Magazine Vandaag

Wat is nu het risico?

Ik heb ergens altijd een beetje moeite gehad met het begrip 'risico' bij het uitvoeren van een controleopdracht. Een risico is naar mijn mening prospectief van aard; het controleren van een jaarrekening is meer retrospectief.

Dit artikel is verschenen in Accountant nr. 2, 2026

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf
» Download het hele nummer (pdf)

Albert Bosch

Eigenlijk zijn wij vooral bezig met een retrospectieve beoordeling of diagnose van risico's die de entiteit liep, uiteraard met een vertaalslag naar de jaarrekening. In die diagnose verwachten of hopen wij dat er geen fouten zijn gemaakt, of dat die tijdig zijn hersteld en dat er geen fraude is gepleegd. Dat is ook de reden waarom accountants vatbaar zijn voor de bevestigingsbias (confirmation bias). Maar terug naar het begrip risico.

Onze focus is op risico's op een afwijking (in de jaarrekening) van materieel belang, afgekort als een RAMB: het risico dat de jaarrekening, voorafgaand aan een controle, een afwijking van materieel belang bevat. Een risico dat dus geheel bij de entiteit ligt en dat de accountant retrospectief diagnosticeert. Een meer zuiver risico (want prospectief van aard) is het risico dat de accountant met de geplande werkzaamheden een aanwezige afwijking van materieel belang, als gevolg van een fout of een fraude, niet gaat ontdekken. Dat kennen we als het 'ontdekkingsrisico'. Als dat risico materialiseert, geeft de accountant een onjuist controleoordeel. En dit laatste kennen we weer als het 'controlerisico'. Ergo, wil het controlerisico materialiseren, dan moet ook het ontdekkingsrisico eerst materialiseren. Maar een controlerisico is in Standaard 200 niet hetzelfde als het ontdekkingsrisico. Het ontdekkingsrisico is namelijk een onderdeel van het controlerisico. Het andere onderdeel is het eerdergenoemde RAMB. Er is een volgtijdelijk, oorzakelijk verband tussen deze onderdelen. Wil het ontdekkingsrisico materialiseren, dan is vereist dat er voorafgaand aan de controle een afwijking in de jaarrekening zit.

Twee componenten

In de definitie van een RAMB in Standaard 200 is onderkend dat een RAMB bestaat uit twee componenten: te weten het inherente risico (IR) en het interne beheersingsrisico (IBR). Nog meer risico's dus, alhoewel IR meer een gevoeligheid of vatbaarheid is dan een risico. De materialisering van een RAMB is dus de gecombineerde materialisering van een IR en een IBR. Resumerend hebben we in Standaard 200 dan een opeenstapeling of verweving van voorwaardelijke of conditionele retrospectieve gebeurtenissen en prospectieve risico's, die later worden uitgewerkt in Standaard 315 (identificeren en inschatten van RAMB's) en Standaard 330 (ontwerpen controleplan om het ontdekkingsrisico te minimaliseren).

Wil een RAMB materialiseren, dan is dus vereist dat er een fout is gemaakt of fraude is gepleegd én dat die fout of fraude niet wordt ontdekt. Ergo, een risicoanalyse moet ook bestaan uit een fout- en fraudeanalyse. Daarom ben ik ook fan van vereiste 17 in Standaard 315 (315.17) en vereiste 16 in Standaard 240 (240.16). Deze 'eeneiige paragrafen' vereisten dat de opdrachtpartner en andere kernleden van het opdrachtteam bespreken of brainstormen hoe vatbaar een jaarrekening voor afwijkingen is als gevolg van fouten of fraude. Vereiste 240.16 maakt het nog iets concreter, door ook te vereisen dat wordt nagedacht over de wijze waarop de fraude zou kunnen worden gepleegd. Prachtig! Want het dwingt teams om na te denken welke fouten of fraudes zich kunnen voordoen en waar en hoe die zich kunnen voordoen.

Twee niveaus

Een RAMB kan op twee niveaus bestaan: op het niveau van de jaarrekening als geheel en op het niveau van beweringen voor transactiestromen, rekeningsaldi en toelichtingen (TRT). Ik kom regelmatig in dossiers tegen dat een RAMB op een bewering voor een TRT wordt omschreven als de combinatie van de desbetreffende jaarrekeningpost en de bewering die mogelijk niet wordt waargemaakt. En dat is ergens best logisch, gelet op hoe een RAMB is gedefinieerd en omschreven in Standaard 200. Dat resulteert in risico's als 'waardering goodwill' of 'volledigheid opbrengstverantwoording'. Als het doel van het identificeren en inschatten van RAMB's is om een passend controleplan te ontwerpen, dan helpen dergelijke generieke risico-omschrijvingen niet echt. Een fout- en fraudeanalyse verrijkt de risicoanalyse, omdat die daarmee beter is te begrijpen. En dat helpt het opdrachtteam wel in het ontwerpen van een passend controleplan om in te spelen op de onderkende RAMB's.

Voor elke geïdentificeerde RAMB op het niveau van een bewering vereist Standaard 315 (315.31) dat de accountant van de component IR van elke RAMB de waarschijnlijkheid en de orde van grootte van een afwijking inschat. De accountant moet dus inschatten of een fout of fraude zich kan voordoen en inschatten hoe groot de afwijking als gevolg van die fout of fraude is. De inschatting van de orde van grootte van de afwijking is vooral bedoeld om in te schatten of sprake is om het RAMB te promoveren naar een significant risico (SR) (315.32). Die inschatting kun je plotten op een 'spectrum van inherent risico' en een hoge score op dat spectrum rechtvaardigt de kwalificatie als SR.

Waarschijnlijkheid

Het inschatten van de orde van grootte van een afwijking (lees: de impact) is normaliter goed te doen. Dit in tegenstelling tot de inschatting van de waarschijnlijkheid. Het inschatten van de waarschijnlijkheid is wat mij betreft ook niet relevant, als je al hebt ingeschat dat de IR component van de RAMB hoog scoort op impact.

De enige reden om alsnog wel een poging te doen de waarschijnlijkheid in te schatten, is om het geïdentificeerde RAMB in haar geheel alsnog te weerleggen. Dat zie ik met name (en begrijpelijk) bij IR's waarvan de waarschijnlijkheid als (zeer) laag wordt ingeschat. Die inschatting is niet te berekenen en is derhalve gebaseerd op professionele oordeelsvorming. Dat professionele oordeel is te onderbouwen met behulp van de onderkende (inherente of fraude) risicofactoren (IRF/FRF). Hoe minder IRF of FRF en hoe minder 'heftig' de onderkende IRF en FRF, des te meer onderbouwing voor het oordeel dat de waarschijnlijkheid (zeer) laag is. Maar pas hierbij op voor de bevestigingsbias, want dat is wellicht het ultieme risico van de accountant.

Noot
Albert Bosch RA is partner bij V&A accountants-adviseurs en verbonden aan de accountantsopleiding van de Vrije Universiteit Amsterdam.