Opinie 24 september 2015

Betrouwbaarheid lijstwerk

'Betrouwbaarheid lijstwerk' dat is een kreet die ik regelmatig hoor, vooral in combinatie met ontoereikende IT-general controls en dan met name functiescheiding. Maar ik snap niet zo goed wat daarmee nu eigenlijk wordt bedoeld. Hier een poging tot verheldering.

Bij lijstwerk denk ik bijvoorbeeld aan een debiteurensaldolijst. Laat ik die als voorbeeld nemen. Een debiteurensaldolijst heb je nodig als je de post debiteuren wilt controleren op bestaan en waardering. Het is een lijst die wordt gegenereerd uit het geautomatiseerde administratieve systeem van de klant. Hoe weet je of die lijst betrouwbaar is? Mijn stelling: dat weet je niet en hoef je ook niet te weten voordat je gaat controleren. Dat is toch juist de truc van controle: dat je gaat controleren of die lijst betrouwbaar is en aansluit met de post debiteuren in de jaarrekening?

Kun je bestaan en waardering debiteuren controleren door de debiteurenlijst per balansdatum te vergelijken met de debiteurensaldolijst van zeg twee maanden daarna? En daaruit concluderen dat de debiteurenposten die niet meer op de tweede lijst voorkomen kennelijk zijn afgelopen en daarmee bestaan hebben en juist zijn gewaardeerd? Nee, dat kan niet. Je kan geen twee lijsten uit het systeem met elkaar vergelijken en dan concluderen dat de lijst op balansdatum betrouwbaar is. Alleen in de wiskunde is min maal min plus, niet in de accountancy.

De vraag is vervolgens: hoe doe je dat dan wel en hoe belangrijk zijn de IT-general controls daarbij? Is de lijst betrouwbaar als uit de competentietabel blijkt dat alleen bevoegde personen zijn geautoriseerd om te muteren in de debiteurenadministratie? Nee, dat lijkt me niet. Of als de autorisatie niet waterdicht is geregeld in het systeem en je met behulp van logging hebt kunnen vaststellen dat alleen bevoegde medewerkers daadwerkelijk mutaties hebben aangebracht? Nee, dan ook niet.

Waarom niet? Omdat het best zou kunnen dat medewerkers elkaars gebruikersnaam en password kennen en daarmee ook onbevoegden kunnen muteren. Maar ook als dat niet het geval is: medewerkers kunnen toch fouten maken, kunnen zelf frauderen of meewerken aan de fraude van anderen? Doorbreking van de ao/ib door de leiding is niet voor niets een verplicht significant risico.

Moet je er ook nog op beducht zijn dat het geautomatiseerde systeem zelf niet goed werkt, dat de lijst niet goed wordt samengesteld, dat er technische fouten in zitten? Dat risico lijkt me dan weer te verwaarlozen klein als er wordt gewerkt met standaardsoftware.

Ik heb veel controledossiers gezien waarin IT als een apart onderwerp wordt aangevlogen, alsof het een controle-object op zich zou zijn. 'Betrouwbaarheid lijstwerk' lijkt me daarvan een voorbeeld. Dit is geen pleidooi om dan maar niets met automatisering te doen, verre van dat en dat zou ook niet kunnen. De handmatige procedures en vastleggingen worden immers in steeds rapper tempo vervangen door geautomatiseerde procedures en vastleggingen.

Het is wel een pleidooi om de controle te blijven aanvliegen vanuit het controle-object: de jaarrekening en de daarin voorkomende posten, stromen en toelichtingen.

Ook lijken veel accountants standaard te kiezen voor een systeemgerichte controlebenadering, terwijl die niet altijd efficiënt of effectief is. Juist bij de controle van de debiteuren heb je informatie uit externe bronnen zoals orders en bankbetalingen van de klanten die voldoende aanknopingspunten zouden moeten bieden om een conclusie te trekken over bestaan en waardering, ondanks eventuele gebreken in de IT-general controls.

Nadenken dus en beredeneren welke aanpak in de gegeven omstandigheden de meeste controlezekerheid in de minste tijd oplevert. Eens? Of zie ik zaken over het hoofd? Ik lees het graag! 

In deze serie vertelt Marianne van der Zijde, ex-toezichthouder bij de AFM, hoe zij naar de accountancy kijkt, met als doel te helpen jaarrekeningcontroles leuker en beter te maken.