Opinie 01 april 2014

Nieuwe controleverklaring kan stringenter en doelmatiger

Wat moet er in een controleverklaring? Hoe komt men er eigenlijk bij om de 'key audit matters' in een controleverklaring te willen opnemen?

Het lijkt erop dat de verklaring 'nieuwe stijl' mede het karakter krijgt van een verantwoordingsstuk van de accountant tegenover de gebruikers: ik accountant heb mijn controle goed uitgevoerd, kijk maar, dit heb ik allemaal gedaan.

Als het doel van de controleverklaring is om het vertrouwen van de gebruiker in de verantwoording te vergroten, dan is het vertrouwen van de gebruiker in de accountant een relevante factor. Het vergroten van dat vertrouwen, zo blijkt bijvoorbeeld uit de opinie van Geert Koster (Vereniging van Effectenbezitters, VEB) op deze site, is inderdaad hard nodig.

Maar als ik de verklaring ‘nieuwe stijl' bekijk als een verantwoordingsstuk van de accountant, dan is het opnemen van enkele kernpunten uit de controle, zoals leveranciersbonussen, goodwillwaardering, automatisering en continuïteit (Sligro) toch niet voldoende? Immers, de lezer zou informatie willen aantreffen die aantoont dat hij terecht zijn beslissingen neemt, in zoverre die zijn gebaseerd op de zekerheid die hij ontleent aan de controleverklaring. Een toereikend verantwoordingsstuk van de accountant zou daarom tenminste moeten omvatten:

• De materialiteit waarmee gecontroleerd is
• De significante risico's
• De uitgevoerde werkzaamheden en de uitkomsten daarvan

Zie de brieven van Eumedion en de VEB van respectievelijk oktober 2013 en januari 2014. Gezien de gebeurtenissen die aanleiding zijn geweest voor de nieuwe verklaring, voegt VEB aan dit 'verlanglijstje' nog het onderwerp continuïteit toe. Mij dunkt dat om zelfde reden het onderwerp fraude zonder meer aan het lijstje verplichte onderwerpen zou moeten worden toegevoegd.

Nu zou men kunnen beweren dat het niet nodig is om de materialiteit te expliciteren, wanneer het gaat om een controleopdracht uitgevoerd in overeenstemming met de geldende standaarden. We gaan er dan impliciet van uit dat de lezer weet welke mate van betrouwbaarheid de accountant nastreeft in zijn controleverklaring. Eerlijk gezegd zou ik dat aanvaardbaar vinden, tenzij bijzondere materialiteitsoverwegingen zouden gelden voor (delen van) de verantwoording.

De significante risico's zijn van belang omdat zij richtinggevend zijn voor de controle, en wel in die mate dat de keuze van controlemiddelen niet goed is te begrijpen als men de risicoanalyse niet kent. Bovendien is de risicoanalyse subjectief van aard: het kan goed zijn dat achteraf blijkt dat de accountant een risico heeft gemist, en het is daarom voor de gebruiker van belang om dit te weten. Mocht de lezer het frauderisico missen in de controleverklaring, dan is hij gewaarschuwd.

Nu wordt er in de voorliggende ontwerprichtlijn op gewezen, dat de accountant in zijn verklaring geen nieuwe informatie zou moeten toevoegen aan hetgeen in de verantwoording reeds is vermeld is, en dat hij zou moeten vermijden een oordeel te geven over afzonderlijke posten.

Het zal om deze reden zijn dat de accountant van Sligro er voor heeft gekozen om niet de uitkomsten van zijn werkzaamheden te beschrijven, maar te volstaan met de simpele mededeling dat de uitgevoerde werkzaamheden niet hebben geleid tot een aanpassing van zijn oordeel over de verantwoording als geheel.

Het is aan de lezer om te concluderen dat  de onderkende significante risico's tot een aanvaardbaar laag niveau zijn teruggebracht. Ik zou er echter geen probleem in zien om deze conclusie ook expliciet te trekken.

Het zwakke punt in de nieuwe standaard lijkt mij het eclectische karakter van het geheel. De selectie van 'key audit matters' lijkt niet noodzakelijkerwijs alle significante risico's te omvatten en de standaard laat het aan de accountant over in hoeverre hij de door hem uitgevoerde controlewerkzaamheden wil beschrijven.

Wil men de lezer vaste grond onder de voeten geven, en hem niet het bos insturen met een willekeurige bloemlezing van discussieonderwerpen met directie en commissarissen, dan lijkt mij een stringentere benadering doelmatiger: een beschrijving van alle significante risico's en een samenvatting van de controlewerkzaamheden die hebben geleid tot het mitigeren daarvan.