Soft controls binnen de
accountantscontrole
Een kwalitatief onderzoek naar de huidige en gewenste rol van soft controls binnen de jaarrekeningcontrole
Auteur Łukasz Matwij
Begeleider drs. K.L. Leijendekker RA Adres Rhodosdree 154 3562TK Utrecht Studentnummer s2217724 Telefoonnummer 06 22 69 55 40 E-mail lukasz.matwij@gmail.com Abstract
In deze studie is door middel van kwalitatief onderzoek inzicht verkregen in de huidige rol van soft controls binnen de jaarrekeningcontrole. Ook is er gekeken naar het belang dat ondernemingen hechten aan soft controls en naar de kennis en vaardigheden waarover accountants op dit moment beschikken. De uitkomsten van het onderzoek tonen aan dat meer aandacht voor soft controls binnen de jaarrekeningcontrole wenselijk is om tot een hogere auditkwaliteit te komen. Om tot deze versterkte rol van soft controls te komen is een aanpassing van de geldende wetgeving/richtlijnen en het huidige curriculum van de accountantsopleiding vereist.
Inhoudsopgave 1. Inleiding 3 1.1. Aanleiding 3 1.2. Relevantie 4 1.3. Onderzoeksvraag 6 2. Theoretisch kader 7 2.1. Accountantscontrole 7 2.2. Soft controls 9
2.3. Assurance over soft controls 12
3. Onderzoeksmethode 15
3.1. Respondenten 15
3.2. Dataverzameling en analyse 16
4. Resultaten 18
4.1. Belang soft controls voor ondernemingen 18
4.2. Rol soft controls binnen audit 21
4.3. Deskundigheid accountants omtrent soft controls 31
5. Discussie 35
6. Referenties 40
6.1. Literatuur 40
6.2. Elektronische documenten 43
1. Inleiding
In dit hoofdstuk zal worden ingegaan op de aanleiding van het onderzoek, waarbij met voorbeelden van eerdere boekhoudschandalen en fraudes in wordt gegaan op het belang van soft controls voor de interne beheersing van ondernemingen. Ook zal daarbij op basis van recente ontwikkelingen de link worden gelegd met het accountantsberoep. Vervolgens wordt de relevantie van dit artikel besproken om uiteindelijk tot de formulering van de onderzoeksvraag te komen.
1.1. Aanleiding
Sinds de boekhoudschandalen bij organisaties Enron en WorldCom wordt er een steeds grotere nadruk gelegd op de risicoanalyse binnen ondernemingen, waarbij tevens veel wordt gekeken naar soft controls. Vaak blijkt dat niet enkel een slechte formele governance, maar juist de menselijke factoren bepalend zijn voor de effectiviteit van het governance-systeem (Mouthaan, 2007). Ook Skeel (2005) geeft aan dat een governance-systeem pas effectief kan zijn en de nadruk op ethiek pas serieus genomen kan worden als de normen en waarden van ondernemingen door het bestuur daadwerkelijk worden uitgedragen.
De menselijke factoren en normen en waarden binnen ondernemingen die niet op papier zijn vastgelegd, kortweg soft controls (Roth, 1998), zijn volgens Roth belangrijker geworden omdat werknemers binnen organisaties steeds meer verantwoordelijkheden krijgen en de bestuurders van organisaties niet langer de personen zijn die alle informatie in hun bezit hebben. Ook concludeert hij dat een groot gedeelte van het falen tijdens de savings and loan crisis in de Verenigde Staten toe te schrijven was aan een falende controleomgeving, waar soft controls een deel van uit maken. Ook de fouten in de Baringscasus, waarin door te speculeren geleden verliezen met een geheim bankrekeningnummer werden verhuld, schrijft hij toe aan falende soft controls.
Dat soft controls nodig zijn om eerdergenoemde schandalen en onethisch gedrag te voorkomen wordt nog eens onderstreept door Kaptein, Rozekrans en De Groot (2005), die vaststellen dat het integriteitklimaat binnen een onderneming ervoor moet zorgen dat managers en medewerkers aangemoedigd moeten worden om integer te handelen en ontmoedigd moeten worden om onethisch te handelen. Deze motivatie bepaalt daarmee mede de werking van de interne beheersingsmaatregelen die zijn getroffen.
In een ander onderzoek van Vink en Kaptein (2008) naar rechtmatigheidsfouten bij de rijksoverheid zijn er enquêtes afgenomen bij accountants die deze fouten geconstateerd hebben. Uit deze enquêtes is gebleken dat auditors soft controls relevant achten voor zowel het opsporen als het voorkomen van fouten in de financiële verslaggeving bij de rijksoverheid. De soft controls worden hierbij zowel afzonderlijk als in combinatie met hard controls bedoeld. Onder hard controls worden daarbij harde, formele beheersingsmaatregelen bedoeld als procedures, registratiesystemen, gedragscodes en functieomschrijvingen (Kaptein en Vink, 2012).
Een greep uit recente, grootschalige fraudes levert daarnaast ook een duidelijke link met soft controls binnen ondernemingen. In het recente corruptieschandaal rond Petrobras is bijvoorbeeld aan het licht gekomen dat dit Braziliaanse oliebedrijf steekpenningen heeft aangenomen van een groot aantal ondernemingen in ruil voor opdrachten (Geluk, 2015). Eén van de ondernemingen die daarbij betrokken is geweest is het Nederlandse SBM Offshore. In een interview met RTL Z (2015) geeft Sietze Hepkema, Chief Governance and Compliance Officer bij SBM Offshore, daarover aan dat SBM vanaf 2012 een volledig transparant bedrijf is en dat er tegenwoordig niet meer op deze wijze gehandeld wordt. Hij geeft daarbij echter ook aan dat omkopingen “algemeen verspreid waren in de bedrijfstak” en dus als gewoon werden gezien. Hiermee wordt een recent voorbeeld geschetst van een falende cultuur - cultuur wordt in de literatuur vaak tot één van de soft controls gerekend - die tot onethisch handelen heeft geleid.
Al met al zijn er genoeg voorbeelden van recente en minder recente schandalen te benoemen, waarbij falende soft controls kunnen worden aangewezen als (één van de) oorzaken, soms met een wijziging van de wet- en regelgeving tot gevolg. Om dit soort gevallen in de toekomst te voorkomen en het maatschappelijk verkeer te dienen zou het in de lijn der verwachtingen liggen dat de controlerend accountant soft controls in de controle van het jaarverslag meeneemt om de stakeholders op dit terrein meer zekerheid te verschaffen. Met dit onderzoek wordt gekeken naar methodes die gebruikt kunnen worden om soft controls in audits te verwerken en de kijk die auditors binnen het vak daarop hebben.
1.2. Relevantie
Dat het maatschappelijk verkeer behoefte heeft aan een beter toezicht op soft controls mag uit de verschillende besproken incidenten duidelijk zijn. Dat soft controls daarnaast echter ook
door auditors als belangrijke factor worden gezien bij het houden van een audit, wordt ook bevestigd door twee rapporten vanuit het accountancyberoep zelf waarin het belang van soft controls wordt onderstreept. Allereerst blijkt dat uit het rapport ‘In het publiek belang’ van de Werkgroep Toekomst Accountantsberoep (Brouwer et al., 2014). In dit rapport zijn enkele aanbevelingen gedaan met betrekking tot de cultuur en het lerend vermogen van de sector, waarbij onder meer aandacht moet worden besteed aan een verplichte periodieke meting van de professionele en ethische attitudes binnen de accountancysector.
Daarnaast is er ook door de AFM onderzoek gedaan bij de vier grootste accountantsorganisaties (i.e. Deloitte, KPMG, PwC en EY) naar de manier waarop audits worden gedaan (Autoriteit Financiële Markten, 2014). In dit onderzoek komen soft controls en met name de cultuur nog sterker terug in de aanbevelingen die worden gedaan door de werkgroep. Zo wordt er onder meer gesproken over het hebben van een juiste ‘tone at the top’ en het creëren van een kwaliteitsgerichte cultuur. Beide bovenstaande rapporten hebben betrekking op de soft controls van de auditors en niet van de te controleren ondernemingen. Deze voorbeelden geven echter aan dat ook binnen de beroepsgroep van accountants de aandacht voor soft controls toeneemt.
Binnen het accountantsberoep zijn inmiddels ook bewijzen te vinden dat soft controls daadwerkelijk worden meegenomen bij het controleren van de jaarrekening. Dit blijkt uit de ontwikkeling van een raamwerk in de vorm van een ‘thermometer’ bij accountantsorganisatie KPMG (Wielaard, 2010). Bij deze methode wordt door middel van enquêtes de perceptie van acht gedragsfactoren gemeten om de soft controls van een organisatie meetbaar te maken en daarmee ook mogelijk te maken om ze in de controleaanpak te verwerken.
Het meten van de soft controls door middel van enquêtes is een methode die aansluit op het onderzoek van Kaptein (2008), die voort heeft gebouwd op de bevindingen van Treviño, Butterfield en McCabe (1998). Met zijn onderzoek heeft hij acht componenten van de ethische cultuur gedefinieerd, zijnde: helderheid, congruentie van de toezichthouders, congruentie van het management, uitvoerbaarheid, ondersteunbaarheid, transparantie, bespreekbaarheid en sanctioneerbaarheid. Deze factoren kunnen volgens Kaptein binnen een organisatie worden gemeten door middel van enquêtes om op die manier een oordeel over de ethische cultuur te vellen.
Al het bovenstaande in acht nemend kan worden geconcludeerd dat er zowel vanuit het accountantsberoep als vanuit het maatschappelijk verkeer een behoefte bestaat aan structuur en informatie omtrent het beoordelen van de soft controls van ondernemingen. Het belang van het beoordelen van deze controls is al ruimschoots onderzocht en onderkend, duidelijke handvatten om deze controls te kwantificeren en mee te nemen in de controle zijn echter nog niet terug te vinden.
1.3. Onderzoeksvraag
In een poging om een duidelijker beeld te krijgen van de inbedding van de soft controls bij de accountantscontrole is de te behandelen onderzoeksvraag in dezen:
Onderzoeksvraag: Is een beoordeling van de soft controls binnen een jaarrekeningcontrole
noodzakelijk om een goedkeurende accountantsverklaring af te geven?
Indien uit het onderzoek blijkt dat het antwoord op deze probleemstelling bevestigend is, is de vervolgvraag op welke methode de beoordeling van de soft controls geïntegreerd kan worden in de jaarrekeningcontrole en of accountants over de juiste vaardigheden beschikken om tot deze beoordeling te komen.
2. Theoretisch kader
In dit hoofdstuk zal de theoretische inkadering van het onderzoek worden uitgewerkt. In het eerste deel zal de behoefte aan een accountantscontrole worden uitgewerkt, waarna het belang van de soft controls daarin verder zal worden gespecificeerd. Tenslotte wordt de mogelijkheid om assurance te verschaffen over soft controls besproken.
2.1. Accountantscontrole
Om tot een beantwoording van de hoofdvraag te komen moet er in eerste instantie gekeken worden naar de behoefte naar een accountantscontrole. In de theorie zijn hier meerdere verklaringen over terug te vinden, waarbij de agency theorie over het algemeen het vaakst wordt aangehaald. Jensen en Meckling (1976) beschouwen dat deze theorie draait rondom de vertegenwoordigheidsverhouding (agency relationship), waarin één of meer personen (de
principals) andere personen (de agents) machtigen om namens hen te handelen. Ze delegeren
daarbij een groot gedeelte van het besluitvormingsproces aan de agents. Deze verdeling van arbeid vormt samen met het hebben van uiteenlopende doelen het agency probleem. Dit agency probleem heeft twee componenten. Ten eerste zijn er dus de uiteenlopende doelen van de agent en principal en ten tweede is er het probleem van de monitoring, waarbij het voor de principal moeilijk te controleren is wat daadwerkelijke inspanningen van de agent zijn (Eisenhardt, 1989). Deze controle is noodzakelijk, omdat de risicovoorkeuren van de principal en agent niet overeen hoeven te komen. In de praktijk is dit te vertalen naar de jaarrekeningcontrole door de accountant, waarbij de accountant nagaat of de verantwoording van de agent naar de principal een waarheidsgetrouw beeld schetst.
In de economie kan het agency probleem vertaald worden naar een onderneming, waarbij de aandeelhouders de principals zijn en de managers of bestuurders van een onderneming de agents. De audit wordt door Jensen en Meckling (1976) als vorm van monitoring genoemd, waarbij zij stellen dat de audit de waarde van de onderneming verhoogt. Om in het kader van de agency theorie het belang van de audit voor ondernemingen te onderzoeken hebben Watts en Zimmerman (1983) het auditberoep door de eeuwen heen beschouwd. Zij stellen dat het bestaan van de auditors sinds de gilden in de dertiende eeuw tot het heden consistent is met het bestaan van het agency probleem en het bewijs is dat de audit een mechanisme is om de agency kosten te verlagen. De monitoring is door de jaren heen parallel aan de economische ontwikkelingen geëvolueerd en heeft zich aangepast aan de grootte en complexiteit, maar
dient volgens Watts en Zimmerman nog steeds tot het verlagen van dezelfde agency kosten. Om aan een objectieve monitoring te voldoen onderstrepen Watts en Zimmerman het belang van de onafhankelijkheid van de auditor.
Een andere, Nederlandse theorie die het belang van het accountancy benadrukt is de leer van het gewekte vertrouwen van Limperg (1932). Limperg stelt dat het maatschappelijk verkeer belang heeft bij een deskundige en onafhankelijke controle van de financiële verslaggeving van ondernemingen. De accountant voert deze controle uit en is daarbij als het ware de vertrouwensman van het maatschappelijk verkeer. Het belangrijkste hierbij is dat de accountant zijn werkzaamheden op een manier volbrengt die het vertrouwen niet beschaamt en dat hij ook geen grotere verwachtingen oproept dan waar hij in werkelijkheid aan kan voldoen. In de vertrouwensleer van Limperg worden bewust naast de kapitaalverstrekkers ook andere deelnemers aan het maatschappelijk verkeer, zoals consumenten, werknemers en pressiegroepen, in de theorie opgenomen, omdat deze groep door bijvoorbeeld arbeid te leveren ook een bijdrage aan de onderneming levert. De gehele theorie is gestoeld op vertrouwen, waarbij Limperg uiteenzet dat het maatschappelijk verkeer en de leiding van een onderneming uiteenlopende belangen kunnen hebben en dat beide partijen zich van dit verschil in belangen bewust zijn. Het verschil in belangen creëert volgens hem een behoefte aan verantwoording bij het maatschappelijk verkeer, waaraan de bedrijfsleiding wil voldoen. De accountant wordt daarbij als onafhankelijke deskundige ingeschakeld om met zijn deskundige controle een vertrouwensrelatie te stichten tussen de leiding van de onderneming, het maatschappelijke verkeer en de accountant. Door het ontstaan van deze vertrouwensband kan de samenwerking tussen de drie partijen beheersbaar en eenvoudig verlopen.
In de vertrouwenstheorie van Limperg (1932) wordt een aantal factoren onderscheiden die ook in de agency theorie terug te vinden zijn, namelijk: de tegenstelde belangen, onzekerheid en verantwoordingsbehoefte op economische gronden (Dassen, 1989). In zijn vergelijking tussen de leer van het vertrouwen van Limperg en de agency theorie stelt Dassen (1989) dat er in beide gevallen een vraag naar financiële verslaggeving ontstaat vanuit het maatschappelijk verkeer. Volgens hem ontstaat een dergelijke behoefte over het algemeen na een grootschalig schandaal, waarbij de financiers van een onderneming een goedkeuring van de jaarrekening eisen, die door een onafhankelijke instelling afgegeven dient te worden. In Nederland was de Pincoffs affaire en de daaraan verbonden teloorgang van de Afrikaansche Handelsvereeniging in 1879 een aanwijsbare oorzaak voor de vraag naar een onafhankelijke
accountantscontrole. De parallellen tussen beide theorieën zijn dus aanzienlijk, waaruit blijkt dat de maatschappij baat heeft bij een zorgvuldig en onafhankelijk uitgevoerde controle van de jaarrekeningen van ondernemingen.
2.2. Soft controls
Eén van de gevolgen van de grote schandalen is dat de wetgeving omtrent interne controle is aangepast om herhaling hiervan in de toekomst te voorkomen. In de Verenigde Staten is hiervoor de Sarbanes-Oxley wetgeving ingevoerd. Eén van de eisen die in deze wetgeving wordt gesteld is dat het management jaarlijks dient uit te spreken in hoeverre de interne beheersing omtrent financiële verslaggeving effectief is. De controlerend accountant dient vervolgens een onafhankelijk en zelfstandig oordeel te geven over de effectiviteit van deze interne beheersing (Kaptein, Rozekrans & De Groot, 2005). In Nederland valt de interne beheersing van organisaties onder de corporate governance code van de Commissie Tabaksblat, waarbij het bestuur ook een zogenaamd ‘in-control statement’ moet afgeven over de interne beheersing. De Code Tabaksblat is in tegenstelling tot de Sarbanes-Oxley wet een principle-based code, waarbij het comply or explain principe geldt. Als ondernemingen niet aan de code voldoen, moeten ze daarbij uitleggen waarom daar niet aan voldaan wordt. Uit onderzoek van Mouthaan (2006) blijkt echter dat het erg ingewikkeld is om van de code af te wijken, waardoor in principe kan worden aangenomen dat de meeste ondernemingen naar de code zullen handelen.
Om tot een interne beheersing te komen die voldoet aan de wettelijke vereisten maken veel ondernemingen gebruik van het COSO-model (Kaptein, Rozekrans & De Groot, 2005). Het COSO-raamwerk bestaat uit verschillende pijlers met behulp waarvan strategische en operationele doelen behaald moeten worden, alsmede doelen met betrekking tot de verslaggeving en naleving van de relevante wet- en regelgeving (COSO, 2004a). Daarnaast worden er in het raamwerk acht verschillende componenten onderscheiden, die in het managen van de risico’s van een onderneming met elkaar verbonden zijn. Een belangrijke component daarvan is de interne omgeving, de beschrijving die COSO (2004a) daarvan geeft is als volgt:
“De interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en aangepakt door de mensen van een onderneming, inclusief
risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.” (COSO, 2004b, p.8)
Volgens COSO (2004a) behoren zaken als de integriteit en ethische normen en waarden dus tot de interne omgeving die er onder meer voor zorgt dat doelen op het gebied van verslaggeving en het voldoen aan relevante wet- en regelgeving kunnen worden behaald. In het kader van de accountantscontrole zou dus kunnen worden geconcludeerd dat integriteit en ethiek mede een basis vormen voor de kwaliteit van de verslaggeving. Kaptein, Rozekrans en De Groot (2005) maken deze koppeling en geven daarbij aan dat bijvoorbeeld een goede tone
at the top of cultuur die fraude en corruptie ontmoedigt van groot belang is bij een goed
functionerende interne beheersing. Ze pleiten er dan ook voor om door middel van interviews en enquêtes het integriteitsklimaat bij ondernemingen in de controle van de jaarrekening te betrekken om op deze manier een volledig beeld van de werking van de interne beheersing te verkrijgen.
Het integriteitsklimaat en de ethische normen en waarden worden door Roth (1997) opgenomen in zijn definitie van soft controls. De volledige definitie van Roth luidt als volgt:
“People’s integrity and ethical values: organizational commitment to competence; management’s philosophy, and operating style; management’s understanding and management of risk; and communication.” (Roth, 1997)
Roth (1998) maakt daarnaast ook de koppeling tussen soft controls en de interne omgeving zoals omschreven in het COSO-raamwerk.
Ook in eerdere literatuur zijn soft controls, zij het onder andere benamingen, al langer terug te vinden. Zo omschreef Ouchi (1979) het belang van informele controls (behavioral controls of clan controls) in het systeem dat door hem als het clanmechanisme werd omschreven. Binnen dit mechanisme wordt volgens Ouchi een groot deel van de uiteindelijke prestatie gebaseerd op de gezamenlijke waarden die de groep of het team met elkaar deelt. Hieruit blijkt dat het niet slechts de formele regels binnen een groep zijn die tot een prestatie leiden, maar dat er ook niet-formele mechanismen binnen een groep aanwezig zijn die het uiteindelijke resultaat kunnen beïnvloeden.
Ook Simons (1995) beschrijft in zijn levers of control al dat de zogenaamde belief systems ervoor moeten zorgen dat alle medewerkers bekend zijn met de missie en visie van een
onderneming. Het uiteindelijke doel is volgens Simons om de medewerkers in de missie en visie te doen geloven om ervoor te zorgen dat ze daar uiteindelijk ook naar gaan handelen.
Hopwood (1976) geeft drie verschillende vormen van control, waarbij social controls in meerdere opzichten overeenkomen met soft controls. Social controls bestaan in zijn oogpunt uit sociale normen, de cultuur van een groep en sociale interactie binnen de groep. Hij geeft daarbij aan dat een sterke of geconcentreerde organisatiecultuur effectiever kan zijn dan een organisatie met een sterk bureaucratische vorm. Een nadeel van social controls is volgens Hopwood dat normen en waarden binnen een organisatie redelijk gestandaardiseerd kunnen geraken door alleen gelijkgestemden aan te nemen, vergelijkbaar met een bureaucratisch organisatiemodel.
Merchant en Van der Stede (2003) onderscheiden vier vormen van control, te weten results
control, action control, personnel control en cultural control. De laatste vorm heeft de
meeste overeenkomsten met soft controls en gaat uit van binnen een organisatie gedeelde normen en waarden die gebaseerd zijn op gedeelde tradities, normen, waarden, geloofsovertuigingen, ideologieën en gedragingsvormen. Gedragscodes en beloningen moeten ervoor zorgen dat deze factoren binnen de groep met elkaar gedeeld worden. Ook de tone at the top wordt als manier genoemd om tot overeenstemming te komen binnen de organisatie. Deze cultural controls zijn volgens Merchant en Van der Stede een vorm van beheersing die binnen organisaties steeds meer terug te vinden is naar aanleiding van afnemende hiërarchie binnen organisaties en een steeds hogere mate van empowerment van de werknemers. Gedeelde organisatienormen en –waarden moeten er daarbij voor zorgen dat de doelen van de werknemers op één lijn komen te liggen met de organisatiedoelstellingen.
Er mag op basis van voorgaande literatuur worden geconcludeerd dat er met betrekking tot het belang van soft controls binnen organisaties sprake is van brede gelijkgestemdheid, met de kanttekening dat dit geluid in de meeste gevallen komt van specialisten op het gebied van soft controls. Ondanks de benadrukking van het belang zijn er echter nog weinig concrete handvatten binnen de auditpraktijk met betrekking tot het auditen van soft controls. Kaptein en Wallage (2010) hebben op basis van de toegenomen aandacht voor dit onderwerp een eerste aanzet gegeven voor assurance op dit gebied. Ook door hen wordt de eerder genoemde koppeling met de interne omgeving binnen het COSO-raamwerk gemaakt en worden cultuur en voorbeeldgedrag genoemd als voorbeelden van soft controls daarin. De soft controls omschrijven zij letterlijk als volgt:
“…niet-tastbare gedrags-beïnvloedende factoren in een organisatie die van belang zijn voor het realiseren van de organisatiedoelstellingen.”
Kaptein en Wallage (2010) concludeerden naar aanleiding van afgenomen enquêtes onder hoofden van interne auditors van de honderd grootste Nederlandse ondernemingen dat de tone at the top, de mogelijkheid om incidenten te rapporteren, de integriteit van het bestuur en de openheid om issues te bespreken als belangrijke soft controls werden gezien.
Ook de Koninklijke Nederlandse Beroepsgroep van Accountants (NBA) onderkent in de Handleiding Regelgeving Accountancy (HRA) (2015) het belang van soft controls. In de
Standaard voor de Accountantscontrole 315: risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving waarin
de risico’s op een afwijking van materieel belang moeten worden ingeschat, wordt door de NBA namelijk ook verwezen naar de interne beheersing binnen een organisatie. Enkele componenten die volgens de standaard deel uitmaken van de interne beheersing kunnen worden gezien als soft controls. Zo wordt er bijvoorbeeld gesproken over de integriteit en ethische waarden en over de filosofie en werkstijl van het management.
2.3. Assurance over soft controls
Om de mogelijkheid tot assurance over soft controls te onderzoeken is het ook noodzakelijk om te kijken aan welke voorwaarden een assurance-opdracht volgens de geldende wet- en regelgeving moet voldoen. De regelgeving omtrent deze opdrachten is terug te vinden in het
Stramien voor assurance-opdrachten (NBA, 2015). Allereerst is daarin een definitie te
vinden van een assurance-opdracht, een assurance-opdracht “...is een opdracht waarbij een
accountant een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de criteria, te versterken.” Daartoe
worden geen samenstelopdrachten, opdrachten tot het voldoen van een belastingaangifte of consultancy- en adviesopdrachten gerekend.
Ook wordt in het Stramien een splitsing gemaakt in assurance-opdrachten met een redelijke mate van zekerheid (controleopdrachten) en opdrachten met een beperkte mate van zekerheid (beoordelingsopdrachten). Dit onderzoek zal zich beperken tot de controleopdrachten, waarbij een redelijke mate van zekerheid wordt afgegeven over object van onderzoek. Dit
gezien het externe karakter van deze opdrachten en het maatschappelijk belang dat ermee gediend wordt.
In het Stramien worden ook de vijf elementen van een assurance-opdracht omschreven, te weten:
- De betrokkenheid van drie partijen: een accountant, de verantwoordelijke partij en de beoogde gebruikers.
- Geschikt object van onderzoek: een object dat identificeerbaar is en daarnaast van zodanige aard is dat informatie daarover aan procedures voor het verzamelen van toereikende informatie kan worden onderworpen.
- Criteria: toepasbare criteria moeten relevant, volledig, betrouwbaar, neutraal en begrijpelijk zijn.
- Assurance-informatie: informatie die door de accountant wordt verzameld moet volgens het Stramien toereikend (voldoende en geschikt) zijn om te kunnen veronderstellen dat er geen afwijkingen van materieel belang voorkomen in het object van onderzoek.
- Een schriftelijk rapport.
Een artikel over de mogelijkheden om assurance te verlenen over soft controls, waarbij voldaan wordt aan de voorwaarden zoals beschreven in het Stramien, is geschreven door Kaptein en Wallage (2010). Zij geven aan dat accountants op zowel een deductieve methode, waarbij wordt gekeken naar welke soft controls door de organisatie als belangrijk worden aangemerkt, als door middel van een inductieve methode, waarbij de accountant oorzaken van gedrag nagaat, de soft controls kunnen onderscheiden. Vervolgens dient de controle-informatie verzameld te worden door middel van verschillende methoden, zoals observaties, interviews en enquêtes onder zowel interne als externe personen. Uiteindelijk komen Kaptein en Wallage ook tot de conclusie dat assurance op basis van het Stramien mogelijk zou moeten zijn. Om deze assurance mogelijk te maken stellen zij echter wel vast dat er behoefte is aan meer richting, waarbij inschakelen van externe specialisten als sociaal psychologen gewenst lijkt. De deskundigheid van de accountant op dit gebied zou op het moment van
schrijven in elk geval nog tekortschieten om assurance over gedrag binnen de jaarrekeningcontrole te kunnen verlenen.
Van Leeuwen en Wallage (2010) hebben gekeken naar een evaluatie van de interne beheersingsomgeving zoals beschreven in COSO door het management en daarbinnen ook naar de soft controls die erbij betrokken zijn. De interne beheersing van COSO wordt als startpunt gekozen omdat COSO in de wetgeving (bijvoorbeeld Sarbanes-Oxley en de Code Tabaksblat) als algemeen aanvaard raamwerk wordt aangestipt. Ze geven daarbij aan dat het mogelijk is om een norm door het management te stellen en op basis daarvan een beoordeling gemaakt kan worden van de interne beheersing. Daarmee wordt gelijk een probleem geschetst dat bij de beoordeling van soft controls ontstaat, gezien de situatieafhankelijkheid van een dergelijke norm. Het zou in feite mogelijk zijn dat het management van een onderneming op basis van zijn deskundigheid en ervaring een norm stelt waaraan de soft controls moeten voldoen. Deze norm is echter volledig gericht op de eigen onderneming en is lastig te beoordelen door een extern accountant. Dit blijkt ook uit de enquêtering onder hoofden van de interne auditdiensten van de honderd grootste Nederlandse ondernemingen, waarbij de ontwikkeling van methoden en technieken om soft controls te auditen door de respondenten als belangrijkste punt wordt genoemd om deze audits mogelijk te maken (Kaptein en Wallage, 2010). Uit deze enquêtes is ook gebleken dat het subjectieve karakter van soft controls en het bepalen van de kwaliteit van soft controls als de grootste oorzaken worden gezien voor de moeilijkheden die op dit moment bij de audits van soft controls bestaan.
Het voorgaande onderstreept het belang van de in deze thesis gestelde onderzoeksvraag. Het belang van soft controls wordt immers in meerdere eerdere onderzoeken onderkend. De manier waarop men hiermee binnen de accountancy om moet gaan en de handvatten die hierbij te gebruiken zijn, zijn echter nog niet duidelijk.
3. Onderzoeksmethode
In dit hoofdstuk zal verder worden uitgeweid over de methode die gebruikt is om te komen tot een beantwoording van de hoofdvraag. Er zal worden ingegaan op de werving en de functies van de respondenten en de manier waarop de data is verzameld en geanalyseerd.
3.1. Respondenten
Voor dit exploratieve onderzoek zijn meerdere professionals benaderd die werkzaam zijn in of verbonden zijn aan het accountancyberoep. De respondenten zijn op basis van hun expertise via persoonlijke netwerken benaderd met het verzoek om door middel van interviews mee te werken aan het onderzoek. Om tot een zo breed mogelijke beantwoording te komen van de onderzoeksvraag is ervoor gekozen om personen die op verschillende manieren in aanraking komen met externe audits te interviewen. Er is gesproken met specialisten in soft controls die worden ingezet in auditteams, (voormalig) partners en directors van accountantsorganisaties, (voormalig) consultants die bij hun werkzaamheden veel betrokken zijn geweest bij audits en een intern auditor van een grote Nederlandse bank. Daarbij moet worden vermeld dat ondanks de specialisatie van de respondenten, allen in het heden of in het verleden actief betrokken zijn geweest bij het uitvoeren van een jaarrekeningcontrole. In eerste instantie is hierbij dus gezocht naar respondenten die deel hebben uitgemaakt of in hun huidige praktijk nog steeds deel uitmaken van auditteams. De onderverdeling naar de vier subgroepen is gemaakt om verschillen in denkwijzen vanuit de huidige werkzaamheden van de respondenten te kunnen aanwijzen en te kunnen verklaren. Een overzicht met de omschrijving van de respondenten is te vinden in Tabel 1. In deze tabel is verschillende informatie over de geïnterviewde personen terug te vinden. Allereerst worden zowel de huidige werkzaamheden als de relevante werkzaamheden uit het verleden van de respondent beschreven. Daarnaast is per respondent aangegeven of zij op dit moment in het accountantsregister als registeraccountant (RA) staan ingeschreven. Tenslotte is aangegeven of de respondent dan wel in het heden, dan wel in het verleden werkzaam is of is geweest bij een Big 4 accountantsorganisatie (i.e. PwC, KPMG, EY of Deloitte). Voor een zo gevarieerd mogelijk beeld over het onderwerp zijn de interviews uitgevoerd met werknemers van verschillende accountantskantoren.
Tabel 1: Omschrijving van de respondenten
Respondent Functie RA Big 4
A Partner consultancytak Big 4 accountantskantoor, gespecialiseerd in integriteit en soft controls; hoogleraar bedrijfsethiek, governance & sustainability
Nee Ja
B Specialist soft controls audittak Big 4 accountantskantoor
Nee Ja
C Partner audittak Big 4 accountantskantoor Ja Ja
D Director audittak Big 4 accountantskantoor Ja Ja
E Voormalig partner consultancytak Big 4
accountantskantoor; schrijver wetenschappelijke artikelen met betrekking tot governance, auditing en risicomanagement
Ja Ja*
F Hoogleraar bestuurlijke informatieverzorging & internal control; voormalig partner Big 4
accountantskantoor in zowel audit- als
consultancytak; consultant risicomanagement
Nee** Ja*
G Interne auditor grote Nederlandse bank Ja Ja*
*
Big 4 van toepassing op voormalig partnerschap
**
RA titel opgezegd
3.2. Dataverzameling en analyse
Om tot een beantwoording van de onderzoeksvraag te komen is ervoor gekozen om diepte-interviews te houden met de benaderde respondenten. Daarbij wordt gebruikgemaakt van een vragenlijst met drie hoofdvragen en voor elke hoofdvraag drie sub-vragen. Het interview wordt afgesloten met vier stellingen, waarover de respondent zijn mening kan geven.
De interviews zijn zowel in persoon als telefonisch afgenomen en de duur van de interviews varieerde daarbij van 25 tot 40 minuten. Alle interviews zijn na toestemming van de geïnterviewde personen opgenomen met een dictafoon en zijn afgenomen in het Nederlands. Na afloop is van elk interview een transcriptie gemaakt op basis waarvan de uiteindelijke data-analyse is gemaakt. Daarbij zijn de transcripten geanalyseerd en is er gebruikgemaakt van open codering, zoals gebruikelijk wordt gesteld bij het uitvoeren van kwalitatief onderzoek (Baarda, De Goede & Teunissen, 2005). Bij de open codering zijn de transcripten van de interviews opgedeeld in fragmenten en is er aan elk fragment een code toegekend op basis van het thema waarop het fragment betrekking had. Op die manier kan er gestructureerd naar een beantwoording van de hoofdvraag toegewerkt worden.
Soft controls worden door middel van de vraagstelling in de interviews uit meerdere perspectieven benaderd, waarbij voor elk perspectief één hoofdvraag is bedacht. De eerste hoofdvraag benadert soft controls vanuit het perspectief van de ondernemingen die de financiële verslaggeving samenstellen. Er wordt daarbij gekeken naar het bewustzijn van het belang van de soft controls en een vergelijking met het belang dat door accountants aan dit onderwerp wordt toegedicht. De tweede hoofdvraag gaat in op de huidige rol van soft controls bij een externe audit. Daarmee wordt geprobeerd inzicht te verkrijgen in de huidige situatie en het huidige belang, ook in het kader van de geldende wetgeving, dat aan soft controls in een audit wordt toegedicht. De derde en tevens laatste hoofdvraag gaat over de deskundigheid bij de accountants op het gebied van soft controls. Daarbij is het de bedoeling inzicht te verkrijgen in het feit hoe reëel het is om van accountants te verwachten dat zij een objectieve beoordeling kunnen maken van de soft controls binnen een organisatie en of de verantwoordelijkheid die daarmee bij accountants wordt neergelegd een wenselijke is. De interviews worden afgesloten met een viertal stellingen waarmee nog meer inzicht wordt geprobeerd te verkrijgen in de denkwijze over soft controls binnen de audit en de mogelijkheden die daarbij bestaan om ze in het kader van de audit te beoordelen. De volledige vragenlijst inclusief de stellingen is te vinden in de appendix.
4. Resultaten
In deze sectie zullen de bevindingen die door middel van de interviews zijn verkregen worden besproken om uiteindelijk tot een beantwoording van de hoofdvraag te komen in de conclusie. Het hoofdstuk is opgedeeld in drie subhoofdstukken, die elk betrekking hebben op één van de hoofdvragen binnen de interviews. In het eerste deel wordt het belang van soft controls voor ondernemingen behandeld, in het tweede subhoofdstuk wordt de huidige rol van soft controls bij een jaarrekeningcontrole besproken en tenslotte is er een afsluitend subhoofdstuk waarin de huidige vaardigheden van accountants op het gebied van soft controls worden besproken. Ten behoeve van het overzicht is ervoor gekozen om de antwoorden van de respondenten onder te verdelen naar verschillende categorieën. Hierbij is een onderscheid gemaakt tussen specialisten in soft controls, accountants, (voormalig) bedrijfsconsultants en een interne auditor waarmee is gesproken.
4.1. Belang soft controls voor ondernemingen
De respondenten is gevraagd een inschatting te maken van het belang dat bedrijven hechten aan soft controls. Dit is gedaan om na te gaan of er een gap bestaat tussen het belang dat de ondernemingen hechten aan dit thema en de aandacht die er door de accountants aan wordt besteed.
Specialisten soft controls
Volgens respondent A is er in zekere zin een gap merkbaar tussen het belang dat door ondernemingen aan soft controls wordt gehecht en de aandacht die accountants daaraan geven:
“[…] omdat accountants het vaak toch pas doen als de klant ervoor open staat. Er
zijn wel bedrijven waar de klant het zelf doet en de accountant daar niet in meegaat en dan moet het per definitie eigenlijk zo zijn dat er meer bedrijven dan accountants daarvoor open staan.”
Het verschil is volgens de respondent ook merkbaar in beide opleidingen:
“Je ziet steeds meer dat auditafdelingen van bedrijven en instellingen hiermee aan de
cultuur, in al hun audits. Daar is het ook niet even van een onsje meer, maar ook de hele interne opleiding verandert daardoor.”
Respondent B denkt hierbij dat de verhoudingen tussen de ondernemingen en auditors min of meer gelijk liggen: “controllers vinden dat heel erg lastig, interne auditors vinden dat heel
erg lastig. De top van de organisatie zegt: het is belangrijk, doe er wat mee. Dat is de boodschap en dat is volgens mij nu het veld waar we in zitten.”
Ook bij de vraag aan welke soft controls bij de ondernemingen nu het meeste aandacht wordt geschonken liggen de meningen tussen de respondenten uiteen. Respondent A geeft twee concrete voorbeelden van soft controls aan: risicobewustzijn, het bestaan van een risicocultuur; en verantwoordelijkheidsbesef onder de werknemers, het feit of werknemers uit eigen beweging handelen naar de visie van de onderneming. Respondent B geeft daarentegen aan dat de focus van de meeste ondernemingen nog erg op de harde kant van soft controls ligt en dat ondernemingen in feite in hetzelfde bewustwordingsproces zitten als accountants:
“Wat veel organisaties definiëren en wat sommigen standaard definiëren is: heb je
een code of conduct? Doe je een training op het gebied van ethiek? Als het antwoord ja is, dan is daarmee gezegd: ik heb daarmee een soft control. Terwijl het eigenlijk meer een hard control is. De soft control zou zijn dat het gedrag ook in lijn is met wat er in de code of conduct staat en is het in lijn met de missie en visie van de organisatie.”
Accountants
Op de vraag hoe het bewustzijn omtrent soft controls is bij ondernemingen geeft respondent C aan dat dat mede afhankelijk is van de sector en van de grootte van de onderneming. Er bestaan sectoren die wat meer ‘no-nonsense’ zijn dan anderen en vooral bij grotere organisaties zou er meer nadruk op liggen: “[…] daar is het ook wat meer geformaliseerd.
Dan heb je ook wat meer krachtenvelden in zo’n organisatie. Mensen werken in de auditafdeling en je hebt de CEO en CFO en Raad van Commissarissen.” Om het
tegengestelde te schetsen wordt ook vergelijking getrokken met het MKB-segment, waarin door de kleinere omvang van dit soort onderneming sprake is van minder krachtenvelden. Daarin zou de aandacht voor soft controls vooral erg afhankelijk zijn van de karakteristieken en de prioriteiten van de DGA van de onderneming. Respondent D geeft aan dat het bewustzijn omtrent het belang van soft controls steeds groter wordt. Om dat weer te geven
wordt verwezen naar de druk vanuit de Raden van Commissarissen om soft controls mee te nemen bij een jaarrekeningcontrole. De wensen van de Raden van Commissarissen worden verder uitgewerkt in hoofdstuk 4.2, waarin de huidige invulling van een jaarrekeningcontrole wordt behandeld.
Als zwaarst wegende soft controls voor de ondernemingen wordt door respondent C, voornamelijk bij kleinere ondernemingen waarbij een code of conduct of uitgebreid jaarverslag ontbreekt, de tone at the top/voorbeeldgedrag van het management. Respondent D stelt dat vooral het verantwoordelijkheidsbesef veel aandacht krijgt van de ondernemingen:
“Handelen alle werknemers naar de normen en waarden van de organisatie […] ik
denk dat veel bestuurders op een hoofdkantoor zich ernstig zorgen maken om kleine groepjes mensen in Singapore, Hongkong, Sydney, ‘all over the world’ zeg maar. Voelen die zich nou ook verbonden met de organisatie en handelen die op basis van de juiste incentives?”
Bedrijfsconsultants
Respondent E geeft met betrekking tot het bewustzijn van de impact van soft controls aan dat dat uit ervaring bij de ondernemingen aanwezig zou moeten zijn, zeker gezien het feit dat vele ondernemingen al langere tijd werken volgens het COSO-model, waarin de controleomgeving ook aandacht is voor dit soort aspecten. Daarnaast geeft hij aan dat ondernemingen inmiddels genoeg ervaring hebben met integriteitsissues en om die reden ook inzien dat gedragscomponenten een belangrijk element zijn.
Respondent F geeft daarentegen aan dat er op dit moment juist een ontwikkeling gaande is binnen de ondernemingen, in lijn met het bewustwordingsproces dat eerder ook door respondent B werd geschetst. Over het belang dat aan soft controls gegeven wordt zegt hij het volgende: “steeds meer, maar niet heel expliciet. Meer dat ze zien dat het effect heeft om
mensen op gedrag aan te spreken en de cultuur te beïnvloeden. Dat het effect heeft, dat zie je wel.”
Interessant is dat de soft controls die door beide bedrijfsconsultants als zwaarst wegend voor de ondernemingen worden aangestipt, verschillen van hetgeen eerder door de andere professionals is benoemd. Respondent E noemt de openheid om issues te bespreken:
“[…] het zit hem denk ik vooral in de vraag: heeft het tegengeluid voldoende ruimte. […] Als je een hele dominante top hebt, een topleider of een topteam, die niet
aanspreekbaar is op dingen die niet goed gaan of die zelf dingen doet waarvan je denkt: dit kan niet. Als ze daar niet op aanspreekbaar zijn, dan moeten alle alarmbellen afgaan.”
Respondent F geeft aan vooral in aanraking te komen met organisaties binnen de zorg en het onderwijs en daarnaast ook corporaties en verenigingen. Daarin staat volgens hem transparantie heel hoog op de agenda, daarmee wordt volgens de respondent bedoelt: “[…]
dat je afspreekt met elkaar wat je gaat doen en dat je ook verantwoordelijkheid neemt voor hetgeen er wel is gebeurd of niet is gebeurd.”
Interne auditor
Respondent G bemerkt geen zichtbare verschillen in het belang dat aan soft controls wordt gehecht tussen interne auditors en accountants. Hij geeft wel aan dat er vanuit het doel van de werkzaamheden op verschillende manieren tegenaan wordt gekeken:
“[…] ik denk dat het wel redelijk gelijk is, waarbij een interne accountant toch wel
iets dieper op de processen ingaat. Wij doen dus audits naar processen en dan ben je heel erg gefocust op zo een proces. Terwijl bij een financial audit je meer op de jaarrekening gericht bent en dan lijkt het meer verder weg te liggen; het is meer ondergeschikt dan.”
Tabel 2: Meest benoemde soft controls
Soft control Aantal keren benoemd
Verantwoordelijkheidsbesef 3
Voorbeeldgedrag 2
Risicobewustzijn 1
Openheid issues te bespreken 1
Transparantie 1
4.2. Rol soft controls binnen audit
Aan de respondenten is gevraagd of zij de huidige rol van soft controls binnen de audit kunnen inschatten en zo ja, welk beeld zij daar exact bij hebben. Ook is de respondenten gevraagd of zij zich kunnen vinden in de huidige rol of dat zij daar graag veranderingen in zouden willen zien. In het kader van de vergelijkbaarheid is de mening over de huidige rol
van soft controls binnen de jaarrekeningcontrole verdeeld in drie categorieën: onvoldoende, geen mening en voldoende. Tevens is de geïnterviewde personen gevraagd hoe zij de rol van soft controls ingekleed zouden willen zien en of zij pleiten voor een wettelijke verplichting, een aanpassing van de richtlijnen of dat ze betreft de regel- en wetgeving geen veranderingen wenselijk achten.
Specialisten soft controls
Wat betreft de huidige rol van soft controls binnen de audits zijn beide specialisten het met elkaar eens dat deze rol uitgebreid dient te worden. Respondent A over de huidige rol van soft controls het volgende: “[…] vrijblijvend en daardoor ook nog wat onvolwassen. Veel
incidenten laten ook een gebrek aan soft controls zien […]”. Respondent B geeft daarnaast
aan dat niet alleen incidenten uit het verleden tekenend zijn voor het feit dat soft controls meer aandacht zouden moeten krijgen, maar dat er ook steeds meer vraag vanuit de klant komt voor dit aspect: “[…] we zien ook bij klanten dat er specifiek om gevraagd wordt […]
we krijgen van de klant de vraag: kunnen jullie hier ook wat meer over zeggen? Kunnen jullie dit meenemen in de audit?” Het belang wordt volgens beide respondenten, in lijn met de
conclusies van Vink en Kaptein (2008), onderstreept door het feit dat de harde cijfers waarop bij accountants vaak de focus ligt, niet los kunnen worden gezien van soft controls. Respondent B zegt hierover: “[…] een hard control gaat altijd samen met een soft element.
Er zit altijd een menselijk aspect in. En als je alleen maar naar het harde aspect laat kijken, dan mis je dus een deel van je control framework.”
Respondent A geeft hierbij aan dat een inschatting van de soft controls in de risicoanalyse van de audit een belangrijke tool is om in te schatten welke controlewerkzaamheden er moeten worden uitgevoerd en of er in het geval van falende soft controls nog wel gesteund kan worden op de hard controls:
“[…] men kan dan zeggen: daar zijn de soft controls niet goed, dus laten we daar
gaan kijken wat de risico’s daarvan zijn. Wat zijn de gevolgen? Wat doet het met de rest van de werkzaamheden? Kunnen we dan nog steunen op een aantal hard controls?”
Als reden dat soft controls nog onvoldoende terugkomen in audits wordt door beiden een andere reden gegeven. Respondent A geeft aan dat de rol op dit moment nog onvoldoende is, omdat de accountants enerzijds vanuit de wet- en regelgeving daar niet toe verplicht worden
en anderzijds nog niet de vaardigheden en kennis hebben om hier iets mee te doen. Deze vaardigheden zullen later in subhoofdstuk 4.3 verder uitgewerkt worden. Door respondent B wordt een zekere onwennigheid met het softe karakter als oorzaak genoemd:
“[…] het is vooral een bewustwordingsonderdeel. Dus veel accountants zien het wel
en voelen het wel dat er iets is, maar dat beschrijven ze dan als een onderbuikgevoel bijvoorbeeld. Het is nog lastig om daar conclusies uit te trekken […] bij accountants is het meestal keihard: het cijfer klopt wel of het cijfer klopt niet. Hier is dat een stuk moeilijker en daarmee krijg je dus ook veel meer ongemak.”
Interessant is dat beide respondenten, ondanks het feit dat zij werkzaam zijn bij verschillende accountantsorganisaties, dezelfde methoden noemen voor het inschatten van het niveau van de soft controls bij ondernemingen. Tijdens het bepalen van de scope van de auditwerkzaamheden noemen beiden een vragenlijst of quickscan waarmee een analyse wordt gemaakt van de organisatie en waarbij wordt gekeken waar mogelijke risico’s voor de ondernemingen liggen. In een latere fase noemen beide personen het gebruik van interviews met medewerkers en wordt door respondent A hier nog het houden van observaties op de werkvloer aan toegevoegd. De toegevoegde waarde van deze methoden en daarmee ook deels de oplossing voor de onwennigheid bij accountants die eerder werd geschetst wordt omschreven door respondent B:
“Wat zien we nou daadwerkelijk gebeuren om het ook wat meer hard te maken. Op
het moment dat je dát hebt, kun je dat uiteindelijk terugkoppelen […] Dat is gewoon gebaseerd op softe informatie, maar je kan het wel zo hard mogelijk maken door middel van voorbeelden die genoemd worden en wat je concreet hebt gezien.”
Beide respondenten zien echter ook de complexiteit bij de beoordeling van de soft controls Zo wordt de afhankelijkheid van de context en van de specifieke onderneming door respondent A bijvoorbeeld als een lastig punt gezien. Daarbij wordt echter de nuance gemaakt dat omgaan met verschillen tussen ondernemingen voor een accountant geen onbekend terrein is:
“Ja, het is heel lastig. […] in heel de accountantscontrole heb je een hele opleiding
tot accountant, waarin duidelijk wordt gemaakt dat niet iedere onderneming hetzelfde is. Daarin wordt ook niet gezegd: dan doen we maar geen jaarrekeningcontrole meer.
Dat maakt het juist des te belangrijker. […] het kan nooit één normenkader zijn, maar in hoofdlijnen moet dat zeker kunnen.”
Respondent B benoemt daarbij het subjectieve karakter bij het beoordelen van soft controls en het feit dat het vaak om de eerder genoemde onderbuikgevoelens gaat. Om deze moeilijkheden tegen te gaan wordt echter teruggegrepen naar de eerder genoemde methode om door middel van voorbeelden en observaties de bevindingen zo hard mogelijk te maken.
Tenslotte is beide respondenten gevraagd naar hun mening of een wettelijke verplichting op het meenemen van soft controls in de audit wenselijk zou zijn of juist niet. Respondent A noemt dit een noodzakelijkheid om ervoor te zorgen dat accountants er meer aandacht aan gaan besteden en er ook voor te zorgen dat er in de opleiding tot accountant meer aandacht aan wordt besteed:
“Dat zou ook een richtlijn van de NBA kunnen zijn. […] Of iets als een wettelijke
verplichting. Ergens waar soft controls slecht zijn zal er ook het minst bereidheid zijn dat de accountant daarnaar kijkt. Het zou mooi zijn als accountants ook ergens op kunnen staan om dat af te dwingen.”
Respondent B vindt tevens dat een wettelijke verplichting een beweging in de goede richting zou zijn, maar maakt hierbij wel de nuance dat het vanuit de intrinsieke motivatie van de accountant dient te komen: “Het kan helpen, maar uiteindelijk moet het ook vanuit de
organisatie gevraagd worden en het belang gezien worden. Accountants
Sprekend over de huidige rol van soft controls binnen de audit, geven beide actieve accountants aan dat deze rol op dit moment nog een heel ondergeschikt karakter heeft. Beiden verwijzen hierbij naar de controleomgeving zoals bekend uit het COSO-model, reeds uitgewerkt in hoofdstuk 2.2. In dat kader wordt er wel gekeken naar zaken als soft controls, maar blijft de aandacht hiervoor volgens de accountants nog te oppervlakkig. Respondent C: “[…] over het algemeen zijn de accountants toch van: soft controls, ja, daar kijken we even
naar en daarna gaan we direct door met de hard controls.” Respondent D spreekt ook van
een rol waar geen grote nadruk op wordt gelegd: “[…] ik denk dat in de huidige
controleaanpak soft controls nog een relatief ondergeschikte rol spelen. […] als er ergens een punt is waar nog veel winst te behalen valt, dan is dat op dit element.”
Overeenkomstig met de specialisten wordt er door de accountants een verband getrokken met eerdere incidenten om het belang van goed werkende soft controls bij ondernemingen te onderstrepen. Respondent C hierover: “Je leest natuurlijk ook in de kranten als het ergens
fout gaat dat het dan vaak ook met dat soort dingen te maken heeft […]”. Respondent D
onderstreept deze mening:
“[…] als je denkt bijvoorbeeld aan de grote fraudezaken in de wereld, bij Worldcom
en Enron en dat soort zaken […] Waar zat nou het risico? Waardoor kan dit nou ontstaan? Dat zit natuurlijk gewoon in cultuur, dit zit in soft controls […]”.
Tevens geeft respondent C, in lijn met wat eerder ook door de specialisten werd genoemd, aan dat er ook vanuit de klant steeds meer vraag is naar een oordeelsvorming over de soft controls:
“Tegelijkertijd zie je dan wel dat bijvoorbeeld bij de beursfondsen, dat steeds meer de
stakeholders of de RvC of de aandeelhouders ook van die accountant willen weten wat die daar nou van vindt. […] Dat zou je kunnen zien als een uitbreiding van de vraag die ze 10 jaar geleden stelden.”
Ook Respondent D ziet in de praktijk dezelfde ontwikkeling, over de verwachtingen van Raden van Commissarissen zegt hij het volgende: “die verwachten ook wel een accountant
die een bredere blik heeft en niet alleen kijkt naar de posten in de jaarrekening, maar ook kijkt naar: wat gebeurt er nou in deze organisatie, waar zijn ze nou mee bezig?”
Beide accountants zijn het er dus over eens dat soft controls een grotere rol zouden moeten spelen binnen de audit. Ook in de manier waarop dit ingevuld zou moeten worden zijn ze het in grote lijnen met elkaar eens. Respondent C ziet voor soft controls vooral een rol weggelegd in de risicoanalyse bij het bepalen van de controleaanpak en benoemt nog geen controlewerkzaamheden van soft controls zelf: “je kan ook niet zeggen: de cultuur is goed,
dus de cijfers zijn goed. Het enige dat je ermee kunt doen is dat soort aspecten in kaart brengen en dan zeggen: ik zie een aantal extra risico’s, waardoor ik op een aantal gebieden extra controlewerkzaamheden moet uitvoeren.” De respondent ziet daarbij nog wel
moeilijkheden bij het vaststellen van een norm waartegen soft controls afgezet zouden moeten worden en ziet daarin een rol weggelegd voor specialisten in soft controls die binnen de adviespraktijk van de Big 4 kantoren beschikbaar zijn om ingezet te worden in auditteams: “op een aantal audits waar wij denken dat het belangrijk is, zetten wij hen in.” Ook ziet deze
accountant een rol weggelegd voor soft controls in een eerdere fase, namelijk het klantacceptatieproces. Daarbij wordt vooral verwezen naar het MKB-segment, waarin de soft controls vaak in grote lijnen worden bepaald door de karakteristieken van de directeur-grootaandeelhouder (DGA). Door een inschatting te maken van de belangen die de klant hecht aan soft controls kan dan een inschatting worden gemaakt of men voor de klant aan de slag wil: “sommige klanten die dat allemaal niet belangrijk vinden, die horen niet bij een
kantoor als wij. Want dan kun je controleren wat je wil, maar een DGA met die attitude heeft altijd de middelen om een control te doorbreken.”
Ook respondent D noemt het inzetten van specialisten in sommige auditteams als methode om soft controls bij sommige klanten in kaart te brengen. Daarnaast schetst deze accountant een methode om binnen de risicoanalyse tot een beoordeling van de soft controls te komen waarbij door middel van beschikbare niet-financiële data een inschatting zou kunnen worden gemaakt van het functioneren van de soft controls binnen een onderneming. Er wordt hierbij dus nog wel gebruik gemaakt van harde data:
“[…] stel dat op een bepaalde afdeling op een bepaald afdelingsonderdeel het
verloop heel erg hoog is. […] Dat is een signaal dat erop kan duiden dat er bijvoorbeeld binnen die afdeling van dat bedrijf risicovol gedrag is dat niet ondersteunend is in de waarde van die organisatie. […] dat soort data kun je natuurlijk hartstikke goed gebruiken om het frauderisico nog veel beter te verankeren in onze controleaanpak.”
De respondent voorziet daarbij nog wel enigszins problemen in het geval een onderneming deze data niet verzamelt: “als een organisatie het onvoldoende heeft verankerd binnen de
dagelijkse processen en daar onvoldoende data omtrent verzamelt, dan wordt het ingewikkeld of onmogelijk.” Aanvullend geeft de accountant aan dat dit ondanks de complexiteit met het
aantrekken van de juiste mensen en het onderscheid maken tussen ondernemingen wel haalbaar moet zijn om soft controls in de audit mee te nemen: “[…] ik denk ook dat je er niet
meer aan ontkomt. Misschien kun je er nog wel een onderscheid maken bij bedrijven die listed zijn en kleinere ondernemingen.”
Aan beide respondenten is ook de vraag voorgelegd of zij van mening zijn dat een controle op soft controls wettelijk gezien verplicht zou moeten zijn binnen een audit. Respondent C zegt dat een toevoeging hierover aan de International Standards of Auditing (ISA) of aan de
Nadere Voorschriften Controle- en Overige Standaarden (NV COS) “[…] handen en voeten
kan geven aan je controleomgeving. Want die beoordeling moet je nu ook al maken. […] Misschien als je daar wat meer handen en voeten aan wilt geven, dat je dan ook iets meer aandacht besteedt aan cultuur en gedrag dan nu het geval is.”
Respondent D is daarentegen van mening dat een wettelijke verplichting of een uitbreiding in de richtlijnen nog niet op zijn plaats is:
“Ik denk dat het daar nog veel te vroeg voor is. Het hele auditproces is al dermate
compliance gedreven, ik vind dat we daar nog wel ruimte moeten hebben om te bepalen of we het inzetten of niet. Voor de kleinere audits is het wellicht wat minder relevant, dus ik ben daar op zich geen voorstander van.”
Bedrijfsconsultants
Beide respondenten is gevraagd in hoeverre zij de rol van soft controls binnen de huidige auditpraktijk in kunnen schatten. Van beiden is de terugkoppeling ontvangen dat zij te weinig inzicht hebben in de huidige praktijk om er uitspraken over te kunnen doen. Het oppervlakkige en ondergeschikte karakter dat door de bij audits betrokken professionals is geschetst is vervolgens met de respondenten besproken om hun mening over een wenselijke invulling van de beoordeling van soft controls binnen de audit te horen. Respondent E zegt over de rol van soft controls binnen de audit het volgende:
“Ik vind dat dat ook een essentieel onderdeel zou moeten zijn van elke
controleaanpak. Het probleem is natuurlijk wel dat je dan niet alleen kennis en kunde nodig hebt om dat te kunnen doen, maar ook voldoende geobjectiveerde criteria om dat te kunnen beoordelen. Nou, dat laatste is zeker nog een probleem, maar ontslaat ons niet aan de plicht om er wat mee te doen.”
Om een voorbeeld te schetsen van het belang van de soft controls, beschrijft de respondent een casus uit zijn tijd binnen de adviestak van een Big 4 accountantsorganisatie, waarbij een hoop misstanden werden aangetroffen, waaronder onder meer fraude met ploegendiensttoeslagen. Bij melding aan de collega belast met de jaarrekeningcontrole gaf deze echter aan dat de jaarrekening in orde was. Ondanks het feit dat de jaarrekening in orde zou zijn, is de respondent in verband met de schade die de misstanden veroorzaakten van mening dat dit soort zaken:
“[…] in ieder geval ook relevant is om een inschatting te maken van zoals ze dat zo
mooi noemen het inherente risico van deze onderneming. Dus zo een gesprek is voor mij in die zin exemplarisch waarom ik vind dat je dan moet kijken naar, ja, of je dat nou soft controls noemt; maar naar cultuur, naar de setting, de manier waarop dingen gebeuren binnen een onderneming.”
Ondanks het ontbreken van de eerder genoemde objectieve normen, geeft respondent E echter ook aan dat zaken als tone at the top bijvoorbeeld inzichtelijk zouden kunnen worden gemaakt door middel van interviews met bestuurders en door middel van observaties bij vergaderingen van besturen en Raden van Commissarissen. Ook wordt aangegeven, mede vanwege de door psychologen en behavioural economists vergaarde kennis, dat het gebrek aan objectieve normen geen belemmering moet zijn voor het meenemen van soft controls binnen de audit. Volgens de respondent ligt de verantwoordelijkheid bij de accountants om vanuit hun ervaring methoden te ontwikkelen om soft controls te beoordelen:
“[…] het is allemaal onvolkomen en ik zie de gebreken wel. […] het feit dat het er
allemaal niet is ontslaat je niet van de plicht om er toch dan maar een poging toe te doen en dan maar een instrumentarium te gaan ontwikkelen […]”.
Als reactie op de opmerking dat een gebrek aan objectieve normen tot een bepaalde willekeur zou kunnen leiden: “Dat is onvermijdelijk […] dan gaan we toch samen jurisprudentie
ontwikkelen en samen ervaring opdoen. Dan wordt het vanzelf helderder. Zo zijn we toch ook begonnen met de gewone beoordeling van cijfers.”
In lijn met wat eerder door respondent B vanuit de groep specialisten in soft controls werd gesteld, is de mening van respondent E over het wettelijk verplicht stellen van een controle op soft controls als volgt: “Ik vind dat accountants de plicht hebben om na te denken over de
aanpak en de methodieken die ze hanteren en dat ze dus zelf hier ook werk van moeten maken. […] Het zou absoluut uit de beroepsgroep zelf moeten komen.”
Respondent F geeft aan dat naar zijn mening het probleem in de huidige situatie deels wordt veroorzaakt doordat accountants erg gefocust zijn op de harde cijfers. Hij schetst deze situatie met een voorbeeld:
“Als afdelingen constant te laat rapporteren of proberen potjes te vormen of cijfers
op het verklaren van dat gedrag en het oplossen van dat gedrag. […] dan zit je constant hetzelfde probleem op te lossen terwijl je op een gegeven moment mensen moet aanspreken op: waarom gaat het zoals het gaat?”
Tevens geeft respondent F, in overeenstemming met Vink en Kaptein (2008), aan dat het vaak een combinatie is van zowel soft als hard controls waarnaar gekeken moet worden. Binnen de risicoanalyse zou daarbij gebruik moeten worden gemaakt van beide typen controls. Om een grotere rol voor soft controls af te dwingen vindt hij dat de regelgeving op dit vlak aangepast zou moeten worden, omdat alles dat “[…] voorwaardelijk bijdraagt aan
informatie en waar je op kan steunen […]” opgenomen dient te worden in de regelgeving. Interne auditor
Respondent G geeft vanuit zijn ervaring als intern auditor aan dat accountants in de huidige situatie vooral naar de soft controls kijken in de risicoanalyse van een onderneming, om op die manier de betrouwbaarheid van de cijfers in te schatten: “[…] daar wordt natuurlijk wel
gekeken naar welke rol het gedrag van mensen daarbij speelt. Door daar een inschatting van te maken weet je natuurlijk in hoeverre je kan vertrouwen op hoe de cijfers tot stand komen.”
Ook wordt er aangegeven dat er vanuit de COSO-benadering wordt gewerkt, waarbij naar de controleomgeving van een onderneming wordt gekeken om de auditaanpak te bepalen.
Interessant is dat de interne auditor, in tegenstelling tot de externe accountants, aangeeft dat hij tevreden is met de ondersteunende rol die soft controls op dit moment hebben binnen een jaarrekeningcontrole:
“[…] het moet toch altijd ondersteunend blijven, niet als hoofdthema. Ik denk dat je er
vooral oog voor moet hebben van: kan het een rol spelen? Net als met fraude, je moet het risico analyseren, maar je gaat geen echt fraudeonderzoek doen met alle diepgaande interviews op die vlakken. Het moet echt ondersteunend blijven […] Er moet een goede balans in zitten, als het door gaat slaan dan kloppen de verhoudingen niet meer.”
Volgens de respondent is het bij een jaarrekeningcontrole “[…] iets minder van belang. Dan
kun je je laten bijstaan door de deskundigen op dat vlak. Meer op de aanwijzende sfeer van: let hierop en let daarop.”
Een probleem dat ook door andere respondenten werd aangekaart bij het meenemen van soft controls bij een audit, wordt door de interne auditor nogmaals onderstreept: “harde
uitspraken zijn moeilijk, tenzij je goede normstellingen hebt.” Er wordt echter ook een
oplossing aangedragen om de bevindingen hard te kunnen maken, een oplossing die eerder ook door respondent B werd genoemd:
“Het is natuurlijk subjectief, maar je kunt natuurlijk proberen. Wat wij doen is door
dat vanuit de oorzaakanalyses hard te maken. Dus dan kijk je: wat gaat er mis en wat is er aan de hand? Maar puur een uitspraak over een soft control, dan moet je harde normen hebben, anders blijft het lastig.”
In een wettelijke verplichting op het meenemen van de soft controls bij een jaarrekeningcontrole ziet de interne auditor geen oplossing. Wel pleit hij voor het opnemen van bevindingen met betrekking tot soft controls in rapportages, waarbij bijvoorbeeld wordt benoemd of de cultuur bijdraagt aan de control framework van de onderneming of deze juist tegenwerkt:
“Misschien zou ook, net als in een toekomstparagraaf in het bestuursverslag of iets
dergelijks, dat de organisatie zelf daar al een bepaalde passage over opneemt. Dan kun je daar als auditor ook iets over zeggen. Je moet ook niet te veel eigen dingen gaan roepen. Je doet het vanuit de controlerende taak, dus het zou het mooiste zijn als de organisatie zelf bepaalde statements daarover maakt. […] dan zit je ook veel meer in de controletaak, de assurancerol.”
Tabel 3: Hulpmiddelen beoordeling soft controls
Methode Aantal respondenten dat dit als wenselijk
beschouwt Interviews 4 Vragenlijst 3 Observaties 2 Niet-financiële data 2 Inzetten specialisten 2
4.3. Deskundigheid accountants omtrent soft controls
Om tot een beantwoording van de hoofdvraag te komen is de respondenten ook gevraagd naar de mening omtrent de deskundigheid van accountants op het gebied van soft controls. Door de respondenten te horen over dit thema wordt gepoogd inzicht te krijgen of het reëel is om van accountants te verwachten beoordelingen op dit gebied te maken en of er wellicht aanpassingen van het curriculum moeten worden doorgevoerd om de deskundigheid op het juiste niveau te krijgen.
Specialisten soft controls
In hoofdstuk 4.2 gaf respondent A al aan dat accountants nog te weinig kijken naar soft controls, omdat ze aan enerzijds vanuit de wet- en regelgeving geen druk daartoe voelen en anderzijds de vaardigheden er niet voor hebben. De respondent geeft aan dat er sprake is van een gebrek aan vaardigheden, maar vindt het lastig de oorzaak hiervan te benoemen: “[…]
het is een beetje kip-ei, omdat ze het niet verplicht zijn hoeven ze zich er ook niet in te verdiepen en wordt het ook weer minder snel verplicht gesteld. Dat houdt elkaar dan in de greep.”
Ook respondent B is van mening dat er bij accountants te weinig kennis bestaat om een goede beoordeling te kunnen maken van soft controls. Binnen zijn eigen organisatie is om die reden aan accountants een training van anderhalve dag gegeven om meer bewustzijn te creëren. Ook wordt door hem aangegeven dat de aandacht vanuit de NBA groeiende is. Als oorzaak voor het gebrek aan kennis geeft hij aan dat er traditioneel geen aandacht aan besteed is, omdat de focus altijd vooral op de harde kant van de audit gelegen heeft.
Logischerwijs vinden beide respondenten ook dat het curriculum voor accountants zou moeten worden aangepast om de kennis op dit gebied te vergroten. Respondent B denkt dat het deels binnen de opleiding en deels door trainingen bij de eigen accountantsorganisatie kan worden opgevangen. Respondent A pleit voor een ingrijpendere verandering binnen de opleiding tot accountant:
“dat zou betekenen dat voor de accountancy niet even een paar colleges erbij of een
stuk of wat erbij, maar dat betekent gewoon echt een aantal hele elementaire onderdelen die er dan bij komen. Dat heeft te maken met bewustzijn, met vaardigheden, met de instrumenten […]”
