Magazine

RA en RE: samenwerking gaat niet vanzelf

Bij de jaarrekeningcontrole maakt zowel RA als RE deel uit van het controleteam. Toch gaat de samenwerking niet zonder slag of stoot. Sommigen spreken zelfs van een ‘verwijdering'. Wat zijn mogelijke oplossingen?

Dit artikel is verschenen in de Accountant nr. 7/8, 2010

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Door de toenemende automatisering van het bedrijfsleven komt het voor de accountant steeds minder aan op het aloude handmatig controleren van de boeken. De aandacht verschuift naar datacenters, computerservers en applicaties zoals SAP. Dat vereist een stevige kennisbasis op ICT-gebied. De gemiddelde accountant kan wel iets algemeens over automatisering zeggen, maar schiet bij een wat meer diepgaande controle van systemen en applicaties toch vaak te kort. Sinds een kleine twintig jaar assisteert daarom de RE - register EDP-auditor (inmiddels ook vaak IT-auditor genoemd) - de RA-accountant bij de jaarrekeningcontrole. De rol van RE's wordt gaandeweg ook steeds belangrijker. Niet alleen vanwege de verdergaande automatisering, maar ook door veranderende regelgeving. Vanaf begin 2010 bijvoor- beeld kunnen volgens de Nadere Voorschriften voor de accountantscontrole, RA's derde partijen inhuren, waaronder RE's, om assurance te verlenen op niet-financiële onder-werpen. Het gaat dan om zaken als outsourcing-trajecten (zie kader).

Controles

Wat controleert een IT-auditor nu eigenlijk precies bij de jaarrekeningcontrole? Jur de Vries, partner bij BDO, stelt dat veel werk gaat zitten in de zogeheten application controls. “We checken dan de geautomatiseerde processen binnen computerapplicaties. In deze applicaties worden namelijk de meeste financiële data ingevoerd. Je kunt dan denken aan ERP-systemen als SAP maar ook salarisadministratiesystemen. We kijken of de systemen het hele jaar door goed functioneren en of er bijvoorbeeld sprake is van functiescheiding binnen de applicaties.”

Deze werkzaamheden vinden meestal plaats bij de interimcontrole in het najaar. Verder is er aandacht voor de general controls. Hierbij wordt vooral gekeken of een onderneming voldoende algemene beheersmaatregelen heeft genomen voor de eigen ICT. Het gaat dan om de veiligheid en betrouwbaarheid van de netwerken en applicaties.

Ard Niesen, partner bij Deloitte:

“We kijken of een bedrijf bijvoorbeeld voldoende backup-mogelijkheden heeft, hoe het algehele systeembeheer werkt en of de toegangsbeveiliging voor systemen en applicaties goed is geregeld.”

De uitkomsten van beide typen controles door de RE zijn vervolgens input voor de accountant in zijn algehele beoordeling van een bedrijf, waarvoor de accountant eindverantwoordelijk is.

‘Verwijdering’

Een soepele samenwerking met de RA zou dan ook gewenst zijn. Dit is echter niet altijd het geval, een probleem dat overigens al langere tijd speelt.

“Er is sprake geweest van een verwijdering van elkaar”, vindt De Vries. “Zo kozen sommige RA's voor een controleaanpak waarbij beperkt werd gesteund op de automatisering bij de klant, waardoor zij minder gebruikmaakten van de diensten van RE's. Daarnaast zie je dat beide beroepsgroepen elkaars taal niet goed spreken.”

De Vries geeft als voorbeeld dat RA's vaak de impact van de algehele ICT- beheersmaatregelen op de jaarrekeningcontrole niet kunnen aangeven, terwijl RE's in hun onderzoeksrapporten deze impact niet goed onder woorden kunnen brengen of te veel vanuit risico's rapporteren. Abbas Shahim, partner bij Atos Consulting en in het verleden senior manager bij KPMG IT Advisory, noemt een ander voorbeeld: RE's vinden de vraagstelling van RA's vaak te globaal, terwijl anderzijds de uitkomsten van de door de RE gedane IT-audit voor RA's veelal te technisch zijn.

Grijs gebied

Verder speelt volgens Niesen mee dat RA's in de regel sturen op rapporten. “Het onderwerp ICT laat de accountant volledig over aan de RE. Toch ontstaat er dan regelmatig een grijs gebied over het punt van integriteit van (financiële) data in een rapport. Moet een RA hier op letten of de RE in de controle van applicaties?”

Ook accountants herkennen de problematiek. Stefan Tetteroo, namens Ernst & Young manager van het controleteam voor de Raad voor de rechtspraak (waaronder alle rechtbanken in Nederland vallen), signaleert dat beide beroepsgroepen elkaar in het verleden soms niet goed begrepen, doordat ze verschillende ‘insteken’ hadden. “Een RA wil weten of hij op bepaalde systemen of applicaties kan steunen. De RE ziet in zijn controle over het algemeen veel beren op de weg en de RA vraagt zich vervolgens af wat hij met deze constatering moet.”

Opleiding

De vraag is dan natuurlijk op welke manier deze ‘kloof’ tussen RE's en RA's kan worden gedicht. De geïnterviewden wijzen in de eerste plaats unaniem naar het onderwerp educatie, aangezien hier ook een van de bronnen ligt voor de verwijdering van elkaar.

Niesen: “De eerste lichting afgestu- deerde RE's waren vooral RA's die hadden doorgeleerd. Daarna zag je echter dat het aantal afgestudeerde RE's met een accountancy- of bedrijfseconomische achtergrond sterk afnam. De focus lag dan ook sterker op de technische aspecten van het beroep.” Aan de andere kant blijkt bij accountants de kennis van ICT tamelijk beperkt, vindt Tetteroo. Volgens hem ligt dat mede aan de geringe aandacht die het onderwerp in de accountancyopleiding krijgt.

Een oplossing zou zijn dat beide opleidingen in het lespakket meer ruimte maken voor belangrijke punten van elkaars beroep. Daarnaast kunnen accountantskantoren ook zelf meer doen, vindt Tetteroo. “Bij Ernst & Young volgt een aantal RA's een interne IT-auditopleiding. Het doel is dat deze groep op termijn een brug kan slaan tussen beide partijen.”

Afstemming

Behalve opleiding zijn ook de organisatie van de jaarrekeningcontrole en van het controleteam en de situatie op de werkvloer van belang. Een goede afstemming tussen RA en RE is noodzakelijk, betoogt Jur de Vries (BDO). “Niet alleen voorkom je dan zaken als dubbel werk, belangrijker is dat er tussen beide partijen overleg is over de risico's van de ICT bij een bedrijf en over de vraag welke processen bij een bedrijf sterk geautomatiseerd zijn.”

Idealiter zou een dergelijk overleg volgens hem al in de planningsfase moeten plaatsvinden, bij de zogeheten pre-auditmeeting. Dit betekent dat de RE vanaf het begin van de jaarrekeningcontrole lid moet zijn van het controleteam. Zijn positie in het controleteam is dan vergelijkbaar met die van deskun- digen op het vlak van bijvoorbeeld belastingen en pensioenen, stelt Ard Niesen (Deloitte). “Het is belangrijk dat RA en RE van tevoren met elkaar afspraken maken over wat de RE precies moet leveren aan werk een wat dit werk betekent voor de oordeelsvorming door de accountant. De RE moet de accountant als het ware meenemen in zijn eigen werkzaamheden.”

Belangrijk is volgens hem verder dat beiden als onderdeel van het team bij de klant ook in dezelfde ruimte werken. “Het is te vaak gebeurd dat ieder z'n eigen weg ging en dat de interactie in het controleproces tussen RA en RE daarom ontbrak. Je vergemakkelijkt zo de communicatie en dat is echt winst.”

Specialisatie

De ‘één-team-gedachte’ is ook voor Stefan Tetteroo (E&Y) belangrijk. “Als ik kijk naar mijn eigen team voor de Raad voor de rechtspraak, dan presenteren we ons vanaf het begin als één geheel. RA en RE trekken gezamenlijk op. We spreken elkaar structureel.”

Een extra middel voor structureel contact bestaat wanneer de elektronische omgeving waarin de werkdocumenten over de controle worden geplaatst, voor iedereen toegankelijk is, stelt Tetteroo.

Abbas Shahim (Atos Consulting) wijst nog op een andere manier om tot betere samenwerking te komen. Hoewel het op het eerste gezicht tegenstrijdig klinkt, kan verdere specialisatie van de RE volgens hem een goed idee zijn. “Ik denk dan vooral aan expertise op het vlak van financiële softwarepakketten. Als je je als RE op dit vlak specialiseert, heb je een beter zicht op de financiële processen binnen een bedrijf en de impact van de software op de bedrijfsvoering. Zo kun je ook een betere vertaling maken van het controlewerk richting de accountant.”

RA en RE bij internal audit

Hoe verloopt de samenwerking tussen de RA en RE bij een internal auditafdeling? Is ook daar sprake van af en toe moeizaam wederzijds begrip? Ard Niesen (Deloitte) benadrukt dat een IAD een heel andere omgeving is dan controle in het kader van de jaarrekening. “De externe accountant vertegenwoordigt bij de jaarrekeningcontrole ‘het publiek’ en heeft daardoor een meer onafhankelijke houding. Een IAD heeft meer te maken met hiërarchische lijn naar de directie en de commissarissen en opereert doorgaans meer coöperatief.” Dit zorgt er volgens hem voor dat RA en RE intensiever samenwerken.

Jur de Vries (BDO): “RA en RE zitten dichter op elkaar, vaak in dezelfde ruimte, en hebben dus veel onderling contact. Ze hebben zo voldoende zicht op elkaars werkgebied. Ze spreken bovendien dezelfde taal van het bedrijf. Dit maakt het makkelijker om de werkzaamheden af te stemmen.”

Dit is ook de indruk van Abbas Shahim (Atos Consulting). “De samenwerking tussen RA en RE gaat bij een internal auditafdeling echt beter. Je werkt continu samen en je weet wat je aan elkaar hebt.”

Wijziging Nadere Voorschriften maakt rol RE belangrijker

Sinds begin 2010 hebben RE's meer mogelijkheden om zelfstandig verantwoordelijkheid voor een assurance-opdracht te dragen. Dit is het gevolg van een verandering van de Nadere Voorschriften Accountantskantoren ten aanzien van assurance-opdrachten en aan assurance verwante opdrachten.

Door de nieuwe regels wordt de kring van personen die namens een accountantskantoor assurance-opdrachten mogen uitvoeren, vergroot. Tot en met 2009 konden deze opdrachten uitsluitend onder verantwoordelijkheid van een openbaar accountant worden uitgevoerd. Door de wijziging kunnen nu ook ‘andere professionals’ de verantwoordelijkheid voor een assurance-opdracht dragen, mits ze zijn aangesloten bij een door het NIVRA erkende beroepsorganisatie waarvan de leden onderworpen zijn aan gedrags- en beroepsregels, vergelijkbaar met voorschriften die gelden voor een openbaar accountant. Het NIVRA heeft per 1 mei 2010 de beroepsvereniging voor RE's, de NOREA, erkend als zijnde een beroepsorganisatie die aan de eisen voldoet.

Voor de RE's is dit met name relevant voor de assurance-werkzaamheden zoals de beoordeling van de continuïteit en betrouwbaarheid van de elektronische gegevensverwerking en - als dat aan de orde is - de outsourcing daarvan.

Daarnaast is het van belang dat alle opdrachten die onder COS 3000 worden uitgevoerd voortaan ook door RE's kunnen worden gedaan, zoals de nieuwe ISAE 3402 als opvolger van de SAS70, waaronder ook veel mededelingen over uitbesteding van automatisering worden afgegeven.

Stefan Tetteroo (Ernst & Young) stelt dat op basis van de wijziging de RA aan de klant nu moet waarborgen dat de RE kwaliteit levert. “Dit kan hij doen door te checken of de RE de opdracht goed heeft meegekregen. Ook kan de RA een review doen om te beoordelen of hij op het werk van de RE kan steunen.”

Veertig procent jaarrekeningcontrole

Het werk dat een IT-auditor doet in het kader van de jaarrekeningcontrole vormt maar een deel van de eigen arbeidsportefeuille. Gemiddeld besteden RE's veertig procent van hun tijd aan jaarrekeningcontroles. De rest gaat op aan andere controles, zoals SAS 70-verklaringen en het verlenen van assurance op IT-projecten.

Lieuwe Koopmans is journalist.

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.