Magazine 01 mei 2007

'Volkomen controle: het kan én het moet'

Ruud Veenstra pleit al jaren voor een totaal andere controle-aanpak: een ‘spijkerharde’ volkomen controle in plaats van de ‘boterzachte’ op risico-inschattingen gebaseerde huidige aanpak. Hij ziet de afgelopen jaren de bewijzen zich opstapelen die zijn gelijk bevestigen.

Dit artikel is verschenen in de Accountant nr. 9, 2007

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Ruud Veenstra*

Vrijwel iedereen in het vak is het over een ding wel eens: de accountant richt zich op het vervullen van de wensen van het maatschappelijk verkeer.

Die wensen zijn zeker na de schandalen en daaropvolgende vertrouwenscrisis op de financiële markten heel duidelijk: men wil een onaantastbare, niet te falsificeren verslaglegging van waardestromen en informatiestromen.

Voldoet de huidige controleaanpak wel aan de eisen van het maatschappelijk verkeer? Het antwoord is een ondubbelzinnig nee: zowel ondernemingen als het maatschappelijk verkeer zijn volstrekt niet geïnteresseerd in audit risk, en al helemaal niet meer bereid om daarvoor de hoge kosten te blijven betalen. Toch staat audit risk centraal in de controlemethoden van alle accountantskantoren.

Dit audit risk is het risico dat een jaarrekening ondanks de accountantscontrole toch niet aan de eisen voldoet, met andere woorden: de mazen van het accountantsnet.

Hoogste tijd

De huidige accountantsverklaring richt zich op een ‘aanvaardbaar’ laag risico van onjuiste informatie. Het is de hoogste tijd dat die doelstelling wordt herzien. Alleen een accountant die zich toelegt op het waarborgen van het onvervalste getrouwe beeld door een volkomen controle, levert antwoorden op de vragen van het maatschappelijk verkeer en levert daarmee ook een echte bijdrage aan het vertrouwen op de financiële markten.

Het is een hardnekkig misverstand te denken dat zo’n volkomen controle niet mogelijk is of uit kostenoverwegingen onhaalbaar. Ondergetekende beschreef samen met Arnold Heertje in het Maandblad voor Accountancy en Bedrijfseconomie van december 2006 onder de titel Doeltreffende administratieve controle door steekproeven de bouwstenen om zo’n controle uit te voeren. De essentie van de aanpak wordt gevormd door steekproeven ingebed in de bedrijfseconomische verbanden tussen inkomende en uitgaande goederen- en dienstenstromen en de daaraan gerelateerde inkomende en uitgaande kasstromen. Door consequente inbedding van steekproeven in de controle van de verbanden wordt een doeltreffende controle bereikt.

Drie opmerkingen

In het bestek van dit artikel is niet mogelijk dit controlemodel tot in detail uiteen te zetten, en wordt volstaan met een aantal opmerkingen.

Ten eerste is dat het gegeven dat ook in andere publicaties (Elsas, De Backer en Snoeck**) wordt gesteund op een identiek model en dat Philip Elsas heeft aangetoond dat er sprake is van een coherent model dat ook consistent en verifieerbaar is te gebruiken. Door middel van softwaretools en ingebedde steekproeven is het model zeer efficiënt controleerbaar.

Tweede opmerking is dat de interne controle doeltreffend kan worden gebaseerd op het AOQL (Average Outgoing Quality Limit) steekproefsysteem. Dit systeem - oorspronkelijk ontworpen voor de industriële kwaliteitscontrole - biedt een waarborg dat een populatie ná (interne) controle voldoet aan de eisen, doordat alle aangetroffen fouten worden verbeterd. Wanneer de accountantscontrole volgens de voorgestelde benadering zou worden uitgevoerd kan er dus sprake zijn van een volledige controle door het toepassen van ingebedde steekproeven.

Exacte uitspraken

De derde opmerking betreft het voordeel van exact gekwantificeerde uitspraken over de gecontroleerde populaties én de kwaliteit van de administratieve organisatie en de daarvan deel uitmakende interne controle. Mocht er - in uitzonderlijke gevallen - tijdens de accountantscontrole sprake zijn van een ‘ernstige fout’, dan is het mogelijk om een uitspraak te doen over de fractie fouten en deze te relateren aan de materialiteit. Het is dan mogelijk om een objectieve en in de jaarrekening ingebedde inschatting te maken van de resterende onzekerheden in de controle en/of de jaarrekening.

Indien de aangetroffen situatie onvoldoende kan worden geredresseerd, dan kan de feitelijk aangetroffen situatie zonodig toch ten behoeve van het getrouwe beeld geobjectiveerd en gekwantificeerd in de jaarrekening en/of de accountantsverklaring worden vermeld. In de huidige aanpak - gebaseerd op risicoanalyse in plaats van een volkomen controle - is dat kwantificeren niet mogelijk.

Research groep

De onvermijdelijke conclusie van dit alles: een volkomen controle van de jaarrekening, met gekwantificeerde uitspraken over gecontroleerde populaties en over de kwaliteit van de opzet en werking van het desbetreffende deel of aspect van de administratieve organisatie, is zonder meer mogelijk. Een accountantscontrole die op deze leest is geschoeid leidt tot objectieve, onontkoombare bevindingen en feedback voor de onderneming en de accountant. Populairder gezegd: het wordt dan mogelijk een spijkerhard oordeel uit te spreken. Kom daar maar eens om bij de huidige boterzachte aanpak: accountants kunnen bij die aanpak in het geval van schandalen vaak alleen maar in een reflex stellen dat een accountantsverklaring geen verzekeringspolis is.

De mogelijkheden van de volkomen controle zijn goed voor het maatschappelijk verkeer, en daarmee uiteraard ook voor de (toegevoegde waarde van) de accountant. Het verdient dan ook op zijn minst aanbeveling om in een adequate researchgroep samen met geïnteresseerde universiteiten deze robuuste controlebenadering verder te ontwikkelen. Een breed draagvlak onder de auditors in de controlepraktijk van grote en middelgrote ondernemingen en instellingen moet worden gecreëerd en aangemoedigd. Ieder initiatief tot het verkrijgen van draagvlak vanuit de kantoren moet daarbij worden toegejuicht en kan bijdragen aan de vernieuwing van het beroep, juist nu de discussies over innovatie voorzichtig de kop opsteken.

Pijnlijk duidelijk

De afgelopen jaren reageerden veel vakgenoten echter juist kritisch op de op steekproeven gebaseerde volkomen controle. Zij zochten hun argumenten veelal in het verdedigen van het huidige Audit Risk Model. Dat dit model op zijn zachtst gezegd met gezonde argwaan moet worden bekeken, wordt haast pijnlijk duidelijk uit de resultaten van een tien jaar durend empirisch onderzoek van Ed Broeze naar de huidige praktijk van risico-analyse (zie ‘de Accountant’, januari 2007). Hij concludeerde dat voor de 192 onderzochte cases van controle op basis van risico-analyse, sprake was van een zeer wisselende correlatie (variërend van nul tot 72 procent) tussen de risico-inschattingen en de aangetroffen fouten. Met alle waardering voor het fundamentele werk dat Broeze heeft verricht blijft in het gunstigste geval de conclusie dat, zo valt te lezen in zijn proefschrift “this risk assessment is not valid in the sense that it may replace substantive audit” ... “unless an audit organisation has sufficient evidence on the validity of its risk assessment”. Een duidelijker signaal is nauwelijks denkbaar. Aan de slag!

Noot
* Ruud Veenstra was jarenlang actief als openbaar accountant en nu een kritisch volger van het vak en is onafhankelijk accountancy-consultant.
** Backer, M. de en M. Snoeck, Bedrijfsprocessen en webservices, Maandblad Informatie, jaargang 48 (januari-februari 2006), pagina’s 10-15.
Elsas, P. I., Computational Auditing, dissertatie Vrije Universiteit Amsterdam, 1996.