan naar het onderzoeken van de relatie tussen de kernpunten van de controle en de risico’s. Hierin komt naar voren dat 38% van de kernpunten terug te lezen is in de risicoparagraaf van het jaarverslag en dat maar 10% van de risico’s terug is te vinden in de controleverklaring. Dit is gedaan voor het boekjaar 2015 voor de organisaties die deel uitmaken van de AEX en de AMX index. In mijn onderzoek ga ik hier verder opbouwen door te kijken hoe de relatie tussen de kernpunten en de risico’s zich heeft ontwikkeld van begin (boekjaar 2013) tot heden (boekjaar 2015).

1.3 Vooruitzicht

De rest van het onderzoek ziet er als volgt uit: In het volgende hoofdstuk wordt achtergrondinformatie gegeven over de nieuwe controleverklaring, de risico’s in het jaarverslag en de kernpunten van de controle. Daarna wordt een wetenschappelijke onderbouwing gegeven voor dit onderzoek door middel van verschillende theorieën. Hoofdstuk 4 bespreekt de opzet en het ontwerp van het onderzoek, alsmede de gebruikte variabelen. De resultaten van dit onderzoek worden neergezet in hoofdstuk 5. Als laatste wordt in hoofdstuk 6 de conclusie op de hoofdvraag en deelvraag weergegeven, met daarnaast de discussie, bestaande uit de beperkingen van dit onderzoek en mogelijkheden voor vervolgonderzoek.

2. ACHTERGRONDINFORMATIE

In dit onderzoek staan de jaarverslagen en controleverklaringen van alle OOB’s centraal. Voor OOB’s geldt dat een controle van de financiële overzichten wettelijk verplicht is. Om de communicatie van de accountant met het maatschappelijk verkeer te versterken is er voor de controle van de financiële overzichten bij OOB’s een nieuwe controleverklaring ingevoerd. Deze controleverklaring bevat onder meer een paragraaf met de kernpunten van de controle, oftewel de risico’s voor de organisatie door de ogen van de accountant. Op deze risico’s van de organisatie, zowel door de ogen van de organisatie zelf als door die van de accountant, wordt verdere toelichting gegeven.

2.1 Risico’s in het jaarverslag (Risk Disclosure)

Er zijn verschillende definities die worden gebruikt voor een risico. In dit onderzoek is een risico een statistische kans (waarschijnlijkheid) dat een gebeurtenis zal plaatsvinden met een impact op één van de doelstellingen van een organisatie (COSO, 2004). Dit betekent dat risico’s zowel een positief als negatief gevolg kunnen hebben. Deze risico’s geeft de organisatie weer in de risicoparagraaf van zijn jaarverslag. Met behulp van deze risicoparagraaf moeten alle stakeholders van de organisatie worden geïnformeerd over het totale risicoprofiel van de organisatie.

Risk disclosure (risicotoelichting) is alle informatie die organisaties toelichten in hun risicoreviews en die ze weer presenteren in hun jaarverslagen (Miihkinen, 2012). Kijkend naar het jaarverslag betreft dit voornamelijk de informatie die is toegelicht in de risicoparagraaf. Deze informatie is zowel toekomstgerichte als historische informatie. De toekomstgerichte informatie is vooral bedoeld voor externe investeerders. Deze informatie bevat daarom vooral informatie over de schatting en de bronnen van de toekomstige kasstromen, en programma’s die gepland worden om de risico’s onder ogen te komen. In tegenstelling tot de toekomstgerichte informatie bestaat de historische informatie uit de acties die ondernomen worden om de risico’s te bestrijden.

Gebruikers van de jaarrekening vinden het belangrijk dat het management de risico’s transparant en open rapporteert in hun risicoparagraaf. Naar aanleiding van de financiële crisis en recente bedrijfsincidenten heeft de AFM (2014) onderzoek gedaan naar de risicoparagraaf

in het jaarverslag, en wat deze doet voor de kwaliteit van de accountantscontrole en de verslaggeving. Op basis van dit onderzoek zijn er vier punten voor verbetering gekomen:

- De prioritering van de risico’s kan beter.

- De toelichting op de risicobereidheid kan ruim worden verbeterd.

- Er is meer aandacht nodig voor de kwantificering van de risico’s en de gevoeligheidsanalyses.

- De rapportage van de evaluatie over de werking van het risicobeheersingssysteem moet beter.

De regels met betrekking tot het rapporteren van risico’s waaraan de organisatie wordt blootgesteld staan in de Richtlijnen voor de Jaarverslaggeving (RJ), om precies te zijn in RJ400 (Bestuursverslag). Naast het benoemen van de risico’s op hoofdlijnen moet er ook worden benoemd of de organisatie bereid is om zijn risico’s te willen afdekken (‘risk appetite’) en in welke mate ze dit willen doen. Volgens RJ400 worden alleen de belangrijkste risico’s gerapporteerd en worden niet alle mogelijke risico’s opgesomd waarmee de organisatie eventueel te maken krijgt. Om een goede en juiste selectie te maken van de risico’s die gerapporteerd moeten worden, zijn de volgende categorieën van belang: strategie, operationele activiteiten, financiële positie, financiële verslaggeving en wet- en regelgeving.

2.2 Kernpunten van de controle

In NV COS 702N wordt de volgende definitie gebruikt voor de kernpunten van de controle: “Aangelegenheden die in de professionele oordeelsvorming van de accountant het meest significant waren in de controle van de financiële overzichten van de huidige controleperiode.” Daarnaast wordt duidelijk gemaakt dat de kernpunten van de controle geselecteerd dienen te worden uit de aangelegenheden die zijn gecommuniceerd met de personen belast met governance. De definitie van de PCAOB (2016) is uitgebreider doordat hierin staat dat de kernpunten ook nog moeten worden gecommuniceerd aan de auditcommissie van de gecontroleerde organisatie.

De accountant dient met betrekking tot de kernpunten van de controle de volgende elementen te beschrijven (NV COS 702N, 2014):

- een beschrijving van het kernpunt;

- een samenvatting van de uitgevoerde controlewerkzaamheden;

- indien relevant, een verwijzing naar toelichting of vermelding in de jaarstukken.

Om ervoor te zorgen dat de nieuwe controleverklaring informatiever is dan de “oude, traditionele” controleverklaring, zijn er een aantal vereisten bijgekomen waarover de accountant verplicht informatie moet geven in de nieuwe controleverklaring. Deze vereisten, oftewel de belangrijkste verschillen met de oude controleverklaring, zijn (NBA, 2014a)

- De continuïteit van de gecontroleerde organisatie.

- De gehanteerde materialiteit. De materialiteit die wordt gehanteerd, evenals de totstandkoming van de materialiteit, wordt toegelicht.

- De reikwijdte van de groepscontrole. Hierin wordt uitgelegd hoe de accountant de groepscontrole heeft aangepakt, bijv. welke groepsonderdelen hij heeft gecontroleerd als onderdeel van zijn eigen controle.

- De kernpunten van de controle.

- Het oordeel van de accountant over de jaarrekening moet in de nieuwe controleverklaring aan het begin van de verklaring worden opgenomen.

- De aandacht voor de leesbaarheid. In de ‘oude’ controleverklaring stonden teveel standaardteksten. Deze waren niet meer relevant voor de lezer en waren moeilijk te begrijpen. Deze teksten zijn nu beter verwoord of zijn opgenomen in de bijlagen. Er kan zelfs worden verwezen naar teksten van de NBA-website waar deze zijn opgenomen.

Voor het boekjaar 2013 was, zoals eerder gezegd, de nieuwe uitgebreidere controleverklaring nog niet verplicht voor de OOB’s. Uit het onderzoek van Bos & Strating (2014) is gebleken dat, ondanks dat het vrijwillig was, bij 38% (28 van de 78) van de beursgenoteerde ondernemingen de nieuwe controleverklaring al was afgegeven. Beursgenoteerde ondernemingen zijn de ondernemingen die zijn aangesloten bij de AEX-, AMX- of ASCX index. Dit betekent dat bij de overige 62% van de organisaties voor het jaar 2013 nog geen vergelijking gemaakt kan worden tussen de kernpunten van de controle in de controleverklaring en de risico’s in de risicoparagraaf.

Voor de jaren 2013 t/m 2015 blijkt dat in alle nieuwe controleverklaringen kernpunten van de controle zijn opgenomen. Daarnaast zijn er in totaal 583 kernpunten gerapporteerd in 149 controleverklaringen, wat neerkomt op een gemiddelde van 3,9 kernpunt per controleverklaring. Het aantal kernpunten per controleverklaring verschilt, namelijk van

minimaal één kernpunt tot maximaal acht kernpunten. Over het algemeen is te zien dat hoe groter de organisatie is, hoe meer kernpunten er zijn opgenomen in de controleverklaring. De vijf meest genoemde kernpunten zijn:

- De waardering van goodwill/impairment; - (Latente, onzekere) belastingposities; - Acquisities;

- Frauderisico’s m.b.t. de opbrengstverantwoording; en - Overige immateriële- en materiëleactivawaardering.

2.3 Uitleg verschil risico’s in het jaarverslag en de kernpunten van de controle

Zoals blijkt zitten er verschillen tussen de definities van een risico en kernpunt. De risico’s staan in het jaarverslag van de organisatie en de kernpunten staan in de controleverklaring van de accountant. Om nog specifieker te zijn: in de risicoparagraaf van een jaarverslag staan vooral de strategische, operationele, compliance en financiële verslaggevingsrisico’s die het management heeft onderkend. Deze risico’s zijn een bedreiging voor de organisatie bij het uitvoeren van haar dagelijkse activiteiten en het voeren van hun strategie. In de risicoparagraaf staan dus vooral de bedrijfsrisico’s met betrekking tot de dagelijkse activiteiten en de strategie (PwC, 2014).

Daarentegen hebben de kernpunten, zoals eerder gezegd, betrekking op specifieke risico’s die veel aandacht krijgen van de accountant tijdens de controle van de jaarrekening. Dit betekent dat kernpunten vooral betrekking hebben op de financiële verslaggevingsrisico’s en niet zoals bij de risico’s in de risicoparagraaf op alle bedrijfsrisico’s (PwC, 2014).

De strategische, operationele, compliance en financiële verslaggevingsrisico’s kunnen natuurlijk wel invloed hebben op de financiële verslaggeving. Hierdoor komt uit het onderzoek van PwC (2014) naar voren dat ongeveer twee van de drie kernpunten te relateren (indirect of direct) zijn aan de risico’s in de risicoparagraaf van het jaarverslag. Daarentegen zijn ongeveer een derde van de genoemde kernpunten niet beschreven in de risicoparagraaf van het jaarverslag. Dit komt voor bij drie van de vier organisaties. Een voorbeeld is een kernpunt met betrekking tot de eerstejaars controle van een OOB. Dit is een kernpunt wat betrekking heeft op de controle en niet op een specifieke jaarrekeningpost of proces van de onderneming (Brouwer et al., 2016).

Een risico kan dus op zowel een directe als indirecte manier verband houden met een kernpunt, maar het blijkt dat niet elk risico wat in de risicoparagraaf staat ook als kernpunt in de controleverklaring wordt genoemd.

2.4 Big 4-organisaties (accountant)

NV COS 702N (2014) biedt nog veel ruimte aan accountantskantoren over hoe zij hun kernpunten willen toelichten in de controleverklaring. Omdat vooral de Big 4-organisaties de accountant zijn van OOB’s lichten zij duidelijk toe wat zij zien als een kernpunt en hoe zij een kernpunt beschrijven in de controleverklaring.

2.4.1 Deloitte. Deloitte licht zijn verslaggevingsbeleid wat betreft kernpunten toe in het rapport

“Clear, transparent reporting; The new auditor’s report” (Deloitte, 2015). Om te komen tot de juiste kernpunten, maken zij gebruik van drie stappen. Deloitte begint bij de “aangelegenheden die gecommuniceerd moeten worden met degene die zijn belast met governance”. Deze wordt vervolgens verkleind tot de “ aangelegenheden die significante aandacht vereisen van de accountant”, om daarna uit te komen bij de “aangelegenheden die het meest significant zijn”. Vanuit deze “aangelegenheden die het meest significant zijn” worden dan de kernpunten van de controle gehaald. Het gehele proces wordt beïnvloed door de professionele oordeelsvorming van de accountant. Dit proces is te zien in figuur 1.

2.4.2 EY. In het rapport “Enhanced auditor’s reporting” ligt EY hun visie toe met betrekking

tot het proces van de kernpunten (EY, 2014). In tegenstelling tot Deloitte bestaat het proces van EY maar uit twee stappen. Ze beginnen bij de “aangelegenheden die gecommuniceerd moeten worden met degene die zijn belast met governance” om daarna uit te komen bij de “aangelegenheden die significante aandacht vereisen van de accountant”. Deze groep wordt

uiteindelijk weer verkleind om uit te komen tot de kernpunten van de controle: “aangelegenheden die het meest significant zijn voor de audit”. Het gehele proces van EY is te zien in figuur 2.

2.4.3 KPMG. Het proces van KPMG ziet er hetzelfde uit als bij EY. Dit heeft KPMG

beschreven in het rapport “Enhancing the auditor’s report; Improving informational value and transparency” en “Beyond auditor’s report” (KPMG, 2016). Ook KPMG begint met de “aangelegenheden die gecommuniceerd moeten worden met degene die zijn belast met governance”. Vanuit daar komt KPMG tot de “aangelegenheden die significante aandacht van de accountant vereisen bij het uitvoeren van de audit”, om zo tot de kernpunten van de controle (aangelegenheden die het meest significant zijn) te komen. Dit proces van KPMG is te zien in figuur 3.

Figuur 2: Opstellen kernpunten EY

2.4.4 PwC. PwC spreekt over het selecteren van kernpunten in het rapport “Delivering the

value of het audit; New insightful audit reports” (PwC, 2015). PwC begint net zoals KPMG met dezelfde twee stappen: van “alle aangelegenheden die gecommuniceerd moeten worden met degene die zijn belast met governance”, naar “de vaststelling van de aangelegenheden die significante aandacht van de accountant vereisen bij het uitvoeren van de audit” en dan naar “de bepaling van welke aangelegenheden het meest significant zijn (de kernpunten van de controle). PwC voegt er nog een stap aan toe om in uitzonderlijke situaties, wel met toestemming, de groep kernpunten uit te kerven om tot een nog betere groep van kernpunten te komen. Het proces van totstandkoming van de kernpunten van de controle bij PwC is weergegeven in figuur 4.

Figuur 4: Opstellen kernpunten PwC

2.4.5 Conclusie. Alle vier de Big 4-organisaties zien het proces van het komen tot een goede

groep van kernpunten als een trechtervorm (zie figuur 1 t/m 4). De processen beginnen met een groep van belangrijke aangelegenheden die zijn besproken met degene die zijn belast met governance en worden verkleind om te komen tot de kernpunten van de controle (conform NV COS 702N). Alleen de tussenliggende stappen verschillen, waardoor iedere Big 4-organisatie tot een verschillende groep van kernpunten kan komen. Als je naar de processen van de Big 4-organisaties kijkt, dan zijn de processen van EY en KPMG identiek en de processen van Deloitte en PwC. Het verschil tussen aan de ene kant EY en KPMG en aan de andere kant Deloitte en PwC is dat voor EY en KPMG de kernpunten gelijk zijn aan de “punten die het meest significant zijn” terwijl dit bij Deloitte en PwC niet zo is. Hier wordt er nog geschaafd aan de “punten die het meest significant zijn” om tot een juiste groep van

kernpunten van de controle te komen. Op basis hiervan kan worden geconcludeerd dat Deloitte en PwC meer overeenkomsten zullen hebben tussen de kernpunten van de controle en de risico’s dan EY en KPMG, omdat zij kritischer zijn in het selecteren van de kernpunten en naar verwachting minder kernpunten rapporteren per controleverklaring.

3. THEORETISCHE INKADERING

Waar in het vorige hoofdstuk nog achtergrondinformatie is gegeven over de kernpunten van de controle en de risico’s in het jaarverslag worden in dit hoofdstuk de theorieën besproken die ten grondslag liggen aan dit onderzoek.

3.1 Vertrouwenstheorie van Limperg

De discussie over de verwachtingskloof (“audit expectation gap) tussen de accountant en het maatschappelijk verkeer speelt al sinds jaar en dag, maar heeft weer extra aandacht gekregen vanwege de financiële crisis van 2008. De IAASB (2011, alinea 3) definieert de verwachtingskloof als volgt: “het verschil tussen wat gebruikers verwachten van een jaarrekeningcontrole en hoe een controle feitelijk wordt uitgevoerd”. Een theorie die hierbij een rol speelt is de vertrouwenstheorie van Limperg. Volgens de vertrouwenstheorie van Limperg (1932) is het bestaansrecht van de accountantscontrole afhankelijk van het vertrouwen dat de controlefunctie van de accountant wekt bij het maatschappelijk verkeer. Een verwachtingskloof tussen de accountant en het maatschappelijk verkeer is het logische gevolg van deze theorie.

Porter (1993) heeft in zijn artikel de verwachtingskloof verder uitgewerkt. Ten eerste verdeelt hij de verwachtingskloof in een ‘reasonableness gap’ en een ‘performance gap’. De ‘reasonableness gap’ is het verschil tussen wat de maatschappij verwacht van wat de accountants zullen bereiken en wat ervan de accountants redelijkerwijs kan worden verwacht dat ze zullen bereiken. De ‘performance gap’ is het verschil tussen wat de maatschappij redelijkerwijs mag verwachten dat de accountants zullen bereiken en de daadwerkelijke waarneming van wat de accountants behalen (Chye Koh & Woo, 1998).

Figuur 5 legt deze verwachtingskloof nog beter uit.

De ‘performance gap’ deelt Porter (1993) weer verder op in ‘deficient standards’ en ‘deficient performance’. Met de ‘deficient standards’ wordt de kloof bedoeld tussen de verantwoordelijkheden die verwacht mogen worden van de accountant en de bestaande verantwoordelijkheden van de accountant op basis van de huidige wet- en regelgeving. Hierbij kan gekeken worden of de accountant alle risico’s letterlijk vertaalt naar zijn kernpunten van de controle of dat de accountant ook verder onderzoek heeft gedaan en tot andere belangrijke kernpunten binnen zijn controle is gekomen. De ‘deficient performance’ heeft betrekking op de tekortkomingen in de kwaliteit van de controle, wat in dit onderzoek vooral van belang is.

Om de verwachtingskloof tussen accountant en maatschappelijk verkeer te verkleinen, hebben Chye Koh & Woo (1998) een aantal verbeteringen opgenoemd. Eén van die mogelijkheden is uitbreiding van de controleverklaring. Er zijn al tal van onderzoeken gedaan naar het bericht wat de controleverklaring overbrengt (Hanks, 1992; Gay & Schelluch, 1993; Monroe & Woodliff, 1994; Chong & Pflugrath, 2008). Hieruit blijkt dat de opvattingen van de gebruikers van het jaarverslag veranderen en dat deze verschillen met de opvattingen van de accountant.

Om de ‘deficient performance’ te kunnen verkleinen heeft de NBA dus een nieuwe standaard ingevoerd, standaard 702N. Dit is gedaan om de tekortkomingen in de kwaliteit van de controle te verminderen. Door deze nieuwe standaard wordt de controleverklaring uitgebreid, wat aansluit met één van de mogelijkheden van Chye Koh & Woo (1998).

Cordos & Fülöp (2015) stellen in hun artikel dat de invoering van de kernpunten de vertrouwenstheorie van Limperg heeft versterkt, oftewel de verwachtingskloof wordt verkleind. De reden hiervoor is dat kernpunten het maatschappelijk verkeer meer relevante informatie geven om te besluiten of het jaarverslag en andere openbaringen van het management bevooroordeeld zijn of niet. Zij stellen vanuit een sociaal oogpunt dat wanneer het vertrouwen van het maatschappelijk verkeer wordt geschaad, het maatschappelijke nut van de accountantscontrole wordt beschadigd (Carmichael, 2004). De conclusie van hun onderzoek is dat het rapporteren van kernpunten het gevolg is van veranderingen van de manier van rapporteren, bedoeld om het maatschappelijk verkeer te helpen, al is het alleen maar om bepaalde aspecten of gebreken van de financiële informatie die wordt verstrekt door de organisatie te benadrukken.

3.1.1 Een potentiële, nieuwe verwachtingskloof. PwC (2014) erkent in haar artikel dat er door het

toelichten van de kernpunten wel een potentiële nieuwe verwachtingskloof kan ontstaan. De organisatie licht in zijn jaarverslag de belangrijkste risico’s toe die men heeft onderkend, waaronder de risico’s voor de jaarrekening. Daarnaast ligt de accountant zijn kernpunten toe in de controleverklaring, waaronder dus ook risicogebieden met betrekking tot de jaarrekening. Daarom is het niet vreemd dat de gebruikers van de jaarrekening zichzelf afvragen waarom accountants kernpunten toelichten in hun controleverklaring die eventueel niet overeenkomen met de risico’s die de organisatie opneemt in zijn jaarverslag. De risico’s voor de jaarrekening behoren de gebruikers namelijk te kunnen vinden in het jaarverslag, en als deze niet overeenkomen met de kernpunten in de controleverklaring kan dit vragen oproepen bij de gebruikers van de jaarrekening. Een tweede gedachte die gebruikers kunnen hebben volgens het onderzoek is of “het management en commissarissen voor wat betreft risico-inschattingen rondom de jaarrekening wel op één lijn staan met de accountants”. De Raad van Commissarissen en het management horen alle stakeholders namelijk te informeren over alle belangrijke kwesties met betrekking tot de organisatie, waaronder de jaarrekening, vandaar dat dit vragen kan oproepen.

Een oplossing voor deze potentiële nieuwe verwachtingskloof ligt volgens PwC (2014) in het model van het Verenigd Koninkrijk voor de nieuwe controleverklaring. Daarin staat dat “de audit commissie in haar verslag een uiteenzetting geeft van significante issues gerelateerd aan de jaarrekening en zijn de key audit matters in de controleverklaring dan ook complementair aan de genoemde beschrijving door de audit commissie”. In de nieuwe controleverklaring binnen het Verenigd Koninkrijk moet door de audit commissie daarom worden verwezen naar de betreffende uiteenzetting.

3.2 Legitimiteitstheorie

Lindblom (1994) definieert legitimiteit als “een conditie of status die bestaat wanneer een waarderingssysteem van een entiteit congruent is met het waardesysteem van een groter sociaal systeem waarvan de entiteit een onderdeel is”. Het behalen van deze legitimiteit is afhankelijk van hoe organisaties structuren en werkwijzen aannemen om normen, waarden, overtuigingen en definities gangbaar te maken (Meyer & Rowan, 1977). Een organisatie wil verzekeren dat ze handelen, of lijken te handelen, binnen de grenzen en normen van de maatschappij waarin ze opereren.

Het toelichten van de risico’s in de risicoparagraaf van het jaarverslag is een verplichte taak van een organisatie. Hiermee willen ze aan het maatschappelijk verkeer laten zien wat er speelt binnen de organisatie qua risico’s. Maar welke risico’s ze openbaren, dat kunnen ze zelf bepalen. De legitimiteitstheorie ziet vrijwillige toelichtingen (bijvoorbeeld het toelichten van risico’s) als een onderdeel van het legitimiteitsproces. Door middel van de risicoparagraaf (werkwijze) kan de organisatie (entiteit) aan het maatschappelijk verkeer (groter sociaal systeem) laten zien dat zij handelen binnen de grenzen en de normen.

3.3 Stakeholder theorie

De stakeholder theorie is ontwikkeld door Freeman (1984) en identificeert de belanghebbenden binnen een organisatie, en een modellering van de methodes die managers kunnen gebruiken om de belangen van diverse groepen te behartigen. Per organisatie verschilt het wie de belangrijkste stakeholders zijn, maar dit zijn toch vaak de aandeelhouders, klanten, crediteuren, investeerders en beleggers.

Om de stakeholders tevreden te houden en aan hun belangen te voldoen stelt een organisatie jaarlijks (of soms wel twee of vier keer per jaar) een jaarverslag op, waaronder de risicoparagraaf. In een speerpuntenbrief (Eumedion, 2007; Eumedion 2008) hebben aandeelhouders laten weten dat ze een informatievere en inzichtelijkere risicoparagraaf willen hebben, waarbij alle informatie met betrekking tot de risico’s en het beheer van de risico’s wordt geconcentreerd in deze risicoparagraaf. Na een tweetal onderzoeken is echter gebleken dat er nog steeds grote diversiteit zit in het rapporteren en beheren van risico’s (Mertens & Blij, 2008; Eumedion, 2009).

Daarnaast betrekt het management van een organisatie een accountant bij de jaarrekening om deze te laten controleren zodat de gebruikers hiervan beslissingen kunnen nemen op basis van de jaarrekening. Stakeholders hebben duidelijk laten weten dat zij een ondernemingsspecifiekere controleverklaring willen bij de jaarrekening waarbij de accountant meer vertelt over zijn controlewerkzaamheden (Eumedion, 2013; VEB, 2013; VEB, 2015).

3.4 Risico’s in het jaarverslag

Vanuit eerdere onderzoeken zijn tal van uitkomsten naar voren gekomen met betrekking tot de risico’s die worden toegelicht in het jaarverslag. Ten eerste blijkt dat de hoeveelheid risk disclosure vooral bestaat uit kwalitatieve informatie in plaats van kwantitatieve informatie (Dobler et al., 2011; Linsley & Shrives, 2006; Kajüter, 2004). Daarnaast hebben Lajili &

Zeghal (2005) en Amran et al. (2008) geconstateerd dat de risico-informatie die wordt geopenbaard bij enerzijds Canadese organisaties en anderzijds Maleisische organisaties vooral kwalitatieve informatie is. Eén van de redenen hiervoor is dat er bijna niks verplicht is met betrekking tot het rapporteren van kwantitatieve informatie in de risk disclosure (Solomon et al., 2000).

Ten tweede blijkt dat de hoeveelheid toekomstgerichte informatie in risk disclosures lager is dan de hoeveelheid historische en hedendaagse informatie (Kajüter, 2001; Woods & Reber, 2003; Beretta & Bozolan, 2004; Dobler et al., 2011; Linsley & Shrives, 2006). De reden hiervoor is dat met betrekking tot toekomstige informatie over de risico’s weinig verplichtingen voor de risico disclosure zijn (Solomon et al., 2000). Hieruit blijkt dat organisaties de vrijheid bezitten in hoe ze risico’s rapporteren.

Uit onderzoek van Amran et al. (2008) en Dobler et al. (2011) blijkt dat de financiële risico’s het meest zijn geopenbaard in de jaarverslagen. Dit komt overeen met het gegeven dat er meer kwantitatieve informatie in de risico disclosure staat dan kwalitatieve informatie, omdat de financiële risico’s over het algemeen van kwantitatieve aard zijn.

De indeling van de risico’s volgens RJ400 is een veel gebruikte methode. Veelal worden de categorieën strategie, operationeel en financieel ook gebruikt (Linsley & Shrives, 2005; Linsley & Shrives, 2006; Amran et al., 2008; Miihkinen, 2012), maar in aanvulling op deze categorieën wordt een verscheidenheid aan andere categorieën gebruikt. Dobler et al. (2011) daarentegen maakt onderscheid tussen financiële en financiële risico’s, waarbij de niet-financiële risico worden onderverdeeld in markt-, ‘nature’-, operationele- en wet- en regelgeving risico’s.

Het indelen en rapporteren van risico’s is van groot belang voor de stakeholders (Eumedion, 2007; Eumedion, 2008). Volgens de Ridder en Steggink (2009) willen stakeholders een duidelijke rapportage van de belangrijkste risico’s en niet een lijst van alle bedrijfsrisico’s. Echter blijkt uit onderzoek van Mertens & Blij (2008) en van Daelen & de Groot (2014) dat organisaties deze wens van de stakeholders nog steeds niet hebben ingewilligd en dat de meeste organisaties twaalf of meer risico’s rapporteren, wat zij dus zien als de belangrijkste risico’s. Als organisaties een duidelijke indeling hanteren waarbij alleen de belangrijkste risico’s worden gerapporteerd, dan kan dit de vergelijking tussen de kernpunten en de risico’s vergemakkelijken.

3.5 Kernpunten van de controle

Een voorloper van de introductie van de kernpunten van de controle is de introductie van de “Justification of Assessments” (JOA) in Frankrijk in het jaar 2003. In de Franse standaarden wordt benadrukt dat de JOA is gerelateerd aan belangrijke kwesties voor het begrijpen van het jaarverslag. Vanwege de overeenkomsten tussen de JOA en het kernpunt hebben Bédard et al. (2014) de gevolgen van de invoering van de JOA onderzocht en gekeken hoe investeerders hierop hebben gereageerd. In het onderzoek hebben ze zich gericht op drie kenmerken van de audit: de efficiëntie, de kwaliteit en de kosten. Hieruit komt naar voren dat de efficiëntie van de audit gedeeltelijk wordt beïnvloed door de invoering van de JOA. Daarentegen worden de kwaliteit en de kosten van de audit niet beïnvloed door de invoering van de JOA. De algehele conclusie is dat de invoering van de JOA helemaal niet zo informatief is als het moet zijn en dat dit dus vooral een symbolische waarde heeft. De vraag hierbij blijft of de invoering van de kernpunten wel informatieve waarde heeft.

Zoals eerder benoemd is de nieuwe controleverklaring in het leven geroepen vanwege de kritiek die ontstaan is op de oude controleverklaring. In een onderzoek van Vanstraelen et al. (2012) is hierop onderzoek gedaan naar wat de gebruikers van de controleverklaring en accountants willen veranderen aan de vorm en inhoud van de controleverklaring zodat beide partijen dichter naar elkaar toegroeien waardoor de zogenoemde verwachtingskloof wordt verkleind. Hieruit kwamen zes punten naar voren, waaronder het punt dat de gebruikers meer informatie willen over de bevindingen van de accountant. De accountant is het in dit opzicht eens met de gebruiker, omdat dit de informatiewaarde van de controleverklaring verhoogt. Daarnaast zijn ze bereid om deze informatie te verschaffen, zolang ze hiermee niet de wet overtreden. Dit kan verklaren waarom kernpunten nu verplicht zijn in de controleverklaring.

Een vergelijking tussen de oude en de nieuwe controleverklaring laat ook een verschil qua aantal woorden zien. De nieuwe controleverklaring bevat meer woorden dan de oude controleverklaring, omdat aan de nieuwe controleverklaring meer eisen worden gesteld. Tevens zijn er al diverse onderzoeken gedaan naar de lengte en het formaat van de controleverklaring (Chong & Pflugrath, 2008; Innes et al., 1997; Boolaky & Quick, 2016; Gold et al., 2012). Chong & Pflugrath (2008) hebben gekeken naar de verschillende formaten van de controleverklaring om de verwachtingskloof tussen accountant en gebruiker van het jaarverslag te verkleinen. Hieruit blijkt dat het gebruik maken van een ander formaat controleverklaring de verwachtingskloof niet verkleint.

4. METHODE

4.1 Onderzoeksopzet

Het onderzoek betreft een inhoudsanalyse (‘content analysis’), wat een vorm is van kwantitatieve data-analyse. De data is op een kwalitatieve manier verzameld. Deze kwalitatieve data zijn de risico’s in de risicoparagraaf van het jaarverslag en de kernpunten van de controle in de controleverklaring. Een kenmerk van deze vorm van onderzoek is dat de omvang van de steekproef relatief klein is, maar dat het verzamelen van de data intensief is (Smith, 2015). Patton (2002, p.432) merkt op dat er geen enkele, allesomvattende methode is voor de analyse van tekstuele data. Er bestaat geen formule voor de transformatie. Er kan wel richting worden gegeven, maar de uiteindelijke bestemming blijft uniek voor elke onderzoeker (Patton, 2002).

Inhoudsanalyse is een vorm van onderzoek dat gebruik maakt van procedures om geldige conclusies vanuit teksten te kunnen maken (Smith, 2015). Deze conclusies kunnen gaan over de zender van de berichten, de berichten zelf of over het publiek van het bericht, en de regels voor het proces verschillen tussen de belangen van de onderzoeker (Weber, 1985). De inhoudsanalyse wordt gedefinieerd als een systematische, reproduceerbare techniek voor het samenpersen van veel woorden of tekst in minder inhoudscategorieën die zijn gebaseerd op expliciete regels voor het coderen (Berelson, 1952; Krippendorf, 2004; Weber, 1990). Deze methode kan alleen worden toegepast als de data duurzaam van aard zijn, wat in dit onderzoek het geval is.

Dit onderzoek kan bestempeld worden als een exploratief onderzoek. Daarom zijn in dit onderzoek geen hypotheses opgesteld en wordt onderzocht welke variabelen mogelijk invloed kunnen hebben op de relatie tussen de kernpunten van de controle en de risico’s in het jaarverslag. De nieuwe controleverklaring is een paar jaar geleden ingevoerd, vandaar dat er nog weinig onderzoek naar is gedaan en het nog niet duidelijk is welke factoren van invloed kunnen zijn op de kernpunten van de controle en de relatie tussen deze kernpunten van de controle en de risico’s.

De data voor wat betreft de kernpunten (de nieuwe controleverklaring) en de Big 4-organisatie (de accountant) is gehaald uit de dataverzameling van de Vakgroep Accountancy van de Rijksuniversiteit Groningen. In deze database staan alleen de titels van de kernpunten,

oftewel een algemene beschrijving van het kernpunt. Voor de uitgebreide omschrijving van de kernpunten is gebruik gemaakt van de nieuwe controleverklaringen. De data voor de risico’s worden gehaald uit de jaarverslagen van de desbetreffende organisaties. Voor beide dataverzamelingen geldt dat ze betrekking hebben op alle OOB’s, oftewel 76 beursgenoteerde organisaties aan de AEX, AMX en ASCX over de boekjaren 2013, 2014 en 2015. Dit komt neer op een steekproef van 76 organisaties per jaar. Deze statistieken zijn overeenkomstig de kenmerken van de inhoudsanalyse.

4.2 Onderzoeksontwerp

Voor dit onderzoek is het van belang dat de kernpunten van de controle en de risico’s goed op elkaar zijn afgestemd. Om dit te kunnen bewerkstelligen is gebruik gemaakt van een index. Een index is bedoeld om de mate van toelichting in het jaarverslag en de controleverklaring te laten zien (Marston & Shrives, 1991). Niet het hele jaarverslag en de controleverklaring worden onderzocht, maar een specifiek deel van deze informatie. Hierdoor is de data die wordt gebruikt voor de index relatief beperkt, maar dit komt wel ten goede aan het onderzoek (Marston & Shrives, 1991).

Om tot een juiste index te komen zijn eerst alle risico’s verzameld. Niet alle risico’s hebben per definitie een relatie met een kernpunt van de controle. Daarna wordt begonnen met het vergelijken van de kernpunten van de controle met de risico’s. Hierbij is sprake van directe en indirecte relaties tussen de kernpunten en de risico’s. Als een kernpunt een overeenkomst heeft met een risico in het jaarverslag, dan wordt daar een indexscore van één aan toegekend. Heeft het kernpunt geen overeenkomst met een risico, dan wordt daar een indexscore van nul aan toegekend. Uiteindelijk krijgt elk kernpunt uit de steekproef een score van nul of één toegekend. Om te bepalen welke indexscore aan een kernpunt wordt toebedeeld, zijn de volgende drie stappen uitgevoerd:

- De omschrijving van het kernpunt zoals opgenomen in de database is vergeleken met de verzamelde risico’s. Hierbij is gekeken of een kernpunt en een risico dezelfde betekenis hebben. Met behulp van deze stap is vooral inzicht verkregen in de directe relatie tussen een kernpunt en een risico. Een voorbeeld van een directe relatie is opgenomen in bijlage 1. In dit voorbeeld is te zien dat zowel het kernpunt als het risico één en dezelfde betekenis hebben. Ze hebben beide betrekking op een probleem met de IT-systemen en de verwerking van gegevens met behulp van deze IT-systemen.

- De omschrijving van het kernpunt zoals opgenomen in de controleverklaring is vergeleken met de verzamelde risico’s. In de controleverklaring staat een specifiekere omschrijving van een kernpunt waardoor een beter beeld is verkregen van de betekenis van het kernpunt. Met behulp van deze stap is vooral inzicht verkregen in de indirecte relatie tussen een kernpunt en een risico. Een voorbeeld van een indirecte relatie is opgenomen in bijlage 2. In dit voorbeeld wordt specifiek ingegaan op hoe acquisities zijn gewaardeerd. In de risicoparagraaf staat ook een risico met betrekking tot acquisities, maar hier wordt niet ingegaan op het aspect van waardering, omdat het een bedrijfsrisico bevat. Aangezien het in beide gevallen wel om acquisities gaat, heeft zo’n kernpunt toch een indexscore van één gekregen.

- Als na de vorige twee stappen nog twijfel bestond over welke indexscore moest worden toegewezen aan een kernpunt, dan is dit kernpunt voorgelegd aan een accountant (RA). Zie ook 4.2.1.

Een voorbeeld van het opnemen van de kernpunten en de risico’s, inclusief het toewijzen van de indexscores is opgenomen in bijlage 3. Daarnaast is van één kernpunt en één risico de tekst integraal opgenomen zodat duidelijk is welke elementen met elkaar zijn vergeleken.

Eén indirecte relatie is specifiek naar voren gekomen bij het verzamelen en vergelijken van de kernpunten en de risico’s. In enkele jaarverslagen is het risico ‘financial reporting risks’ opgenomen. Bij de omschrijving hiervan wordt niet specifiek ingegaan op een bepaalde post, maar wordt alleen toegelicht dat er eventuele fouten kunnen staan in de financiële verslaggeving. Daarom hebben alle kernpunten die betrekking hebben op de financiële verslaggeving in dit geval een indexscore van één gekregen.

Om de categorisering en de indexscores van genoeg kwaliteit te voorzien, wordt er gekeken naar twee kwaliteitscriteria: betrouwbaarheid en validiteit.

4.2.1 Betrouwbaarheid. De indexscores zijn betrouwbaar wanneer de resultaten

reproduceerbaar zijn door een andere onderzoeker. De informatie die wordt gebruikt uit de jaarverslagen en de controleverklaring zijn voor iedereen toegankelijk, omdat deze publiekelijk worden gepubliceerd. Dit vormt daarom geen beperking voor de betrouwbaarheid van de indexscores.

Men kan drie typen betrouwbaarheidscontroles onderscheiden: stabiliteit, overeenstemming en accuraatheid (Krippendorff, 2004, p.130-54). In dit onderzoek is accuraatheid van groot belang. Bij accuraatheid wordt het werk van de codeur vergeleken met een normcodering van bijv. de onderzoeker of deskundigen. De betrouwbaarheid kan in het geding komen bij het toewijzen van de indexscore. Hierbij is een mate van subjectiviteit aanwezig, vandaar dat de accuraatheid van belang is. Deze subjectiviteit ontstaat doordat er geen eenduidige regels zijn voor het beoordelen of een kernpunt een overeenkomst heeft met een risico. Een indexscore wordt daarom bepaald aan de hand van de kennis en interpretatie van degene die de indexscores toewijst. De subjectiviteit zit vooral in het bepalen of er sprake is van een indirecte relatie, aangezien deze moeilijk zijn te interpreteren. Om deze subjectiviteit enigszins te laten afnemen, en daardoor de accuraatheid te verhogen wordt de vergelijking van de risico’s met de kernpunten van de controle besproken met een accountant (RA). In een discussie met deze accountant worden kernpunten besproken die enige vorm van twijfel bezitten over of ze wel of niet overeenkomen met een risico. Daarnaast is er ‘diepgaandere’ kennis opgedaan over de betekenis van enkele kernpunten en hoe mogelijk een relatie kan worden ontdekt met een risico.

4.2.2 Validiteit. Bij de validiteit wordt gekeken of de resultaten die voortkomen uit het

onderzoek overeenkomen met de werkelijkheid. Er wordt gekeken of het meetinstrument meet wat het moet meten. Binnen dit onderzoek moet de indexscore meten of er een overeenkomst is tussen een kernpunt van de controle en een risico in het jaarverslag. Hierbij is een valide coderingsschema van groot belang. Om een valide coderingsschema te krijgen moeten de variabelen worden uitgelegd, hun definities, hun waarden én de regels met betrekking tot het herkennen van de variabelen in de inhoud (Potter & Levine-Donnerstein, 1999). Aangezien op deze manier een valide coderingsschema wordt verkregen zijn deze punten in dit onderzoek opgenomen.

4.3 Variabelen

De belangrijkste relatie die wordt gelegd in dit onderzoek is de relatie tussen risico’s uit het jaarverslag en de kernpunten van de controle. Variabelen die mogelijk van invloed kunnen zijn op deze relatie zijn ‘het verloop van tijd’ en ‘het type Big 4-organisatie’. Het is interessant om te kijken of de communicatie tussen de accountant en het management van de organisatie verbeterd naar mate de tijd vordert, en daarbij betere afstemming komt tussen de kernpunten van de controle en de risico’s in het jaarverslag. Tevens heeft elke Big

4-organisatie zijn eigen visie over het bepalen van de kernpunten van de controle. Hierdoor ontstaan mogelijke verschillen voor het selecteren van de kernpunten waardoor dit weer van invloed is op de relatie tussen de kernpunten en de risico’s.

4.3.1 Verloop van tijd. In het onderzoek wordt voor de jaren 2013, 2014 en 2015 bekeken of de

risico’s overeenkomen met de kernpunten van de controle. Vandaar dat deze variabele de volgende drie waarden kan aannemen: 2013, 2014 of 2015. De verwachting is dat naarmate de tijd verloopt (20132015), hoe meer de risico’s in de risicoparagraaf en de kernpunten van de controle overeenkomen. De communicatie tussen de accountant en het management van de OOB zal dan naar verwachting toenemen als de kernpunten en de risico’s niet overeenkomen. Hierbij wil de auditcommissie ook graag synergie tussen de kernpunten van de controle en de risico’s. Het is namelijk vreemd als het management van de organisatie andere risico’s adresseert dan de accountant en daarbij zullen stakeholders zich afvragen hoe dit mogelijk kan zijn. Door meer en betere communicatie worden de kernpunten en de risico’s beter op elkaar afgestemd, waardoor het percentage kernpunten en risico’s dat overeenkomt toeneemt.

4.3.2 Big 4-organisaties. Een tweede factor die van invloed kan zijn op de relatie tussen de

kernpunten van de controle en de risico’s is het type Big 4-organisatie (de accountant). Deze variabele kan de volgende vier waarden aannemen: Deloitte, EY, KPMG of PwC. In de controleverklaring bij elk van de jaarverslagen kan worden gelezen wie de desbetreffende accountant is van de OOB. Aangezien er een roulatieschema voor accountants van toepassing is voor OOB’s, is het mogelijk dat de accountant van een OOB per jaar kan verschillen.

In hoofdstuk 2.4 is de visie over de bepaling van de kernpunten van de controle van elk van de Big 4-organisaties verteld. Hierin wordt ook uitgelegd waarom het type Big 4-organisatie van invloed kan zijn op de relatie tussen de kernpunten van de controle en de risico’s.

5. RESULTATEN

In dit hoofdstuk worden de relevante resultaten weergegeven met betrekking tot de hoofdvraag en de deelvraag. De resultaten zijn verkregen met behulp van IBM SPSS Statistics 23. Daarnaast wordt een toelichting gegeven over de resultaten.

5.1 Steekproef en beschrijvende statistieken

In totaal zijn over drie jaren van 76 verschillende OOB’s de kernpunten van de controle en de risico’s verzameld. Niet alle OOB’s zijn voor elk jaar in de steekproef meegenomen. Dit heeft verschillende redenen:

- De nieuwe controleverklaring is niet toegepast omdat de nieuwe controleverklaring nog een pilot was, waardoor er geen kernpunten van de controle waren.

- De OOB is een organisatie met een buitenlandse rechtsvorm die formeel geen OOB in Nederland is, waardoor de nieuwe controleverklaring niet verplicht is (Brouwer et al., 2016).

- In drie jaren was de accountant van een OOB geen Big 4-organisatie (Mazars en BDO).

- Er was geen informatie beschikbaar over de kernpunten van de controle.

In totaal bleven er 583 kernpunten over uit 149 controleverklaringen. Deze kernpunten zijn vergeleken met de risico’s. De beschrijvende statistieken voor het totale aantal kernpunten en de toebedeelde indexscores staan in tabel 1.

Tabel 1: Beschrijvende statistieken kernpunten en indexscores

N Minimum Maximum Gemiddelde Std. Dev.

Kernpunten 583 1,0 8,0 3,913 2,1106

Indexscores 583 0,0 1,0 0,578 0,4943

Uit de tabel zijn een aantal punten op te merken. Het minimum aantal kernpunten in een controleverklaring is één en het maximum aantal kernpunten is acht. Daarnaast zijn er bijna gemiddeld vier kernpunten per controleverklaring opgenomen. Uit de onderste rij van de tabel is op te maken dat de indexscores die zijn toegewezen één of nul zijn en dat bij 57,8% van de kernpunten een indexscore van één is toegewezen.

Daarnaast zijn er twee overzichten opgesteld die toegespitst zijn op het aantal kernpunten per jaar en het aantal kernpunten per Big 4-organisatie. In tabel 2 staan het aantal kernpunten per

jaar met het bijbehorende percentage en in tabel 3 zijn het aantal controleverklaringen en de kernpunten per Big 4-organisatie weergegeven, inclusief de bijbehorende percentages.

Tabel 2: Beschrijvende statistieken verloop van tijd

Jaar

Frequentie Percentage Cumulatieve

percentage

2013 86 14,7% 14,7%

2014 240 41,2% 55,9%

2015 257 44,1% 100,0%

Totaal 583 100,0%

Tabel 3: Beschrijvende statistieken Big 4-organisaties Big 4-organisatie

(Accountant)

Aantal controle-verklaringen

Frequentie Percentage Cumulatieve percentage Deloitte 35 138 23,67% 23,67% EY 30 121 20,76% 44,43% KPMG 37 127 21,78% 66,21% PwC 47 197 33,79% 100,0% Totaal 149 583 100,0%

In deze twee overzichten zijn een aantal interessante feiten te zien. In de jaren 2014 en 2015 zijn er ongeveer drie keer zoveel kernpunten als in het jaar 2013. De reden hiervoor is natuurlijk dat in het jaar 2013 de nieuwe controleverklaring nog niet verplicht was, en daarom ook niet altijd is toegepast. In tabel 3 is te zien dat PwC veruit de meeste kernpunten (197) heeft opgenomen in haar controleverklaringen. Daarnaast is er nagenoeg geen verschil tussen het percentage van Deloitte, EY en KPMG.

5.2 Verloop van tijd

Zoals eerder benoemd hebben de kernpunten een indexscore van één of nul gegeven om aan te geven of een kernpunt een overeenkomst heeft met een risico of niet. In tabel 4 zijn de indexscores per jaar weergegeven, inclusief de bijbehorende percentages.

Tabel 4: Beschrijvende statistieken indexscores per jaar Indexscores Jaar 1 0 Totaal 2013 38 (6,5%) 48 (8,2%) 86 (14,7%) 2014 135 (23,2%) 105 (18,0%) 240 (41,2%) 2015 164 (28,1%) 93 (16,0%) 257 (44,1%) Totaal 337 (57,8%) 246 (42,2%) 583 (100,0%)

In het jaar 2013 heeft minder dan de helft (38 van de 86) van de kernpunten een indexscore van één gekregen. In de verdere jaren is dit percentage weer gestegen, van 56,3% (135 van de 240) in 2014 naar 63,8% (164 van de 257) in 2015.

Om de resultaten met betrekking tot het verloop van tijd te verkrijgen is een Wilcoxon Rank Sum test (= Mann-Whitney U test) uitgevoerd. De indexscore is de categorische afhankelijke variabele met een rangorde en de jaren 2013, 2014 en 2015 (verloop van tijd) is de categorische onafhankelijke variabele zonder rangorde. De data voor de indexscores betreft ordinale data en de data voor het verloop van tijd is nominale data. Omdat de onafhankelijke variabele categorisch is, is deze variabele omgezet naar een dummy variabele. Een dummy variabele is een variabele die alleen de waarde één of nul kan hebben, waarbij een score van één betekent dat iets wel van toepassing is en een score van nul dat iets niet van toepassing is. Dit betekent dat indien het kernpunt betrekking heeft op het onderzochte jaar waarvoor de dummy geldt, degene een indexscore van één heeft gekregen. Alle andere jaren krijgen in dat geval een indexscore van nul. Het aantal dummy variabelen dat is gebruikt is 2 (n-1, oftewel 3-1) (Field, 2013), omdat er in totaal drie jaren (2013, 2014 en 2015) zijn onderzocht. Het jaar 2013 is gekozen als referentiecategorie (Field, 2013), omdat in het jaar 2013 veruit de minste kernpunten zijn gerapporteerd en men zo kan zien wat het verloop is geweest in de jaren 2014 en 2015.

De resultaten die zijn gekomen uit SPSS zijn opgenomen in bijlage 4. Hieruit is op te maken dat het resultaat voor het jaar 2014 niet significant is (MWU = 40072,50 ; p = 0,525), maar het resultaat voor het jaar 2015 wel significant is (MWU = 37389,50 ; p = 0,009). Op basis hiervan kan geen conclusie worden getrokken voor het jaar 2014. Voor het jaar 2015 geldt dat de indexscores significant hoger zijn (MR = 309,52) dan voor de twee jaren hiervoor (MR =

278,19), wat betekent dat in het jaar 2015 meer kernpunten overeenkomen met de risico’s in het jaarverslag vergeleken met de afgelopen twee jaar. Aangezien het jaar 2013 de referentiecategorie is, is het niet mogelijk om een conclusie te trekken voor dit jaar.

5.3 Big 4-organisaties (Accountant)

Om te zien wat de indexscores zijn per Big 4-organisatie, inclusief bijbehorend percentage, is daarom in tabel 5 een overzicht weergegeven.

Tabel 5: Beschrijvende statistieken indexscores per Big 4-organisatie Indexscore Big 4-organisatie (Accountant) 1 0 Totaal Deloitte 66 (11,3%) 72 (12,3%) 138 (23,6%) EY 82 (14,1%) 39 (6,7%) 121 (20,8%) KPMG 78 (13,4%) 49 (8,4%) 127 (21,8%) PwC 111 (19,0%) 86 (14,8%) 197 (33,8%) Totaal 337 (57,8%) 246 (42,2%) 583 (100,0%)

In tabel 5 is te zien dat bij Deloitte minder dan de helft (66 van de 138) van de kernpunten overeenkomt met een risico. Dit in tegenstelling tot EY (82 van de 121), KPMG (78 van de 127), en PwC (111 van de 197), waarbij meer dan de helft van de kernpunten een indexscore van één krijgt.

Om de resultaten met betrekking tot de Big 4-organisaties te verkrijgen is wederom een Wilcoxon Rank Sum test (= Mann-Whitney U test) uitgevoerd. De indexscore is de categorische afhankelijke variabele met een rangorde en de Big 4-organisaties is de categorische onafhankelijke variabele zonder rangorde. Aangezien de onafhankelijke variabele ook in dit geval categorisch is, is deze variabele ook omgezet naar een dummy variabele. Indien het kernpunt is opgenomen door een Big 4-organisatie waarop de dummy variabele betrekking heeft, dan wordt het gecodeerd met een score van één en alle andere Big 4-organisaties krijgen dan een nul. Het aantal dummy variabelen dat is gebruikt is drie (n-1, oftewel 4-1) (Field, 2013), omdat er in totaal vier accountantsorganisaties (Big 4) zijn onderzocht. Aangezien Deloitte, EY en KPMG percentueel ongeveer aan elkaar gelijk zijn en PwC dus veruit het grootste aantal kernpunten heeft gerapporteerd is PwC aangemerkt als referentiecategorie (Field, 2013).

De resultaten die zijn gekomen uit SPSS zijn opgenomen in bijlage 5. Hierin is te lezen dat het resultaat voor Deloitte (MWU = 26691,00 ; p = 0,007) en EY (MWU = 22436,50 ; p = 0,013) significant is. Deloitte heeft significant lagere indexscores (MR = 262,92) dan de andere drie Big 4-organisaties (MR = 301,02). Dit betekent dat bij Deloitte minder overeenkomsten zijn tussen de opgenomen kernpunten en de risico’s in het jaarverslag dan bij de overige drie Big 4-organisaties. Voor EY geldt precies het tegenovergestelde. EY heeft juist significant hogere indexscores (MR = 321,05) dan de drie andere Big 4-organisaties (MR = 284,39). De betekenis hiervan is dat EY meer overeenkomsten heeft tussen de opgenomen kernpunten en de risico’s in het jaarverslag dan de overige drie Big 4-organisaties. Daarentegen is het resultaat voor KPMG (MWU = 27618,50 ; p = 0,352) niet significant. Omdat PwC als referentiecategorie is gebruikt zijn hiervoor geen resultaten beschikbaar. Overall betekent dit dat de resultaten van KPMG en PwC tussen die van Deloitte en EY in zitten.

5.4 Verloop van tijd op niveau controleverklaring

Naast het uitvoeren van het onderzoek op het niveau van de kernpunten is voor het verloop van tijd hetzelfde onderzoek wederom uitgevoerd, maar dan op het niveau van de controleverklaring. Hierbij is per controleverklaring gekeken hoeveel kernpunten overeenkomen met de risico’s. Als in totaal vijf kernpunten zijn opgenomen in de controleverklaring waarvan drie kernpunten een overeenkomst met een risico hebben, dan heeft de controleverklaring een indexscore van 0,6 gekregen. Overeenkomstig bijlage 3 heeft Ordina voor het jaar 2014 een indexscore van 1 gekregen, omdat alle kernpunten overeenkomen met een risico.

De resultaten voor dit onderzoek zijn opgenomen in bijlage 6. Hieruit blijkt dat het resultaat voor het jaar 2014 (MWU = 2481,00 ; p =0,496 ) niet significant is en voor het jaar 2015 (MWU =2112,5 ; p =0,017 ) wel significant is. Wederom kan er geen conclusie worden getrokken voor het jaar 2014 en voor het jaar 2015 geldt dat indexscores significant hoger zijn (MR = 84,50 ) dan voor de twee jaren daarvoor (MR = 67,65 ) wat betekent dat in het jaar 2015 de controleverklaringen een hoger percentage overeenkomstige kernpunten hebben dan in de overige twee jaren.

6. CONCLUSIE & DISCUSSIE

In dit laatste hoofdstuk wordt een conclusie gevormd naar aanleiding van de resultaten. De discussie bestaat uit een aantal kritische punten (beperkingen) over dit onderzoek en daarnaast worden mogelijkheden voor vervolgonderzoek aangedragen.

6.1 Conclusie

In dit onderzoek is een relatie gelegd tussen de kernpunten in de controleverklaring en de risico’s in de risicoparagraaf van het jaarverslag. Deze relatie is onderzocht met behulp van de volgende hoofdvraag:

In hoeverre komen de risico’s die een organisatie heeft toegelicht in haar jaarverslag overeen met de kernpunten in de controleverklaring, en welke ontwikkeling is hierin waarneembaar over de jaren 2013 t/m 2015?

Om de hoofdvraag te beantwoorden wordt deze opgesplitst in twee delen. Als eerste wordt antwoord gegeven op de vraag: in hoeverre komen de risico’s die een organisatie heeft toegelicht in haar jaarverslag overeen met de kernpunten in de controleverklaring?

Uit de statistieken komt naar voren dat in totaal 583 kernpunten zijn toegelicht in de controleverklaring, waarvan 337 kernpunten een overeenkomst hebben met een risico uit het jaarverslag (=57,8%). Over drie jaren zijn in 149 controleverklaringen kernpunten van de controle opgenomen, wat uitkomt op een gemiddelde van 3,91 kernpunten per controleverklaring, en waarvan gemiddeld 2,26 kernpunten een relatie heeft met een risico uit het jaarverslag.

Deze 57,8% is een relatief hoog percentage. Dit is opvallend aangezien de kernpunten vooral betrekking hebben op de financiële verslaggevingsrisico’s en de risico’s in het jaarverslag gerelateerd zijn aan de gehele organisatie. Maar omdat kernpunten ook een indirecte relatie kunnen hebben met een risico, is dit percentage hoger uitgevallen dan bij het onderzoek van Brouwer et al. (2016). Deze indirecte relaties zijn soms moeilijk te leggen, waardoor de relatie tussen een kernpunt en een risico niet altijd duidelijk is. Daardoor kunnen stakeholders zich alsnog afvragen waarom kernpunten en risico’s niet overeenkomen en waarom het management en de accountant niet op één lijn zitten, terwijl dit eigenlijk wel zo is.