“Efficiënte integrated audit”

“Efficiënte integrated audit”

Waar gaat het fout en waar kan het beter?

University of Groningen Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde

Ten behoeve van de masteropleiding Accountancy & Controlling Amsterdam, december 2009

Auteur

Mohamed Haouriqui

Begeleiders Rijksuniversiteit Groningen

Onder begeleiding van : dr. D.A. (Dick) de Waard RA MA Medebeoordelaar : dr. E.P (Pieter) Jansen

Voorwoord

Dit onderzoeksrapport vormt de afsluiting van de masteropleiding Accountancy & Controlling aan de Rijksuniversiteit Groningen.

Het doel van dit onderzoeksrapport is om in het kader van Sarbanes Oxley 404 (hierna: SOx 404), bij de vier grootste openbare accountantsorganisaties, onderzoek te verrichten naar de mate waarin de controlekosten in het kader van een integrated audit gereduceerd kunnen worden door een adequate samenwerking tussen de leiding van de huishouding en de openbaar accountant. Om dit doel te kunnen bereiken heb ik mijn onderzoek uiteengezet in een literatuur- en praktijkonderzoek. Voor het praktijkonderzoek heb ik zes interviews gehouden met ervaren openbaar accountants op het gebied van integrated audits. Beide onderzoeken zijn in de periode juni t/m november 2009 uitgevoerd.

De afgelopen maanden heb ik met veel enthousiasme aan dit onderzoek gewerkt. Het moge duidelijk zijn dat ik de afgelopen maanden ontzettend veel heb geleerd op het gebied van SOx 404 en in het bijzonder het uitvoeren van een efficiënte integrated audit.

Graag wil ik van de gelegenheid gebruik maken om mijn familieleden te bedanken die mij gesteund en gemotiveerd hebben bij het schrijven van dit onderzoeksrapport. Daarnaast wil ik de respondenten bedanken die bereid waren om een steentje bij te dragen aan het praktijkonderzoek door mij te verrijken met waardevolle informatie. Aan de hand van deze ervaringen heb ik antwoord weten te geven op mijn geformuleerde onderzoeksvragen.

Last but not least wil ik mijn scriptiebegeleider van de Rijksuniversiteit Groningen, de heer D.A. (Dick) de Waard, bedanken voor zijn enthousiaste steun, begeleiding en zijn constructieve feedback tijdens het schrijven van dit onderzoeksrapport. Tot slot gaat mijn dank uit naar de heer E.P. (Pieter) Jansen voor zijn rol als tweede beoordelaar.

Amsterdam, december 2009 Mohamed Haouriqui

Samenvatting

Voor u ligt het onderzoeksrapport ter afsluiting van de masteropleiding Accountancy & Controlling aan de Rijksuniversiteit Groningen. In dit onderzoeksrapport wordt een antwoord gegeven op de vraag hoe een efficiënte integrated audit uitgevoerd kan worden door een adequate samenwerking tussen de leiding van de huishouding en de openbaar accountant om daar waar mogelijk is de controlekosten te kunnen reduceren. Met de leiding van de huishouding wordt in dit rapport het onafhankelijk orgaan bedoeld van een vennootschap zoals een interne audit dienst dat verantwoordelijk wordt gesteld voor het toetsen van de effectiviteit van het interne beheersingssysteem. Het doel van een integrated audit is de controlewerkzaamheden van de reguliere accountantscontrole en de controle op de effectiviteit van het interne beheersingssysteem te combineren om tot een oordeel te komen omtrent de financiële verslaggeving (B. Beugelaar/ C.J. Visch, 2005).

De implementatie van de SOx 404 heeft de afgelopen jaren voor veel beursgenoteerde vennootschappen geleid tot hoge controlekosten (COSO & Management scope, 2005). Vanwege de huidige economische omstandigheden is de aanhoudende concurrentie en prijsdruk in de professionele dienstverlening meer gericht op kwaliteit dan kwantiteit. Dit betekent dat de openbaar accountant gezien de concurrentie nog meer toegevoegde waarde moet leveren aan haar cliënten en gezien de prijsdruk de controle veel efficiënter zou moeten insteken (H. Vlaming, 2006). Kortom hebben cliënten in de huidige economische omstandigheden meer aandacht voor de hoogte van de controlekosten dan voorheen. De openbaar accountant kan zijn rol hierin vervullen door de controleaanpak efficiënter in te steken om daar waar mogelijk is de controlekosten te reduceren. Om dit te kunnen bereiken zal de leiding van de huishouding een optimale bijdrage moeten leveren aan de openbaar accountant om dit te kunnen realiseren. De centrale vraagstelling van dit onderzoeksrapport luidt als volgt:

“Hoe kunnen de controlekosten inzake een integrated audit voor de leiding van de huishouding beheersbaar blijven door een adequate samenwerking met de openbaar accountant?”

Om antwoord te geven op bovengeformuleerde centrale vraagstelling is een literatuur- en een praktijkonderzoek uitgevoerd in de periode juni t/m november 2009. Voor het literatuuronderzoek is de SOx wetgeving en met name op het gebied van artikel 404, de literatuur naar aanleiding van de invoering van SOx 404 en de algemene literatuur omtrent het interne beheersingssysteem bestudeert. Uit het literatuuronderzoek is gebleken dat wijzigingen in de SOx 404 wetgeving ertoe hebben geleid dat beursgenoteerde vennootschappen zich steeds meer terugtrekken van de Amerikaanse beurs.

Een van de oorzaken van het terugtrekken van de Amerikaanse beurs is de huidige relatie tussen de economische omstandigheden en de steeds stijgende controlekosten. (De Accountant, 2007). Als openbaar accountant is het denkbaar en begrijpelijk dat de controlekosten die gepaard gaan met een integrated audit, onder druk komen te staan in de huidige economische omstandigheden. Nederlandse beursgenoteerde vennootschappen met een Amerikaanse notering moeten vaak meerdere adviseurs in dienst nemen of inhuren: voor het in kaart brengen van de bedrijfsprocessen, voor het toetsen ervan (interne accountant) en externe accountants voor het toetsen van de resultaten van de interne accountant (Lizanne Schipper, 2008). Door de huidige economische omstandigheden hebben zowel de openbaar accountant als de leiding van de huishouding hetzelfde doel voor ogen, namelijk het efficiënt uitvoeren van een integrated audit en het reduceren van onnodige inefficiënte kosten.

Voor het praktijkonderzoek zijn 6 interviews afgenomen onder ervaren openbaar accountants (hierna: respondenten) die werkzaam zijn binnen één van de vier grootste openbare accountantsorganisaties in Nederland. De resultaten van het praktijkonderzoek wijzen uit dat de ervaringen van de respondenten over het algemeen redelijk aan elkaar gelijk zijn. De resultaten van het praktijkonderzoek geven aanleiding tot aanbevelingen vanuit het oogpunt voor het uitvoeren van een efficiënte integrated audit. Uit het praktijkonderzoek is onder andere gebleken dat een adequate communicatielijn tussen beide partijen in grote mate de efficiëntie van de controle kan bepalen. Indien beide partijen elkaar tijdig inschakelen om eventuele tussentijdse planningswijzigingen, en tussentijdse bevindingen te communiceren kunnen beide partijen tijdig rekening houden met de voortgang van de controle. De openbaar accountant zou dan het controleteam vrij kunnen laten vallen en tijdig opnieuw een controleteam in kunnen plannen zodra de leiding van de huishouding de financiële stukken volledig heeft voorbereid.

Naar aanleiding van bovenstaande lijkt het mij zinvol om de theorie en de praktijk met elkaar te combineren en me te verdiepen in SOx 404.

Inhoudsopgave

Voorwoord 2

Samenvatting 3

Inhoudsopgave 5

1. Inleiding 7

1.1 Aanleiding en interesse voor het onderwerp 7

1.3 Centrale vraagstelling en onderzoeksvragen 9

1.4 Opbouw van het onderzoeksrapport 10

2. Literatuuronderzoek 12

2.1 Ontstaan van de SOx wetgeving 12

2.2 Bekende Amerikaanse en Europese boekhoudschandalen 14

2.3 Artikel 302 en 404 van SOx 15

2.4 Toezichthoudende organen van SOx 16

2.4.1 Public Company Accounting Oversight Board 17

2.4.2 Securities Exchange Commission 17

2.5 Controlestandaarden van de PCAOB 17

2.5.1 Auditing Standard No. 2 18

2.5.2 Auditing Standard No. 5 18

2.6 Interne beheersing volgens COSO II (ERMF) 18

2.7 Verplichte vennootschappen voor het toepassen van SOx 404 21

2.8 Rapporteringvereisten van SOx 404 21

2.9 Integrated audit 22

2.9.1 De definitie van integrated audit 22

2.9.2 Het doel van een integrated audit 22

2.9.3 De vier fasen van een integrated audit 23

2.10 Conclusie literatuuronderzoek 26

3. Onderzoeksmethode 27

3.1 Reeds uitgevoerde onderzoeken 27

3.2 Gegevensverzameling 27

3.3 Doelgroep en selectiecriteria 28

3.3.1 Accountantsorganisaties 28

4. Analyse onderzoeksresultaten 32

4.1 De planningsfase 32

4.2 Het werkprogramma 35

4.3 De gegevensgerichte werkzaamheden 37

4.4 Het evalueren en concluderen van de testresultaten 40

5. Antwoord op de onderzoeksvragen 43

5.1 De planningsfase 43

5.2 Het werkprogramma 44

5.3 De gegevensgerichte werkzaamheden 45

5.4 Het evalueren en concluderen van de testresultaten 46

6. Conclusies en aanbevelingen 47 6.1 Conclusie 47 6.2 Aanbevelingen 50 6.2.1 De planningsfase 50 6.2.2 Het werkprogramma 51 6.2.3 De gegevensgerichte werkzaamheden 52

6.2.4 Het evalueren en concluderen van de testresultaten 52

6.3 Suggesties voor vervolg onderzoek 53

Bibliografie en overige geraadpleegde bronnen 54

Bijlage I: Interviewvragen 57

Bijlage II: Nederlandse fondsen op de AEX per 28 augustus 2009 59 Bijlage III: In-control verklaring SOx 404 (leiding van de huishouding) 60 Bijlage IV: In-control verklaring SOx 404 (openbaar accountant) 63

1. Inleiding

In de eerste paragraaf van dit hoofdstuk zal ik mijn eigen praktijkervaring beschrijven die aanleiding is geweest voor het schrijven van dit onderzoeksrapport. Hierbij zal ik mijn bevindingen en mijn verwachte oplosrichtingen ten aanzien van het probleem in het kort beschrijven. Vervolgens wordt in de tweede pagraaf een beschrijving gegeven van vier in het oog springende boekhoudschandalen waarna in de derde paragraaf de centrale vraagstelling en de daaruit vooruitvloeiende onderzoeksvragen worden geformuleerd. Als sluitstuk van dit hoofdstuk zal de opbouw van dit onderzoeksrapport aan bod komen.

1.1 Aanleiding en interesse voor het onderwerp

De interesse voor dit onderwerp is ontstaan door mijn opgedane praktijkervaring als openbaar accountant “in opleiding” in één van de vier grootste openbare accountantsorganisaties in Nederland. Het afgelopen jaar heb ik tweemaal mogen deelnemen aan een integrated audit waarbij SOx 404 van toepassing was. Tijdens mijn praktijkervaring heb ik enkele zaken gesignaleerd die naar mijn mening veel praktischer uitgevoerd kunnen worden. Binnen het beroep accountancy is SOx 404 een belangrijk en interessant onderwerp, gezien het feit dat dagelijks een groot aantal vennootschappen te maken heeft met het beheersen van het interne beheersingssysteem.

Twee weken voordat het controleteam is gestart met de integrated audit, in dit geval SOx 404 en de controle op de tussentijdse cijfers, heeft het controleteam de instructies van de groepsaccountant ontvangen. In deze instructies staan met name de organisatiestructuur van de vennootschap, omschrijving van de activiteiten van de vennootschap, de reikwijdte van de controlewerkzaamheden per entiteit, groepsmaterialiteit, de specifieke risico’s en de planning voor het rapporteren naar de groepsaccountant beschreven. Tevens heeft de controleleider in dezelfde week de gedetailleerde planning in het kader van SOx 404 en de controlewerkzaamheden op de tussentijdse cijfers met het controleteam gecommuniceerd.

Voordat het controleteam is gestart met de integrated audit heeft de controleleider de verantwoordelijkheid gehad om de planningssectie in het controledossier voor te bereiden en deze te laten “reviewen” door de manager. De controleleider heeft een afspraak ingepland voor de “pre-auditmeeting” waarbij de belangrijkste punten voor de integrated audit de revue zijn gepasseerd en eventuele vragen van het controleteam door de partner en manager zijn beantwoord.

Tijdens het opstarten van de integrated audit heeft de controleleider het controleteam voorgesteld aan enkele financiële functionarissen waarna het controleteam een gesprek heeft gevoerd met de SOx verantwoordelijke om de planning en de controleaanpak te

Gedurende het gesprek heeft de SOx verantwoordelijke duidelijk gemaakt dat nog niet alle “key controls” zijn getoetst door zijn team als gevolg van verschillende praktische redenen. Een van de redenen die de SOx verantwoordelijke met het controleteam heeft besproken is dat de financiële afdeling rond de periode van ons bezoek intensief bezig is geweest met de afsluiting van de kwartaalcijfers. Ook gaf de SOx verantwoordelijke aan dat enkele functionarissen van de financiële afdeling recent de organisatie hebben verlaten. Hierdoor zijn de werkzaamheden verdeeld over de aanwezige functionarissen gezien de leiding van de huishouding nog geen geschikte plaatsvervangers heeft gevonden. Tevens was de organisatie op zoek naar een “payroll administrator” waardoor enkele “key controls” geruime tijd niet zijn uitgevoerd door de organisatie zoals de maandelijkse aansluiting tussen het grootboek en de ADP (service organisatie voor de salarisverwerking) verzamelloonstaat. Tevens bleken er van de getoetste “key controls” enkele ineffectief te zijn geconcludeerd door de SOx verantwoordelijke. Het controleteam hoeft bij voorbaat al geen controlewerkzaamheden te verrichten op de niet getoetste en de ineffectieve “key contols”.

Dit allen heeft geresulteerd dat het controleteam onvoldoende controlewerkzaamheden heeft kunnen verrichten op de “key controls”. Het controleteam heeft in deze week een start gemaakt met het “reperformen” van de door het SOx team verrichte werkzaamheden. Van de “key controls” die wel effectief zijn geconcludeerd door de SOx verantwoordelijke zijn de vastleggingen en brondocumenten opgevraagd. Van deze vastleggingen en brondocumenten is gebleken dat enkele brondocumenten niet zijn aangeleverd door het SOx team waardoor het controleteam deze stukken opnieuw heeft op gevraagd bij de SOx verantwoordelijke. Echter kon de SOx verantwoordelijke de brondocumenten niet op dezelfde dag nog aanleveren, waardoor ook deze “key controls” niet volledig getoetst konden worden.

Bovenstaande heeft geleid dat het controleteam te veel bezig is geweest met het achteraangaan van brondocumenten en het “reperformen” van “key controls” waarvan de achterliggende brondocumenten niet volledig zijn aangeleverd door het SOx team. Dit heeft geresulteerd in enkele inefficiënte uren van het controleteam.

Aangezien dit een integrated audit is stond op de planning ook de controle op de tussentijdse cijfers, met het oog voornamelijk gericht op de winst-en-verliesrekening. De manager van het controleteam heeft contact opgenomen met de financiële manager om de voortgang van de opgevraagde stukken te bespreken. Ook hieruit is naar voren gekomen dat door de kwartaalafsluiting de opgevraagde financiële stukken niet zijn voorbereid door de verantwoordelijke functionarissen. Het controleteam heeft met betrekking tot de controle op de tussentijdse cijfers in deze week enkele werkzaamheden opgestart en uitgezet en is tot de conclusie gekomen dat het niet efficiënt is om op respons te wachten aangezien de financiële functionarissen volledig gefocust zijn op de kwartaalafsluiting.

Het controleteam heeft besloten om zich terug te trekken en de controle voort te zetten zodra de SOx verantwoordelijke en de financiële manager de benodigde stukken hebben voorbereid voor het controleteam. Een geruime tijd na het bezoek van het controleteam heeft de cliënt diverse opgevraagde stukken aangeleverd. Van deze aanlevering is weer een gedeelte teruggekoppeld omdat deze financiële stukken niet helemaal voldeden aan de verwachtingen . Gedurende deze integrated audit zijn diverse controle-uren door het controleteam gemaakt waarbij veel controle-uren gespaard hadden kunnen worden indien de cliënt de zaken goed in orde had.

Op basis van de hierboven geschetste praktijkervaringen heb ik hieronder mijn verwachting beschreven die naar mijn mening vertragingen en inefficiënties kunnen verbeteren. Indien beide partijen elkaar tijdig hadden ingeschakeld om de vertragingen in de planning te bespreken, had de openbaar accountant tijdig het controleteam in de planning vrij kunnen laten vallen ter voorkoming van inefficiënte werkzaamheden. Ook is het efficiënt om met de controle te starten zodra alle financiële stukken zijn aangeleverd door de leiding van de huishouding zodat de controlewerkzaamheden volledig uitgevoerd kunnen worden.

Tevens kan de controleleider en/of de manager van het controleteam een afspraak inplannen met de cliënt (met name de SOx verantwoordelijke en de financiële manager) om de verwachtingen van de vastleggingen en de brondocumentatie te verhelderen en om achteraf miscommunicatie of misverstanden te voorkomen. Indien de openbaar accountant in zijn agenda één of twee uur reserveert om langs te gaan bij de cliënt om de verwachtingen van de financiële stukken te bespreken zal dit voor beide partijen tot meer duidelijkheid leiden.

Mijn inziens kunnen de controle-uren en dus ook de controlekosten gereduceerd worden, indien beide partijen elkaar structureel op de hoogte houden van de voortgang, tussentijdse vertragingen en/of gebeurtenissen. Naar aanleiding van bovenstaande waarnemingen lijkt het mij zinvol om de theorie en de praktijk met elkaar te combineren en op zoek te gaan naar aanbevelingen die tot deze kostenbesparingen kunnen leiden.

1.3 Centrale vraagstelling en onderzoeksvragen

Naar aanleiding van bovenstaande beschrijving heb ik mij tot doel gesteld onderzoek uit te voeren naar de volgende geformuleerde centrale vraagstelling:

“Hoe kunnen de controlekosten inzake een integrated audit voor de leiding van de huishouding gereduceerd worden door een adequate samenwerking met de openbaar accountant?”

Naar aanleiding van bovengeformuleerde centrale vraagstelling is een viertal onderzoeksvragen geformuleerd die zullen helpen bij het beantwoorden van de centrale vraagstelling. De onderzoeksvragen zijn als volgt geformuleerd:

Hoe kan een openbaar accountant samen met de leiding van de huishouding de processtappen, de bedrijfsrisico’s en de interne beheersingsmaatregelen met een financiële impact efficiënt in kaart brengen?

Hoe kunnen de openbaar accountant en de leiding van de huishouding zorgen voor een efficiënt werkprogramma?

Welke bijdrage kan de leiding van de huishouding leveren bij de gegevensgerichte werkzaamheden van de openbaar accountant?

Welke bijdrage kan de leiding van de huishouding leveren voor het afronden van een efficiënte integrated audit?

Alvorens antwoord te kunnen geven op de centrale vraagstelling zijn eerst de benodigde wetgevingen en literatuur geraadpleegd waarna op basis van deze wetgeving en literatuur een praktijkonderzoek is uitgevoerd om antwoord te geven op de hierboven geformuleerde onderzoeksvragen.

1.4 Opbouw van het onderzoeksrapport

Dit onderzoeksrapport valt uiteen in zes hoofdstukken, voorafgegaan door het voorwoord en de samenvatting. In het eerste hoofdstuk is achtereenvolgens de inleiding, de aanleiding en interesse voor het onderwerp, de centrale vraagstelling en de onderzoeksvragen behandeld.

Het tweede hoofdstuk behandelt het theoretische kader van het literatuuronderzoek. In dit hoofdstuk wordt aandacht geschonken aan de SOx 404 wetgeving, de literatuur naar aanleiding van de invoering van SOx 404 en de algemene literatuur rondom de interne beheersing naar aanleiding van SOx 404.

In het derde hoofdstuk wordt stilgestaan bij de methodologie van het praktijkonderzoek waarbij de keuze en werkwijze beschreven zijn. Vervolgens wordt aandacht geschonken aan de interviews die hebben plaatsgevonden tijdens het onderzoek.

In het vierde hoofdstuk worden de onderzoeksresultaten van de interviews per onderzoeksvraag geanalyseerd waarna in het vijfde hoofdstuk antwoord wordt gegeven op de geformuleerde onderzoeksvragen naar aanleiding van de onderzoeksresultaten. Met behulp van de antwoorden op de onderzoeksvragen ben ik tot een conclusie gekomen en heb ik aanbevelingen geformuleerd voor het uitvoeren van een efficiënte integrated audit in de toekomst. De conclusie en aanbevelingen worden beide in het zesde hoofdstuk beschreven. Als sluitstuk van dit onderzoeksrapport is een literatuurlijst en zijn relevante bijlagen opgenomen.

2. Literatuuronderzoek

Om antwoord te geven op geformuleerde onderzoeksvragen is eerst een

literatuuronderzoek verricht dat ter ondersteuning gebruikt zal worden voor het praktijkonderzoek. In dit hoofdstuk wordt inhoudelijk ingegaan op de SOX 404 wetgeving, de literatuur naar aanleiding van de invoering van de SOx 404 wetgeving en de algemene literatuur rondom de interne beheersing, namelijk:

het ontstaan van de SOx 404 wetgeving;

een beschrijving van vier in het oogspringende boekhoudschandalen;
de twee belangrijkste wetsartikelen van SOx (302 en 404);

de toezichthoudende organen van SOx 404;

de controle standaarden van de Public Company Accounting Oversight Board;
een beschrijving van de interne beheersing volgens COSO II (ERMF);

de vennootschappen die verplicht zijn om SOx 404 toe te passen;
de rapporteringvereisten van SOX 404;

de definitie, het doel en de vier fasen van een integrated audit.

Voor de geraadpleegde literatuur en publicaties wordt verwezen naar de bibliografie en overige bronnen die aan het einde van dit onderzoeksrapport is opgenomen.

2.1 Ontstaan van de SOx wetgeving

Belanghebbenden zoals aandeelhouders, investeerders en toezichthoudende organen hechten veel belang aan transparantie inzake de wijze waarop een vennootschap wordt beheerst en welke bedrijfsrisico’s relevant zijn voor deze vennootschap. Als reactie op de grote boekhoudschandalen zoals Enron en WorldCom in de Verenigde Staten hebben de Amerikaanse wetgevers in 2002 SOx geïmplementeerd om het vertrouwen in de beursgenoteerde vennootschappen weer te herstellen. Het schandaal bij Enron heeft zelfs geleid tot faillissement van deze onderneming en tot een gedwongen fusie van Arthur Andersen (voormalig accountant van Enron en WorldCom) in delen met diverse andere accountantsorganisaties. (Kees van der Hoef, 2007). Zo heeft bijvoorbeeld Arthur Andersen in Hong Kong en China zich aangesloten bij PricewaterhouseCoopers, in Rusland en Nieuw zeeland bij Ernst & Young en in Nederland bij Deloitte (Trouw, 2002).

Naast de Verenigde Staten is ook Nederland getroffen door boekhoudschandalen zoals onder andere Ahold. De Amerikaanse (SOx) en Nederlandse (Code Tabaksblat) wetgevers hebben beursgenoteerde vennootschappen verplicht gesteld om middels een in-control verklaring inzicht te verstrekken in de evaluatie van de effectiviteit van het interne beheersingssysteem met betrekking tot de financiële verslaggeving. De eisen ten aanzien van de in-control verklaring zijn in beide landen verschillend.

De Code Tabaksblat vraagt ten aanzien van de financiële verslaggevingrisico’s te verklaren dat de risicobeheersing- en controlesystemen gedurende het verslagjaar naar behoren hebben gewerkt terwijl SOx 404 dit slechts vraagt ultimo verslagjaar. Daarboven stelt de Code Tabaksblat nog een aanvullende eis ten opzichte van SOx 404 door het management te vragen een blik in de toekomst te werpen en te laten verklaren dat er geen indicaties zijn dat de risicobeheersings- en controlesystemen in het lopende jaar niet naar behoren zullen werken (M. van der Sanden, 2006).

SOx 404 impliceert dat de leiding van de huishouding op jaarlijkse basis een bevestiging dient te geven dat het interne beheersingssysteem effectief heeft gefunctioneerd en dat alle belangrijke en materiële tekortkomingen in het interne beheersingssysteem kenbaar zijn gemaakt aan de openbaar accountant en aan het Audit Committee van de vennootschap, welke een toezichthoudende en adviserende rol heeft (Dickman, P.A.M., 2004). Indien de kans dat er materiële fouten in de jaarrekening terecht komen niet voldoende is gereduceerd wordt de leiding van de huishouding geacht te concluderen dat zij niet in-control is en dient de leiding van de huishouding specifiek aan te geven op welke gebieden het interne beheersingssysteem met betrekking tot de financiële verslaggeving tekort schiet (Carney, W.J., 2006).

Zoals eerder in dit rapport is beschreven heeft de implementatie van SOx 404 voor veel beursgenoteerde vennootschappen geleid tot hoge controlekosten (De Accountant, 2007). Ook heeft SOx 404 voor veel beursgenoteerde vennootschappen geleid tot een vertraging voor het afronden van de reguliere accountantscontrole waardoor het publiceren van het jaarverslag (veel) langer duurt. Als het jaarverslag door SOx 404 later gepubliceerd wordt dan kan dit een negatief effect hebben op de Amerikaanse beurs omdat het vertrouwen van de belanghebbenden op deze manier geschaad wordt (Franscesca de Coninck, 2008).

Tevens trekken Nederlandse vennootschappen zich vaker terug van de Amerikaanse beurs door de complexiteit en de hoge controlekosten die aan SOx 404 zijn verbonden (De Accountant, 2007). Een bekend voorbeeld is KPN en Akzo Nobel. KPN gaf met de terugtrekking aan een besparing te voorzien van tien miljoen euro per jaar en Akzo Nobel een jaarlijkse besparing van zeven miljoen euro (Lizanne Schipper, 2008). De regelgeving was al streng, maar door de implementatie van SOx 404 is het nog veel duurder om aan de diverse regelgeving te voldoen. Vóór de implementatie van SOx 404 hebben Nederlandse vennootschappen zich vooral gefocust op de interne controle om de integriteit en nauwkeurigheid van de gerapporteerde financiële informatie veilig te stellen. Door de implementatie van SOx 404 zijn Nederlandse vennootschappen verplicht gesteld een in-control verklaring af te geven. Nederlandse vennootschappen moeten kunnen aantonen dat zij in control zijn en dienen zorg te dragen dat alle bedrijfsprocessen en achterliggende documenten nauwkeurig zijn vastgelegd. Het realiseren hiervan vergt veel inspanning en tijd

Nadat alle bedrijfsprocessen van de vennootschap in kaart zijn gebracht zal de openbaar accountant op zijn buurt de processen toetsen op effectieve werking (Lizanne Schipper, 2008). De additionele controlekosten die hieraan zijn verbonden zijn de afgelopen jaren ook behoorlijk geweest voor Nederlandse vennootschappen. Tevens komt het steeds vaker voor dat Nederlandse vennootschappen gebruik maken van externe specialisten voor de vastlegging en uitvoering van de testwerkzaamheden voor het toetsen van de effectieve werking van de interne beheersingsmaatregelen (Lizanne Schipper, 2008).

2.2 Bekende Amerikaanse en Europese boekhoudschandalen

Zoals in de vorige paragraaf is beschreven is SOx 404 in het leven geroepen nadat diverse boekhoudschandalen hebben plaatsgevonden in de Verenigde Staten bij onder andere Enron en Worldcom. Ook Europa is getroffen door boekhoudschandalen bij onder andere Parmalat en Ahold. Hieronder wordt kort aandacht geschonken aan deze vier in het oog springende boekhoudschandalen.

Enron

Enron bleek, in tegenstelling tot wat de bestuursleden beweerden, een schuldenlast van 20 miljard dollar te hebben. Bestuursleden bleken diverse dubieuze transacties in de financiële boekhouding te hebben verwerkt. Tevens werden claims en bezittingen buiten de financiële boekhouding gehouden. Deze claims en bezittingen werden ondergebracht bij de zogenaamde “special purpose entities”. Daarentegen werden winsten uit de verkoop van energiecentrales in de financiële boekhouding opgevoerd, terwijl die energiecentrales in werkelijkheid aan de dochters van Enron of aan Enron gelieerde vennootschappen waren doorverkocht (Kees van der Hoef, 2007).

WorldCom

WorldCom heeft in 2002 zijn financiële resultaten gemanipuleerd om aan de verwachtingen van de financiële markten te kunnen voldoen. De manipulaties met de cijfers kwamen bij een routinecontrole door interne accountants aan het licht. Het concern heeft kosten als investeringen verantwoord, waardoor het resultaat met 3,85 miljard dollar werd opgepoetst. De Securities Exchange Commission is kort na de bekendmaking van het boekhoudschandaal snel in actie gekomen om te voorkomen dat net als bij het Enron-schandaal de boekhouding in de papierversnipperaar zou verdwijnen (rtlz.nl).

Parmalat

Het boekhoudschandaal in 2003 bij de Italiaanse zuivelgigant Parmalat is een van de grootste uit de Europese geschiedenis. Parmalat kwam in de problemen toen de onderneming een obligatielening van 150 miljoen euro niet kon terugbetalen, terwijl Parmalat over 4,5 miljard euro aan liquide middelen leek te beschikken. In werkelijkheid was met de boeken geknoeid, waarbij een bedrag van 14,8 miljard euro was verdwenen (Kees van der Hoef, 2007).

Ahold

In februari 2003 kwam Ahold in ernstige problemen nadat geheime afspraken bleken te bestaan omtrent het ten onrechte consolideren van resultaten van dochterondernemingen in Zuid-Amerika en Scandinavië. Ahold heeft zogenaamde “side letters” betreffende de zeggenschap over samenwerkingsverbanden in Scandinavië en Zuid-Amerika voor de externe accountantsorganisatie Deloitte verzwegen, waardoor de deze accountantsorganisatie ten onterechte de jaarrekening heeft goedgekeurd. Tevens hebben managers van de Amerikaanse dochteronderneming US Foodservice met inkoopkortingen geknoeid, waardoor de winst over de boekjaren 2001 en 2002 ten minste 880 miljoen dollar te hoog werd gepresenteerd (Kees van der Hoef, 2007).

2.3 Artikel 302 en 404 van SOx

Het doel van SOx is het vertrouwen van de belanghebbenden van de vennootschappen die een beursnotering hebben in de Verenigde Staten te herstellen door:

het waarborgen van de kwaliteit en de transparantie van de financiële verslaggeving;

het verbeteren van een goed ondernemingsbestuur en het verbeteren van de betrouwbaarheid van de externe verslaggeving;

het opzetten van de Public Company Accounting Oversight Board (PCAOB);
het zich onafhankelijk opstellen van de openbare accountantsorganisaties;
het verbeteren van het toezicht op de financiële verslaggeving en

jaarrekeningcontrole door de Securities Exchange Commisssion (SEC).

SOx is onderverdeeld in diverse titels die weer verdeeld zijn in 11 artikelen die standaarden voor het financiële beheer beschrijven (Jim Emanuels, Oscar van Leeuwen en Philip Wallage, 2004). In dit onderzoeksrapport is binnen titel 4 artikel 404 van belang. Hierin staat beschreven dat elke vennootschap jaarlijks een “in-control” verklaring dient op te stellen. SOx 404 houdt in dat de leiding van de huishouding van Amerikaanse beursgenoteerde vennootschappen verantwoordelijkheid moet nemen voor een werkend en effectief interne beheersingssysteem en dat de leiding van de huishouding over de effectiviteit van het interne beheersingssysteem moet rapporteren in haar jaarverslag (O. Leeuwen, 2005). Vennootschappen die aan een Amerikaanse beurs genoteerd zijn en die wettelijk vereist zijn om artikel 404 toe te passen dienen tal van regels na te leven. De belangrijkste artikelen van SOx in het kader van dit onderzoek zijn artikel 302 en 404 (PCAOB, 2007):

Artikel 302 schrijft voor dat de leiding van een vennootschap periodiek over de effectiviteit van de interne controles/interne beheersing dient te rapporteren op twee niveaus, namelijk:

In dit onderzoeksrapport zal artikel 302 buiten beschouwing worden gelaten gezien het feit dat artikel 302 over interne controle in den brede gaat en artikel 404 beperkt is tot beheersing tot de jaarrekening.

Artikel 404 schrijft voor dat de leiding van de huishouding een rapport dient uit te brengen waarin:

• de verantwoordelijkheid van de leiding van de huishouding wordt vermeld voor het opzetten en in stand houden van een adequaat interne beheersingssysteem en procedures voor de financiële verslaggeving en

• een beoordeling aan het einde van het verslagjaar is opgenomen van de effectiviteit van het interne beheersingssysteem van de vennootschap voor de financiële verslaggeving.

Indien het interne beheersingssysteem van een vennootschap in relevante onderdelen niet effectief heeft gefunctioneerd dient de leiding van de huishouding te concluderen dat de vennootschap niet “in-control” is en dient de leiding van de huishouding aan te geven waar in het interne beheersingssysteem niet effectief heeft gewerkt. De Amerikaanse wetgever heeft een richtlijn uitgevaardigd waarin staat beschreven dat de opzet, bestaan en de werking door de leiding van de huishouding van een vennootschap geëvalueerd moeten worden. Vennootschappen dienen hiermee te waarborgen dat men op de hoogte is van de mate waarin de strategische en operationele doelstellingen van de vennootschappen worden gerealiseerd (PCAOB, 2007).

B. Beugelaar en C.J. Visch hebben in de Compact Magazine van 2005 een artikel geschreven over SOx 404. In dit artikel is beschreven dat een effectief interne beheersingssysteem de kans verkleint op:

menselijke fouten;
verkeerde beslissingen;

het doelbewust omzeilen van beheersingsmaatregelen door medewerkers en de leiding van de huishouding en

de nadelige gevolgen van onvoorziene omstandigheden.

2.4 Toezichthoudende organen van SOx

Zowel beursgenoteerde vennootschappen als openbaar accountants worden belast met toezicht. Zo wordt het toezicht op beursgenoteerde vennootschappen in Amerika gehouden door de SEC en wordt het toezicht op de openbaar accountants, welke beursgenoteerde vennootschappen in de Verenigde Staten controleren, gehouden door de PCAOB (PCAOB, 2007).

2.4.1 Public Company Accounting Oversight Board

De Public Company Accounting Oversight Board (hierna: PCAOB) heeft als doel het toezicht houden op de controlewerkzaamheden van de openbaar accountants. Indien een openbaar accountant zich niet aan de wet- en regelgeving houdt is de PCAOB gerechtigd de openbaar accountant te straffen. Het toezicht door de PCAOB wordt vooral uitgevoerd doordat de PCAOB specifieke eisen heeft gesteld aan de controlewerkzaamheden van de openbaar accountant. De openbaar accountant dient dus de verantwoording van de leiding van de huishouding te beoordelen en een eigen verklaring af te geven omtrent de effectiviteit van de interne beheersing ten aanzien van de financiële verslaggeving (PCAOB, 2007). De openbaar accountant dient zijn oordeel met adequate brondocumentatie te onderbouwen en dient duidelijk vast te leggen welke werkzaamheden zijn verricht om tot een oordeel te komen. In de bijlagen is een voorbeeld opgenomen van een “in-control” verklaring van een beursgenoteerde vennootschap (zie bijlage III) en een voorbeeld de openbaar accountant (zie bijlage IV) omtrent de effectiviteit van de interne beheersing van dezelfde vennootschap. Beide verklaringen zijn ontleend van een gepubliceerde jaarrekening. Opzettelijk is er voor gekozen om de vennootschap niet bekend te maken in het rapport.

2.4.2 Securities Exchange Commission

De SEC heeft naar aanleiding van SOx richtlijnen uitgevaardigd die ervoor zorgen dat iedere vennootschap SOx op dezelfde manier interpreteert en implementeert. In één van deze richtlijnen heeft de SEC vastgesteld dat vennootschappen een raamwerk van interne controlemaatregelen dienen te implementeren.

SEC noemt hierbij specifiek het COSO-framework. Het COSO-framework biedt een kwalitatief hoogwaardig stelsel aan maatregelen dat als basis kan dienen om aan de gestelde eisen te voldoen van de jaarlijkse interne controle evaluatie en de financiële verslaggeving te voldoen. Het COSO-framework is onderdeel van de eisen van de SOx en de aanvullende richtlijnen zoals uitgevaardigd door de SEC (www.sec.gov). Verder in het hoofdstuk zal inhoudelijk ingegaan worden op het COSO-framework.

2.5 Controlestandaarden van de PCAOB

Zoals reeds is beschreven houdt de PCAOB toezicht op de openbaar accountants. De PCAOB heeft een aantal controlestandaarden (Auditing Standards) voor de aanpak van een effectieve en efficiënte integrated audit (PCAOB, 2007). De belangrijke controlestandaarden van de PCAOB zijn:

Auditing Standard No. 2: An audit of internal control over financial reporting performed in conjunction with an audit of financial statements.

Auditing Standard No. 5: An audit of internal control over financial reporting that is integrated with an audit of financial statements.

Beide standaarden zullen hieronder in het kort worden beschreven.

2.5.1 Auditing Standard No. 2

In 2004 heeft de PCAOB de interpretatie van SOx 404 grotendeels vastgelegd in de Auditing Standard No. 2. In deze controlestandaard heeft de PCAOB uiteengezet op welke wijze een integrated audit door de openbaar accountant dient te worden uitgevoerd. De PCAOB stelt in Auditing Standard No. 2 dat de leiding van de huishouding van een vennootschap de beheersingsmaatregelen moet hebben geïmplementeerd en gedocumenteerd welke van toepassing zijn voor de relevante verklaringen van de significante posten en toelichtingen in de jaarrekening. Doordat er veel onduidelijkheden zijn opgemerkt in Auditing Standard No. 2 heeft deze interpretatie geleid tot extensieve controlewerkzaamheden en dus tot onnodige controlekosten (PCAOB, 2007).

2.5.2 Auditing Standard No. 5

In 2007 heeft de PCAOB Auditing Standard No. 5 gepresenteerd als de vervanger van Auditing Standard No. 2, omdat er veel was opgemerkt over de interpretatie van Auditing Standard No. 2. Enkele bezwaren waren dat de regelgeving rigide was, met onvoldoende focus op de werkelijke bedrijfsrisico’s en onvoldoende gebruik kon worden gemaakt van de controlewerkzaamheden van de leiding van de huishouding. De voordelen die Auditing Standard No. 5 biedt liggen op het vergroten van de efficiëntie van de controle. De belangrijkste verandering is dat de Auditing Standard No. 5 een veel duidelijker richtlijn is en inhoudelijk minder dan de helft aan richtlijnen telt ten opzichte van Auditing Standard No. 2 (PCAOB, 2007).

2.6 Interne beheersing volgens COSO II (ERMF)

Na de boekhoudschandalen is veel aandacht gekomen voor de interne beheersing. Een goede interne beheersingssysteem helpt vennootschappen bij het bereiken van hun doelstellingen. In dit onderzoeksrapport is het begrip interne beheersing diverse keren naar voren gekomen. Wat houdt interne beheersing nu precies in? In de literatuur zijn in de afgelopen jaren diverse definities beschreven van de interne beheersing. In 1992 publiceerde “The Committee of Sponsoring Organizations of the Treadway Commission” het COSO-framework. In 2004 is het COSO-framework verbeterd en spreekt veel nadrukkelijker vanuit het perspectief van het managen van interne beheersingsrisico’s.

Het verbeterde COSO-framework staat bekend als COSO ll of Enterprise Risk Management Framework (ERMF). Het ERMF definieert interne beheersing als volgt:

“Enterprise risk management is a process, effected by an entitiy’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”

Volgens het ERMF-framework bestaat interne controle uit acht met elkaar verband houdende componenten die hieronder in het kort worden beschreven:

Internal environment – In deze component gaat het om de ‘risk appetite’ vast te stellen en een ‘risk culture’ te bouwen die mensen in staat stelt in de dagelijkse bedrijfsvoering de juiste beslissingen te nemen. Integriteit, cultuur en normen en waarden komen hierin aan bod als bouwsteen voor een goed risk management;

Objective Setting – Het rapport gaat ervan uit dat het gaat om het creëren van waarde en daartoe is het van belang bij het bepalen van de doelstellingen ook de bijbehorende risico’s in kaart te brengen en de optimale doelen te kiezen;

Event Identification – Hierin wordt aandacht gegeven aan de onzekerheden die er zijn en het identificeren van de mogelijke gebeurtenissen die een positieve dan wel negatieve invloed op de realisatie van de doelen zouden kunnen hebben. Het bepalen van de mate van risicotolerantie dient hier te geschieden;

Risk assessment – Deze component bestaat ook in het oorspronkelijke model en gaat in op de kans en de impact die gebeurtenissen kunnen hebben;

Risk response – Deze component is een afzonderlijke component waarin ingegaan wordt op de vraag welke respons welke invloed heeft op de kans en impact van de risico’s die in de vorige component zijn geïnventariseerd;

Control activities is als volgt omschreven; “Control activities are the policies and procedures that help ensure risk responses are properly executed” en zijn daarmee bedoeld om de in de vorige categorie bedachte responses te laten werken door middel van interne beheersingsmaatregelen;

Information and communication – Deze component gaat over het identificeren, verzamelen en verwerken van relevante informatie ten behoeve van de besturing van de organisatie. Communicatie is vooral gericht op de wijze waarop binnen de organisatie wordt gecommuniceerd en hoe met de buitenwereld wordt gecommuniceerd;

Monitoring – Monitoring is het proces waarin periodiek wordt geëvalueerd of de interne beheersingsmaatregelen nog effectief zijn en of deze nog werken. Het monitoren van de interne controlemaatregelen is noodzakelijk omdat deze door verschillende omstandigheden kunnen wijzigen. Monitoring zorgt ervoor dat de interne beheersingsmaatregelen effectief blijven opereren.

Verder bestaat het ERMF-model uit vier categorieën doelen:
Strategisch;

Operationeel;
Reporting en;

Compliance (naleving van wet- en regelgeving)

Bovengeformuleerde theoretische basis van ERMF is ontleend aan een publicatie van Leen Paape, 2004. De definitie van interne beheersing en de acht interne beheersingscomponenten vormen samen het interne beheersingssysteem van een onderneming. De relatie tussen de acht interne beheersingscomponenten, de vier categorieën doelstellingen en de onderdelen van een onderneming resulteren in het volgende figuur.

2.7 Verplichte vennootschappen voor het toepassen van SOx 404

SOx 404 geldt voor alle vennootschappen die een beursnotering in de Verenigde Staten hebben. Daarnaast is SOx 404 ook van toepassing op bepaalde vennootschappen die geen notering in de Verenigde Staten hebben. Het gaat om alle vennootschappen met een activa ter waarde van 10 miljoen dollar of meer en die ten minste driehonderd verschillende aandeelhouders in de Verenigde Staten hebben en vijfhonderd wereldwijd. Het bewust niet naleven van SOx 404 kan tot diverse sancties leiden voor de vennootschappen. De sancties lopen op van geldboetes (maximaal 5 miljoen euro), persoonlijke vervolging van de CEO en CFO tot een gevangenisstraf van maximaal 20 jaar (R.M. Renese, 2004).

2.8 Rapporteringvereisten van SOx 404

Zoals eerder is beschreven vereist SOx 404 van zowel de leiding van de huishouding als van de openbaar accountant in het jaarrapport een “in-control” verklaring op te nemen over de evaluatie van de effectiviteit van het interne beheersingssysteem van de financiële verslaggeving. De vennootschap moet ook aangeven welk raamwerk en normenkader zij heeft gehanteerd bij de evaluatie van het interne beheersingssysteem. De PCAOB stelt volgens haar standaard dat de leiding van de huishouding zeker onderstaande punten dient op te nemen in het jaarverslag:

De leiding van de huishouding van de vennootschap dient te verklaren dat zij verantwoordelijk is voor het opzetten en onderhouden van een adequaat interne beheersingssysteem gericht op de financiële verslaggeving;

het door de leiding van de huishouding gehanteerde interne beheersingssysteem raamwerk/normenkader voor het uitvoeren van de beoordeling van de effectiviteit van het interne beheersingssysteem van de financiële verslaggeving;

de leiding van de huishouding van de vennootschap dient een beoordeling te geven van de effectiviteit van de interne beheersingsmaatregelen van de financiële verslaggeving aan einde van het verslagjaar inclusief een verklaring dat de interne beheersingsmaatregelen wel of niet effectief hebben gewerkt;

de leiding van de huishouding dient te verklaren dat de openbaar accountant die de jaarrekening heeft gecontroleerd een oordeel heeft afgegeven over de effectiviteit van de interne beheersing ten aanzien van de financiële verslaggeving.

2.9 Integrated audit

Om antwoord te kunnen geven op de onderzoeksvragen is de literatuur bestudeerd inzake het uitvoeren van een integrated audit. In deze paragraaf wordt de definitie, het doel en de vier fasen van een integrated audit beschreven.

2.9.1 De definitie van integrated audit

Het begrip integrated audit, in het kader van SOx 404, gaat uit van de samenwerking van verschillende disciplines binnen een controleopdracht of de combinatie van verschillende controlevormen. Een voorbeeld van een samenwerking van verschillende disciplines is de samenwerking tussen een openbaar accountant en de interne audit dienst van een vennootschap of de samenwerking tussen de openbaar accountant en een IT-auditor. SOx 404 vraagt van de leiding van de huishouding en de openbaar accountant een onderzoek naar de effectiviteit van de interne beheersingsmaatregelen in de financiële verslaggeving. De controle van interne beheersingsmaatregelen kan niet los worden gezien van de reguliere accountantscontrole van de jaarrekening. Naar aanleiding van SOx 404 dient een openbaar accountant zowel de reguliere accountantscontrole als een controle op de interne beheersingsmaatregelen uit te voeren. De combinatie van beide controles wordt de integrated audit genoemd. Een verplicht onderdeel van een integrated audit is onderzoek te verrichten naar de opzet, het bestaan en de werking van de interne beheersingsmaatregelen (B. Beugelaar/ C.J. Visch, 2005).

2.9.2 Het doel van een integrated audit

Het doel van een reguliere accountantscontrole is het kunnen afgeven van een accountantsverklaring omtrent de financiële informatie in het jaarverslag. Deze informatie moet deugdelijk zijn weergegeven en rechtmatig tot stand gekomen. Om dit vast te kunnen stellen voert een openbaar accountant een accountantscontrole uit op deze financiële informatie. Een reguliere accountantscontrole is zowel gegevens- als systeemgericht. De gegevensgerichte werkzaamheden richt zich vooral op de in de jaarrekening opgenomen gegevens. In de loop der jaren is het besef gegroeid dat beide controles meer met elkaar in verband gelegd moeten worden. Het doel van een integrated audit is het realiseren van hetzelfde doel als een regulier accountantscontrole tegen minimale controlekosten door de reguliere accountantscontrole als de controle op de interne beheersingsmaatregelen te combineren (NIVRA, 2005).

2.9.3 De vier fasen van een integrated audit

De fasen van een integrated audit zijn in hoofdlijnen gelijk aan de fasen van een reguliere accountantscontrole. De PCAOB schrijft in haar richtlijnen voor dat de leiding van de huishouding van de vennootschap voldoende brondocumentatie beschikbaar moet hebben om de beoordeling van de effectiviteit van de interne beheersingsmaatregelen van de financiële verslaggeving te kunnen onderbouwen. De PCAOB stelt in haar richtlijnen voor dat de (interne) medewerkers die betrokken zijn bij het uitvoeren van een integrated audit de belangrijkste geraadpleegde documentatie ter onderbouwing dienen te bewaren. De openbaar accountant zal op zijn beurt een “reperformance” uitvoeren op de verrichte controlewerkzaamheden van de leiding van de huishouding. Aan de hand hiervan zal de openbaar accountant een oordeel geven over de evaluatie die de leiding van de huishouding heeft uitgevoerd. Binnen de controlewerkzaamheden stelt de PCAOB de volgende vier fasen voor die de openbaar accountant dient uit te voeren bij een integrated audit:

Fase 1: Planning, reikwijdte en risicoanalyse opstellen van de controlewerkzaamheden Fase 2: Werkprogramma & uitvoeren en evalueren van de effectiviteit

Fase 3: Uitvoering van gegevensgerichte werkzaamheden Fase 4: Concluderen en evalueren van testresultaten

Hieronder wordt nadere toelichting gegeven per fase. Deze toelichting is ontleend aan een publicatie van B. Beugelaar en C.J. Visch, 2005.

Fase 1: Plannen van de controle en risicoanalyse

De integrated audit begint net als een reguliere accountantscontrole met de planning van de controle. Tijdens deze fase evalueert de openbaar accountant een aantal zaken voor de opzet van de controle. In deze fase dient de openbaar accountant vanuit de jaarrekening op basis van de geïdentificeerde materiële posten de significante processtappen, bedrijfsrisico’s en interne beheersingsmaatregelen te identificeren die deze posten voeden. Een belangrijk onderdeel van de planningsfase is het vaststellen van de reikwijdte. De openbaar accountant dient rekening te houden dat voldoende dekking wordt behaald bij de selectie van de geïdentificeerde materiële posten door het selecteren van de belangrijke processen.

Fase 2: Werkprogramma & uitvoeren en evalueren van de effectiviteit

De tweede fase van een integrated audit heeft betrekking op het werkprogramma voor de controle. Nadat alle significante processtappen, bedrijfsrisico’s en interne beheersingsmaatregelen met een financiële impact zijn geïdentificeerd dient de openbaar accountant een werkprogramma op te stellen. In tegenstelling tot de eerste fase is deze fase

De werkzaamheden in deze fase zijn tweeledig. Enerzijds dient de openbaar accountant kennis te nemen van de testresultaten van door de leiding van de huishouding verrichte werkzaamheden en anderzijds eigen werkzaamheden uit te voeren.

In een werkprogramma zal vastgelegd worden in hoeverre de integrated audit systeemgericht of gegevensgericht gecontroleerd zal worden. Om de controle doelgericht uit te voeren zal de openbaar accountant vooraf moeten nagaan op welke wijze de controle uitgevoerd zal worden. De aard en omvang van een vennootschap zijn mede bepalend voor het inrichten van een werkprogramma. In het werkprogramma is onder andere een gedetailleerd urenoverzicht opgenomen. In dit overzicht wordt per controleonderdeel aangegeven wie van het controleteam, welke werkzaamheden zal uitvoeren en hoeveel tijd men daarvoor heeft.

Bij de uitvoering en evaluatie van de effectiviteit dient de openbaar accountant te toetsen of de leiding van de huishouding rekening heeft gehouden met alle significante beheersingsmaatregelen, of de achterliggende stukken van voldoende materiaal zijn om het oordeel van de leiding van de huishouding te onderbouwen, of de verrichte controlewerkzaamheden op de opzet, bestaan en werking voldoende zijn onderbouwd, of de relevante bevindingen juist door de leiding van de huishouding zijn geconstateerd en hoe de leiding van de huishouding hiermee is omgegaan.

Bij de uitvoering van bovenstaande werkzaamheden dient de openbaar accountant zoveel mogelijk gebruik te maken van de reeds uitgevoerde werkzaamheden, door bijvoorbeeld de financiële functionarissen of de interne audit dienst. De mate waarin gebruik kan worden gemaakt van de werkzaamheden van anderen wordt bepaald door de onafhankelijkheid en deskundigheid van deze personen.

Fase 3: Uitvoering van gegevensgerichte werkzaamheden

Deze fase wordt specifiek uitgevoerd ten behoeve van de accountantscontrole. Deze fase betreft het plannen en uitvoeren van gegevensgerichte werkzaamheden. Gegevensgerichte werkzaamheden zijn de werkzaamheden die worden uitgevoerd om tekortkomingen en onjuistheden van materieel belang in de jaarrekening te ontdekken. De aard, omvang en tijdstip van het uitvoeren van gegevensgerichte werkzaamheden vloeien voort uit de uitkomsten van de systeemgerichte werkzaamheden.

Als het interne beheersingssysteem niet effectief is in opzet of werking kunnen additionele gegevensgerichte werkzaamheden nodig zijn om toereikend controlebewijs in het kader van de jaarrekeningcontrole te verzamelen. Voor SOx 404 geldt dat de onderneming tot het einde van het jaar de mogelijkheid heeft om ervoor te zorgen dat het interne beheersingssysteem effectief werkt. Deze fase zal daarom altijd door de openbaar

Ook als het interne beheersingssysteem wel effectief bevonden is zullen beperkte gegevensgerichte werkzaamheden worden uitgevoerd. Indien de openbaar accountant risico’s identificeert die aanwijzingen geven in de richting van materiële tekortkomingen zal de openbaar accountant op dit onderdeel extra gegevensgerichte controle uitvoeren. Daarnaast richten gegevensgerichte werkzaamheden zich met name op de niet routinematige processen.

Fase 4: Concluderen en evalueren van testresultaten

Als sluitstuk van de integrated audit dient de openbaar accountant tot een conclusie te komen. De conclusie wordt opgebouwd door de geconstateerde tekortkomingen. De weging van de tekortkomingen dient aan het einde van het verslagjaar gemaakt te worden.

Een belangrijk verschil tussen de integrated audit en de reguliere accountantscontrole is de periode van effectieve werking. De werkzaamheden die uitgevoerd worden bij een jaarrekeningcontrole worden zodanig uitgevoerd dat de openbaar accountant zekerheid verkrijgt omtrent de doorlopende werking van de maatregelen gedurende het verslagjaar. In het kader van een integrated audit, indien SOx 404 van toepassing, is het vaststellen van de werking op het einde van het verslagjaar. Tekortkomingen die geconstateerd worden door de leiding van de huishouding en/of de openbaar accountant gedurende het verslagjaar kunnen mogelijk nog aangepast worden en zullen dus geen invloed hebben op de uiteindelijke “in-control” verklaring inzake het interne beheersingsysteem.

Ondernemingen kunnen het hele jaar “out-of-control” zijn indien tekortkomingen in het interne beheersingssysteem zijn geconstateerd gedurende het verslagjaar. Indien de leiding van de huishouding op de laatste dag van het verslagjaar alle tekortkomingen heeft opgevolgd en gecorrigeerd in het interne beheersingssysteem kan de onderneming alsnog “in-control” zijn. Alle geconstateerde tekortkomingen dienen door de leiding van de huishouding en door de openbaar accountant beoordeeld te worden op hun ernst. Alle significante tekortkomingen en 'material weaknesses' moeten door de openbaar accountant gerapporteerd worden aan de leiding van de huishouding als en aan het Audit Committee.

2.10 Conclusie literatuuronderzoek

SOx 404 is door de SEC in het leven geroepen als reactie op de grote boekhoudschandalen in de Verenigde Staten om het vertrouwen van de belanghebbenden in het bestuur van de organisatie te herstellen. SOx 404 is een Amerikaanse wet die verplicht is voor alle

vennootschappen die een beursnotering hebben in de Verenigde Staten. Zowel

beursgenoteerde vennootschappen als openbaar accountants worden steeds meer belast met toezicht. Zo wordt het toezicht op beursgenoteerde vennootschappen in de Verenigde Staten gehouden door de SEC en wordt het toezicht op de openbaar accountants gehouden door de PCAOB. De interpretaties en uitwerking van SOx 404 voor de openbaar accountant zijn door de PCAOB en de SEC beschreven in de Auditing Standard No. 2 en No. 5.

Binnen de controlewerkzaamheden stelt de PCAOB vier fasen voor die de openbaar

accountant dient uit te voeren bij een integrated audit. Deze vier fasen zijn nader toegelicht in paragraaf 2.9.

Na de boekhoudschandalen is veel aandacht gekomen voor de interne beheersing van een organisatie. SOx 404 heeft tot doel de interne beheersing van financiële verslaggeving te verbeteren en vraagt van de leiding van de huishouding en de openbaar accountant om naast de reguliere accountantscontrole op jaarlijkse basis een onderzoek uit te voeren naar de effectiviteit van de interne beheersingsmaatregelen in de financiële verslaggeving. De combinatie van beide controles wordt de integrated audit genoemd. Het doel van een integrated audit is het kunnen afgeven van een accountantsverklaring omtrent de financiële verslaggeving tegen minimale controlekosten. Volgens verschillende publicaties en artikelen heeft de implementatie van SOx 404 voor veel beursgenoteerde vennootschappen geleid tot hoge controlekosten waardoor beursgenoteerde bedrijven de overweging maken om zich terug te trekken van de Amerikaanse beurs.

Naar aanleiding van het literatuuronderzoek zijn geen verrassende materialen

geïdentificeerd die de problematiek van dit onderzoeksrapport verder kunnen analyseren. Echter is het literatuuronderzoek een goede sturing/ aanknoping voor het praktijkonderzoek voor verdere analyse van het probleem. Voor het praktijkonderzoek is gebruik gemaakt van interviewvragen. Deze interviewvragen zijn naar aanleiding van het literatuuronderzoek zodanig ingestoken dat de antwoorden van de geformuleerde onderzoeksvragen voldoende onderbouwd zullen worden.

3. Onderzoeksmethode

Om antwoord te kunnen geven op de centrale vraagstelling en de onderzoeksvragen is op basis van het literatuuronderzoek een praktijkonderzoek verricht. In dit hoofdstuk wordt de structuur (de opzet en de uitvoering) van de onderzoeksmethode beschreven. Tevens wordt beschreven waarom voor deze onderzoeksopzet en uitvoering is gekozen boven de anderen onderzoeksmethodes.

3.1 Reeds uitgevoerde onderzoeken

In de afgelopen jaren zijn diverse wetenschappelijke onderzoeken en studies gedaan door studenten, docenten, wetenschappers, onderzoekers, instituten etc. naar het interne beheersingssysteem op het gebied van SOx 404. Ondank de reeds uitgevoerde onderzoeken is naar mijn mening echter nog geen duidelijk en kritisch onderzoek uitgevoerd naar hoe een adequate samenwerking tussen de openbaar accountant en de leiding van de huishouding kan leiden tot reductie van de controlekosten. De resultaten van de reeds uitgevoerde onderzoeken zijn daarom ook geen basis voor dit onderzoeksrapport en zijn daardoor ook buiten beschouwing gelaten.

3.2 Gegevensverzameling

In deze paragraaf worden de stappen beschreven die zijn doorlopen bij het uitvoeren van dit praktijkonderzoek. De onderzoeksopzet is gebruikt om het onderzoek zodanig in te steken dat de resultaten van het onderzoek adequaat antwoord geven op de geformuleerde onderzoeksvragen. De benodigde informatie is verzameld door middel van een literatuurstudie (zie hoofdstuk 2) en door middel van interviews met ervaren openbaar accountants op het gebied van SOx 404. De reden waarom voor deze onderzoeksmethode is gekozen is ontstaan doordat naar mijn mening ieder openbare accountantsorganisatie zijn eigen manier van controleren heeft. Deze veronderstelling is tot stand gekomen naar aanleiding van gesprekken die ik heb gevoerd met vrienden, studiegenoten en collega’s die werkzaam zijn bij verschillende openbare accountantsorganisaties. De inhoudelijke controlewerkzaamheden komen uiteindelijk allen met elkaar overeen, echter de manier waarop deze controlewerkzaamheden worden uitgevoerd kan nog wel eens verschillen. Ook is voor deze onderzoeksmethode van gegevensverzameling gekozen omdat het van belang is om een conversatie aan te gaan en zoveel mogelijk door te vragen om zoveel mogelijk interessante informatie te vergaren van de respondenten. Tevens kan ik op deze manier met de respondenten mijn praktijkervaringen delen. In eerste instantie had ik mij voorgenomen om mijn praktijkonderzoek uit te voeren aan de hand van enquêtes die ik naar diverse openbare accountantsorganisaties heb gemaild. Door het beperkt aantal reacties hierop heb ik besloten om mijn enquête om te zetten naar een interview met open vragen. Verder in dit

3.3 Doelgroep en selectiecriteria

Om het praktijkonderzoek tot een inhoudelijk en diepgaand onderzoek te leiden is ervoor gekozen om de onderzoeksvragen te beperken tot ervaren openbaar accountants op het gebied van SOx 404 die werkzaam zijn voor één van de vier grootste openbare accountantsorganisaties in Nederland. In de volgende twee subparagrafen is beschreven waarom gekozen is voor de vier grootste openbare accountantsorganisaties en welk doelgroep is geïnterviewd voor het beantwoorden van de centrale vraagstelling.

3.3.1 Accountantsorganisaties

De voornaamste reden waarom gekozen is voor de vier grootste openbare accountantsorganisaties komt met name door het feit dat de meeste AEX beursgenoteerde vennootschappen gecontroleerd worden door één van de vier grootste openbare accountantsorganisaties. De Amsterdamse Exchange Index (AEX) is de belangrijkste Nederlandse beursindex. De AEX geeft het beeld weer van de koersontwikkeling van de 25 meest verhandelde Nederlandse vennootschappen op de Amsterdamse effectenbeurs. Voor een overzicht van de 25 meest verhandelde Nederlandse vennootschappen per 28 augustus 2009 wordt verwezen naar bijlage II. Van deze 25 Nederlandse vennootschappen hebben 9 een notering aan de New York Stock Exchange (NYSE) in de Verenigde Staten. De externe verslaggeving van deze vennootschappen dient dus te voldoen aan de Amerikaanse wet- en regelgeving. Dit betekent dus dat deze vennootschappen de geconsolideerde jaarrekening dienen op te stellen volgens de Nederlandse en Amerikaanse algemeen aanvaardbare grondslagen. De hierna volgende tabel geeft de 9 Nederlandse vennootschappen weer welke een notering hebben aan de NYSE in de Verenigde Staten.

Tabel 1: Nederlandse vennootschappen op de AEX en beursgenoteerd in de Verenigde Staten

Nederlandse vennootschappen Accountantsorganisatie

1. Aegon N.V. Ernst & Young LLP

2. Koninklijke Ahold N.V. Deloitte Accountants B.V.

3. Akzo Nobel N.V. KPMG Accountants N.V.

4. ASML Holding N.V. Deloitte Accountants B.V.

5. ING Groep N.V. Ernst & Young LLP

6. Koninklijke Philips Electronics N.V. KPMG Accountants N.V.

7. Reed Elsevier N.V. Deloitte Accountants B.V.

8. TNT N.V. PwC Accountants N.V.

Tevens hebben enkele Nederlandse vennootschappen een notering aan de NYSE welk niet op de AEX index zijn opgenomen per 28 augustus 2009, deze volgen hieronder:

Tabel 2: Nederlandse vennootschappen niet op de AEX maar wel beursgenoteerd in de Verenigde Staten

De bovengenoemde vennootschappen met een Amerikaanse beursnotering zijn verplicht te voldoen aan de vereisten van SOx 404. Van deze beursgenoteerde vennootschappen is het jaarverslag van 2008 opgevraagd. De reden waarom voor de jaarverslagen van 2008 is gekozen komt met name door het feit dat dit de meest recente jaarverslagen zijn en verondersteld mag worden dat hierdoor de controle op deze jaarverslagen nog vers in het geheugen zit bij de meeste respondenten. Van de opgevraagde jaarverslagen is afgeleid wie de eindverantwoordelijke openbaar accountant (hierna: partner) is. In de volgende paragraaf wordt inhoudelijk hierop ingegaan.

3.3.2 Respondenten

In totaal zijn 15 openbaar accountants telefonisch benaderd om deel te nemen aan het onderzoek. Op basis van de jaarverslagen is contact gelegd met deze partners. Gezien het feit dat enkele partners telefonisch niet bereikbaar waren heb ik getracht om via het centrale telefoonnummer een ander lid van het controleteam te benaderen. Uiteindelijk hebben zes respondenten positief gereageerd op dit verzoek. De zes respondenten die aan dit onderzoek hebben meegedaan maken deel uit van twee openbare accountantsorganisaties. Alle zes de respondenten hebben enige jaren praktijkervaring op het gebied van SOx 404. Telefonisch heb ik de openbaar accountants het doel van dit onderzoek voorgelegd en heb ik aangegeven dat ik voor dit onderzoek enkele gesprekken wil voeren om antwoord te kunnen geven op de centrale vraagstelling. Met deze respondenten zijn telefonisch afspraken gemaakt voor het houden van de interviews. Voor het onderzoek is geprefereerd om manager en controleleiders te spreken aangezien men kan veronderstellen dat deze twee lagen nauw betrokken zijn bij de integrated audit en meer aanwezig zijn in het veld. Managers binnen een controleteam worden verantwoordelijk gesteld voor de integrated audit en voor het onderhouden van de contacten met de leiding

Nederlandse vennootschappen Accountantsorganisatie

1. Arcadis N.V. KPMG Accountants N.V.

2. ASM International N.V. Deloitte Accountants B.V.

3. BE Semiconductor Industries N.V. Ernst & Young LLP

4. Crucell N.V. Deloitte Accountants B.V.

5. Océ N.V. PwC Accountants N.V.

De respondenten die hebben deelgenomen aan dit onderzoek zullen niet bekend worden gemaakt in dit onderzoeksrapport aangezien daar tijdens de interviews geen toestemming is gekregen en/of in enkele gevallen gevraagd.

De overige negen openbaar accountants hebben toegezegd niet mee te willen werken aan dit onderzoek. Deze openbaar accountants hebben bijna allemaal als reden aangegeven dat de onderzoeksperiode niet helemaal gelegen komt in verband met de vakantieperiode. Vanwege de vakantieperiode is het niet gemakkelijk geweest om contact te leggen met de respondenten en afspraken te maken voor een interview. Van deze negen openbaar accountants hebben twee aangegeven niet aan het onderzoek deel te kunnen nemen in verband met kostenbesparingen van de accountantsorganisatie. Door deze kostenbesparingen dienen de openbaar accountants alleen nog maar directe uren te schrijven waardoor geen tijd vrij gemaakt kan worden voor dit onderzoek. In de volgende paragraaf zal verder ingegaan worden op de afgenomen interviews.

Naar mijn mening zijn de zes afgenomen interviews van voldoende aard om antwoord te kunnen geven op de door mij geformuleerde onderzoeksvragen. De resultaten van de zes respondenten hebben veel overeenkomsten met elkaar waardoor de kans redelijk groot is dat een additioneel respondent dezelfde overeenkomsten zal hebben.

3.4 Interviews

Het doel van een interview is inzicht te krijgen in de ervaringen van de verschillende respondenten in het kader van integrated audits. Alvorens de interviews zijn afgenomen is eerst onderzoek gedaan naar de SOX 404 wetgeving, de literatuur naar aanleiding van de invoering van de SOx 404 wetgeving en de algemene literatuur rondom de interne beheersing. Voordat de respondenten door mij zijn benaderd is door middel van bovenstaande literatuurstudie een vragenlijst opgesteld. Deze vragenlijst is als rode draad gebruikt voor de interviews. Echter is aan het einde van de interviews gekeken of alle belangrijke vragen zijn gesteld en of er geen belangrijke vragen over het hoofd zijn gezien. De vragenlijst bestaat uit 17 vragen en is terug te vinden in bijlage I. Deze vragen zijn ingedeeld op basis van de eerder beschreven fasen van een integrated audit, te weten:

Fase 1: Planning, reikwijdte en risico analyse opstellen van de controlewerkzaamheden Fase 2: Werkprogramma & uitvoeren en evalueren van de effectiviteit

Fase 3: Uitvoering van gegevensgerichte werkzaamheden Fase 4: Concluderen en evalueren van testresultaten

Vragen 1 t/m 4 gaan over de planningsfase, vragen 5 t/m 7 over het werkprogramma, vragen 8 t/m 11 over gegevensgerichte werkzaamheden en vragen 12 t/m 17 over het evalueren en concluderen van de testresultaten.

Om te voorkomen dat er veel tijd verloren zou gaan is er is bewust voor gekozen om de interviews telefonisch af te nemen. Een voordeel hiervan is dat het relatief weinig tijd vergt voor zowel de respondenten als voor mij. De respondenten zijn erg enthousiast en positief over het onderzoek. De gesprekken hebben per interview een half uur tot een uur geduurd wat naar mijn mening voldoende is om relevante informatie te vergaren. Uitgezonderd op bovenstaande hebben enkele interviews niet telefonisch plaatsgevonden maar wel op afspraak.

De resultaten van de interviews vormen samen met de resultaten van het literatuuronderzoek antwoord op de geformuleerde onderzoeksvragen. In het volgende hoofdstuk worden de belangrijkste resultaten van het praktijkonderzoek beschreven en wordt in hoofdstuk vijf antwoord gegeven op de geformuleerde onderzoeksvragen.