Opinie

Standaardiseren controle

In eerdere opinies en reacties ben ik kritisch geweest op de huidige controlemethodiek en het belang van professionele oordeelsvorming. Kort gezegd: ik ben voor standaardiseren van de controle. Dat is geen populair standpunt, merk ik aan de reacties. Hoog tijd om mijn standpunt nog eens toe te lichten.

Hoe is het nu? Het hart van controlestandaarden is de risico-analyse. Het idee daarachter is dat je als accountant niet alles kunt controleren. Dat zou te veel tijd en geld kosten. Daarom hoeft de accountant ook niet alle jaarrekeningposten te controleren. De accountantscontrole mag zich richten op de risicovolle jaarrekeningposten: posten waarvan de accountant denkt dat ze fout zouden kunnen zijn.

Om een goede risico-analyse te maken is diepgaande kennis nodig van de te controleren organisatie, van de activiteiten, de omgeving, de wet- en regelgeving, de administratieve systemen en de interne beheersingsmaatregelen.  Ook moet de accountant de integriteit van de ondernemingsleiding inschatten: zouden ze hebben gerommeld met de cijfers, nemen ze wet- en regelgeving niet zo nauw? En hoe zit het met fraude: wie heeft binnen de onderneming de gelegenheid, de noodzaak en de argumenten om een fraude te rationaliseren? Vervolgens is het zaak om die kennis en verwachtingen te vertalen naar risico's op het niveau van jaarrekeningposten en beweringen en controlemaatregelen te plannen waarmee fouten en fraude kunnen worden ontdekt.

Een bezwaar dat ik tegen risico-analyse heb, is dat het tijdrovend is. Het verzamelen van alle benodigde kennis over de organisatie en het documenteren daarvan kost tijd. Veel tijd als je het goed wilt doen. Een groot deel van de controlebudget  wordt daarmee besteed aan de planning van de controle en niet aan het controleren zelf.  Dat is geen probleem als de risico-analyse daadwerkelijk goed zou zijn. Maar daar zit 'm nou net de crux.

Een organisatie is een complex systeem. De financiële uitkomsten zijn een resultaat van menselijk handelen dat via een bepaalde systematiek wordt vertaald in cijfers. Ben je als accountant mentaal in staat om een organisatie zodanig te doorgronden dat je kunt stellen dat bepaalde jaarrekeningposten wel en andere geen risico bevatten (en ook nog in twee gradaties: significant of niet en onderscheiden naar bewering) en daarom niet gecontroleerd hoeven te worden?

Ik heb jarenlang gedacht dat dat kon, dat ik dat kon. Maar ik denk nu dat dat een illusie is en een groteske zelfoverschatting. Ik heb nooit geleerd hoe dat zou moeten, er zijn geen expertsystemen beschikbaar die me daarbij ondersteunen, er is geen manier om te leren van eerder gemaakte fouten. En meer fundamenteel: ik kan nooit grip krijgen op de motieven van mensen om al dan niet te frauderen.

Problematisch is ook dat de risico-analyse geheel subjectief is. De accountant  die van nature meer beren op de weg ziet voert een heel andere controle uit dan diegene die denkt dat het allemaal wel goed zit.  De risico-averse accountant besteedt, in vergelijking met zijn collega, meer tijd aan het verkrijgen van kennis over de organisatie, blijft wikken en wegen of er nu wel of niet sprake is van een risico, zal uiteindelijk meer risico's onderkennen en meer en diepgaander controlewerkzaamheden uitvoeren. Consequentie is dat de risico-averse accountant meer, veel meer uren zal besteden aan de controle dan zijn collega die geen risico's ziet. Dit verschil in werkzaamheden wordt niet zichtbaar in de controleverklaring.  Het is ook helemaal niet gezegd dat degene die er minder werk in stopt een verkeerde verklaring afgeeft: de jaarrekening hoeft immers geen materiële afwijkingen te bevatten. 

Het gevolg is dat controlekwaliteit een leeg begrip is en dat er sprake is van oneerlijke concurrentie tussen accountantskantoren: diegene die het minste risico ziet kan goedkoper offreren voor hetzelfde eindproduct: een goedkeurende verklaring. En krijgt de opdracht.

Afschaffen dus die risico-analyse: het brengt accountants niets en de gebruikers van jaarrekening al helemaal niet. Het nieuwe devies zou moeten zijn: controleren in plaats van redeneren! Dat zou betekenen dat alle materiële posten worden gecontroleerd.

En als we toch bezig zijn: laten we dan ook met elkaar bepalen hoe die materiële posten worden gecontroleerd en dat niet overlaten aan de individuele accountant. De accountant die nu bij iedere controle weer het wiel aan het uitvinden is en onzeker is of hij de juiste en genoeg werkzaamheden heeft gedaan. En laten we wel wezen: dat is op grond van de aard van de beschikbare controlemiddelen ook niet met zekerheid te zeggen of met honderd procent overtuigingskracht te beredeneren; tenzij een statistische steekproef wordt gedaan.

Jaarrekeningen zijn al in hoge mate gestandaardiseerd, dat kan ook met de accountantscontrole. En het moet ook: in een steeds verder digitaliserende wereld waarin geautomatiseerde integrale gegevensgerichte controles de norm zullen worden, kan de accountant niet achterblijven. Hij kan niet blijven hangen in een controlemethodiek die stamt uit de tijd dat er nog doorschrijfboekhoudingen waren en de accountant op een voetstuk stond.

Dus laten we vooruit kijken en nieuwe ijkpunten vinden voor de controle, in plaats van terug te grijpen op oude waarde en begrippen. Dat is met recht: het beroep opnieuw uitvinden! 

In deze serie vertelt Marianne van der Zijde, ex-toezichthouder bij de AFM, hoe zij naar de accountancy kijkt, met als doel te helpen jaarrekeningcontroles leuker en beter te maken.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Marianne van der Zijde adviseert accountantsorganisaties en is voormalig hoofd toezicht kwaliteit accountantscontrole en verslaggeving van de AFM.

Gerelateerd

reacties

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.