Hein Kloosterman en Ferry Geertman

Het is tot daaraan toe dat in de volksmond - die vaak stem krijgt door Van Dale - 'risico' veel betekenissen heeft gekregen. Zoals kans op een nadelige gebeurtenis (1), de nadelige gebeurtenis zelf (2), het effect dat het optreden van een nadelige gebeurtenis met zich meebrengt (3) en het met een kans gewogen effect van een nadelige gebeurtenis (4). En dan is er ook nog literatuur (bijvoorbeeld ISO31000) die risico neutraliseert tot onzekerheid in de bedrijfsvoering (5).

In accountantscontrole zien we het begrip 'risicoanalyse' op meerdere plekken worden toegepast. De eerste plek is de risicoanalyse ten aanzien het behalen van de bedrijfsdoelstellingen, zoals ontwikkelen of handhaven van de marktpositie, reduceren van derving, beheersen van kostenontwikkeling, procesoptimalisatie. Daar vraagt de accountant zich af of de maatregelen van interne beheersing leiden tot het beheersen van de risico's die hiermee samenhangen.

Deze analyse leidt vervolgens tot een tweede risicoanalyse, namelijk die van de verantwoordingsrisico's. Deze tweede analyse leidt tot onder meer het van oudsher bekende Starreveldse gebied: de volledigheid van de opbrengstverantwoording en de juistheid van de verantwoording van de kosten.

De derde plek is de ‘risicoanalyse in de accountantscontrole' in de zin van het vinden van informatie om met een kleinere hoeveelheid gegevensgericht werk een uitspraak over de te controleren transacties te mogen doen.

Wij willen het in deze column over die laatste risicoanalyse hebben. De historie van die risicoanalyse laat zien dat de controle van de opzet, het bestaan en de werking van de organisatie aanleiding geeft om te gaan vertrouwen dat de verantwoorde elementen heel weinig fouten (van welke soort dan ook) zullen bevatten. Dit vertrouwen, deze hoop, mocht leiden tot een reductie van de hoeveelheid gegevensgerichte controles. Maar: met behoud van de materialiteit. Dus gegeven de materialiteit en gegeven de reeds beoordeelde interne organisatie mag het wel een tandje minder, mag de steekproef wel wat kleiner.

Door het gestoethaspel met formules is het idee ontstaan dat het werk dat het beoordelen van de organisatie vraagt kan worden uitgewisseld met de hoeveelheid gegevensgerichte werkzaamheden. Maar dat is niet zo!

Men moet (!) de organisatie beoordelen. Er moet immers worden vastgesteld dat de opzet, het bestaan en de werking van de onvervangbare interne beheersing in orde waren. Daarvoor moet men naar de twee eerstgenoemde vormen van risicoanalyse kijken - die van de bedrijfsdoelstellingen en van de klassieke controledoelstellingen. Dus naar de vraag: zijn er toereikende maatregelen bedacht, ingevoerd én uitgevoerd om de organisatie in de richting van de doelstellingen te blijven sturen. En, ook belangrijk: zijn de vastleggingen ervan controleerbaar?

De accountant stelt dus vragen die te maken hebben met opzet, bestaan en werking; als die vragen (positief) zijn beantwoord, en navolgbaar zijn gemaakt (er moet dus controlebewijs van zijn), volgen er als het goed is twee conclusies:

1. de organisatie is controleerbaar (althans zo controleerbaar mogelijk).
2. de kwaliteit van de interne beheersing kan een reductie van de gegevensgerichte controles mogelijk maken.

Vaak worden compliance-tests en gegevensgerichte controles tegelijk uitgevoerd: een deel van de steekproefelementen voor de gegevensgerichte controle wordt ook beoordeeld om te kunnen beslissen om bij die omvang van de gegevensgerichte controle te kunnen steunen op de werking van de interne beheersing.  

Bij zo'n dual purpose test wordt dus een voorschotje genomen op de goede afloop van de compliance tests, want die laatste moeten in feite al hebben plaatsgevonden op het moment dat de beslissing wordt genomen om de hoeveelheid gegevensgerichte controles te verminderen.

Dat is niet erg, zo lang men zich maar realiseert dat wanneer wordt besloten niet te steunen op de werking van de interne beheersing (IB), de steekproef voor de gegevensgerichte controle niet groot genoeg is omdat de geplande reductie vervalt.

Leveren gegevensgerichte controles dan geen informatie op over de kwaliteit van de organisatie? Op die vraag willen we een heel voorzichtig antwoord geven. De detailcontroles leveren vaak vragen op. Enkele antwoorden op die vragen laten zien dat de betreffende boeking fout was. Voor een deel hebben die fouten te maken met de organisatie, meestal is de inhoud (het etiket vooral) onjuist verantwoord.

Conclusie: Het toepassen van de vorm van risicoanalyse in de accountantscontrole die kan leiden tot een verminderde hoeveelheid gegevensgerichte detailcontroles, kan niet leiden tot een verminderde hoeveelheid werkzaamheden met betrekking tot de (onvervangbare) interne beheersing. Dus door meer gegevensgerichte detailcontroles te gaan uitvoeren vermindert de hoeveelheid werk met betrekking tot de interne beheersing niet.