Back to the future: de accountant in 2020
Begin 1995 blikte Kor Mollema in ‘de Accountant’ vooruit naar de ontwikkelingen in het accountants- en EDP-audit-vak tot 2020. Een aantal voorspellingen bleek raak, sommige ontwikkelingen miste hij. Tien jaar later de tussenstand, plus hernieuwde vooruitblik.
Dit artikel is verschenen in de Accountant nr. 6, 2005
Bekijk alle artikelen uit dit nummer
Kor Mollema
Men heeft mij regelmatig de vraag gesteld: wat ben je nou eigenlijk, accountant of EDP-auditor? Wat een vraag. Hoezo het een of het ander? Hoe kun je nu een goede accountant, dat is financial auditor, zijn zonder een gedegen IT-kennis? Hoe kun je arts zijn zonder gedegen kennis van skelet, zenuwgestel en bloedsomloop? De vraag is echter of hiermee de realiteit van het accountantsberoep is weergegeven.
Voorspellingen
In 1995 voorspelde ik 2003 als crisisjaar waarin aan de lopende band bedrijven met een goedgekeurde jaarrekening failliet zouden gaan. Het was een beetje eerder, maar een kniesoor die daarover valt. Ook voorspelde ik doorgaande concentratie tussen de accountantsmaatschappen tot er uiteindelijk maar twee overbleven. Toch zijn er nog vier. De fusie tussen KPMG en E&Y is wel serieus geprobeerd maar afgeketst. Arthur Andersen is niet gefuseerd, maar zijn as is via de schoorsteen neergedaald op de resterende maatschappen.
Verder voorspelde ik dat na de fiasco’s van 2003 de traditionele accountantsverklaring het loodje zou leggen. Daarvoor in de plaats zou komen een verklaring over de betrouwbaarheid van de informatievoorziening, met de schijnwerpers gericht op de administratieve organisatie. De traditionele accountantsverklaring blijk taaier dan ik had gedacht, maar er is wel een internal control-verantwoording gekomen, te certificeren door de accountant.
Tot zover de afgelopen tien jaar. Wat zullen de volgende vijftien jaren brengen? We maken opnieuw een sprong naar 2020: back to the future, en zien vanuit dat jaar terug op de ontwikkelingen in de start van een nieuw millennium.
Accountant is niet meer
De grote vier bestaan niet meer. Het onvermijdelijke is gebeurd. Na 2005 is er nog één omgevallen, als het ware opgelost in een enorme melkplas. De resterende hebben daarna zoveel klandizie verloren aan de middelgrote kantoren, dat hun toch al aangevochten prestatieratio toegevoegde waarde/gedeclareerde euro’s in de buurt van nul uitkwam. Tegelijkertijd kwamen de Europese en Amerikaanse kartelwaakhonden tot de slotsom dat er geen concurrentie meer in de topmarkt was. Met name bleek dit een probleem bij fusies en overnames. Zo werden de grote drie gedwongen zich verder op te splitsen, waardoor er samen met de groei van een aantal middelgrote kantoren vanaf 2007 weer sprake was van the big 20.
Sarbanes-Oxley heeft de accountantscontrole oude stijl niet kunnen redden. Dat heeft alles te maken met een aantal beursschandalen die zich voordeden in 2007 en 2008. Een geval van interne corruptie bij een topverzekeraar, sterk gelijkend op de Equity Funding-case uit de jaren zeventig van de vorige eeuw. Een geval van ernstige computercriminaliteit bij een grootbank, leidend tot een internet-run op de bank, en een aantal industriële deconfitures voortkomend uit computercrashes, veroorzaakt door cyberterroristen.
Verwachtingskloof gegroeid
De financial controls, zoals die op grond van de Sarbanes-Oxley Act vorm zijn gegeven, hebben dit niet kunnen voorkomen. Het heeft de toezichthouders op de financiële markten doen inzien dat de accountantscontrole oude stijl - zelfs na SOx - geen bruikbaar instrument is voor effectief toezicht.
Jammer dat het zover heeft moeten komen. Een prachtig beroep is verloren gegaan. Geruggensteund door wettelijke dwang zijn ze gemakzuchtig geworden. De verwachtingskloof die al in de jaren tachtig zichtbaar was, is alleen maar groter geworden. Er is veel over gesproken maar niets mee gedaan. Met de invoering van de Sarbanes-Oxley Act is de lat alleen maar hoger gelegd, zonder daarbij te erkennen dat de toerusting van de accountant flink te kort schoot. Zo’n erkenning is noodzakelijk om tot daadwerkelijke bijscholing te komen.
IT
SOx legde terecht nadruk op management control en de audit van de werking daarvan, alsmede op betrouwbare rapportage. Het probleem is dat de controls door accountants werden gedefinieerd als financial controls. Niemand wist wat de deelverzameling financial controls is binnen operational controls.
Het leek verdacht veel op een trucje om beroepsaansprakelijkheid in te dammen. In de hooggeautomatiseerde wereld van 2020 zijn operationele controls nagenoeg identiek aan financial controls. Beide zijn in belangrijke mate verankerd in computernetwerken. En dat is precies waar accountants geen belangstelling voor hadden. Voorzag ik in 1995 na 2003 nog massale IT-bijscholing voor registeraccountants onder auspiciën van de NOREA, het is niet gebeurd. Wel is de IT aarzelend op de agenda gekomen in de accountantsopleiding, maar dat veranderde uiteraard niets aan het kennistekort bij de bestaande registeraccountants.
Operational audit
Er is nog een belangrijke ontwikkeling die ik niet heb voorzien, namelijk de opkomst van operational audit. Toen de opleiding daarvoor startte, mid-jaren negentig, dacht ik: dit gaat nergens over, dit is geen financial audit, geen EDP-audit, dit is niks-audit. Maar het auditveld bleek zo complex en de financial audit zover weggedreven van operationele fact finding, dat operational audit in een gat sprong. Trouwens, ook de invulling die ik gaf aan interne audit bij Fortis, nadat ik in 1994 terugkwam in het audit-vak, was sterk operationeel gericht en rekende af met de typisch Nederlandse cultuur van interne certificering van het jaarverslag. Ik maakte dus zelf onderdeel uit van een trend die ik toen nog niet zag.
Veranderde onderneming
Na de eeuwwisseling, aan het eind van het eerste nieuwe decennium, heeft zich in het bedrijfsleven opnieuw een concentratiegolf afgetekend. Fusie en overname, vaak vijandig, waren schering en inslag. De automatisering is de hele onderneming gaan beheersen. Productie, in- en verkoop, logistiek, back office en administratie, interne en externe communicatie en ook management control zijn grotendeels overgenomen door robots en computernetwerken. XBRL is de wereldstandaard voor externe communicatie geworden.
EDI is de gewoonste zaak van de wereld en wie kent anno 2020 nog de papieren factuur, bestelbon etc.? Wie weet nog wat een origineel document is? Communicatie tussen ondernemingen en met klanten vindt nog slechts per computer plaats en menselijke tussenkomst is gereduceerd tot uitzondering ingeval er iets mis gaat. Facturering is veranderd in automatische notering van vordering/schuld met confirmatie, en betalingen gaan grotendeels buiten de banken om. Ondernemingen houden bij elkaar verhandelbare valutaposities aan en alleen bij periodieke clearing komt de bank eraan te pas. In plaats van kwartaalrapportages zijn er zeer kortcyclische XBRL-formaat financiële communicatiestromen, in- en extern, die de onderneming quasi-continu transparant maken.
Doodsteek
De primaire doodsteek voor de accountants is geworden hun gebrek aan belangstelling voor de allesbeheersende IT. Daarnaast is het traditionele jaarverslag verdwenen, de accountant ontredderd achterlatend met zijn ‘getrouw beeld’-verklaring. In de onderneming heeft risico-management een enorme vlucht genomen. Op basis daarvan plaatsen cfo en ceo iedere twee weken een bericht op hun website dat naar hun beste weten de gecommuniceerde financiële informatiestromen juist en volledig zijn en dat de onderneming ‘in control’ is.
Verder plaatst de raad van commissarissen van de onderneming ieder kwartaal een ge-update mededeling op de site over het spel van corporate governance binnen de driehoek uitvoerend management, raad van commissarissen en audit committee. De laatste heeft een heel sterke positie gekregen als natuurlijke tegenhanger van het uitvoerend management.
Assurance nieuwe stijl
Intussen raakte het toezicht op de financiële markten met de accountantscontrole een belangrijk controle-instrument kwijt. Daarvoor moest iets in de plaats komen. Het is de vrijwillige management control-rating (MCR) geworden, afgekeken van rating van de kredietwaardigheid van de onderneming (credit rating). Toetsing van laatstgenoemde is nooit gereguleerd geweest en toch heeft credit rating zich onmisbaar weten te maken. Zo is het ook gegaan met de accountantscontrole. In plaats van de verplichte accountantscontrole laat de onderneming zich vrijwillig raten door één of meer control ratinginstituten. Deze geaccrediteerde instituten bezoeken de onderneming twee maal per jaar en kijken dan naar dingen als:
- adequate strategie en acceptatie daarvan in de organisatie
- correcte en consistente toepassing IAS
- betrouwbaarheid interne en externe communicatiestromen
- security van de IT
- afwezigheid van corruptie
- compliance met wet- en regelgeving
- adequate interne control en een aanvaardbaar residueel risicoprofiel
- de ontwikkeling van solvabiliteit en rentabiliteit
Vijfpuntsschaal
Op grond van de bevindingen krijgt de onderneming nu een rating op een vijfpuntsschaal. De sanctionering daarvan wordt door de belegger bepaald en vindt haar weerslag in de prijs van het aandeel en dus in de cost of capital. Aanvullend heeft het beurstoezicht de mogelijkheid om de onderneming bij een te lage of uitblijvende rating op de watchlist te zetten, haar notering op te schorten dan wel uit de index te verwijderen.
Uiteraard vraagt zo’n nieuw systeem om kwaliteitsgaranties. De rating agents moeten geaccrediteerd zijn en de uitvoerende rating auditors idem. Sinds 2010 is er één Europees/Amerikaans register voor gecertificeerde rating auditors (CRA’s). Zij hebben verregaande scholing in IT-aspecten. Sommige CRA’s specialiseren zich in complexe IT-vraagstukken en zijn eigenlijk de voortzetting van de oude EDP-auditors. De certificering geschiedt per bedrijfstak, wat gezien de complexiteit van de bedrijfsvoering hard nodig is.
De dominantie van de EDP-auditor over de accountant die ik in 1995 nog voorzag, is via de achterdeur gegaan. De EDP-auditor heeft zich, evenals de operational auditor, als een soort Trojaans paard genesteld in de CRA die we vandaag, let wel 2020, kennen.
Interne audit
Interne audit heeft de slag overleefd, zij het afgeslankt. Zij bestaat nog uit een klein team hooggekwalificeerde auditors, aangevuld met bedrijfsspecialisten en trainees. Hun werkwijze lijkt sterk op due diligence-onderzoek in het kader van fusie en overname. Hun snelle SWOT-analyses (Strengths, Weaknesses, Opportunies, Threats) zijn een belangrijk meetinstrument voor het audit committee.
De interne werking van het governancesysteem, risicomanagement als instrument voor de operationele leiding en interne audit als instrument voor de audit committee, vormen de belangrijkste basis voor de management control-rating.
Evaluatie
Staande in 2020 en terugblikkend op twee voorbije decennia kan worden vastgesteld dat de audit-professie als opgelegd pandoer is veranderd in een vrijwillige management control-rating. De weinigzeggende dichotome accountantsverklaring is omgezet is een professionele rating op een vijfpuntsschaal. Daarmee laat zij ruimte voor schommelingen in de tijd voor de mate van ‘in control’ zijn van ondernemingen, wat zeker in een tijd van fusie en overname opportuun is.
De auditor is weer een onderzoeker geworden, in plaats van een cijfergoochelaar. Het begrip financial control is verdwenen en we praten nog slechts over operational controls.
En ten slotte, de management control-rating is voor de belegger een bruikbaar middel geworden ter ondersteuning van zijn investeringsbeslissing, iets wat de oude dichotome accountantsverklaring nooit geweest is, tenzij dan in de zeldzame casus van onthouding van een oordeel of een negatief oordeel.
Certified rating auditor worden is aantrekkelijk voor de betere studenten. Het is weer knappe koppen werk. Dat was het ook toen ik jong was.
Kor Mollema
Kornelis Mollema is registeraccountant en register EDP-auditor. Hij begon zijn carrière in openbare accountancy en EDP-audit en ging daarna werken in de financiële industrie. Bij de start van Fortis werd hij concerncontroller en later general auditor van dit financiële conglomeraat. In 1990 promoveerde hij aan de Vrije Universiteit en in 2000 werd hij benoemd tot hoogleraar aan de Erasmus Universiteit Rotterdam.
Mollema was actief in de beide beroepsorganisaties NIVRA en NOREA, van de laatste voorzitter van 1996 tot 2000.