Magazine 01 januari 2006

Modernisering accountantscontrole lastig

“Don’t tell me, show me!” is de boodschap van de nieuwe richtlijnen 315 en 330 inzake kennis van de huishouding en haar omgeving en de risicoanalyse. De nieuwe richtlijnen blijken echter conservatief: de kern van het bedrijfsrisicomodel is niet overgenomen. Terecht, meent Joost van Buuren. Het geeft een goede basis voor de verdere ontwikkeling van het accountantsvak. Met dank aan de beursschandalen en Amerikaanse overheid.

Dit artikel is verschenen in de Accountant nr. 5, 2006

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Het is zo’n tien jaar geleden. Accountants zijn bezig met het moderniseren van de accountantscontrole. Daarbij gelden de volgende doelstellingen:

• verlagen van het accountantscontrolerisico;
• de controle goedkoper maken; en
• meer toegevoegde waarde genereren voor de gecontroleerde.

De oude controlebenadering, primair gericht op administratieve organisatie en interne controle, wordt als ‘te beperkt van perspectief’ beschouwd. Daarom wordt het bedrijfsrisicomodel geïntroduceerd. Deze modernisering past bij de destijds nieuwe managementbeheersingstrategieën, zoals de business balanced scorecard. Bedrijven kunnen daarmee beter en concreter inhoud geven aan de beheersing van met name de effectiviteit en efficiëntie van bedrijfsprocessen, maar ook aan de betrouwbaarheid van externe financiële rapportering en de naleving van wet- en regelgeving.

Managementinstrumenten zoals kritieke succesfactoren en kritische prestatie-indicatoren (kpi) worden geïntegreerd in de accountantscontrole. Het beheersen van bedrijfsrisico’s - risico’s dat een bedrijf zijn eigen (financiële) doelstellingen niet haalt - staat hierbij centraal.

Intuïtief kloppend

Door de bedrijfsrisico’s te koppelen aan risico’s van onjuistheden in de jaarrekening, kan de accountant de drie genoemde moderniseringsdoelstellingen verwezenlijken. Allereerst verlaagt de bredere aanpak het accountantscontrolerisico. De waardering van voorraden is bijvoorbeeld betrouwbaarder naarmate het bedrijf hoge interne kwaliteitsstandaarden heeft en naleving daarvan kan aantonen door prestatie-indicatoren. Bovendien maakt het gebruik van bij de controleerde bestaande beheersprocessen de controle goedkoper. En tot slot wordt meer toegevoegde waarde bereikt doordat de accountant ook adviezen kan geven over de efficiency en effectiviteit van de beheersprocessen.

Intuïtief lijkt deze moderniseringsaanpak dus te kloppen. Waarom hebben de nieuwe richtlijnen dit model dan toch niet overgenomen?

Twee beperkingen

Naar mijn mening heeft het bedrijfsrisicomodel toch twee belangrijke theoretische beperkingen:

• de risicoprofielen van informatie voor interne doeleinden en voor externe rapportering zijn niet gelijk;
• het verkregen bewijsmateriaal is niet toereikend.

Wat betreft de eerste beperking: Het bedrijfsrisicomodel veronderstelt dat bij een goed beheerste organisatie de kwaliteit van de interne informatie hoog is en dus resulteert in betrouwbare externe rapportage. Echter, omdat de mogelijke (financiële) gevolgen van onjuiste externe rapportering vele malen groter zijn dan bij interne rapportering, heeft de totstandkoming van vooral dat eerste de warme aandacht van het management. Het management zal keuzes maken over welke informatie op welke wijze wordt gerapporteerd, waarbij de informatieachterstand van externe belanghebbenden zorgvuldig wordt afgewogen. De agency-theorie spreekt in dit verband van ‘informatieasymmetrie’ en de risico’s van bewust introduceren van ruis in de communicatie. Externe belanghebbenden zijn daardoor minder in staat de prestaties van het management te beoordelen. Daardoor heeft externe rapportage, anders dan het bedrijfsrisicomodel veronderstelt, een beduidend hoger risicoprofiel dan interne rapportage.

Bewijsmateriaal

De tweede beperking raakt de kern van accountantsonderzoek: wat is overtuigend bewijsmateriaal? In het voorbeeld van de voorraden wordt verondersteld dat door de hoge kwaliteitsstandaarden en vastgestelde naleving daarvan, de waardering van de voorraden betrouwbaar(der) is. Maar is deze veronderstelling wel aanvaardbaar, of is meer direct bewijsmateriaal nodig? Daarbij komt dat het niet eenvoudig is om de signaalfunctie en betrouwbaarheid van kritische prestatie-indicatoren vast te stellen. Wat is de informatiewaarde van zo’n indicator? Bevat deze voldoende informatie voor externe verslaggevingsdoeleinden? Uit wetenschappelijk onderzoek blijkt dat gebruik van kpi’s subjectief is, en dat met name financiële kpi’s de voorkeur hebben.

Duidelijke keuzes

In de nieuwe richtlijnen zijn duidelijke keuzes gemaakt. De concrete uitwerking van de beoordeling van risico’s is beschreven in richtlijn 315. Deze richtlijn heeft een duidelijk don’t tell me, show me!-karakter. De kennis van en inzicht in de organisatie en haar omgeving moeten uitgebreid zijn gedocumenteerd (zie kader).

Veel elementen van de nieuwe richtlijn komen overeen met het bedrijfsrisicomodel, maar met een belangrijk verschil: de nadruk ligt op beheersingssystemen die specifiek zijn gerelateerd aan externe rapportering. Waar het bedrijfsrisicomodel bedrijfsrisico’s centraal stelt en daaruit het accountantscontrolerisico destilleert, waardeert de nieuwe richtlijn deze bedrijfsrisico’s slechts als indicatie van een verhoogd risico op materiële onjuistheden in de jaarrekening. De richtlijnen hebben dus de kern van het bedrijfsrisicomodel, en daarmee de belangrijkste vernieuwing in de accountantscontrole, niet overgenomen.

Beperkingen bevestigd

Deze duidelijke keuze bevestigt de eerstgenoemde beperking: verschillen in risicoprofiel van interne en externe rapportering. Beheersingsmaatregelen die zijn gericht op effectiviteit en efficiency van bedrijfsprocessen en de daaruit voortkomende interne rapportages, resulteren niet automatisch in betrouwbare externe rapportage. Dit risico wordt ook onderstreept door de Amerikaanse Sarbanes-Oxley-404-verklaring over het adequaat functioneren van beheersingsmaatregelen gericht op externe rapportage.

De tweede beperking wordt bevestigd in richtlijn 330. Meer dan in de oude richtlijnen, wordt daarin de ‘overtuigendheid’ en toereikendheid van controlebewijs uiteengezet. De afwegingen omtrent aard, tijdsfasering en omvang van aanvullende werkzaamheden moeten expliciet worden vastgelegd in de controledossiers. Ook moet de accountant aantonen dat de risicoanalyse gedurende het gehele jaar toereikend is geweest. Hoe specifieker de beheersings- of controlemaatregel, en hoe directer het bewijs, hoe overtuigender dat bewijs is.

Beursschandalen

Modernisering van accountantscontrole blijkt niet eenvoudig. De eerste doelstelling, verlaging van het accountantscontrolerisico, lijkt behaald, door de gestructureerde risicoanalyse met een transparante relatie naar controlewerkzaamheden. Naar alle waarschijnlijkheid zal de controle er echter niet goedkoper van worden (doelstelling twee), de documentatieeisen zijn immers aanzienlijk verzwaard.

Rest de doelstelling van de toegevoegde waarde van de accountant. In plaats van op de efficiency en effectiviteit van bedrijfsprocessen is het perspectief nu gericht op beheersingsmaatregelen voor externe rapportering. En dat lijkt me een goed uitgangspunt voor de toekomst. Met dank aan beursschandalen en de Amerikaanse overheid.

Noot
Joost van Buuren is PhD-student en universitair docent aan NIVRA-Nyenrode. In 2002 won hij de NIVRA-Nyenrode Essay Prijs (‘de Accountant’ juli/ augustus 2003).

Richtlijn 315

Kennis van de huishouding en haar omgeving en het inschatten van het risico van een afwijking van materieel belang:

Kennis van de organisatie en interne beheersing. Ten minste de volgende onderdelen worden beoordeeld:

• begrip van branche, regelgeving, inclusief verslaggevingseisen;
• aard van de organisatie en beoordeling van de boekhoudregels;
• de bedrijfsrisico’s in het kader van verhoogd risico op materiële fouten;
• de aansturing en prestatiebeoordeling en beloning van de leiding en personeel;
• interne beheersingsmaatregelen. Sterk aanbevolen wordt de COSO-indeling te gebruiken.

Beoordelen van de risico’s of materiele fouten:

• risico’s op jaarrekening- en beweringen niveau met betrekking tot soorten transacties, balansposten en presentatie en toelichting;
• geïdentificeerde risico’s relateren aan ‘wat kan er fout gaan’-vragen op beweringenniveau;
• omvang en kans dat de risico’s zich voordoen beoordelen;
• significante risico’s beoordelen;
• als gevolg van onvervangbare maatregelen van AO/IB;
• gedurende het boekjaar dienen bovengenoemde risicoafwegingen continu worden getoetst op wijziging en toereikendheid.

Richtlijn 330

Werkzaamheden van de accountant naar aanleiding van gemaakte risicoinschattingen:

Geef oordeel over de beheersingsomgeving:

• bij positieve beoordeling mag
  - systeemgericht worden gecontroleerd
  - roll-forward-controle en controlebewijs uit voorgaande jaren worden gebruikt
  - interimcontroles vroeger in het jaar plaatsvinden;
• bij negatieve beoordeling wordt primair gegevensgericht gecontroleerd.

Bespreek de bevindingen omtrent de beheersomgeving met het gehele controleteam en leg afspraken vast.

• Geef aan de afwegingen met betrekking tot de aard van de controle, tijdstip en omvang van de controlestappen.
• Geef expliciete relatie tussen risico’s op beweringenniveau, controlebewijs en conclusie.
• Bij significante risico’s dienen ten minste de beheersomgeving en procedures te worden beoordeeld op toereikendheid in opzet en bestaan. Significante risico’s hebben met name betrekking op niet-routine transacties van grote omvang, opvallende interventie door management bij boekhoudbeslissingen, complexe transacties en schattingen in de jaarrekening en bepalen fair value.